Eu encontrei a resposta para o problema! Para este ano de qualquer maneira. :)
O problema ocorreu novamente na manhã de ontem e no almoço, mas desta vez foi apenas um PC que não estava no grupo afetado na semana passada. Durante o problema eu fiz o seguinte:
- Reiniciou o interruptor em seu departamento - não funcionou.
- Ativado e desativado seu adaptador de rede e o adaptador para servidor - não funcionou
- Atualizado o driver em seu PC, isso funcionou pela manhã.
O monstro voltou a erguer a cabeça feia no almoço.
Foi para o servidor, coletou pacotes wireshark entre o PC afetado e o servidor. Então, reiniciei o servidor porque sei que funciona. Isso resolveu o problema. Só consegui ler os dados coletados por alguns minutos porque surgiram outros problemas (sou o único profissional de TI - um homem) que ocupou meu tempo pelo resto do turno. Pensei nisso durante a noite. Chegou esta manhã, coletou o tráfego de rede apenas para ver se havia algum processo de rede porcos e não conseguia encontrar nada inchando o "pipe". Então me ocorreu: verifique os logs do kaspersky no servidor. Eu verifiquei os logs de bloqueadores de ataques de rede e descobri que na semana passada o Kaspersky detectou "ataques" de dos.generic.synflood das 3 máquinas afetadas na semana passada e a máquina afetada ontem. Quando o Kaspersky detecta coisas assim, ele interrompe a comunicação com o nó de ataque por 60 minutos. Os registros informaram o horário exato do problema e o tempo correspondeu ao horário em que os usuários afetados me ligaram sobre o problema. Eu rastreei os logs em 30 dias e percebi que esses logs estavam limpos de ataques.
Eu configurei o bloqueador de ataque de rede para bloquear apenas o nó de ataque por 1 minuto. Eu também vou investigar o que os ataques de inundação sincera podem ser. Pelo menos por enquanto, sei por que essas máquinas foram desconectadas do servidor. É claro que agora, eu preciso descobrir a fonte desses ataques dos.generic.synflood.