Langsame Leistung oder Fehler durch Antivirenscan

Problem

Nach der Bereitstellung von KONNEKT treten bei Benutzern auf zugeordneten Laufwerken eines oder mehrere der folgenden Symptome auf:

• Das Durchsuchen von Ordnern ist merklich langsam oder führt zu einer Zeitüberschreitung

• Das Öffnen von Dateien dauert viel länger als erwartet

• Das Hochladen von Dateien schlägt zeitweise fehl (Fehler erscheinen unter Fehler im KONNEKT-Explorer-Fenster)

• Das KONNEKT-Symbol im Infobereich wird während der normalen Nutzung kurz rot

Diese Symptome sind oft sporadisch, sie treten zu bestimmten Tageszeiten auf (typischerweise morgens) und verschwinden nach einiger Zeit von selbst.

Hintergrund

KONNEKT arbeitet online. Jeder Lesezugriff auf eine Datei auf einem KONNEKT-zugeordneten Laufwerk führt zu einer Anfrage an SharePoint Online über die Microsoft Graph API. Microsoft wendet Drosselungsgrenzen auf diese Anfragen an. Wenn das Limit überschritten wird, antwortet SharePoint Online mit HTTP 429 (Zu viele Anforderungen), und KONNEKT muss vor einem erneuten Versuch warten.

Die Echtzeit-Virenscanprüfung (AV) ist eine der häufigsten Ursachen für unerwartete Drosselung. Wenn AV-Software einen KONNEKT-Laufwerksbuchstaben scannt, liest sie jede Datei, auf die sie trifft. Jeder Dateizugriff verbraucht API-Kapazität (genannt Ressourceneinheiten). Ein einzelner AV-Durchlauf über eine Bibliothek mit 5.000 Dateien kann in sehr kurzer Zeit erheblich API-Kapazität verbrauchen und lässt nur wenig Spielraum für tatsächliche Benutzeraktivitäten.

Dies betrifft alle Echtzeit-AV-Produkte, einschließlich:

• Microsoft Defender for Endpoint

• CrowdStrike Falcon

• SentinelOne

• Sophos

• Andere Endpoint-Schutzplattformen

Hinweis: Dies ist kein Fehler in KONNEKT oder in Ihrer AV-Software. Es ist erwartetes Verhalten, wenn die Echtzeitüberprüfung auf ein reines Online-Laufwerk angewendet wird. Die Lösung besteht darin, KONNEKT-Pfade von der Echtzeitüberprüfung auszuschließen.

Lösung

Fügen Sie in Ihrem AV-Produkt Ausnahmen für KONNEKT-Laufwerksbuchstaben und Prozesse hinzu. Die genauen Schritte hängen von Ihrer AV-Lösung und der Verwaltungsmethode ab.

Microsoft Defender über Intune (empfohlen)

Wenn Manipulationsschutz über Intune verwaltet wird, müssen Sie Ausnahmen über die Intune Endpoint Security-Richtlinie konfigurieren. PowerShell-Befehle funktionieren nicht, wenn der Manipulationsschutz aktiviert ist.

1. Öffnen Sie das Microsoft Intune Admin Center

2. Navigieren Sie zu Endpunktsicherheit > Antivirus

3. Erstellen oder bearbeiten Sie eine Microsoft Defender Antivirus Richtlinie

4. Unter Konfigurationseinstellungen, fügen Sie Folgendes hinzu:

Pfadausnahmen: fügen Sie jeden in Ihrer Organisation verwendeten KONNEKT-Laufwerksbuchstaben hinzu, z. B.:

Prozessausnahmen:

1. Weisen Sie die Richtlinie den entsprechenden Geräte- oder Benutzergruppen zu

2. Geben Sie der Richtlinie Zeit, um mit den Endpunkten zu synchronisieren

Microsoft Defender über PowerShell (Fallback)

Wenn der Manipulationsschutz nicht über Intune verwaltet wird, können Sie PowerShell verwenden:

Wichtig: Ersetzen Sie M:\ und S:\ durch die tatsächlichen Laufwerksbuchstaben, die in Ihrer KONNEKT-Bereitstellung verwendet werden. Wenn Sie automatisches Mapping verwenden, überlegen Sie, welche Laufwerksbuchstaben Ihren Benutzern zugewiesen werden.

Microsoft Defender - Regeln zur Reduzierung der Angriffsfläche (ASR)

Wenn Sie ASR-Regeln verwenden, siehe auch "Riskante Aktion blockiert" für zusätzliche KONNEKT-Ausnahmen, die für ASR erforderlich sind.

CrowdStrike Falcon

1. Öffnen Sie das Falcon-Konsole

2. Navigieren Sie zu Endpunktsicherheit > Präventionsrichtlinien

3. Unter Maschinelles Lernen und/oder Sensor-Visibility-Ausnahmen, fügen Sie hinzu:

Verzeichnisausnahmen: Ihre KONNEKT-Laufwerksbuchstaben (z. B. M:\, S:\)

Prozessausnahmen: Konnekt.exe, KonnektStarter.exe

SentinelOne

1. Öffnen Sie das SentinelOne-Verwaltungskonsole

2. Navigieren Sie zu Sentinels > Ausnahmen

3. Hinzufügen Pfadausnahmen für Ihre KONNEKT-Laufwerksbuchstaben

4. Hinzufügen Prozesspfad Ausnahmen für:

Andere AV-Produkte

Für jedes andere AV-Produkt konfigurieren Sie die folgenden Ausnahmen in Ihrer Verwaltungskonsole für den Endpunktschutz:

So überprüfen Sie das Problem

Wenn Sie nicht sicher sind, ob die AV-Überprüfung das Problem verursacht, können Sie dies mit den folgenden Schritten überprüfen:

1. Öffnen Sie in KONNEKT Einstellungen (Rechtsklick auf das KONNEKT-Symbol im Infobereich)

2. Setzen Sie Protokollstufe auf Debug (siehe auch Vorbereitung des Debug-Protokolls)

3. Reproduzieren Sie das langsame Verhalten

4. Suchen Sie im Debug-Protokoll nach wiederholten Einträgen, die auf Drosselung hinweisen (HTTP-429-Antworten oder Wiederholungsnachrichten) während Zeiten, in denen kein Benutzer aktiv mit Dateien arbeitet

Wenn Sie Drosselungseinträge in regelmäßigen Abständen oder zu Zeiten sehen, in denen geplante AV-Scans konfiguriert sind, deutet dies stark darauf hin, dass das AV-Scannen die Ursache ist.

Empfehlung

Wir empfehlen, AV-Ausnahmen für KONNEKT-Laufwerksbuchstaben und Prozesse zu konfigurieren bevor Sie KONNEKT an Endbenutzer ausrollen. Dadurch werden Drosselungsereignisse während der Einführung verhindert und benutzerseitige Fehler vermieden, die unnötige Support-Tickets erzeugen könnten.

Es wird allgemein empfohlen, diese Ausnahmen bereitzustellen über Intune-Richtlinie oder GPO um sicherzustellen, dass sie konsistent auf allen Geräten angewendet werden.

Siehe auch: Offline-Attribut, der integrierte Mechanismus von KONNEKT zur Reduzierung des Bandbreitenverbrauchs durch Vorschauen und Indizierung.