Dieser Artikel wurde automatisch übersetzt. Die Übersetzung kann Ungenauigkeiten enthalten.
Zur englischen Originalversion wechseln.
Ctrlk

Langsame Leistung oder Fehler durch Antivirus-Scans verursacht

Problem

Nach der Bereitstellung von KONNEKT treten bei Benutzern auf zugeordneten Laufwerken eines oder mehrere der folgenden Symptome auf:

  • Das Durchsuchen von Ordnern ist merklich langsam oder läuft in eine Zeitüberschreitung

  • Das Öffnen von Dateien dauert deutlich länger als erwartet

  • Datei-Uploads schlagen intermittierend fehl (Fehler erscheinen unter Fehler im KONNEKT-Explorer-Fenster)

  • Das KONNEKT-Symbol im Infobereich wird während der normalen Nutzung kurz rot

Diese Symptome sind oft intermittierend, sie treten zu bestimmten Tageszeiten auf (typischerweise morgens) und verschwinden nach einiger Zeit von selbst.

Hintergrund

KONNEKT arbeitet online. Jede auf einem KONNEKT zugeordneten Laufwerk gelesene Datei führt zu einer Anfrage an SharePoint Online über die Microsoft Graph API. Microsoft wendet Drosselungsgrenzen für diese Anfragen an. Wenn das Limit überschritten wird, antwortet SharePoint Online mit HTTP 429 (Too Many Requests), und KONNEKT muss vor einem erneuten Versuch warten.

Das Scannen durch Echtzeit-Antivirussoftware (AV) ist eine der häufigsten Ursachen für unerwartete Drosselung. Wenn AV-Software einen KONNEKT-Laufwerksbuchstaben scannt, liest sie jede Datei, auf die sie trifft. Jeder Dateizugriff verbraucht API-Kapazität (genannt Ressourceneinheiten). Ein einzelner AV-Durchlauf einer Bibliothek mit 5.000 Dateien kann in sehr kurzer Zeit erhebliche API-Kapazität verbrauchen und lässt nur wenig Spielraum für tatsächliche Benutzeraktivitäten.

Dies betrifft alle Echtzeit-AV-Produkte, einschließlich:

  • Microsoft Defender for Endpoint

  • CrowdStrike Falcon

  • SentinelOne

  • Sophos

  • Andere Plattformen für den Endpunktschutz

Hinweis: Dies ist kein Fehler in KONNEKT oder in Ihrer AV-Software. Dies ist erwartetes Verhalten, wenn Echtzeit-Scans auf ein ausschließlich online verfügbares Laufwerk angewendet werden. Die Lösung besteht darin, KONNEKT-Pfade von Echtzeit-Scans auszuschließen.

Lösung

Fügen Sie in Ihrem AV-Produkt Ausnahmen für KONNEKT-Laufwerksbuchstaben und Prozesse hinzu. Die genauen Schritte hängen von Ihrer AV-Lösung und der Verwaltungsmethode ab.

Microsoft Defender über Intune (empfohlen)

Wenn Manipulationsschutz über Intune verwaltet wird, müssen Sie Ausnahmen über die Intune Endpoint Security-Richtlinie konfigurieren. PowerShell-Befehle funktionieren nicht, wenn der Manipulationsschutz aktiviert ist.

  1. Öffnen Sie das Microsoft Intune Admin Center

  2. Navigieren Sie zu Endpunktsicherheit > Antivirus

  3. Erstellen oder bearbeiten Sie eine Microsoft Defender Antivirus Richtlinie

  4. Unter Konfigurationseinstellungenfügen Sie Folgendes hinzu:

Pfadausnahmen: fügen Sie jeden KONNEKT-Laufwerksbuchstaben hinzu, den Ihre Organisation verwendet, z. B.:

Prozessausnahmen:

  1. Weisen Sie die Richtlinie den entsprechenden Geräte- oder Benutzergruppen zu

  2. Geben Sie der Richtlinie Zeit, sich mit den Endpunkten zu synchronisieren

Microsoft Defender über PowerShell (Fallback)

Wenn der Manipulationsschutz nicht über Intune verwaltet wird, können Sie PowerShell verwenden:

Wichtig: Ersetzen Sie M:\ und S:\ durch die tatsächlichen Laufwerksbuchstaben, die in Ihrer KONNEKT-Bereitstellung verwendet werden. Wenn Sie automatische Zuordnung verwenden, berücksichtigen Sie, welche Laufwerksbuchstaben Ihren Benutzern zugewiesen werden.

Microsoft Defender - Regeln zur Reduzierung der Angriffsfläche (ASR)

Wenn Sie ASR-Regeln verwenden, beachten Sie auch "Risky action blocked" für zusätzliche für ASR erforderliche KONNEKT-Ausnahmen.

CrowdStrike Falcon

  1. Öffnen Sie das Falcon-Konsole

  2. Navigieren Sie zu Endpunktsicherheit > Präventionsrichtlinien

  3. Unter Machine Learning und / oder Sensor Visibility Exclusionshinzufügen:

Verzeichnisausnahmen: Ihre KONNEKT-Laufwerksbuchstaben (z. B. M:\, S:\)

Prozessausnahmen: Konnekt.exe, KonnektStarter.exe

SentinelOne

  1. Öffnen Sie das SentinelOne Management Console

  2. Navigieren Sie zu Sentinels > Exclusions

  3. Add Path Exclusions für Ihre KONNEKT-Laufwerksbuchstaben

  4. Add Process Path Ausnahmen für:

Andere AV-Produkte

Für jedes andere AV-Produkt konfigurieren Sie die folgenden Ausnahmen in Ihrer Verwaltungsoberfläche für den Endpunktschutz:

Ausnahmetyp
Wert

Pfad / Verzeichnis

Jeder KONNEKT-Laufwerksbuchstabe, z. B. M:\, S:\

Prozess

C:\Program Files\Konnekt\Konnekt.exe

Prozess

C:\Program Files\Konnekt\KonnektStarter.exe

So überprüfen Sie das Problem

Wenn Sie unsicher sind, ob AV-Scans das Problem verursachen, können Sie dies mit den folgenden Schritten überprüfen:

  1. Öffnen Sie die KONNEKT Einstellungen (klicken Sie mit der rechten Maustaste auf das KONNEKT-Symbol im Infobereich)

  2. Setzen Sie Log-Level auf Debug (siehe auch Vorbereitung des Debug-Logs)

  3. Reproduzieren Sie das langsame Verhalten

  4. Suchen Sie im Debug-Log nach wiederholten Einträgen, die Drosselung anzeigen (HTTP-429-Antworten oder Wiederholungsnachrichten) in Zeiträumen, in denen kein Benutzer aktiv mit Dateien arbeitet

Wenn Sie Drosselungseinträge sehen, die in regelmäßigen Abständen oder zu Zeiten auftreten, in denen geplante AV-Scans konfiguriert sind, deutet dies stark darauf hin, dass AV-Scans die Ursache sind.

Empfehlung

Wir empfehlen, AV-Ausnahmen für KONNEKT-Laufwerksbuchstaben und -Prozesse zu konfigurieren bevor Sie KONNEKT an Endanwender bereitstellen. Dadurch werden Drosselungsereignisse während der Einführung verhindert und benutzerseitige Fehler vermieden, die unnötige Support-Tickets erzeugen können.

Im Allgemeinen wird empfohlen, diese Ausnahmen über Intune-Richtlinie oder GPO bereitzustellen, um sicherzustellen, dass sie konsistent auf allen Geräten angewendet werden.

Siehe auch: Offline-Attribut, KONNEKTs integrierter Mechanismus zur Reduzierung der Bandbreitennutzung durch Vorschauen und Indizierung.

Zuletzt aktualisiert

War das hilfreich?