Netzlaufwerke schlechte Performance durch Windows Defender Echtzeitschutz

Knalltuete

Lieutenant
Registriert
Aug. 2006
Beiträge
524
Wir haben vor einiger Zeit ein Active Directory eingeführt. Seitdem ist die Performance beim Schreiben auf Netzlaufwerke merklich schlechter geworden. Als Verursacher der Probleme haben wir den Windows Defender ausfindig machen können. Sobald der Echtzeitschutz aktiviert ist, sinkt die Performance rapide ab.

Getestet wurde mit einem Windows 10 Client mit 1 Gbit/s Verbindung über 1 Switch und per Direktverbindung mit dem NAS. Das Problem lässt sich in beiden Fällen reproduzieren. Als NAS kommt ein Synology DS918+ zum Einsatz.

Getestet wurde mit einem Verzeichnis, in dem sich vorwiegend kleine Dateien befinden:

472 MB, 577 Dateien, 40 Ordner

Einzelne große Dateien sind kein Problem. Diese können mit ca. 115 MB/s geschrieben werden.

Windows Defender Echtzeitschutz aktiviert:
1608195524588.png


Die Schreibrate geht immer hoch und wieder runter. Maximal ca. 8 MB/s.
Der Schreibvorgang hat 2:30 Minuten benötigt.
Ein direkt darauf folgendes Löschen der Dateien löscht 5 Elemente/s.

Windows Defender Echtzeitschutz deaktiviert:
1608195524558.png


Die Schreibrate ist wie erwartet. Maximal ca. 20 MB/s.
Der Schreibvorgang hat 35 Sekunden benötigt.
Ein direkt darauffolgendes Löschen der Dateien löscht 50 Elemente/s.

Wir haben bereits versucht die Netzlaufwerke sowohl über den Laufwerksbuchstaben, als auch über den UNC-Pfad zu den Ausnahmen des Windows Defenders hinzuzufügen. Das brachte leider keine Erfolge.

Eine weitere Auffälligkeit ist, dass der Windows Defender die Netzlaufwerke nur zu scannen scheint, wenn ich einen Domänen-Client verwende. Greife ich über einen Workstation-Client zu, dann ist die Performance wie beim deaktivierten Echtzeitschutz.

Leider kann oder will uns der Microsoft Support nicht weiterhelfen. Wir haben dem Support einige Analyse- und Logdateien zukommen lassen, aber das Ticket wurde mittlerweile wegen Inaktivität geschlossen. Auch unser Systemhaus ist bei dem Problem überfragt. Wir haben testweise einmal den Windows Defender durch eine andere Lösung ersetzt, bei dem das Problem dann nicht mehr auftrat. Allerdings würde diese Geld kosten, was die Geschäftsführung nicht bereit ist zu zahlen. Auch soll kein weiterer Dienst für den Antivirenschutz eingerichtet werden, wenn Microsoft bereits einen mitliefert.

Vielleicht kennt ja jemand das Problem und hat eine Lösung parat. Wir können ja schlecht die einzige Firma mit diesem Problem sein.
 
Ich hatte das Problem (1 Windows PC + eigengebautes NAS) bis gestern ebenfalls. Dann kam ein erneutes Windows-Update (inkl. Defender) und die alte Leistung war wiederhergestellt. Hab nun wieder meine ca. 90-100MB/sec. Während der ca. einer Woche wo das Problem da war, hatte ich ca. 30-40 MB/sec.
 
Knalltuete schrieb:
Allerdings würde diese Geld kosten, was die Geschäftsführung nicht bereit ist zu zahlen.

Aber dann wurde doch damit entschieden, dass eine höhere Geschwindigkeit beim Kopieren von Daten über UNC-Netzwerkverbindungen für das Unternehmen nicht wichtig ist.
Würde das damit dann einfach zu den Akten legen und mich anderen Dingen zuwenden.
 
  • Gefällt mir
Reaktionen: DJDark und LukS
ayngush schrieb:
Aber dann wurde doch damit entschieden, dass eine höhere Geschwindigkeit beim Kopieren von Daten über UNC-Netzwerkverbindungen für das Unternehmen nicht wichtig ist.
Würde das damit dann einfach zu den Akten legen und mich anderen Dingen zuwenden.
Wenn es doch so einfach wäre. Die Geschäftsführung weiß, dass es vor Einführung des AD wesentlich schneller lief und da hatten wir ja auch den Windows Defender im Einsatz. Deshalb sieht die Geschäftsführung es nicht ein Geld auszugeben, denn es hat ja mit der gleichen Software mal korrekt funktioniert.
F1database schrieb:
Ich hatte das Problem (1 Windows PC + eigengebautes NAS) bis gestern ebenfalls. Dann kam ein erneutes Windows-Update (inkl. Defender) und die alte Leistung war wiederhergestellt. Hab nun wieder meine ca. 90-100MB/sec. Während der ca. einer Woche wo das Problem da war, hatte ich ca. 30-40 MB/sec.
Das Problem haben wir jetzt fast 1 Jahr. Daher gehe ich einmal stark davon aus, dass es sich dabei um ein anderes Problem gehandelt hat. Aber ich werde das Update natürlich testen.
 
Egal, wo die Ursache liegt, mit dem AD hat es sicherlich nichts zu tun. Korrelation bedeutet keine Kausalität.
 
  • Gefällt mir
Reaktionen: snaxilian
Knalltuete schrieb:
Wir haben bereits versucht die Netzlaufwerke sowohl über den Laufwerksbuchstaben, als auch über den UNC-Pfad zu den Ausnahmen des Windows Defenders hinzuzufügen. Das brachte leider keine Erfolge.
Lokal am Client ausgeschlossen oder als GPO für den PC konfiguriert und ausgerollt?
Falls ersteres: im AD gewinnt bei widersprüchlichen Einstellungen in der Regel das AD ggü. lokalen Settings.
Falls letzteres: Zieht sich der Client auch korrekt die Einstellungen?
 
Evil E-Lex schrieb:
Egal, wo die Ursache liegt, mit dem AD hat es sicherlich nichts zu tun. Korrelation bedeutet keine Kausalität.
Das stimmt. Aber an was liegt es dann?
Wir haben es mit einem neuen Client getestet, den wir einmal an der Domäne angemeldet haben und einmal nicht. Client und Benutzer haben nur die Standard GPOs bekommen. Dann haben wir jeweils den Datentransfer getestet und konnten immer wieder reproduzieren, dass die Geschwindigkeit zusammenbricht, sobald der Client in der Domäne hängt. Anscheinend verhält sich der Windows Defender anders, sobald der Client in der Domäne hängt.

snaxilian schrieb:
Lokal am Client ausgeschlossen oder als GPO für den PC konfiguriert und ausgerollt?
Falls ersteres: im AD gewinnt bei widersprüchlichen Einstellungen in der Regel das AD ggü. lokalen Settings.
Falls letzteres: Zieht sich der Client auch korrekt die Einstellungen?
Wir haben es sowohl lokal als auch per GPO probiert, mit dem selben Ergebnis, dass es dem Windows Defender egal ist. Der Client zieht auch die korrekten Einstellungen. Die Ausnahmen sind eingetragen, wenn man die Einstellungen des Windows Defenders öffnet.
 
Ich habe gerade einmal "zum Spaß" eine Freigabe auf dem DC angelegt und diese auf dem Client als Netzlaufwerk verbunden. Hier habe ich auch mit Echtzeitschutz die volle Performance.

Von daher hat @Evil E-Lex recht, dass es nicht zwangsläufig am AD liegt.

Aber es scheint als wäre die Freigabe auf dem DC für den Windows Defender vertrauenswürdiger als die Freigabe vom NAS. Unter Systemsteuerung -> Internetoptionen -> Sicherheit -> Intranet -> Sites ist das NAS bzw. die gesamte Domäne über *.lan.domain.tld bereits hinzugefügt.

Gibt es da eventuell noch etwas anderes was es zu beachten gilt?
 
Mal blöd gefragt. Redest du vom Virenschutz auf dem Clients oder auf dem Server?

Virenscanner kosten paar Euro. Und das will der Chef ausgeben?
 
Skywalker27 schrieb:
Mal blöd gefragt. Redest du vom Virenschutz auf dem Clients oder auf dem Server?

Virenscanner kosten paar Euro. Und das will der Chef ausgeben?
Es geht um die Virenscanner auf den Clients. Und ja, die paar Euro möchte er nicht ausgeben.. Für die Zeit die ich mit der Problemsuche und Testen verbracht habe, hätten wir schon einige Lizenzen kaufen können, da wir auch ne ziemlich kleine Firma sind. Aber das wird leider nicht gesehen..
 
Die Idee mit der Trusted Zone kam mir gestern abend auch noch, aber das habt ihr wohl schon.
Und die passt auch von den Einstellungen und wird auf die Rechner (nicht User) angewendet? Hab mal das von uns angehängt.
Das NAS ist aber auch im AD nehme ich an?
 

Anhänge

  • AD_TrustedZone.png
    AD_TrustedZone.png
    57,6 KB · Aufrufe: 378
  • Gefällt mir
Reaktionen: Knalltuete
morcego schrieb:
Die Idee mit der Trusted Zone kam mir gestern abend auch noch, aber das habt ihr wohl schon.
Und die passt auch von den Einstellungen und wird auf die Rechner (nicht User) angewendet? Hab mal das von uns angehängt.
Das NAS ist aber auch im AD nehme ich an?
Das NAS hängt im AD, korrekt. Aber das Anwenden der GPO auf die Computer ist ein guter Punkt, denn ich glaube es wird nur auf die User angewendet. Das werde ich nächste Woche nach den Feiertagen auf jeden Fall einmal prüfen und testen!
 
Die nas ist ja vermutlich ein linux dingens. Gpo ziehen nur bei Windows.
 
@Skywalker27 Was hat das eine mit dem anderen zu tun?^^
Per GPO konfigurierter Defender greift natürlich nur auf Windowssysteme aber sowas wie die AD_TrustedZone in #11 bezieht sich vor allem auf die DNS-Zone und Netzwerkumgebung. Wenn das NAS in der gleichen DNS-Domäne (nicht AD-Domain) ist, sollte es als trusted device anerkannt werden. Ebenso können Linuxsysteme einem AD beitreten und z.B. mit Berechtigungen versehen werden, Stichwort Kerberos.
Ebenso können dann am NAS für Berechtigungen auf Freigaben o.ä. AD-Benutzer verwendet werden anstatt lokale User. Ebenso kann ein Linux, was einem AD beigetreten ist per device enrollment entsprechende Device Certificates von einer Windows- bzw. AD-basierten PKI beziehen wobei das dann schon aufwendiger ist und nicht zwingend mit jedem linux-basierten System möglich ist, vor allem nicht bei solchen vorkonfigurierten Appliances wie ein NAS von der Stange.
Was halt nicht funktioniert ist eine zentrale Konfiguration des Betriebssystems oder Anwendungen auf Linuxsystemen per GPO, dafür gibt es ja zum Glück Ansible, Puppet, Chef und wie sie nicht alle heißen.
 
morcego schrieb:
Die Idee mit der Trusted Zone kam mir gestern abend auch noch, aber das habt ihr wohl schon.
Und die passt auch von den Einstellungen und wird auf die Rechner (nicht User) angewendet? Hab mal das von uns angehängt.
Das NAS ist aber auch im AD nehme ich an?
Ich habe gerade die GPO geprüft und es wird bereits auf die Rechner (Computer) angewendet. Schade.. Ich hatte gehofft, dass es das ist 😕 *

Folgendes ist eingetragen:
WertnameWert
[*]://[*].lan.domain.tld1
[*]://nas.lan.domain.tld1

[*] = * (keine Ahnung wie man die hier escaped)
 
Zuletzt bearbeitet:
Ich hab bei uns nicht den Zugriffstyp definiert, hab nur *.xy.firma.de als Wert drin.
Keine Ahnung ob das einen Unterschied macht.
 
morcego schrieb:
Ich hab bei uns nicht den Zugriffstyp definiert, hab nur *.xy.firma.de als Wert drin.
Keine Ahnung ob das einen Unterschied macht.
Das bringt leider auch nichts, aber trotzdem danke!


Was mir allerdings heute aufgefallen ist: Wenn ich mich mit dem Netzlaufwerk statt über den DNS-Namen mit der IP-Adresse verbinde, dann erhöht sich die Geschwindigkeit. Und das nicht unerheblich.

Der Schreibvorgang hat 1:02 Sekunden benötigt.
Ein direkt darauffolgendes Löschen der Dateien löscht 10 Elemente/s.

Das ist trotzdem noch weit von der normalen Performance entfernt.


Edit:

Ich habe jetzt zum Testen einmal openmediavault in einer VM installiert, in das AD eingebunden und eine Freigabe erstellt. Die Performance ist so wie sie sein soll. Von daher liegt es wohl doch nicht am Windows Defender. Es muss wohl irgendein Problem mit dem Synology NAS sein. Ich werde jetzt ein altes Synology NAS ins Netz hängen und prüfen wie es damit aussieht.
 
Zuletzt bearbeitet: (tests mit openmediavault durchgeführt)
Mittlerweile glaube ich, dass es ein reines Problem von Synology ist. Ich habe gestern Abend noch einen Testaufbau mit einer alten ausrangierten auf Werkseinstellungen zurückgesetzten DS112+ gemacht. Sobald das Gerät in die Domäne eingebunden wird bricht die Datenrate zusammen. Nimmt man das Gerät aus der Domäne raus, dann ist wieder alles in Ordnung.

Was mich stutzig macht ist allerdings, dass es dazu kaum Berichte zu finden gibt. Vereinzelt findet man mal dazu etwas, wo Leute das gleiche Problem haben. Leider ohne Lösung. Ich habe jetzt erst einmal ein Ticket bei Synology erstellt. Mal schauen ob die irgendwie helfen können. Bisher war der Support bei Problemen leider nicht sehr bemüht.

morcego schrieb:
Was hast du denn in der 918 drin? Also Plattentyp und RAID-Modus?
4x Western Digital Red 3TB (WD30EFRX-68N32N0) im RAID 10.
 
Ich hab das eben mal mit 7500 C# Projektdateien auf einer alten DS415+ mit Intel DC s3700 Raid10 getestet, das ging relativ flott.
Ja klar, das kopieren dieser kleinen Dateien ging auch nur mit so etwa 0,5-2MB/s aber das liegt an der Größe.
Deine Platten sind angeblich auch CMR, fällt SMR-Problematik auch weg.
Ich weiß vom Exchange, dass wenn man die alten CU OWA Dateien wegschiebt der Defender auch reingrätscht. Das macht der aber auch bei Windows Updates oder Exchange CU Installationen. Das ist ein interessantes Problem. Ist am Syno noch irgendwas bei den Domänenoptionen eingestellt?

Ich guck mir mal noch unsere DS1618+ mit Platten an was die anstellt. Sind aber Red Pro mit 7.2k rpm im Raid10.

PS: Hmm nee die schafft das sogar noch etwas flotter. In beiden Fällen ist es BTRFS. Netzwerkanbindung? Irgendein Trunking der Ports aktiv? Irgendeine Einstellung wie VLAN im Switch? Priorisierung? Port Mirror? Hamster zu wenig Futter im Laufrad > Stromschwankung? :D Bin auch bisschen überfragt.
 

Anhänge

  • syno_ordnerloeschen.png
    syno_ordnerloeschen.png
    12,2 KB · Aufrufe: 310
  • syno_ordnerloeschen2.png
    syno_ordnerloeschen2.png
    12,9 KB · Aufrufe: 306
Zuletzt bearbeitet:
Zurück
Oben