ni.sch
Goto Top

Netzwerkperfomance und div. Anwendungen langsam

Hallo leidgeprüfte Kolleginnen und Kollegen,

ich ärgere mich seit Tagen mit einem für mich im Moment nicht mehr greifbaren Problem herum (vorab danke fürs Lesen):
(das TCP-Thema von @MysticFoxDE kommt auch noch ;) )

Wir ersetzen seit letzem Jahr unsere Client-PCs in mehreren Schritten.
Die erste Ladung PCs welche letztes Jahr geliefert wurde (div. techn. Daten sind unten) wurden vorinstalliert mit Windows 11 geliefert. Die zweite Ladung kam mit Windows 10 und ich habe diese selber sauber mit Windows 11 neu installiert (normaler Stick per Media Creation Tool).
Diese Rechner (sowohl die vorinstallierten als auch die neu installierten) laufen bisher zur Zufriedenheit der Kollegen - alle freuen sich über mehr Speed face-smile.
Dieses Jahr haben wir die nächste Ladung Rechner beschafft.
Auch diese wurden mit Windows 11 vorinstalliert ausgeliefert.

Ich habe die Rechner wie üblich mit unserer Software vorbereitet und habe letzte Woche den ersten "2023er" DELL-Rechner bei einer Kollegin aufgestellt.
Diese hatte vorher einen älteren, aber im Verhältnis zu den restl. Kollegen besseren Rechner (Fujitsu / i5-4590T / 16GB RAM / 120GB S-ATA SSD / Win 10 / Intel i217 NIC).

Nun habe ich die Kollegin gefragt ob sie (analog der anderen Kollegen) trotz ihres vorherigen Rechners schon Verbesserungen gespürt hat.
Sie sagte drauf dass eine unserer Fachanwendungen (Finanzsoftware an einer Progress-Datenbank) für sie langsamer ist als vorher.
Da sie mit ein paar anderen Kollegen genau diese Anwendung am intensivsten nutzt habe ich das natürlich ernst genommen und mir zeigen lassen wie genau sich das bemerkbar macht.
Allein der Start der Anwendung, vom Klick auf das Symbol bis zum Erscheinen des Logins (mit div. vorhergehenden Splashscreens) dauert 30-35 Sekunden. Gerade nach dem Rechnerstart ist es am schlimmsten.
Wenn sie dann im Programm Daten laden möchte (z.B. aus einem angebundenen DMS) dauert das 5-15 Sekunden.
Der Rechner ihrer Kollegin gegenüber ist ein "2022er" DELL und startet das Programm in 6-10 Sekunden und auch das Öffnen von Dokumenten dauert 2 bis maximal 5 Sekunden.
Auch an meinem Rechner (der 2022er mit i5) sind die Zeiten wie die des 2022er der Kollegin.

Also habe ich an dem langsamen Rechner erstmal geschaut ob ich bei Intel für die NIC neuere Treiber bekomme als DELL sie anbietet - das ist nicht der Fall. Die Rechner beider Kolleginnen hängen an dem gleichen Desktopswitch an einer Gigabit-Verbindung zu einem unserer "Hauptswitches" - dazu unten mehr.
Der nächste Schritt war einen weiteren Rechner in meinem Büro zu prüfen um die Netzwerkverbindung auszuschliessen (was ich bezweifelt habe, denn der Rechner der zweiten Kollegin läuft ja an der gleichen Verbindung sauber) - aber testen ist besser als glauben.
Auch in meinem Büro zeigt der weitere Rechner das selbe Verhalten.
Ich dachte nun dass evtl. die Vorinstalltion von DELL nicht perfekt ist und habe noch einen anderen DELL-Rechner neu installiert (mit selbigem MCT-Stick mit welchem auch die 2022er installiert wurden) um eben die Installation auszuschließen. Was soll ich sagen, auch der Rechner ist so langsam.
Der nächste Schritt war einen neuen Terra-PC zu testen - mit der Herstellervorinstallation. Auch dieser war so langsam. Und zu guter Letzt, habe ich meinen PC noch am Netzwerkanschluss der Test-PCs probiert um auch das noch auszuschließen - mein Rechner läuft an allen Stellen so schnell wie die anderen 2022er Rechner.

Mir kam dann die TCP-Murks-Thematik von @MysticFoxDE in den Sinn. Also habe ich sein Script über die Rechner laufen lassen (auch über meinen) und konnte die Zeiten an den neuren Rechnern tatsächlich etwas verbessern - wenn auch inkonsistent. Die Zeiten schwanken jetzt zwischen 15-25 Sekunden zum Start, je nach Rechner. Nur an meinem Rechner hat es sich nicht verbessert, aber der hat ja an sich auch kein Problem. Die Benutzeranmeldungen an den Rechnern spielen auch keine Rolle, auch nicht an der Finanzsoftware.

Für mich kristallisieren sich irgendwie die Intel-NICs als Favorit für die Fehlerquelle heraus, da sie eine Gemeinsamkeit zwischen den neuen DELLs und den TERRAs sind - sicher bin ich mir aber nicht.
Ich habe deshalb einen USB3.0 Ethernetadapter von Lenovo an einem der Rechner getestet. Dieser hat auch einen Realtekchipsatz, zeigt aber das gleiche langsame Verhalten. Um sicher zu gehen, habe ich mit deaktivierter OnBoard-NIC das Script von MysticFoxDE nochmal laufen lassen um den USB-Adpter zu optimieren. Das brachte aber auch nichts - hat so aber vllt. auch nicht geklappt.

Nun seid ihr dran: Vorschläge, Ideen, Lösungen ???? face-smile

Hier die tech. Daten:

Rechner:
2022: DELL Vostro mit i3-12100 / 8GB RAM DDR4-3200 / 256GB NVMe SSDs (WD SN740 & Kioxia) / Realtek NICs (RTL8111HSD)
2022: DELL Vostro mit i5-12400 / 16GB RAM DDR4-3200 / 512GB NVMe SSD (Micro 2210S) / Realtek NIC (RTL8111HSD)

2023: DELL Optiplex mit i3-13100 / 8GB RAM DDR4-3200 / 256GB NVMe SSDs (Samsung PM9B1) / Intel i219-LM NICs
2023: Terra BTO mit i3-12100 / 8GB RAM / 250GB NVMe SSDs / Intel i219-V NICs

Alle Rechner laufen mit Windows 11 22H1/22H2

Umgebung (nur zur Info - vermutlich nicht am Problem beteiligt bzw. ursächlich dafür):
neuer VMWare-Host (ESXi 8) Wortmann (Intel Barebone M50CYP2UR208) mit
2x Xeon Gold 6346 / 384GB RAM / 4x 7,68TB NVMe SSDs RAID10 für die VMs an einem MegaRAID 9560-16i &
2x 240GB S-ATA SSD RAID1 für den ESX / Intel X550-T2G1 mit 2x RJ45 10GBit

Unser Netzwerk besteht (leider noch) aus alten Switches und ein paar neuen Desktop-Switches - bitte nicht schimpfen @aqui face-wink.
Der Host hängt an einem ZyXEL XGS1250-12 und dieser per LAG mit 4x 1GBit an einem HP ProCurve 2510G-48. An dem HP hängt ein weiterer ProCurve 2510G-24 und ein Netgear GS724Tv3.
Wenn denn mal unsere Gebäudeverkabelung erneuert wird, kommen auch neue Switches. Diesmal sogar je Etage face-smile
Das ist auch der Grund für div. Desktopswitches - zu wenige Kabel.

Nochmals danke für's lesen.

Viele Grüße,
Nico

Content-ID: 7813883875

Url: https://administrator.de/forum/netzwerkperfomance-und-div-anwendungen-langsam-7813883875.html

Ausgedruckt am: 22.12.2024 um 03:12 Uhr

LauneBaer
LauneBaer 11.07.2023 aktualisiert um 14:02:09 Uhr
Goto Top
Hi,

kurz 2 Ideen: Kabel tauschen und den Desktop Switch der Kollegin mal rausnehmen und das Kabel vom "Haupt" Switch direkt an dem betroffenen Rechner hängen und nochmal testen.

Grüße
ni.sch
ni.sch 11.07.2023 um 14:07:00 Uhr
Goto Top
Danke für die Anwort, aber da ja auch andere Rechner an anderen Stellen des Netzwerkes (bei mir im Büro) das gleiche machen, würde ich den Switch ausschliessen.

Ich teste es dennoch wenn ich die Kolleginnen stören kann.
aqui
aqui 11.07.2023 aktualisiert um 14:50:14 Uhr
Goto Top
Ob es die Netzwerk Infrastruktur an sich ist bekommst du ja kinderleicht mit einem simplen iPerf3 Test heraus einmal mit TCP und UDP Framing! face-wink
Idealerweise machst du das einmal auf deinen Gerätschaften mit einem Linux Live System (Ubuntu, Knoppix etc.) was du vom USB Stick gebootet hast um die ganze Winblows Problemtik per se sicher auszuschliessen.
Den zweiten iPerf3 Test machst du dann unter deiner Winblows Version.

Wenn du in der Linux Variante Wirespeed erreichst kannst du die Infrastruktur entweder mit oder ohne Desktopswitch an sich schon mal sicher ausschliessen.
Bei der Windows Variante wäre im Fall von iPerf3 Wirespeed die Infrastruktur sowieso raus aber auch die NIC und ihr Treiber und der Buhmann dann die Anwendung an sich.

Verwunderlich das du diese banalen Tests nicht schonmal vorab gemacht hast um überhaupt erstmal grob und verlässlich sagen zu können was du als Verursacher ausschliessen kannst und was nicht. Das würde doch die zielführende Suche deutlich erleichtern und die irrlichternde Kristalkugelei stoppen?!
Auf solche nun wirklich einfachen Tests mit strategischer Vorgehensweise kommt man eigentlich auch mit dem gesunden IT Verstand und ohne Forum drauf. face-wink
ni.sch
ni.sch 11.07.2023 um 14:20:59 Uhr
Goto Top
Das wollte ich tatsächlich machen, aber nicht im laufenden Betrieb .... und habe es dann tatsächlich wieder vergessen :D hole ich nach!
aqui
aqui 11.07.2023 aktualisiert um 14:46:44 Uhr
Goto Top
und habe es dann tatsächlich wieder vergessen
Dann ist diese "Problematik" ja scheinbar wohl auch nicht wirklich wichtig genug?! 🤔
skarfield
skarfield 11.07.2023 um 15:47:59 Uhr
Goto Top
was für Virenscanner?
ni.sch
ni.sch 11.07.2023 aktualisiert um 16:41:50 Uhr
Goto Top
Zitat von @aqui:

und habe es dann tatsächlich wieder vergessen
Dann ist diese "Problematik" ja scheinbar wohl auch nicht wirklich wichtig genug?! 🤔

Doch doch, das ist sie.
Ist mir in den ganzen anderen Tests aber dummerweise untergegangen - ich ärgere mich gerade selber darüber es vergessen zu haben.
Ich habe jetzt auf dem Host eine Linux-VM eingerichtet und von zwei der Problemclients und zwei "guten" aus an unterschiedlichen Netzwerkstandorten, sprich Büros die Tests aus Windows heraus gemacht (ging im Moment schneller als die Kisten jetzt in einem Livesystem zu booten - will ich aber dennoch bei Gelegenheit kurzfristig testen).

Der "gute" Rechner der einen Kollegin (direkt am Desktopswitch, also am "kompletten" Weg) schaft 944Mbit im Schnitt TCP sauber und 948Mbit UDP mit geringen Lost Datagrams. Jitter liegt bei 0.025ms.

Der Problemrechner im gleichen Raum - am selben Switch - macht 921Mbit TCP und 862Mbit UDP ohne lost Datagrams. Jitter ist 0.026ms

Mein Rechner macht (direkt am 48er HP Switch) 949Mbit TCP und 948Mbit UDP.
Zweiter Problemrechner in meinem Büro (mit Desktopswitch) macht im Windows 928Mbit TCP und 867Mbit UDP, Jitter 0.023ms.
Mit einem Live-Ubuntu sind es 930Mbit TCP und 950MBit UDP Sender / 945 MBit UDP Receiver mit einigen Lost Datagrams.

Sieht also erst mal so aus, als wäre die physische Infrastruktur ok.

Edit: Die lost Datagrams kommen sicher von den 1000M Bandbreite welche ich mit übergeben habe. Der Host ist ja mit 10G angebunden, packt das also, die Clients schaffen eben nicht ganz 1000Mbit.

Edit2: Auch der Test zum "Finanzserver" von meinem PC zeigt 949Mbit TCP und 941Mbit UDP.
Edit3: Von der betroffenen Kollegin aus sind es "nur" noch 905Mbit TCP und 800Mbit UDP - aber natürlich wird derzeit auf dem Server auch gearbeitet - ist ist also nur eine Orientierung.


Zitat von @skarfield:

was für Virenscanner?

Securepoint AV Pro - die Laufwerke/Ordner der Finanzsoftware sind ausgeschlossen.
Auf dem neu installierten Rechner lief zum Test auch nur der Defender.
skarfield
skarfield 11.07.2023 um 16:33:51 Uhr
Goto Top
Defender deaktiviert?
DB Prozesse in Securepoint ausgeschlossen?
ni.sch
ni.sch 11.07.2023 um 16:39:01 Uhr
Goto Top
Zitat von @skarfield:

Defender deaktiviert?
DB Prozesse in Securepoint ausgeschlossen?

Jep, Defender ist aus.
Alle Clients bekommen auch das gleiche Profil im Securepoint, also mit den entsprechenden Ausschlüssen etc.
aqui
aqui 11.07.2023 aktualisiert um 18:02:16 Uhr
Goto Top
Ich habe jetzt auf dem Host eine Linux-VM eingerichtet
Nicht besonders intelligent zum testen! face-sad
Eine VM muss den Netzwerktraffic durch diverse vSwitches und virtuelle NICs und damit Softwareschichten quälen die ein Messergebnis massiv ins Negative verfälschen.
Damit hast du dir einen Bärendienst erwiesen und vergleichst dann letztendlich Äpfel mit Birnen und führts so einen test völlig ad absurdum denn das ist ja nicht die Realtität.
Wohlmöglich rennt die VM dann auch noch auf dem o.a. verwarzten Winblows.
Das diese Vorgehensweise wenig logisch und zielführend ist weiss auch ein Laie. face-sad

Völlig unverständlich warum du mit dem Livesystem nicht direkt auf dem betroffenen Rechner testest. Aber den Grund kennst vermutlich nur du selber?! face-sad
schaft 944Mbit im Schnitt TCP sauber und 948Mbit UDP mit geringen Lost Datagrams. Jitter liegt bei 0.025ms.
Mit Schafen hat das zwar wenig zu tun aber das wäre trotz des VM Overheads ja Wirespeed mit beiden OS. Sprich OS und die NICs bzw. deren Treiber sowie die Netzwerk Infrastruktur selber kannst du dann also von der Liste der Verdächtigen streichen!
Sieht also erst mal so aus, als wäre die physische Infrastruktur ok.
So ist es! Nicht nur die sondern auch OS und NICs an sich, denn die Werte sind ja annähernd überall gleich.
die Clients schaffen eben nicht ganz 1000Mbit.
Das ist bei Ethernet auch bekanntlich vollkommen normal.

Bleibt also nur die Applikation in Zusammenarbeite mit dem OS oder Wechselwirkungen mit anderer Software. 10 Threads die man sich im Vorwege hätte sparen können... face-wink
Vision2015
Vision2015 11.07.2023 um 19:22:11 Uhr
Goto Top
Moin...
Zitat von @ni.sch:

Zitat von @skarfield:

Defender deaktiviert?
DB Prozesse in Securepoint ausgeschlossen?
glaubst du....

Jep, Defender ist aus.
aus reicht nicht... bitte einmal die rolle defender runterwerfen.
Alle Clients bekommen auch das gleiche Profil im Securepoint, also mit den entsprechenden Ausschlüssen etc.
auch da... Securepoint bitte zum Test runterwerfen!

Frank
ni.sch
ni.sch 11.07.2023 um 19:26:25 Uhr
Goto Top
Zitat von @aqui:

Ich habe jetzt auf dem Host eine Linux-VM eingerichtet
Nicht besonders intelligent zum testen! face-sad
Eine VM muss den Netzwerktraffic durch diverse vSwitches und virtuelle NICs und damit Softwareschichten quälen die ein Messergebnis massiv ins Negative verfälschen.

Das mehr Schichten zu durchdringen sind ist mir klar, aber es war ein "schnell" zu machender Test, welcher die Kollegen erstmal nicht weiter stört. Ich gehe auch davon aus dass VMware in Grundzügen weiss was sie tun und es daher nicht zu extrem schlechteren Ergebnissen durch die VM gekommen wäre. Und hätten die Ergebnisse nicht gepasst, hätte ich den Test außerhalb der Arbeitszeit mit zwei rein physischen Rechnern (der betroffene und eben ein weiterer, auch mit einem Live-Linux) wiederholen können. Ich wollte jetzt erstmal schnell Ergebnisse liefern können um mehr Input zu liefern.

Damit hast du dir einen Bärendienst erwiesen und vergleichst dann letztendlich Äpfel mit Birnen und führts so einen test völlig ad absurdum denn das ist ja nicht die Realtität.
Wohlmöglich rennt die VM dann auch noch auf dem o.a. verwarzten Winblows.

Nein. Eben auf dem VMware-Host. Vllt habe ich mich mit nur "Host" unglücklich ausgedrückt, ich meinte den eingangs erwähnten ESX. Aber ja, auf diesem läuft auch die VM mit der Softwareanwendung.

Das diese Vorgehensweise wenig logisch und zielführend ist weiss auch ein Laie. face-sad

Ganz so extrem sehe ich das nicht, siehe ein paar Zeilen weiter oben.


Völlig unverständlich warum du mit dem Livesystem nicht direkt auf dem betroffenen Rechner testest.
Aber den Grund kennst vermutlich nur du selber?! face-sad

Aus Zeitgründen um die Kollegin eben erstmal nur 20 Sekunden von der Arbeit abzuhalten indem ich vom betroffenen Rechner den iperf gegen die Linux-VM teste. Oder reden wir aneinander vorbei?

schaft 944Mbit im Schnitt TCP sauber und 948Mbit UDP mit geringen Lost Datagrams. Jitter liegt bei 0.025ms.
Mit Schafen hat das zwar wenig zu tun aber das wäre trotz des VM Overheads ja Wirespeed mit beiden OS.
Du Fuchs face-wink ja netter Typo.
Sprich OS und die NICs bzw. deren Treiber sowie die Netzwerk Infrastruktur selber kannst du dann also von der Liste der Verdächtigen streichen!
Sieht also erst mal so aus, als wäre die physische Infrastruktur ok.
So ist es! Nicht nur die sondern auch OS und NICs an sich, denn die Werte sind ja annähernd überall gleich.
die Clients schaffen eben nicht ganz 1000Mbit.
Das ist bei Ethernet auch bekanntlich vollkommen normal.

Eben.


Bleibt also nur die Applikation in Zusammenarbeite mit dem OS oder Wechselwirkungen mit anderer Software. 10 Threads die man sich im Vorwege hätte sparen können... face-wink

Ich kann mich nur wiederholen: ich ärgere mich selbst genug über das Vergessen. Sei also nicht so streng face-wink

Und ein paar Sätze/Worte mehr zu schreiben halte ich auch für OK - einfach damit auch jemand der nicht immer gleich alles vor Auge hat, mit so einem Thema später u.U. etwas anfangen kann. Auch wenn hier nur Profis unterwegs sind face-smile :-P
ni.sch
ni.sch 11.07.2023 aktualisiert um 19:39:51 Uhr
Goto Top
Zitat von @Vision2015:

Moin...
Zitat von @ni.sch:

Zitat von @skarfield:

Defender deaktiviert?
DB Prozesse in Securepoint ausgeschlossen?
glaubst du....

Jep, Defender ist aus.
aus reicht nicht... bitte einmal die rolle defender runterwerfen.
Alle Clients bekommen auch das gleiche Profil im Securepoint, also mit den entsprechenden Ausschlüssen etc.
auch da... Securepoint bitte zum Test runterwerfen!

Frank

Auf dem neuinstallierten Rechner hatte ich SP nicht installiert und im Defender die Überwachung(en) ausgeschaltet. Ist das immer noch so, dass "aus" nicht aus ist? Dann teste ich das am Donnerstag nochmal.

Edit: Auf dem Server der Finanzsoftware ist der Defender nicht, da noch Server2012R2, wird in den nächsten Wochen umgezogen. Mal sehen ob dann die nächsten Probleme kommen face-smile
Vision2015
Vision2015 11.07.2023 um 19:58:40 Uhr
Goto Top
Moin
Zitat von @ni.sch:

Zitat von @Vision2015:

Moin...
Zitat von @ni.sch:

Zitat von @skarfield:

Defender deaktiviert?
DB Prozesse in Securepoint ausgeschlossen?
glaubst du....

Jep, Defender ist aus.
aus reicht nicht... bitte einmal die rolle defender runterwerfen.
Alle Clients bekommen auch das gleiche Profil im Securepoint, also mit den entsprechenden Ausschlüssen etc.
auch da... Securepoint bitte zum Test runterwerfen!

Frank

Auf dem neuinstallierten Rechner hatte ich SP nicht installiert und im Defender die Überwachung(en) ausgeschaltet. Ist das immer noch so, dass "aus" nicht aus ist? Dann teste ich das am Donnerstag nochmal.
jo... ist so!

Edit: Auf dem Server der Finanzsoftware ist der Defender nicht, da noch Server2012R2, wird in den nächsten Wochen umgezogen. Mal sehen ob dann die nächsten Probleme kommen face-smile
wir reden aber schon von SMB 2/3 oder?

Frank
ni.sch
ni.sch 11.07.2023 um 20:39:58 Uhr
Goto Top
Ja, tun wir face-smile
ni.sch
ni.sch 13.07.2023 um 09:34:44 Uhr
Goto Top
Zitat von @Vision2015:

Moin
Zitat von @ni.sch:

Zitat von @Vision2015:

Moin...
Zitat von @ni.sch:

Zitat von @skarfield:

Defender deaktiviert?
DB Prozesse in Securepoint ausgeschlossen?
glaubst du....

Jep, Defender ist aus.
aus reicht nicht... bitte einmal die rolle defender runterwerfen.
Alle Clients bekommen auch das gleiche Profil im Securepoint, also mit den entsprechenden Ausschlüssen etc.
auch da... Securepoint bitte zum Test runterwerfen!

Frank

Auf dem neuinstallierten Rechner hatte ich SP nicht installiert und im Defender die Überwachung(en) ausgeschaltet. Ist das immer noch so, dass "aus" nicht aus ist? Dann teste ich das am Donnerstag nochmal.
jo... ist so!

Edit: Auf dem Server der Finanzsoftware ist der Defender nicht, da noch Server2012R2, wird in den nächsten Wochen umgezogen. Mal sehen ob dann die nächsten Probleme kommen face-smile
wir reden aber schon von SMB 2/3 oder?

Frank

Guten Morgen,

ich habe jetzt auf einem der Rechner Securepoint deinstalliert und den Defender per GPO deaktiviert.
Leider hat das keine Änderung/Verbesserung gebracht. Auch in der Windowsfirewall habe ich zum Test mal alle Ports ausgehend frei gemacht - auch wenn es sehr unwahrscheinlich ist das dort was wäre, ändert auch nichts.

Ich habe jetzt auch mal noch weitere Programme getestet, welche sich zumindest zum gleichen Datenbankserver, aber einer anderen Datenbank verbinden. Auch diese Programme sind langsamer. Komisch ist halt nur, dass die "älteren" Rechner von 2022 beim gleichen Server (es gibt nur den einen für diese Datenbanken) diese Probleme ja nicht haben. Auch zeitgleich nicht.

Ich habe auch die Kernisolierung im Win 11 mal deaktiviert - keine Änderung.
MysticFoxDE
MysticFoxDE 13.07.2023 aktualisiert um 10:47:01 Uhr
Goto Top
Moin Nico,

Mir kam dann die TCP-Murks-Thematik von @MysticFoxDE in den Sinn. Also habe ich sein Script über die Rechner laufen lassen (auch über meinen) und konnte die Zeiten an den neuren Rechnern tatsächlich etwas verbessern - wenn auch inkonsistent. Die Zeiten schwanken jetzt zwischen 15-25 Sekunden zum Start, je nach Rechner.

das freut mich zu hören, respektive zu lesen. 😁

Für mich kristallisieren sich irgendwie die Intel-NICs als Favorit für die Fehlerquelle heraus, da sie eine Gemeinsamkeit zwischen den neuen DELLs und den TERRAs sind - sicher bin ich mir aber nicht.

Nein, die Intel NIC ist es nicht. 😉

Nun seid ihr dran: Vorschläge, Ideen, Lösungen ???? face-smile
Alle Rechner laufen mit Windows 11 22H1/22H2

🤔 ... das riecht für mich nach dem Phishingschutz, der bei W11 seit 22H2 aktiviert wurde.
Dieser verursacht bei jeglichem Datenverkehr, also auch beim Intranetdatenverkehr (🤢🤮), einen extremen CPU-Overhead. 😔

Schalte mal diesen testweise aus.
w11-phishingprotection


Gruss Alex

P.S. Dieser bescheuerte MS-Phishingschutz läuft übrigens unabhängig vom Defender. Sprich, dieser ist auch dann aktiv, wenn der Defender deaktiviert wurde. 😭
Und auch wenn man eine andere AV-Lösung mit eigenem Phishingschutz einsetzt, bleibt der MS-Phishingschutz meiner bisherigen Erfahrung nach, trotzdem aktiv. 🙈😡
MysticFoxDE
MysticFoxDE 13.07.2023 um 10:38:55 Uhr
Goto Top
Moin Frank,

aus reicht nicht... bitte einmal die rolle defender runterwerfen.

😯 ... wie kann man den bei einem W10 oder W11 die Defender Rolle deinstallieren?

Gruss Alex
skarfield
skarfield 13.07.2023 um 12:24:52 Uhr
Goto Top
Bei SQL Servern hat das deaktivieren von IPv6 (sofern nicht benötigt) geholfen
Quelle: https://think.unblog.ch/windows-ipv4-anstatt-ipv6/
auf Server und Clients durchgeführt
ni.sch
ni.sch 13.07.2023 um 12:55:56 Uhr
Goto Top
Zitat von @MysticFoxDE:

Moin Nico,

Mir kam dann die TCP-Murks-Thematik von @MysticFoxDE in den Sinn. Also habe ich sein Script über die Rechner laufen lassen (auch über meinen) und konnte die Zeiten an den neuren Rechnern tatsächlich etwas verbessern - wenn auch inkonsistent. Die Zeiten schwanken jetzt zwischen 15-25 Sekunden zum Start, je nach Rechner.

das freut mich zu hören, respektive zu lesen. 😁

Das glaube ich face-smile Es gibt aber auch Rechner bei denen es im konkreten Fall nichts bringt.

Für mich kristallisieren sich irgendwie die Intel-NICs als Favorit für die Fehlerquelle heraus, da sie eine Gemeinsamkeit zwischen den neuen DELLs und den TERRAs sind - sicher bin ich mir aber nicht.

Nein, die Intel NIC ist es nicht. 😉

Nun seid ihr dran: Vorschläge, Ideen, Lösungen ???? face-smile
Alle Rechner laufen mit Windows 11 22H1/22H2

🤔 ... das riecht für mich nach dem Phishingschutz, der bei W11 seit 22H2 aktiviert wurde.
Dieser verursacht bei jeglichem Datenverkehr, also auch beim Intranetdatenverkehr (🤢🤮), einen extremen CPU-Overhead. 😔

Schalte mal diesen testweise aus.
w11-phishingprotection

Gruss Alex

P.S. Dieser bescheuerte MS-Phishingschutz läuft übrigens unabhängig vom Defender. Sprich, dieser ist auch dann aktiv, wenn der Defender deaktiviert wurde. 😭
Und auch wenn man eine andere AV-Lösung mit eigenem Phishingschutz einsetzt, bleibt der MS-Phishingschutz meiner bisherigen Erfahrung nach, trotzdem aktiv. 🙈😡

Habe ich jetzt mal auf einem Rechner deaktiviert - ändert leider nichts.
Es ist an den älteren DELL-Rechnern auch aktiv und hat auf diesen vermeintlich keinen Einfluss.

Gruss
Nico
MysticFoxDE
MysticFoxDE 13.07.2023, aktualisiert am 14.07.2023 um 09:08:23 Uhr
Goto Top
Moin Nico,

Habe ich jetzt mal auf einem Rechner deaktiviert - ändert leider nichts.
Es ist an den älteren DELL-Rechnern auch aktiv und hat auf diesen vermeintlich keinen Einfluss.

OK, dann liegt das Problem wohl woanders.
Las mal sowohl über einen Rechner der das Problem aufweist, als auch über einen ohne, den Passmark Performance-Test bitte drüber laufen ...
https://www.passmark.com/products/performancetest/download.php
... und vergleiche anschliessend die Ergebnisse gegeneinander.

Wichtig beim Vergleichen ist die CPU Leistung, vor allem Single-Thread und auch die RAM Performance.
Siehst du da gravierende Unterschiede, also, dass der alte Rechner bei irgend einer Kategorie leistungsfähiger ist?

Hast du bei den neuen Rechner schon mal versucht die Energieoptionen auf Hochleistung zu stellen?
(Sowohl OS als auch BIOS seitig.)

Beste Grüsse aus BaWü
Alex
MysticFoxDE
MysticFoxDE 13.07.2023 aktualisiert um 14:52:40 Uhr
Goto Top
Moin Nico,

kannst du den iPerf Test bitte mit den folgenden Parametern wiederholen.

iperf3.exe -c xxx.xxx.xxx.xxx -l 2k -P 1 -t 30

Sind die Ergebnisse zwischen den Rechner dann immer noch +- gleich?

Gruss Alex
ni.sch
ni.sch 14.07.2023 um 13:22:49 Uhr
Goto Top
Zitat von @MysticFoxDE:

Moin Nico,

Habe ich jetzt mal auf einem Rechner deaktiviert - ändert leider nichts.
Es ist an den älteren DELL-Rechnern auch aktiv und hat auf diesen vermeintlich keinen Einfluss.

OK, dann liegt das Problem wohl woanders.
Las mal sowohl über einen Rechner der das Problem aufweist, als auch über einen ohne, den Passmark Performance-Test bitte drüber laufen ...
https://www.passmark.com/products/performancetest/download.php
... und vergleiche anschliessend die Ergebnisse gegeneinander.

Wichtig beim Vergleichen ist die CPU Leistung, vor allem Single-Thread und auch die RAM Performance.
Siehst du da gravierende Unterschiede, also, dass der alte Rechner bei irgend einer Kategorie leistungsfähiger ist?

Hast du bei den neuen Rechner schon mal versucht die Energieoptionen auf Hochleistung zu stellen?
(Sowohl OS als auch BIOS seitig.)

Beste Grüsse aus BaWü
Alex

Hi Alex,

ich habe jetzt fünf Rechner gebencht - kurz gesagt - würde ich meinen - sind alle Ergebnisse ok.
Die 2023er Rechner sind minimal schneller, was normal/richtig sein dürfte, da die CPUs minimal höher takten können.
Vergleich Intel Arc

1. Der der ersten betroffenen Kollegin (2023er DELL).
Ausbalanciert Höchstleistung

2. Den der Kollegin gegenüber (2022er DELL - läuft schnell)
Nur Ausbalanciert

3. Problemrechner der bei mir zum Testen steht
Ausbalanciert Höchstleistung

4. Der alte Rechner der "ersten Problemkollegin" (Fujitsu Q920 SFF)
Ausbalanciert Höchstleistung

5. Mein Rechner (2022er DELL mit etwas besserer Ausstattung)
Ausbalanciert Höchstleistung


Zitat von @MysticFoxDE:

Moin Nico,

kannst du den iPerf Test bitte mit den folgenden Parametern wiederholen.

iperf3.exe -c xxx.xxx.xxx.xxx -l 2k -P 1 -t 30

Sind die Ergebnisse zwischen den Rechner dann immer noch +- gleich?

Gruss Alex

Auch hier laufen die Tests +- normal durch.

- Der Problemrechner bei der Kollegin schwankte beim Test minmal mehr als die anderen, von 884 bis 920 Mbit (Schnitt von 912Mbit)
(es ist aber auch noch Arbeitszeit - also könnte die Verbindung in dem Moment auch durch andere Kollegen etwas beeinflusst gewesen sein).

- Rechner der Kollegin gegenüber 928-931 (Schnitt 929)
- Problemrechner in meinem Büro: 891 - 921 (Schnitt 917)
- Der alte Rechner der Problemkollegin (jetzt in meinem Büro) 891 - 921 (Schnitt 916)
- Mein Rechner konstante 929Mbit.


Gestern kam aber eine neue (wenn auch nicht problemlösende) Erkenntnis/Information hinzu.
Ich habe einer weiteren Kollegin einen der neuen Rechner hingestellt, damit diese die Leistung in einem anderen Programm, welches den gleichen DB-Server nutzt bewertet. Auf die Erklärung zum Hintergrund, sagte sie mir, dass das Finanzprogramm auf Ihrem alten Rechner auch langsam ist. Dieser Rechner ist der selbe Fujitsu wie der der ersten Kollegin mit Problemem.
Also habe ich dort mal die Zeit gestoppt und es stimmt 30-35 Sekunden, wie bei den neuen DELLs. Auf dem dann hingestellten 2023er DELL wie zu erwarten das gleiche, teilweise auch noch wenige Sekunden langsamer (auch mit deinem Script).
Ihr gegenüber sitzt eine Kollegin die einen 2022er DELL hat. Also auch hier die Tests gemacht: beide Programme starten in unter 8 Sekunden.

Es sind also scheinbar doch nicht nur die ganz neuen Rechner, sondern auch ältere, nur kam bisher nie eine Information über die Leistungsprobleme zu mir........

Gemeinsamtkeit der 2023er DELLs und der Fujitsus: Intel NICs - ich weiss das wollt ihr nicht hören face-wink (ich eigtl. auch nicht :D)

Ich werde also versuchen an sovielen Rechnern wie möglich die Sache mal zu bewerten um weitere Gemeinsamkeiten zu erkennen / zu finden......
ni.sch
ni.sch 14.07.2023 um 13:38:47 Uhr
Goto Top
Zitat von @skarfield:

Bei SQL Servern hat das deaktivieren von IPv6 (sofern nicht benötigt) geholfen
Quelle: https://think.unblog.ch/windows-ipv4-anstatt-ipv6/
auf Server und Clients durchgeführt

Ganz überlesen - sorry.
IPv6 ist deaktiviert - ich teste das.
Datenreise
Datenreise 15.07.2023 um 13:14:45 Uhr
Goto Top
Baue doch einfach testweise in einen der neuen (Micro-)Tower eine Netzwerkkarte mit anderem Chip ein. Broadcom z.B..

Ganz simpel könntest Du auch zusätzlich mal über den Explorer eine große Datei im Netzwerk hin- und herkopieren, vielleicht gibt es dabei schon Auffälligkeiten, die iPerf verborgen bleiben.

Mal mit dem Hersteller der Anwendung Kontakt aufzunehmen, schadet auch nichts. Sicherlich gibt es innerhalb der Software Analyse-Möglichkeiten oder Logs, die helfen, das Problem einzugrenzen.

Und noch eine vierte Idee: Fragt Eure Software beim Start vielleicht über's Netzwerk erst einmal Lizenzinformationen ab, bevor sie mit dem Laden der Datenbank beginnt?
--> Sollte sich leicht über den Taskmanager auslesen lassen, der Hersteller kann es natürlich präzise beantworten.
ni.sch
ni.sch 15.07.2023 um 13:42:34 Uhr
Goto Top
Zitat von @Datenreise:

Baue doch einfach testweise in einen der neuen (Micro-)Tower eine Netzwerkkarte mit anderem Chip ein. Broadcom z.B..

Ganz simpel könntest Du auch zusätzlich mal über den Explorer eine große Datei im Netzwerk hin- und herkopieren, vielleicht gibt es dabei schon Auffälligkeiten, die iPerf verborgen bleiben.

Mal mit dem Hersteller der Anwendung Kontakt aufzunehmen, schadet auch nichts. Sicherlich gibt es innerhalb der Software Analyse-Möglichkeiten oder Logs, die helfen, das Problem einzugrenzen.

Und noch eine vierte Idee: Fragt Eure Software beim Start vielleicht über's Netzwerk erst einmal Lizenzinformationen ab, bevor sie mit dem Laden der Datenbank beginnt?
--> Sollte sich leicht über den Taskmanager auslesen lassen, der Hersteller kann es natürlich präzise beantworten.

Ich hatte an einem der Rechner ja bereits eine USB3.0 NIC mit Realtek-Chip dran. Lief genauso langsam - was natürlich meine Theorie mit den Intel-NICs widerlegt. Kopieren großer Dateien läuft auch an den Problemrechnern mit 110-115MB/s. Ein Ticket beim Softwarehersteller ist seit Freitag offen.
aqui
aqui 15.07.2023 aktualisiert um 13:56:55 Uhr
Goto Top
110-115MB/s ~920 Mbit/s was zumindestens ja für einen Gigabit Anschluss ein sehr guter Wert ist.
Ohne das man weiss wie und wo der Server und wie und wo der Client für diese Messung angeschlossen ist, sind diese Infos wenig zielführend. Ebenso wie diese Messung zustande kam. Filetransfer mit Explorer und SMB, das für seine miese Performance hinreichend bekannt ist, ist sicher keine gute Idee. face-sad
Hat der Client üblicherweise einen Gig Anschluss ist das ein normaler Wert.
Der Serverswitch macht nur unzuverlässiges 10G BaseT mit Negotiation was erheblich von der Kabel- und Stecker Qualität wie auch der Kabellänge abhängig ist. Da ist die volle Bandbreite nie sicher garantiert. Deshalb verwendet man für Server immer verlässliche DAC/Twinax oder AOC Kabel wo das nicht der Fall ist.
Alle diese unbekannten Faktoren geben Spielraum für allerlei Spekulationen und gleichen dann eher Kristallkugeln...
ni.sch
ni.sch 15.07.2023 um 14:04:47 Uhr
Goto Top
Zitat von @aqui:

110-115MB/s = 920 Mbit/s was zumindestens ja für einen Gigabit Anschluss ein sehr guter Wert ist.
Ohne das man weiss wie und wo der Server und wie und wo der Client angeschlossen ist, sind diese Infos wenig zielführend. face-sad
Hat der Client üblicherweise einen Gig Anschluss ist das ein normaler Wert.
Der Serverswitch macht nur unzuverlässiges 10G BaseT was erheblich von der Kabel- und Stecker Qualität wie auch der Kabellänge abhängig ist. Da ist die volle Bandbreite nie sicher garantiert. Deshalb verwendet man für Server immer DA/Twinax oder AOC Kabel wo das nicht der Fall ist.
Alle diese unbekannten Faktoren geben Spielraum für allerlei Spekulationen und gleichen dann eher Kristallkugeln...

Das ich dir aber immer zu wenig Infos liefer face-wink - aber Recht hast du.
Der Kopiervorgang war von einem der Problemclients mit Gigabit von unserem Fileserver. Der läuft als VM auf dem gleichen ESX wie auch der Anwendungsserver der Problemanwendung. Physisch ist der Host mit 2x10G Kupfer angebunden und sein Switch per 4x1G. Steht aber unten im Eingangspost - ich weiss, der ist lang.

Zusätzlich noch: der ESX ist zum Zyxel in einem NIC-Team mit virtueller Port-ID. Das ist laut VMware ja default und benötigt keine Änderung am Switch. Die 4x1G zum nächsten Switch sind in einer static LAG mit MAC SA/DA Hash - was bei HP wohl der Default ist. Zumindest laut Beschreibung bei unserem. Die Kabel vom ESX zum Zyxel sind 2m lang und vom Zyxel zum HP 1m.
Könntest du dir vorstellen, dass an der LAG vllt was nicht hinhaut?
Datenreise
Datenreise 15.07.2023 um 14:07:50 Uhr
Goto Top
Zitat von @aqui
Filetransfer mit Explorer und SMB, das für seine miese Performance hinreichend bekannt ist, ist sicher keine gute Idee. face-sad

Du musst auch einfach aus Prinzip widersprechen, oder?
Niemand hat gesagt, dass Dateitransfer über SMB ein hinreichender Test wäre.
Es wäre hier ein Prüfpunkt unter vielen, der nur ganz vielleicht Erkenntnisgewinn bringt, aber dafür simpelst in 5 Minuten durchgeführt werden kann.

Sorry, aber so schlicht kann man doch nicht strukturiert sein, so etwas nicht zu verstehen?

@ni.sch: Ich weiß, dass Du schon USB-NICs ausprobiert hast, aber mit einem Test über PCIe würde ich mich zumindest "sicherer" fühlen.
ni.sch
ni.sch 15.07.2023 um 14:15:39 Uhr
Goto Top
Zitat von @Datenreise:

Zitat von @aqui
Filetransfer mit Explorer und SMB, das für seine miese Performance hinreichend bekannt ist, ist sicher keine gute Idee. face-sad

Du musst auch einfach aus Prinzip widersprechen, oder?
Niemand hat gesagt, dass Dateitransfer über SMB ein hinreichender Test wäre.
Es wäre hier ein Prüfpunkt unter vielen, der nur ganz vielleicht Erkenntnisgewinn bringt, aber dafür simpelst in 5 Minuten durchgeführt werden kann.

Sorry, aber so schlicht kann man doch nicht strukturiert sein, so etwas nicht zu verstehen?

@ni.sch: Ich weiß, dass Du schon USB-NICs ausprobiert hast, aber mit einem Test über PCIe würde ich mich zumindest "sicherer" fühlen.

Werde ich noch probieren - muss nur eine organisieren face-wink im ÖD liegt meist nicht alles einfach so rum face-big-smile
Datenreise
Datenreise 15.07.2023 um 15:15:45 Uhr
Goto Top
Werde ich noch probieren - muss nur eine organisieren face-wink im ÖD liegt meist nicht alles einfach so rum face-big-smile

...zumindest nicht vor dem Ausfüllen des Antrags auf ein Antragsformular. face-wink
MysticFoxDE
MysticFoxDE 16.07.2023 aktualisiert um 20:38:22 Uhr
Goto Top
Moin Nico,

Zitat von @MysticFoxDE:

Moin Nico,

kannst du den iPerf Test bitte mit den folgenden Parametern wiederholen.

iperf3.exe -c xxx.xxx.xxx.xxx -l 2k -P 1 -t 30

Sind die Ergebnisse zwischen den Rechner dann immer noch +- gleich?

Gruss Alex

Auch hier laufen die Tests +- normal durch.

- Der Problemrechner bei der Kollegin schwankte beim Test minmal mehr als die anderen, von 884 bis 920 Mbit (Schnitt von 912Mbit)
(es ist aber auch noch Arbeitszeit - also könnte die Verbindung in dem Moment auch durch andere Kollegen etwas beeinflusst gewesen sein).

- Rechner der Kollegin gegenüber 928-931 (Schnitt 929)
- Problemrechner in meinem Büro: 891 - 921 (Schnitt 917)
- Der alte Rechner der Problemkollegin (jetzt in meinem Büro) 891 - 921 (Schnitt 916)
- Mein Rechner konstante 929Mbit.

bist du dir ganz sicher, dass du bei diesen Tests die Parameter für iPerf genau so gesetzt hast, wie ich es vorgeschlagen habe?
Ich frage daher, weil ~900 MBit/s bei diesen Testbedingungen so gesehen ein extrem gutes Ergebnis ist.

Bei dem was ich bisher sehe, würde ich vom Bauchgefühl das Netzwerk (NIC's & Switche) als Problemquelle eher ausschliessen. Um hierbei jedoch ganz sicher zu sein, solltest du noch einen weiteren Test mit diskspd machen.

https://learn.microsoft.com/de-de/azure-stack/hci/manage/diskspd-overvie ...
https://github.com/Microsoft/diskspd/
https://github.com/Microsoft/diskspd/releases/latest/download/DiskSpd.zi ...

Führe bitte einmal den folgenden Test von einer problematischen Workstation gegen den Anwendungsserver aus und einmal dasselbe von einer die keine Probleme hat.

diskspd -t1 -o1 -b2k -s2k -w50 -d60 -Su -D -L -c1G "\\xxx.xxx.xxx.xxx\c$\TEST\IO1G.dat"  

Sollten auch bei diesem Test keine grösseren Abweichungen zu sehen sein, vor allem bei den Latenzen, dann kannst du dein Netzwerk als Fehlerquelle zu >99% ausschliessen.

Gruss Alex

P.S. Und ja, mir ist schon bewusst, das der Diskspd eigentlich primär zum Testen von Datenträgerperformance gedacht ist.
Mit Diskspd lässt sich aber auch 1A die Transaktionsperformance von Netzwerkverbindungen testen, die vor allem im Enterprise Umfeld, viel wichtiger ist als reine sequentielle Übertragungsleistung, so wie diese z.B. durch iPerf & Co. simuliert wird. 😉
MysticFoxDE
MysticFoxDE 17.07.2023 um 07:30:57 Uhr
Goto Top
Moin Nico,

wenn ich das folgende ...

Die erste Ladung PCs welche letztes Jahr geliefert wurde (div. techn. Daten sind unten) wurden vorinstalliert mit Windows 11 geliefert. Die zweite Ladung kam mit Windows 10 und ich habe diese selber sauber mit Windows 11 neu installiert (normaler Stick per Media Creation Tool).
Diese Rechner (sowohl die vorinstallierten als auch die neu installierten) laufen bisher zur Zufriedenheit der Kollegen - alle freuen sich über mehr Speed face-smile.
Dieses Jahr haben wir die nächste Ladung Rechner beschafft.
Auch diese wurden mit Windows 11 vorinstalliert ausgeliefert.

... und auch das hier ...

Gestern kam aber eine neue (wenn auch nicht problemlösende) Erkenntnis/Information hinzu.
Ich habe einer weiteren Kollegin einen der neuen Rechner hingestellt, damit diese die Leistung in einem anderen Programm, welches den gleichen DB-Server nutzt bewertet. Auf die Erklärung zum Hintergrund, sagte sie mir, dass das Finanzprogramm auf Ihrem alten Rechner auch langsam ist. Dieser Rechner ist der selbe Fujitsu wie der der ersten Kollegin mit Problemem.
Also habe ich dort mal die Zeit gestoppt und es stimmt 30-35 Sekunden, wie bei den neuen DELLs. Auf dem dann hingestellten 2023er DELL wie zu erwarten das gleiche, teilweise auch noch wenige Sekunden langsamer (auch mit deinem Script).
Ihr gegenüber sitzt eine Kollegin die einen 2022er DELL hat. Also auch hier die Tests gemacht: beide Programme starten in unter 8 Sekunden.

Es sind also scheinbar doch nicht nur die ganz neuen Rechner, sondern auch ältere, nur kam bisher nie eine Information über die Leistungsprobleme zu mir........

... zusammen betrachte, dann kommt mir eine ganz andere Idee.

Kann es sein, dass die Rechner die auf jeden Fall schnell laufen, die sind die du selbst mit W11 frisch installiert hast?

Gruss Alex
ni.sch
ni.sch 17.07.2023 um 08:52:00 Uhr
Goto Top
Zitat von @MysticFoxDE:

Moin Nico,

Zitat von @MysticFoxDE:

Moin Nico,

kannst du den iPerf Test bitte mit den folgenden Parametern wiederholen.

iperf3.exe -c xxx.xxx.xxx.xxx -l 2k -P 1 -t 30

Sind die Ergebnisse zwischen den Rechner dann immer noch +- gleich?

Gruss Alex

Auch hier laufen die Tests +- normal durch.

- Der Problemrechner bei der Kollegin schwankte beim Test minmal mehr als die anderen, von 884 bis 920 Mbit (Schnitt von 912Mbit)
(es ist aber auch noch Arbeitszeit - also könnte die Verbindung in dem Moment auch durch andere Kollegen etwas beeinflusst gewesen sein).

- Rechner der Kollegin gegenüber 928-931 (Schnitt 929)
- Problemrechner in meinem Büro: 891 - 921 (Schnitt 917)
- Der alte Rechner der Problemkollegin (jetzt in meinem Büro) 891 - 921 (Schnitt 916)
- Mein Rechner konstante 929Mbit.

bist du dir ganz sicher, dass du bei diesen Tests die Parameter für iPerf genau so gesetzt hast, wie ich es vorgeschlagen habe?
Ich frage daher, weil ~900 MBit/s bei diesen Testbedingungen so gesehen ein extrem gutes Ergebnis ist.


Wenn du dich nicht verschrieben hast face-wink - ich habe brav Copy & Paste gemacht.

Bei dem was ich bisher sehe, würde ich vom Bauchgefühl das Netzwerk (NIC's & Switche) als Problemquelle eher ausschliessen. Um hierbei jedoch ganz sicher zu sein, solltest du noch einen weiteren Test mit diskspd machen.

https://learn.microsoft.com/de-de/azure-stack/hci/manage/diskspd-overvie ...
https://github.com/Microsoft/diskspd/
https://github.com/Microsoft/diskspd/releases/latest/download/DiskSpd.zi ...

Führe bitte einmal den folgenden Test von einer problematischen Workstation gegen den Anwendungsserver aus und einmal dasselbe von einer die keine Probleme hat.

diskspd -t1 -o1 -b2k -s2k -w50 -d60 -Su -D -L -c1G "\\xxx.xxx.xxx.xxx\c$\TEST\IO1G.dat"  

Sollten auch bei diesem Test keine grösseren Abweichungen zu sehen sein, vor allem bei den Latenzen, dann kannst du dein Netzwerk als Fehlerquelle zu >99% ausschliessen.

Gruss Alex

P.S. Und ja, mir ist schon bewusst, das der Diskspd eigentlich primär zum Testen von Datenträgerperformance gedacht ist.
Mit Diskspd lässt sich aber auch 1A die Transaktionsperformance von Netzwerkverbindungen testen, die vor allem im Enterprise Umfeld, viel wichtiger ist als reine sequentielle Übertragungsleistung, so wie diese z.B. durch iPerf & Co. simuliert wird. 😉

Habe gestern Abend einen Test von meinem Rechner gemacht. Da hat natürlich kein Kollege gearbeitet.
Ergebnis (jeweils immer zum Fileserver der Anwendung und zum DB-Server):
Total IO
thread |       bytes     |     I/Os     |    MiB/s   |  I/O per s |  AvgLat  | IopsStdDev | LatStdDev |  file
------------------------------------------------------------------------------------------------------------------
     0 |       400205824 |       195413 |       6.36 |    3256.13 |    0.307 |      95.28 |     0.093 | \\192.168.1.39\c$\TEST\IO1G.dat (1GiB)
------------------------------------------------------------------------------------------------------------------
total:         400205824 |       195413 |       6.36 |    3256.13 |    0.307 |      95.28 |     0.093

Read IO
thread |       bytes     |     I/Os     |    MiB/s   |  I/O per s |  AvgLat  | IopsStdDev | LatStdDev |  file
------------------------------------------------------------------------------------------------------------------
     0 |       200366080 |        97835 |       3.18 |    1630.20 |    0.355 |      48.41 |     0.097 | \\192.168.1.39\c$\TEST\IO1G.dat (1GiB)
------------------------------------------------------------------------------------------------------------------
total:         200366080 |        97835 |       3.18 |    1630.20 |    0.355 |      48.41 |     0.097

Write IO
thread |       bytes     |     I/Os     |    MiB/s   |  I/O per s |  AvgLat  | IopsStdDev | LatStdDev |  file
------------------------------------------------------------------------------------------------------------------
     0 |       199839744 |        97578 |       3.18 |    1625.92 |    0.259 |      63.73 |     0.058 | \\192.168.1.39\c$\TEST\IO1G.dat (1GiB)
------------------------------------------------------------------------------------------------------------------
total:         199839744 |        97578 |       3.18 |    1625.92 |    0.259 |      63.73 |     0.058



total:
  %-ile |  Read (ms) | Write (ms) | Total (ms)
----------------------------------------------
    min |      0.199 |      0.219 |      0.199
   25th |      0.310 |      0.247 |      0.252
   50th |      0.341 |      0.252 |      0.280
   75th |      0.394 |      0.261 |      0.344
   90th |      0.436 |      0.279 |      0.403
   95th |      0.461 |      0.291 |      0.437
   99th |      0.495 |      0.356 |      0.481
3-nines |      0.885 |      0.679 |      0.793
4-nines |      3.844 |      2.700 |      3.679
5-nines |      8.035 |      6.329 |      7.865
6-nines |      8.035 |      6.329 |      8.035
7-nines |      8.035 |      6.329 |      8.035
8-nines |      8.035 |      6.329 |      8.035
9-nines |      8.035 |      6.329 |      8.035
    max |      8.035 |      6.329 |      8.035

Total IO
thread |       bytes     |     I/Os     |    MiB/s   |  I/O per s |  AvgLat  | IopsStdDev | LatStdDev |  file
------------------------------------------------------------------------------------------------------------------
     0 |       396986368 |       193841 |       6.31 |    3230.17 |    0.309 |     138.43 |     0.206 | \\192.168.1.40\c$\TEST\IO1G.dat (1GiB)
------------------------------------------------------------------------------------------------------------------
total:         396986368 |       193841 |       6.31 |    3230.17 |    0.309 |     138.43 |     0.206

Read IO
thread |       bytes     |     I/Os     |    MiB/s   |  I/O per s |  AvgLat  | IopsStdDev | LatStdDev |  file
------------------------------------------------------------------------------------------------------------------
     0 |       198758400 |        97050 |       3.16 |    1617.24 |    0.357 |      76.93 |     0.254 | \\192.168.1.40\c$\TEST\IO1G.dat (1GiB)
------------------------------------------------------------------------------------------------------------------
total:         198758400 |        97050 |       3.16 |    1617.24 |    0.357 |      76.93 |     0.254

Write IO
thread |       bytes     |     I/Os     |    MiB/s   |  I/O per s |  AvgLat  | IopsStdDev | LatStdDev |  file
------------------------------------------------------------------------------------------------------------------
     0 |       198227968 |        96791 |       3.15 |    1612.93 |    0.262 |      71.77 |     0.127 | \\192.168.1.40\c$\TEST\IO1G.dat (1GiB)
------------------------------------------------------------------------------------------------------------------
total:         198227968 |        96791 |       3.15 |    1612.93 |    0.262 |      71.77 |     0.127



total:
  %-ile |  Read (ms) | Write (ms) | Total (ms)
----------------------------------------------
    min |      0.197 |      0.209 |      0.197
   25th |      0.309 |      0.247 |      0.252
   50th |      0.339 |      0.252 |      0.281
   75th |      0.394 |      0.263 |      0.342
   90th |      0.437 |      0.281 |      0.403
   95th |      0.462 |      0.296 |      0.439
   99th |      0.499 |      0.372 |      0.486
3-nines |      1.794 |      0.749 |      0.975
4-nines |      9.161 |      8.248 |      8.326
5-nines |     57.222 |     16.949 |     16.949
6-nines |     57.222 |     16.949 |     57.222
7-nines |     57.222 |     16.949 |     57.222
8-nines |     57.222 |     16.949 |     57.222
9-nines |     57.222 |     16.949 |     57.222
    max |     57.222 |     16.949 |     57.222

Heute der Test am guten Rechner und Problemrechner im Büro:
(Wohlgemerkt haben heute natürlich schon Kollegen gearbeitet - ich werde also heute Abend die Tests auch wiederholen an den beiden Rechnern - die Ergenisse sehen so komisch aus. Der bessere Rechner hat die schlechteren Ergebnisse?!)

Guter Rechner Fileserver:
Total IO
thread |       bytes     |     I/Os     |    MiB/s   |  I/O per s |  AvgLat  | IopsStdDev | LatStdDev |  file
------------------------------------------------------------------------------------------------------------------
     0 |       223432704 |       109098 |       3.55 |    1818.24 |    0.548 |     812.42 |     5.557 | \\192.168.1.39\c$\TEST\IO1G.dat (1GiB)
------------------------------------------------------------------------------------------------------------------
total:         223432704 |       109098 |       3.55 |    1818.24 |    0.548 |     812.42 |     5.557

Read IO
thread |       bytes     |     I/Os     |    MiB/s   |  I/O per s |  AvgLat  | IopsStdDev | LatStdDev |  file
------------------------------------------------------------------------------------------------------------------
     0 |       111921152 |        54649 |       1.78 |     910.78 |    0.607 |     408.78 |     6.612 | \\192.168.1.39\c$\TEST\IO1G.dat (1GiB)
------------------------------------------------------------------------------------------------------------------
total:         111921152 |        54649 |       1.78 |     910.78 |    0.607 |     408.78 |     6.612

Write IO
thread |       bytes     |     I/Os     |    MiB/s   |  I/O per s |  AvgLat  | IopsStdDev | LatStdDev |  file
------------------------------------------------------------------------------------------------------------------
     0 |       111511552 |        54449 |       1.77 |     907.45 |    0.489 |     404.56 |     4.242 | \\192.168.1.39\c$\TEST\IO1G.dat (1GiB)
------------------------------------------------------------------------------------------------------------------
total:         111511552 |        54449 |       1.77 |     907.45 |    0.489 |     404.56 |     4.242



total:
  %-ile |  Read (ms) | Write (ms) | Total (ms)
----------------------------------------------
    min |      0.212 |      0.220 |      0.212
   25th |      0.341 |      0.264 |      0.277
   50th |      0.369 |      0.278 |      0.325
   75th |      0.412 |      0.299 |      0.386
   90th |      0.525 |      0.384 |      0.471
   95th |      0.990 |      0.906 |      0.939
   99th |      3.781 |      3.177 |      3.534
3-nines |     25.157 |     22.957 |     24.020
4-nines |    225.430 |    205.755 |    225.430
5-nines |   1130.165 |    609.574 |    670.875
6-nines |   1130.165 |    609.574 |   1130.165
7-nines |   1130.165 |    609.574 |   1130.165
8-nines |   1130.165 |    609.574 |   1130.165
9-nines |   1130.165 |    609.574 |   1130.165
    max |   1130.165 |    609.574 |   1130.165

Guter Rechner DB-Server:
Total IO
thread |       bytes     |     I/Os     |    MiB/s   |  I/O per s |  AvgLat  | IopsStdDev | LatStdDev |  file
------------------------------------------------------------------------------------------------------------------
     0 |       355627008 |       173646 |       5.65 |    2893.88 |    0.345 |     210.19 |     0.436 | \\192.168.1.40\c$\TEST\IO1G.dat (1GiB)
------------------------------------------------------------------------------------------------------------------
total:         355627008 |       173646 |       5.65 |    2893.88 |    0.345 |     210.19 |     0.436

Read IO
thread |       bytes     |     I/Os     |    MiB/s   |  I/O per s |  AvgLat  | IopsStdDev | LatStdDev |  file
------------------------------------------------------------------------------------------------------------------
     0 |       178210816 |        87017 |       2.83 |    1450.17 |    0.393 |     109.83 |     0.534 | \\192.168.1.40\c$\TEST\IO1G.dat (1GiB)
------------------------------------------------------------------------------------------------------------------
total:         178210816 |        87017 |       2.83 |    1450.17 |    0.393 |     109.83 |     0.534

Write IO
thread |       bytes     |     I/Os     |    MiB/s   |  I/O per s |  AvgLat  | IopsStdDev | LatStdDev |  file
------------------------------------------------------------------------------------------------------------------
     0 |       177416192 |        86629 |       2.82 |    1443.70 |    0.297 |     107.86 |     0.300 | \\192.168.1.40\c$\TEST\IO1G.dat (1GiB)
------------------------------------------------------------------------------------------------------------------
total:         177416192 |        86629 |       2.82 |    1443.70 |    0.297 |     107.86 |     0.300



total:
  %-ile |  Read (ms) | Write (ms) | Total (ms)
----------------------------------------------
    min |      0.212 |      0.219 |      0.212
   25th |      0.320 |      0.257 |      0.268
   50th |      0.366 |      0.269 |      0.299
   75th |      0.407 |      0.287 |      0.372
   90th |      0.452 |      0.314 |      0.426
   95th |      0.481 |      0.351 |      0.461
   99th |      1.044 |      0.897 |      0.964
3-nines |      4.434 |      3.324 |      3.888
4-nines |     13.250 |     12.418 |     13.101
5-nines |     83.797 |     34.029 |     75.960
6-nines |     83.797 |     34.029 |     83.797
7-nines |     83.797 |     34.029 |     83.797
8-nines |     83.797 |     34.029 |     83.797
9-nines |     83.797 |     34.029 |     83.797
    max |     83.797 |     34.029 |     83.797

und danach am Problemrechner Fileserver:
Total IO
thread |       bytes     |     I/Os     |    MiB/s   |  I/O per s |  AvgLat  | IopsStdDev | LatStdDev |  file
------------------------------------------------------------------------------------------------------------------
     0 |       279025664 |       136243 |       4.43 |    2270.27 |    0.440 |      71.62 |     0.615 | \\192.168.1.39\c$\TEST\IO1G.dat (1GiB)
------------------------------------------------------------------------------------------------------------------
total:         279025664 |       136243 |       4.43 |    2270.27 |    0.440 |      71.62 |     0.615

Read IO
thread |       bytes     |     I/Os     |    MiB/s   |  I/O per s |  AvgLat  | IopsStdDev | LatStdDev |  file
------------------------------------------------------------------------------------------------------------------
     0 |       140048384 |        68383 |       2.23 |    1139.49 |    0.473 |      36.28 |     0.827 | \\192.168.1.39\c$\TEST\IO1G.dat (1GiB)
------------------------------------------------------------------------------------------------------------------
total:         140048384 |        68383 |       2.23 |    1139.49 |    0.473 |      36.28 |     0.827

Write IO
thread |       bytes     |     I/Os     |    MiB/s   |  I/O per s |  AvgLat  | IopsStdDev | LatStdDev |  file
------------------------------------------------------------------------------------------------------------------
     0 |       138977280 |        67860 |       2.21 |    1130.78 |    0.406 |      47.92 |     0.261 | \\192.168.1.39\c$\TEST\IO1G.dat (1GiB)
------------------------------------------------------------------------------------------------------------------
total:         138977280 |        67860 |       2.21 |    1130.78 |    0.406 |      47.92 |     0.261



total:
  %-ile |  Read (ms) | Write (ms) | Total (ms)
----------------------------------------------
    min |      0.260 |      0.233 |      0.233
   25th |      0.404 |      0.366 |      0.377
   50th |      0.430 |      0.379 |      0.405
   75th |      0.493 |      0.408 |      0.449
   90th |      0.556 |      0.437 |      0.530
   95th |      0.610 |      0.474 |      0.580
   99th |      1.457 |      1.375 |      1.420
3-nines |      2.468 |      2.463 |      2.463
4-nines |      4.940 |      5.940 |      4.940
5-nines |    211.164 |     31.961 |     31.961
6-nines |    211.164 |     31.961 |    211.164
7-nines |    211.164 |     31.961 |    211.164
8-nines |    211.164 |     31.961 |    211.164
9-nines |    211.164 |     31.961 |    211.164
    max |    211.164 |     31.961 |    211.164

DB-Server:
Total IO
thread |       bytes     |     I/Os     |    MiB/s   |  I/O per s |  AvgLat  | IopsStdDev | LatStdDev |  file
------------------------------------------------------------------------------------------------------------------
     0 |       277878784 |       135683 |       4.42 |    2261.07 |    0.442 |      95.25 |     0.276 | \\192.168.1.40\c$\TEST\IO1G.dat (1GiB)
------------------------------------------------------------------------------------------------------------------
total:         277878784 |       135683 |       4.42 |    2261.07 |    0.442 |      95.25 |     0.276

Read IO
thread |       bytes     |     I/Os     |    MiB/s   |  I/O per s |  AvgLat  | IopsStdDev | LatStdDev |  file
------------------------------------------------------------------------------------------------------------------
     0 |       139462656 |        68097 |       2.22 |    1134.79 |    0.477 |      52.50 |     0.294 | \\192.168.1.40\c$\TEST\IO1G.dat (1GiB)
------------------------------------------------------------------------------------------------------------------
total:         139462656 |        68097 |       2.22 |    1134.79 |    0.477 |      52.50 |     0.294

Write IO
thread |       bytes     |     I/Os     |    MiB/s   |  I/O per s |  AvgLat  | IopsStdDev | LatStdDev |  file
------------------------------------------------------------------------------------------------------------------
     0 |       138416128 |        67586 |       2.20 |    1126.28 |    0.406 |      52.48 |     0.252 | \\192.168.1.40\c$\TEST\IO1G.dat (1GiB)
------------------------------------------------------------------------------------------------------------------
total:         138416128 |        67586 |       2.20 |    1126.28 |    0.406 |      52.48 |     0.252



total:
  %-ile |  Read (ms) | Write (ms) | Total (ms)
----------------------------------------------
    min |      0.248 |      0.230 |      0.230
   25th |      0.404 |      0.366 |      0.377
   50th |      0.432 |      0.380 |      0.406
   75th |      0.495 |      0.409 |      0.452
   90th |      0.557 |      0.437 |      0.533
   95th |      0.609 |      0.475 |      0.578
   99th |      1.516 |      1.369 |      1.444
3-nines |      3.447 |      2.746 |      3.113
4-nines |     16.095 |     10.052 |     12.356
5-nines |     21.665 |     19.302 |     19.302
6-nines |     21.665 |     19.302 |     21.665
7-nines |     21.665 |     19.302 |     21.665
8-nines |     21.665 |     19.302 |     21.665
9-nines |     21.665 |     19.302 |     21.665
    max |     21.665 |     19.302 |     21.665


Zitat von @MysticFoxDE:

Moin Nico,

wenn ich das folgende ...

Die erste Ladung PCs welche letztes Jahr geliefert wurde (div. techn. Daten sind unten) wurden vorinstalliert mit Windows 11 geliefert. Die zweite Ladung kam mit Windows 10 und ich habe diese selber sauber mit Windows 11 neu installiert (normaler Stick per Media Creation Tool).
Diese Rechner (sowohl die vorinstallierten als auch die neu installierten) laufen bisher zur Zufriedenheit der Kollegen - alle freuen sich über mehr Speed face-smile.
Dieses Jahr haben wir die nächste Ladung Rechner beschafft.
Auch diese wurden mit Windows 11 vorinstalliert ausgeliefert.

... und auch das hier ...

Gestern kam aber eine neue (wenn auch nicht problemlösende) Erkenntnis/Information hinzu.
Ich habe einer weiteren Kollegin einen der neuen Rechner hingestellt, damit diese die Leistung in einem anderen Programm, welches den gleichen DB-Server nutzt bewertet. Auf die Erklärung zum Hintergrund, sagte sie mir, dass das Finanzprogramm auf Ihrem alten Rechner auch langsam ist. Dieser Rechner ist der selbe Fujitsu wie der der ersten Kollegin mit Problemem.
Also habe ich dort mal die Zeit gestoppt und es stimmt 30-35 Sekunden, wie bei den neuen DELLs. Auf dem dann hingestellten 2023er DELL wie zu erwarten das gleiche, teilweise auch noch wenige Sekunden langsamer (auch mit deinem Script).
Ihr gegenüber sitzt eine Kollegin die einen 2022er DELL hat. Also auch hier die Tests gemacht: beide Programme starten in unter 8 Sekunden.

Es sind also scheinbar doch nicht nur die ganz neuen Rechner, sondern auch ältere, nur kam bisher nie eine Information über die Leistungsprobleme zu mir........

... zusammen betrachte, dann kommt mir eine ganz andere Idee.

Kann es sein, dass die Rechner die auf jeden Fall schnell laufen, die sind die du selbst mit W11 frisch installiert hast?

Gruss Alex

Der gute Rechner ist einer mit DELL Vorinstallation. Scheidet also leider auch aus.
MysticFoxDE
MysticFoxDE 17.07.2023 um 11:09:34 Uhr
Goto Top
Moin Nico,

Wenn du dich nicht verschrieben hast face-wink - ich habe brav Copy & Paste gemacht.

😯 ... das ist sehr interessant.
Ich habe gerade von einer W11 22H2 Powerworkstation zu einer W10 22H2 Powerworkstation die direkt über einen ARUBA 2930F miteinander verbunden sind, denselben Test durchlaufen lassen und bekomme bei diesem das folgende Ergebnis.

nisch iperf 001

Sprich, ich erreiche zwischen diesen Workstations und trotz deren recht hoher Performance, gerade mal die Hälfte von den ~900 MBit/s die du hast. 😭

WTF?

Heute der Test am guten Rechner und Problemrechner im Büro:
(Wohlgemerkt haben heute natürlich schon Kollegen gearbeitet - ich werde also heute Abend die Tests auch wiederholen an den beiden Rechnern - die Ergenisse sehen so komisch aus. Der bessere Rechner hat die schlechteren Ergebnisse?!)

Wie bitte ... 😖... das verstehe ich jetzt auch nicht wirklich.
Aber ja, mit logischem/nachvollziehbarem Verhalten, hat ein aktuelles Windows, leider auch nicht mehr wirklich viel zu tuen. 😔

Der gute Rechner ist einer mit DELL Vorinstallation. Scheidet also leider auch aus.

Haben alle Rechner denselben Patchstand?

Gruss Alex
ni.sch
ni.sch 17.07.2023 aktualisiert um 12:09:17 Uhr
Goto Top
Zitat von @MysticFoxDE:

Moin Nico,

Wenn du dich nicht verschrieben hast face-wink - ich habe brav Copy & Paste gemacht.

😯 ... das ist sehr interessant.
Ich habe gerade von einer W11 22H2 Powerworkstation zu einer W10 22H2 Powerworkstation die direkt über einen ARUBA 2930F miteinander verbunden sind, denselben Test durchlaufen lassen und bekomme bei diesem das folgende Ergebnis.

nisch iperf 001

Sprich, ich erreiche zwischen diesen Workstations und trotz deren recht hoher Performance, gerade mal die Hälfte von den ~900 MBit/s die du hast. 😭

WTF?

Moin Alex,

ich habe jetzt deinen kurzen befehl nochmal von meinem Rechner gemacht:

1x zur "Iperf-Linux-VM" auf unserem VMware-Host:
Mein Rechner <---1GBit---> HP 2510G-48 <---4x1GBit LAG---> Zyxel XGS-1250-12 <---2x10G CU---> VMware Host

iperf3 -c 192.168.1.101 -l 2k -P 1 -t 5
Connecting to host 192.168.1.101, port 5201
[  4] local 192.168.1.150 port 54032 connected to 192.168.1.101 port 5201
[ ID] Interval           Transfer     Bandwidth
[  4]   0.00-1.00   sec   111 MBytes   930 Mbits/sec
[  4]   1.00-2.00   sec   111 MBytes   929 Mbits/sec
[  4]   2.00-3.00   sec   111 MBytes   929 Mbits/sec
[  4]   3.00-4.00   sec   111 MBytes   929 Mbits/sec
[  4]   4.00-5.00   sec   111 MBytes   929 Mbits/sec
- - - - - - - - - - - - - - - - - - - - - - - - -
[ ID] Interval           Transfer     Bandwidth
[  4]   0.00-5.00   sec   554 MBytes   929 Mbits/sec                  sender
[  4]   0.00-5.00   sec   554 MBytes   929 Mbits/sec                  receiver

iperf Done.

Und jetzt kommts:
1x direkt zu einem (von mir neu installierten) Problemrechner in meinem Büro:
Mein Rechner <---1Gbit ---> HP 2510G-48 <---1GBIT---> D-Link DGS-1005D <---1GBit---> DELL 2023 (als Ipers-Server)

iperf3 -c 192.168.1.100 -l 2k -P 1 -t 5
Connecting to host 192.168.1.100, port 5201
[  4] local 192.168.1.150 port 54348 connected to 192.168.1.100 port 5201
[ ID] Interval           Transfer     Bandwidth
[  4]   0.00-1.00   sec  63.7 MBytes   534 Mbits/sec
[  4]   1.00-2.00   sec  66.7 MBytes   559 Mbits/sec
[  4]   2.00-3.00   sec  72.2 MBytes   606 Mbits/sec
[  4]   3.00-4.00   sec  89.4 MBytes   750 Mbits/sec
[  4]   4.00-5.00   sec  85.5 MBytes   717 Mbits/sec
- - - - - - - - - - - - - - - - - - - - - - - - -
[ ID] Interval           Transfer     Bandwidth
[  4]   0.00-5.00   sec   377 MBytes   633 Mbits/sec                  sender
[  4]   0.00-5.00   sec   377 MBytes   633 Mbits/sec                  receiver

iperf Done.

und einmal umgedreht:

iperf3 -c 192.168.1.150 -l 2K -P 1 -t 5
Connecting to host 192.168.1.150, port 5201
[  4] local 192.168.1.100 port 49909 connected to 192.168.1.150 port 5201
[ ID] Interval           Transfer     Bandwidth
[  4]   0.00-1.01   sec  85.8 MBytes   716 Mbits/sec
[  4]   1.01-2.00   sec  86.0 MBytes   725 Mbits/sec
[  4]   2.00-3.00   sec  86.9 MBytes   729 Mbits/sec
[  4]   3.00-4.00   sec  85.5 MBytes   717 Mbits/sec
[  4]   4.00-5.00   sec  90.5 MBytes   759 Mbits/sec
- - - - - - - - - - - - - - - - - - - - - - - - -
[ ID] Interval           Transfer     Bandwidth
[  4]   0.00-5.00   sec   435 MBytes   729 Mbits/sec                  sender
[  4]   0.00-5.00   sec   434 MBytes   728 Mbits/sec                  receiver

iperf Done.

Wenn ich jetzt den D-Link noch rausnehme, also beide Rechner direkt am HP hängen sind es sogar noch ein paar MBit weniger.......
Es scheint als würden die Clients untereinander schlechter laufen, als zu den Servern. Ich habe iperf ja auch zu den betroffenen Server-VMs gemacht. auch mit über 900MBit.....

Langsam wird es zum Haare raufen.


Heute der Test am guten Rechner und Problemrechner im Büro:
(Wohlgemerkt haben heute natürlich schon Kollegen gearbeitet - ich werde also heute Abend die Tests auch wiederholen an den beiden Rechnern - die Ergenisse sehen so komisch aus. Der bessere Rechner hat die schlechteren Ergebnisse?!)

Wie bitte ... 😖... das verstehe ich jetzt auch nicht wirklich.
Aber ja, mit logischem/nachvollziehbarem Verhalten, hat ein aktuelles Windows, leider auch nicht mehr wirklich viel zu tuen. 😔

Du sagst es!
Je mehr ich teste, desto undurchsichtiger wird es gefühlt face-big-smile - also im Sinne der Fehlerfindung.
Nach allen Tests bisher dürfte ja Nichts langsam sein face-big-smile was ja super ist, nur nicht wenn es eben doch langsam ist ^^

Der gute Rechner ist einer mit DELL Vorinstallation. Scheidet also leider auch aus.

Haben alle Rechner denselben Patchstand?

Ja, extra an allen Testrechnern die Updates explizit gesucht und durchgedrückt.
Der bessere Rechner hat von DELL heute auch noch Treiber/BIOS-Updates bekommen - blieb aber danach gewohnt schnell.

Gruss Alex

Gruss Nico


Edit:
Die ersten iperf-Tests zu beiden betroffenen Servern (und der Linux-VM) hatte ich nur mit dem Standardbefehl, ohne deine Schalter gemacht. Mit deinen Schaltern komme ich zu den Win-Servern auch nur noch auf gut 525Mbit.
Ohne Schalter bleiben es zu den Servern von meinem Rechner 949MBit.

Edit2: Bleibt also festzuhalten, dass sich die Linux-VM anders verhält als iperf-Server als die Windows-Server.
MysticFoxDE
MysticFoxDE 17.07.2023 aktualisiert um 13:28:55 Uhr
Goto Top
Moin Nico,

ich habe jetzt deinen kurzen befehl nochmal von meinem Rechner gemacht:

1x zur "Iperf-Linux-VM" auf unserem VMware-Host:
Mein Rechner <---1GBit---> HP 2510G-48 <---4x1GBit LAG---> Zyxel XGS-1250-12 <---2x10G CU---> VMware Host

iperf3 -c 192.168.1.101 -l 2k -P 1 -t 5
Connecting to host 192.168.1.101, port 5201
[  4] local 192.168.1.150 port 54032 connected to 192.168.1.101 port 5201
[ ID] Interval           Transfer     Bandwidth
[  4]   0.00-1.00   sec   111 MBytes   930 Mbits/sec
[  4]   1.00-2.00   sec   111 MBytes   929 Mbits/sec
[  4]   2.00-3.00   sec   111 MBytes   929 Mbits/sec
[  4]   3.00-4.00   sec   111 MBytes   929 Mbits/sec
[  4]   4.00-5.00   sec   111 MBytes   929 Mbits/sec
- - - - - - - - - - - - - - - - - - - - - - - - -
[ ID] Interval           Transfer     Bandwidth
[  4]   0.00-5.00   sec   554 MBytes   929 Mbits/sec                  sender
[  4]   0.00-5.00   sec   554 MBytes   929 Mbits/sec                  receiver

iperf Done.

das ist krass, damit erreichst du fast 1GBit/s mit so gut wie keinem Druck. 😯
Und leider beweist du damit auch, dass MS den TCP Stack bei aktuellen Windows Versionen (Client wie Server), mittlerweile mit absolut unnützen Dingen zugemüllt hat und oder die entsprechende Grundmaterie schlichtweg nicht mehr anständig beherrscht. 😔 😭🤢🤮😡

Und jetzt kommts:
1x direkt zu einem (von mir neu installierten) Problemrechner in meinem Büro:
Mein Rechner <---1Gbit ---> HP 2510G-48 <---1GBIT---> D-Link DGS-1005D <---1GBit---> DELL 2023 (als Ipers-Server)

iperf3 -c 192.168.1.100 -l 2k -P 1 -t 5
Connecting to host 192.168.1.100, port 5201
[  4] local 192.168.1.150 port 54348 connected to 192.168.1.100 port 5201
[ ID] Interval           Transfer     Bandwidth
[  4]   0.00-1.00   sec  63.7 MBytes   534 Mbits/sec
[  4]   1.00-2.00   sec  66.7 MBytes   559 Mbits/sec
[  4]   2.00-3.00   sec  72.2 MBytes   606 Mbits/sec
[  4]   3.00-4.00   sec  89.4 MBytes   750 Mbits/sec
[  4]   4.00-5.00   sec  85.5 MBytes   717 Mbits/sec
- - - - - - - - - - - - - - - - - - - - - - - - -
[ ID] Interval           Transfer     Bandwidth
[  4]   0.00-5.00   sec   377 MBytes   633 Mbits/sec                  sender
[  4]   0.00-5.00   sec   377 MBytes   633 Mbits/sec                  receiver

iperf Done.

und einmal umgedreht:

Zum Umdrehen reicht übrigens ein -R auf dem Client. 😉

iperf3 -c 192.168.1.150 -l 2K -P 1 -t 5
Connecting to host 192.168.1.150, port 5201
[  4] local 192.168.1.100 port 49909 connected to 192.168.1.150 port 5201
[ ID] Interval           Transfer     Bandwidth
[  4]   0.00-1.01   sec  85.8 MBytes   716 Mbits/sec
[  4]   1.01-2.00   sec  86.0 MBytes   725 Mbits/sec
[  4]   2.00-3.00   sec  86.9 MBytes   729 Mbits/sec
[  4]   3.00-4.00   sec  85.5 MBytes   717 Mbits/sec
[  4]   4.00-5.00   sec  90.5 MBytes   759 Mbits/sec
- - - - - - - - - - - - - - - - - - - - - - - - -
[ ID] Interval           Transfer     Bandwidth
[  4]   0.00-5.00   sec   435 MBytes   729 Mbits/sec                  sender
[  4]   0.00-5.00   sec   434 MBytes   728 Mbits/sec                  receiver

iperf Done.

Wenn ich jetzt den D-Link noch rausnehme, also beide Rechner direkt am HP hängen sind es sogar nich ein paar MBit weniger.......
Es scheint als würden die Clients untereinander schlechter laufen, als zu den Servern. Ich habe iperf ja auch zu den betroffenen Server-VMs gemacht. auch mit über 900MBit.....

Wenn ich bei mir denselben Test von einer Server 2019 VM zu einer Server 2019 VM die auf einem Hyper-V laufen wiederhole, dann bekomme ich das folgende Ergebnis ...

nisch iperf 003

..., sprich, 🤮🤮🤮.

Langsam wird es zum Haare raufen.

Ja ist es, aber nicht erst seit jetzt, sondern schon seit etwa Server 2019. 😔

Du sagst es!
Je mehr ich teste, desto undurchsichtiger wird es gefühlt face-big-smile - also im Sinne der Fehlerfindung.

Ja sowas ist alles andere als hilfreich bei einer Fehleranalyse, daher ist dieser Beitrag wahrscheinlich auch noch lange nicht am Ende. 😔
https://community.spiceworks.com/topic/2225989-server-2019-network-perfo ...


Edit:
Die ersten iperf-Tests zu beiden betroffenen Servern (und der Linux-VM) hatte ich nur mit dem Standardbefehl, ohne deine Schalter gemacht. Mit deinen Schaltern komme ich zu den Win-Servern auch nur noch auf gut 525Mbit.
Ohne Schalter bleiben es zu den Servern von meinem Rechner 949MBit.

Ohne die Zusatzparameter erzeugt iPerf aber zu viel Druck (Defaultblocksize = 128K) und lastet aufgrund dieses die 1GBit/s aus.
Um die Effektivität einer TCP-Übertragung zwischen unterschiedlichen Systemen besser vergleich zu können, solltest du bei iPerf daher besser einen Druck wählen, der deutlich unterhalb der maximalen Übertragungsleistung der NIC liegt.

Wenn ich von meiner Workstation mit ausreichend Druck mit iPerf gegen die Server VM testet, dann kann ich 1GBit/s auch locker ausreizen ...

nisch iperf 005

... aber eben erst ab einer Blockgrösse von ~8K und nicht schon mit 2K so wie du es bei einem der Tests geschafft hast.

Edit2: Bleibt also festzuhalten, dass sich die Linux-VM anders verhält als iperf-Server als die Windows-Server.

Ja, Linux verhält sich beim Netzwerktransfer in vielerlei Hinsicht viel effektiver wie ein Windows.

Folgendes Beispiel.
Meine Workstation ist mit einer i9 CPU Bestückt, deren Kerne alle mit 4,4 GHz laufen.
Wenn ich mit dieser 40GBit/s Netzwerklast erzeuge, dann verbrennt diese alleine für die TCP-Übertragung ~5 Kerne, sprich, ~22GHz. Das Unix-NAS, welches ich mit diesen 40GBit/s beschiesse, kann diesen Datenverkehr mit seiner 4 Kern-CPU die mit 2,2 GHz läuft, nicht nur locker entgegen nehmen, sondern auch noch auf deren SSD's schreiben, was bei einem RAID 5, ja auch noch einiges an CPU Leistung frisst. 😔

Gruss Alex
ni.sch
ni.sch 17.07.2023 aktualisiert um 13:37:34 Uhr
Goto Top
Zitat von @MysticFoxDE:

Moin Nico,

ich habe jetzt deinen kurzen befehl nochmal von meinem Rechner gemacht:

1x zur "Iperf-Linux-VM" auf unserem VMware-Host:
Mein Rechner <---1GBit---> HP 2510G-48 <---4x1GBit LAG---> Zyxel XGS-1250-12 <---2x10G CU---> VMware Host

iperf3 -c 192.168.1.101 -l 2k -P 1 -t 5
Connecting to host 192.168.1.101, port 5201
[  4] local 192.168.1.150 port 54032 connected to 192.168.1.101 port 5201
[ ID] Interval           Transfer     Bandwidth
[  4]   0.00-1.00   sec   111 MBytes   930 Mbits/sec
[  4]   1.00-2.00   sec   111 MBytes   929 Mbits/sec
[  4]   2.00-3.00   sec   111 MBytes   929 Mbits/sec
[  4]   3.00-4.00   sec   111 MBytes   929 Mbits/sec
[  4]   4.00-5.00   sec   111 MBytes   929 Mbits/sec
- - - - - - - - - - - - - - - - - - - - - - - - -
[ ID] Interval           Transfer     Bandwidth
[  4]   0.00-5.00   sec   554 MBytes   929 Mbits/sec                  sender
[  4]   0.00-5.00   sec   554 MBytes   929 Mbits/sec                  receiver

iperf Done.

das ist krass, damit erreichst du fast 1GBit/s mit so gut wie keinem Druck. 😯
Und leider beweist du damit auch, dass MS den TCP Stack bei aktuellen Windows Versionen (Client wie Server), mittlerweile mit absolut unnützen Dingen zugemüllt hat und oder die entsprechende Grundmaterie schlichtweg nicht mehr anständig beherrscht. 😔 😭🤢🤮😡

Und jetzt kommts:
1x direkt zu einem (von mir neu installierten) Problemrechner in meinem Büro:
Mein Rechner <---1Gbit ---> HP 2510G-48 <---1GBIT---> D-Link DGS-1005D <---1GBit---> DELL 2023 (als Ipers-Server)

iperf3 -c 192.168.1.100 -l 2k -P 1 -t 5
Connecting to host 192.168.1.100, port 5201
[  4] local 192.168.1.150 port 54348 connected to 192.168.1.100 port 5201
[ ID] Interval           Transfer     Bandwidth
[  4]   0.00-1.00   sec  63.7 MBytes   534 Mbits/sec
[  4]   1.00-2.00   sec  66.7 MBytes   559 Mbits/sec
[  4]   2.00-3.00   sec  72.2 MBytes   606 Mbits/sec
[  4]   3.00-4.00   sec  89.4 MBytes   750 Mbits/sec
[  4]   4.00-5.00   sec  85.5 MBytes   717 Mbits/sec
- - - - - - - - - - - - - - - - - - - - - - - - -
[ ID] Interval           Transfer     Bandwidth
[  4]   0.00-5.00   sec   377 MBytes   633 Mbits/sec                  sender
[  4]   0.00-5.00   sec   377 MBytes   633 Mbits/sec                  receiver

iperf Done.

und einmal umgedreht:

Zum Umdrehen reicht übrigens ein -R auf dem Client. 😉

iperf3 -c 192.168.1.150 -l 2K -P 1 -t 5
Connecting to host 192.168.1.150, port 5201
[  4] local 192.168.1.100 port 49909 connected to 192.168.1.150 port 5201
[ ID] Interval           Transfer     Bandwidth
[  4]   0.00-1.01   sec  85.8 MBytes   716 Mbits/sec
[  4]   1.01-2.00   sec  86.0 MBytes   725 Mbits/sec
[  4]   2.00-3.00   sec  86.9 MBytes   729 Mbits/sec
[  4]   3.00-4.00   sec  85.5 MBytes   717 Mbits/sec
[  4]   4.00-5.00   sec  90.5 MBytes   759 Mbits/sec
- - - - - - - - - - - - - - - - - - - - - - - - -
[ ID] Interval           Transfer     Bandwidth
[  4]   0.00-5.00   sec   435 MBytes   729 Mbits/sec                  sender
[  4]   0.00-5.00   sec   434 MBytes   728 Mbits/sec                  receiver

iperf Done.

Wenn ich jetzt den D-Link noch rausnehme, also beide Rechner direkt am HP hängen sind es sogar nich ein paar MBit weniger.......
Es scheint als würden die Clients untereinander schlechter laufen, als zu den Servern. Ich habe iperf ja auch zu den betroffenen Server-VMs gemacht. auch mit über 900MBit.....

Wenn ich bei mir denselben Test von einer Server 2019 VM zu einer Server 2019 VM die auf einem Hyper-V laufen wiederhole, dann bekomme ich das folgende Ergebnis ...

nisch iperf 003

..., sprich, 🤮🤮🤮.

Langsam wird es zum Haare raufen.

Ja ist es, aber nicht erst seit jetzt, sondern schon seit etwa Server 2019. 😔

Du sagst es!
Je mehr ich teste, desto undurchsichtiger wird es gefühlt face-big-smile - also im Sinne der Fehlerfindung.

Ja sowas ist alles andere als hilfreich bei einer Fehleranalyse, daher ist dieser Beitrag wahrscheinlich auch noch lange nicht am Ende. 😔
https://community.spiceworks.com/topic/2225989-server-2019-network-perfo ...


Edit:
Die ersten iperf-Tests zu beiden betroffenen Servern (und der Linux-VM) hatte ich nur mit dem Standardbefehl, ohne deine Schalter gemacht. Mit deinen Schaltern komme ich zu den Win-Servern auch nur noch auf gut 525Mbit.
Ohne Schalter bleiben es zu den Servern von meinem Rechner 949MBit.

Ohne die Zusatzparameter erzeugt iPerf aber zu viel Druck (Defaultblocksize = 128K) und lastet aufgrund dieses die 1GBit/s aus.
Um die Effektivität einer TCP-Übertragung zwischen unterschiedlichen Systemen besser vergleich zu können, solltest du bei iPerf daher besser einen Druck wählen, der deutlich unterhalb der maximalen Übertragungsleistung der NIC liegt.

Wenn ich von meiner Workstation mit ausreichend Druck mit iPerf gegen die Server VM testet, dann kann ich 1GBit/s auch locker ausreizen ...

nisch iperf 005

... aber eben erst ab einer Blockgrösse von ~8K und nicht schon mit 2K so wie du es bei einem der Tests geschafft hast.

Edit2: Bleibt also festzuhalten, dass sich die Linux-VM anders verhält als iperf-Server als die Windows-Server.

Ja, Linux verhält sich beim Netzwerktransfer in vielerlei Hinsicht viel effektiver wie ein Windows.

Folgendes Beispiel.
Meine Workstation ist mit einer i9 CPU Bestückt, deren Kerne alle mit 4,4 GHz laufen.
Wenn ich mit dieser 40GBit/s Netzwerklast erzeuge, dann verbrennt diese alleine für die TCP-Übertragung ~5 Kerne, sprich, ~22GHz. Das Unix-NAS, welches ich mit diesen 40GBit/s beschiesse, kann diesen Datenverkehr mit seiner 4 Kern-CPU die mit 2,2 GHz läuft, nicht nur locker entgegen nehmen, sondern auch noch auf deren SSD's schreiben, was bei einem RAID 5, ja auch noch einiges an CPU Leistung frisst. 😔

Gruss Alex

Dann schwant mir ja schon böses wenn wir die beiden Server demnächst auf 2019 umstellen ..... noch laufen die ja mit 2012R2.
Ich buche schonmal einen langen Urlaub, ganz ganz weit weg face-smile

Edit:
Ich hatte für einen Kollegen eine Ubutnu-Büchse fertig gemacht. Habe jetzt iperf gegen diese mal getestet von meinem Rechner.
iperf3 -c 192.168.1.102 -l 2k -P 1 -t 5
Connecting to host 192.168.1.102, port 5201
[  4] local 192.168.1.150 port 56563 connected to 192.168.1.102 port 5201
[ ID] Interval           Transfer     Bandwidth
[  4]   0.00-1.00   sec   111 MBytes   929 Mbits/sec
[  4]   1.00-2.00   sec   111 MBytes   928 Mbits/sec
[  4]   2.00-3.00   sec   111 MBytes   928 Mbits/sec
[  4]   3.00-4.00   sec   111 MBytes   928 Mbits/sec
[  4]   4.00-5.00   sec   111 MBytes   928 Mbits/sec
- - - - - - - - - - - - - - - - - - - - - - - - -
[ ID] Interval           Transfer     Bandwidth
[  4]   0.00-5.00   sec   553 MBytes   928 Mbits/sec                  sender
[  4]   0.00-5.00   sec   553 MBytes   928 Mbits/sec                  receiver

iperf Done.
iperf3 -c 192.168.1.102 -l 2k -P 1 -t 5 -R
Connecting to host 192.168.1.102, port 5201
Reverse mode, remote host 192.168.1.102 is sending
[  4] local 192.168.1.150 port 56574 connected to 192.168.1.102 port 5201
[ ID] Interval           Transfer     Bandwidth
[  4]   0.00-1.00   sec  95.3 MBytes   800 Mbits/sec
[  4]   1.00-2.00   sec  95.7 MBytes   803 Mbits/sec
[  4]   2.00-3.00   sec  95.7 MBytes   802 Mbits/sec
[  4]   3.00-4.00   sec  96.7 MBytes   811 Mbits/sec
[  4]   4.00-5.00   sec  94.4 MBytes   792 Mbits/sec
- - - - - - - - - - - - - - - - - - - - - - - - -
[ ID] Interval           Transfer     Bandwidth       Retr
[  4]   0.00-5.00   sec   479 MBytes   804 Mbits/sec    0             sender
[  4]   0.00-5.00   sec   478 MBytes   802 Mbits/sec                  receiver

iperf Done.
aqui
aqui 17.07.2023 aktualisiert um 13:37:11 Uhr
Goto Top
Bitte nicht immer überflüssigerweise alles zitieren!! Wir können hier alle lesen und es schadet massiv diesem guten und sehr hilfreichen Thread was die Übersichtlichkeit angeht. face-sad
Man kann auch sparsam und sinnvoll zeilenweise zitieren!
ni.sch
ni.sch 17.07.2023 aktualisiert um 13:54:10 Uhr
Goto Top
Alles klar, muss mich mit der Zitierfunktion noch etwas auseinandersetzen face-smile

@MysticFoxDE
Wenn ich den Test zwischen den beiden W2012R2 VMs mache komme ich auf:
- - - - - - - - - - - - - - - - - - - - - - - - -
[ ID] Interval           Transfer     Bandwidth
[  4]   0.00-5.00   sec   309 MBytes   518 Mbits/sec                  sender
[  4]   0.00-5.00   sec   308 MBytes   517 Mbits/sec                  receiver


 - - - - - - - - - - - - - - - - - - - - - - - -
[ ID] Interval           Transfer     Bandwidth
[  4]   0.00-5.00   sec   346 MBytes   581 Mbits/sec                  sender
[  4]   0.00-5.00   sec   346 MBytes   580 Mbits/sec                  receiver

iperf Done.

Zwischen zwei 2019er VMs:
[ ID] Interval           Transfer     Bandwidth
[  4]   0.00-5.00   sec   330 MBytes   554 Mbits/sec                  sender
[  4]   0.00-5.00   sec   330 MBytes   553 Mbits/sec                  receiver

iperf Done.


[ ID] Interval           Transfer     Bandwidth
[  4]   0.00-5.00   sec   361 MBytes   606 Mbits/sec                  sender
[  4]   0.00-5.00   sec   361 MBytes   606 Mbits/sec                  receiver

iperf Done.
MysticFoxDE
MysticFoxDE 17.07.2023 um 17:49:59 Uhr
Goto Top
Moin Nico,

Ich hatte für einen Kollegen eine Ubutnu-Büchse fertig gemacht. Habe jetzt iperf gegen diese mal getestet von meinem Rechner.
iperf3 -c 192.168.1.102 -l 2k -P 1 -t 5
Connecting to host 192.168.1.102, port 5201
[  4] local 192.168.1.150 port 56563 connected to 192.168.1.102 port 5201
[ ID] Interval           Transfer     Bandwidth
[  4]   0.00-1.00   sec   111 MBytes   929 Mbits/sec
[  4]   1.00-2.00   sec   111 MBytes   928 Mbits/sec
[  4]   2.00-3.00   sec   111 MBytes   928 Mbits/sec
[  4]   3.00-4.00   sec   111 MBytes   928 Mbits/sec
[  4]   4.00-5.00   sec   111 MBytes   928 Mbits/sec
- - - - - - - - - - - - - - - - - - - - - - - - -
[ ID] Interval           Transfer     Bandwidth
[  4]   0.00-5.00   sec   553 MBytes   928 Mbits/sec                  sender
[  4]   0.00-5.00   sec   553 MBytes   928 Mbits/sec                  receiver

iperf Done.
iperf3 -c 192.168.1.102 -l 2k -P 1 -t 5 -R
Connecting to host 192.168.1.102, port 5201
Reverse mode, remote host 192.168.1.102 is sending
[  4] local 192.168.1.150 port 56574 connected to 192.168.1.102 port 5201
[ ID] Interval           Transfer     Bandwidth
[  4]   0.00-1.00   sec  95.3 MBytes   800 Mbits/sec
[  4]   1.00-2.00   sec  95.7 MBytes   803 Mbits/sec
[  4]   2.00-3.00   sec  95.7 MBytes   802 Mbits/sec
[  4]   3.00-4.00   sec  96.7 MBytes   811 Mbits/sec
[  4]   4.00-5.00   sec  94.4 MBytes   792 Mbits/sec
- - - - - - - - - - - - - - - - - - - - - - - - -
[ ID] Interval           Transfer     Bandwidth       Retr
[  4]   0.00-5.00   sec   479 MBytes   804 Mbits/sec    0             sender
[  4]   0.00-5.00   sec   478 MBytes   802 Mbits/sec                  receiver

iperf Done.

ja, das ist schon sehr traurig mit anzusehen, dass ein Ubuntu einen Windows Server derartig platt macht. 😔😭
Das mach mich auf diese mittlerweile absolut geldgierigen aber nicht wirklich was sinnvolles produzierenden Microsoftians umso wütender. 😡

Na ja, zum Glück muss ich solchen Mist nur bei On-Premise Systemen rausklopfen wo es weitestgehend noch möglich ist. Mein Beileid gilt hingegen allen AZURE-Kunden, die betreffend der miesen Performance nicht wirklich was optimieren können, für diese aber dennoch kräftigst bezahlen müssen. 😔

Gruss Alex
MysticFoxDE
MysticFoxDE 17.07.2023 aktualisiert um 19:38:42 Uhr
Goto Top
Moin Nico,

@MysticFoxDE
Wenn ich den Test zwischen den beiden W2012R2 VMs mache komme ich auf:
- - - - - - - - - - - - - - - - - - - - - - - - -
[ ID] Interval           Transfer     Bandwidth
[  4]   0.00-5.00   sec   309 MBytes   518 Mbits/sec                  sender
[  4]   0.00-5.00   sec   308 MBytes   517 Mbits/sec                  receiver


 - - - - - - - - - - - - - - - - - - - - - - - -
[ ID] Interval           Transfer     Bandwidth
[  4]   0.00-5.00   sec   346 MBytes   581 Mbits/sec                  sender
[  4]   0.00-5.00   sec   346 MBytes   580 Mbits/sec                  receiver

iperf Done.

Zwischen zwei 2019er VMs:
[ ID] Interval           Transfer     Bandwidth
[  4]   0.00-5.00   sec   330 MBytes   554 Mbits/sec                  sender
[  4]   0.00-5.00   sec   330 MBytes   553 Mbits/sec                  receiver

iperf Done.


[ ID] Interval           Transfer     Bandwidth
[  4]   0.00-5.00   sec   361 MBytes   606 Mbits/sec                  sender
[  4]   0.00-5.00   sec   361 MBytes   606 Mbits/sec                  receiver

iperf Done.

zuerst das Wichtigste ... Glückwunsch ... du hast es geschafft, dass ich vorhin auf unserem Hyper-V eine Pinguin Server-VM aufgesetzt habe. 🤪
(Ubuntu 23.04)
Die VM hat 2 Cores bekommen, also eigentlich nur einen, weil HT aktiv ist 🙃 und 2GB RAM habe ich dieser auch gegönnt, sprich, alles recht überschaubar.

Wenn ich nun auf dieser Pinguin-VM iPerf als Server Starte und von meiner Workstation gegen diese mit den folgenden Parametern teste ...
iperf3.exe -c 172.31.2.101 -l 1k -P 1 -N -t 5
... ja, mit einer Blocksize von nur nur 1K 🤪, bekomme ich das folgende Ergebnis ...

nisch iperf to ubuntu

... sprich, ich kann von meiner W11 22H2 Workstation zur Ubuntu-VM, bei einer Blockgrösse von 1K und auch nur mit einem Thread, Daten mit fast 900 MBit/s versenden. 😁

Wenn ich nun den Test mit denselben Parametern gegen eine Server 2019 VM wiederhole, die auf demselben Hyper-V läuft wie der Ubuntu zuvor, sieht das Ergebnis folgend aus ...

nisch iperf to ws19

... sprich, 😭🤢🤮 und gegen eine 2012R2 VM ist es sogar ...

nisch iperf to ws12r2

... noch etwas gruseliger. 🤮🤮🤮
Ja, OK, der Test gegen die 2019er VM läuft um ~5% schneller als gegen die 2012R2 VM 🙃, verglichen gegen den Test mit Ubuntu, ist jedoch beides, also die TCP-Empfangsleistung der 2012R2 und der 2019er VM, einfach nur ein Kindergarten. 😔

Wenn ich übrigens von der Ubuntu VM Daten gegen meine W11 Workstation sende ...

nisch iperf to w11

..., siehts auch nicht wirklich besser aus. 😭

@microsoftians
Ein Pinguin um 400% schneller und das auch noch ohne jegliches Tuning. 🙈
Schämt euch, aber bitte in einer ganz dunklen Ecke und ruhig etwas länger. 🤨

Gruss Alex
ni.sch
ni.sch 17.07.2023 aktualisiert um 20:28:40 Uhr
Goto Top
Hi Alex,

gerade Tests von einem der guten DELLs gemacht.

Gegen die Linux-VM auf unserem Host (2 Cores / 4GB RAM):

iperf3.exe -c 192.168.1.101 -l 1k -P 1 -N -t 5
Connecting to host 192.168.1.101, port 5201
[  4] local 192.168.1.196 port 50417 connected to 192.168.1.101 port 5201
[ ID] Interval           Transfer     Bandwidth
[  4]   0.00-1.00   sec   110 MBytes   924 Mbits/sec
[  4]   1.00-2.00   sec   108 MBytes   910 Mbits/sec
[  4]   2.00-3.00   sec   110 MBytes   927 Mbits/sec
[  4]   3.00-4.00   sec   110 MBytes   927 Mbits/sec
[  4]   4.00-5.00   sec   109 MBytes   917 Mbits/sec
- - - - - - - - - - - - - - - - - - - - - - - - -
[ ID] Interval           Transfer     Bandwidth
[  4]   0.00-5.00   sec   549 MBytes   921 Mbits/sec                  sender
[  4]   0.00-5.00   sec   549 MBytes   921 Mbits/sec                  receiver

iperf Done.

Gegen einen der W2012R2:
iperf3.exe -c 192.168.1.39 -l 1k -P 1 -N -t 5
Connecting to host 192.168.1.39, port 5201
[  4] local 192.168.1.196 port 50441 connected to 192.168.1.39 port 5201
[ ID] Interval           Transfer     Bandwidth
[  4]   0.00-1.01   sec  31.7 MBytes   263 Mbits/sec
[  4]   1.01-2.00   sec  30.5 MBytes   259 Mbits/sec
[  4]   2.00-3.00   sec  31.3 MBytes   262 Mbits/sec
[  4]   3.00-4.00   sec  31.4 MBytes   263 Mbits/sec
[  4]   4.00-5.00   sec  31.5 MBytes   264 Mbits/sec
- - - - - - - - - - - - - - - - - - - - - - - - -
[ ID] Interval           Transfer     Bandwidth
[  4]   0.00-5.00   sec   156 MBytes   262 Mbits/sec                  sender
[  4]   0.00-5.00   sec   156 MBytes   261 Mbits/sec                  receiver

iperf Done.

und zurück zum Client:

iperf3.exe -c 192.168.1.39 -l 1k -P 1 -N -t 5 -R
Connecting to host 192.168.1.39, port 5201
Reverse mode, remote host 192.168.1.39 is sending
[  4] local 192.168.1.196 port 50465 connected to 192.168.1.39 port 5201
[ ID] Interval           Transfer     Bandwidth
[  4]   0.00-1.00   sec  11.5 MBytes  96.4 Mbits/sec
[  4]   1.00-2.00   sec  10.8 MBytes  90.5 Mbits/sec
[  4]   2.00-3.00   sec  11.1 MBytes  93.1 Mbits/sec
[  4]   3.00-4.00   sec  11.1 MBytes  92.9 Mbits/sec
[  4]   4.00-5.00   sec  11.1 MBytes  92.9 Mbits/sec
- - - - - - - - - - - - - - - - - - - - - - - - -
[ ID] Interval           Transfer     Bandwidth
[  4]   0.00-5.00   sec  55.7 MBytes  93.5 Mbits/sec                  sender
[  4]   0.00-5.00   sec  55.7 MBytes  93.5 Mbits/sec                  receiver

iperf Done.

Und zu einem unserer 2019er:

iperf3.exe -c 192.168.1.30 -l 1k -P 1 -N -t 5
Connecting to host 192.168.1.30, port 5201
[  4] local 192.168.1.196 port 50482 connected to 192.168.1.30 port 5201
[ ID] Interval           Transfer     Bandwidth
[  4]   0.00-1.00   sec  32.9 MBytes   275 Mbits/sec
[  4]   1.00-2.00   sec  31.9 MBytes   268 Mbits/sec
[  4]   2.00-3.00   sec  33.0 MBytes   277 Mbits/sec
[  4]   3.00-4.00   sec  32.4 MBytes   271 Mbits/sec
[  4]   4.00-5.00   sec  32.7 MBytes   275 Mbits/sec
- - - - - - - - - - - - - - - - - - - - - - - - -
[ ID] Interval           Transfer     Bandwidth
[  4]   0.00-5.00   sec   163 MBytes   273 Mbits/sec                  sender
[  4]   0.00-5.00   sec   162 MBytes   272 Mbits/sec                  receiver

iperf Done.

Es scheint dann ja aber so, dass MS das schon bei 2012 vergurkt hat, oder?
Der Rechner mit dem ich getestet habe hat übrigens auch dein Script abbekommen.
Bleibt das nach Windows-Updates oder Treiberupdates bestehen?

Ich habe jetzt auch noch den diskspd-Test vom guten Rechner wiederholt. Es sollte ja keiner mehr arbeiten face-smile

Fileserver Anwendung:
Results for timespan 1:
*******************************************************************************

actual test time:       60.01s
thread count:           1
proc count:             8

CPU |  Usage |  User  |  Kernel |  Idle
-------------------------------------------
   0|  21.58%|   1.28%|   20.31%|  78.42%
   1|   0.65%|   0.23%|    0.42%|  99.35%
   2|   0.05%|   0.03%|    0.03%|  99.95%
   3|   0.00%|   0.00%|    0.00%| 100.00%
   4|   0.81%|   0.29%|    0.52%|  99.19%
   5|   0.78%|   0.44%|    0.34%|  99.22%
   6|   0.39%|   0.10%|    0.29%|  99.61%
   7|   0.10%|   0.00%|    0.10%|  99.90%
-------------------------------------------
avg.|   3.05%|   0.30%|    2.75%|  96.95%

Total IO
thread |       bytes     |     I/Os     |    MiB/s   |  I/O per s |  AvgLat  | IopsStdDev | LatStdDev |  file
------------------------------------------------------------------------------------------------------------------
     0 |       305149952 |       148999 |       4.85 |    2483.04 |    0.402 |      49.28 |     0.142 | \\192.168.1.39\c$\TEST\fin203.dat (1GiB)
------------------------------------------------------------------------------------------------------------------
total:         305149952 |       148999 |       4.85 |    2483.04 |    0.402 |      49.28 |     0.142

Read IO
thread |       bytes     |     I/Os     |    MiB/s   |  I/O per s |  AvgLat  | IopsStdDev | LatStdDev |  file
------------------------------------------------------------------------------------------------------------------
     0 |       153061376 |        74737 |       2.43 |    1245.48 |    0.518 |      29.12 |     0.086 | \\192.168.1.39\c$\TEST\fin203.dat (1GiB)
------------------------------------------------------------------------------------------------------------------
total:         153061376 |        74737 |       2.43 |    1245.48 |    0.518 |      29.12 |     0.086

Write IO
thread |       bytes     |     I/Os     |    MiB/s   |  I/O per s |  AvgLat  | IopsStdDev | LatStdDev |  file
------------------------------------------------------------------------------------------------------------------
     0 |       152088576 |        74262 |       2.42 |    1237.56 |    0.285 |      40.22 |     0.074 | \\192.168.1.39\c$\TEST\fin203.dat (1GiB)
------------------------------------------------------------------------------------------------------------------
total:         152088576 |        74262 |       2.42 |    1237.56 |    0.285 |      40.22 |     0.074



total:
  %-ile |  Read (ms) | Write (ms) | Total (ms)
----------------------------------------------
    min |      0.361 |      0.223 |      0.223
   25th |      0.489 |      0.267 |      0.275
   50th |      0.512 |      0.275 |      0.432
   75th |      0.536 |      0.288 |      0.512
   90th |      0.564 |      0.311 |      0.543
   95th |      0.587 |      0.327 |      0.565
   99th |      0.693 |      0.419 |      0.635
3-nines |      1.539 |      1.275 |      1.469
4-nines |      3.901 |      3.011 |      3.096
5-nines |      7.218 |      6.221 |      6.240
6-nines |      7.218 |      6.221 |      7.218
7-nines |      7.218 |      6.221 |      7.218
8-nines |      7.218 |      6.221 |      7.218
9-nines |      7.218 |      6.221 |      7.218
    max |      7.218 |      6.221 |      7.218

DB-Server Anwendung
Results for timespan 1:
*******************************************************************************

actual test time:       60.01s
thread count:           1
proc count:             8

CPU |  Usage |  User  |  Kernel |  Idle
-------------------------------------------
   0|  19.68%|   0.94%|   18.75%|  80.32%
   1|   0.60%|   0.29%|    0.31%|  99.40%
   2|   0.23%|   0.08%|    0.16%|  99.77%
   3|   0.08%|   0.03%|    0.05%|  99.92%
   4|   0.86%|   0.36%|    0.49%|  99.14%
   5|   0.78%|   0.42%|    0.36%|  99.22%
   6|   0.42%|   0.10%|    0.31%|  99.58%
   7|   0.05%|   0.00%|    0.05%|  99.95%
-------------------------------------------
avg.|   2.84%|   0.28%|    2.56%|  97.16%

Total IO
thread |       bytes     |     I/Os     |    MiB/s   |  I/O per s |  AvgLat  | IopsStdDev | LatStdDev |  file
------------------------------------------------------------------------------------------------------------------
     0 |       234278912 |       114394 |       3.72 |    1906.10 |    0.524 |      77.74 |     0.201 | \\192.168.1.40\c$\TEST\fin203.dat (1GiB)
------------------------------------------------------------------------------------------------------------------
total:         234278912 |       114394 |       3.72 |    1906.10 |    0.524 |      77.74 |     0.201

Read IO
thread |       bytes     |     I/Os     |    MiB/s   |  I/O per s |  AvgLat  | IopsStdDev | LatStdDev |  file
------------------------------------------------------------------------------------------------------------------
     0 |       117405696 |        57327 |       1.87 |     955.21 |    0.555 |      43.15 |     0.189 | \\192.168.1.40\c$\TEST\fin203.dat (1GiB)
------------------------------------------------------------------------------------------------------------------
total:         117405696 |        57327 |       1.87 |     955.21 |    0.555 |      43.15 |     0.189

Write IO
thread |       bytes     |     I/Os     |    MiB/s   |  I/O per s |  AvgLat  | IopsStdDev | LatStdDev |  file
------------------------------------------------------------------------------------------------------------------
     0 |       116873216 |        57067 |       1.86 |     950.88 |    0.493 |      45.60 |     0.207 | \\192.168.1.40\c$\TEST\fin203.dat (1GiB)
------------------------------------------------------------------------------------------------------------------
total:         116873216 |        57067 |       1.86 |     950.88 |    0.493 |      45.60 |     0.207



total:
  %-ile |  Read (ms) | Write (ms) | Total (ms)
----------------------------------------------
    min |      0.406 |      0.402 |      0.402
   25th |      0.510 |      0.449 |      0.460
   50th |      0.530 |      0.460 |      0.497
   75th |      0.551 |      0.478 |      0.535
   90th |      0.594 |      0.509 |      0.573
   95th |      0.634 |      0.583 |      0.623
   99th |      1.239 |      1.190 |      1.208
3-nines |      3.678 |      3.892 |      3.766
4-nines |      6.026 |      6.868 |      6.611
5-nines |     10.353 |      7.374 |      9.809
6-nines |     10.353 |      7.374 |     10.353
7-nines |     10.353 |      7.374 |     10.353
8-nines |     10.353 |      7.374 |     10.353
9-nines |     10.353 |      7.374 |     10.353
    max |     10.353 |      7.374 |     10.353

Passt jetzt etwas besser ins Bild - ähnliches Niveau wie der "schlechte" Rechner würde ich sagen.
Aber er läuft super im vergleich zum schlechten.

Gruss Nico.
MysticFoxDE
MysticFoxDE 18.07.2023 aktualisiert um 07:50:09 Uhr
Goto Top
Moin Nico,

Es scheint dann ja aber so, dass MS das schon bei 2012 vergurkt hat, oder?

ja, das ist leider so und ich habe auch schon den Grund dafür gefunden.
Ein Windows benötigt für die Verarbeitung von eingehenden Netzwerkdaten, leider ~400% mehr CPU-Ressourcen, wie ein Linux. 😭

Wenn ich von meiner Workstation mit den folgenden Bedingungen ...

iperf3.exe -c xxx.xxx.xxx.xxx -l 1k -P 1 -N -t 30

... gegen die Ubuntu VM teste, dann erreiche ich im Schnitt ~850 MBit/s.
Dabei futtert die Ubuntu VM, beim Empfang dieser Datenmenge ca. 16% der Host-CPU-Ressourcen.

nisch cpu ubuntu

Wenn ich nun denselben Test gegen eine auf demselben Hyper-Pfau befindliche Server 2019 VM laufen lasse,
bekomme ich im Schnitt etwa 180 MBit/s heraus. 😭
Dabei gönnt sich die Server 2019 VM, exakt die selben CPU-Ressourcen wie der Ubuntu zuvor auch ...

nisch cpu ws19


... 😔🤢

Und bei einer 2012R2 VM sieht das Ganze sogar noch etwas schlechter aus, hier bekomme ich beim Verbraten derselben CPU-Ressourcen des entsprechenden Hyper-V Nodes, ...

nisch cpu ws12r2

... nur ~170 MBit/s hin. 🤮

Damit ist nun denke ich eindeutig bewiesen, dass auch die aktuellen Betriebssysteme von MS beim Empfangen von Daten über TCP, alles andere als ressourcenschonend sind. 😔😭

Beim Senden sieht es übrigens nicht viel besser aus, habe jetzt aber nicht die Zeit,
darauf im Detail auch noch einzugehen. Holle das später aber noch nach.

Passt jetzt etwas besser ins Bild - ähnliches Niveau wie der "schlechte" Rechner würde ich sagen.
Aber er läuft super im vergleich zum schlechten.

Das Problem mit deiner schlechten Anwendungsperformance, liegt nach allem was ich bisher gesehen habe,
meiner Ansicht nach jedoch nicht wirklich an dem, was wir zuletzt durchgekaut haben. Dafür sind die Werte zwischen dem guten und dem schlechten Rechner zu identisch.
Respektive, wenn MS bei der TCP-Verarbeitung genau so effektiv währe wie der Ubuntu, würde der schnellere Rechner wahrscheinlich noch schneller laufen. 🤪

Gut, zurück zum Thema, die Verzögerung beim Start der Anwendung kann eigentlich nicht wirklich vom Netzwerk kommen und auch die Hardware selbst sollte nicht das Problem sein, da deren Leistung gemäss dem Passmark Test, bei den problematischen Rechner, zum Teil besser ist, als bei den nicht problematischen.

Das Ganze riecht mir bei dir nun eher nach einem amoklaufenden Sicherheitsfeature als nach einem Netzwerk oder Hardwareproblem.

So, jetzt muss ich aber weiterflitzen.

Gruss Alex
MysticFoxDE
MysticFoxDE 18.07.2023 um 07:49:19 Uhr
Goto Top
Moin Nico,

eventuell können auch abweichende SBM Client Einstellungen das Problem verursachen.

Bekommst du bei beiden Rechnern dasselbe raus, wenn du den folgenden Befehl auf diesen ausführst?

Get-SmbClientConfiguration

Gruss Alex
ni.sch
ni.sch 18.07.2023 um 08:26:16 Uhr
Goto Top
Moin Alex,

danke für die Rückmeldung.
Alle drei Rechner (meiner, Problemrechner, guter Rechner) haben exakt die gleichen Werte.


Das Problem mit deiner schlechten Anwendungsperformance, liegt nach allem was ich bisher gesehen habe,
meiner Ansicht nach jedoch nicht wirklich an dem, was wir zuletzt durchgekaut haben. Dafür sind die Werte zwischen dem guten und dem schlechten Rechner zu identisch.
Respektive, wenn MS bei der TCP-Verarbeitung genau so effektiv währe wie der Ubuntu, würde der schnellere Rechner wahrscheinlich noch schneller laufen. 🤪

🤪 die Kollegen würden der Zeit voraus sein face-big-smile

Danke fürs damit Beschäftigen face-smile auch an die anderen natürlich.

Ich hoffe zeitnah jemandem vom Softwarehaus ran zu bekommen. Eine Rückmeldung auf das Ticket mit "sie haben noch weitere Rückfragen" gab es schon mal.

Gruss Nico
ni.sch
ni.sch 18.07.2023 aktualisiert um 13:20:47 Uhr
Goto Top
Mahlzeit,

mal noch eine kleine neue Info:
Ich habe jetzt einfach mal einen neuen DELL mit Windows 10 installiert.
Bis auf das OS genau wie die Win11-Testkiste.
Was soll ich sagen .... Out of the Box maximal 16 Sekunden Startzeit des Programmes (mit Defender).
Dann Defender deaktiviert und gleich zum Test unseren AV drauf -> 11-13 Sekunden.

@MysticFoxDE 's Sript drüber ..... 8-9 Sekunden - so sollte es sein (machen die 2022er DELLs auch ohne Script in der Zeit).

Nun bin ich gespannt, was mir der Softwareanbieter noch zum Thema Windows 11 und unterschiedliches Verhalten sagen kann face-wink

Edit:
Zusatzinfo: ipferf mit der Windows 10 Kiste läuft sowohl zum Problemserver, als auch zurück mit 900+ Mbit.
Der daneben stehende Win11 Rechner hin 900+Mbit, zurück mit 600Mbit.


Gruss Nico
ni.sch
ni.sch 18.07.2023 um 16:43:57 Uhr
Goto Top
So,

der auf Win10 neu installierte Rechner startet auch nach einem Upgrade auf Win11 das Programm noch schnell .....
Es muss also irgendwas sein, was W11 default macht, was W10 nicht macht und das W11-Upgrade vom W10 übernommen hat.
MysticFoxDE
MysticFoxDE 18.07.2023 um 18:40:10 Uhr
Goto Top
Moin Nico,

Edit:
Zusatzinfo: ipferf mit der Windows 10 Kiste läuft sowohl zum Problemserver, als auch zurück mit 900+ Mbit.
Der daneben stehende Win11 Rechner hin 900+Mbit, zurück mit 600Mbit.

ich habe gerade von der Workstation meines Arbeitskollegen getestet, die noch auf W10 22H2 läuft.
Die Ergebnisse sind jedoch fast 1:1 identisch zu meiner Workstation, die schon mit W11 22H2 läuft. 😔

Gruss Alex
MysticFoxDE
MysticFoxDE 18.07.2023 um 18:43:34 Uhr
Goto Top
Moin Nico,

der auf Win10 neu installierte Rechner startet auch nach einem Upgrade auf Win11 das Programm noch schnell .....
Es muss also irgendwas sein, was W11 default macht, was W10 nicht macht und das W11-Upgrade vom W10 übernommen hat.

🤔 ... kann es sein, dass sich auf den problematischen W11 Kisten, vielleicht der Bitlocker automatisch bei der Installation aktiviert hat?
Dieser kann erfahrungsgemäss bei der Anwendungsperformance leider auch kräftigst dazwischen pfuschen. 😔

Gruss Alex
ni.sch
ni.sch 18.07.2023 um 19:47:35 Uhr
Goto Top
Diese Idee kam mir tatsächlich auch! Der auf Win10 installierte Rechner hat beim von Dell angeboten BIOS-Update einen Fehler gezeigt, das Update kann wegen einem laufenden Bitlocker-Vorgang nicht installiert werden. Laut Dialog war Bitlocker aber deaktiviert - also ich hatte nur die Möglichkeit es zu aktivieren.
Das habe ich dann getan um es sofort wieder zu deaktivieren. Danach klappte das BIOS-Update.

Also habe ich es auf einem Problemrechner bewusst aktiviert und wieder deaktiviert und die Software getestet. Leider immer noch langsam.
MysticFoxDE
MysticFoxDE 19.07.2023 aktualisiert um 07:35:44 Uhr
Goto Top
Moin Nico,

kannst du bitte auf dem Rechner wo du Bitlocker deaktiviert hast, mal den folgenden Befehl abfeuern.

manage-bde -status

Wenn Bitlocker vollständig deaktiviert ist, müsste dessen Ausgabe folgend aussehen.

nisch bitlocker

Gruss Alex
MysticFoxDE
MysticFoxDE 19.07.2023 um 08:48:16 Uhr
Goto Top
Moin Nico,

der auf Win10 neu installierte Rechner startet auch nach einem Upgrade auf Win11 das Programm noch schnell .....
Es muss also irgendwas sein, was W11 default macht, was W10 nicht macht und das W11-Upgrade vom W10 übernommen hat.

das ist übrigens echt verrückt.

Ich habe selbst mit meinem eigenen Surface Book genau die umgekehrte Erfahrung gemacht.
Sprich, als ich es von W10 auf W11 upgegradet habe, ist dessen Performance in den Keller gerutscht.
Als ich dieses danach neu mit W11 bespielt habe, war es wieder genau so schnell wie mit W10.

Kannst du mal vielleicht das folgende ausprobieren.
Erstelle einen W11 Installationsstick mit Rufus, aber ohne TPM Prüfung und ohne Bitlocker.
nisch w11-install-rufus
Danach auf einem der problematischen Rechnern TPM im BIOS ausschalten und anschliessend diesen mit dem mit Rufus erstelltem Installationstick neu Installieren.

Mit diesem Trick werden diverse Sicherheitsfunktionen von Windows, die später gerne mal (Performance-)Probleme bereiten wie z.B. auch der Bitlocker, bei der Installation erst gar nicht aktiviert, weil Windows die darunter liegende Hardware, durch dieses Vorgehen als untauglich für die entsprechenden Features einstuft. 😉😎
Nach der Installation kannst du TPM, falls du es für andere Dinge doch benötigst, selbstverständlich wieder aktivieren.

Ich schicke dir gleich per PN noch den Link zu der aktuellsten W11 ISO zu, die ich die Tage erst über unseren MSDN Zugang gezogen habe.

Gruss Alex
ni.sch
ni.sch 19.07.2023 um 09:38:56 Uhr
Goto Top
Zitat von @MysticFoxDE:

Moin Nico,

kannst du bitte auf dem Rechner wo du Bitlocker deaktiviert hast, mal den folgenden Befehl abfeuern.

manage-bde -status

Wenn Bitlocker vollständig deaktiviert ist, müsste dessen Ausgabe folgend aussehen.

nisch bitlocker

Gruss Alex

Moin,

jetzt kommts - zumindest teilweise!:

- auf meinem Rechner,
- dem von mir installierten (und gestern Testweise Bitlocker-aktivierten-/deaktiviertem),
- dem Win10-Win11 geupgradeten (mit Bitlocker-Fehler seitens DELL-Update)
- und einem weiteren gestern mit Win11 neuinstalliertem (mit neu erstelltem MCT-Stick) Rechner
steht hier im Stauts überall deaktiviert - also exakt wie bei dir.

Auf dem einen Problemrechner der Kollegin (DELL-Installation) war tatsächlich:
manage-bde -status
BitLocker-Laufwerkverschlüsselung: Konfigurationstool, Version 10.0.22621
Copyright (C) 2013 Microsoft Corporation. Alle Rechte vorbehalten.

Datenträgervolumes, die mit BitLocker-Laufwerkverschlüsselung
geschützt werden können:
Volume "C:" [OS]  
[Betriebssystemvolume]

    Größe:                        235,52 GB
    BitLocker-Version:            2.0
    Konvertierungsstatus:         Nur verwendeter Speicherplatz ist verschlüsselt
    Verschlüsselt (Prozent):      100,0 %
    Verschlüsselungsmethode:      XTS-AES 128
    Schutzstatus:                 Der Schutz ist deaktiviert.
    Sperrungsstatus:              Entsperrt
    ID-Feld:                      Unbekannt
    Schlüsselschutzvorrichtungen: Keine gefunden

Also habe ich eben auf dem Rechner Bitlocker per Explorer aktiviert und wieder deaktiviert.
Das entschlüsseln dauerte auch nicht sehr lange.

Was soll ich sagen, nach einem Neustart und dem ersten Versuch startet das Programm in unter 10 Sekunden!
Auch im Programm lief es laut Kollegin fluffiger.

Auf den anderen Rechnern (also den "von Hand" installierten) läuft es immer noch langsam.
Ich teste jetzt mal die anderen Dell-Vorinstallationen auf den Bitlocker-Status und melde mich.
aqui
aqui 19.07.2023 um 09:54:43 Uhr
Goto Top
Erstelle einen W11 Installationsstick mit Rufus
Der überflüssige Umweg mit Rufus ist nicht erforderlich. Du kannst einfach klassisch das MCT dafür nehmen aber vor der Installation eine Registry Datei importieren und ausführen.
Windows 11 ohne Zwangsregistrierung installieren oder wie Ritter Rufus den Drachen Zwangsreg besiegt !
ni.sch
ni.sch 19.07.2023 um 10:49:18 Uhr
Goto Top
Moin Aqui,

ohne jetzt den MS-Link in deinem Beitrag glesen zu haben (mache ich natürlich noch face-smile ), glaube ich, möchte Alex darauf hinaus, dass nicht nur die Prüfung umgangen wird, sondern die Installation gerade ohne Bitlocker verläuft.

Sollte das in der REG-Datei genauso sein, dann schon mal Sorry face-big-smile
MysticFoxDE
MysticFoxDE 19.07.2023 um 10:57:08 Uhr
Goto Top
Moin Nico,

... glaube ich, möchte Alex darauf hinaus, dass nicht nur die Prüfung umgangen wird, sondern die Installation gerade ohne Bitlocker verläuft.

👍👍👍, genau so ist das.

Gruss Alex
Datenreise
Datenreise 19.07.2023 um 11:18:32 Uhr
Goto Top
Interessante Entwicklung dieser Problemsuche.

Die Ursache "Bitlocker" und die Erkenntnis "Auch im Programm lief es laut Kollegin fluffiger" dürfte dann bedeuten, dass die Anwendung während des Starts wie auch im laufenden Betrieb nennenswerte Datenmengen von der lokalen SSD läd und diese auch nicht in den RAM kopiert?

Würde bedeuten, dass es stark von der Funktionsweise einer Software abhängt, in wieweit sie von Bitlocker-verschlüsselten Datenträgern ausgebremst wird.
ni.sch
ni.sch 19.07.2023 um 11:19:18 Uhr
Goto Top
So,

neues Update.
Das bewusste aktivieren und deaktivieren von Bitlocker auf zwei weiteren DELL-Vorinstallationen bracht keine Unterschied - im Gegenteil, auf einem der Rechner braucht das Programm jetzt über 1 Minute zum Starten.

Es ist zum davonrennen. Wieso nicht mal wenigstens konsistente Ergebnisse?!
ni.sch
ni.sch 19.07.2023 um 11:23:25 Uhr
Goto Top
Zitat von @Datenreise:

Interessante Entwicklung dieser Problemsuche.

Die Ursache "Bitlocker" und die Erkenntnis "Auch im Programm lief es laut Kollegin fluffiger" dürfte dann bedeuten, dass die Anwendung während des Starts wie auch im laufenden Betrieb nennenswerte Datenmengen von der lokalen SSD läd und diese auch nicht in den RAM kopiert?

Würde bedeuten, dass es stark von der Funktionsweise einer Software abhängt, in wieweit sie von Bitlocker-verschlüsselten Datenträgern ausgebremst wird.

So würde es aussehen, wenn denn die Ergenisse halbwegs konsistent wären.

Der Test am Rechner der Kollegin (die ja als erstes das Problem ansprach) zeigt heute auch nach dem 5. Neustart keine Verschlechterung der Leistung mehr. Auch alles anderen Tools die auf den gleichen Servern liegen "rennen" förmlich.

Die Software nutzt eine Progress-Datenbank und läd eigtl. alle Daten vom Server.
MysticFoxDE
MysticFoxDE 19.07.2023 aktualisiert um 11:57:46 Uhr
Goto Top
Moin Nico,

neues Update.
Das bewusste aktivieren und deaktivieren von Bitlocker auf zwei weiteren DELL-Vorinstallationen bracht keine Unterschied - im Gegenteil, auf einem der Rechner braucht das Programm jetzt über 1 Minute zum Starten.

Es ist zum davonrennen. Wieso nicht mal wenigstens konsistente Ergebnisse?!

versuche mal diesen Rechner mit dem oben erwähnten Trick neu zu installieren.
Bitlocker ist leider nur eine von vielen Performancebremsen, die bei einer entsprechenden Hardwareunterstützung, gleich bei der Installation mit aktiviert werden. 😔

Wenn du TPM jedoch deaktivierst, dann wird bei der Installation von Windows 11, quasi nur ein Minimalumfang an Sicherheitsschnickschnack aktiviert. 😉

Hast du über diesem Rechner der nun über eine Minute zum starten der Anwendung benötigt, auch schon mein Optimierungsskript drüber laufen lassen?

Gruss Alex
MysticFoxDE
MysticFoxDE 19.07.2023 aktualisiert um 12:15:46 Uhr
Goto Top
Moin @Datenreise,

Die Ursache "Bitlocker" und die Erkenntnis "Auch im Programm lief es laut Kollegin fluffiger" dürfte dann bedeuten, dass die Anwendung während des Starts wie auch im laufenden Betrieb nennenswerte Datenmengen von der lokalen SSD läd und diese auch nicht in den RAM kopiert?

ein Windows tut leider ganz unabhängig davon ob du eine lokale Anwendung verwendest oder eine über das Netzwerk startest, immer etwas im Zusammenhang mit dieser Anwendung auf den lokalen Datenträger schreiben. Dinge wie, Ereignislogs, Firewalllogs und einen Haufen anderen Krimskrams. 😔

Beste Grüsse aus BaWü
Alex
ni.sch
ni.sch 19.07.2023 aktualisiert um 14:27:05 Uhr
Goto Top
Zitat von @MysticFoxDE:

Moin Nico,

Hi Alex,
neues Update.
Das bewusste aktivieren und deaktivieren von Bitlocker auf zwei weiteren DELL-Vorinstallationen bracht keine Unterschied - im Gegenteil, auf einem der Rechner braucht das Programm jetzt über 1 Minute zum Starten.

Es ist zum davonrennen. Wieso nicht mal wenigstens konsistente Ergebnisse?!

versuche mal diesen Rechner mit dem oben erwähnten Trick neu zu installieren.
Bitlocker ist leider nur eine von vielen Performancebremsen, die bei einer entsprechenden Hardwareunterstützung, gleich bei der Installation mit aktiviert werden. 😔

Wenn du TPM jedoch deaktivierst, dann wird bei der Installation von Windows 11, quasi nur ein Minimalumfang an Sicherheitsschnickschnack aktiviert. 😉


habe ich jetzt gemacht.
Dieses mal auch ganz bewusst ohne irgendwelche Update-Software von DELL.
Also Win11 installiert, Bitlockerstatus kontrolliert (aus), nur Windows-Updates durchgedrückt (mit den aufgedrückten Treiberupdates) und unsere Software installiert (Batchdatei, welche letztlich nur die ganzen Installer/Regs silent durchschiebt). Neustart.

Programm braucht 30sek zum Starten.
Dein Script drüber - Neustart.
Programm brauch 28 Sekunden.

Edit: TPM im BIOS (noch) aus.

Hast du über diesem Rechner der nun über eine Minute zum starten der Anwendung benötigt, auch schon mein Optimierungsskript drüber laufen lassen?


Ja, bisher bei jedem den ich teste.
Gruss Alex


Edit2: Noch eine Info:
Die zweite Kollegin mit einem neuen Rechner im produktiven Einsatz (Programm brauchte auch über 35 Sekunden) rief mich vorhin an und sage:
Das Programm startet jetzt in wenigen Sekunden ......
An diesem Rechner habe ich noch nichts gemacht.

Mein Gefühl schiebt es jetzt wieder etwas richtung Netzwerk.


Gruss Nico
MysticFoxDE
MysticFoxDE 19.07.2023 um 20:52:46 Uhr
Goto Top
Moin Nico,

habe ich jetzt gemacht.
Dieses mal auch ganz bewusst ohne irgendwelche Update-Software von DELL.
Also Win11 installiert, Bitlockerstatus kontrolliert (aus), nur Windows-Updates durchgedrückt (mit den aufgedrückten Treiberupdates) und unsere Software installiert (Batchdatei, welche letztlich nur die ganzen Installer/Regs silent durchschiebt). Neustart.

Programm braucht 30sek zum Starten.
Dein Script drüber - Neustart.
Programm brauch 28 Sekunden.

hast du auf diesem Rechner nach der Neuinstallation die Windows FW, den Defender und auch den Phishingschutz mal testweise deaktiviert?

Edit2: Noch eine Info:
Die zweite Kollegin mit einem neuen Rechner im produktiven Einsatz (Programm brauchte auch über 35 Sekunden) rief mich vorhin an und sage:
Das Programm startet jetzt in wenigen Sekunden ......
An diesem Rechner habe ich noch nichts gemacht.

🤔 ... ist abgesehen von diesem Rechner die Performance an den guten Rechnern immer gut oder schwankt die bei diesen auch?

Gruss Alex
ni.sch
ni.sch 19.07.2023 um 23:08:59 Uhr
Goto Top
Naben Alex,

Defender war durch unseren AV deaktiviert (der auf keinem der Rechner bisher einen messbaren Unterschied machte ob an oder aus - vermutlich passen hier die Ausnahmen für das Programm). FW und Phishingshutz teste ich morgen nochmal. Ich haue auch unseren AV nochmal runter und deaktiviere den Defender per GPO.

Mein Rechner läuft bisher komplett stabil ohne Verlangsamung. Der der anderen Kollegin im "Problembüro" auch. Und im zweiten Gebäude habe ich gestern übrigens mal einen alten Rechner (AMD A8 irgendwas mit SSD getestet) der brauchte knapp 12 Sekunden - ohne dein Script.
Das komplette Gebäude hängt an einer 2x1G LACP-LAG an dem HP Switch an welchem mein Rechner auch hängt.
MysticFoxDE
MysticFoxDE 20.07.2023 um 06:57:50 Uhr
Goto Top
Moin Nico,

Defender war durch unseren AV deaktiviert (der auf keinem der Rechner bisher einen messbaren Unterschied machte ob an oder aus - vermutlich passen hier die Ausnahmen für das Programm). FW und Phishingshutz teste ich morgen nochmal. Ich haue auch unseren AV nochmal runter und deaktiviere den Defender per GPO.

👍

Mein Rechner läuft bisher komplett stabil ohne Verlangsamung. Der der anderen Kollegin im "Problembüro" auch. Und im zweiten Gebäude habe ich gestern übrigens mal einen alten Rechner (AMD A8 irgendwas mit SSD getestet) der brauchte knapp 12 Sekunden - ohne dein Script.
Das komplette Gebäude hängt an einer 2x1G LACP-LAG an dem HP Switch an welchem mein Rechner auch hängt.

das unterstreicht umso mehr meine Vermutung, dass dein Problem nicht wirklich mit der NIC selbst und oder mit einem Switch im Zusammenhang steht.

Gruss Alex
ni.sch
ni.sch 20.07.2023 um 13:14:57 Uhr
Goto Top
Moin Alex,

so, so langsam verliere ich die Motivation - aber es muss ja irgendwie gelöst werden (können) face-smile , aber danke dass du noch ordentlich mit darüber nachdenkst!

Kurz zum erweiterten Verständnis, hier der Ablauf des Starts unseres Programmes:
Im Normalfall startet nach dem Klick auf das Symbol als erstes eine CMD, welche dann die eigentliche(n) Programmdatei(en) startet. Auf den schnellen Rechnern kann man das Fenster der CMD nur ganz kurz aufblitzen sehen - gefühlt 0,5 Sekunden. Auf den Rechnern welche länger brauchen sieht man es eine gute Sekunde, vllt 2-3.
Daran kann man aber schon abschätzen ob es jetzt "schnell" geht oder nicht.
Darauf folgt ein Splashscreen von Progress. Auf schnellen Rechnern ist der nach ingesamt max. 4 Sekunden (CMD + Progress) weg und wenige Sekunden später kommt der eigtl. Splashscreen des Programms mit einem Ladebalken und dann das Anmeldefenster - ingesamt max. 10 Sekunden auf den schnellen Rechnern, manchmal auch nur 6-7.

Also, auf dem Rechner welcher mit deiner ISO neu installiert wurde und davor ja auch schon mal über eine Minute zum Programmstart brauchte habe ich jetzt unseren AV deinstalliert.
Ich habe nun AD-weit in den GPOs den Phishing-Schutz abgeschaltet (greift auch, schnell an drei Rechnern geschaut), den Defender per GPO zu deaktivieren greift aus einem mir unbegreiflichen Grund gerade nicht.
Folgende Settings habe ich gemacht:
Microsoft Defender Antivirus deaktivieren - aktiviert (ja, laut Microsoft greift die nicht)
Echtzeitschutz - Deaktivieren von Echtzeitschutz - Aktiviert
Echtzeitschutz - Aktivieren der Verhaltensüberwachung - Deaktiviert
Echtzeitschutz - Überprüfen der Aktivitäten von Dateien und Programmen .... - Deaktiviert

Ich habe auch die ADMX-Vorlagen neu heruntergeladen und in den zentralen Storage kopiert.

Es ist den Rechnern egal - der Echtzeitschutz bleibt aktiv. Auch ein mehrmaliges gpupdate /force bringt nichts. Auch Neustarts bringen nichts.

Also habe ich es eben doch wieder manuell in der Oberfläche ausgeschaltet und den Rechner einfach mal neu gestartet. Nach der Anmeldung wollte ich direkt den Status beim Schutz prüfen und dabei ist mir aufgefallen, dass in der Oberfläche bei Viren- und Bedrohungsschutz ein Kreis kreiselte. Beim klicken kam sinngemäß etwas wie "Informationen werden geladen" oder "Schutzstatus wird abgerufen".
Ich dachte mir dann nach ca. 1min: gut, startest du das Programm einfach mal.
Allein schon die CMD stand über eine Minute leer da, der Start des Programmes hat weit über 4 Minuten gedauert.
Aber: Das Windows-Schutz-Center zeigte jetzt ein Ausrufezeichen und sagte der Schutz ist deaktiviert. Also habe ich den Rechner nochmal neu gestartet. Der Schutzstatus stand sofort auf deaktiviert, ohne gekringel und der Programmstart an dem Rechner dauerte 16 Sekunden - das schnellste bisher an genau diesem Rechner.

Daneben, auf dem gleichen Tisch, am gleichen D-Link-Switch, stand ja der zweite Rechner mit DELL-Installation an dem ich die Bitlocker-Thematik getestet hatte. Auch dieser brauchte ja immer über 30 Sekunden. An diesem habe ich noch nichts weiter probiert, ausser das dieser natürlich durch die GPO den Phishingschutz deaktiviert bekam und ich eben gestern die Bitlocker-Thematik probiert hatte (ohne Erfolg).
Auch dieser kreiselte im Windows-Sicherheits-Center beim Virenschutz - obwohl dort unser AV installiert ist.
Ich starte das Programm ...... 9 Sekunden.

Solangsam fällt es mir echt schwer auch nur irgend eine Gemeinsamkeit zu entdecken.
Es gibt (2022er) Rechner die immer schnell sind.
Es gibt (2023er) Rechner die immer langsam sind.
Es gibt (einen 2023er) Rechner der mit bewusstem aktivieren und deaktivieren von Bitlocker schnell wurde (der "Erste Problemrechner")
Es gibt (einen 2023er) Rechner der ohne zutun schnell wurde.
Es gibt (einen 2023er) Rechner welcher mit Windows 10 installiert schnell war und mit Win11-Upgrade schnell bleibt.
Es gibt (2023er) Rechner die beim vielen Testen irgendwie/irgendwann schnell werden, aber ohne konsistente Zusammenhänge.
ni.sch
ni.sch 21.07.2023 um 09:30:32 Uhr
Goto Top
Moin,

kurze neue Info:
Vllt liegt es doch igendwie auf eine komische Art und Weise an der Kombination unseres AVs mit dem Defender bzw. den Win10/11-Schutzfunktionen.

Auf dem alten Rechner im Nachbargebäude ([Netzwerkperfomance und div. Anwendungen langsam Beitrag]) (AMD A8-6600K / 8GB RAM / 120GB SSD / Win 10) musste ich wegen etwas anderem die AV-Lizenz entziehen. Nun habe ich dort unseren AV deinstalliert, den Rechner neugestartet und einfach mal das Programm getestet -> 25 Sekunden zum Start.
Jetzt habe ich unseren AV wieder installiert - Neustart - Programmstart -> wieder 12 Sekunden.

Scheinbar schaltet unser AV auf den Rechnerm in der Windowssicherheit noch etwas ab, was die GPO für den Defender nicht tut. Das könnte auch erklären warum der zweite Rechner in meinem Büro (Beitrag drüber) ohne weiteres Zutun, aber mit unserem AV, nach der Deaktivierung des Phishing-Schutzes schnell wurde. Andere Rechner die ich hier noch stehen haben sind aber nicht schnell geworden. Ich teste diese jetzt mal alle nochmal durch, evtl. 10x Neustarten face-big-smile

Grüsse
Datenreise
Datenreise 23.07.2023 um 16:19:41 Uhr
Goto Top
Ich kann nur nochmal darauf hinweisen, dass es sinnvoll ist, bei so einer Problemlage den Hersteller der Anwendung mit in die Pflicht zu nehmen. Im ÖD gibt es doch für alles irgendwelche Wartungs- und Supportverträge, in sofern sollte da doch ein Hebel für Dich existieren.

Mit Sicherheit produziert die Anwendungs auswertbare Logs, zumindest, wenn man sie mit bestimmten Parametern startet.
ni.sch
ni.sch 23.07.2023 um 19:24:31 Uhr
Goto Top
Da hast du recht. Das ist auch schon längst passiert face-smile
Es gibt eine Benchmarkmöglichkeit im Programm, der Support hat auch die Datenbankumgebung bereits angeschaut und sich über die Geschwindigkeit der Backups gefreut face-wink ich dann natürlich auch :-p. Die Ergebnisse der Benchmarks habe ich von mehreren Rechnern am Freitag an den Hersteller geschickt. Aber alleine meine Schilderung der bisherigen Tests/Diagnosen sorgte doch schon etwas für freundliche "Irritation" - aber es wurde geduldig zugehört. Ist halt auch blöd für den Supporter wenn auf quasi jeden ("Standard")-Vorschlag ein "schon probiert" folgt face-big-smile
Da da noch nichts für den Thread relevantes raus kam, habe ich das hier auch noch nicht erwähnt.

Gruss
Datenreise
Datenreise 23.07.2023 um 21:57:44 Uhr
Goto Top
Dann drücke ich fest die Daumen, dass der Hersteller auch ein paar Supporter hat, die ihren Job ernst nehmen und ihn gerne machen. Will sagen, sich durch Deinen Fall und die ganze selbst geleistete Vorarbeit nicht abschrecken lassen, sondern es als sportliche Herausforderung begreifen.

In einem Team mit motivierten und kompetenten Problemlösern zu arbeiten macht ja in aller Regel Spaß - auch wenn dem Ganzen ein hässlicher Bug oder ein unwahrscheinlicher edge case zugrunde liegt.
MysticFoxDE
MysticFoxDE 28.07.2023 um 08:30:10 Uhr
Goto Top
Moin @ni.sch,

Scheinbar schaltet unser AV auf den Rechnerm in der Windowssicherheit noch etwas ab, was die GPO für den Defender nicht tut. Das könnte auch erklären warum der zweite Rechner in meinem Büro (Beitrag drüber) ohne weiteres Zutun, aber mit unserem AV, nach der Deaktivierung des Phishing-Schutzes schnell wurde.

das kann ich mittlerweile zum Teil auslösen.
Die GPO's zum abschalten des Defenders funktionieren deshalb nicht mehr, weil MS den entsprechenden Registry Key, den diese GPO setzt, einfach mal so funktionslos gemacht hat. 😭🤢🤮

Details siehe ...

https://learn.microsoft.com/de-de/windows-hardware/customize/desktop/una ...

... besonders spannend finde ich die folgende Stelle ...

"Um die Sicherheitslage unserer Kunden zu verbessern und die Parität in unseren Angeboten (SKUs) sicherzustellen, werden die Einstellung DisableAntiSpyware (und deaktivieren von Microsoft Defender Antivirus) auf Clientendpunkten für Kunden, die Microsoft 365 E3 oder E5 verwenden, ignoriert."

Sprich, wenn ich das nun richtig verstehe, so lässt sich der Defender auf einem Rechner auf dem ein Office E3 oder E5 Installiert ist, definitiv nicht mehr abschalten, ausser man hat einen anderen Virenscanner installiert.

Das passt auch zu deiner Beobachtung, dass ein Rechner schnell wurde, nachdem du eine andere AV-Lösung installiert hast.

Vielleicht erkennt der Defender bei einigen deiner Rechnern die Installation einer Dritt-AV-Lösung nicht korrekt und läuft deshalb parallel weiterhin mit. Wäre nicht das erste Mal das so was passiert.

Beste Grüsse aus BaWü
Alex
MysticFoxDE
MysticFoxDE 29.07.2023 um 11:35:48 Uhr
Goto Top
Moin @ni.sch,

was spuckt den der folgende Befehl auf den Rechner aus wo du die Probleme hast?

(PowerShell als Administrator starten)
Get-MpComputerStatus | Select AMServiceEnabled

Gruss Alex
ni.sch
ni.sch 29.07.2023 um 14:10:53 Uhr
Goto Top
Hi Alex,

ich bin die nächste Woche nicht da. Probiere es aber sobald ich wieder im Büro bin und gebe Rückmeldung.

Gruß
MysticFoxDE
MysticFoxDE 30.07.2023 um 08:29:42 Uhr
Goto Top
Moin Nico,

ich bin die nächste Woche nicht da. Probiere es aber sobald ich wieder im Büro bin und gebe Rückmeldung.

Wenn der Befehl trotz dessen, dass auf diesem Rechner eine Dritt-AV-Lösung installiert ist, nicht so was ähnliches wie "passiver Modus" zurück liefert, dann ignoriert der Defender das Vorhandensein einer Dritt-AV-Lösung und läuft quasi parallel auch noch mit.

Das Problem kommt auf den Servern übrigens sehr oft vor, weshalb wir auf diesen den Defender grundsätzlich gleich am Anfang vollständig deinstallieren.

Leider ist eine Deinstallation des Defenders bei Microsofts Clientbetriebssystemen nicht vorgesehen. 😭
Aber ... es gibt dafür zum Glück bereits eine funktionierende Drittanbieterlösung. 🤪

Siehe folgenden Hinweis von @beidermachtvongreyscull.

Defender lässt sich bei Windows 11 22H2 nicht mehr deaktivieren. :-(

Beste Grüsse aus BaWü
Alex
ni.sch
ni.sch 07.08.2023 um 11:37:41 Uhr
Goto Top
Hi Alex,

auf meinem Rechner (schnell) kommt:

Get-MpComputerStatus | Select AMServiceEnabled

AMServiceEnabled
----------------
           False

Auf einem der Problemrechner mit unserem AV kommt:
Auch ein Deinstallieren und neu installieren unseres AV ändert daran nichts .....

Get-MpComputerStatus | Select AMServiceEnabled

AMServiceEnabled
----------------
           True

Der Rechner, welcher nur durch aktivieren und deaktivieren von Bitlocker schnell wurde (Patient 1 face-smile ) :

Get-MpComputerStatus | Select AMServiceEnabled

AMServiceEnabled
----------------
           False

Wir scheinen uns also doch Richtung Defender oder MS Sicherheitsgeraffel zu nähern.
Nur warum der Rechner dann im Zusammenhang mit Bitlocker schneller wurde wird ein Rätsel bleiben.

Vllt findest MS es ja toll ihren Defender durch Bitlocker zu bremsen :D

Gruss
Nico
MysticFoxDE
MysticFoxDE 07.08.2023 aktualisiert um 21:05:06 Uhr
Goto Top
Moin Nico,

Auf einem der Problemrechner mit unserem AV kommt:
Auch ein Deinstallieren und neu installieren unseres AV ändert daran nichts .....

Get-MpComputerStatus | Select AMServiceEnabled

AMServiceEnabled
----------------
           True

Und genau hier liegt zu 99% wahrscheinlich auch das Problem. Den so wie es aussieht hat sich der Defender auf diesem Rechner, trotz des Vorhandensein einer Dritthersteller-AV, nicht wirklich sauber deaktiviert.

Sprich, mit dem Problem solltest du weniger die Hotline der Anwendungssoftware konfrontieren, sondern eher die eures AV Herstellers.

Das bedeutet aber, das der Rechner nach dem Durchlaufen des Defender-Removers vom Ionut, eigentlich wieder sauber laufen sollte. 😉

https://github.com/ionuttbara/windows-defender-remover

Nur warum der Rechner dann im Zusammenhang mit Bitlocker schneller wurde wird ein Rätsel bleiben.

🤔 ... ich setze einen Kasten Bier auf einen Bug in der Deaktivierungsroutine des Bitlockers, der den Defender abschiesst. 🤪

Gruss Alex
MysticFoxDE
MysticFoxDE 09.08.2023 um 09:44:50 Uhr
Goto Top
Moin Zusammen,

kleiner Nachtrag, nachdem sich mein Rechner ohne mein zutun heute Nacht das neuste CU (2023-08) installiert hat ...

refender reenabled after cu

... hat sich der Defender von alleine wieder reaktiviert. 🤢🤮

Gruss Alex
ni.sch
ni.sch 09.08.2023 aktualisiert um 13:22:00 Uhr
Goto Top
Moin,

ich bin gerade dabei einfach mal noch zwei bisher unberührte DELL-Rechner in Gang zu bringen.
Einfach um auch auf diesen zu sehen wie das Verhalten des Defenders nach der Installation unseres AVs ist.

Bisher habe ich als erstes alle Windows-Updates installiert (auch CU 2023-08), dann alle Treiberupdates von DELL inkl. BIOS, dann Einbindung ins AD, dann unsere Software ohne AV installieren lassen.

Start der Software dauert 38 (+/- 1 ) Sekunden.

Dann habe ich alles im Securitycenter abgeschaltet was geht (GPOs werden immer noch nicht umgesetzt !??!?) und Bitlocker wieder aktiviert und deaktiviert um den Status von Post Netzwerkperfomance und div. Anwendungen langsam auf voll deaktiviert zu bringen.

Rechner neugestartet und Software gestartet: gut 16 Sekunden (Alex, dein Script lief noch nicht face-smile )
Dann alles im Security Center wieder aktiviert, Reboot, Software braucht 30-33 Sekunden.

Alex' Script laufen lassen - leider keine Änderung in dem Fall face-wink

Unseren AV installiert - keine Änderung.

Hier der Status per Powershell:
Vor unserem AV

AMEngineVersion                  : 1.1.23060.1005
AMProductVersion                 : 4.18.2201.11
AMRunningMode                    : Normal
AMServiceEnabled                 : True
AMServiceVersion                 : 4.18.2201.11
AntispywareEnabled               : True
AntispywareSignatureAge          : 0
AntispywareSignatureLastUpdated  : 08.08.2023 16:33:05
AntispywareSignatureVersion      : 1.393.2613.0
AntivirusEnabled                 : True
AntivirusSignatureAge            : 0
AntivirusSignatureLastUpdated    : 08.08.2023 16:33:05
AntivirusSignatureVersion        : 1.393.2613.0
BehaviorMonitorEnabled           : True
ComputerID                       : xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx
ComputerState                    : 0
DeviceControlDefaultEnforcement  : N/A
DeviceControlPoliciesLastUpdated : 08.08.2023 18:00:05
DeviceControlState               : N/A
FullScanAge                      : 4294967295
FullScanEndTime                  :
FullScanStartTime                :
IoavProtectionEnabled            : False
IsTamperProtected                : True
IsVirtualMachine                 : False
LastFullScanSource               : 0
LastQuickScanSource              : 0
NISEnabled                       : True
NISEngineVersion                 : 0.0.0.0
NISSignatureAge                  : 4294967295
NISSignatureLastUpdated          :
NISSignatureVersion              : 0.0.0.0
OnAccessProtectionEnabled        : True
QuickScanAge                     : 4294967295
QuickScanEndTime                 :
QuickScanStartTime               :
RealTimeProtectionEnabled        : True
RealTimeScanDirection            : 0
TamperProtectionSource           : UI
TDTMode                          : rsw
TDTStatus                        : Enabled
TDTTelemetry                     : Disabled
PSComputerName                   :

Nach unserem AV:

AMEngineVersion                  : 1.1.23060.1005
AMProductVersion                 : 4.18.2201.11
AMRunningMode                    : Passive Mode
AMServiceEnabled                 : True
AMServiceVersion                 : 4.18.2201.11
AntispywareEnabled               : True
AntispywareSignatureAge          : 0
AntispywareSignatureLastUpdated  : 08.08.2023 16:33:05
AntispywareSignatureVersion      : 1.393.2613.0
AntivirusEnabled                 : True
AntivirusSignatureAge            : 0
AntivirusSignatureLastUpdated    : 08.08.2023 16:33:05
AntivirusSignatureVersion        : 1.393.2613.0
BehaviorMonitorEnabled           : False
ComputerID                       : xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx
ComputerState                    : 0
DeviceControlDefaultEnforcement  : N/A
DeviceControlPoliciesLastUpdated : 08.08.2023 18:00:05
DeviceControlState               : N/A
FullScanAge                      : 4294967295
FullScanEndTime                  :
FullScanStartTime                :
IoavProtectionEnabled            : False
IsTamperProtected                : True
IsVirtualMachine                 : False
LastFullScanSource               : 0
LastQuickScanSource              : 0
NISEnabled                       : False
NISEngineVersion                 : 0.0.0.0
NISSignatureAge                  : 4294967295
NISSignatureLastUpdated          :
NISSignatureVersion              : 0.0.0.0
OnAccessProtectionEnabled        : False
QuickScanAge                     : 4294967295
QuickScanEndTime                 :
QuickScanStartTime               :
RealTimeProtectionEnabled        : False
RealTimeScanDirection            : 0
TamperProtectionSource           : UI
TDTMode                          : N/A
TDTStatus                        : N/A
TDTTelemetry                     : N/A
PSComputerName                   :

Sollte der Defender im passiven Modus nicht praktisch aus sein?


Edit: Ich habe jetzt unsere GPO für den Defender mal wieder auf Default gebracht - also auch den Phishinschutz wieder aktiviert. Auf meinem Rechner hat sich dadurch nichts verändert - er ist nach wie vor so schnell wie mit der Policy.
Laut Powershell ist der Defender auch nach wie vor komplett disabled und nicht nur im passive mode.
MysticFoxDE
MysticFoxDE 09.08.2023 aktualisiert um 19:16:43 Uhr
Goto Top
Moin Nico,

Sollte der Defender im passiven Modus nicht praktisch aus sein?

theoretisch ja, dass es praktisch nicht so ist, hast du ja selbst nun bewiesen.

Ich habe bei meiner Workstation heute wieder die Sophos AV installiert, jedoch ...

refender reenabled after cu 02

... juckt das den Defender nicht und er läuft dennoch nebenher weiter mit. 😭🤢🤮😡

@microsoft
WTF? 🤨
Ich glaub, ich muss euch wieder mal ein kleines Häufchen vor eure LinkedIn Vertriebstür legen.
(Soeben Erledig. 🤪)

Gruss Alex
ni.sch
ni.sch 10.08.2023 aktualisiert um 09:25:34 Uhr
Goto Top
Moin Alex,

also macht doch Sophos es eindeutig nicht richtig :D genau wie unser Securepoint AV Pro face-wink
Wobei der AV Pro ja wenigestens noch den Passive Mode erzwingt.

Ich weiss jetzt aber warum die GPO im Defender den Schutz nicht abschaltet - es ist tatsächlich der Manipulationsschutz des Defenders (Tamper Protection). Dieser verhindert - sofern aktiv - auch das eine GPO den Schutz abschaltet.
Wenn man den Manipulationsschutz manuell im Security Center deaktiviert und dann ein gpupdate /force macht, wird der Echtzeitschutz deaktiviert .......

https://learn.microsoft.com/de-de/microsoft-365/security/defender-endpoi ...

Und ganz super ist natürlich dass sich die Tamperprotection nicht per GRL deaktieren lässt - ein Schelm wer da Vertriebsluft seitens MS wittert ..... denn im Defender für O365 etc geht es ja ....
LauneBaer
LauneBaer 10.08.2023 um 09:55:29 Uhr
Goto Top
Ich bin zwar mittlerweile nur noch passiver Mitleser, der mit Spannung auf das Endergebnis hin fiebert.
Aber ich kann immerhin beisteuern, dass zumindest Trend Micro WFBS bei uns das sauber ausschaltet: (Windows 10)
unbenannt

Grüße und noch viel Erfolg bei der Suche!
MysticFoxDE
MysticFoxDE 10.08.2023 um 11:27:41 Uhr
Goto Top
Moin Nico,

also macht doch Sophos es eindeutig nicht richtig :D genau wie unser Securepoint AV Pro face-wink
😂🤣😂🤣, ja natürlich, MS kann es ja auf keinen Fall sein.

Wobei der AV Pro ja wenigestens noch den Passive Mode erzwingt.
Wie du es aber selber gemerkt hast, bringt das nicht wirklich viel. 😔

Ich weiss jetzt aber warum die GPO im Defender den Schutz nicht abschaltet - es ist tatsächlich der Manipulationsschutz des Defenders (Tamper Protection). Dieser verhindert - sofern aktiv - auch das eine GPO den Schutz abschaltet.
Wenn man den Manipulationsschutz manuell im Security Center deaktiviert und dann ein gpupdate /force macht, wird der Echtzeitschutz deaktiviert .......

https://learn.microsoft.com/de-de/microsoft-365/security/defender-endpoi ...

😯 … danke für diesen Hinweis! 👍👍👍

Wenn man das nach der Installation des CU2023-08 macht, sprich, vorher die „Tamper Protection“ des Defenders von Hand zu deaktivieren, dann funktioniert auch im Anschluss das Defender-Remover Skript vom Ionut wieder. 😁

refender disabled again

Und ganz super ist natürlich dass sich die Tamperprotection nicht per GRL deaktieren lässt - ein Schelm wer da Vertriebsluft seitens MS wittert ..... denn im Defender für O365 etc geht es ja ....

Ich habe da jetzt einen kleinen Verdacht, wahrscheinlich konnte die Sophos AV den Defender bei deren Installation nicht sauber deaktivieren, weil die „Tamper Protection“ des Defenders noch aktiv war. 😬

Gruss Alex
ni.sch
ni.sch 10.08.2023 um 12:17:19 Uhr
Goto Top
Hi Alex,

Zitat von @MysticFoxDE:

Moin Nico,


Ich habe da jetzt einen kleinen Verdacht, wahrscheinlich konnte die Sophos AV den Defender bei deren Installation nicht sauber deaktivieren, weil die „Tamper Protection“ des Defenders noch aktiv war. 😬

Gruss Alex

Den hatte ich auch, habe also unseren AV wieder deinstalliert, die Tamper Protection deaktiviert, unseren AV installiert, ändert leider (bei uns) nix.....

Zitat von @LauneBaer:

Ich bin zwar mittlerweile nur noch passiver Mitleser, der mit Spannung auf das Endergebnis hin fiebert.
Aber ich kann immerhin beisteuern, dass zumindest Trend Micro WFBS bei uns das sauber ausschaltet: (Windows 10)
unbenannt

Grüße und noch viel Erfolg bei der Suche!

Windows 10 macht da scheinbar auch keine Probleme. Es könnte sein, dass es erst ab Win 11 22H2 zu dem Verhalten kommt, oder erst ab einer gewissen Defender-Plattform-Version.
(Vgl. aus der KB von MS:
"Überprüfen des Status von Microsoft Defender Antivirus auf Ihrem Gerät

Sie können eine von mehreren Methoden verwenden, z. B. die Windows Sicherheits App oder Windows PowerShell, um den Status von Microsoft Defender Antivirus auf Ihrem Gerät zu überprüfen.

Wichtig

Ab Plattformversion 4.18.2208.0 und höher: Wenn ein Server in Microsoft Defender for Endpoint integriert wurde, deaktiviert die Gruppenrichtlinieneinstellung "Windows Defender deaktivieren" Windows Defender Antivirus unter Windows Server 2012 R2 und höher nicht mehr vollständig. Stattdessen wird es in den passiven Modus versetzt. Darüber hinaus ermöglicht das Manipulationsschutzfeature einen Wechsel in den aktiven Modus, aber nicht in den passiven Modus.

Wenn "Windows Defender deaktivieren" bereits vor dem Onboarding in Microsoft Defender for Endpoint vorhanden ist, wird keine Änderung vorgenommen, und Defender Antivirus bleibt deaktiviert.
Um Defender Antivirus in den passiven Modus zu wechseln, können Sie die ForceDefenderPassiveMode-Konfiguration mit dem Wert 1anwenden, auch wenn er vor dem Onboarding deaktiviert wurde. Um ihn in den aktiven Modus zu versetzen, legen Sie diesen Wert stattdessen auf fest 0 .

Beachten Sie die geänderte Logik fürForceDefenderPassiveMode, wenn der Manipulationsschutz aktiviert ist: Sobald Microsoft Defender Antivirus in den aktiven Modus umgeschaltet wurde, verhindert der Manipulationsschutz, dass es wieder in den passiven Modus wechselt, auch wenn ForceDefenderPassiveMode auf 1festgelegt ist."

Hier geht es zwar um Server, aber beim Durchforsten der KB habe ich den selben Text auch schon ohne Verweis auf Server gefunden - findes es jetzt aber nicht mehr....
MysticFoxDE
MysticFoxDE 10.08.2023 aktualisiert um 12:29:46 Uhr
Goto Top
Min Nico,

Beachten Sie die geänderte Logik fürForceDefenderPassiveMode, wenn der Manipulationsschutz aktiviert ist: Sobald Microsoft Defender Antivirus in den aktiven Modus umgeschaltet wurde, verhindert der Manipulationsschutz, dass es wieder in den passiven Modus wechselt, auch wenn ForceDefenderPassiveMode auf 1festgelegt ist."

Hier geht es zwar um Server, aber beim Durchforsten der KB habe ich den selben Text auch schon ohne Verweis auf Server gefunden - findes es jetzt aber nicht mehr....

das Verhalten ist bei den Clients leider 1:1 identisch. 😭

Gruss Alex

P.S. Ich habe übrigens die letzten Tage bei dem einen oder anderen Client unserer Kunden nach demselben Problem gezielt gesucht und bin gleich mehrfach fündig geworden. 😬😭
MysticFoxDE
MysticFoxDE 11.08.2023 um 08:09:36 Uhr
Goto Top
Moin @LauneBaer,

Aber ich kann immerhin beisteuern, dass zumindest Trend Micro WFBS bei uns das sauber ausschaltet: (Windows 10)
unbenannt

ähm, kann es sein, dass auf diesem Rechner KEIN Office 365 installiert ist?

Wenn ja, hast du einen mit O365?

Gruss Alex
MysticFoxDE
MysticFoxDE 11.08.2023 um 08:39:09 Uhr
Goto Top
Moin Nico,

Den hatte ich auch, habe also unseren AV wieder deinstalliert, die Tamper Protection deaktiviert, unseren AV installiert, ändert leider (bei uns) nix.....

ich habe da einen kleinen Verdacht.
Ist auf den Rechner wo sich der Defender nicht anständig deaktivieren lässt, rein zufällig auf schon ein Office 365 installiert?

Ich habe gestern einen Kundenadmin bei der Installation einer Workstation ein Stück weit mit begleitet und auf dieser wurde der Defender durch die Installation der Sophos-AV vollständig deaktiviert, ählich wie es auch das Skript vom Ionut macht, sprich, nicht nur Passiver Modus, sondern alles aus.
Auf dieser Workstation war jedoch weder CU 2023-08 installiert noch ein Office 365.
Dann hat der Admin das CU 2023-08 nachinstalliert und der Defender bliebt aus.

Auf meinem Rechner kann ich machen was ich will, das Setup der Sophos-AV schafft es auf diesem nicht den Defender zu deaktivieren, ich habe auf meinem Rechner jedoch ein Office 365 E3 bereits installiert.

Ich habe nun die Vermutung, dass die korrekte Abschaltung des Defenders durch eine Dritthersteller-AV Lösung, irgendwie durch die Sicherheitskomponenten des O365 geblockt wird.

Bei den Servern passiert übrigens derselbe Murks, sprich, dass der Defender weiterhin voll mitläuft obwohl eine andere AV-Lösung installiert wurde. 🤢🤮

Dort lässt sich das Problem jedoch sehr einfach beheben, indem man den Defender mit ...
Remove-WindowsFeature -Name "Windows-Defender"  
... einfach deinstalliert.

Gruss Alex
ni.sch
ni.sch 11.08.2023 aktualisiert um 10:50:25 Uhr
Goto Top
Moin Alex,

die DELL-Vorinstallationen haben ein Office 365, welches ich aber mit dem Scrubbingtool deinstalliere, da bei uns Office 2019/2021 LTSC im Einsatz ist. Es wäre natürlich durchaus denkbar, dass dieses auch nicht alles sauber entfernt und der Defender aktiv bleibt.

Edit: Kennst du die Windows Build, bzw. die Defender-Plattformversion des Kunden?

Gestern habe ich noch einen neuen DELL und einen von Wortmann in Gang gebracht, um zu probieren was passiert wenn ich immer mal das Netzwerk trenne, also Windows nicht sofort immer alle Updates laden kann - leider meckert es ja bei der Ersteinrichtung, dass es ohne Internet nicht weiter geht.
Ich habe dann das Netzwerkkabel abgezogen wenn die Einrichtung des Benutzerkontos stattfindet ("Bitte warten .... bla ... wir sind gleich soweit ... bla...").
Beide Rechner hatten unterschiedliche Win11 22H2 Buildstände und somit auch unterschiedliche Defender-Plattformversionen. Aber alles neuer als 4.18.2208.0 wo sich der Defender ja auch auf Servern nur noch in den Passive Mode versetzt.
Ich habe dann als aller erstes unseren AV installiert, ohne Updates oder sonst was - ohne Erfolg.
Daher kam meine Idee, dass ich mal eine Installation mit 21H2 probiere um zu sehen ob das Verhalten dort anders ist.

Ich habe ja aber auch einen Rechner per MCT und einen mit dem ISO mit Rufus neu installiert - hier natürlich ohne vorinstallieres O365, aber vermutlich mit einer recht neuen Defender-Plattform.

Gruß Nico
ni.sch
ni.sch 11.08.2023 aktualisiert um 12:49:09 Uhr
Goto Top
So,

die erste Erkenntnis:
- Eine Installation von Win11 21H1 erkennt erstmal die Netzwerkchips (Intel I219) nicht selbst face-wink
- Nach der Installation von Windows, der Installation des Netzwerktreibers, dem Beitritt ins AD und der Installation unseres AV, ist der Defender komplett deaktiviert!

Direkt nach der Installation (ohne NIC-Treiber):
PS C:\Windows\system32> get-mpcomputerstatus


AMEngineVersion                 : 1.1.17300.4
AMProductVersion                : 4.18.2104.10
AMRunningMode                   : Normal
AMServiceEnabled                : True
AMServiceVersion                : 4.18.2104.10
AntispywareEnabled              : True
AntispywareSignatureAge         : 1108
AntispywareSignatureLastUpdated : 28.07.2020 21:44:27
AntispywareSignatureVersion     : 1.321.69.0
AntivirusEnabled                : True
AntivirusSignatureAge           : 1108
AntivirusSignatureLastUpdated   : 28.07.2020 21:44:27
AntivirusSignatureVersion       : 1.321.69.0
BehaviorMonitorEnabled          : True
ComputerID                      : xxxxxxxxxxxxxxxxxxxx
ComputerState                   : 0
FullScanAge                     : 4294967295
FullScanEndTime                 :
FullScanStartTime               :
IoavProtectionEnabled           : True
IsTamperProtected               : True
IsVirtualMachine                : False
LastFullScanSource              : 0
LastQuickScanSource             : 0
NISEnabled                      : True
NISEngineVersion                : 1.1.17300.4
NISSignatureAge                 : 1108
NISSignatureLastUpdated         : 28.07.2020 21:44:27
NISSignatureVersion             : 1.321.69.0
OnAccessProtectionEnabled       : True
QuickScanAge                    : 4294967295
QuickScanEndTime                :
QuickScanStartTime              :
RealTimeProtectionEnabled       : True
RealTimeScanDirection           : 0
TamperProtectionSource          : Signatures
PSComputerName                  :

Nach Installation unseres AV:
PS C:\Windows\system32> get-mpcomputerstatus


AMEngineVersion                 : 0.0.0.0
AMProductVersion                : 4.18.2104.10
AMRunningMode                   : Not running
AMServiceEnabled                : False
AMServiceVersion                : 0.0.0.0
AntispywareEnabled              : False
AntispywareSignatureAge         : 4294967295
AntispywareSignatureLastUpdated :
AntispywareSignatureVersion     : 0.0.0.0
AntivirusEnabled                : False
AntivirusSignatureAge           : 4294967295
AntivirusSignatureLastUpdated   :
AntivirusSignatureVersion       : 0.0.0.0
BehaviorMonitorEnabled          : False
ComputerID                      : xxxxxxxxxxxxxxxxxxxx
ComputerState                   : 0
FullScanAge                     : 4294967295
FullScanEndTime                 :
FullScanStartTime               :
IoavProtectionEnabled           : False
IsTamperProtected               : False
IsVirtualMachine                : False
LastFullScanSource              : 0
LastQuickScanSource             : 0
NISEnabled                      : False
NISEngineVersion                : 0.0.0.0
NISSignatureAge                 : 4294967295
NISSignatureLastUpdated         :
NISSignatureVersion             : 0.0.0.0
OnAccessProtectionEnabled       : False
QuickScanAge                    : 4294967295
QuickScanEndTime                :
QuickScanStartTime              :
RealTimeProtectionEnabled       : False
RealTimeScanDirection           : 0
TamperProtectionSource          : Signatures
PSComputerName                  :

Jetzt mache ich noch alle Updates, installiere unsere Programme und werde testen.

Edit:
So, das vorläufige Ergebnis:
Nach der Installation aller Treiber, Window-Updates (auch CU 2023-08 für 21H2) und unserer Programme bleibt der Defender aus und unser Programm startet in unter 10 Sekunden - so wie es sein soll.
Nun bleibt spannend was passiert wenn die Rechner 22H2 per Update anbieten. Aber die Rechner aus dem letzten Jahr haben ja auch schon 22H2 bekommen und sind schnell geblieben.


Für mich (und sicher andere) heisst das dann wohl leider, alle lahmen Rechner jetzt mit 21H2 neu zu installieren..... ein Träumchen was MS da abliefert.

Gruß
MysticFoxDE
MysticFoxDE 11.08.2023 aktualisiert um 11:21:21 Uhr
Goto Top
Moin Nico,

Nach Installation unseres AV:
PS C:\Windows\system32> get-mpcomputerstatus


AMEngineVersion                 : 0.0.0.0
AMProductVersion                : 4.18.2104.10
AMRunningMode                   : Not running
AMServiceEnabled                : False
AMServiceVersion                : 0.0.0.0
AntispywareEnabled              : False
AntispywareSignatureAge         : 4294967295
AntispywareSignatureLastUpdated :
AntispywareSignatureVersion     : 0.0.0.0
AntivirusEnabled                : False
AntivirusSignatureAge           : 4294967295
AntivirusSignatureLastUpdated   :
AntivirusSignatureVersion       : 0.0.0.0
BehaviorMonitorEnabled          : False
ComputerID                      : xxxxxxxxxxxxxxxxxxxx
ComputerState                   : 0
FullScanAge                     : 4294967295
FullScanEndTime                 :
FullScanStartTime               :
IoavProtectionEnabled           : False
IsTamperProtected               : False
IsVirtualMachine                : False
LastFullScanSource              : 0
LastQuickScanSource             : 0
NISEnabled                      : False
NISEngineVersion                : 0.0.0.0
NISSignatureAge                 : 4294967295
NISSignatureLastUpdated         :
NISSignatureVersion             : 0.0.0.0
OnAccessProtectionEnabled       : False
QuickScanAge                    : 4294967295
QuickScanEndTime                :
QuickScanStartTime              :
RealTimeProtectionEnabled       : False
RealTimeScanDirection           : 0
TamperProtectionSource          : Signatures
PSComputerName                  :

🤔 ... interessant, bei einem älteren W11 Stand, schein die Installation eurer AV Lösung, den Defender ebefalls vollständig zu deaktivieren.

Jetzt mache ich noch alle Updates, installiere unsere Programme und werde testen.

Ich glaub, ich weiss jetzt schon was danach rauskommt.
Der Defender bleibt aus und die Apps rennen schnell und nach meinem Script noch etwas schneller.

Jedoch schmeckt mir überhaupt nicht, was das als Konsequenz bedeuten würde.
Sprich, zuerst auf der Workstation ein älteres W11 installieren, dann den AV-Schutz und dann erst updaten.
Ja, OK, alternativ kann man mit dem Defender-Remover vom Ionut auch im Nachgang den Defender raushauen, auch nach CU 2023-08. Beides ist jedoch, vor allem was den Zusatzaufwandangeht angeht, absolut ätzend.

Hast du den Defender-Remover eigentlich schon mal an einer Workstation die mit angezogener Handbremse läuft, sprich wo der Defender aktiv ist, getestet?

Gruss Alex
ni.sch
ni.sch 11.08.2023 aktualisiert um 11:23:42 Uhr
Goto Top
Du sagst es - siehe Edit über dir face-smile

Edit: Beide heute neu installierten Rechner waren übrigens welche von Wortmann, welche mit 22H2 das Problem hatten.
Gleich kommt der erste DELL dran zum Test.
ni.sch
ni.sch 11.08.2023 aktualisiert um 12:55:44 Uhr
Goto Top
Zitat von @MysticFoxDE:

Moin Nico,

Der Defender bleibt aus und die Apps rennen schnell und nach meinem Script noch etwas schneller.
Ohne Script 9,5 Sekunden, mit Script glatt 8.
Natürlich mit entsprechender Messungenauigkeit beim Drücken mit den dicken Fingern auf der Stoppuhr am klugen Telefon :D
Hast du den Defender-Remover eigentlich schon mal an einer Workstation die mit angezogener Handbremse läuft, sprich wo der Defender aktiv ist, getestet?
Tatsächlich nicht - mein Firefox meldet dabei Schadsoftware face-smile
Gruss Alex
Gruß
MysticFoxDE
MysticFoxDE 11.08.2023 um 15:35:19 Uhr
Goto Top
Moin Nico,

Der Defender bleibt aus und die Apps rennen schnell und nach meinem Script noch etwas schneller.
Ohne Script 9,5 Sekunden, mit Script glatt 8.
Natürlich mit entsprechender Messungenauigkeit beim Drücken mit den dicken Fingern auf der Stoppuhr am klugen Telefon :D

😁 ... das ist schon OK, das sind ja auch vertrieblich gerechnet immerhin +~20%. 🤪

Hast du den Defender-Remover eigentlich schon mal an einer Workstation die mit angezogener Handbremse läuft, sprich wo der Defender aktiv ist, getestet?
Tatsächlich nicht - mein Firefox meldet dabei Schadsoftware face-smile

Ja, weil es, wie es auch z.B. Schädlinge versuchen den Defender raus zu rupfen.
Ansonsten ist die die EXE sauber.
Der Code selber ist ja in Batch geschrieben und kann jederzeit von jedermann, relativ einfach überprüft werden.
Ich habe selbst schon einen grossteil des Codes angesehen, weil mich interessiert hat, wie Ionut manche Berechtigungsproblemchen gelöst hat und habe dabei auch noch nichts schmutziges gesehen.

Gruss Alex
LauneBaer
LauneBaer 11.08.2023 um 16:07:44 Uhr
Goto Top
Zitat von @MysticFoxDE:

Moin @LauneBaer,

Aber ich kann immerhin beisteuern, dass zumindest Trend Micro WFBS bei uns das sauber ausschaltet: (Windows 10)
unbenannt

ähm, kann es sein, dass auf diesem Rechner KEIN Office 365 installiert ist?

Wenn ja, hast du einen mit O365?

Gruss Alex

Leider nicht, wir haben nur Office 2019 Home and Business im Einsatz. Ab Oktober gehts aber mit O365 los, dann kann ich das nochmal testen, wenn notwendig. face-smile
MysticFoxDE
MysticFoxDE 11.08.2023 um 21:03:53 Uhr
Goto Top
Moin @LauneBaer,
Moin @ni.sch,

Leider nicht, wir haben nur Office 2019 Home and Business im Einsatz. Ab Oktober gehts aber mit O365 los, dann kann ich das nochmal testen, wenn notwendig. face-smile

Ich bin heute schon etwas weitergekommen.
Bis zu einem bestimmten Stand von Windows 11 22H2, kann das Setup der Sophos AV den Defender komplett abschalten!

Ab einem bestimmten Stand von Windows 11 22H2, den ich bisher leider noch nicht genau ermitteln konnte, kann das Setup der Sophos AV den Defender nicht mehr deaktivieren, sondern höchstens in den Passiven Modus versetzen, was in beiden Fällen zu einer deutlichen Performanceminderung führt. 🤢🤮

Das alles kann doch langsam nur ein schlechter Scherz sein. 😡

@microsoftianer
Kann es sein, dass ihr mittlerweile den ganzen Tag nur noch das falsche Kraut raucht?

Gruss Alex
ni.sch
ni.sch 11.08.2023 um 22:33:43 Uhr
Goto Top
Zitat von @MysticFoxDE:

Moin @LauneBaer,
Moin @ni.sch,

Leider nicht, wir haben nur Office 2019 Home and Business im Einsatz. Ab Oktober gehts aber mit O365 los, dann kann ich das nochmal testen, wenn notwendig. face-smile

Ich bin heute schon etwas weitergekommen.
Bis zu einem bestimmten Stand von Windows 11 22H2, kann das Setup der Sophos AV den Defender komplett abschalten!

Ab einem bestimmten Stand von Windows 11 22H2, den ich bisher leider noch nicht genau ermitteln konnte, kann das Setup der Sophos AV den Defender nicht mehr deaktivieren, sondern höchstens in den Passiven Modus versetzen, was in beiden Fällen zu einer deutlichen Performanceminderung führt. 🤢🤮

Das alles kann doch langsam nur ein schlechter Scherz sein. 😡

@microsoftianer
Kann es sein, dass ihr mittlerweile den ganzen Tag nur noch das falsche Kraut raucht?

Gruss Alex

Hi Alex,

vllt. ist es ja gar nicht Win11 selbst, sondern wirklich die Defenderplattform, die undokumentiert (bzw. oder besser von mir nicht gefunden) am Client das gleiche macht wie an Server 2012 - also ab 4.18.2208.0?

Der DELL- Rechner den ich heute noch neu gemacht habe (der der zum Schluss teils Minuten zum Start des Programmes brauchte) rennt jetzt auch sauber mit 21H2. Und eben der Defenderplattform 4.18.2104.

Mir ist aber auch aufgefallen dass der Defender nicht immer sofort nach Installation des eigenen AV aus ist, sondern manchmal erst nach einem Reboot.

Jetzt müsste man schauen ob es 22H2-ISOs gibt, welche noch die ältere Plattform (also vor 4.18.2208.0) haben - wenn dann vllt das erste, dann wäre es ja eigtl. der Beleg.

Gruß
Nico
MysticFoxDE
Lösung MysticFoxDE 12.08.2023 um 11:21:45 Uhr
Goto Top
Moin Nico,

vllt. ist es ja gar nicht Win11 selbst, sondern wirklich die Defenderplattform, die undokumentiert (bzw. oder besser von mir nicht gefunden) am Client das gleiche macht wie an Server 2012 - also ab 4.18.2208.0?

ich bin auch der Ansicht, dass es an der Defender Plattform liegt, aber deren Funktionsumfang ist, wenn ich das richtig verstanden habe, zum Teil ja auch vom OS-Stand abhängig.

Zudem muss man so wie ich das sehe, auch zwischen „Defender Antivirus“ und „Defender for Endpoint“ unterscheiden.
Wo da der genaue unterschied ist, ausser dass bei „Defender for Endpoint“ der Defender bewusst in die Microsoft-X-Kloud integriert und über diese gesteuert wird, habe ich nichts weiter gefunden. Sprich, es ist so wie ich das verstehe, beides mal dieselbe AV-Plattform auf dem Client, die sich je nach Situation, zum Teil ganz anders verhält.

Wie man nun auf einem Client herausfindet, ob dessen Defender nun im „Defender Antivirus“ oder im „Defender for Endpoint“ Modus läuft, habe ich bisher leider noch nicht herausgefunden.

Wie auch immer, ich habe mittlerweile mehrere sehr interessante aber auch sehr verwirrende Dokus vom Microsoft zu diesem Thema gefunden.

https://github.com/MicrosoftDocs/microsoft-365-docs/blob/public/microsof ...

In der z.B. solche Dinge stehen ...

ms-defender-ii-01

..., sprich, dass (bei Servern) ab der Plattformversion 4.18.2208.0 beim „Defender for Endpoint“, die GPO zum Abschalten des Defenders, den „Defender for Endpoint“ nicht mehr vollständig deaktiviert, sondern nur noch in den passiven Modus versetzen kann.

Den nächsten Satz mit …
„In addition, the tamper protection allows a switch to active mode, but not to passive mode.“
… verstehe ich ehrlich gesagt auch nach dem zehnten Mal Lesen immer noch nicht wirklich.
Was soll ich den bitte aus „Darüber hinaus ermöglicht der Manipulationsschutz einen Wechsel in den Aktivmodus, nicht jedoch in den Passivmodus.“, den herausinterpretieren?
Für mich hört sich dieser so an, als ob der Defender bei eingeschalteter Tamper Protection, immer im Aktivmodus läuft und nicht zum Passivmodus wechseln darf.

Das würde jedoch auch bedeuten, dass wenn bei der Installation einer Dritthersteller-AV-Lösung, die Tamper Protection des Defenders nicht deaktiviert ist, der Defender auch nicht in den Passivmodus wechseln darf. 😬

Den Punkt mit …

„If "Turn off Windows Defender" is already in place before onboarding to Microsoft Defender for Endpoint, Microsoft Defender Antivirus remains disabled.“

… finde ich in diesem Abschnitt der Doku auch sehr spannend.
Sprich, wenn man den „Defender Antivirus“ deaktiviert, bevor sich dieser gewollt oder ungewollt zu einem „Defender for Endpoint“ verwandelt, bleibt der Defender aus.

🤔 … dieses Verhalten kommt mir irgendwie bekannt vor.


Dann habe ich bezüglich des passiven Modus noch diese interessante Microsoft-Doku gefunden, in der das folgende steht …

https://learn.microsoft.com/en-us/microsoft-365/security/defender-endpoi ...

ms-defender-ii-03

… und laut dieser Aussage, ist der Passivmodus des Defenders nur dann verfügbar, wenn dieser zu einem „Defender for Endpoint“ verwandelt wurde, sprich, erst nach der vollständig Microsoft-X-Kloud-Assimilierung des Defenders. 😱

Das steht übrigens auch nochmals in dem folgenden Punkt dieser Doku so geschrieben.

ms-defender-ii-02

Dann steht hier übrigens auch noch schwarz auf weiss geschrieben, dass der Defender sich beim Vorhandensein einer Dritt-AV-Lösung, automatisch, also komplett von selbst eigentlich deaktivieren sollte ...
ja, ich weiss, Witz komm raus du bist umzingelt. 😔

Und dann steht da auch noch etwas interessantes bezüglich des Defenders auf den Servern geschrieben. Bei diesen wird der Defender laut dieser Doku, beim Installieren einer Dritt-AV-Lösung überhaupt nicht automatisch deaktiviert, sondern muss von Hand deaktiviert oder deinstalliert werden. 😮 … 🙈 … 🤢🤮

Zwischenfazit:
So wie es aussieht, ist es bei einem aktuell gepatchten W11 22H2 überhaupt nicht vorgesehen, weder den „Defender Antivirus“ noch den „Defender for Endpoint“, komplett von Hand zu deaktivieren.
Wird auf diesem W11 eine Dritt-AV-Lösung installiert, so sollte der „Defender Antivirus“ das laut seinem Schöpfer automatisch erkennen, und sich VOLLSTÄNDIG deaktivieren, was aber absolut nicht gewährleistet ist. Beim „Defender for Endpoint“, ist eine Deaktivierung überhaut nicht mehr vorgesehen. Stattdessen läuft dieser immer, entweder voll oder in einem etwas Abgespeckten Passivmodus mit, sprich, angezogene Handbremse. 🤨😱
Und nein, das ist kein Scherz, siehe auch …

ms-defender-ii-04

Ferner habe ich wahrscheinlich auch den Grund herausgefunden, warum ich glaube, dass mein Defender wiederum glaubt, ein „Defender for Endpoint“ zu sein, obwohl ich kein „Onboarding“ gemacht habe. Ich habe auf meiner Workstation auch ein Office 365 E3 Installiert und bei diesem ist der „Defender for Endpoint“ automatisch innbegriffen.

Sprich, durch die Installation des O365 E3, hat sich mein „Defender Antivirus“ wahrscheinlich automatisch zu einem „Defender for Endpoint“ verwandelt.

Das würde auch erklären, warum die Installation der Sophos-AV bei meiner Workstation den Defender nicht abschalten und auch nicht in den Passivmodus versetzen konnte. Denn Abschalten ist beim „Defender for Endpoint“ nicht vorgesehen und in den passiven Modus konnte die Installation den Defender auch nicht versetzen, weil bei diesem das „Onboarding“ nicht durchgeführt wurde.

So jetzt benötige ich aber erstmal eine längere Pause.
Dieser ganze Defender-Murks, macht einen ganz schön kirre.

Gruss Alex
ni.sch
ni.sch 14.08.2023 aktualisiert um 15:21:38 Uhr
Goto Top
Zitat von @MysticFoxDE:

Moin Nico,
Hi Alex,

Zwischenfazit:
So wie es aussieht, ist es bei einem aktuell gepatchten W11 22H2 überhaupt nicht vorgesehen, weder den „Defender Antivirus“ noch den „Defender for Endpoint“, komplett von Hand zu deaktivieren.
Wird auf diesem W11 eine Dritt-AV-Lösung installiert, so sollte der „Defender Antivirus“ das laut seinem Schöpfer automatisch erkennen, und sich VOLLSTÄNDIG deaktivieren, was aber absolut nicht gewährleistet ist. Beim „Defender for Endpoint“, ist eine Deaktivierung überhaut nicht mehr vorgesehen. Stattdessen läuft dieser immer, entweder voll oder in einem etwas Abgespeckten Passivmodus mit, sprich, angezogene Handbremse. 🤨😱
Und nein, das ist kein Scherz, siehe auch …

ms-defender-ii-04

Ferner habe ich wahrscheinlich auch den Grund herausgefunden, warum ich glaube, dass mein Defender wiederum glaubt, ein „Defender for Endpoint“ zu sein, obwohl ich kein „Onboarding“ gemacht habe. Ich habe auf meiner Workstation auch ein Office 365 E3 Installiert und bei diesem ist der „Defender for Endpoint“ automatisch innbegriffen.

Sprich, durch die Installation des O365 E3, hat sich mein „Defender Antivirus“ wahrscheinlich automatisch zu einem „Defender for Endpoint“ verwandelt.

Das würde auch erklären, warum die Installation der Sophos-AV bei meiner Workstation den Defender nicht abschalten und auch nicht in den Passivmodus versetzen konnte. Denn Abschalten ist beim „Defender for Endpoint“ nicht vorgesehen und in den passiven Modus konnte die Installation den Defender auch nicht versetzen, weil bei diesem das „Onboarding“ nicht durchgeführt wurde.

So jetzt benötige ich aber erstmal eine längere Pause.
Dieser ganze Defender-Murks, macht einen ganz schön kirre.

Gruss Alex

Das kann ich so nur bestätigen, bzw. dem kann ich nur zustimmen.

Mein Rechner (DELL von 2022) wurde von mir mit 22H2 installiert, MCT-Stick von Ende letzten Jahres .... und da wurde der Defender ja noch komplett deaktiviert.
Meine (ersten) Neuinstallationsversuche waren auch noch mit genau diesem Stick - es muss also ein Update sein was per Windowsupdate kommt.
Eine API-Änderung für die Dritt-AVs?

U.U. sitzen wir hier vllt. die ganze Zeit einem Bug auf, der nur noch nirgends als Bug wahrgenommen/gemeldet wurde?
Also vllt. es es ja ein Bug dass sich der Defender also "non-Endpoint" nicht deaktiviert?
Also ausser wenn man Glück hat durch Bitlocker face-big-smile

Oder MS kommt nicht hinterher ihren KnowledgeBase-Brei konsistent zu aktualisieren.

Vielen Dank aber dennoch für dein unermüdliches Mitdenken, sowas ist viel wert!

Ich würde das Thema hiermit dann erst mal als gelöst markieren.
Aber ich bitte natürlich weiterhin um Anregungen, oder Ideen sofern jemandem noch etwas ein-/auffällt.
Es kann ja durchaus sein, dass andere ähnlich gelagerte Problem haben, die den gleichen Ursprung haben könnten.

Gruß
Nico
MysticFoxDE
MysticFoxDE 14.08.2023, aktualisiert am 15.08.2023 um 07:15:59 Uhr
Goto Top
Moin Nico,

Aber ich bitte natürlich weiterhin um Anregungen, oder Ideen sofern jemandem noch etwas ein-/auffällt.

aber klar, für mich ist das Thema noch nicht ganz durch.

!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
UPDATE 15.08.2023
Ich habe meinem Kollegen gestern leider einen Stick mit einem aktuellen W11 21H2 gegeben und nicht 22H2. 😬
Sprich, die untere Aussage betrifft ein W11 21H2 und nicht 22H2.
Sorry, aber auch IT-Füchse machen mal Fehler. 🤪
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!

Heute hat mein Kollege bei einer der beiden CAD Powerworkstations, die wir für einen unserer Kunden selbst assembliert haben, die folgenden Prozeduren gemacht.

Erster Testdurchlauf:
Installation von W11 22H2 Enterprise mithilfe der neusten W11 ISO von Juli 2023 (VS Subscription) ohne die Default Einstellungen des BIOS zu verändern. Dann hat mein Kollege sofort nach der OS Installation von W11 und ohne etwas dazwischen Anzupassen, die Sophos-AV Installiert, den Rechner danach durchgebootet und der Defender war anschliessend komplett deaktiviert.
Bei diesem Zustand meckerte der Windows Sicherheit Center unter Gerätesicherheit übrigens an, dass die Hardware in diesem Zustand, nicht die Anforderungen für standardmässige Hardwaresicherheit erfüllen würde, sprich, nicht "Secure-Core" tauglich wäre.
Eine kurze Prüfung des BitLocker ergabt, dass dieser per default sich auch nicht aktiviert hat.

Zweiter Test:
Bei zweiten Durchlauf hat mein Kollege zuerst das BIOS der entsprechenden Workstation securitytechnisch etwas optimiert. Dann wurde auf die Workstation wieder dasselbe W11 Enterprise 22H2 in der aktuellsten Version installiert und als nächstes wurden zuerst sämtliche Treiber und anschliessend alle ausstehenden Windowsupdates installiert.
Unter Gerätesicherheit wurde nun bestätigt, das die Hardware nun sogar den erweiterten Anforderungen für Hardwaresicherheit erfüllen würde, sprich, damit theoretisch zu 100% "Secure-Core" tauglich wäre. 🤪
Nun hatte ich vermutet, dass der BitLocker in dieser Konstellation auf jeden Fall per default an wäre, aber Pustekuchen, das ding war auch in diesem Fall nicht per default aktiviert worden.
Dann hat mein Kollege als nächstes die Sophos-AV drauf installiert und den Rechner anschliessend neu gestartet
und auch dieses Mal hat die Installation der Sophos-AV, den Defender vollständig deaktiviert.

Sprich, dieser Punkt scheint sich zunächst mal zu bestätigen ...

ms-defender-ii-05

... zumindest dann, wenn man für die W11 Installation eine Standard-ISO von Microsoft benutzt.

Als nächstes wiederholt mein Kollege morgen den zweiten Test, aber dieses Mal, installiert er vor der Sophos-AV, zuerst ein O365 E3. Bin schon echt gespannt was dabei rauskommt.

Es kann ja durchaus sein, dass andere ähnlich gelagerte Problem haben, die den gleichen Ursprung haben könnten.

Ja, es haben definitiv auch andere das Problem und nicht nur wir zwei, die meisten Anderen haben es bisher wahrscheinlich nur noch nicht gefunden. 🙃

Siehe auch Kommentare von meinem "Schwesterpost" beim WBSC in LinkedIn. 😉
https://www.linkedin.com/feed/update/urn:li:activity:7095089288962285568 ...

Gruss Alex
ni.sch
ni.sch 14.08.2023 um 21:24:55 Uhr
Goto Top
Hi Alex,

für mich ist das auch nicht durch face-smile

In Ermangelung einer MSDN-Sub, werde ich morgen mal den MCT-Stick aktuell machen - vllt hat der dann auch Stand Juli (ich vermute allerdings nicht).

Komisch finde ich nämlich auch die Neuinstallationsversuche von mir, bei denen der Defender ja aktiv blieb.
Das war ja ein zu dem Zeitpunkt erzeugter MCT-Stick und alternativ eine dankenswerterweise bereitgestellte Juni-ISO face-wink

Bei den Werksinstallationen würde ich noch beim vorinstallierten Office 365 mitgehen, dass dieses als Fehlerquelle den Defender vernagelt.

Aber bei einer officelosen Neuinstallation? Natürlich mit allen Updates VOR der Installation unseres AV, aber da es bei euch mit allen Updates jetzt klappt....

Evtl. hat MS ja den "Bug" in der Juli-Ausgabe gefixt und verteilt das Update aber noch nicht?!

Gruß Nico
MysticFoxDE
MysticFoxDE 15.08.2023 aktualisiert um 07:25:22 Uhr
Goto Top
Moin Nico,

In Ermangelung einer MSDN-Sub, werde ich morgen mal den MCT-Stick aktuell machen - vllt hat der dann auch Stand Juli (ich vermute allerdings nicht).

Hab dir gerade eine PN geschickt, ist aber W11 22H2 vom Juni 23, die von Juli lade ich gerade hoch und schicke dir den Link sobald der Upload durch ist.

Komisch finde ich nämlich auch die Neuinstallationsversuche von mir, bei denen der Defender ja aktiv blieb.
Das war ja ein zu dem Zeitpunkt erzeugter MCT-Stick und alternativ eine dankenswerterweise bereitgestellte Juni-ISO face-wink

Siehe meine Ergänzung in dem gestrigen Post, das war leider ein W11 21H2. 😬

Sprich, ich mache gerade den Stick mit 22H2 Stand Juli 23 fertig und dann geht's von vorne los.

Gruss Alex
MysticFoxDE
MysticFoxDE 15.08.2023 aktualisiert um 08:50:19 Uhr
Goto Top
Moin Nico,

ich habe soeben eine der neuen Workstations nun mit dem richtigen Stick, sprich, mit W11 22H2 Stand Juli 2023, ansonsten so wie bereits hier beschrieben installiert ...

Zweiter Test:
Bei zweiten Durchlauf hat mein Kollege zuerst das BIOS der entsprechenden Workstation securitytechnisch etwas optimiert. Dann wurde auf die Workstation wieder dasselbe W11 Enterprise 22H2 in der aktuellsten Version installiert und als nächstes wurden zuerst sämtliche Treiber und anschliessend alle ausstehenden Windowsupdates installiert.
Unter Gerätesicherheit wurde nun bestätigt, das die Hardware nun sogar den erweiterten Anforderungen für Hardwaresicherheit erfüllen würde, sprich, damit theoretisch zu 100% "Secure-Core" tauglich wäre. 🤪
Nun hatte ich vermutet, dass der BitLocker in dieser Konstellation auf jeden Fall per default an wäre, aber Pustekuchen, das ding war auch in diesem Fall nicht per default aktiviert worden.
Dann hat mein Kollege als nächstes die Sophos-AV drauf installiert und den Rechner anschliessend neu gestartet
und auch dieses Mal hat die Installation der Sophos-AV, den Defender vollständig deaktiviert.

jedoch kam dieses Mal, leider ein etwas anderes Ergebnis heraus. 😬
Was den BitLocker angeht, der bliebt auch dieses mal aus.

Was jedoch den Defender angeht, na ja, schau am Besten selber ...

w11 22h2 defender pm after sophos

..., jup, dasselbe Setup vom Sophos, welches gestern auf W11 21H2 noch den Defender ausschalten konnte,
hat diesen nun auf dem jetzigen W11 22H2, den Defender lediglich in den passiven Modus versetzt, obwohl ich den Defender auf dieser Workstation, ganz sicher noch nicht geonboarded habe. Auch ist auf dieser Workstation, überhaupt kein O365 drauf.

Sprich, unsere Probleme, kommen einzig und alleine durch Änderungen am W11. 😭

Und mit den Dokus von MS wo drinsteht, dass der passive Modus nur nach einem Onboarding funktioniert,
kann man sich wohl höchstens den Hintern wischen. 😔

Gruss Alex
ni.sch
ni.sch 15.08.2023 aktualisiert um 10:04:38 Uhr
Goto Top
Zitat von @MysticFoxDE:

Moin Nico,

Moin Alex,
ich habe soeben eine der neuen Workstations nun mit dem richtigen Stick, sprich, mit W11 22H2 Stand Juli 2023, ansonsten so wie bereits hier beschrieben installiert ...

Zweiter Test:
Bei zweiten Durchlauf hat mein Kollege zuerst das BIOS der entsprechenden Workstation securitytechnisch etwas optimiert. Dann wurde auf die Workstation wieder dasselbe W11 Enterprise 22H2 in der aktuellsten Version installiert und als nächstes wurden zuerst sämtliche Treiber und anschliessend alle ausstehenden Windowsupdates installiert.
Unter Gerätesicherheit wurde nun bestätigt, das die Hardware nun sogar den erweiterten Anforderungen für Hardwaresicherheit erfüllen würde, sprich, damit theoretisch zu 100% "Secure-Core" tauglich wäre. 🤪
Nun hatte ich vermutet, dass der BitLocker in dieser Konstellation auf jeden Fall per default an wäre, aber Pustekuchen, das ding war auch in diesem Fall nicht per default aktiviert worden.
Dann hat mein Kollege als nächstes die Sophos-AV drauf installiert und den Rechner anschliessend neu gestartet
und auch dieses Mal hat die Installation der Sophos-AV, den Defender vollständig deaktiviert.

jedoch kam dieses Mal, leider ein etwas anderes Ergebnis heraus. 😬
Was den BitLocker angeht, der bliebt auch dieses mal aus.

Was jedoch den Defender angeht, na ja, schau am Besten selber ...

w11 22h2 defender pm after sophos

..., jup, dasselbe Setup vom Sophos, welches gestern auf W11 21H2 noch den Defender ausschalten konnte,
hat diesen nun auf dem jetzigen W11 22H2, den Defender lediglich in den passiven Modus versetzt, obwohl ich den Defender auf dieser Workstation, ganz sicher noch nicht geonboarded habe. Auch ist auf dieser Workstation, überhaupt kein O365 drauf.

Sprich, unsere Probleme, kommen einzig und alleine durch Änderungen am W11. 😭

Und mit den Dokus von MS wo drinsteht, dass der passive Modus nur nach einem Onboarding funktioniert,
kann man sich wohl höchstens den Hintern wischen. 😔

Gruss Alex

Oder aber eben an der konkreten Defenderplattform, welche in aktuellen Medien neuer ist als in 21H2.
Bei 21H1 ohne Updates oder sonst was ist es
AMEngineVersion : 1.1.17300.4
AMProductVersion : 4.18.2104.10
AMRunningMode : Normal
AMServiceEnabled : True
AMServiceVersion : 4.18.2104.10

Interessant wäre die Plattform bei euch an dem durchaktualisierten Rechner mit 21H2.

Gruß
MysticFoxDE
MysticFoxDE 15.08.2023 aktualisiert um 12:21:25 Uhr
Goto Top
Moin Nico,

Interessant wäre die Plattform bei euch an dem durchaktualisierten Rechner mit 21H2.

den gibt es nicht mehr. 😬

Ich habe jedoch heute schon ein Paar Dinge mehr herausgefunden.
Und zwar habe ich einen guten alten Kontakt bei Sophos angerufen und der hat mir das folgende erzählt.

Microsoft möchte bei aktuellen W11 Versionen nicht mehr dass man den Defender ganz abschaltet. Wenn, dann darf eine Dritt-AV-Lösung, nach Vorgaben von Microsoft den Defender nur noch höchstens in den Passiven Modus versetzen! 😭 🤢🤮

Mein Kollege arbeitet aber schon eine Lösung aus, die zumindest mit Sophos-AV zu funktionieren scheint. 😁

Gruss Alex
ni.sch
ni.sch 15.08.2023 um 12:46:08 Uhr
Goto Top
Zitat von @MysticFoxDE:

Moin Nico,

Interessant wäre die Plattform bei euch an dem durchaktualisierten Rechner mit 21H2.

den gibt es nicht mehr. 😬

Ich habe jedoch heute schon ein Paar Dinge mehr herausgefunden.
Und zwar habe ich einen guten alten Kontakt bei Sophos angerufen und der hat mir das folgende erzählt.

Microsoft möchte bei aktuellen W11 Versionen nicht mehr dass man den Defender ganz abschaltet. Wenn, dann darf eine Dritt-AV-Lösung, nach Vorgaben von Microsoft den Defender nur noch höchstens in den Passiven Modus versetzen! 😭 🤢🤮

Mein Kollege arbeitet aber schon eine Lösung aus, die zumindest mit Sophos-AV zu funktionieren scheint. 😁

Gruss Alex

Hi Alex,

wie immer danke für deine Mühen.

Ich befürchtete soetwas schon, aber das wäre ja ein extrem mieser Schachzug von MS....
Also schon allein weil der Defender selbst ja (zumindest bei uns) die Software schon extrem verlangsamt.
Ich meine .... selbst bei allen Schaltern deaktiviert noch 50-100% langsamere Software als ohne , bzw. mit komplett deaktiviertem Defender?
Und mit aktivem Defender (und allem anderen "Sicherheits"-Geraffel) mal eben 300% langsamere Software???!?
Das ist nicht besonders werbewirksam für MS.

Gruß
MysticFoxDE
MysticFoxDE 15.08.2023 um 13:35:25 Uhr
Goto Top
Moin Nico,

Ich befürchtete soetwas schon, aber das wäre ja ein extrem mieser Schachzug von MS....
Also schon allein weil der Defender selbst ja (zumindest bei uns) die Software schon extrem verlangsamt.
Ich meine .... selbst bei allen Schaltern deaktiviert noch 50-100% langsamere Software als ohne , bzw. mit komplett deaktiviertem Defender?
Und mit aktivem Defender (und allem anderen "Sicherheits"-Geraffel) mal eben 300% langsamere Software???!?
Das ist nicht besonders werbewirksam für MS.

dann kommen noch zum Teil enorme Performanzebremsen bei TCP, SMB & Co dazu, also ja, Microsoft wird von Tag zu Tag leider immer ekliger. 😔

mein Kollege hat mittlerweile ein Prozedere herausgefiesselt, das wird dir jedoch nicht wirklich gefallen.

Er hat zuerst das W11 22H2 installiert, danach alle Treiber und Updates. (Reboot)
Dann hat er als nächstes die Sophos-AV installiert (Reboot), was den Defender in den Passiven Modus versetzte, also nur teilweise deaktiviert.
Dann hat er im Sicherheitscenter alle Schalter unter "Einstellungen für Viren- und Bedrohungsschutz" von Hand deaktiviert (Reeboot).
security center no defender

Und zum Schluss musste er noch den folgenden Registry Key setzen.
no defender

Reboot und der Defender war aus. 😁
Die Reihenfolge ist übrigens extrem wichtig!

Ja, ich weiss, viel Geschiss für uns Admins, was so nicht sein sollte.

@microsoft
🙈

Gruss Alex


Gruss Alex
aqui
aqui 15.08.2023 um 13:49:42 Uhr
Goto Top
Zumal andere Virenlösungen mittlerweile ja auch mehr oder minder überflüssig sind...
https://www.heise.de/news/Virenschutz-im-Test-Reicht-der-Windows-Defende ...
https://www.heise.de/select/ct/2019/3/1549002696073866
ni.sch
ni.sch 15.08.2023 aktualisiert um 15:04:27 Uhr
Goto Top
Zitat von @MysticFoxDE:

Moin Nico,

Hi,

mein Kollege hat mittlerweile ein Prozedere herausgefiesselt, das wird dir jedoch nicht wirklich gefallen.

Er hat zuerst das W11 22H2 installiert, danach alle Treiber und Updates. (Reboot)
Dann hat er als nächstes die Sophos-AV installiert (Reboot), was den Defender in den Passiven Modus versetzte, also nur teilweise deaktiviert.
Dann hat er im Sicherheitscenter alle Schalter unter "Einstellungen für Viren- und Bedrohungsschutz" von Hand deaktiviert (Reeboot).

Und zum Schluss musste er noch den folgenden Registry Key setzen.

Reboot und der Defender war aus. 😁
Die Reihenfolge ist übrigens extrem wichtig!

Ja, ich weiss, viel Geschiss für uns Admins, was so nicht sein sollte.

@microsoft
🙈

Gruss Alex


Gruss Alex

Experiment bei mir gerade nicht ganz nach euren Schritten:

Ich schalte gerade einen Rechner an, welchen ich letzten Mittwoch mit 22H2 neu gemacht hatte.... wo der Defender dann im Passive Mode lief.
Drücke noch schnell die Windowsupdates durch und prüfe vor dem Reboot per Powershell den Status - der Defender war auf einmal komplett aus 🤪 Leider blieb aber unsere Software langsam......

Rechner nummer zwei (auch 22H2 - etwas ältere Build):
Bot per Windowsupdate ein Plattformumdate auf genau die Version an, welche auf dem Rechner oben lief ....
Installiert, Reboot, Defender bleibt passive 🤪

Also habe ich bei beiden unseren AV deinstalliert - um an die Defendereinstellungen zu kommen, sonst zeigt er ja nur an, dass ein anderer AV läuft.
Auf Rechner 1 schaltet der eben noch komplett deaktivierte Defender in Active ... auf Rechner 2 bleibt er in Passive, jetzt halt ganz ohne AV ..... 🤪🤪🤪🤪🤪🤪🤪🤪

Auf Rechner 1 habe ich dann unseren AV wieder installiert, den Regeintrag hinzugefügt - Defender ist aus.
Auf Rechner 2 habe ich mehrmals neugestartet, nach dem x. Versuch war der Defender an - Regeintrag hinzugefügt, Reboot (ohne unseren AV) - Defender aus.

Die Installation unseren AV mit anschliessendem Reboot bei Rechner 2 und ein Reboot bei Rechner 1 schalten den Defender wieder in den passive mode.........

Zum wegrennen.

Ich würde die Kisten mal mit 22H2 nochmal aufsetzen um euren Weg nachzustellen. Aber wenn ich erst unseren AV installiere bevor ich im Security Center alles deaktiviere komme ich ja nicht mehr ran?!

Edit:
Es muss sich aber dennoch etwas geändert haben (vllt. durch Updates) , denn trotz passive Mode startet unsere Software jetzt in 15-18 Sekunden, und nicht mehr wie voher in über 35.
Ist aber natürlich trotzdem noch ein Stück von den 8-10 Sekunden an den "guten" Rechnern weg.

Gruß
MysticFoxDE
MysticFoxDE 15.08.2023, aktualisiert am 16.08.2023 um 05:08:45 Uhr
Goto Top
Moin @aqui,

Zumal andere Virenlösungen mittlerweile ja auch mehr oder minder überflüssig sind...
https://www.heise.de/news/Virenschutz-im-Test-Reicht-der-Windows-Defende ...
https://www.heise.de/select/ct/2019/3/1549002696073866

na ja, die CT schreibt in den übrigens etwas älteren Artikel ja selbst ...


"Ein Grund, der gegen den Defender-Einsatz sprechen kann, ist seine enorme Verbreitung. Angreifer suchen sich meist das größte Ziel – deshalb gibt es deutlich mehr Schädlinge, die es auf Windows abgesehen haben als für alle anderen Betriebssysteme zusammen. Das Gleiche gilt für den Virenschutz: Ein Malware-Entwickler wird im Zweifel immer zuerst versuchen, den Defender zu überlisten, bevor er sich um die weniger verbreiteten AV-Programme kümmert. Mit zunehmender Verbreitung des Defender wird sich dieser Effekt weiter verstärken. Auch der erste Schädling, der im großen Stil eine Schwachstelle in einem Virenschutz-Programm ausnutzt, wird vermutlich die Defender-Nutzer treffen."


Zudem reiche die Test-Kriterien der CT vielleicht noch um SOHO abzudecken, was jedoch den Enterprise Bereich angeht, so fehlt der CT fürchte ich das entsprechende Wissen und die AV-Lösungen für diesen korrekt zu bewerten.

Was bitte kann den der Defender im Vergleich zu der "Synchronized Security" von Sophos liefern?
https://www.sophos.com/de-de/content/synchronized-security

Nichts, weil irgend ein Sekel bei MS mal beschlossen hat den ISA zu töten. 😔😭

Gruss Alex

P.S. So was ähnliches wie "Synchronized Security" gibt es übrigens auch bei Fortinet und nennt sich dort "Security Fabric".
https://www.fortinet.com/de/solutions/enterprise-midsize-business/securi ...
MysticFoxDE
MysticFoxDE 16.08.2023 aktualisiert um 07:03:03 Uhr
Goto Top
Moin Nico,

Ich schalte gerade einen Rechner an, welchen ich letzten Mittwoch mit 22H2 neu gemacht hatte.... wo der Defender dann im Passive Mode lief.
Drücke noch schnell die Windowsupdates durch und prüfe vor dem Reboot per Powershell den Status - der Defender war auf einmal komplett aus 🤪 Leider blieb aber unsere Software langsam......

Ist auf diesem Rechner eventuell noch der Bitlocker aktiv?


Rechner nummer zwei (auch 22H2 - etwas ältere Build):
Bot per Windowsupdate ein Plattformumdate auf genau die Version an, welche auf dem Rechner oben lief ....
Installiert, Reboot, Defender bleibt passive 🤪

Also habe ich bei beiden unseren AV deinstalliert - um an die Defendereinstellungen zu kommen, sonst zeigt er ja nur an, dass ein anderer AV läuft.

Das musst du nicht machen, wenn du den oben angesprochenen Registry Key (DisableAntiSpyware) nicht auf 1 sondern auf 0 setzt, dann aktiviert sich der Defender parallel zu deiner AV und du solltest auch vollständig wieder auf seine Einstellungen kommen.
Dann Schaltest du wie schon angesprochen alles unter "Einstellungen für Viren- und Bedrohungsschutz" aus und setzt den Registry Key wieder auf 1.

Auf Rechner 1 schaltet der eben noch komplett deaktivierte Defender in Active ... auf Rechner 2 bleibt er in Passive, jetzt halt ganz ohne AV ..... 🤪🤪🤪🤪🤪🤪🤪🤪

😯 ... 😖😵‍💫 ... aber ja, MS eben. 😔


Auf Rechner 2 habe ich mehrmals neugestartet, nach dem x. Versuch war der Defender an - Regeintrag hinzugefügt, Reboot (ohne unseren AV) - Defender aus.

Ähm, wie, Defender komplett aus ohne Dritt-AV und ohne, dass du den Defender-Remover verwendet hast. 😯
Wie geht den nun dieser Zauber?

Die Installation unseren AV mit anschliessendem Reboot bei Rechner 2 und ein Reboot bei Rechner 1 schalten den Defender wieder in den passive mode.........

Ähm, wie, trotzt des DisableAntiSpyware=1 Key's?

Ich würde die Kisten mal mit 22H2 nochmal aufsetzen um euren Weg nachzustellen. Aber wenn ich erst unseren AV installiere bevor ich im Security Center alles deaktiviere komme ich ja nicht mehr ran?!

Doch, stelle wie oben schon angesprochen den "DisableAntiSpyware" Key einfach auf 0, Einstellungen ändern und wieder auf 1 setzen. 😉

Edit:
Es muss sich aber dennoch etwas geändert haben (vllt. durch Updates) , denn trotz passive Mode startet unsere Software jetzt in 15-18 Sekunden, und nicht mehr wie voher in über 35.

Vielleicht hat mein Häufchen bei LinkedIn ja schon Früchte getragen, wäre nicht das erste Mal. 🤪

Gruss Alex
ni.sch
ni.sch 16.08.2023 aktualisiert um 08:49:52 Uhr
Goto Top
Zitat von @MysticFoxDE:

Moin Nico,
Hi Alex,


Ist auf diesem Rechner eventuell noch der Bitlocker aktiv?
Nein, ist aus.


Das musst du nicht machen, wenn du den oben angesprochenen Registry Key (DisableAntiSpyware) nicht auf 1 sondern auf 0 setzt, dann aktiviert sich der Defender parallel zu deiner AV und du solltest auch vollständig wieder auf seine Einstellungen kommen.
Dann Schaltest du wie schon angesprochen alles unter "Einstellungen für Viren- und Bedrohungsschutz" aus und setzt den Registry Key wieder auf 1.
Der Key war auf keinem Rechner vorhanden, ich habe ihn von Hand hinzugefügt, aber er war nach einem Reboot wieder weg.

😯 ... 😖😵‍💫 ... aber ja, MS eben. 😔

Tolles Spiel was sie da treiben face-wink
Ähm, wie, Defender komplett aus ohne Dritt-AV und ohne, dass du den Defender-Remover verwendet hast. 😯
Wie geht den nun dieser Zauber?
Einfach nur den Regkey manuell hinzugefügt nachdem unser AV deinstalliert und der Rechner den geforderten Reboot bekam.

Ähm, wie, trotzt des DisableAntiSpyware=1 Key's?
Wie geschrieben, der manuell hinzugefügte Key, bzw. DWORD-Wert war nach Reboot weg.

Ich würde die Kisten mal mit 22H2 nochmal aufsetzen um euren Weg nachzustellen. Aber wenn ich erst unseren AV installiere bevor ich im Security Center alles deaktiviere komme ich ja nicht mehr ran?!

Doch, stelle wie oben schon angesprochen den "DisableAntiSpyware" Key einfach auf 0, Einstellungen ändern und wieder auf 1 setzen. 😉
Hmmm, ich habe Rechner 1 gestern noch mit dem aktuellen MCT-Stick neu gemacht, nun entfernt er den DWORD-Eintrag direkt nach dem Reboot und der Defender bleibt passive. Der Rechner hat nur unseren AV, den AD-Beitritt und alle Updates bekommen.....
Edit:
Es muss sich aber dennoch etwas geändert haben (vllt. durch Updates) , denn trotz passive Mode startet unsere Software jetzt in 15-18 Sekunden, und nicht mehr wie voher in über 35.

Vielleicht hat mein Häufchen bei LinkedIn ja schon Früchte getragen, wäre nicht das erste Mal. 🤪

Gruss Alex

Edit: .... vllt. liegt das mit dem Key an der GPO, ich setze sie mal zurück und versuche nochmal.
Gruß
Nico
ni.sch
ni.sch 16.08.2023 aktualisiert um 14:27:07 Uhr
Goto Top
So,

ich habe jetzt zwei Rechner mit dem Juli-2023-ISO neu installiert und mich an PC2 an eure Anleitung gehalten und PC1 zum Test einen Schritt verdreht.
Folgende Schritte habe ich gemacht:
PC1                                            PC2
- Installation Win11                           - Installation W11
- Installation unser AV                        - Installation Updates / Treiber mit Reboots
- Installation Updates / Treiber mit Reboots   - Installation unser AV
- Defender im Passive Mode                     - Defender im Passive Mode
- Hinzufügen Regeintrag auf 0                  - Hinzufügen Regeintrag auf 0
Auf beiden Rechnern konnte im Security Center trotz des Regeintrages nichts geändert werden,
da es der Meinung war, der Defender sei deaktiviert und unser AV aktiv - auch nach einem Reboot.
Der Regeintrag blieb mit 0 aber auch nach Reboot bestehen.
Erst das aktive Einschalten der zusätzlichen Prüfung durch den Defender,
zeigte die normalen Einstellungsmöglichkeiten im Defender.
screenshot 2023-08-16 135113
Hier habe ich dann alle Schutzfunktionen im Defender ausgeschaltet.
- Reboot				       - Reboot
- Regeintrag auf 1			       - Regeintrag auf 1
- Reboot				       - Reboot
- Powershell sagt Defender komplett aus	       - Powershell sagt Defender komplett aus
- AD Beitritt				       - AD Beitritt
- Reboot				       - Reboot
- Powershell sagt Defender im                  - Powershell sagt Defender im
"SXS Passive Mode"                             "SXS Passive Mode"  

Also mal was ganz neues :D ....

Edit: kommt durch das Aktivieren der Option im Screenshot......
Die schaltet sich nach dem Regeintrag nicht aus!
Also Defender doch nicht ganz aus.
Sobald ich die Option im Screenshot wieder deaktiviere (Einstellungen im Defender sind immer noch aus) ist er nach dem erneuten Hinzufügen! des Regeintrages und dem Reboot wieder "Not Running" - aber nur für ca. 30 Sekunden.
Dann scheint irgendetwas zu greifen und er schaltet im laufenden Betrieb wieder in den Passive Mode


Gruß
Nico
MysticFoxDE
MysticFoxDE 16.08.2023 um 16:06:10 Uhr
Goto Top
Moin Nico,

Edit: kommt durch das Aktivieren der Option im Screenshot......
Die schaltet sich nach dem Regeintrag nicht aus!
Also Defender doch nicht ganz aus.
Sobald ich die Option im Screenshot wieder deaktiviere (Einstellungen im Defender sind immer noch aus) ist er nach dem erneuten Hinzufügen! des Regeintrages und dem Reboot wieder "Not Running" - aber nur für ca. 30 Sekunden.
Dann scheint irgendetwas zu greifen und er schaltet im laufenden Betrieb wieder in den Passive Mode


bin gerade im Stress, daher muss ich mich kurz fassen.
ich muss deine Erfahrungen leider auch unsererseits bestätigen. Nach einige Reboots und oder nach einer gewissen Weile, reaktiviert sich auch bei den beiden mit dem nesten W11 installierten Workstation, der Defender wieder von alleine. Mal geht er in den passiven Modus, mal schaltet er sich vollständig wieder an.
So wie du schon geschrieben hast, es ist zum 😭.

Mein Kollege hat mithilfe des Defender-Removers vom Ionut, es heute doch geschafft, den Defender vollständig und auch Rebootfest zu entfernen.
Aber, auch beim Defender-Remover muss man sich an eine bestimmte Reihenfolge halten, damit es bis zum nächsten CU hält.

Mein Kollege hat auf der W11 Workstation zuerst die Sophos-AV installiert was den Defender in den Passiven Modus versetzte. Danach musste er wie du schon beschrieben hast, den Echtzeitschutz wieder aktivieren, damit die normalen Defender Einstellungen wieder zugänglich sind, um dort wiederum alles wieder zu deaktivieren.
Als nächstes hat er von Hand den Schutz der Sophos AV deaktivieren müssen, damit diese den Defender-Remover beim Download und auch der Ausführung nicht als Schädling anmeckert. 🙃
Dann hat er den Defender-Remover drüber laufen lassen und danach blieb der Defender dauerhaft deaktiviert, was jedoch wahrscheinlich höchstens bis zum nächsten CU hält. 😩

Schau mal einfach nach was der Ionut bei dem Defender-Remover alles macht um das Ding nachhaltig zu deaktivieren, der Code ist in Batch geschrieben und somit sehr einfach zu lesen.
Ich möchte das was Ionut da treibt um den Defender zu zähmen, ehrlich gesagt nicht wirklich selber nachbauen, weil es mittlerweile schon sehr umfangreich ist.

Mittlerweile habe ich jedoch die Schnauze voll und werde diesbezüglich als nächstes nun selbst eine Beschwerde bei unserem Landes- und auch Bundesdateschutzbeaftragtem einlegen. 😡
Denn das was Microsoft hier treibt geht mir nun definitiv zu weit, vor allem im Hinblick auf Kommunen, Behörden & Co, wo eine Weitergabe, vor allem kritischer Daten, auch an Microsoft absolut untersagt ist. Mit einem aktivierten Defender, ist das aber ohne Fremdmittel nicht realisierbar, weil der Defender z.B. per Default vermeintliche Schädlingfunde, auch an Microsoft sendet. Im Falle eines "False Positiv", können so aber auch kritische und somit überhaupt nicht für Microsoft bestimmte Daten, ungewollt dennoch bei Microsoft landen. 😔

Gruss Alex
Datenreise
Datenreise 26.09.2023 um 14:26:12 Uhr
Goto Top
Ich wollte aus Interesse einmal nachhaken, ob sich in den letzten Wochen noch neue Erkenntnisse hinsichtlich des Problems bei Nico oder eine zielführende Antwort der Datenschutzbehörden bei Alex ergeben haben.

Darüber hinaus frage ich mich, ob sich der Microsoft Defender, wenn er denn mittlerweile quasi zwangseingeschaltet ist, dadurch lahmlegen lässt, dass man ganz simpel alle im System vorhandenen Laufwerke als Ausschluss definiert?
ni.sch
ni.sch 28.09.2023 um 00:14:23 Uhr
Goto Top
Zitat von @Datenreise:

Ich wollte aus Interesse einmal nachhaken, ob sich in den letzten Wochen noch neue Erkenntnisse hinsichtlich des Problems bei Nico oder eine zielführende Antwort der Datenschutzbehörden bei Alex ergeben haben.

Darüber hinaus frage ich mich, ob sich der Microsoft Defender, wenn er denn mittlerweile quasi zwangseingeschaltet ist, dadurch lahmlegen lässt, dass man ganz simpel alle im System vorhandenen Laufwerke als Ausschluss definiert?

Hi,

bei mir hat sich leider keine Veränderung ergeben.
Ich habe alle Rechner dann bisher mit Win 11 21H2 uminstalliert bzw. noch nicht eingerichtete gleich mit 21H2 aufgesetzt ohne die Vorinstallation zu starten - die letzten letzte Woche. Immer als aller erstes nach dem der NIC-Treiber rauf kam habe ich unseren AV installiert und der Defender war "tot", dann erst den ganzen Rest.
22H2 haben alle rechner dann recht zeitnah angeboten bekommen nach dem alle Windowsupdates durch waren und auch die Installation änderte dann nichts mehr am gewünschten/vernünftigen verhalten der Rechner - bisher, wer weiß was sich MS noch so in zukünftigen Updates einfallen lässt.

Ich hatte testweise im Defender mal per GPO und mal manuell an einem System die gleichen Ausschlüsse definiert, wie sie auch in unserem AV sind (Vorgaben der Softwarehäuser) und das brachte keine Änderung.

Ich bekomme aber übernächste Woch noch neue Rechner, auf denen probiere ich gerne mit 22H2 das Ausschliessen des ganzen Laufwerks und berichte dann.

Gruß
ni.sch
ni.sch 03.11.2023 um 13:30:48 Uhr
Goto Top
Hier mal kurz eine neue Erkenntnis:

Das Upgrade auf 23H2 bei Windows 11 schaltet den Defender wieder an....
Die Software ist auf meinem Rechner (im Moment der einzige mit 23H2) aber bisher gewohnt schnell!

 Get-MpComputerStatus

RunspaceId                       : 52381a0a-a6b3-42ad-9168-f1f858cb1c4e
AMEngineVersion                  : 1.1.23100.2009
AMProductVersion                 : 4.18.23090.2008
AMRunningMode                    : Passive Mode
AMServiceEnabled                 : True
AMServiceVersion                 : 4.18.23090.2008
AntispywareEnabled               : True
AntispywareSignatureAge          : 0
AntispywareSignatureLastUpdated  : 03.11.2023 05:18:53
AntispywareSignatureVersion      : 1.401.10.0
AntivirusEnabled                 : True
AntivirusSignatureAge            : 0
AntivirusSignatureLastUpdated    : 03.11.2023 05:18:53
AntivirusSignatureVersion        : 1.401.10.0
BehaviorMonitorEnabled           : False
ComputerID                       : xxxxxxxxxxxxxxxxxxxxxxxxxxxx
ComputerState                    : 0
DefenderSignaturesOutOfDate      : False
DeviceControlDefaultEnforcement  : Unknown
DeviceControlPoliciesLastUpdated : 01.01.1601 01:00:00
DeviceControlState               : Disabled
FullScanAge                      : 4294967295
FullScanEndTime                  :
FullScanOverdue                  : False
FullScanRequired                 : False
FullScanSignatureVersion         :
FullScanStartTime                :
IoavProtectionEnabled            : False
IsTamperProtected                : True
IsVirtualMachine                 : False
LastFullScanSource               : 0
LastQuickScanSource              : 0
NISEnabled                       : False
NISEngineVersion                 : 1.1.23100.2009
NISSignatureAge                  : 0
NISSignatureLastUpdated          : 03.11.2023 05:18:53
NISSignatureVersion              : 1.401.10.0
OnAccessProtectionEnabled        : False
ProductStatus                    : 524288
QuickScanAge                     : 4294967295
QuickScanEndTime                 :
QuickScanOverdue                 : False
QuickScanSignatureVersion        :
QuickScanStartTime               :
RealTimeProtectionEnabled        : False
RealTimeScanDirection            : 0
RebootRequired                   : False
SmartAppControlExpiration        :
SmartAppControlState             : Off
TamperProtectionSource           : Signatures
TDTMode                          : N/A
TDTSiloType                      : N/A
TDTStatus                        : N/A
TDTTelemetry                     : N/A
TroubleShootingDailyMaxQuota     :
TroubleShootingDailyQuotaLeft    :
TroubleShootingEndTime           :
TroubleShootingExpirationLeft    :
TroubleShootingMode              :
TroubleShootingModeSource        :
TroubleShootingQuotaResetTime    :
TroubleShootingStartTime         :

Einen Versuch mit den neuen Rechnern habe ich aus Zeitgründen noch nicht machen können, versuche das aber nächste Woche hinzubekommen.

Gruß
MysticFoxDE
MysticFoxDE 26.11.2023 aktualisiert um 10:33:41 Uhr
Goto Top
Moin @ni.sch,

ich weis nicht warum, aber bei dem folgenden Hinweis von @limesy ...

Das Problem mit den VMs liegt evtl. daran weil HVCI und VBS unter 11 aktiv werden, wenn Secure Boot eingerichtet ist.

... musste mein Hirn irgendwie automatisch auch an dein Problem hier denken. 🙃

Ich denke, dass HVCI und VBS bei deinen Performanceproblemen auch eine Rolle gespielt haben, weil die betroffenen Rechner bestimmt in der "Secured-Core" Konfiguration ausgeliefert wurden.

Weitere Details dazu siehe ...

https://learn.microsoft.com/de-de/windows-hardware/design/device-experie ...

... und wie man VBS und HVCI deaktivieren kann und dass es in aktivierten Zustand auch ordentlich Leistung kostet, steht z.B. in den folgenden Artikeln beschrieben.

https://www.pcgameshardware.de/Windows-11-Software-277633/News/VBS-HVCI- ...
https://www.computerbase.de/2023-03/windows-11-vbs-hvci-spiele-benchmark ...
https://www.tomshardware.com/how-to/disable-vbs-windows-11

Hast du noch problematische Rechner?

Wenn ja, kannst du mal bitte prüfen, ob auf diesen VBS oder HVCI aktiviert ist, danke.

Gruss Alex
ni.sch
ni.sch 28.11.2023 um 10:18:09 Uhr
Goto Top
Hi Alex,

danke für den Hinweis.

Alle derzeit im Einsatz befindlichen Rechner machen im Moment keine Probleme mehr.
Es sind aber nach wie vor auch alle mit 21H2 installiert worden und haben dann das Upgrade bekommen, oder wurden mit 21H2 letztes Jahr geliefert.

Ich habe aber noch 6 neue DELLs hier stehen, welche vor ein paar Wochen geliefert wurden und die ich noch nicht in Betrieb genommen habe.

Mit denen werde ich das testen, auch die Frage von @Datenreise

Gruß Nico
ni.sch
ni.sch 15.01.2024 aktualisiert um 13:35:58 Uhr
Goto Top
Hallo Allerseits,

hier mal eine kleine Rückmeldung:
Ich habe jetzt einen Rechner mit W11 23H2 (per MCT) neu installiert - war ein neu gelieferter Rechner, welcher noch nicht im Einsatz war.
Dieser hat den Defender natürlich im Passive Mode face-sad

Unsere Software braucht beim Erststart auf diesem Rechner über 45 Sekunden!
Der zweite Start ging dann aber in unter 9 Sekunden.....
Nach einem Reboot ist die Startzeit inkonsistent zwischen 18 Sekunden und 40 Sekunden 😵‍💫

@MysticFoxDE
Auf dem o.g. Rechner ist VBS nach der Neuinstallation (default?) aktiv.
Auf meinem Rechner (geliefert mit 21H2 und allen Upgrades bis 23H2) - der immer noch schnell ist - aber auch.

Ich denke mich aber erinnern zu können, das wir das in den ersten Versuchen auch schonmal ausgeschaltet hatten, aber vllt. täusche ich mich auch.

Jedenfalls braucht die Software auch mit deaktivierter VBS direkt nach dem Reboot über 30 Sekunden.

@Datenreise
Das Hinzufügen von LW C per GPO zu den Ausschlüssen des Defenders (geht nur per GPO, da der Defender ja mit 3rd-Party AV am Rechner nicht mehr steuerbar ist) bringt leider auch keine Änderung. Die Netzlaufwerke und IPs der betreffendenden Server hatte ich in den ganzen Experimenten bereits ausgeschlossen.

Gruß
Nico
ni.sch
ni.sch 21.06.2024 aktualisiert um 11:16:20 Uhr
Goto Top
Hallo zusammen,

es gibt eine weitere Neuigkeit zum Thema "Passive Mode" beim Defender (gefunden in der KB unseres Softwareanbieters):

https://learn.microsoft.com/en-us/defender-endpoint/microsoft-defender-a ...


Vllt hilft das ja noch etwas bei langsamer Performance von div. Anwendungen
screenshot 2024-06-21 111523