Garth Jones

6. April 2017

Auswirkungen von Endpoint Protection auf die Hyper-V-Serverleistung

Vor kurzem ist mir aufgefallen, dass eines meiner Hyper-V-Testlabore durchweg ein Länge der Festplattenwarteschlange von 5 oder mehr Festplatten-Lese-/Schreibvorgängen. Eine Plattenwarteschlangenlänge von eins oder mehr bedeutet, dass jedes Mal ein Engpass auftritt, wenn der Server/die Anwendung versucht, auf die Platten zuzugreifen. In den meisten Fällen tut der Server/die Anwendung nichts. Dies erklärt, warum Sie in Ihrem Server/Ihrer Anwendung Pausen sehen, wenn sie beim Warten feststecken. Da Festplatten-E/A der Killer Nummer eins bei der VM-Leistung ist, ist alles, um sie zu reduzieren, eine gute Sache!

Dieser Blog-Beitrag konzentriert sich ausschließlich darauf, unnötige Festplatten-E/A zu reduzieren, die durch Endpunktschutz (wenn es scannt auf Viren und Malware) in Systemcenter Configuration Manager.

Vor nicht allzu langer Zeit habe ich einen Blogbeitrag darüber geschrieben, wie es geht VHD*-Dateien ausschließen aus Endpunktschutz Scannen, aber ich wollte mehr tun, also suchte ich nach einem Leitfaden, der andere Ausschlüsse auflistet. Ich bin auf diesen hilfreichen Artikel gestoßen, Hyper-V: Anti-Virus-Ausschlüsse für Hyper-V-Hosts, an TechNet.

In diesem Blogbeitrag zeige ich Ihnen, wie Sie die Vorschläge dieses Artikels umsetzen können Endpunktschutz.

Hintergrund

In meinem Testlabor wird, ähnlich wie bei jedem anderen Servertyp (physisch oder virtuell), das Laufwerk C:\ nur zum Hosten des Betriebssystems (OS) verwendet (in diesem Fall RAID 1), und das physische Laufwerk E:\ wird verwendet als RAID 10 eingerichtet, das alle VHD-Dateien meiner VM hostet. Mein Laufwerk D:\ ist das DVD-Laufwerk.

In meinem Fall bedeutete eine Erhöhung der Festplattenwarteschlangenlänge, dass sich die VMs „langsam“ anfühlten. Wenn ich mir nur die VMs ansehe, würde ich nie den wahren Grund für dieses Problem erfahren. Stattdessen musste ich mir zuerst den Hyper-V-Host ansehen, um die wahre Natur des Problems zu verstehen.

Antivirus-Software (AV) untersucht eine Datei auf alle bekannten Viren und Malware. Dieser Scanvorgang verlangsamt den Zugriff einer Anwendung/eines Servers auf die Datei. Die AV-Software muss den Scanvorgang abschließen, bevor der Zugriff auf die Datei gewährt wird. Dies bedeutet auch, dass die Suche nach Viren und Malware umso länger dauert, je größer die Datei ist.

VM-Dateien (VSV, VHD, VHDX, VHDA und VHDXA) zusammen mit ISO sind riesig und brauchen daher eine Weile zum Scannen. Dies kann zu einer Verlängerung der Festplattenwarteschlangen führen, während die AV-Software damit beschäftigt ist, diese Dateien zu scannen, wie es in meinem Testlabor der Fall war. Mein Ziel war es, den Aufwand für das Scannen von Dateien zu reduzieren. Ich tat dies, indem ich meiner AV-Software (Endpunktschutz), um die Überprüfung auf Viren und Malware in meinen VM-Dateien und ISO zu überspringen.

Wie ich oben angedeutet habe, geht es in diesem Blogbeitrag nicht ums Reduzieren alle Festplatten-E/A, konzentriert sich jedoch darauf, unnötige Festplatten-E/A zu reduzieren, die durch Endpunktschutz (wenn es scannt auf Viren und Malware) in Systemcenter Configuration Manager.

Empfohlene Ausschlüsse

Verwenden der AV Hyper-V-Ausschlüsse, die auf der TechNet-Artikel Seite werde ich die implementieren Datei, Verzeichnis, und Prozess Ausschlüsse, die empfohlen werden für Endpunktschutz.

Die auszuschließenden Dateitypen:

· VHD

· VHDX

· AVHD

· AVHDX

· VSV

· ISO

Prozessausschlüsse:

· Vmwp.exe

· Vmms.exe

Verzeichnisausschlüsse:

· %systemdrive%\ProgramData\Microsoft\Windows\Hyper-V\Snapshots

· C:\ProgramData\Microsoft\Windows\Hyper-V

· C:\Benutzer\Öffentlich\Dokumente\Hyper-V\Virtuelle Festplatten

Meiner Meinung nach sind die Dateitypen und Verzeichnisausschlüsse selbsterklärend, die Prozessausschlüsse jedoch nicht, daher hier eine kurze Anmerkung zu beiden Prozessen.

Vmwp.exe auch bekannt als Worker-Prozess für virtuelle Maschinen ist eine Komponente des Virtualisierungsstapels. Für jede ausgeführte VM gibt es eine VMWP.exe. Diese exe befindet sich im Verzeichnis %windir%\system32\.

Vmms.exe ist der Verwaltungsdienst für virtuelle Maschinen. Dies ist der Hauptdienst, der zum Verwalten von Hyper-V-VMs verwendet wird. Diese exe befindet sich im Verzeichnis %windir%\system32\.

Wir können unten sehen, dass vmwp.exe mehrmals in aufgeführt ist Ressourcenmonitor.

Hinzufügen der Ausschlüsse

Dateiausschlüsse

Beginnend mit den Dateiausschlüssen werde ich sicherstellen, dass alle empfohlenen Dateiausschlüsse hinzugefügt werden Endpunktschutz. Detaillierte Anleitungen finden Sie in meinem Blogbeitrag, Configuration Manager, Endpunktschutz und Hyper-V.

Letztendlich sieht Ihr Dateiausschlussfenster ähnlich wie im Screenshot unten aus.

Nachdem der Schritt zum Ausschließen von Dateien abgeschlossen ist, ist es nun an der Zeit, die beiden Prozesse auszuschließen.

Prozessausschlüsse

Beginnen Sie mit dem Öffnen der Configuration Manager Konsole und Erweiterung Endpunktschutz | Anti-Malware-Richtlinien. Wählen Sie als Nächstes die Standard-Client-Anti-Malware-Richtlinie und klicke auf Eigenschaften Taste.

Im Standard-Antimalware-Richtlinie Fenster, wählen Sie das Ausschlusseinstellungen Knoten. Dann klicke auf das Satz Taste für Ausgeschlossene Prozesse. Im Prozesse Geben Sie in das Textfeld %windir%\system32\vmwp.exe ein und klicken Sie dann auf Hinzufügen Taste. Wiederholen Sie den gleichen Schritt für vmms.exe. Wenn Sie fertig sind, klicken Sie auf OK Schaltfläche, um das geöffnete Fenster zu schließen.

Ihre Prozessausschlüsse sehen ähnlich wie im folgenden Screenshot aus:

Nachdem dieser letzte Schritt abgeschlossen ist, Endpunktschutz schließt das Scannen von vmwp.exe und vmms.exe aus.

Verzeichnisausschlüsse

Es wird niemals empfohlen, etwas auf dem Betriebssystemlaufwerk zu installieren. Stattdessen sollten Sie immer ein separates Laufwerk für Ihre Anwendungen und Dateien haben. Hyper-V ist keine Ausnahme von dieser Regel. Daher sollten Sie Ihre VMs niemals auf Ihrem Laufwerk C:\ hosten; dazu gehören auch VM-Snapshots.

Nachdem ich meinen Server überprüft habe, speichert Hyper-V selbst noch einige Dateien in den aufgelisteten Verzeichnissen, obwohl ich nichts auf dem Laufwerk C:\ speichere. Daher werde ich jedes dieser Verzeichnisse ausschließen. Darüber hinaus sollten Sie einige weitere hinzufügen, die mit Ihrer Hyper-V-Serverkonfiguration übereinstimmen. In meinem Fall speichere ich alle meine VMs in E:\VM\*, also werde ich dieses Verzeichnis ausschließen. Sobald die Ordner (Verzeichnisse) zur Ausschlussliste hinzugefügt wurden, Endpunktschutz scannt diese Ordner nicht mehr auf Viren.

Zurück in Standard-Antimalware-Richtlinie Fenster, wählen Sie das Ausschlusseinstellungen Knoten. Dann klicke auf das Satz Taste für Ausgeschlossene Dateien und Ordner.

Als erstes werden Sie feststellen, dass bereits Ausschlüsse aufgeführt sind.

Im Daten und Ordner Textfeld, fügen Sie das Verzeichnis hinzu, das Sie ausschließen möchten, und klicken Sie dann auf das Hinzufügen Taste. In meinem Beispiel ist es das Verzeichnis %systemdrive%\ProgramData\Microsoft\Windows\Hyper-V\Snapshots.

Wiederholen Sie diesen Vorgang für die restlichen Ordner, die Sie ausschließen möchten, und klicken Sie abschließend auf OK um alle geöffneten Fenster zu schließen. Ihre Ergebnisse sehen ähnlich aus wie unten.

Jetzt werden alle Ausschlüsse (AV-Dateien, Verzeichnisse und Prozesse) hinzugefügt EndpunktschutzIch weiß, dass eine „Langsamkeit“ seitens meiner Hyper-V-Server nicht darauf zurückzuführen sein wird Endpunktschutz. Wenn meine Hyper-V-Server langsam erscheinen, muss ich woanders nach der Ursache suchen.

Wenn Sie sich die Skala im Screenshot unten ansehen, werden Sie feststellen, dass sie jetzt zwischen 0-1 liegt, verglichen mit 0-50 im ersten Screenshot dieses Blogbeitrags! Die Länge der Festplattenwarteschlange beträgt jetzt ~0,5, was viel besser ist als vor dem Ausschluss der Dateien, Verzeichnisse und Prozesse.

Ich weiß, dass es viele Faktoren gibt, die die Länge der Datenträgerwarteschlange beeinflussen, aber im Moment bin ich mit meinem Hyper-V-Lab zufrieden.