From ece7fd8e7c4932a55d65e0df5a7a751511eff182 Mon Sep 17 00:00:00 2001
From: Meik <meik.drechsler@consulting4it.de>
Date: Mon, 16 Mar 2026 13:47:59 +0100
Subject: [PATCH] Document WF GetDataAreas NTFS findings

---
 ...as_Auffaelligkeiten_und_moegliche_Fixes.md | 440 ++++++++++++++++++
 1 file changed, 440 insertions(+)
 create mode 100644 Sonstiges/LIAM_WF_GetDataAreas_Auffaelligkeiten_und_moegliche_Fixes.md

diff --git a/Sonstiges/LIAM_WF_GetDataAreas_Auffaelligkeiten_und_moegliche_Fixes.md b/Sonstiges/LIAM_WF_GetDataAreas_Auffaelligkeiten_und_moegliche_Fixes.md
new file mode 100644
index 0000000..9513a6c
--- /dev/null
+++ b/Sonstiges/LIAM_WF_GetDataAreas_Auffaelligkeiten_und_moegliche_Fixes.md
@@ -0,0 +1,440 @@
+# LIAM WF GetDataAreas - Auffaelligkeiten und moegliche Fixes
+
+## Ziel des Dokuments
+
+Dieses Dokument fasst die Untersuchung zum Verhalten von `WF Get DataAreas` zusammen, wenn in einer betroffenen NTFS-/DFS-Situation ploetzlich nur noch sehr wenige Datenbereiche, beispielsweise `3`, statt vorher hunderten Eintraegen zurueckgeliefert werden.
+
+Der Fokus liegt bewusst nicht auf geaenderter `MaxDepth` oder geaenderten Naming-Conventions. Diese Faktoren wurden fuer die Bewertung zunaechst ausgeklammert. Stattdessen betrachtet dieses Dokument vor allem:
+
+- geaenderte Ordnerstruktur
+- geaenderte DFS- oder Share-Struktur
+- geaenderte Rechte auf Shares, Ordnern oder ACLs
+- geaenderte Erreichbarkeit von DFS-, Fileserver- oder AD-Systemen
+- Logging-Luecken und stille Fehlerbilder
+- moegliche fachliche und technische Fixes
+
+## Kurzfazit
+
+Das auffaelligste technische Risiko liegt im aktuellen NTFS-Provider und nicht in der Workflow-Huelle selbst.
+
+Im Vergleich zum `initial`-Stand wurde das Verhalten des NTFS-Providers relevant geaendert. Der Provider klassifiziert den `RootPath` heute zuerst semantisch und traversiert danach unterschiedlich fuer Server-Roots, klassische Shares, DFS-Roots, DFS-Links und Folder.
+
+Dadurch koennen sich Ergebnisanzahlen aendern, obwohl `WF Get DataAreas` selbst unveraendert aufgerufen wird.
+
+Fuer das geschilderte Fehlerbild sind insbesondere drei Ursachen realistisch:
+
+- Der konfigurierte oder effektiv aufgeloeste Root wird heute anders klassifiziert als frueher, beispielsweise als Server-Root oder DFS-Root.
+- Die DFS-/Share-Ermittlung liefert aufgrund von Umgebungsaenderungen oder Erreichbarkeitsproblemen weniger Kinder.
+- Die rekursive Ordnerermittlung laeuft bei Zugriffsproblemen nur noch teilweise durch und gibt still Teilergebnisse zurueck.
+
+AD-Probleme koennen ebenfalls eine Rolle spielen, sind fuer genau das Muster `es kommen noch 3 Eintraege zurueck` aber eher nachrangig. Totale AD-Ausfaelle fuehren im aktuellen Code eher zu einem harten Fehlschlag oder `null`, nicht zu einer kleinen aber formal gueltigen Trefferliste.
+
+## Umfang der Pruefung
+
+Geprueft wurden insbesondere diese Komponenten:
+
+- `LiamWorkflowActivities/C4IT.LIAM.WorkflowactivityBase.cs`
+- `LiamWorkflowActivities/LiamWorkflowRuntime.cs`
+- `LiamNtfs/C4IT.LIAM.Ntfs.cs`
+- `LiamNtfs/cNtfsBase.cs`
+- `LiamNtfs/cActiveDirectoryBase.cs`
+- `LiamNtfs/C4IT_IAM_SET/cNetworkConnection.cs`
+
+Zum Vergleich wurde auch der `initial`-Stand betrachtet, insbesondere das damalige Verhalten in `LiamNtfs/C4IT.LIAM.Ntfs.cs`.
+
+## Ausgangsbeobachtung
+
+Workflow-seitig wird fuer den Provideraufbau im Wesentlichen nur die Provider-Konfiguration aus Matrix42 gelesen und danach `provider.getDataAreasAsync(provider.MaxDepth)` aufgerufen.
+
+Relevante Stellen:
+
+- [`C4IT.LIAM.WorkflowactivityBase.cs#L252`](/mnt/c/Workspace/C4IT%20DEV%20LIAM%20WEB%20Service_git/LiamWorkflowActivities/C4IT.LIAM.WorkflowactivityBase.cs#L252)
+- [`C4IT.LIAM.WorkflowactivityBase.cs#L260`](/mnt/c/Workspace/C4IT%20DEV%20LIAM%20WEB%20Service_git/LiamWorkflowActivities/C4IT.LIAM.WorkflowactivityBase.cs#L260)
+- [`LiamWorkflowRuntime.cs#L66`](/mnt/c/Workspace/C4IT%20DEV%20LIAM%20WEB%20Service_git/LiamWorkflowActivities/LiamWorkflowRuntime.cs#L66)
+- [`LiamWorkflowRuntime.cs#L78`](/mnt/c/Workspace/C4IT%20DEV%20LIAM%20WEB%20Service_git/LiamWorkflowActivities/LiamWorkflowRuntime.cs#L78)
+
+Die Workflow-Schicht selbst loggt an dieser Stelle weder die Root-Klassifikation noch die Anzahl der gefundenen DataAreas noch Unterschiede zwischen Vollergebnis und Teilergebnis. Das erklaert bereits, warum im Workflow-Log wenig bis nichts Auffaelliges sichtbar sein kann.
+
+## Relevante Verhaltensaenderung gegenueber `initial`
+
+### Alter Stand
+
+Im `initial`-Stand war die Logik im NTFS-Provider deutlich einfacher.
+
+Der Provider hat:
+
+- aus der UNC-Pfadtiefe abgeleitet, ob Root eher Share oder Folder ist
+- danach direkt `RequestFoldersListAsync(this.RootPath, Depth)` aufgerufen
+- die gelieferten Folder stumpf in `DataAreas` uebernommen
+
+Es gab also keine explizite DFS-/Share-/Server-Root-Klassifikation.
+
+### Aktueller Stand
+
+Heute wird der Root-Pfad zuerst klassifiziert und danach je nach Typ unterschiedlich behandelt.
+
+Relevante Stellen:
+
+- [`C4IT.LIAM.Ntfs.cs#L155`](/mnt/c/Workspace/C4IT%20DEV%20LIAM%20WEB%20Service_git/LiamNtfs/C4IT.LIAM.Ntfs.cs#L155)
+- [`C4IT.LIAM.Ntfs.cs#L172`](/mnt/c/Workspace/C4IT%20DEV%20LIAM%20WEB%20Service_git/LiamNtfs/C4IT.LIAM.Ntfs.cs#L172)
+- [`C4IT.LIAM.Ntfs.cs#L225`](/mnt/c/Workspace/C4IT%20DEV%20LIAM%20WEB%20Service_git/LiamNtfs/C4IT.LIAM.Ntfs.cs#L225)
+- [`C4IT.LIAM.Ntfs.cs#L285`](/mnt/c/Workspace/C4IT%20DEV%20LIAM%20WEB%20Service_git/LiamNtfs/C4IT.LIAM.Ntfs.cs#L285)
+- [`C4IT.LIAM.Ntfs.cs#L363`](/mnt/c/Workspace/C4IT%20DEV%20LIAM%20WEB%20Service_git/LiamNtfs/C4IT.LIAM.Ntfs.cs#L363)
+
+Dazu passen die Commits:
+
+- `d28cfe0 Classify NTFS and DFS data areas`
+- `f14d4ec Classify NTFS paths via DFS metadata`
+- `9cfd266 Support NTFS server roots`
+
+Diese Aenderungen sind fachlich sinnvoll, aber sie fuehren dazu, dass identische oder aehnliche Konfigurationen auf Veraenderungen in DFS-, Share- oder Zugriffsmetadaten viel staerker reagieren als frueher.
+
+## Priorisierte Auffaelligkeiten
+
+### 1. Hoch: DFS- oder Share-Struktur kann die Anzahl der DataAreas direkt veraendern
+
+Der aktuelle Provider behandelt einen Server-Root anders als einen klassischen Share und anders als einen DFS-Root.
+
+Bei einem Server-Root werden die Kinder nicht ueber Dateisystemordner gelesen, sondern ueber veroefentlichte Shares des Servers.
+
+Relevante Stellen:
+
+- [`C4IT.LIAM.Ntfs.cs#L369`](/mnt/c/Workspace/C4IT%20DEV%20LIAM%20WEB%20Service_git/LiamNtfs/C4IT.LIAM.Ntfs.cs#L369)
+- [`C4IT.LIAM.Ntfs.cs#L411`](/mnt/c/Workspace/C4IT%20DEV%20LIAM%20WEB%20Service_git/LiamNtfs/C4IT.LIAM.Ntfs.cs#L411)
+- [`C4IT.LIAM.Ntfs.cs#L530`](/mnt/c/Workspace/C4IT%20DEV%20LIAM%20WEB%20Service_git/LiamNtfs/C4IT.LIAM.Ntfs.cs#L530)
+
+Bei einem DFS-Pfad wird zunaechst versucht, ueber DFS-Metadaten den Pfad semantisch einzuordnen.
+
+Relevante Stellen:
+
+- [`C4IT.LIAM.Ntfs.cs#L309`](/mnt/c/Workspace/C4IT%20DEV%20LIAM%20WEB%20Service_git/LiamNtfs/C4IT.LIAM.Ntfs.cs#L309)
+- [`C4IT.LIAM.Ntfs.cs#L441`](/mnt/c/Workspace/C4IT%20DEV%20LIAM%20WEB%20Service_git/LiamNtfs/C4IT.LIAM.Ntfs.cs#L441)
+- [`cNetworkConnection.cs#L104`](/mnt/c/Workspace/C4IT%20DEV%20LIAM%20WEB%20Service_git/LiamNtfs/C4IT_IAM_SET/cNetworkConnection.cs#L104)
+
+Fachliche Folge:
+
+- Wenn sich DFS-Links, Namespace-Struktur oder veröffentlichte Shares geaendert haben, aendert sich die Ergebnisliste unmittelbar.
+- Wenn heute beispielsweise nur noch zwei direkte Share-/Link-Kinder sichtbar sind, ist ein Ergebnis wie `3` plausibel: ein Root-Objekt plus zwei Kinder.
+
+### 2. Hoch: Zugriffsprobleme auf Unterordner fuehren zu stillen Teilergebnissen
+
+Die rekursive Ordnerermittlung in `cNtfsBase` hat ein besonders kritisches Verhalten.
+
+Wenn waehrend der Rekursion eine Exception auftritt, wird im inneren `catch` einfach die bis dahin gesammelte Teilmenge zurueckgegeben. Diese Situation wird an genau der entscheidenden Stelle nicht geloggt.
+
+Relevante Stellen:
+
+- [`cNtfsBase.cs#L108`](/mnt/c/Workspace/C4IT%20DEV%20LIAM%20WEB%20Service_git/LiamNtfs/cNtfsBase.cs#L108)
+- [`cNtfsBase.cs#L143`](/mnt/c/Workspace/C4IT%20DEV%20LIAM%20WEB%20Service_git/LiamNtfs/cNtfsBase.cs#L143)
+- [`cNtfsBase.cs#L154`](/mnt/c/Workspace/C4IT%20DEV%20LIAM%20WEB%20Service_git/LiamNtfs/cNtfsBase.cs#L154)
+- [`cNtfsBase.cs#L174`](/mnt/c/Workspace/C4IT%20DEV%20LIAM%20WEB%20Service_git/LiamNtfs/cNtfsBase.cs#L174)
+
+Das ist fuer das geschilderte Fehlerbild besonders relevant.
+
+Wenn sich Berechtigungen auf Teilbaeumen geaendert haben, kann die Traversierung bestimmte Aeste nicht mehr vollstaendig aufloesen. Der Call endet dann nicht zwangslaeufig mit einem Fehler, sondern mit einem kleineren, formal gueltigen Resultset.
+
+Genau das passt zu Aussagen wie:
+
+- frueher hunderte Eintraege
+- jetzt noch wenige Eintraege
+- im Log nichts Eindeutiges sichtbar
+
+### 3. Hoch: Share-Ermittlung kann still auf wenige oder keine Treffer kollabieren
+
+Die Share-Ermittlung erfolgt ueber `NetShareEnum`.
+
+Relevante Stelle:
+
+- [`cNetworkConnection.cs#L75`](/mnt/c/Workspace/C4IT%20DEV%20LIAM%20WEB%20Service_git/LiamNtfs/C4IT_IAM_SET/cNetworkConnection.cs#L75)
+
+Wenn `NetShareEnum` einen Fehlercode liefert, wird daraus kein normaler Exception-Pfad, sondern ein Dummy-Eintrag der Form `ERROR=<code>` erzeugt.
+
+Relevante Stelle:
+
+- [`cNetworkConnection.cs#L97`](/mnt/c/Workspace/C4IT%20DEV%20LIAM%20WEB%20Service_git/LiamNtfs/C4IT_IAM_SET/cNetworkConnection.cs#L97)
+
+Im Provider werden solche Eintraege spaeter als nicht sichtbare Disk-Shares weggefiltert.
+
+Relevante Stelle:
+
+- [`C4IT.LIAM.Ntfs.cs#L559`](/mnt/c/Workspace/C4IT%20DEV%20LIAM%20WEB%20Service_git/LiamNtfs/C4IT.LIAM.Ntfs.cs#L559)
+
+Fachliche Folge:
+
+- Fehler in der Share-Ermittlung koennen zu einer leeren oder sehr kleinen Kindliste fuehren.
+- Das muss nicht als harter Fehler im Workflow auftauchen.
+- Eine geaenderte Rechte- oder Netzsituation auf dem Fileserver kann also direkt die Anzahl der DataAreas beeinflussen.
+
+### 4. Mittel-Hoch: DFS-Metadatenprobleme koennen still zu anderer Klassifikation fuehren
+
+Die Methode `TryGetDfsEntryPath()` liefert bei ausbleibender DFS-Aufloesung schlicht `false`.
+
+Relevante Stellen:
+
+- [`C4IT.LIAM.Ntfs.cs#L455`](/mnt/c/Workspace/C4IT%20DEV%20LIAM%20WEB%20Service_git/LiamNtfs/C4IT.LIAM.Ntfs.cs#L455)
+- [`cNetworkConnection.cs#L113`](/mnt/c/Workspace/C4IT%20DEV%20LIAM%20WEB%20Service_git/LiamNtfs/C4IT_IAM_SET/cNetworkConnection.cs#L113)
+
+Dabei wird ein normaler Fehlercode des Windows-APIs nicht als fachlicher Fehler an den Provideraufrufer weitergereicht. Der Provider interpretiert das schlicht als `kein DFS-Treffer` und faellt auf andere Heuristiken zurueck.
+
+Moegliche Folge:
+
+- derselbe UNC-Pfad wird je nach DFS-Verfuegbarkeit unterschiedlich klassifiziert
+- dadurch aendert sich die Kinderermittlung
+- dadurch aendert sich die Anzahl der DataAreas
+
+### 5. Mittel: AD-Ausfaelle sind eher kein gutes Match fuer `nur noch 3`
+
+Der NTFS-Provider-Login verlangt sowohl NTFS- als auch AD-Login.
+
+Relevante Stelle:
+
+- [`C4IT.LIAM.Ntfs.cs#L140`](/mnt/c/Workspace/C4IT%20DEV%20LIAM%20WEB%20Service_git/LiamNtfs/C4IT.LIAM.Ntfs.cs#L140)
+
+Wenn AD komplett nicht erreichbar ist oder die AD-Anmeldung scheitert, passt das eher zu:
+
+- kompletter Fehler
+- `null`
+- explizitem Logon-Fehler
+
+und weniger zu einem kleinen aber erfolgreichen Ergebnis.
+
+Das bedeutet nicht, dass AD nie beteiligt ist. AD kann in Folgeschritten relevant sein, insbesondere bei ACL- und Gruppenaufloesung. Aber fuer die reine Anzahl der gefundenen DataAreas ist AD nach aktuellem Code eher ein Sekundaerfaktor.
+
+### 6. Mittel: ACL-/Gruppenaufloesung beeinflusst eher die Zusatzinformationen als die Anzahl
+
+Bei der Aufloesung von Permission-Groups werden ACLs gelesen und SID-zu-Gruppe-Aufloesungen versucht.
+
+Relevante Stellen:
+
+- [`C4IT.LIAM.Ntfs.cs#L930`](/mnt/c/Workspace/C4IT%20DEV%20LIAM%20WEB%20Service_git/LiamNtfs/C4IT.LIAM.Ntfs.cs#L930)
+- [`cActiveDirectoryBase.cs#L88`](/mnt/c/Workspace/C4IT%20DEV%20LIAM%20WEB%20Service_git/LiamNtfs/cActiveDirectoryBase.cs#L88)
+- [`cActiveDirectoryBase.cs#L95`](/mnt/c/Workspace/C4IT%20DEV%20LIAM%20WEB%20Service_git/LiamNtfs/cActiveDirectoryBase.cs#L95)
+- [`C4IT.LIAM.Ntfs.cs#L945`](/mnt/c/Workspace/C4IT%20DEV%20LIAM%20WEB%20Service_git/LiamNtfs/C4IT.LIAM.Ntfs.cs#L945)
+
+Wenn das Lesen der ACL fehlschlaegt, wird in `GetAccessControlList()` `null` zurueckgegeben und `ResolvePermissionGroupsAsync()` beendet sich einfach.
+
+Fachliche Folge:
+
+- Die DataArea bleibt im Ergebnis erhalten.
+- Es fehlen eher Permission-Gruppen-Zuordnungen.
+- Das reduziert typischerweise nicht die Anzahl der DataAreas.
+
+Deshalb ist eine reine ACL-/AD-Gruppenproblematik fuer `nur noch 3` eher weniger passend als ein Struktur- oder Traversierungsproblem.
+
+## Warum im Log oft nichts zu sehen ist
+
+Das aktuelle Logging ist fuer diese Problemklasse zu schwach.
+
+### Workflow-Ebene
+
+`LiamWorkflowRuntime` uebergibt den Call und verarbeitet nur Erfolgs- oder Fehlerstatus.
+
+Relevante Stelle:
+
+- [`LiamWorkflowRuntime.cs#L76`](/mnt/c/Workspace/C4IT%20DEV%20LIAM%20WEB%20Service_git/LiamWorkflowActivities/LiamWorkflowRuntime.cs#L76)
+
+Es werden nicht geloggt:
+
+- klassifizierter Root-Typ
+- Anzahl der direkten Kinder
+- Anzahl der rekursiv gefundenen Folder
+- Unterschied zwischen Vollergebnis und Teilergebnis
+- DFS-/Share-spezifische API-Rueckgaben
+
+### NTFS-Ebene
+
+Die problematischsten Stellen geben Teilergebnisse zurueck oder filtern Fehler indirekt weg.
+
+Beispiele:
+
+- stilles `catch` in der Ordnerrekursion: [`cNtfsBase.cs#L174`](/mnt/c/Workspace/C4IT%20DEV%20LIAM%20WEB%20Service_git/LiamNtfs/cNtfsBase.cs#L174)
+- Fehlerpfad ueber `ERROR=<code>` bei `NetShareEnum`: [`cNetworkConnection.cs#L97`](/mnt/c/Workspace/C4IT%20DEV%20LIAM%20WEB%20Service_git/LiamNtfs/C4IT_IAM_SET/cNetworkConnection.cs#L97)
+- stille Rueckgabe `false` bei ausbleibender DFS-Aufloesung: [`cNetworkConnection.cs#L114`](/mnt/c/Workspace/C4IT%20DEV%20LIAM%20WEB%20Service_git/LiamNtfs/C4IT_IAM_SET/cNetworkConnection.cs#L114)
+
+Das erklaert, warum ein auffaellig kleiner Rueckgabewert nicht automatisch einen klaren Fehler im Log erzeugt.
+
+## Bewertung der vom Fachbereich genannten Umweltfaktoren
+
+### Aenderungen an der Ordnerstruktur
+
+Sehr plausibel.
+
+Wenn sich die Struktur unterhalb des Roots oder die sichtbaren direkten Kinder geaendert haben, aendert sich die Zahl der gefundenen DataAreas direkt.
+
+Besonders plausibel ist das, wenn der Root heute semantisch eher auf einen Server-Root, DFS-Root oder einen hoeheren Einstiegspunkt zeigt als frueher.
+
+### Aenderungen an DFS-Systemen
+
+Sehr plausibel.
+
+Wenn DFS-Metadaten anders aufgeloest werden, Links entfernt wurden, Namespace-Targets geaendert wurden oder die DFS-Aufloesung zeitweise nicht funktioniert, kann die aktuelle Klassifikation und damit das Ergebnis sofort anders aussehen.
+
+### Aenderungen an Share-Berechtigungen oder Share-Sichtbarkeit
+
+Sehr plausibel.
+
+Die Share-Ermittlung haengt von der Serverantwort auf `NetShareEnum` ab. Wenn der ausfuehrende Kontext dort heute weniger oder keine vernuenftig auswertbaren Eintraege erhaelt, schrumpft die Kindliste.
+
+### Aenderungen an NTFS-ACLs auf Ordnern
+
+Plausibel.
+
+Wenn die rekursive Traversierung auf bestimmten Unterordnern scheitert, koennen Teilbaeume still aus dem Ergebnis herausfallen. Das ist eines der staerksten erklaerenden Muster fuer `frueher viele, heute wenige`.
+
+### Aenderungen an AD-Rechten oder allgemeiner AD-Erreichbarkeit
+
+Nur eingeschraenkt plausibel.
+
+Totale AD-Ausfaelle wuerden eher zu einem harten Fehlerbild fuehren. Teilprobleme bei SID-/Gruppenaufloesung erklaeren eher fehlende Zusatzinformationen als eine drastisch reduzierte Anzahl von DataAreas.
+
+## Moegliche Fixes
+
+### 1. Traversierungsfehler nicht mehr still als Teilerfolg behandeln
+
+Empfohlene Aenderung:
+
+- Das innere `catch` in `cNtfsBase.privRequestFoldersListAsync()` darf nicht nur die bisherige Teilmenge zurueckgeben.
+- Stattdessen sollte ein strukturierter Fehlerzustand gesetzt werden, beispielsweise `TraversalHadErrors`, `LastTraversalException` oder ein Provider-Error-Code.
+- Optional kann es zwei Modi geben: `strict` fuer harten Fehler und `best-effort` fuer Teilergebnis mit expliziter Warnung.
+
+Ziel:
+
+Der Aufrufer muss unterscheiden koennen zwischen:
+
+- vollstaendigem Ergebnis
+- Teilergebnis wegen Zugriffsfehlern
+- komplettem Fehler
+
+### 2. Share-Ermittlungsfehler explizit loggen und propagieren
+
+Empfohlene Aenderung:
+
+- `NetShareEnum`-Fehler nicht ueber `ERROR=<code>` maskieren.
+- Stattdessen Fehlercode und Servername explizit loggen.
+- Provider-seitig muss ein leerer Share-Satz von einem Share-Ermittlungsfehler unterscheidbar sein.
+
+Ziel:
+
+Eine reduzierte Kindliste wegen echter Share-Abfragefehler soll im Log klar von `es existieren wirklich nur 3 Shares` unterscheidbar sein.
+
+### 3. DFS-Aufloesungsfehler als Diagnoseinformation sichtbar machen
+
+Empfohlene Aenderung:
+
+- Rueckgabecode aus `NetDfsGetInfo` loggen, wenn kein DFS-Treffer aufgeloest werden kann.
+- Im Provider zusaetzlich protokollieren, ob ein Pfad als `DfsNamespaceRoot`, `DfsLink`, `ClassicShare`, `ServerRoot` oder `Folder` klassifiziert wurde.
+
+Ziel:
+
+Wenn sich dieselbe Konfiguration in unterschiedlichen Umgebungszustand unterschiedlich verhaelt, muss diese Abzweigung sichtbar sein.
+
+### 4. Ergebnisstatistik pro Call loggen
+
+Empfohlene Aenderung:
+
+Mindestens folgende Werte einmal pro `getDataAreasAsync()` loggen:
+
+- `RootPath`
+- klassifizierter Root-Typ
+- `Depth`
+- Anzahl direkter Kinder
+- Anzahl rekursiv gefundener Kinder
+- Anzahl verworfener Elemente wegen Fehlern
+- Anzahl verworfener Elemente wegen Filterung
+
+Ziel:
+
+Ein einzelner Workflow-Lauf soll spaeter rekonstruierbar sein, ohne tief in Debugging oder Fremdsysteme zu muessen.
+
+### 5. Optionalen Diagnosemodus fuer WF GetDataAreas einfuehren
+
+Empfohlene Aenderung:
+
+- Optionaler `AdditionalConfiguration`-Schalter wie `VerboseDataAreaDiscovery`.
+- Wenn aktiviert, loggt der Provider jede Traversierungsstufe und jeden Klassifikationsschritt.
+
+Ziel:
+
+Probleme in produktionsnahen Umgebungen koennen gezielt untersucht werden, ohne permanent sehr viel Logvolumen zu erzeugen.
+
+### 6. Trennung zwischen DataArea-Findung und Permission-Group-Aufloesung schaerfen
+
+Empfohlene Aenderung:
+
+- Fehler bei ACL-/Permission-Group-Aufloesung sollten fachlich getrennt von der eigentlichen DataArea-Findung behandelt werden.
+- Im Ergebnis sollte sichtbar sein, ob DataAreas korrekt gefunden wurden, aber Zusatzdaten nur teilweise aufloesbar waren.
+
+Ziel:
+
+AD- und ACL-Probleme sollen nicht indirekt die Ursachenanalyse fuer reine Discovery-Probleme verschleiern.
+
+## Konkrete Pruefungen fuer den betroffenen Fall
+
+### 1. Exakten Root-Pfad des betroffenen Providers pruefen
+
+Wichtig ist der genaue Wert von `GCCTarget`.
+
+Zu unterscheiden ist insbesondere:
+
+- `\\server`
+- `\\server\share`
+- `\\server\share\folder`
+- `\\server\namespace`
+- `\\server\namespace\link`
+
+Mit dem aktuellen Provider ist das fachlich nicht gleichwertig.
+
+### 2. Sichtbare Shares fuer den technischen Benutzer pruefen
+
+Pruefen, ob der ausfuehrende Kontext auf dem Zielserver noch dieselben Shares enumerieren kann wie frueher.
+
+Wenn nicht, ist die reduzierte Anzahl der DataAreas kein Workflow-Fehler, sondern ein Discovery-Effekt im NTFS-Provider.
+
+### 3. DFS-Aufloesung im betroffenen Zeitraum pruefen
+
+Pruefen, ob das betroffene System denselben Namespace und dieselben DFS-Links noch aufloesen konnte.
+
+Bereits sporadische DFS-Probleme koennen zu anderer Klassifikation fuehren.
+
+### 4. Rekursive Leserechte auf dem Root und auf tieferen Teilbaeumen pruefen
+
+Pruefen, ob der technische Benutzer auf Unterordnern noch `GetDirectories()` ausfuehren kann.
+
+Wenn das auf einzelnen Aesten nicht mehr geht, sind stille Teilergebnisse mit deutlich weniger DataAreas sehr plausibel.
+
+### 5. Ergebnis gegen einen direkten Dateisystemtest spiegeln
+
+Wenn moeglich, sollte derselbe Benutzerkontext ausserhalb des Workflows den Root-Pfad einmal rekursiv lesen.
+
+Wenn dort ebenfalls nur noch wenige oder nur bestimmte Teilbaeume sichtbar sind, ist die Ursache sehr wahrscheinlich ausserhalb der Workflow-Schicht zu suchen.
+
+## Empfohlene Reihenfolge fuer moegliche Umsetzungen
+
+### Kurzfristig
+
+- Logging fuer Root-Klassifikation und Ergebnisstatistik ergaenzen
+- Traversierungsfehler sichtbar machen
+- Share- und DFS-API-Fehler explizit loggen
+
+### Mittelfristig
+
+- saubere Provider-Fehlercodes fuer `partial result` einfuehren
+- WF-Output um Diagnosehinweise erweitern
+- Diagnosemodus fuer Discovery einbauen
+
+### Langfristig
+
+- strikte Trennung zwischen Discovery, ACL-Lesen und Gruppenaufloesung
+- klarer fachlicher Vertrag, ob `best-effort` oder `strict discovery` gewuenscht ist
+
+## Schlussbewertung
+
+Wenn `MaxDepth` und Naming-Conventions bewusst ausgeklammert werden, sind fuer das beobachtete Verhalten am wahrscheinlichsten:
+
+- geaenderte DFS-/Share-Struktur
+- geaenderte Sichtbarkeit oder Erreichbarkeit von DFS-/Share-Metadaten
+- geaenderte NTFS-Leserechte auf Teilbaeumen
+
+Weniger wahrscheinlich als primaere Ursache sind reine AD- oder ACL-Gruppenprobleme. Diese erklaeren eher fehlende Zusatzinformationen als einen Rueckgang von hunderten auf wenige DataAreas.
+
+Die wichtigste technische Auffaelligkeit ist, dass der aktuelle Code mehrere dieser Umweltprobleme nicht als klaren Fehler meldet, sondern in Teilergebnisse oder indirekt gefilterte Trefferlisten uebersetzt. Genau deshalb kann im Log wenig sichtbar sein, obwohl sich das Resultat drastisch geaendert hat.