自从Windows 2000推出以来,管理者和设计者一直想弄明白如何估量域控制器。估量服务器通常涉及到处理器的个数、物理内存大小、磁盘空间大小以及服务器上可以运行的应用程序。
推荐阅读:听专家讲述Windows活动目录
估量域控制器(DC)的难处在于负载太多变了。域控制器通过Lsass.exe进程来处理身份验证,这个进程具有许多功能。另外,处理器资源被Ntds.dit数据库以非线性方式的数据库操作占用。因此,域控制器的负载可以是易变的,理由如下:
- 经验证的客户机的数量不可预测,因为多个域控制器共享用于客户机进入和退出站点的负载。
- 执行验证的应用程序和轻量级目录访问协议(LDAP)查询给域控制器增加了额外的负担。
- 身份验证和通过非Windows客户端访问Windows资源因轻量级目录访问协议查询而增加了域控制器的负载。
- 无效的轻量级目录访问协议查询可以造成域控制器的不可预测负载。
- 活跃的目录分析和监测工具造成了域控制器的额外负载。
尽管这些因素使得估量域控制器更加具有挑战性,但是它仍是有可行性的。关键是要衡量实际的性能并确定负载和所需的资源。
我和许多管理员一起工作过,他们的域控制器都不能胜任处理他们业务的任务。然而,通过使用一些相当简单的Perfmon性能监视分析,我可以减轻域控制器上影响登陆性能的压力。这样一来,我反而能够确定其大小。
Lsass.exe应用程序
Lsass.exe是在Windows 2008和2008 R2中解决域控制器性能问题的关键因素,且它负责域控制器上所有的身份验证活动。为了解决性能问题,Lsass.exe占用CPU和内存资源,并留下详细的内存足迹。这里的最终目的是获得足够的随机存储器来把Ntds.dit文件放到内存中,并仍然为轻量级目录访问协议查询服务。
首先,为了确定需要多少内存,确保所有域控制器都安装在x64服务器上很重要。如果小于这个数,Lsass.exe将无法得到它所需的内存。
确定内存大小首先是计算Ntds.dit文件的大小并加20%,然后是Perfmon性能监视分析。要做到这点,只需看看%systemroot%\windows\ntds目录下的Ntds.dit文件大小,并查看任务管理器来查看Lsass.exe的内存占用量。注意,Ntds.dit文件在每个域控制器上的大小是相同的,但是每个站点的轻量级目录访问协议负载可能不同。
处理器估量
活动目录处理器对计算域控制器内存大小也很重要,它被链接到AD Jet数据库会话操作。Windows Server 2008 R2实际上有一个注册表项来控制这些会话,但是它们需要慎重管理。混合的处理器越多,可用的Jet数据库会话就越多。但是用尽Jet会话会引起许多指示AD资源不足的问题。为了避免这种情况,开始时至少要有4个处理器。
磁盘空间
磁盘空间管理起来相当简单,它遵循普通的磁盘性能规则。记着使用高性能的磁盘,并将日志和SYSVOL文件夹放在一个与Ntds.dit文件隔开的磁盘(主轴)。Ntds.dit文件和SYSVOL文件夹的大小将对磁盘空间起到举足轻重的作用,除非有其它应用程序正在域控制器上运行。
性能分析
通过运行性能监视分析,管理员可以确定内存,处理器和磁盘空间上的负载大小,还可确定现有域控制器的性能,在x64平台上更佳。仅仅使用标准计数器(内存、处理器、磁盘、网络等),但是添加NTDS计数器和Lsass.exe进程计数器可以最小化对域控制器性能的影响。运行它至少48小时来捕捉两天的峰值活动和非峰值活动。
一旦分析完成,然后估量Lsass.exe进程计数器并寻找持续的、持久的CPU和内存利用率。将此利用率与可用内存比较来确定内存使用率是否与Lsass.exe相符。图1显示了在早上几小时可用内存的增加,同时在轻量级目录访问协议绑定时间上有一个尖峰。
图1:可用内存
图2:轻量级目录访问协议绑定时间
据Perfmon性能监视分析,LDAP绑定时间尖峰与可用内存的减少是不相关的。因此,需要在一段较长时间内捕获数据。
备注:对于LDAP绑定时间,查找15ms以上的连续时间段。PAL将会标记警告和错误的等级。
【编辑推荐】
