Planera kapacitet för distribution av Microsoft Defender för identitet
I den här artikeln beskrivs hur du använder storleksverktyget för Microsoft Defender for Identity för att avgöra om domänkontrollantservrarna har tillräckligt med resurser för en Microsoft Defender för identitetssensor.
Även om domänkontrollantens prestanda kanske inte påverkas om servern inte har nödvändiga resurser, kanske Defender for Identity-sensorn inte fungerar som förväntat. Mer information finns i Krav för Microsoft Defender för identitet.
Storleksverktyget mäter endast den kapacitet som krävs för domänkontrollanter. Du behöver inte köra den mot AD FS/AD CS-servrar eftersom prestandapåverkan på AD FS/AD CS-servrar är extremt minimal för att inte existera.
Dricks
Defender for Identity stöder som standard upp till 350 sensorer. Om du vill installera fler sensorer kontaktar du Defender för identitetssupport.
Förutsättningar
- Ladda ned storleksverktyget för Defender for Identity.
- Läs artikeln Om Defender för identitetsarkitektur.
- Läs artikeln om krav för Defender for Identity.
För att säkerställa korrekta resultat kör du bara storleksverktyget innan du har installerat defender för identitetssensorer i din miljö.
Använda storleksverktyget
Kör storleksverktyget Defender for Identity TriSizingTool.exe från zip-filen som du laddade ned.
När verktyget är klart öppnar du Excel-filresultatet.
Leta upp och välj bladet Azure ATP-sammanfattning i Excel-filen och kontrollera sedan kolumnen Sensor som stöds för resultat som anger om servern stöds.
Till exempel:
Kommentar
Det andra bladet i filen används för ATA-planering (Advanced Threat Analytics) och behövs inte för Defender för identitet.
Storleksverktyget avgör om servern stöds baserat på värdet Upptagen paket/Sekund , som beräknas baserat på de 15 mest trafikerade minuterna under en 24-timmarsperiod.
Vanliga resultat är:
Resultat | beskrivning |
---|---|
Ja | Sensorn stöds på servern |
Ja, men ytterligare resurser krävs | Sensorn stöds på servern så länge du lägger till angivna saknade resurser. |
Kanske | Det aktuella värdet för upptagna paket/sekund kan vara betydligt högre vid den tidpunkten än genomsnittet. Kontrollera tidsstämplarna för att förstå de processer som körs vid den tidpunkten och om du kan begränsa bandbredden för dessa processer under normala omständigheter. |
Kanske, men ytterligare resurser krävs | Sensorn kan stödjas på servern så länge du lägger till några resurser som saknas, eller så kan upptagna paket/sekund vara över 60 000 |
Nej | Sensorn stöds inte på servern. Det aktuella värdet för upptagna paket/sekund kan vara betydligt högre vid den tidpunkten än genomsnittet. Kontrollera tidsstämplarna för att förstå de processer som körs vid den tidpunkten och om du kan begränsa bandbredden för dessa processer under normala omständigheter. |
Os-data saknas | Det gick inte att läsa operativsystemdata. Kontrollera att anslutningen till servern kan köra frågor mot WMI via fjärranslutning. |
Trafikdata saknas | Det gick inte att läsa trafikdata. Kontrollera att anslutningen till servern kan köra frågor mot prestandaräknare via fjärranslutning. |
RAM-data saknas | Det gick inte att läsa RAM-data. Kontrollera att anslutningen till servern kan köra frågor mot WMI via fjärranslutning. |
Kärndata saknas | Det gick inte att läsa kärndata. Kontrollera att anslutningen till servern kan köra frågor mot WMI via fjärranslutning. |
Följande bild visar till exempel en uppsättning resultat där värdet Kanske anger att värdet Upptagen-paket/Sekund är betydligt högre vid den tidpunkten än genomsnittet. Observera att Visa DC-tider som UTC/Lokal är inställt på Lokal DC-tid. Den här inställningen hjälper till att belysa det faktum att värdena togs runt 03:30.
Uppskattad storleksändring för Defender for Identity-sensorn
I följande tabell visas den uppskattade PROCESSOR- och RAM-kapacitet som behövs för en Defender för identitetssensor, baserat på den typiska mängden nätverkstrafik som genereras av en domänkontrollant.
Den här tabellen är en uppskattning. Den slutliga mängden som sensorn parsar beror på mängden trafik och fördelningen av trafiken.
Upptagna paket/sekund | CPU (fysiska kärnor) | RAM (GB) |
---|---|---|
0-1k | 0.25 | 2,50 |
1k-5k | 0.75 | 6,00 |
5k-10k | 1,00 | 6.50 |
10k-20k | 2.00 | 09:00 |
20k-50k | 3,50 | 9,50 |
50k-75k | 5.50 | 11.50 |
75k-100k | 7,50 | 13,50 |
I den här tabellen:
CPU- och RAM-kapacitet refererar till sensorns egen förbrukning, inte domänkontrollantkapaciteten.
Processorkapaciteten innehåller inte hypertrådade kärnor. Vi rekommenderar att du inte arbetar med hypertrådade kärnor, vilket kan leda till hälsoproblem i Defender for Identity-sensorn.
När du bestämmer storlek ska du tänka på det totala antalet kärnor och den totala mängden minne som ska användas av sensortjänsten.
Mer information finns i Resursbegränsningar.
Manuell storleksuppskattning för domänkontrollanter
Om du inte kan använda storleksverktyget kan du manuellt uppskatta om domänkontrollantservrarna har tillräckligt med resurser för en Defender för identitetssensor i stället.
Samla in paket-/sekundräknarens information manuellt från alla domänkontrollanter under 24 timmar med ett lågt insamlingsintervall som 5 sekunder. För varje domänkontrollant beräknar du det dagliga genomsnittet och genomsnittet för den mest trafikerade perioden (15 minuter).
Olika verktyg kan hjälpa dig att identifiera den genomsnittliga paket-/sekundräknaren för domänkontrollanten. Den här proceduren beskriver ett exempel på hur du använder Prestandaövervakaren för att samla in relevant information.
Öppna Prestandaövervakaren och expandera Datainsamlaruppsättningar.
Högerklicka på Användardefinierad och välj Ny > datainsamlaruppsättning.
Ange ett beskrivande namn för insamlingsuppsättningen och välj Skapa manuellt (avancerat).
Under Vilken typ av data vill du inkludera?, väljer du Skapa dataloggar och Prestandaräknare.
Expandera Nätverkskort och välj sedan Paket/s och relevant arbetsyta. Om du inte är säker på vilken arbetsyta du ska välja väljer du Alla arbetsytor>.< Välj Lägg till>OK för att slutföra steget.
Om du utför det här steget från kommandoraden kan du också köra
ipconfig /all
för att se kortets namn och konfiguration.Ändra exempelintervallet till fem sekunder och definiera var du vill att data ska sparas.
Under Skapa datainsamlaruppsättningen väljer du Starta den här datainsamlaruppsättningen nu>Slutför.
Nu bör du se datainsamlaruppsättningen som du skapade med en grön triangel som anger att den fungerar.
Efter 24 timmar stoppar du datainsamlaruppsättningen. Högerklicka på datainsamlaruppsättningen och välj Stoppa.
I Utforskaren bläddrar du till mappen där .blg-filen sparades. Dubbelklicka på den för att öppna den i Prestandaövervakaren.
Välj räknaren Paket/sek och registrera medelvärdet och maxvärdena.
Kommentar
Defender for Identity stöder som standard upp till 350 sensorer. Om du vill installera fler sensorer kontaktar du defender for Identity-supporten.