Kimlik için Microsoft Defender dağıtımı için kapasite planlama

Bu makalede, etki alanı denetleyicisi sunucularınızın bir Kimlik için Microsoft Defender algılayıcısı için yeterli kaynağa sahip olup olmadığını belirlemek için Kimlik için Microsoft Defender boyutlandırma aracının nasıl kullanılacağı açıklanmaktadır.

Sunucuda gerekli kaynaklar yoksa etki alanı denetleyicisi performansı etkilenmeyebilir ancak Kimlik için Defender algılayıcısı beklendiği gibi çalışmayabilir. Daha fazla bilgi için bkz. Kimlik için Microsoft Defender önkoşulları.

Boyutlandırma aracı yalnızca etki alanı denetleyicileri için gereken kapasiteyi ölçer. AD FS / AD CS sunucuları üzerindeki performans etkisi mevcut olmaması son derece düşük olduğundan, ad FS / AD CS sunucularında çalıştırmaya gerek yoktur.

İpucu

Varsayılan olarak, Kimlik için Defender en fazla 350 algılayıcıyı destekler. Daha fazla algılayıcı yüklemek için Kimlik için Defender desteğine başvurun.

Önkoşullar

Doğru sonuçlar elde etmek için, ortamınızda Kimlik için Defender algılayıcılarını yüklemeden önce boyutlandırma aracını çalıştırın.

Boyutlandırma aracını kullanma

  1. İndirdiğiniz zip dosyasından Kimlik için Defender boyutlandırma aracını TriSizingTool.exe çalıştırın.

  2. Aracın çalışması tamamlandığında Excel dosya sonuçlarını açın.

  3. Excel dosyasında Azure ATP Özeti sayfasını bulun ve seçin ve ardından sunucunuzun desteklenip desteklenmediğini gösteren sonuçlar için Algılayıcı Desteklenen sütununa bakın.

    Örneğin:

    Screenshot of a sample capacity planning tool.

    Not

    Dosyadaki diğer sayfa Gelişmiş Tehdit Analizi (ATA) planlaması için kullanılır ve Kimlik için Defender için gerekli değildir.

Boyutlandırma aracı, sunucunuzun 24 saatlik süre boyunca en yoğun 15 dakika temelinde hesaplanan Meşgul Paketler/Saniye değerine göre desteklenip desteklenmediğini belirler.

Yaygın sonuçlar şunlardır:

Result Açıklama
Evet Algılayıcı sunucunuzda desteklenir
Evet, ancak ek kaynaklar gerekiyor Algılayıcı, belirtilen eksik kaynakları eklediğiniz sürece sunucunuzda desteklenir.
Olabilir Geçerli Meşgul Paketleri/saniye değeri bu noktada ortalamadan önemli ölçüde yüksek olabilir. O sırada çalışan işlemleri anlamak için zaman damgalarını ve normal koşullarda bu işlemlerin bant genişliğini sınırlayıp sınırlayamayacağınızı denetleyin.
Olabilir, ancak ek kaynaklar gerekir Algılayıcı, belirtilen eksik kaynakları eklediğiniz sürece sunucunuzda desteklenebilir veya Meşgul paketleri / saniye 60.000'in üzerinde olabilir
Hayır Algılayıcı sunucunuzda desteklenmiyor.

Geçerli Meşgul Paketleri/saniye değeri bu noktada ortalamadan önemli ölçüde yüksek olabilir. O sırada çalışan işlemleri anlamak için zaman damgalarını ve normal koşullarda bu işlemlerin bant genişliğini sınırlayıp sınırlayamayacağınızı denetleyin.
eksik işletim sistemi verileri İşletim sistemi verileri okunurken bir sorun oluştu. Sunucunuzla bağlantının WMI'yi uzaktan sorgulayabildiğinden emin olun.
Eksik Trafik Verileri Trafik verileri okunurken bir sorun oluştu. Sunucunuzla bağlantının performans sayaçlarını uzaktan sorgulayabildiğinden emin olun.
Eksik RAM verileri RAM verileri okunurken bir sorun oluştu. Sunucunuzla bağlantının WMI'yi uzaktan sorgulayabildiğinden emin olun.
Eksik çekirdek veriler Çekirdek veriler okunurken bir sorun oluştu. Sunucunuzla bağlantının WMI'yi uzaktan sorgulayabildiğinden emin olun.

Örneğin aşağıdaki görüntüde, Belki değerinin Meşgul Paketler/Saniye değerinin bu noktada ortalamadan önemli ölçüde yüksek olduğunu gösterdiği bir sonuç kümesi gösterilmektedir. DC Saatlerini UTC/Yerel olarak görüntüle ayarının Yerel DC Saati olarak ayarlandığını unutmayın. Bu ayar, değerlerin 03:30 civarında alındığı gerçeğini vurgulamada yardımcı olur.

Screenshot of a capacity tool results showing Maybe values.

Kimlik için Defender algılayıcısı tahmini boyutlandırma

Aşağıdaki tabloda, bir etki alanı denetleyicisi tarafından oluşturulan tipik ağ trafiği miktarına göre Kimlik için Defender algılayıcısı için gereken tahmini CPU ve RAM kapasitesi gösterilmektedir.

Bu tablo bir tahmindir. Algılayıcının ayrıştırma yaptığı son miktar, trafik miktarına ve trafiğin dağılımına bağlıdır.

Meşgul paketler / saniye CPU (fiziksel çekirdekler) RAM (GB)
0-1k 0.25 2,50
1k-5k 0,75 6,00
5k-10k 1.00 6.50
10k-20k 2.00 9,00
20k-50k 3,50 9,50
50k-75k 5.50 11.50
75k-100k 7,50 13,50

Bu tabloda:

  • CPU ve RAM kapasitesi, etki alanı denetleyicisi kapasitesini değil algılayıcının kendi tüketimini ifade eder.

  • CPU kapasitesi hiper iş parçacıklı çekirdekler içermez. Kimlik için Defender algılayıcısında sistem durumu sorunlarına neden olabilecek hiper iş parçacıklı çekirdeklerle çalışmamanızı öneririz.

Boyutlandırmayı belirlerken sensör hizmeti tarafından kullanılacak toplam çekirdek sayısını ve toplam bellek miktarını aklınızda bulundurun.

Daha fazla bilgi için bkz . Kaynak sınırlamaları.

Etki alanı denetleyicileri için el ile boyutlandırma tahmini

Boyutlandırma aracını kullanamıyorsanız, etki alanı denetleyicisi sunucularınızın bunun yerine Kimlik için Defender algılayıcısı için yeterli kaynağa sahip olup olmadığını el ile tahmin edebilirsiniz.

5 saniye gibi düşük bir toplama aralığıyla 24 saat boyunca tüm etki alanı denetleyicilerinizden paket/saniye sayacı bilgilerini el ile toplayın. Her etki alanı denetleyicisi için günlük ortalamayı ve en yoğun dönem (15 dakika) ortalamasını hesaplayın.

Çeşitli araçlar, etki alanı denetleyiciniz için ortalama paket/saniye sayacını bulmanıza yardımcı olabilir. Bu yordamda, ilgili bilgileri toplamak için Performans İzleyicisi nasıl kullanılacağına ilişkin bir örnek açıklanır.

  1. Performans İzleyicisi açın ve Veri Toplayıcı Kümeleri'ne genişletin.

  2. Kullanıcı Tanımlı'ya sağ tıklayın ve Yeni Veri Toplayıcı Kümesi'ni >seçin.

  3. Toplayıcı kümesi için anlamlı bir ad girin ve El ile Oluştur (Gelişmiş)'i seçin.

  4. Hangi tür verileri eklemek istiyorsunuz? bölümünde Veri günlükleri oluştur'u ve Performans sayacını seçin.

  5. Ağ Bağdaştırıcısı'nı genişletin ve Paketler/sn ve ilgili çalışma alanını seçin. Hangi çalışma alanını seçeceğinizi emin değilseniz Tüm çalışma alanları'na> tıklayın<. Adımı tamamlamak için Tamam Ekle'yi>seçin.

    Alternatif olarak, bu adımı komut satırından gerçekleştiriyorsanız bağdaştırıcı adını ve yapılandırmasını görmek için komutunu çalıştırın ipconfig /all .

  6. Örnek aralığını beş saniye olarak değiştirin ve verilerin kaydedilmesini istediğiniz yeri tanımlayın.

  7. Veri toplayıcı kümesi oluştur'un altında Bu veri toplayıcı kümesini şimdi>başlat Son'u seçin.

    Şimdi, yeşil üçgenle oluşturduğunuz veri toplayıcı kümesinin çalıştığını belirten bir küme görmeniz gerekir.

  8. 24 saat sonra veri toplayıcı kümesini durdurun. Veri toplayıcı kümesine sağ tıklayın ve Durdur'u seçin.

  9. Dosya Gezgini'da .blg dosyasının kaydedildiği klasöre göz atın. Performans İzleyicisi açmak için çift tıklayın.

  10. Paketler/sn sayacını seçin ve ortalama ve maksimum değerleri kaydedin.

Not

Varsayılan olarak, Kimlik için Defender en fazla 350 algılayıcıyı destekler. Daha fazla algılayıcı yüklemek istiyorsanız Kimlik için Defender desteğine başvurun.

Sonraki adım