计划 Microsoft Defender for Identity 部署的容量
本文章介绍了如何使用 Microsoft Defender for Identity 调整大小工具来确定域控制器服务器是否有足够的资源用于安装 Microsoft Defender for Identity 传感器。
虽然如果服务器没有要求的资源,域控制器性能可能也不会受到影响,但 Defender for Identity 传感器可能无法按预期运行。 有关详细信息,请参阅 Microsoft Defender for Identity 先决条件。
调整大小工具仅度量域控制器所需的容量。 不需要在 AD FS/AD CS 服务器上运行,因为对 AD FS/AD CS 服务器的性能影响非常小,甚至不存在。
提示
默认情况下,Defender for Identity 最多支持 350 个传感器。 要安装更多传感器,请联系 Defender for Identity 支持人员。
先决条件
- 下载 Defender for Identity 大小调整工具。
- 请参阅 Defender for Identity 体系结构一文。
- 请参阅 Defender for Identity 先决条件一文。
为确保结果准确,在你的环境中安装任何 Defender for Identity 传感器之前,请仅运行调整大小工具。
使用调整大小工具
从下载的 zip 文件运行 Defender for Identity 调整大小工具 TriSizingTool.exe。
工具运行完成后,打开 Excel 文件结果。
在 Excel 文件中,找到并选择 Azure ATP 摘要表,然后检查支持的传感器列,以获取是否支持你的服务器的结果指示。
例如:
注意
文件中的另一张表用于高级威胁分析 (ATA) 计划,但 Defender for Identity 不需要用到。
调整大小工具根据忙碌数据包数/秒值确定是否支持服务器,该值根据 24 小时内最繁忙的 15 分钟计算得出。
常见结果包含:
Result | 说明 |
---|---|
是 | 你的服务器支持该传感器 |
是,但要求额外的资源 | 只要添加任何指定的丢失资源,服务器就支持该传感器。 |
可能 | 当前忙碌数据包数/秒的值此时可能明显高于平均值。 检查时间戳以了解当时运行的进程,以及在正常情况下是否可以限制这些进程的带宽。 |
可能,但要求额外的资源 | 只要添加任何指定的丢失资源,或者忙碌数据包数/秒可以高于 60K,服务器就可能支持该传感器 |
否 | 你的服务器不支持该传感器。 当前忙碌数据包数/秒的值此时可能明显高于平均值。 检查时间戳以了解当时运行的进程,以及在正常情况下是否可以限制这些进程的带宽。 |
缺少 OS 数据 | 读取操作系统数据时出现问题。 请确保与服务器的连接能够远程查询 WMI。 |
缺少流量数据 | 读取流量数据时出现问题。 请确保与服务器的连接能够远程查询性能计数器。 |
缺少 RAM 数据 | 读取 RAM 数据时出现问题。 请确保与服务器的连接能够远程查询 WMI。 |
缺少核心数据 | 读取核心数据时出现问题。 请确保与服务器的连接能够远程查询 WMI。 |
例如,下图显示了一组结果,其中可能表示此时的忙碌数据包数/秒值明显高于平均值。 请注意,将 DC 时间显示为 UTC/本地设置为本地的 DC 时间。 此设置可帮助突出显示这些值在 3:30 AM 左右获取。
Defender for Identity 传感器估计大小
下表显示了基于域控制器生成的典型网络流量的 Defender for Identity 传感器所需的估计 CPU 和 RAM 容量。
此表为估计值。 传感器分析的最终容量取决于流量的量和流量的分布。
忙碌数据包数/秒 | CPU(物理核心数) | RAM (GB) |
---|---|---|
0-1k | 0.25 | 2.50 |
1k-5k | 0.75 | 6.00 |
5k-10k | 1.00 | 6.50 |
10k-20k | 2.00 | 9.00 |
20k-50k | 3.50 | 9.50 |
50k-75k | 5.50 | 11.50 |
75k-100k | 7.50 | 13.50 |
在此表中:
CPU 和 RAM 容量是指传感器自身的消耗,而不是域控制器的容量。
CPU 容量不包含超线程核心。 我们建议你不要使用超线程核心,这可能会导致 Defender for Identity 传感器运行状况出现问题。
在确定大小时,请记住传感器服务将使用的核心总数和总内存量。
有关详细信息,请参阅资源限制。
域控制器的手动大小估计
如果无法使用 大小调整工具,可以手动估计域控制器服务器是否有足够的资源用于 Defender for Identity 传感器。
从所有域控制器手动收集数据包/秒计数器信息,超过 24 小时,收集间隔较低(如 5 秒)。 对于每个域控制器,计算每日平均值和最繁忙的时间段(15 分钟)平均值。
各种工具可帮助你发现域控制器的平均数据包/秒计数器。 此过程介绍了如何使用性能监视器来收集相关信息的示例。
打开性能监视器并展开数据收集器集。
右键单击 “用户定义的 ”并选择“ 新建 > 数据收集器集”。
为收集器集输入有意义的名称,然后选择“手动创建”(高级)。
在要包含的数据类型下,选择“创建数据日志”和性能计数器。
展开 网络适配器 ,然后选择“ 数据包数/秒 ”和相关工作区。 如果不确定要选择哪个工作区,请选择“所有工作区>”。< 选择“添加确定”>以完成该步骤。
或者,如果要从命令行执行此步骤,请运行
ipconfig /all
以查看适配器名称和配置。将 示例间隔 更改为 5 秒,并定义要保存数据的位置。
在“创建数据收集器集”下,选择“立即>启动此数据收集器集”。
现在应会看到你创建的数据收集器集,其中包含一个绿色三角形,指示它正常工作。
24 小时后,停止数据收集器集。 右键单击数据收集器集并选择“ 停止”。
在文件资源管理器中,浏览到保存 .blg 文件的文件夹。 双击它以在性能监视器中将其打开。
选择 Packets/sec 计数器,并记录平均值和最大值。
注意
默认情况下,Defender for Identity 最多支持 350 个传感器。 如需安装更多传感器,请联系 Defender for Identity 支持人员。