規劃 適用於身分識別的 Microsoft Defender 部署的容量
本文說明如何使用 適用於身分識別的 Microsoft Defender 重設大小工具來判斷域控制器伺服器是否有足夠的資源可供 適用於身分識別的 Microsoft Defender 感測器使用。
如果伺服器沒有必要的資源,域控制器效能可能會受到影響,但適用於身分識別的 Defender 感測器可能無法如預期般運作。 如需詳細資訊,請參閱 適用於身分識別的 Microsoft Defender 必要條件。
重設大小工具會測量域控制器所需的容量。 不需要對 AD FS /AD CS 伺服器執行它,因為對 AD FS / AD CS 伺服器的效能影響極小,但不存在。
提示
根據預設,適用於身分識別的 Defender 最多支援 350 個感測器。 若要安裝更多感測器,請連絡適用於身分識別的Defender支援。
必要條件
- 下載適用於身分識別的 Defender 大小調整工具。
- 檢閱 適用於身分識別的Defender架構 一文。
- 檢閱 適用於身分識別的Defender必要條件 一文。
若要確保正確結果,請在環境中安裝任何適用於身分識別的 Defender 感測器之前,先執行重設大小工具。
使用重設大小工具
從您下載的 zip 檔案執行適用於身分識別的 Defender 大小調整工具 TriSizingTool.exe。
當工具完成執行時,開啟 Excel 檔案結果。
在 Excel 檔案中,找出並選取 [Azure ATP 摘要 ] 工作表,然後檢查 [感測器支援 ] 資料行以取得指出伺服器是否支持的結果。
例如:
注意
檔案中的其他工作表用於 進階威脅分析 (ATA) 規劃, 且不需要適用於身分識別的Defender。
重設大小工具會根據 「忙碌封包/秒 」值來判斷您的伺服器是否受到支援,此值是根據 24 小時內最忙碌的 15 分鐘計算。
常見的結果包括:
| 結果 | 描述 |
|---|---|
| 是 | 您的伺服器上支援感測器 |
| 是,但需要其他資源 | 只要您新增任何指定的遺漏資源,您的伺服器上就會支持感測器。 |
| 可能 | 目前 忙碌封包/秒 值可能明顯高於該時間點的平均值。 檢查時間戳以了解當時執行的進程,以及您是否可以在正常情況下限制這些進程的頻寬。 |
| 也許,但需要其他資源 | 只要您新增任何指定的遺漏資源,或 忙碌封包/秒 可能超過 60K,您的伺服器上可能會支持感測器 |
| 否 | 您的伺服器上不支援感測器。 目前 忙碌封包/秒 值可能明顯高於該時間點的平均值。 檢查時間戳以了解當時執行的進程,以及您是否可以在正常情況下限制這些進程的頻寬。 |
| 遺漏OS數據 | 讀取作業系統數據時發生問題。 請確定您伺服器的連線能夠遠端查詢 WMI。 |
| 遺漏流量數據 | 讀取流量數據時發生問題。 請確定您伺服器的連線能夠遠端查詢性能計數器。 |
| 遺漏 RAM 數據 | 讀取 RAM 數據時發生問題。 請確定您伺服器的連線能夠遠端查詢 WMI。 |
| 遺漏核心數據 | 讀取核心數據時發生問題。 請確定您伺服器的連線能夠遠端查詢 WMI。 |
例如,下圖顯示一組結果,其中 [可能 ] 表示 忙碌封包/秒 值在該時間點明顯高於平均值。 請注意,將 [將 DC 時間顯示為 UTC/本機] 設定為 [本機 DC 時間]。 此設定有助於強調值在上午 3:30 左右取得的事實。
適用於身分識別的 Defender 感測器估計重設大小
下表根據域控制器所產生的一般網路流量,顯示適用於身分識別的 Defender 感測器所需的預估 CPU 和 RAM 容量。
此數據表是估計值。 感測器剖析的最終數量取決於流量數量和流量分佈。
| 忙碌封包/秒 | CPU (實體核心) | RAM (GB) |
|---|---|---|
| 0-1k | 0.25 | 2.50 |
| 1k-5k | 0.75 | 6.00 |
| 5k-10k | 1.00 | 6.50 |
| 10k-20k | 2.00 | 9.00 |
| 20k-50k | 3.50 | 9.50 |
| 50k-75k | 5.50 | 11.50 |
| 75k-100k | 7.50 | 13.50 |
在這裡表格中:
CPU 和 RAM 容量是指 感測器本身的耗用量,而不是域控制器容量。
CPU 容量不包含超線程核心。 建議您不要使用超線程核心,這可能會導致適用於身分識別的 Defender 感測器發生健康情況問題。
判斷重設大小時,請記住感測器服務將使用的核心總數和記憶體總數。
如需詳細資訊,請參閱 資源限制。
域控制器的手動重設大小估計
如果您無法使用 重設大小工具,您可以手動估計域控制器伺服器是否有足夠的資源供適用於身分識別的 Defender 感測器使用。
從所有域控制器手動收集封包/秒計數器信息,超過24小時,收集間隔為5秒。 針對每個域控制器,計算每日平均值和最繁忙的期間(15 分鐘)平均值。
各種工具可協助您探索域控制器的平均封包/秒計數器。 此程序說明如何使用 效能監視器 來收集相關信息的範例。
開啟 效能監視器,然後展開 [數據收集器集合]。
以滑鼠右鍵按兩下 [使用者定義 ],然後選取 [ 新增 > 數據收集器集合]。
為收集器集輸入有意義的名稱,然後選取 [手動建立] [進階]。
在 [您要包含何種數據類型?] 底下,選取 [建立數據記錄檔] 和 [性能計數器]。
展開 [網络適配器],然後選取 [Packets/sec] 和相關工作區。 如果您不確定要選取哪一個工作區,請選取 <[所有工作區>]。 選取 [新增>確定] 以完成步驟。
或者,如果您要從命令行執行此步驟,請執行
ipconfig /all以查看配接器名稱和組態。將 [取樣間隔] 變更為 5 秒,並定義您想要儲存資料的位置。
在 [建立數據收集器集] 下,選取 [立即>啟動此數據收集器集] [完成]。
您現在應該會看到您使用綠色三角形所建立的數據收集器集,指出其運作正常。
24 小時之後,停止數據收集器集合。 以滑鼠右鍵按鍵按鍵收集器集合,然後選取 [ 停止]。
在 檔案總管 中,流覽至儲存 .blg 檔案的資料夾。 按兩下它以在 效能監視器 中開啟它。
選取 Packets/sec 計數器,並記錄平均值和最大值。
注意
根據預設,適用於身分識別的 Defender 最多支援 350 個感測器。 如果您想要安裝更多感測器,請連絡適用於身分識別的Defender支援。