自從Windows 2000推出以來，管理者和設(shè)計(jì)者一直想弄明白如何估量域控制器。估量服務(wù)器通常涉及到處理器的個數(shù)、物理內(nèi)存大小、磁盤空間大小以及服務(wù)器上可以運(yùn)行的應(yīng)用程序。

推薦閱讀：聽專家講述Windows活動目錄

估量域控制器（DC）的難處在于負(fù)載太多變了。域控制器通過Lsass.exe進(jìn)程來處理身份驗(yàn)證，這個進(jìn)程具有許多功能。另外，處理器資源被Ntds.dit數(shù)據(jù)庫以非線性方式的數(shù)據(jù)庫操作占用。因此，域控制器的負(fù)載可以是易變的，理由如下：

• 經(jīng)驗(yàn)證的客戶機(jī)的數(shù)量不可預(yù)測，因?yàn)槎鄠€域控制器共享用于客戶機(jī)進(jìn)入和退出站點(diǎn)的負(fù)載。
• 執(zhí)行驗(yàn)證的應(yīng)用程序和輕量級目錄訪問協(xié)議（LDAP）查詢給域控制器增加了額外的負(fù)擔(dān)。
• 身份驗(yàn)證和通過非Windows客戶端訪問Windows資源因輕量級目錄訪問協(xié)議查詢而增加了域控制器的負(fù)載。
• 無效的輕量級目錄訪問協(xié)議查詢可以造成域控制器的不可預(yù)測負(fù)載。
• 活躍的目錄分析和監(jiān)測工具造成了域控制器的額外負(fù)載。

盡管這些因素使得估量域控制器更加具有挑戰(zhàn)性，但是它仍是有可行性的。關(guān)鍵是要衡量實(shí)際的性能并確定負(fù)載和所需的資源。

我和許多管理員一起工作過，他們的域控制器都不能勝任處理他們業(yè)務(wù)的任務(wù)。然而，通過使用一些相當(dāng)簡單的Perfmon性能監(jiān)視分析，我可以減輕域控制器上影響登陸性能的壓力。這樣一來，我反而能夠確定其大小。

Lsass.exe應(yīng)用程序

Lsass.exe是在Windows 2008和2008 R2中解決域控制器性能問題的關(guān)鍵因素，且它負(fù)責(zé)域控制器上所有的身份驗(yàn)證活動。為了解決性能問題，Lsass.exe占用CPU和內(nèi)存資源，并留下詳細(xì)的內(nèi)存足跡。這里的最終目的是獲得足夠的隨機(jī)存儲器來把Ntds.dit文件放到內(nèi)存中，并仍然為輕量級目錄訪問協(xié)議查詢服務(wù)。

首先，為了確定需要多少內(nèi)存，確保所有域控制器都安裝在x64服務(wù)器上很重要。如果小于這個數(shù)，Lsass.exe將無法得到它所需的內(nèi)存。

確定內(nèi)存大小首先是計(jì)算Ntds.dit文件的大小并加20%，然后是Perfmon性能監(jiān)視分析。要做到這點(diǎn)，只需看看%systemroot%\windows\ntds目錄下的Ntds.dit文件大小，并查看任務(wù)管理器來查看Lsass.exe的內(nèi)存占用量。注意，Ntds.dit文件在每個域控制器上的大小是相同的，但是每個站點(diǎn)的輕量級目錄訪問協(xié)議負(fù)載可能不同。

處理器估量

活動目錄處理器對計(jì)算域控制器內(nèi)存大小也很重要，它被鏈接到AD Jet數(shù)據(jù)庫會話操作。Windows Server 2008 R2實(shí)際上有一個注冊表項(xiàng)來控制這些會話，但是它們需要慎重管理?；旌系奶幚砥髟蕉?，可用的Jet數(shù)據(jù)庫會話就越多。但是用盡Jet會話會引起許多指示AD資源不足的問題。為了避免這種情況，開始時(shí)至少要有4個處理器。

磁盤空間

磁盤空間管理起來相當(dāng)簡單，它遵循普通的磁盤性能規(guī)則。記著使用高性能的磁盤，并將日志和SYSVOL文件夾放在一個與Ntds.dit文件隔開的磁盤（主軸）。Ntds.dit文件和SYSVOL文件夾的大小將對磁盤空間起到舉足輕重的作用，除非有其它應(yīng)用程序正在域控制器上運(yùn)行。

性能分析

通過運(yùn)行性能監(jiān)視分析，管理員可以確定內(nèi)存，處理器和磁盤空間上的負(fù)載大小，還可確定現(xiàn)有域控制器的性能，在x64平臺上更佳。僅僅使用標(biāo)準(zhǔn)計(jì)數(shù)器（內(nèi)存、處理器、磁盤、網(wǎng)絡(luò)等），但是添加NTDS計(jì)數(shù)器和Lsass.exe進(jìn)程計(jì)數(shù)器可以最小化對域控制器性能的影響。運(yùn)行它至少48小時(shí)來捕捉兩天的峰值活動和非峰值活動。

一旦分析完成，然后估量Lsass.exe進(jìn)程計(jì)數(shù)器并尋找持續(xù)的、持久的CPU和內(nèi)存利用率。將此利用率與可用內(nèi)存比較來確定內(nèi)存使用率是否與Lsass.exe相符。圖1顯示了在早上幾小時(shí)可用內(nèi)存的增加，同時(shí)在輕量級目錄訪問協(xié)議綁定時(shí)間上有一個尖峰。

圖1：可用內(nèi)存

圖2：輕量級目錄訪問協(xié)議綁定時(shí)間

據(jù)Perfmon性能監(jiān)視分析，LDAP綁定時(shí)間尖峰與可用內(nèi)存的減少是不相關(guān)的。因此，需要在一段較長時(shí)間內(nèi)捕獲數(shù)據(jù)。

備注：對于LDAP綁定時(shí)間，查找15ms以上的連續(xù)時(shí)間段。PAL將會標(biāo)記警告和錯誤的等級。

【編輯推薦】

1. 利用Repadmin診斷Windows活動目錄的復(fù)制問題
2. 活動目錄在構(gòu)建核心過程中的八個關(guān)鍵點(diǎn)
3. 活動目錄設(shè)計(jì)中需要遵循的七個原則
4. 如何在多域林中恢復(fù)活動目錄根域
5. 小心雙刃劍 Ntdsutil對活動目錄的管理