Планирование емкости для развертывания Microsoft Defender для удостоверений

В этой статье описывается, как использовать средство изменения размера Microsoft Defender для удостоверений, чтобы определить, имеют ли серверы контроллера домена достаточно ресурсов для датчика Microsoft Defender для удостоверений.

Хотя производительность контроллера домена может не влиять, если у сервера нет необходимых ресурсов, датчик Defender для удостоверений может не работать должным образом. Дополнительные сведения см. в Microsoft Defender для удостоверений предварительных требований.

Средство определения размера измеряет емкость, необходимую только для контроллеров домена. Нет необходимости запускать его на серверах AD FS или AD CS, так как влияние производительности на серверы AD FS/ AD CS крайне минимально не существует.

Совет

По умолчанию Defender для удостоверений поддерживает до 350 датчиков. Чтобы установить дополнительные датчики, обратитесь в Службу поддержки Defender для удостоверений.

Необходимые компоненты

Чтобы обеспечить точные результаты, запустите средство изменения размера , прежде чем установить датчики Defender для удостоверений в вашей среде.

Использование средства изменения размера

  1. Запустите средство изменения размера Defender для удостоверений TriSizingTool.exe из скачаемого ZIP-файла.

  2. Когда средство завершит работу, откройте результаты файла Excel.

  3. В файле Excel найдите и выберите сводную таблицу Azure ATP, а затем проверка столбец "Поддерживаемый датчик" для результатов, указывающих, поддерживается ли сервер.

    Рассмотрим пример.

    Screenshot of a sample capacity planning tool.

    Примечание.

    Другой лист в файле используется для планирования Расширенной аналитики угроз (ATA) и не требуется для Defender для удостоверений.

Средство определения размера определяет, поддерживается ли сервер на основе значения "Занятые пакеты/секунды ", которое вычисляется на основе 15 самых загруженных минут в течение 24 часов.

Распространенные результаты включают:

Результат Description
Да Датчик поддерживается на сервере
Да, но необходимы дополнительные ресурсы Датчик поддерживается на сервере до тех пор, пока вы добавляете все указанные отсутствующие ресурсы.
Возможно Текущее значение "Занято" или "Второе " может быть значительно выше, чем в среднем. Проверьте метки времени, чтобы понять процессы, выполняемые в то время, и можно ли ограничить пропускную способность для этих процессов в обычных обстоятельствах.
Может быть, но требуются дополнительные ресурсы Датчик может поддерживаться на сервере до тех пор, пока вы добавляете все указанные отсутствующие ресурсы, или пакеты "Занято" /В секунду может быть выше 60K
Нет Датчик не поддерживается на сервере.

Текущее значение "Занято" или "Второе " может быть значительно выше, чем в среднем. Проверьте метки времени, чтобы понять процессы, выполняемые в то время, и можно ли ограничить пропускную способность для этих процессов в обычных обстоятельствах.
Отсутствующие данные ОС Возникла проблема с чтением данных операционной системы. Убедитесь, что подключение к серверу может выполнять удаленный запрос WMI.
Отсутствующие данные трафика Возникла проблема с чтением данных трафика. Убедитесь, что подключение к серверу может удаленно запрашивать счетчики производительности.
Отсутствующие данные ОЗУ Возникла проблема с чтением данных ОЗУ. Убедитесь, что подключение к серверу может выполнять удаленный запрос WMI.
Отсутствующие основные данные Возникла проблема с чтением основных данных. Убедитесь, что подключение к серверу может выполнять удаленный запрос WMI.

Например, на следующем рисунке показан набор результатов, в котором может указываться, что значение "Занято" в секунду значительно выше, чем среднее. Обратите внимание, что для параметра "Отображение времени контроллера домена" в формате UTC/Local задано значение "Локальное время контроллера домена". Этот параметр помогает выделить тот факт, что значения были приняты около 3:30 утра.

Screenshot of a capacity tool results showing Maybe values.

Предполагаемый размер датчика удостоверений Defender для удостоверений

В следующей таблице показана оценочная емкость ЦП и ОЗУ, необходимая для датчика Defender для удостоверений, на основе типичного объема сетевого трафика, созданного контроллером домена.

Эта таблица представляет собой оценку. Окончательный объем анализа датчика зависит от объема трафика и распределения трафика.

Занятые пакеты / в секунду ЦП (физические ядра) ОЗУ (ГБ)
0-1k 0.25 2,50
1k-5k 0.75 6,00
5k-10k 1.00 6,50
10k-20k 2.00 9.00
20k-50k 3,50 9,50
50k-75k 5.50 11,50 фунта
75k-100k 7,50 13,50

В этой таблице:

  • Емкость ЦП и ОЗУ относится к собственному потреблению датчика, а не к емкости контроллера домена.

  • Емкость ЦП не включает гиперпотоковые ядра. Рекомендуется не работать с гиперпотоками ядер, что может привести к проблемам со работоспособностью в датчике Defender для удостоверений.

При определении размера следует учитывать общее количество ядер и общее количество памяти, которые будут использоваться службой датчиков.

Дополнительные сведения см. в разделе об ограничениях ресурсов.

Оценка размера вручную для контроллеров домена

Если вы не можете использовать средство изменения размера, можно вручную оценить, имеют ли серверы контроллера домена достаточно ресурсов для датчика Defender для удостоверений.

Вручную соберите сведения о счетчике пакетов и секунды со всех контроллеров домена в течение 24 часов с низким интервалом сбора, например 5 секунд. Для каждого контроллера домена вычислите среднюю среднюю и самый загруженный период (15 минут).

Различные средства помогут вам обнаружить средний счетчик пакетов или секунды для контроллера домена. В этой процедуре описывается пример использования Монитор производительности для сбора соответствующей информации.

  1. Откройте Монитор производительности и разверните наборы сборщиков данных.

  2. Щелкните правой кнопкой мыши определяемый пользователем и выберите новый > набор сборщика данных.

  3. Введите понятное имя для набора сборщиков и нажмите кнопку "Создать вручную(дополнительно)".

  4. В разделе "Какой тип данных требуется включить?", выберите " Создать журналы данных" и "Счетчик производительности".

  5. Разверните сетевой адаптер и выберите пакеты в секунду и соответствующую рабочую область. Если вы не уверены, какая рабочая область нужно выбрать, выберите <все рабочие области>. Нажмите кнопку "Добавить>ОК", чтобы завершить шаг.

    Кроме того, если вы выполняете этот шаг из командной строки, выполните команду ipconfig /all , чтобы просмотреть имя и конфигурацию адаптера.

  6. Измените интервал образца на пять секунд и определите место сохранения данных.

  7. В разделе "Создание набора сборщиков данных" нажмите кнопку "Запустить этот набор сборщика данных" теперь>"Готово".

    Теперь вы увидите набор сборщика данных, созданный с зеленым треугольником, указывающим, что он работает.

  8. Через 24 часа остановите набор сборщиков данных. Щелкните правой кнопкой мыши набор сборщика данных и выберите "Остановить".

  9. В проводник перейдите к папке, в которой был сохранен BLG-файл. Дважды щелкните его, чтобы открыть его в Монитор производительности.

  10. Выберите счетчик "Пакеты/с" и запишите среднее и максимальное значение.

Примечание.

По умолчанию Defender для удостоверений поддерживает до 350 датчиков. Чтобы установить дополнительные датчики, обратитесь в службу поддержки Defender для удостоверений.

Следующий шаг