自從Windows 2000推出以來，管理者和設計者一直想弄明白如何估量域控制器。估量服務器通常涉及到處理器的個數、物理內存大小、磁盤空間大小以及服務器上可以運行的應用程序。

推薦閱讀：聽專家講述Windows活動目錄

估量域控制器（DC）的難處在于負載太多變了。域控制器通過Lsass.exe進程來處理身份驗證，這個進程具有許多功能。另外，處理器資源被Ntds.dit數據庫以非線性方式的數據庫操作占用。因此，域控制器的負載可以是易變的，理由如下：

• 經驗證的客戶機的數量不可預測，因為多個域控制器共享用于客戶機進入和退出站點的負載。
• 執行驗證的應用程序和輕量級目錄訪問協議（LDAP）查詢給域控制器增加了額外的負擔。
• 身份驗證和通過非Windows客戶端訪問Windows資源因輕量級目錄訪問協議查詢而增加了域控制器的負載。
• 無效的輕量級目錄訪問協議查詢可以造成域控制器的不可預測負載。
• 活躍的目錄分析和監測工具造成了域控制器的額外負載。

盡管這些因素使得估量域控制器更加具有挑戰性，但是它仍是有可行性的。關鍵是要衡量實際的性能并確定負載和所需的資源。

我和許多管理員一起工作過，他們的域控制器都不能勝任處理他們業務的任務。然而，通過使用一些相當簡單的Perfmon性能監視分析，我可以減輕域控制器上影響登陸性能的壓力。這樣一來，我反而能夠確定其大小。

Lsass.exe應用程序

Lsass.exe是在Windows 2008和2008 R2中解決域控制器性能問題的關鍵因素，且它負責域控制器上所有的身份驗證活動。為了解決性能問題，Lsass.exe占用CPU和內存資源，并留下詳細的內存足跡。這里的最終目的是獲得足夠的隨機存儲器來把Ntds.dit文件放到內存中，并仍然為輕量級目錄訪問協議查詢服務。

首先，為了確定需要多少內存，確保所有域控制器都安裝在x64服務器上很重要。如果小于這個數，Lsass.exe將無法得到它所需的內存。

確定內存大小首先是計算Ntds.dit文件的大小并加20%，然后是Perfmon性能監視分析。要做到這點，只需看看%systemroot%\windows\ntds目錄下的Ntds.dit文件大小，并查看任務管理器來查看Lsass.exe的內存占用量。注意，Ntds.dit文件在每個域控制器上的大小是相同的，但是每個站點的輕量級目錄訪問協議負載可能不同。

處理器估量

活動目錄處理器對計算域控制器內存大小也很重要，它被鏈接到AD Jet數據庫會話操作。Windows Server 2008 R2實際上有一個注冊表項來控制這些會話，但是它們需要慎重管理。混合的處理器越多，可用的Jet數據庫會話就越多。但是用盡Jet會話會引起許多指示AD資源不足的問題。為了避免這種情況，開始時至少要有4個處理器。

磁盤空間

磁盤空間管理起來相當簡單，它遵循普通的磁盤性能規則。記著使用高性能的磁盤，并將日志和SYSVOL文件夾放在一個與Ntds.dit文件隔開的磁盤（主軸）。Ntds.dit文件和SYSVOL文件夾的大小將對磁盤空間起到舉足輕重的作用，除非有其它應用程序正在域控制器上運行。

性能分析

通過運行性能監視分析，管理員可以確定內存，處理器和磁盤空間上的負載大小，還可確定現有域控制器的性能，在x64平臺上更佳。僅僅使用標準計數器（內存、處理器、磁盤、網絡等），但是添加NTDS計數器和Lsass.exe進程計數器可以最小化對域控制器性能的影響。運行它至少48小時來捕捉兩天的峰值活動和非峰值活動。

一旦分析完成，然后估量Lsass.exe進程計數器并尋找持續的、持久的CPU和內存利用率。將此利用率與可用內存比較來確定內存使用率是否與Lsass.exe相符。圖1顯示了在早上幾小時可用內存的增加，同時在輕量級目錄訪問協議綁定時間上有一個尖峰。

圖1：可用內存

圖2：輕量級目錄訪問協議綁定時間

據Perfmon性能監視分析，LDAP綁定時間尖峰與可用內存的減少是不相關的。因此，需要在一段較長時間內捕獲數據。

備注：對于LDAP綁定時間，查找15ms以上的連續時間段。PAL將會標記警告和錯誤的等級。

【編輯推薦】

1. 利用Repadmin診斷Windows活動目錄的復制問題
2. 活動目錄在構建核心過程中的八個關鍵點
3. 活動目錄設計中需要遵循的七個原則
4. 如何在多域林中恢復活動目錄根域
5. 小心雙刃劍 Ntdsutil對活動目錄的管理