瞭解Active Directory聯結器效能
簡介
本文檔介紹Umbrella DNS的Active Directory聯結器效能。
必要條件
需求
本文件沒有特定需求。
採用元件
本檔案中的資訊是根據Umbrella DNS。
本文中的資訊是根據特定實驗室環境內的裝置所建立。文中使用到的所有裝置皆從已清除(預設)的組態來啟動。如果您的網路運作中,請確保您瞭解任何指令可能造成的影響。
概觀
Umbrella聯結器服務用於監視使用者/電腦登入事件,作為Umbrella的Active Directory整合的一部分。OpenDNS聯結器服務從其站點中每個AD域控制器的安全事件日誌讀取登入資訊。
在使用者登入事件頻率較高的環境中,務必檢視這些效能准則。為了準確識別使用者,聯結器服務必須能夠快速檢索登入資訊。
最大事件數/秒
可處理的事件數量沒有硬性限制。Umbrella聯結器服務經測試可支援「站點」中所有域控制器中每秒連續850個事件。 它基於專用實驗室環境,沒有第三方軟體運行。實際結果可能因網路延遲和其他瓶頸的不同而不同。
客戶可以通過閱讀本文後面的「每秒事件數」部分來確定事件的大致數量。
新功能
對於具有較高登入事件頻率的較大部署中的客戶,Umbrella具有面向效能的新功能。除了常規效能建議外,請閱讀本文稍後有關負載平衡、並行通訊和直接事件日誌讀取器連線的指導原則。
效能建議
聯結器大小
運行Active Directory Connector服務的伺服器必須具有Umbrella文檔的「大小調整指南」中指定的CPU和內存資源。
專用聯結器
雖然聯結器服務可以直接安裝在域控制器上,但Cisco Umbrella建議將該聯結器安裝在聯結器服務專用的成員伺服器上。此成員伺服器必須未安裝其他第三方軟體。在Umbrella文檔中瞭解有關安裝過程的詳細資訊。
Umbrella站點
如有可能,Umbrella部署必須隔離到限制哪些元件在網路中通訊的「站點」中。聯結器服務只能與同一Umbrella站點中的元件通訊。當使用者部署分佈在大地理區域時,必須始終使用此功能。
通常,為每個物理位置建立Umbrella站點。Umbrella站點必須在Umbrella文檔中列出這些規則。
正確使用Umbrella站點可以極大地改善部署並防止元件通過廣域網進行通訊。
網路延遲
登入事件可通過網路傳輸到聯結器。 聯結器和每個域控制器之間必須高速連線,以減少與網路相關的延遲。聯結器可以儘可能靠近域控制器和虛擬裝置。
聯結器數量
每個Umbrella站點需要一個聯結器。 在Umbrella站點中有多個聯結器是可能的,但僅出於冗餘目的。新增聯結器會增加域控制器上的負載,因為它們要複製與第一個聯結器相同的功能。Umbrella建議每個Umbrella站點最多2個聯結器。
事件日誌大小
大型Windows安全事件日誌可能會對WMI操作的效能產生負面影響。 Umbrella建議限制事件日誌大小。對於小於512MB的日誌檔案,可獲得最佳效能,但可根據日誌保留要求調整該效能。可以使用以下說明調整日誌檔案大小:
1.開啟Event Viewer應用程式(eventvwr.msc)。
2.轉到Windows Logs > System
3.按一下右鍵系統日誌並選擇屬性。
4.根據需要調整最大日誌檔案大小,然後選擇確定。
第三方軟體
許多其它軟體產品也使用WMI,這可能會在域控制器上對WMI造成瓶頸。這可能包括:
- 監視事件日誌的第三方安全/分析軟體
- Windows事件日誌轉發
- SIEM整合和監視事件日誌的其他軟體
如果不再需要此軟體中的任何一個,我們建議將其禁用。 或者,可以使用附錄中所述的「直接事件日誌讀取器連線」方法緩解此問題。
防病毒軟體
從防病毒掃描中排除此資料夾和以下執行檔:
C:\Program Files (x86)\OpenDNS\OpenDNS Connector
C:\Program Files (x86)\OpenDNS\OpenDNS Connector\OpenDNSAuditService.exe
C:\Program Files (x86)\OpenDNS\OpenDNS Connector\<VERSION>OpenDNSAuditClient.exe
其他域控制器
域控制器上的WMI通知系統將隊列和處理每個事件日誌條目,並將它們傳送到WMI訂戶。這實際上是一種推送機制,其中事件由DC傳送。 因此,域控制器本身可能會存在效能瓶頸,影響事件傳送速度。
可以通過向AD環境新增其他域控制器來緩解此瓶頸。 Umbrella已測試單個域控制器最多850個事件/秒。
服務帳戶例外
通過排除服務帳戶,減少Umbrella檢測到的AD登入數。無論如何都必須排除這些帳戶才能正確應用策略。 您還可以排除未使用AD使用者策略但使用者登入數量較高的伺服器和其他裝置。
WMI修補程式
請確保域控制器和聯結器伺服器具有最新的Microsoft修補程式。在此提供了可解決已知WMI效能問題的修補程式示例。
WMI記憶體和控制代碼限制
WMI包含自己的內部限制,這可能會造成瓶頸。當其他軟體也在執行密集型WMI操作時,情況尤其如此。有關如何增加這些限制的示例可在Microsoft文檔中找到。
Umbrella支援無法建議您的環境的正確限制。請與Microsoft聯絡以獲得幫助。
DC負載平衡
Umbrella現在支援負載均衡功能,當站點有多個域控制器和大量登入事件時,此功能非常有用。在這種情況下,將安裝其他聯結器,然後通過負載平衡組將域控制器分配給聯結器。
在簡單環境中,負載均衡的工作方式如下:
- 將DC_A和DC_B分配給由Connector_1處理的負載平衡Group_1。
- 將DC_C和DC_D分配給由Connector_2處理的負載平衡Group_2。
- 虛擬裝置仍會從兩個聯結器接收事件,因此仍能感知所有登入事件。
- 如果需要冗餘,則可以在每個負載平衡組中安裝一個額外的聯結器。
此功能具有以下優點:
- 大大減少了每個聯結器的工作量。每個聯結器處理的域控制器數量更少。
- 在從DC接收事件存在高延遲的情況下,這通常會有所幫助。
負載均衡可以擴展到具有許多域控制器的複雜多站點環境中。除了安裝其他聯結器之外,使用負載均衡沒有任何缺點。
此時,必須通過Umbrella支援啟用負載均衡功能。請聯絡Umbrella支援部門討論您的要求。
虛擬裝置並行通訊
聯結器現在能夠並行將登入事件傳送到多個虛擬裝置,而不是使用預設串列方法。 當站點有多個虛擬裝置和大量登入事件時,此功能非常有用。
此功能具有以下優點:
- 當存在多個裝置時,最大程度地減少傳送登入資訊時的延遲。 一個事件可以同時傳送到所有裝置。
- 防止與某個裝置的通訊問題或通訊中斷,對其他裝置具有連鎖效應。 為每個事件維護一個單獨的事件隊列。
此功能現在會自動啟用,但只有在伺服器滿足CPU和記憶體建議時才啟用。
使用者登入事件的加速傳輸
聯結器現在能夠批次傳輸使用者登入事件,這顯著增加了每秒可傳送到虛擬裝置的事件數(每秒)。 這對於與遠端位置的虛擬裝置通訊的聯結器尤為重要。
此功能現在可以自動啟用,但具有以下要求:
- 必須啟用並行通訊(上面)。 伺服器必須符合CPU和記憶體建議。
- 需要ADC版本1.8+
- 需要聯結器版本3.2.0+
直接事件日誌讀取器連線
Active Directory聯結器版本1.4+支援直接連線到域控制器安全事件日誌的新方法,無需使用WMI查詢。這使WMI成為「中間人」,並在WMI成為瓶頸的情況下顯著提高了效能。這在各個域控制器處理大量登入事件的情況下特別有用。
此功能使用拉取機制工作,在這種機制中,聯結器每5秒拉取一次新事件,因此,標識的正確使用者存在短時間延遲(例如5秒)。
現在預設情況下會啟用此最佳化。 有關此功能的詳細資訊,請與Umbrella支援部門聯絡。
每秒事件數
可以對域控制器上最近的事件數進行計數來估計每秒鐘的事件。Umbrella建議在高峰時間執行此任務:
1.開啟Event Viewer應用程式(eventvwr.msc)。
2.轉到Windows Logs > System。
3.選擇篩選當前日誌,然後選擇「上一小時」中記錄的事件。
4.選擇「確定」。
載入過濾器後,事件日誌可以顯示上一小時內的事件數。此值可以除以3600來估計每秒的事件。
360024901511
360024894112
修訂記錄
| 修訂 | 發佈日期 | 意見 |
|---|---|---|
1.0 |
08-Sep-2025
|
初始版本 |
意見