Anzahl von Domänencontrollern?

[RealJoe 10]

Hallo Gemeinde,

 

hab da mal eine Erfahrungsfrage:

 

Wir haben zur Zeit 2 Domänencontroller, die sich im großen und ganzen die meiste Zeit an den Füßen spielen.

Es gibt ca. 8000 Useraccounts, 5000 Gruppen und noch andere Objekte.

 

Gibt es irgendwelche Faustformeln oder Empfehlungen, ab wievielen Anmeldevorgängen oder AD-Objekten zusätzliche Dömänencontroller einzusetzen sind?

 

Danke schonmal

[Daim 12]

Servus,

 

also die Mindestanzahl an DCs habt ihr ja schon mit zwei DCs.

Neben der Anzahl an Objekten, kommt es aber auch auf die Struktur der Umgebung an.

Wieviele Standorte existieren, in welchen Ländern, mit welcher (stabilen) Bandbreite, existiert Exchange, existieren Applikationen die vom AD abhängig sind, wieviel Last besteht auf den DCs während den Benutzerauthentifizierungen?

 

Alle diese Faktoren spielen bei der Anzahl der DCs innerhalb einer Domäne eine Rolle. Aber jede Domäne sollte (um nicht zu sagen "müsste") zwei DCs haben, damit eben bei einem DC-Crash die Domäne noch weiterhin besteht. Das schließt natürlich nicht eine regelmäßige SYSTEM STATE-Sicherung aus. Die muss ohnehin durchgeführt werden.

 

Ansonsten siehe:

Determining the Minimum Number of Domain Controllers Required: Active Directory

Step B2: Determine the Number of Domain Controllers

[NilsK 2.971]

Moin,

 

nein, derartige Faustformeln gibt es nicht. Ich habe mal eine Daumenrechnung für die Anzahl der User in Abhängigkeit von der CPU-Performance gelesen: "Pro GHz verträgt ein Domänencontroller 800 Benutzer" - aber weder weiß ich, wo dieser Wert herkommt, noch gebe ich allzu viel auf solche Aussagen.

 

In den meisten Umgebungen bemisst sich die Zahl der DCs eher nach Kriterien der Ausfallsicherheit oder der Standortverteilung.

 

Um von der Performance her wirklich sinnvolle Einschätzungen treffen zu können, wäre eine Auslastungsanalyse sinnvoll. Ein wesentlicher Faktor ist der Speicherverbrauch der lsass.exe. Der Prozess ist unter W2000 auf 512 MB und bei W2003 auf 1,5 GB begrenzt. Wenn diese Grenze häufiger erreicht wird, kann man den 3GB-Switch in der boot.ini setzen oder auf x64-DCs umsteigen.

 

Da du aber sagst, dass eure DCs wenig ausgelastet sind, würde ich von der Leistung her keinen Handlungsbedarf vermuten. Bei 2 DCs für 8000 User könnte man sich aber Gedanken um die Redundanz machen.

 

Gruß, Nils

[RealJoe 10]

Daims Frage zur Struktur hab ich erwartet, spielt für mich aber keine Rolle.

Alle Standorte sind Breitbandig genug ans RZ angebunden.

 

Für die anderen Infos bedanke ich mich, ich habe auch schon einige Ziet gesucht, und nichts gefunden.

 

Da bleibt wohl nur der Lasttest über eine gewisse Zeit.

Da gibt es doch sicher Tools, die mir da die Arbeit erleichtern oder?

Nach Möglichkeit vielleicht sogar Free- oder Shareware:confused:

 

Ihr wisst ja wie das ist....keiner nimmt gerne Geld in die Hand um nötiges zu kaufen.......schade eigentlich

[Daim 12]

Daims Frage zur Struktur hab ich erwartet, spielt für mich aber keine Rolle.

 

Klar musste die Frage kommen, denn die Umgebung spielt doch als einer der wichtigsten Rollen.

 

Alle Standorte sind Breitbandig genug ans RZ angebunden.

 

OK.

 

Für die anderen Infos bedanke ich mich, ich habe auch schon einige Ziet gesucht, und nichts gefunden.

 

Dann hast du die falschen Suchwörter verwendet. ;)

 

Da gibt es doch sicher Tools, die mir da die Arbeit erleichtern oder?

Nach Möglichkeit vielleicht sogar Free- oder Shareware:confused:

 

Eine Art Stress-Tool wäre z.B. ADTest:

Download details: Active Directory Performance Testing Tool (ADTest.exe)

 

 

Zu Windws 2000 Zeiten veröffentlichte Microsoft auch ein AD-Sizer Tool:

Download details: Active Directory Sizer

[RealJoe 10]

dankööö

[NilsK 2.971]

Moin,

 

naja, Moment - ein Stresstest ist hier doch gar nicht relevant, oder? Es geht doch eher darum rauszufinden, ob die 2 DCs für die User ausreichen. Dann muss man die DCs nicht zusätzlich stressen, sondern die tatsächliche Last monitoren.

 

Und für den Zweck bringt Windows den Systemmonitor mit. Relevante Faktoren sind die Speicher- und die CPU-Auslastung, besonders eben die lsass.exe.

 

(Und bitte: Den völlig unsinnigen AD Sizer von 2000 nicht mehr empfehlen!)

 

Gruß, Nils

[Daim 12]

naja, Moment - ein Stresstest ist hier doch gar nicht relevant, oder?

 

Richtig.

 

Es geht doch eher darum rauszufinden, ob die 2 DCs für die User ausreichen.

 

Genau. Mit ADTest kann man auch z.B. die Benutzeranmeldung sowie Suchanfragen simulieren. Daher ist imho das Tool nicht verkehrt.

 

(Und bitte: Den völlig unsinnigen AD Sizer von 2000 nicht mehr empfehlen!)

 

Das war auch nicht als Empfehlung gedacht.

[NilsK 2.971]

Moin Yusuf,

 

Genau. Mit ADTest kann man auch z.B. die Benutzeranmeldung sowie Suchanfragen simulieren. Daher ist imho das Tool nicht verkehrt.

 

doch, das ist in der Situation verkehrt (wenn wir es auf den Begriff brigen wollen). Entweder macht man eine Langzeitaufzeichnung der Realdaten (z.B. über eine Woche oder über einen Monat). Dann hat man aussagefähige Werte, ob die vorhandene Infrastruktur ausreicht (wofür ja anscheinend schon einiges spricht). Oder man macht eine Simulation. Dann hat man idealisierte Werte über eine Laborumgebung. In bestimmten Szenarien okay, aber wohl eher vor der Implementierung eines völlig neuen Designs und nicht in der vorhandenen Situation. Denn messen müsste man dabei ja auch - und wo soll der Vorteil simulierter gegenüber realen Daten liegen?

 

Wenn man hingegen den Stresstest gegen das reale AD laufen ließe, käme man zu völlig unbrauchbaren Werten (die Simulation überlagert dann die Realität).

 

Das war auch nicht als Empfehlung gedacht.

 

Sondern als was?

 

Gruß, Nils

... der zugibt, dass wir gerade etwas abzudriften drohen

[Daim 12]

Moin Yusuf,

 

Huhuu (ohh, eine Anrede mit Namen, erlebt man auch selten bzw. wenn, dann wirds spannend. ;) )

 

 

doch, das ist in der Situation verkehrt (wenn wir es auf den Begriff brigen wollen). Entweder macht man eine Langzeitaufzeichnung der Realdaten (z.B. über eine Woche oder über einen Monat). Dann hat man aussagefähige Werte, ob die vorhandene Infrastruktur ausreicht (wofür ja anscheinend schon einiges spricht).

 

Stimme ich völlig zu.

 

 

Oder man macht eine Simulation. Dann hat man idealisierte Werte über eine Laborumgebung. In bestimmten Szenarien okay, aber wohl eher vor der Implementierung eines völlig neuen Designs und nicht in der vorhandenen Situation.

 

Hmm.. naja, schon. Vor der Implementierung eines neuen Designs, lohnt sich solch eine Simulation auf alle Fälle. Wenn diese aber nicht gemacht wurde und das Unternehmen startet eben einfach aus dem Bauch heraus mit zwei DCs und bekommt im laufenden Betrieb Probleme, ist solch eine Simulation mit dem Tool sicher nicht verkehrt. Sehe es als zusätzliches Mittel und um weitere Erkenntnisse zu gewinnen an.

 

Wir sind uns ja einig, eine Langzeitaufzeichnung bringt die besseren und aufschlussreicheren Werte, ohne jeden Zweifel.

 

 

Denn messen müsste man dabei ja auch - und wo soll der Vorteil simulierter gegenüber realen Daten liegen?

 

Es gibt keine. :)

 

 

Wenn man hingegen den Stresstest gegen das reale AD laufen ließe, käme man zu völlig unbrauchbaren Werten (die Simulation überlagert dann die Realität).

 

Klar, dass wäre kein echter Test. So etwas muss natürlich vor dem Live-Betrieb durchgeführt werden.

 

 

Sondern als was?

 

Der vollständigkeitshalber. Wobei ich zugeben muss, dass Tool kam zu Beginn von Windows 2000 raus, als noch keine tiefergehenden Informationen und Erfahrungen bzgl. des Verhalten des AD vorlag.

 

 

... der zugibt, dass wir gerade etwas abzudriften drohen

 

Achwo... wir sind noch On-Topic. :)

[RealJoe 10]

Super, das scheint, als hättet ihr sowas schon gemacht.

Ich sehe das rein logisch auch so. Eine Überwachung der momentanen Struktur über etwas lägenen Zeitraum klingt für mich da auch am sinnvollsten.

 

Also pack ich den perfmon aus und logge fleißig mit.

Kann mir noch jemand auf die Sprünge helfen, was da noch sinnvoll sein könnte?

Ich meine jetzt außer Speicher, CPU und LSASS

[grizzly999 11]

Super, das scheint, als hättet ihr sowas schon gemacht.

Ich sehe das rein logisch auch so. Eine Überwachung der momentanen Struktur über etwas lägenen Zeitraum klingt für mich da auch am sinnvollsten.

 

Also pack ich den perfmon aus und logge fleißig mit.

Kann mir noch jemand auf die Sprünge helfen, was da noch sinnvoll sein könnte?

Ich meine jetzt außer Speicher, CPU und LSASS

Schau mal in dieses Paper in den entsprechenden Abschnit für Active Directory: Performance Tuning Guidelines for Windows Server 2008

Ist zwar für 2008 , gilt aber im Prinzip genauso für 2003, außer den Schaltern für den BCD ;)

 

Hier ist auch ein wenig was zur DC-Kapazitätsplanung: Determining the Minimum Number of Domain Controllers Required: Active Directory

[RealJoe 10]

Stark, auf Euch ist wie immer verlass.

:) Dankööö