Как уменьшить влияние производительности присоединяющегося домена Windows?
После чтения комментариев из Дейтона Brown и sysadmin1138, у меня было введение по абсолютному адресу вокруг сценариев запуска, и я заметил установку для приложения, которое мы используем для продвижения пакетов программного обеспечения к удаленным машинам. После дальнейшего расследования я нашел, что оно, по-видимому, намного больше, чем продвигает программное обеспечение.
Это - полный IDS и антивирусное решение (в дополнение к Антивирусу Symantec по некоторым причинам) приблизительно с 6 связанными процессами, работающими на каждой машине. Я думаю смело можно сказать, что это вызывает наши проблемы производительности.
Мой босс согласился позволить мне восстановить машину и препятствует тому, чтобы она установила, протестировала. Я сохраню Вас всех отправленными, спасибо за Вашу обратную связь к настоящему времени парни.
-
1Та Symantec является Антивирусом или Защитой Конечной точки Symantec? – sysadmin1138♦ 23 July 2009 в 06:28
-
2SAV, хотя мы готовимся переключаться. В настоящее время моя машина является единственной в нашем офисном СЕНТЯБРЕ выполнения, потому что I' m " testing";) победа 7. Почему - какая-либо мудрость для передачи? – Ehtyar 23 July 2009 в 06:52
-
3Мой совет состоит в том, чтобы избежать СЕНТЯБРЯ как венерическое заболевание. Мы использовали SAV в течение многих лет, и версия 10 работала вполне прилично на нас. Несколько из наших Клиентов, переключенных до СЕНТЯБРЯ, когда это вышло и имело некоторый довольно ужасный опыт с ним. В то время как это поправилось с выпусками maintence (больше никакой общей суммы убытков сетевого соединения на серверах - yay!) it' s все еще настоящий пожиратель ресурсов. Если можно избежать его во всем I' d рекомендуют делать так. (Возможно, попытайтесь продать главный офис на " diversity" в антивирусе и получают другой пакет, и т.д.), – Evan Anderson 23 July 2009 в 07:18
Это звучит мне как, у Вас есть запуск / сценарии завершения работы, которые могли бы выполнять и ссылаться на ресурсы на серверах возле Вашего офиса. Я также видел администраторов, которые не понимают DFS и пытаются сделать установки программного обеспечения через WAN.
Выполните RSoP и посмотрите то, что относится к одной из Ваших машин для запуска / сценарии завершения работы. Разногласия хороши, полномочия будут таковы, что можно выйти и прочитать сценарии и видеть waht, который они делают. Ищите присвоения программного обеспечения также и посмотрите, обращаются ли они к удаленным серверам.
Я собираюсь также рекомендовать осуществить сниффинг трафика в ПК во время запуска или независимо от того, что другие времена являются медленными. Получите поле с двумя NICs, соедините их мостом и используйте Wireshark для сниффинга на мосту с ПК, подключенным к одному NIC и LAN к другому. Вы доберетесь для наблюдения то, с чем ПК пытается говорить в течение тех "медленных времен".
-
1+1 для сниффинга сети. Это, вероятно, покажет самую большую причину проблемы – Matt Simmons 23 July 2009 в 06:38
-
2Привет Evan, спасибо за ответ. Вы корректны, что у американских администраторов есть плохое понимание DFS, который укусил нас в заднюю сторону несколько раз. Вы также корректны что несколько ссылок сценариев запуска удаленные серверы. Хотя это действительно вызывает довольно обширную задержку во время первого входа в систему, это создало бы проблемы производительности круглосуточно? – Ehtyar 23 July 2009 в 07:06
-
3@Matt: Я don' t знают, почему люди достигают сниффера позже, а не ранее. Я предполагаю, назад в день, когда программное обеспечение сниффера wasn' t товар, это имело определенную мистику об этом. Сегодня it' s инструмент, который я часто использую и с энтузиазмом. Если я хочу видеть what' s продолжающийся там на проводе я просто вспыхиваю Wireshark. Компьютеры хотят сказать Вам what' s продолжающийся - просто необходимо послушать. I' d очень скорее посмотрите на пакеты и посмотрите what' s действительно происходящий по сравнению с ослеплением меня и только взглядом на то, что программное обеспечение и журналы показывают мне на компьютерах. – Evan Anderson 23 July 2009 в 07:10
-
4@Ehtyar: В целом, there' s никакая определенная функциональность, которая должна " медленный down" компьютер после it' s соединенный с доменом. Это кажется на необходимость в некотором хорошем ol' сформированный контроль перфекта. Монитор Процесса захвата, Wireshark, вызывает Perfmon на неправильно себя ведущие компьютеры и добирается до контроля. К сожалению, that' s единственный путь you' ре, собирающееся добраться до сути относительно него. – Evan Anderson 23 July 2009 в 07:14
Hrm. Это интересно. О какой производительности Вы говорите? Производительность глобальной сети? Это могло бы указать на AD синхронизацию. Производительность LAN машины синхронизируется? Это заставило бы меня подвергнуть сомнению Ваш AD размер. Производительность LAN локального DC? Я не уверен, куда я пошел бы с этим, честно.
Или это просто берет навсегда? Если это так, это может непреднамеренно запрашивать удаленный DC через WAN.
-
1Извините я wasn' t достаточно ясный в моем вопросе Matt, спасибо за Ваш ответ. Выполнение сравнительного теста на этих машинах указывает, что производительность заглядывает каждой категории, даже вещи как время отклика жесткого диска негативно произведены путем присоединения к домену. I' m зная, что существует определенный уровень влияния, которое будет ожидаться при присоединении к домену, но уровню we' испытание ре просто недопустимо. Optiplex 755 едва способен к выполнению Visual Studio, Outlook и Studio управления SQL одновременно... – Ehtyar 23 July 2009 в 04:53
-
2Это подозрительно походит на некоторые противные приложения, продвигаемые к ПК через запуск/сценарии входа в систему. Они используют приложения мониторинга? – Dayton Brown 23 July 2009 в 05:00
-
3
Hmmmm.... Могло случиться так, что Относительное идентификационное Ведущее устройство является несетевым для Вас. При создании новых Компьютерных объектов (присоединитесь к домену, я предполагаю, что Вы не предварительно создаете свои объекты), он должен перейти к ведущему устройству RID. Если DC, содержащий ту роль, от сети для Вас, могло бы требоваться много времени к распространению в прямом и обратном направлениях.
Поочередно, могло случиться так, что Вашему AD дереву не объявили Сайт для Вашей спутниковой сети. Поэтому машины domained продолжают ссылаться на Глобальные серверы Каталога, не локальные для Вас, потому что никакая граница сайта не была объявлена по некоторым причинам. Вы смогли смотреть, что один сами (но не вносят изменения) через инструмент AD Sites MMC.
Пара (очень возможно неправильно) мысли.
Править: Все? Это много кажется, что проверка безопасности является ужасно медленной по некоторым причинам. Поиски SID и т.п. являются ужасно медленными. Это заставляет его звучать много как, Вы идете через WAN для тех поисков, когда Вы не должны иметь к. Неправильные сайты, или возможно Ваш локальный DC не имеет GC.
То, как это работает, похоже на это:
- Visual Studio получает доступ к DLL
- ОС затем определяет, может ли Visual Studio получить доступ к тому DLL вообще
- На маркер безопасности Пользователя, данный пользователю, вход в систему и содержит все их составы группы, а также их прямые идентификаторы безопасности, затем ссылаются
- ОС проверяет детали безопасности что DLL, находя список SIDs
- ОС затем разрешает те SIDs против Домена
- Домен находится, вероятно, в Австралии для Вас
- ОС проверяет принципы защиты по маркеру безопасности пользователя
- ОС предоставляет доступ
Промывка, промывка, повторяется для каждого файла, к которому получают доступ. Рабочая станция должна сохранить кэш SIDs, но VisualStudio открывает метрическое огромное количество файлов, которые могут превысить кэш.
Можно сделать очень грубую проверку доменных скоростей поиска путем щелчка правой кнопкой по любому файлу или каталогу NTFS и движения в безопасность, ввода реального пользователя и нажатия кнопки Lookup User. Как быстро, который движения должны масштабировать со скоростями, которые Вы испытываете между своими domained/non-domained рабочими станциями.
-
1Спасибо за Ваш ответ sysadmin1138 (очень прохладный дескриптор). Я могу подтвердить, что сайт правильно устанавливается для нашего офиса. Существует ли способ для меня найти поле Relative ID Master в нашей сети? Запись DNS, возможно? – Ehtyar 23 July 2009 в 05:11
-
2Логически, DC с Ведущей ролью RID был бы в том же месте как PDC. Так, возможности, it' s удаленный для Вас. – phuzion 23 July 2009 в 05:24
-
3Ведущее устройство пула RID isn' t что-то you' ll находят запись в DNS для, и it' s только собирающийся быть приведенным в действие, когда you' ре, на самом деле создающее пользовательские объекты или компьютер, возражает в массе. Можно думать о ведущем устройстве пула RID как о распространении буклетов этикеток к DC' s. Каждый DC использует этикетку каждый раз пользователь, группа, или компьютер создается на том DC. Когда DC близко к исчерпыванию этикеток, это связывается с ведущим устройством пула RID для более - и та операция включает только определенный сетевой трафик. You' ре, не видя, что что-либо связанное с RID объединяет основное местоположение. – Evan Anderson 23 July 2009 в 05:25
-
4@sysadmin1138: ведущее устройство пула RID раздает диапазоны, ИЗБАВЛЯЕТ к DCS. Каждый DC работает от того диапазона и, когда it' s приближающийся к окончанию, DC связывается с ведущим устройством пула RID и добирается больше. Распространение в прямом и обратном направлениях к RID объединяет основной doesn' t происходят на каждом создании принципала безопасности. – Evan Anderson 23 July 2009 в 05:26
-
5А-ч, в Вашем ответе Вы сказали ' off-network' который смутил меня. В этом случае это определенно удалено. У нас действительно есть довольно тяжелая задержка между нами и наш основной офис (Сидней, AU-> Сиэтл, США), но конечно это can' t произвести производительность машины в целом? – Ehtyar 23 July 2009 в 05:31
Можно ли проверить, что производительность действительно ограничена удаленным офисом путем возможного взятия новой машины на сайт PDC и присоединения к домену там? Если на производительность все еще негативно влияют путем присоединения к домену на сайте PDC, это не контроллер домена удаленного офиса.
Если на производительность не влияют при присоединении на сайте PDC, то Вы знаете наверняка, что это - проблема с контроллером домена Вашего сайта.
Кроме того, ради ссылки можно ли дать нам общее представление, какого вида из учетных данных Вы имеете в своем домене, таким образом, мы можем основывать наши предложения на вещах, Вы на самом деле сможете сделать?
-
1Походит на вуду мне. Где компьютер соединен с доменом doesn' t влияют, как это работает в будущем. DNS и SRV RR' s используются для определения " best" DC, чтобы говорить во время начальной загрузки и входа в систему. Их " site' s домен controller" isn' t идущий в " poison" ПК, которым создали их компьютерные объекты на нем. – Evan Anderson 23 July 2009 в 05:29
-
2Моя логика, узнают ли it' s проблема всего домена производительности, или если это локально для удаленного офиса. Если это происходит на сайте PCD, у них есть большая проблема для решения, и it' s из Ehtyar' s руки. – phuzion 23 July 2009 в 05:42
-
3Привет phuzion, спасибо за ответ. Я can' t берут машину в основной офис, поскольку это является зарубежным, хотя I' ve слышал, что пользователи в том офисе также испытывают плохую производительность на своих машинах. Мой доступ к домену полностью ограничен нашим сайтом и OU, хотя он также ограничен там относительно Групповой политики, и у меня нет прямого доступа (RDP и т.д.) к нашему локальному DC. – Ehtyar 23 July 2009 в 07:10