我们是一家跨国公司的分支机构。我们有一个本地域控制器,但在将机器加入域后,我们的性能仍然大幅下降。有人对如何减轻或缓解将机器加入域对性能的影响有什么建议吗?如果您需要更多信息,请随时在评论中提出探索性问题。
注意:我们没有对域或 DC 的完全访问权限,因此无法对有关 GPO 或一般结构/布局等的本地 OU 进行更改。但是,为了完整性,请发布可能需要此级别访问权限的想法。
答案1
在我看来,您可能正在运行启动/关闭脚本,并且这些脚本引用了办公室外服务器上的资源。我还见过不了解 DFS 的管理员试图通过 WAN 安装软件。
运行 RSoP,查看适用于您的某台机器的启动/关闭脚本。很有可能权限会这样,您可以出去阅读脚本并查看它们在做什么。还要查找软件分配,看看它们是否指的是异地服务器。
我还建议在启动时或其他任何较慢的时间嗅探 PC 上的流量。获取一个带有两个 NIC 的盒子,将它们桥接起来,然后使用 Wireshark 嗅探桥接器,其中 PC 连接到一个 NIC,LAN 连接到另一个 NIC。您将看到您的 PC 在那些“缓慢时间”试图通信的内容。
答案2
嗯。这很有趣。您说的是哪种性能?WAN 网络性能?这可能指向 AD 同步。正在同步的机器的 LAN 性能?这会让我对您的 AD 大小产生疑问。本地 DC 的 LAN 性能?老实说,我不确定我会怎么做。
或者说它真的需要很长时间?如果是这样,它可能会无意中跨 WAN 查询远程 DC。
答案3
嗯……可能是相对 ID 主机不在您的网络中。当您创建新的计算机对象(加入域,我假设您没有预先创建对象)时,它必须转到 RID 主机。如果担任该角色的 DC 不在您的网络中,则往返可能需要很长时间。
或者,可能是您的 AD 树没有为您的卫星网络声明站点。因此,域内机器会继续引用不在您本地的全局目录服务器,因为出于某种原因没有声明站点边界。您可能能够通过 AD Sites MMC 工具自己查找(但不能进行更改)。
一对(很可能是错误的)想法。
编辑:一切?这听起来很像是出于某种原因,安全检查非常慢。SID 查找等非常慢。这听起来很像是你正在通过 WAN 进行那些查找,而你不应该这样做。网站不正确,或者你当地的 DC 没有 GC。
它的工作原理如下:
- Visual Studio 访问 DLL
- 然后,操作系统确定 Visual Studio 是否可以访问该 DLL
- 然后引用用户的安全令牌,该令牌为用户提供登录名,并包含其所有组成员身份以及其直接安全标识符
- 操作系统检查该 DLL 的安全详细信息,找到 SID 列表
- 然后,操作系统根据域解析这些 SID
- 您的域名可能位于澳大利亚
- 操作系统根据用户的安全令牌检查安全原则
- 操作系统授予访问权限
对每个访问的文件进行清洗、冲洗、重复。工作站应该保留 SID 缓存,但 VisualStudio 打开了海量文件,这些文件可能会超出缓存容量。
您可以通过右键单击任何 NTFS 文件或目录并转到“安全”,输入真实用户,然后单击“查找用户”按钮来粗略地检查域查找速度。速度应该与域/非域工作站之间的速度成正比。
答案4
在阅读了 Dayton Brown 和 sysadmin1138 的评论后,我仔细查看了启动脚本,发现我们用于将软件包推送到远程机器的应用程序的安装。经过进一步调查,我发现它显然比推送软件的功能要多得多。
它是一个完整的 IDS 和防病毒解决方案(出于某种原因,还包含 Symantec Antivirus),每台机器上运行着大约 6 个相关进程。我认为可以肯定地说,这导致了我们的性能问题。
我的老板同意让我重建一台机器并阻止其安装,以进行测试。我会及时向大家通报,感谢大家迄今为止的反馈。