自从Windows 2000推出以来，管理者和设计者一直想弄明白如何估量域控制器。估量服务器通常涉及到处理器的个数、物理内存大小、磁盘空间大小以及服务器上可以运行的应用程序。

　　估量域控制器（DC）的难处在于负载太多变了。域控制器通过Lsass.exe进程来处理身份验证，这个进程具有许多功能。另外，处理器资源被Ntds.dit数据库以非线性方式的数据库操作占用。因此，域控制器的负载可以是易变的，理由如下：

• 经验证的客户机的数量不可预测，因为多个域控制器共享用于客户机进入和退出站点的负载。
• 执行验证的应用程序和轻量级目录访问协议（LDAP）查询给域控制器增加了额外的负担。
• 身份验证和通过非Windows客户端访问Windows资源因轻量级目录访问协议查询而增加了域控制器的负载。
• 无效的轻量级目录访问协议查询可以造成域控制器的不可预测负载。
• 活跃的目录分析和监测工具造成了域控制器的额外负载。

　　尽管这些因素使得估量域控制器更加具有挑战性，但是它仍是有可行性的。关键是要衡量实际的性能并确定负载和所需的资源。

　　我和许多管理员一起工作过，他们的域控制器都不能胜任处理他们业务的任务。然而，通过使用一些相当简单的Perfmon性能监视分析，我可以减轻域控制器上影响登陆性能的压力。这样一来，我反而能够确定其大小。

　　Lsass.exe应用程序

　　Lsass.exe是在Windows 2008和2008 R2中解决域控制器性能问题的关键因素，且它负责域控制器上所有的身份验证活动。为了解决性能问题，Lsass.exe占用CPU和内存资源，并留下详细的内存足迹。这里的最终目的是获得足够的随机存储器来把Ntds.dit文件放到内存中，并仍然为轻量级目录访问协议查询服务。

　　首先，为了确定需要多少内存，确保所有域控制器都安装在x64服务器上很重要。如果小于这个数，Lsass.exe将无法得到它所需的内存。

　　确定内存大小首先是计算Ntds.dit文件的大小并加20%，然后是Perfmon性能监视分析。要做到这点，只需看看%systemroot%windowsntds目录下的Ntds.dit文件大小，并查看任务管理器来查看Lsass.exe的内存占用量。注意，Ntds.dit文件在每个域控制器上的大小是相同的，但是每个站点的轻量级目录访问协议负载可能不同。

　　处理器估量

　　活动目录处理器对计算域控制器内存大小也很重要，它被链接到AD Jet数据库会话操作。Windows Server 2008 R2实际上有一个注册表项来控制这些会话，但是它们需要慎重管理。混合的处理器越多，可用的Jet数据库会话就越多。但是用尽Jet会话会引起许多指示AD资源不足的问题。为了避免这种情况，开始时至少要有4个处理器。

　　磁盘空间

　　磁盘空间管理起来相当简单，它遵循普通的磁盘性能规则。记着使用高性能的磁盘，并将日志和SYSVOL文件夹放在一个与Ntds.dit文件隔开的磁盘（主轴）。Ntds.dit文件和SYSVOL文件夹的大小将对磁盘空间起到举足轻重的作用，除非有其它应用程序正在域控制器上运行。

　　性能分析

　　通过运行性能监视分析，管理员可以确定内存，处理器和磁盘空间上的负载大小，还可确定现有域控制器的性能，在x64平台上更佳。仅仅使用标准计数器（内存、处理器、磁盘、网络等），但是添加NTDS计数器和Lsass.exe进程计数器可以最小化对域控制器性能的影响。运行它至少48小时来捕捉两天的峰值活动和非峰值活动。

　　一旦分析完成，然后估量Lsass.exe进程计数器并寻找持续的、持久的CPU和内存利用率。将此利用率与可用内存比较来确定内存使用率是否与Lsass.exe相符。图1显示了在早上几小时可用内存的增加，同时在轻量级目录访问协议绑定时间上有一个尖峰。

图1：可用内存

图2：轻量级目录访问协议绑定时间

　　据Perfmon性能监视分析，LDAP绑定时间尖峰与可用内存的减少是不相关的。因此，需要在一段较长时间内捕获数据。

　　备注：对于LDAP绑定时间，查找15ms以上的连续时间段。PAL将会标记警告和错误的等级。