Die Grundursache finden Lösungsstrategien

Fehlerbehebung bei AWS verwaltetem Microsoft AD mit hoher CPU-Auslastung

Im Folgenden können Sie Probleme mit hoher CPU-Auslastung auf AWS verwalteten Microsoft AD-Domänencontrollern beheben.

Die Grundursache finden

Der erste Schritt bei der Behebung von Problemen mit hoher CPU-Auslastung besteht darin, CloudWatch Kennzahlen zu analysieren, um Muster zu identifizieren, die den erhöhten Ressourcenverbrauch erklären könnten.

Schritt 1: Überprüfen Sie die Directory Service CloudWatch Metriken

Überwachen Sie Ihre AWS Managed Microsoft AD-Leistung mithilfe von CloudWatch Metriken, um Verkehrsmuster zu identifizieren, die mit einer hohen CPU-Auslastung korrelieren. Ausführliche Informationen zum Anzeigen und Interpretieren von Directory Service Metriken finden Sie unterWird verwendet CloudWatch , um die Leistung Ihrer AWS verwalteten Microsoft AD-Domänencontroller zu überwachen.

Suchen Sie in den folgenden wichtigen Kennzahlen nach sich ändernden Mustern, die den CPU-Anstieg erklären könnten:

DNS-Abfragen pro Sekunde — Plötzliche Spitzenwerte können auf Probleme mit der DNS-Auflösung oder falsch konfigurierte Anwendungen hinweisen.
Kerberos/NTLM-Authentifizierungen — Höhere Authentifizierungsraten bei Benutzeranmeldungen oder Dienstkonten.
LDAP-Abfragen pro Sekunde — Erhöhter LDAP-Verkehr von Anwendungen oder Diensten.

Vergleichen Sie aktuelle Messwerte mit historischen Ausgangswerten, um zu ermitteln, wann die hohe CPU-Auslastung begann, und korrelieren Sie sie mit bestimmten Datenverkehrszuwächsen. Wenn in den Kennzahlen keine Korrelation gefunden wird, ist die Hauptursache nicht ein überwältigender Anstieg des Datenverkehrs. Stattdessen ist die Hauptursache wahrscheinlich eine ineffiziente LDAP-Abfrage, springen Sie zu. Schritt 3: Erfassen Sie detaillierte Verkehrsanalysen mit Traffic Mirroring

Schritt 2: Identifizieren Sie Quellmaschinen mithilfe von VPC Flow Logs

VPC Flow Logs bieten eine effektive Methode, um die Quell-IP-Adressen von Maschinen zu identifizieren, die Datenverkehr zu Ihren Domänencontrollern generieren. Weitere Informationen finden Sie unter Protokollieren von IP-Datenverkehr mit VPC-Flow-Protokollen. Verwenden Sie die Zielportnummern, um zwischen Diensten zu unterscheiden:

Port 53 — DNS-Abfragen
Port 88 — Kerberos-Authentifizierung
Port 123 — NTP-Uhrsynchronisierung
Port 135, 49152-65535 — RPC
Ports 389, 636, 3268, 3269 — LDAP-Abfragen (389 oder 3268 für Standard-LDAP, 636 oder 3269 für LDAPS)
Port 445 — SMB-Dateifreigabe (Gruppenrichtlinien)
Port 464 — Änderung des Kerberos-Passworts
Port 9389 — Active Directory-Webdienst

So aktivieren und analysieren Sie VPC Flow Logs:

Aktivieren Sie VPC Flow Logs für die Subnetze, die Ihren Domänencontroller enthalten. ENIs
Filtern Sie Protokolle nach Zielports, um Verkehrsmuster zu identifizieren.
Ordnen Sie die and/or meisten Bytes im Laufe des Zeitraums nach den meisten Paketen.
Analysieren Sie die Quell-IP-Adressen, um festzustellen, welche Computer den meisten Verkehr generieren.

Schritt 3: Erfassen Sie detaillierte Verkehrsanalysen mit Traffic Mirroring

VPC Flow Logs bieten begrenzte Informationen über den tatsächlichen Inhalt von Anfragen. Für eine detailliertere Analyse sollten Sie Traffic Mirroring zur Erfassung vollständiger Paketdaten in Betracht ziehen. Weitere Informationen finden Sie unter Erste Schritte mit Traffic Mirroring zur Überwachung des Netzwerkverkehrs. Dies ist besonders nützlich, wenn Sie Folgendes analysieren müssen:

Komplexität und Effizienz des LDAP-Filters
Spezifische DNS-Abfragemuster
Einzelheiten zur Authentifizierungsanfrage

Mit Traffic Mirroring können Sie komplette Netzwerkpakete erfassen, die an Ihre Domain-Controller-Instances gesendet werden, und so eine gründliche Analyse des Datenverkehrs ermöglichen, der zu einer hohen CPU-Auslastung führt.

Schritt 4: Untersuchen Sie die Quellanwendungen und optimieren Sie den Datenverkehr

Nachdem Sie die Quellcomputer und die Datenverkehrsmuster identifiziert haben, untersuchen Sie die Anwendungen, die den Datenverkehr generieren:

Überprüfen Sie die Anwendungskonfigurationen — Prüfen Sie, ob Anwendungen ineffiziente Abfragen oder übermäßige Anfragen stellen. Vermeiden Sie es, die Anwendung auf einem einzelnen Domänencontroller fest zu codieren.
Analysieren Sie LDAP-Abfragen — Ineffiziente LDAP-Abfragen sind die häufigste Ursache für eine hohe CPU-Auslastung des Domänencontrollers. Suchen Sie nach komplexen Filtern, die von der Attributindizierung profitieren könnten.
DNS-Caching untersuchen — Stellen Sie sicher, dass das DNS-Client-Caching aktiviert ist, um sich wiederholende Abfragen zu reduzieren.
Überprüfen Sie die Authentifizierungsmuster — Stellen Sie fest, ob Dienstkonten zu häufig authentifiziert werden.

Lösungsstrategien

Implementieren Sie auf der Grundlage Ihrer Untersuchung geeignete Optimierungsstrategien:

Optimieren Sie Anwendungen

LDAP-Abfragen optimieren — Schreiben Sie komplexe LDAP-Abfragen neu. Vermeiden Sie es, die Suchbasis auf das Stammverzeichnis der Domain festzulegen, und konfigurieren Sie sie stattdessen auf eine Organisationseinheit, in der sich die Objekte befinden, nach denen Sie suchen. Vermeiden Sie es, einen Suchbereich zu verwenden, der Suchvorgänge in Unterstrukturen durchführt. Verwenden Sie stattdessen einen Basisbereich oder einen Bereich mit einer Ebene. Nehmen Sie die Objektklasse in Ihren Filter auf. Zum Beispiel (objectClass=user) oder (objectClass=computer). Vermeiden Sie die Verwendung von Platzhaltern im Filter, sofern das Attribut nicht indexiert ist. Fügen Sie einen Index hinzu, wenn ein Wildcard-Scan erforderlich ist. Weitere Informationen finden Sie unter Erweitern Sie Ihr AWS verwaltetes Microsoft AD-Schema. Indizieren Sie nicht alles, da der Indizierungsprozess auch die CPU-Auslastung erhöht.
```
# Sample LDIF code to index the email attribute
dn: CN=mail,CN=Schema,CN=Configuration,DC=yourdomain,DC=com
changetype: modify
replace: searchFlags
searchFlags: 1
```
DNS-Client-Caching aktivieren — Konfigurieren Sie Clients so, dass sie DNS-Antworten lokal zwischenspeichern, um die Serverlast zu reduzieren.
Implementieren Sie Verbindungspooling — Konfigurieren Sie Anwendungen so, dass sie LDAP-Verbindungen wiederverwenden, anstatt für jede Abfrage neue Verbindungen zu erstellen.

Skalieren Sie Ihre Verzeichnisinfrastruktur

Wenn die Optimierung des Datenverkehrs die hohe CPU-Auslastung nicht beheben kann:

Weitere Domänencontroller hinzufügen — Skalieren Sie nach unten, indem Sie zusätzliche Domänencontroller einsetzen, um die Last zu verteilen. Weitere Informationen finden Sie unter Bereitstellung zusätzlicher Domänencontroller für Ihr AWS verwaltetes Microsoft AD.
Upgrade auf Enterprise Edition — Wenn Sie die Standard Edition verwenden, führen Sie ein Upgrade auf die Enterprise Edition durch, um die CPU-Kapazität und Leistung zu erhöhen. Weitere Informationen finden Sie unter Ihr AWS verwaltetes Microsoft AD aktualisieren. Wenn Sie bereits die Enterprise Edition verwenden, wenden Sie sich an uns, AWS Supportum mehr Kapazität zu erhalten.

Preisinformationen zu AWS Managed Microsoft AD-Editionen finden Sie unter Directory Service Preise.

Warnung JavaScript ist in Ihrem Browser nicht verfügbar oder deaktiviert.

Zur Nutzung der AWS-Dokumentation muss JavaScript aktiviert sein. Weitere Informationen finden auf den Hilfe-Seiten Ihres Browsers.

Dokumentkonventionen

Gründe für den Status der Vertrauensstellung

AD Connector