Encontrar la causa raíz Estrategias de resolución

Solución de problemas de uso elevado de CPU AWS administrado por Microsoft AD

Lo siguiente puede ayudarle a solucionar problemas de CPU elevada en los controladores de dominio AWS gestionados de Microsoft AD.

Encontrar la causa raíz

El primer paso para solucionar el problema del uso elevado de la CPU es analizar CloudWatch las métricas para identificar los patrones que puedan explicar el aumento del consumo de recursos.

Paso 1: Revise Directory Service CloudWatch las métricas

Supervise el rendimiento de su Microsoft AD AWS administrado mediante CloudWatch métricas para identificar los patrones de tráfico que se correlacionan con un uso elevado de la CPU. Para obtener información detallada sobre la visualización e interpretación de Directory Service las métricas, consulteUtilización CloudWatch para supervisar el rendimiento de los controladores de dominio AWS gestionados de Microsoft AD.

Busque patrones cambiantes en las siguientes métricas clave que puedan explicar el aumento de la CPU:

Consultas de DNS por segundo: los picos repentinos pueden indicar problemas de resolución de DNS o aplicaciones mal configuradas.
Autenticaciones Kerberos/NTLM: tasas de autenticación más altas en los inicios de sesión de los usuarios o en las cuentas de servicio.
Consultas LDAP por segundo: aumento del tráfico LDAP procedente de aplicaciones o servicios.

Compare las métricas actuales con las bases de referencia históricas para identificar cuándo comenzó la alta utilización de la CPU y correlacionarlas con los aumentos de tráfico específicos. Si no se encuentra ninguna correlación en las métricas, la causa principal no es un aumento abrumador del tráfico. En lugar de ello, es probable que la causa principal sea una consulta LDAP ineficiente; vaya directamente a. Paso 3: Realice un análisis detallado del tráfico con Traffic Mirroring

Paso 2: Identifique las máquinas de origen mediante registros de flujo de VPC

Los registros de flujo de VPC proporcionan un método eficaz para identificar las direcciones IP de origen de las máquinas que generan tráfico a sus controladores de dominio. Para obtener más información, consulte Registro del tráfico de IP con los registros de flujo de la VPC. Usa los números de puerto de destino para diferenciar los servicios:

Puerto 53: consultas de DNS
Puerto 88: autenticación Kerberos
Puerto 123: sincronización de reloj NTP
Puerto 135, 49152-65535 — RPC
Puertos 389, 636, 3268, 3269: consultas LDAP (389 o 3268 para LDAP estándar, 636 o 3269 para LDAPS)
Puerto 445: uso compartido de archivos SMB (políticas de grupo)
Puerto 464: cambio de contraseña de Kerberos
Puerto 9389: servicio web de Active Directory

Para habilitar y analizar los registros de flujo de VPC:

Habilita los registros de flujo de VPC para las subredes que contienen tu controlador de dominio. ENIs
Filtra los registros por puertos de destino para identificar los patrones de tráfico.
Organice por la mayoría de los paquetes la and/or mayoría de los bytes a lo largo del período de tiempo.
Analice las direcciones IP de origen para determinar qué máquinas generan más tráfico.

Paso 3: Realice un análisis detallado del tráfico con Traffic Mirroring

Los registros de flujo de VPC proporcionan información limitada sobre el contenido real de las solicitudes. Para un análisis más detallado, considere la posibilidad de duplicar el tráfico para capturar todos los paquetes de datos. Para obtener más información, consulte Cómo empezar a utilizar la duplicación de tráfico para supervisar el tráfico de la red. Esto resulta especialmente útil cuando se necesita analizar:

Complejidad y eficiencia del filtro LDAP
Patrones de consulta de DNS específicos
Detalles de la solicitud de autenticación

La duplicación del tráfico le permite capturar paquetes de red completos enviados a las instancias de su controlador de dominio, lo que permite un análisis profundo del tráfico que provoca un uso elevado de la CPU.

Paso 4: Investigue las aplicaciones de origen y optimice el tráfico

Una vez que haya identificado las máquinas de origen y los patrones de tráfico, investigue las aplicaciones que generan el tráfico:

Revise las configuraciones de las aplicaciones: compruebe si las aplicaciones realizan consultas ineficientes o solicitudes excesivas. Evite codificar de forma rígida la aplicación en un único controlador de dominio.
Analice las consultas LDAP: las consultas LDAP ineficientes son la causa más común de que la CPU del controlador de dominio esté sobrecargada. Busque filtros complejos que puedan beneficiarse de la indexación de atributos.
Examine el almacenamiento en caché de DNS: compruebe que el almacenamiento en caché de los clientes DNS esté habilitado para reducir las consultas repetitivas.
Compruebe los patrones de autenticación: identifique si las cuentas de servicio se autentican con demasiada frecuencia.

Estrategias de resolución

Basándose en su investigación, implemente las estrategias de optimización adecuadas:

Optimice las aplicaciones

Optimice las consultas LDAP: reescriba consultas LDAP complejas. Evite establecer la base de búsqueda en la raíz del dominio y, en su lugar, configúrela en una unidad organizativa donde residan los objetos que busca. Evite utilizar un ámbito de búsqueda que realice búsquedas en subárboles. En su lugar, utilice un ámbito base o de un solo nivel. Incluya la clase de objeto en el filtro. Por ejemplo, (objectClass=user) o (objectClass=computer). Evite usar caracteres comodín en el filtro a menos que el atributo esté indexado. Agregue un índice si es necesario escanear un comodín. Para obtener más información, consulte Amplíe su esquema de Microsoft AD AWS administrado. No indexe todo, ya que el proceso de indexación también aumenta el uso de la CPU.
```
# Sample LDIF code to index the email attribute
dn: CN=mail,CN=Schema,CN=Configuration,DC=yourdomain,DC=com
changetype: modify
replace: searchFlags
searchFlags: 1
```
Habilite el almacenamiento en caché de los clientes DNS: configure los clientes para que almacenen en caché las respuestas DNS de forma local a fin de reducir la carga del servidor.
Implemente la agrupación de conexiones: configure las aplicaciones para reutilizar las conexiones LDAP en lugar de crear conexiones nuevas para cada consulta.

Amplíe su infraestructura de directorios

Si la optimización del tráfico no resuelve el elevado uso de la CPU:

Agregue más controladores de dominio: amplíe la escala implementando controladores de dominio adicionales para distribuir la carga. Para obtener más información, consulte Implementación de controladores de dominio adicionales para su Microsoft AD AWS administrado.
Actualice a la Edición Enterprise: si usa la Edición Estándar, actualice a la Edición Enterprise para aumentar la capacidad y el rendimiento de la CPU. Para obtener más información, consulte Actualización de su Microsoft AD AWS gestionado. Si ya utiliza Enterprise Edition, póngase en contacto con nosotros AWS Supportpara aumentar la capacidad.

Para obtener información sobre los precios de las ediciones AWS administradas de Microsoft AD, consulte Directory Service Precios.

Aviso JavaScript está desactivado o no está disponible en su navegador.

Para utilizar la documentación de AWS, debe estar habilitado JavaScript. Para obtener más información, consulte las páginas de ayuda de su navegador.

Convenciones del documento

Motivos de los estados al crear relaciones de confianza

Conector de AD