Trouver la cause première Stratégies de résolution

Résolution des problèmes liés AWS à l'utilisation élevée du processeur Microsoft AD dans Managed

Les informations suivantes peuvent vous aider à résoudre les problèmes de processeur élevés sur les contrôleurs de domaine Microsoft AD AWS gérés.

Trouver la cause première

La première étape pour résoudre les problèmes d'utilisation élevée du processeur consiste à analyser les CloudWatch métriques afin d'identifier les modèles susceptibles d'expliquer l'augmentation de la consommation de ressources.

Étape 1 : Examiner Directory Service CloudWatch les métriques

Surveillez les performances de votre service Microsoft AD AWS géré à l'aide de CloudWatch métriques pour identifier les modèles de trafic liés à une utilisation élevée du processeur. Pour des informations détaillées sur l'affichage et l'interprétation Directory Service des métriques, consultezUtilisation CloudWatch pour surveiller les performances de vos contrôleurs de domaine Microsoft AD AWS gérés.

Recherchez des tendances changeantes dans les indicateurs clés suivants qui pourraient expliquer l'augmentation du processeur :

Requêtes DNS par seconde : des pics soudains peuvent indiquer des problèmes de résolution DNS ou des applications mal configurées.
Authentifications Kerberos/NTLM : taux d'authentification plus élevés à partir des connexions d'utilisateurs ou des comptes de service.
Requêtes LDAP par seconde : augmentation du trafic LDAP provenant d'applications ou de services.

Comparez les mesures actuelles avec les données de référence historiques pour identifier le moment où l'utilisation élevée du processeur a commencé et corrélez-la avec des augmentations de trafic spécifiques. Si aucune corrélation n'est trouvée dans les métriques, la cause première n'est pas une augmentation massive du trafic. Au lieu de cela, la cause première est probablement une requête LDAP inefficace, passez à. Étape 3 : Capturez une analyse détaillée du trafic avec Traffic Mirroring

Étape 2 : Identifier les machines sources à l'aide des journaux de flux VPC

Les journaux de flux VPC constituent une méthode efficace pour identifier les adresses IP sources des machines générant du trafic vers vos contrôleurs de domaine. Pour plus d'informations, voir Journalisation du trafic IP à l'aide des journaux de flux VPC. Utilisez les numéros de port de destination pour différencier les services :

Port 53 — Requêtes DNS
Port 88 — Authentification Kerberos
Port 123 — Synchronisation de l'horloge NTP
Port 135, 49152-65535 — RPC
Ports 389, 636, 3268, 3269 : requêtes LDAP (389 ou 3268 pour le protocole LDAP standard, 636 ou 3269 pour le protocole LDAPS)
Port 445 — Partage de fichiers SMB (politiques de groupe)
Port 464 — Modification du mot de passe Kerberos
Port 9389 — Service Web Active Directory

Pour activer et analyser les journaux de flux VPC :

Activez les journaux de flux VPC pour les sous-réseaux contenant votre contrôleur de domaine. ENIs
Filtrez les journaux par port de destination pour identifier les modèles de trafic.
Organisez selon le plus grand nombre de paquets and/or , le plus grand nombre d'octets sur une période donnée.
Analysez les adresses IP sources pour déterminer quelles machines génèrent le plus de trafic.

Étape 3 : Capturez une analyse détaillée du trafic avec Traffic Mirroring

Les journaux de flux VPC fournissent des informations limitées sur le contenu réel des demandes. Pour une analyse plus détaillée, envisagez la mise en miroir du trafic pour capturer les données complètes des paquets. Pour plus d'informations, voir Commencer à utiliser la mise en miroir du trafic pour surveiller le trafic réseau. Cela est particulièrement utile lorsque vous devez analyser :

Complexité et efficacité du filtre LDAP
Modèles de requêtes DNS spécifiques
Détails de la demande d'authentification

La mise en miroir du trafic vous permet de capturer des paquets réseau complets envoyés à vos instances de contrôleur de domaine, ce qui permet une analyse approfondie du trafic entraînant une utilisation élevée du processeur.

Étape 4 : Examiner les applications sources et optimiser le trafic

Une fois que vous avez identifié les machines sources et les modèles de trafic, examinez les applications qui génèrent le trafic :

Passez en revue les configurations des applications : vérifiez si les applications font des requêtes inefficaces ou excessives. Évitez de coder l'application en dur sur un seul contrôleur de domaine.
Analyser les requêtes LDAP : les requêtes LDAP inefficaces sont la cause la plus fréquente d'un processeur de contrôleur de domaine élevé. Recherchez les filtres complexes qui pourraient bénéficier de l'indexation des attributs.
Examiner la mise en cache DNS — Vérifiez que la mise en cache du client DNS est activée pour réduire les requêtes répétitives.
Vérifiez les modèles d'authentification : déterminez si les comptes de service s'authentifient trop fréquemment.

Stratégies de résolution

Sur la base de votre enquête, mettez en œuvre des stratégies d'optimisation appropriées :

Optimisez les applications

Optimisation des requêtes LDAP : réécrivez des requêtes LDAP complexes. Évitez de définir la base de recherche à la racine du domaine et configurez-la plutôt sur une unité d'organisation où résident les objets que vous recherchez. Évitez d'utiliser une zone de recherche qui effectue des recherches dans des sous-arborescences. Utilisez plutôt une portée de base ou à un seul niveau. Incluez la classe d'objet dans votre filtre. Par exemple, (objectClass=user) ou (objectClass=computer). Évitez d'utiliser des caractères génériques dans le filtre, sauf si l'attribut est indexé. Ajoutez un index si une analyse par caractères génériques est requise. Pour de plus amples informations, veuillez consulter Étendez votre schéma AWS Managed Microsoft AD. N'indexez pas tout car le processus d'indexation augmente également l'utilisation du processeur.
```
# Sample LDIF code to index the email attribute
dn: CN=mail,CN=Schema,CN=Configuration,DC=yourdomain,DC=com
changetype: modify
replace: searchFlags
searchFlags: 1
```
Activer la mise en cache des clients DNS : configurez les clients pour qu'ils mettent en cache les réponses DNS localement afin de réduire la charge du serveur.
Implémenter le regroupement de connexions : configurez les applications pour qu'elles réutilisent les connexions LDAP plutôt que d'en créer de nouvelles pour chaque requête.

Faites évoluer votre infrastructure d'annuaires

Si l'optimisation du trafic ne résout pas le problème d'utilisation élevée du processeur :

Ajouter d'autres contrôleurs de domaine : augmentez votre capacité en déployant des contrôleurs de domaine supplémentaires pour répartir la charge. Pour de plus amples informations, veuillez consulter Déploiement de contrôleurs de domaine supplémentaires pour votre Microsoft AD AWS géré.
Mise à niveau vers l'édition Enterprise : si vous utilisez l'édition standard, passez à l'édition Enterprise pour augmenter la capacité et les performances du processeur. Pour de plus amples informations, veuillez consulter Mise à niveau de votre Microsoft AD AWS géré. Si vous utilisez déjà Enterprise Edition, contactez AWS Supportpour une capacité accrue.

Pour obtenir des informations sur les tarifs des éditions AWS gérées de Microsoft AD, consultez la section Directory Service Tarification.

Avertissement JavaScript est désactivé ou n'est pas disponible dans votre navigateur.

Pour que vous puissiez utiliser la documentation AWS, Javascript doit être activé. Vous trouverez des instructions sur les pages d'aide de votre navigateur.

Conventions de rédaction

Raisons liées aux statuts de création d'une relation d'approbation

AD Connector