Pemecahan Masalah AWS Pemanfaatan CPU tinggi Microsoft AD yang Dikelola - AWS Directory Service
Menemukan akar penyebabnyaStrategi resolusi

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Pemecahan Masalah AWS Pemanfaatan CPU tinggi Microsoft AD yang Dikelola

Berikut ini dapat membantu Anda memecahkan masalah CPU tinggi pada pengontrol domain AWS Microsoft AD Terkelola.

Menemukan akar penyebabnya

Langkah pertama dalam memecahkan masalah pemanfaatan CPU yang tinggi adalah menganalisis CloudWatch metrik untuk mengidentifikasi pola yang dapat menjelaskan peningkatan konsumsi sumber daya.

Langkah 1: Tinjau Directory Service CloudWatch metrik

Pantau performa Microsoft AD yang AWS Dikelola menggunakan CloudWatch metrik untuk mengidentifikasi pola lalu lintas yang berkorelasi dengan penggunaan CPU yang tinggi. Untuk informasi rinci tentang melihat dan menafsirkan Directory Service metrik, lihat. Menggunakan CloudWatch untuk memantau kinerja pengontrol domain Microsoft AD yang AWS Dikelola

Cari pola pergeseran dalam metrik kunci berikut yang mungkin menjelaskan peningkatan CPU:

  • Kueri DNS per detik — Lonjakan mendadak dapat mengindikasikan masalah resolusi DNS atau aplikasi yang salah dikonfigurasi.

  • Otentikasi KerberOS/NTLM — Tingkat otentikasi yang lebih tinggi dari login pengguna atau akun layanan.

  • Kueri LDAP per detik — Peningkatan lalu lintas LDAP dari aplikasi atau layanan.

Bandingkan metrik saat ini dengan garis dasar historis untuk mengidentifikasi kapan pemanfaatan CPU yang tinggi dimulai dan menghubungkannya dengan peningkatan lalu lintas tertentu. Jika tidak ada korelasi yang ditemukan dalam metrik maka akar penyebabnya bukanlah peningkatan lalu lintas yang luar biasa. Alih-alih akar penyebabnya kemungkinan adalah kueri LDAP yang tidak efisien, lewati ke. Langkah 3: Tangkap analisis lalu lintas terperinci dengan Traffic Mirroring

Langkah 2: Identifikasi mesin sumber menggunakan VPC Flow Logs

VPC Flow Logs menyediakan metode yang efektif untuk mengidentifikasi alamat IP sumber mesin yang menghasilkan lalu lintas ke pengontrol domain Anda. Untuk informasi selengkapnya, lihat Mencatat lalu lintas IP menggunakan Log Aliran VPC. Gunakan nomor port tujuan untuk membedakan antara layanan:

  • Port 53 - Kueri DNS

  • Port 88 — Otentikasi Kerberos

  • Port 123 - Sinkronisasi jam NTP

  • Pelabuhan 135, 49152-65535 — RPC

  • Port 389, 636, 3268, 3269 - kueri LDAP (389 atau 3268 untuk LDAP standar, 636 atau 3269 untuk LDAPS)

  • Port 445 - Berbagi file SMB (Kebijakan Grup)

  • Port 464 — Perubahan kata sandi Kerberos

  • Port 9389 — Layanan Web Direktori Aktif

Untuk mengaktifkan dan menganalisis Log Aliran VPC:

  • Aktifkan Log Aliran VPC untuk subnet yang berisi pengontrol domain Anda. ENIs

  • Filter log berdasarkan port tujuan untuk mengidentifikasi pola lalu lintas.

  • Atur oleh sebagian and/or besar paket sebagian besar byte selama periode waktu.

  • Analisis alamat IP sumber untuk menentukan mesin mana yang menghasilkan lalu lintas terbanyak.

Langkah 3: Tangkap analisis lalu lintas terperinci dengan Traffic Mirroring

VPC Flow Logs memberikan informasi terbatas tentang konten permintaan yang sebenarnya. Untuk analisis yang lebih rinci, pertimbangkan Traffic Mirroring untuk menangkap data paket lengkap. Untuk informasi selengkapnya, lihat Memulai menggunakan Pencerminan Lalu Lintas untuk memantau lalu lintas jaringan. Ini sangat berguna ketika Anda perlu menganalisis:

  • Kompleksitas dan efisiensi filter LDAP

  • Pola kueri DNS tertentu

  • Detail permintaan otentikasi

Traffic Mirroring memungkinkan Anda untuk menangkap paket jaringan lengkap yang dikirim ke instance pengontrol domain Anda, memungkinkan analisis mendalam tentang lalu lintas yang menyebabkan pemanfaatan CPU tinggi.

Langkah 4: Selidiki aplikasi sumber dan optimalkan lalu lintas

Setelah Anda mengidentifikasi mesin sumber dan pola lalu lintas, selidiki aplikasi yang menghasilkan lalu lintas:

  • Tinjau konfigurasi aplikasi — Periksa apakah aplikasi membuat kueri yang tidak efisien atau permintaan yang berlebihan. Hindari hard coding aplikasi ke pengontrol domain tunggal.

  • Analisis kueri LDAP - Kueri LDAP yang tidak efisien adalah penyebab paling umum dari CPU pengontrol domain tinggi. Cari filter kompleks yang bisa mendapatkan keuntungan dari pengindeksan atribut.

  • Periksa cache DNS — Verifikasi bahwa caching klien DNS diaktifkan untuk mengurangi kueri berulang.

  • Periksa pola otentikasi — Identifikasi apakah akun layanan terlalu sering mengautentikasi.

Strategi resolusi

Berdasarkan penyelidikan Anda, terapkan strategi pengoptimalan yang tepat:

Optimalkan aplikasi

  • Optimalkan kueri LDAP — Tulis ulang kueri LDAP yang kompleks. Hindari pengaturan basis pencarian ke root domain dan sebagai gantinya konfigurasikan ke OU di mana objek yang Anda cari berada. Hindari menggunakan lingkup pencarian yang melakukan pencarian subtree. Alih-alih menggunakan basis atau lingkup tingkat tunggal. Sertakan kelas objek dalam filter Anda. Misalnya, (objectClass=user) atau (objectClass=computer). Hindari menggunakan wildcard di filter kecuali atribut diindeks. Tambahkan indeks jika pemindaian wildcard diperlukan. Untuk informasi selengkapnya, lihat Perluas skema AD Microsoft AWS Terkelola Anda. Jangan mengindeks semuanya karena proses pengindeksan juga meningkatkan pemanfaatan CPU.

    # Sample LDIF code to index the email attribute
dn: CN=mail,CN=Schema,CN=Configuration,DC=yourdomain,DC=com
changetype: modify
replace: searchFlags
searchFlags: 1

  • Aktifkan cache klien DNS — Konfigurasikan klien untuk menyimpan respons DNS secara lokal untuk mengurangi beban server.

  • Implementasikan penyatuan koneksi — Konfigurasikan aplikasi untuk menggunakan kembali koneksi LDAP daripada membuat yang baru untuk setiap kueri.

Skalakan infrastruktur direktori Anda

Jika optimasi lalu lintas tidak menyelesaikan pemanfaatan CPU yang tinggi:

Untuk informasi harga tentang edisi Microsoft AD AWS Terkelola, lihat Directory Service Harga.