Individuazione della causa principale Strategie di risoluzione

Risoluzione dei problemi relativi all'utilizzo elevato della CPU di Microsoft AD AWS gestito

Quanto segue può aiutarti a risolvere problemi di CPU elevati nei controller di dominio AWS Microsoft AD gestiti.

Individuazione della causa principale

Il primo passaggio per la risoluzione dei problemi di utilizzo elevato della CPU consiste nell'analizzare le CloudWatch metriche per identificare i modelli che possono spiegare l'aumento del consumo di risorse.

Fase 1: Rivedi le metriche Directory Service CloudWatch

Monitora le prestazioni di AWS Managed Microsoft AD utilizzando CloudWatch metriche per identificare i modelli di traffico correlati all'elevato utilizzo della CPU. Per informazioni dettagliate sulla visualizzazione e l'interpretazione delle Directory Service metriche, consulta. Utilizzo CloudWatch per monitorare le prestazioni dei controller di dominio Microsoft AD AWS gestiti

Cerca i modelli di cambiamento nelle seguenti metriche chiave che potrebbero spiegare l'aumento della CPU:

Query DNS al secondo: picchi improvvisi possono indicare problemi di risoluzione DNS o applicazioni non configurate correttamente.
Autenticazioni Kerberos/NTLM: tassi di autenticazione più elevati per gli accessi utente o gli account di servizio.
Query LDAP al secondo: aumento del traffico LDAP proveniente da applicazioni o servizi.

Confronta le metriche attuali con le linee di base storiche per identificare quando è iniziato l'utilizzo elevato della CPU e correlarlo con aumenti di traffico specifici. Se non viene trovata alcuna correlazione nelle metriche, la causa principale non è un aumento schiacciante del traffico. Invece, la causa principale è probabilmente una query LDAP inefficiente, vai a. Fase 3: Acquisisci un'analisi dettagliata del traffico con Traffic Mirroring

Fase 2: Identifica le macchine di origine utilizzando i log di flusso VPC

I log di flusso VPC forniscono un metodo efficace per identificare gli indirizzi IP di origine delle macchine che generano traffico verso i controller di dominio. Per ulteriori informazioni, consulta Registrazione dei log del traffico IP utilizzando i log di flusso VPC. Utilizza i numeri di porta di destinazione per distinguere i servizi:

Porta 53: interrogazioni DNS
Porta 88 — Autenticazione Kerberos
Porta 123 — Sincronizzazione dell'orologio NTP
Porta 135, 49152-65535 — RPC
Porte 389, 636, 3268, 3269 — Interrogazioni LDAP (389 o 3268 per LDAP standard, 636 o 3269 per LDAPS)
Porta 445 — Condivisione di file SMB (Criteri di gruppo)
Porta 464: modifica della password Kerberos
Porta 9389 — Servizio Web Active Directory

Per abilitare e analizzare i log di flusso VPC:

Abilita i log di flusso VPC per le sottoreti contenenti il controller di dominio. ENIs
Filtra i log in base alle porte di destinazione per identificare i modelli di traffico.
Organizza la maggior parte dei byte in base alla and/or maggior parte dei pacchetti nel periodo di tempo.
Analizza gli indirizzi IP di origine per determinare quali macchine generano la maggior parte del traffico.

Fase 3: Acquisisci un'analisi dettagliata del traffico con Traffic Mirroring

I log di flusso VPC forniscono informazioni limitate sul contenuto effettivo delle richieste. Per un'analisi più dettagliata, prendi in considerazione Traffic Mirroring per acquisire dati completi a pacchetto. Per ulteriori informazioni, consulta Come iniziare a utilizzare Traffic Mirroring per monitorare il traffico di rete. Ciò è particolarmente utile quando è necessario analizzare:

Complessità ed efficienza del filtro LDAP
Schemi di interrogazione DNS specifici
Dettagli della richiesta di autenticazione

Il Traffic Mirroring consente di acquisire pacchetti di rete completi inviati alle istanze del controller di dominio, consentendo un'analisi approfondita del traffico che causa un elevato utilizzo della CPU.

Fase 4: Analizza le applicazioni di origine e ottimizza il traffico

Dopo aver identificato i computer di origine e i modelli di traffico, analizza le applicazioni che generano il traffico:

Esamina le configurazioni delle applicazioni: verifica se le applicazioni effettuano query inefficienti o richieste eccessive. Evita di codificare l'applicazione su un singolo controller di dominio.
Analizza le query LDAP: le query LDAP inefficienti sono la causa più comune di CPU con controller di dominio elevati. Cerca filtri complessi che potrebbero trarre vantaggio dall'indicizzazione degli attributi.
Esamina la memorizzazione nella cache DNS: verifica che la memorizzazione nella cache dei client DNS sia abilitata per ridurre le query ripetitive.
Verifica i modelli di autenticazione: identifica se gli account di servizio si autenticano troppo frequentemente.

Strategie di risoluzione

In base alla tua indagine, implementa strategie di ottimizzazione appropriate:

Ottimizza le applicazioni

Ottimizza le query LDAP: riscrivi le query LDAP complesse. Evita di impostare la base di ricerca sulla radice del dominio e configurala invece su un'unità organizzativa in cui risiedono gli oggetti che stai cercando. Evita di utilizzare un ambito di ricerca che esegue ricerche su sottoalberi. Utilizza invece un ambito di base o a livello singolo. Includi la classe dell'oggetto nel filtro. Ad esempio (objectClass=user) o (objectClass=computer). Evita di usare caratteri jolly nel filtro a meno che l'attributo non sia indicizzato. Aggiungi un indice se è richiesta una scansione con caratteri jolly. Per ulteriori informazioni, consulta Estendi lo schema AWS Managed Microsoft AD. Non indicizzate tutto, poiché il processo di indicizzazione aumenta anche l'utilizzo della CPU.
```
# Sample LDIF code to index the email attribute
dn: CN=mail,CN=Schema,CN=Configuration,DC=yourdomain,DC=com
changetype: modify
replace: searchFlags
searchFlags: 1
```
Abilita la memorizzazione nella cache dei client DNS: configura i client per memorizzare nella cache le risposte DNS localmente per ridurre il carico del server.
Implementazione del pooling delle connessioni: configura le applicazioni per riutilizzare le connessioni LDAP anziché crearne di nuove per ogni query.

Scalate la vostra infrastruttura di directory

Se l'ottimizzazione del traffico non risolve l'elevato utilizzo della CPU:

Aggiungi altri controller di dominio: scalabilità orizzontale implementando controller di dominio aggiuntivi per distribuire il carico. Per ulteriori informazioni, consulta Implementazione di controller di dominio aggiuntivi per Managed AWS Microsoft AD.
Esegui l'aggiornamento a Enterprise Edition: se utilizzi la Standard Edition, esegui l'upgrade alla Enterprise Edition per aumentare la capacità e le prestazioni della CPU. Per ulteriori informazioni, consulta Aggiornamento di Managed AWS Microsoft AD. Se già utilizzate Enterprise Edition, contattateci Supporto AWSper una maggiore capacità.

Per informazioni sui prezzi delle edizioni AWS Managed Microsoft AD, vedi Directory Service Prezzi.

Avvertimento JavaScript è disabilitato o non è disponibile nel tuo browser.

Per usare la documentazione AWS, JavaScript deve essere abilitato. Consulta le pagine della guida del browser per le istruzioni.

Convenzioni dei documenti

Motivo stato di creazione trust

AD Connector