Encontrando a causa raiz Estratégias de resolução

Solução de problemas de alta utilização da CPU AWS gerenciada do Microsoft AD

O seguinte pode ajudá-lo a solucionar problemas de alta CPU em controladores de domínio AWS gerenciados do Microsoft AD.

Encontrando a causa raiz

A primeira etapa na solução de problemas de alta utilização da CPU é analisar CloudWatch métricas para identificar padrões que possam explicar o aumento do consumo de recursos.

Etapa 1: analisar Directory Service CloudWatch as métricas

Monitore seu desempenho AWS gerenciado do Microsoft AD usando CloudWatch métricas para identificar padrões de tráfego que se correlacionam com o alto uso da CPU. Para obter informações detalhadas sobre visualização e interpretação de Directory Service métricas, consulteUsando CloudWatch para monitorar o desempenho de seus controladores de domínio AWS gerenciados do Microsoft AD.

Procure padrões de mudança nas seguintes métricas principais que possam explicar o aumento da CPU:

Consultas de DNS por segundo — Picos repentinos podem indicar problemas de resolução de DNS ou aplicativos mal configurados.
Autenticações Kerberos/NTLM — taxas de autenticação mais altas de logons de usuários ou contas de serviço.
Consultas LDAP por segundo — Aumento do tráfego LDAP de aplicativos ou serviços.

Compare as métricas atuais com as linhas de base históricas para identificar quando a alta utilização da CPU começou e correlacioná-la com aumentos específicos de tráfego. Se nenhuma correlação for encontrada nas métricas, a causa raiz não será um aumento avassalador no tráfego. Em vez disso, a causa raiz provavelmente é uma consulta LDAP ineficiente, vá para. Etapa 3: Capture uma análise detalhada do tráfego com o espelhamento de tráfego

Etapa 2: identificar as máquinas de origem usando os registros de fluxo da VPC

Os registros de fluxo de VPC fornecem um método eficaz para identificar os endereços IP de origem das máquinas que geram tráfego para seus controladores de domínio. Para obter mais informações, consulte Como registrar tráfego IP em log com logs de fluxo da VPC. Use os números das portas de destino para diferenciar os serviços:

Porta 53 — consultas de DNS
Porta 88 — Autenticação Kerberos
Porta 123 — sincronização de relógio NTP
Porta 135, 49152-65535 — RPC
Portas 389, 636, 3268, 3269 — consultas LDAP (389 ou 3268 para LDAP padrão, 636 ou 3269 para LDAPS)
Porta 445 — Compartilhamento de arquivos SMB (políticas de grupo)
Porta 464 — Alteração de senha do Kerberos
Porta 9389 — Serviço Web do Active Directory

Para ativar e analisar os registros de fluxo da VPC:

Ative os registros de fluxo de VPC para as sub-redes que contêm seu controlador de domínio. ENIs
Filtre os registros por portas de destino para identificar padrões de tráfego.
Organize pela maioria dos pacotes a and/or maioria dos bytes durante o período de tempo.
Analise os endereços IP de origem para determinar quais máquinas estão gerando mais tráfego.

Etapa 3: Capture uma análise detalhada do tráfego com o espelhamento de tráfego

Os registros de fluxo da VPC fornecem informações limitadas sobre o conteúdo real das solicitações. Para uma análise mais detalhada, considere o espelhamento de tráfego para capturar dados completos do pacote. Para obter mais informações, consulte Comece a usar o espelhamento de tráfego para monitorar o tráfego de rede. Isso é particularmente útil quando você precisa analisar:

Complexidade e eficiência do filtro LDAP
Padrões específicos de consulta de DNS
Detalhes da solicitação de autenticação

O espelhamento de tráfego permite capturar pacotes de rede completos enviados às instâncias do controlador de domínio, permitindo uma análise profunda do tráfego que causa alta utilização da CPU.

Etapa 4: Investigue os aplicativos de origem e otimize o tráfego

Depois de identificar as máquinas de origem e os padrões de tráfego, investigue os aplicativos que geram o tráfego:

Revise as configurações do aplicativo — verifique se os aplicativos estão fazendo consultas ineficientes ou solicitações excessivas. Evite codificar o aplicativo em um único controlador de domínio.
Analise consultas LDAP — Consultas LDAP ineficientes são a causa mais comum de CPU com alto controlador de domínio. Procure filtros complexos que possam se beneficiar da indexação de atributos.
Examine o cache do DNS — verifique se o cache do cliente DNS está ativado para reduzir as consultas repetitivas.
Verifique os padrões de autenticação — identifique se as contas de serviço estão sendo autenticadas com muita frequência.

Estratégias de resolução

Com base em sua investigação, implemente estratégias de otimização apropriadas:

Otimize aplicativos

Otimize consultas LDAP — Reescreva consultas LDAP complexas. Evite definir a base de pesquisa como a raiz do domínio e, em vez disso, configure-a como uma UO onde residem os objetos que você está procurando. Evite usar um escopo de pesquisa que realize pesquisas em subárvores. Em vez disso, use um escopo básico ou de nível único. Inclua a classe do objeto em seu filtro. Por exemplo, (objectClass=user) ou (objectClass=computer). Evite usar curingas no filtro, a menos que o atributo esteja indexado. Adicione um índice se for necessário um escaneamento curinga. Para obter mais informações, consulte Estenda seu esquema AWS gerenciado do Microsoft AD. Não indexe tudo, pois o processo de indexação também aumenta a utilização da CPU.
```
# Sample LDIF code to index the email attribute
dn: CN=mail,CN=Schema,CN=Configuration,DC=yourdomain,DC=com
changetype: modify
replace: searchFlags
searchFlags: 1
```
Ativar o armazenamento em cache do cliente DNS — configure os clientes para armazenar as respostas DNS localmente para reduzir a carga do servidor.
Implemente o pool de conexões — configure aplicativos para reutilizar conexões LDAP em vez de criar novas para cada consulta.

Dimensione sua infraestrutura de diretórios

Se a otimização do tráfego não resolver a alta utilização da CPU:

Adicione mais controladores de domínio — expanda implantando controladores de domínio adicionais para distribuir a carga. Para obter mais informações, consulte Implantando controladores de domínio adicionais para seu AWS Microsoft AD gerenciado.
Atualize para a Enterprise Edition — Se estiver usando a Standard Edition, atualize para a Enterprise Edition para aumentar a capacidade e o desempenho da CPU. Para obter mais informações, consulte Atualizando seu Microsoft AD AWS gerenciado. Se já estiver usando a Enterprise Edition, entre em contato AWS Supportpara obter maior capacidade.

Para obter informações sobre preços das edições AWS gerenciadas do Microsoft AD, consulte Directory Service Preços.

Atenção O Javascript está desativado ou não está disponível no seu navegador.

Para usar a documentação da AWS, o Javascript deve estar ativado. Consulte as páginas de Ajuda do navegador para obter instruções.

Convenções do documento

Motivos do status da criação de relações de confiança

AD Connector