疑难解答 AWS 托管微软 AD CPU 利用率过高

以下内容可以帮助你解决 AWS 托管 Microsoft AD 域控制器上的 CPU 过高问题。

寻找根本原因

排除高 CPU 使用率问题的第一步是分析 CloudWatch 指标，找出可能解释资源消耗增加的模式。

使用 CloudWatch 指标监控您的 AWS 托管 Microsoft AD 性能，以识别与高 CPU 使用率相关的流量模式。有关查看和解释 Directory Service 指标的详细信息，请参阅CloudWatch 用于监控您的 AWS 托管 Microsoft AD 域控制器的性能。

在以下可能解释 CPU 增长的关键指标中寻找变化模式：

将当前指标与历史基准进行比较，以确定高 CPU 利用率何时开始，并将其与特定的流量增长相关联。如果在指标中找不到相关性，则根本原因不是流量大幅增加。相反，根本原因可能是 LDAP 查询效率低下，请跳至。步骤 3：使用流量镜像捕获详细的流量分析

VPC 流日志提供了一种有效的方法来识别向您的域控制器生成流量的计算机的源 IP 地址。有关更多信息，请参阅使用 VPC 流日志记录 IP 流量。使用目标端口号来区分服务：

要启用和分析 VPC 流日志，请执行以下操作：

VPC 流日志提供的有关请求实际内容的有限信息。要进行更详细的分析，请考虑使用流量镜像来捕获完整的数据包数据。有关更多信息，请参阅开始使用流量镜像监控网络流量。当你需要分析以下内容时，这特别有用：

流量镜像允许您捕获发送到域控制器实例的完整网络数据包，从而可以对导致 CPU 使用率高的流量进行深入分析。

确定源计算机和流量模式后，请调查生成流量的应用程序：

根据您的调查，实施适当的优化策略：

优化 LDAP 查询-重写复杂的 LDAP 查询。避免将搜索库设置为域的根目录，而应将其配置为要搜索的对象所在的 OU。避免使用执行子树搜索的搜索范围。而是使用基本或单级示波器。在过滤器中加入对象类。例如，(objectClass=user) 或 (objectClass=computer)。除非已为属性编制索引，否则请避免在过滤器中使用通配符。如果需要通配符扫描，请添加索引。有关更多信息，请参阅扩展你的 AWS 托管微软 AD 架构。不要索引所有内容，因为索引过程还会增加 CPU 利用率。
```
# Sample LDIF code to index the email attribute
dn: CN=mail,CN=Schema,CN=Configuration,DC=yourdomain,DC=com
changetype: modify
replace: searchFlags
searchFlags: 1
```
启用 DNS 客户端缓存-将客户端配置为在本地缓存 DNS 响应以减少服务器负载。
实现连接池-将应用程序配置为重复使用 LDAP 连接，而不是为每个查询创建新连接。

如果流量优化不能解决 CPU 使用率过高的问题：

添加更多域控制器-通过部署其他域控制器来分散负载，实现横向扩展。有关更多信息，请参阅为你的 AWS 托管 Microsoft AD 部署额外的域控制器。
升级到企业版-如果使用标准版，请升级到企业版以提高 CPU 容量和性能。有关更多信息，请参阅升级你的 AWS 托管 Microsoft AD。如果已经在使用企业版，请联系AWS 支持以增加容量。

有关 AWS 托管 Microsoft AD 版本的定价信息，请参阅Directory Service 定价。

Javascript 在您的浏览器中被禁用或不可用。

要使用 Amazon Web Services 文档，必须启用 Javascript。请参阅浏览器的帮助页面以了解相关说明。

信任创建状态原因

AD Connector