CloudWatch を使用して AWS Managed Microsoft AD ドメインコントローラーのパフォーマンスをモニタリングする
AWS Directory Service は Amazon CloudWatch と統合することで、Active Directory 内の各ドメインコントローラーのパフォーマンスに関する重要なメトリクスを提供します。つまり、ドメインコントローラーのパフォーマンスカウンターとして、CPU やメモリの使用率などをモニタリングできます。また、アラームを設定し、使用率の高い時間に対応するための自動アクションを起動させることもできます。例えば、ドメインコントローラーの CPU 使用率が 70% を超えた場合のアラーム設定し、その発生時に通知を送信するための SNS トピックを作成します。この SNS トピックを使用して、AWS Lambda 関数などの自動化を開始し、Active Directory のドメインコントローラーの数を増やすことができます。
ドメインコントローラーのモニタリングの詳細については、「CloudWatch メトリクスを使用して、ドメインコントローラーを追加するタイミングを決定する」を参照してください。
Amazon CloudWatch には料金がかかります。詳細については、「CloudWatch の請求とコスト」を参照してください。
重要
CloudWatch を使用したドメインコントローラーのパフォーマンスメトリクスは、カナダ西部 (カルガリー) リージョンでは利用できません。
CloudWatch を有効にするには、AWS Managed Microsoft AD の Amazon CloudWatch Logs ログ転送の有効化 を参照してください.
CloudWatch でドメインコントローラーのパフォーマンスメトリクスを検索する
Amazon CloudWatch コンソールでは、特定のサービスのメトリクスは最初に、サービスのネームスペースによってグループ化されます。ユーザーは、その名前空間に従属するメトリクスフィルターを追加できます。次の手順に従って、CloudWatch で AWS Microsoft AD ドメインコントローラーのメトリクスを設定する際に使用する、適切な名前空間と従属メトリクスを特定します。
CloudWatch コンソールでドメインコントローラーのメトリクスを検索するには
-
AWS Management Console にサインインして、CloudWatch コンソール (https://console.aws.amazon.com/cloudwatch/
) を開きます。 -
ナビゲーションペインで Metrics (メトリクス) を選択します。
-
メトリクスのリストから、[Directory Service] (ディレクトリサービス) の名前空間を選択し、さらにメトリクスとして [AWS Managed Microsoft AD] を選択します。
CloudWatch コンソールを使用してドメインコントローラーのメトリクスをセットアップする方法については、AWS セキュリティブログの How to automate AWS Managed Microsoft AD scaling based on utilization metrics
CloudWatch メトリクスを使用して、ドメインコントローラーを追加するタイミングを決定する
ドメインコントローラー全体での負荷分散は、Active Directory の耐障害性とパフォーマンスにとって重要です。AWS Managed Microsoft AD でのドメインコントローラーのパフォーマンスを最適化するために、先に CloudWatch の重要なメトリクスをモニタリングして、ベースラインを形成することをお勧めします。このプロセスでは、時間の経過とともに Active Directory を分析し、平均およびピーク時の Active Directory 使用率を特定します。ベースラインを決めた後に、これらのメトリクスを定期的にモニタリングすることで、ドメインコントローラーを Active Directory に追加するタイミングを判断しやすくなります。
次のメトリクスは、定期的なモニタリングには欠かせません。CloudWatch で利用できるドメインコントローラーのメトリクス一覧については、「AWS Managed Microsoft AD パフォーマンスカウンター」を参照してください。
-
ドメインコントローラーに固有のメトリクスには、次のようなものがあります。
-
プロセッサ
-
メモリ
-
論理ディスク
-
ネットワークインターフェイス
-
-
AWS Managed Microsoft AD に固有のメトリクスには、次のようなものがあります。
-
LDAP 検索
-
バインド
-
DNS クエリ
-
ディレクトリ読み取り
-
ディレクトリ書き込み
-
CloudWatch コンソールを使用してドメインコントローラーのメトリクスをセットアップする方法については、AWS セキュリティブログの How to automate AWS Managed Microsoft AD scaling based on utilization metrics
ドメイン コントローラーの計画に関する一般的な情報については、Microsoft のウェブサイトにある「Active Directory ドメインサービスの容量計画
AWS Managed Microsoft AD パフォーマンスカウンター
次の表は、AWS Managed Microsoft AD でドメインコントローラーとディレクトリのパフォーマンスを追跡するために、Amazon CloudWatch で使用できる全パフォーマンスカウンターの一覧です。
メトリクスカテゴリ | メトリクス名 |
---|---|
データベース ==> インスタンス (NTDSA) | Database Cache % Hit |
I/O Database Reads Average Latency | |
I/O Database Reads/sec | |
I/O Log Writes Average Latency | |
DirectoryServices (NTDS) | LDAP Bind Time |
DRA Pending Replication Operations | |
DRA Pending Replication Synchronizations | |
DNS | Recursive Queries/sec |
Recursive Query Failure/sec | |
TCP Query Received/sec | |
Total Query Received/sec | |
Total Response Sent/sec | |
UDP Query Received/sec | |
LogicalDisk | Avg。Disk Queue Length |
% Free Space | |
メモリ | % Committed Bytes in Use |
Long-Term Average Standby Cache Lifetime (s) | |
ネットワークインターフェイス | Bytes Sent/sec |
Bytes Received/sec | |
Current Bandwidth | |
NTDS | ATQ Estimated Queue Delay |
ATQ Request Latency | |
DS Directory Reads/Sec | |
DS Directory Searches/Sec | |
DS Directory Writes/Sec | |
LDAP Client Sessions | |
LDAP Searches/sec | |
LDAP Successful Binds/sec | |
プロセッサ | % Processor Time |
セキュリティシステム全体の統計 | Kerberos Authentications |
NTLM Authentications |