CloudWatch を使用して AWS Managed Microsoft AD ドメインコントローラーのパフォーマンスをモニタリングする - AWS Directory Service

CloudWatch を使用して AWS Managed Microsoft AD ドメインコントローラーのパフォーマンスをモニタリングする

AWS Directory Service は Amazon CloudWatch と統合することで、Active Directory 内の各ドメインコントローラーのパフォーマンスに関する重要なメトリクスを提供します。つまり、ドメインコントローラーのパフォーマンスカウンターとして、CPU やメモリの使用率などをモニタリングできます。また、アラームを設定し、使用率の高い時間に対応するための自動アクションを起動させることもできます。例えば、ドメインコントローラーの CPU 使用率が 70% を超えた場合のアラーム設定し、その発生時に通知を送信するための SNS トピックを作成します。この SNS トピックを使用して、AWS Lambda 関数などの自動化を開始し、Active Directory のドメインコントローラーの数を増やすことができます。

ドメインコントローラーのモニタリングの詳細については、「CloudWatch メトリクスを使用して、ドメインコントローラーを追加するタイミングを決定する」を参照してください。

Amazon CloudWatch には料金がかかります。詳細については、「CloudWatch の請求とコスト」を参照してください。

重要

CloudWatch を使用したドメインコントローラーのパフォーマンスメトリクスは、カナダ西部 (カルガリー) リージョンでは利用できません。

CloudWatch を有効にするには、AWS Managed Microsoft AD の Amazon CloudWatch Logs ログ転送の有効化 を参照してください.

CloudWatch でドメインコントローラーのパフォーマンスメトリクスを検索する

Amazon CloudWatch コンソールでは、特定のサービスのメトリクスは最初に、サービスのネームスペースによってグループ化されます。ユーザーは、その名前空間に従属するメトリクスフィルターを追加できます。次の手順に従って、CloudWatch で AWS Microsoft AD ドメインコントローラーのメトリクスを設定する際に使用する、適切な名前空間と従属メトリクスを特定します。

CloudWatch コンソールでドメインコントローラーのメトリクスを検索するには
  1. AWS Management Console にサインインして、CloudWatch コンソール (https://console.aws.amazon.com/cloudwatch/) を開きます。

  2. ナビゲーションペインで Metrics (メトリクス) を選択します。

  3. メトリクスのリストから、[Directory Service] (ディレクトリサービス) の名前空間を選択し、さらにメトリクスとして [AWS Managed Microsoft AD] を選択します。

CloudWatch コンソールを使用してドメインコントローラーのメトリクスをセットアップする方法については、AWS セキュリティブログの How to automate AWS Managed Microsoft AD scaling based on utilization metrics を参照してください。

CloudWatch メトリクスを使用して、ドメインコントローラーを追加するタイミングを決定する

ドメインコントローラー全体での負荷分散は、Active Directory の耐障害性とパフォーマンスにとって重要です。AWS Managed Microsoft AD でのドメインコントローラーのパフォーマンスを最適化するために、先に CloudWatch の重要なメトリクスをモニタリングして、ベースラインを形成することをお勧めします。このプロセスでは、時間の経過とともに Active Directory を分析し、平均およびピーク時の Active Directory 使用率を特定します。ベースラインを決めた後に、これらのメトリクスを定期的にモニタリングすることで、ドメインコントローラーを Active Directory に追加するタイミングを判断しやすくなります。

次のメトリクスは、定期的なモニタリングには欠かせません。CloudWatch で利用できるドメインコントローラーのメトリクス一覧については、「AWS Managed Microsoft AD パフォーマンスカウンター」を参照してください。

  • ドメインコントローラーに固有のメトリクスには、次のようなものがあります。

    • プロセッサ

    • メモリ

    • 論理ディスク

    • ネットワークインターフェイス

  • AWS Managed Microsoft AD に固有のメトリクスには、次のようなものがあります。

    • LDAP 検索

    • バインド

    • DNS クエリ

    • ディレクトリ読み取り

    • ディレクトリ書き込み

CloudWatch コンソールを使用してドメインコントローラーのメトリクスをセットアップする方法については、AWS セキュリティブログの How to automate AWS Managed Microsoft AD scaling based on utilization metrics を参照してください。CloudWatch でのメトリクスに関する一般的な情報については、「Amazon CloudWatch ユーザーガイド」の「Amazon CloudWatch メトリクスを使用する」を参照してください。

ドメイン コントローラーの計画に関する一般的な情報については、Microsoft のウェブサイトにある「Active Directory ドメインサービスの容量計画」を参照してください。

AWS Managed Microsoft AD パフォーマンスカウンター

次の表は、AWS Managed Microsoft AD でドメインコントローラーとディレクトリのパフォーマンスを追跡するために、Amazon CloudWatch で使用できる全パフォーマンスカウンターの一覧です。

メトリクスカテゴリ メトリクス名
データベース ==> インスタンス (NTDSA) Database Cache % Hit
I/O Database Reads Average Latency
I/O Database Reads/sec
I/O Log Writes Average Latency
DirectoryServices (NTDS) LDAP Bind Time
DRA Pending Replication Operations
DRA Pending Replication Synchronizations
DNS Recursive Queries/sec
Recursive Query Failure/sec
TCP Query Received/sec
Total Query Received/sec
Total Response Sent/sec
UDP Query Received/sec
LogicalDisk Avg。Disk Queue Length
% Free Space
メモリ % Committed Bytes in Use
Long-Term Average Standby Cache Lifetime (s)
ネットワークインターフェイス Bytes Sent/sec
Bytes Received/sec
Current Bandwidth
NTDS ATQ Estimated Queue Delay
ATQ Request Latency
DS Directory Reads/Sec
DS Directory Searches/Sec
DS Directory Writes/Sec
LDAP Client Sessions
LDAP Searches/sec
LDAP Successful Binds/sec
プロセッサ % Processor Time
セキュリティシステム全体の統計 Kerberos Authentications
NTLM Authentications