Migration von Active Directory

Active Directory ist eine typische Identitäts- und Zugriffsverwaltungslösung für viele Unternehmensumgebungen. Die Kopplung von Benutzer DNS - und Maschinenverwaltung macht Active Directory zur idealen Wahl für Microsoft- und Linux-Workloads für die zentralisierte Benutzerauthentifizierung. Wenn Sie Ihre Reise in die Cloud oder in die Cloud planen AWS, stehen Sie vor der Wahl, Active Directory zu erweitern AWS oder einen verwalteten Dienst zu verwenden, um die Verwaltung der Verzeichnisdienst-Infrastruktur auszulagern. Wir empfehlen Ihnen, die Risiken und Vorteile der einzelnen Optionen zu verstehen, wenn Sie sich für den richtigen Ansatz für Ihr Unternehmen entscheiden.

Die richtige Strategie für eine Active Directory-Migration ist eine, die den Anforderungen Ihres Unternehmens entspricht und es Ihnen ermöglicht, die AWS Cloud Vorteile zu nutzen. Dabei müssen nicht nur die Verzeichnisdienste selbst berücksichtigt werden, sondern auch, wie sie mit anderen interagieren AWS-Services. Darüber hinaus müssen Sie die langfristigen Ziele der Teams berücksichtigen, die Active Directory verwalten.

Zusätzlich zur Active Directory-Migration müssen Sie die Kontostruktur für den Standort von Active Directory festlegen, welche Netzwerktopologie Sie haben und welche DNS Integrationen und andere Möglichkeiten AWS-Services Sie nutzen möchten AWS-Konten, für die Active Directory erforderlich ist. Informationen zum Entwerfen Ihrer Kontentopologie und zu anderen Überlegungen zur Migrationsstrategie finden Sie im Grundlegende Best Practices Abschnitt dieses Handbuchs.

Bewerten

Um eine erfolgreiche Migration zu implementieren, ist es wichtig, Ihre bestehende Infrastruktur zu bewerten und die wichtigsten Funktionen zu verstehen, die für Ihre Umgebung erforderlich sind. Es wird empfohlen, die folgenden Bereiche zu überprüfen, bevor Sie sich für die Migration entscheiden:

• Überprüfen Sie den bestehenden AWS Infrastrukturentwurf — Folgen Sie den Hinweisen im Erkennung der Windows-Umgebung Abschnitt dieses Handbuchs und nutzen Sie die Bewertungsmethoden, um die bestehende Active Directory-Infrastruktur zu überprüfen, sofern Sie sich dessen Platzbedarf und Infrastrukturanforderungen noch nicht bewusst sind. Wir empfehlen, dass Sie die von Microsoft vorgeschriebene Dimensionierung für die Active Directory-Infrastruktur in verwenden AWS. Wenn Sie Ihre Active Directory-Infrastruktur auf erweitern AWS, benötigen Sie möglicherweise nur einen Teil Ihres Active Directory-Authentifizierungsaufwands in AWS. Vermeiden Sie aus diesem Grund eine Überdimensionierung Ihrer Umgebung, es sei denn, Sie verlagern Ihren Active Directory-Footprint vollständig auf AWS. Weitere Informationen finden Sie unter Kapazitätsplanung für Active Directory Domain Services in der Microsoft-Dokumentation.

• Überprüfen des bestehenden On-Premises-Active-Directory-Designs – überprüfen Sie die aktuelle Nutzung Ihres (selbstverwalteten) On-Premises-Active-Directory. Wenn Sie Ihre Active Directory-Umgebung auf erweitern möchten AWS, empfehlen wir, Active Directory auf mehreren Domänencontrollern auszuführen, AWS auch als Erweiterung Ihrer lokalen Umgebung. Dies entspricht dem AWS Well-Architected Framework für die Planung potenzieller Fehler durch die Bereitstellung von Instances in mehreren Availability Zones.

• Identifizieren von Abhängigkeiten in Anwendungen und Netzwerken – bevor Sie sich für die beste Migrationsstrategie entscheiden, müssen Sie alle Funktionen von Active Directory, die Ihr Unternehmen für die Funktionalität benötigt, vollständig verstehen. Das bedeutet, dass es bei der Wahl zwischen einem Managed Service oder Self-Hosting wichtig ist, die jeweiligen Optionen zu kennen. Beachten Sie bei der Entscheidung, welche Migration für Sie die richtige ist, die folgenden Punkte:

  • Zugriffsanforderungen – die Anforderungen für den Zugriff auf die Steuerung von Active Directory legen den richtigen Migrationspfad für Sie fest. Wenn Sie vollen Zugriff auf die Active Directory-Domänencontroller benötigen, um Agents aller Art zu installieren, ist dies AWS Managed Microsoft AD möglicherweise nicht die richtige Lösung für Sie. Untersuchen Sie stattdessen eine Erweiterung von Active Directory von Ihren Domain-Controllern auf Amazon Elastic Compute Cloud (AmazonEC2) in Ihrem AWS-Konten.

  • Zeitpläne für die Migration – wenn Sie einen längeren Zeitplan für die Migration und keine klaren Termine für den Abschluss haben, stellen Sie sicher, dass für die Verwaltung von Instances in der Cloud und in On-Premises-Umgebungen Vorkehrungen getroffen wurden. Die Authentifizierung ist eine wichtige Komponente, die für Microsoft-Workloads eingerichtet werden muss, um Verwaltungsprobleme zu vermeiden. Wir empfehlen, dass Sie die Migration von Active Directory zu einem frühen Zeitpunkt Ihrer Migration planen.

• Sicherungsstrategien — Wenn Sie ein vorhandenes Windows-Backup zum Erfassen des Systemstatus von Active Directory-Domänencontrollern verwenden, können Sie Ihre vorhandenen Sicherungsstrategien weiterhin in verwenden AWS. Darüber hinaus AWS bietet es Technologieoptionen, mit denen Sie Ihre Instanzen sichern können. Amazon Data Lifecycle Manager und AWS Elastic Disaster Recoverysind beispielsweise unterstützte Technologien für die Sicherung von Active Directory-Domänencontrollern. AWS Backup Um Probleme zu vermeiden, sollten Sie sich am besten nicht auf die Wiederherstellung von Active Directory verlassen. Es wird empfohlen, eine stabile Architektur aufzubauen. Es ist jedoch wichtig, über eine Sicherungsmethode zu verfügen, falls eine Wiederherstellung erforderlich ist.

• Anforderungen an die Notfallwiederherstellung (DR) — Wenn Sie Active Directory zu migrieren, müssen AWS Sie bei der Planung darauf achten, dass die Ausfallsicherheit im Katastrophenfall gewährleistet ist. Wenn Sie Ihr vorhandenes Active Directory nach verlagern AWS, können Sie ein sekundäres Verzeichnis verwenden AWS-Region und die beiden Regionen miteinander verbinden, um die Replikation AWS Transit Gateway zu ermöglichen. Dies ist in der Regel die bevorzugte Methode. In einigen Unternehmen gelten unterschiedliche Anforderungen für das Testen von Failover in einer isolierten Umgebung, in der Sie die Konnektivität zwischen dem primären und dem sekundären Standort tagelang unterbrechen, um die Zuverlässigkeit zu testen. Wenn dies eine Anforderung in Ihrem Unternehmen ist, kann es einige Zeit dauern, bis Split-Brain-Probleme in Active Directory behoben sind. Möglicherweise können Sie es AWS Elastic Disaster Recoveryals aktive/passive Implementierung verwenden, bei der Sie Ihren DR-Standort als Failover-Umgebung nutzen und Ihre DR-Strategie routinemäßig isoliert testen müssen. Die Planung der Anforderungen Ihres Unternehmens an das Recovery Time Objective (RTO) und das Recovery Point Objective (RPO) ist ein wichtiger Faktor bei der Bewertung Ihrer Migration zu. AWS Stellen Sie sicher, dass Sie Ihre Anforderungen zusammen mit einem Test- und Failover-Plan definiert haben, um die Implementierung zu validieren.

Mobilisieren

Die richtige Strategie zur Erfüllung Ihrer organisatorischen und betrieblichen Anforderungen ist ein wichtiges Element bei der Migration oder Erweiterung von Active Directory auf AWS. Die Wahl der Art der Integration AWS-Services ist entscheidend für die Einführung AWS. Achten Sie darauf, die Methodenerweiterung von Active Directory zu wählen AWS Managed Microsoft AD , die Ihren Geschäftsanforderungen entspricht. Es gibt einige Funktionen in Diensten wie Amazon Relational Database Service (AmazonRDS), die von der Verwendung AWS Managed Microsoft AD abhängig sind. Prüfen Sie unbedingt die AWS-Service Einschränkungen, um festzustellen, ob es Kompatibilitätsbeschränkungen für Active Directory auf Amazon EC2 und gibt AWS Managed Microsoft AD. Es wird empfohlen, die folgenden Integrationspunkte im Rahmen Ihres Planungsprozesses zu berücksichtigen.

Beachten Sie die folgenden Gründe für die Verwendung von Active Directory in AWS:

• Ermöglichen Sie AWS Anwendungen, mit Active Directory zu arbeiten

• Verwenden Sie Active Directory, um sich bei dem anzumelden AWS Management Console

Ermöglichen Sie AWS Anwendungen die Arbeit mit Active Directory

Sie können mehrere AWS Anwendungen und Dienste wie AWS Client VPN, AWS Management Console, Amazon Chime AWS IAM Identity Center, Amazon Connect, Amazon FSx for Windows File Server, Amazon QuickSight, Amazon RDS for SQL Server (gilt nur für Directory Service), Amazon WorkDocs, Amazon und Amazon WorkMail WorkSpaces für die Verwendung Ihres AWS Managed Microsoft AD Verzeichnisses aktivieren. Wenn Sie eine AWS Anwendung oder einen Dienst in Ihrem Verzeichnis aktivieren, können Ihre Benutzer mit ihren Active Directory-Anmeldeinformationen auf die Anwendung oder den Dienst zugreifen. Sie können vertraute Active Directory-Verwaltungstools verwenden, um Active Directory-Gruppenrichtlinienobjekte (GPOs) anzuwenden, um Ihre Amazon EC2 for Windows- oder Linux-Instances zentral zu verwalten, indem Sie Ihre Instances mit Ihrem AWS Managed Microsoft AD Verzeichnis verbinden.

Ihre Benutzer können sich mit ihren Active-Directory-Anmeldeinformationen bei Ihren Instances anmelden. Dadurch müssen Sie keine individuellen Instance-Anmeldeinformationen verwenden oder private Schlüsseldateien (PEM) verteilen. Dadurch können Sie Benutzern mit Active-Directory-Benutzerverwaltungs-Tools, die Sie bereits verwenden, ganz einfach und unmittelbar Zugriff gewähren oder entziehen.

Verwenden Sie Active Directory, um sich bei der anzumelden AWS Management Console

AWS Managed Microsoft AD ermöglicht es Ihnen, Mitgliedern Ihres Verzeichnisses Zugriff auf die zu gewähren AWS Management Console. Standardmäßig haben Ihre Verzeichnismitglieder keinen Zugriff auf AWS Ressourcen. Sie weisen Ihren Verzeichnismitgliedern Rollen AWS Identity and Access Management (IAM) zu, um ihnen Zugriff auf die verschiedenen Ressourcen AWS-Services zu gewähren. Die IAM Rolle definiert die Dienste, Ressourcen und Zugriffsebenen, die Ihre Verzeichnismitglieder haben.

Sie können Ihren Benutzern beispielsweise ermöglichen, sich AWS Management Console mit ihren Active Directory-Anmeldeinformationen bei der anzumelden. Dazu aktivieren Sie das AWS Management Console als Anwendung in Ihrem Verzeichnis und weisen dann Ihre Active Directory-Benutzer und -Gruppen IAM Rollen zu. Wenn sich Ihre Benutzer bei der anmelden AWS Management Console, übernehmen sie eine IAM Rolle bei der Verwaltung von AWS Ressourcen. Auf diese Weise können Sie Ihren Benutzern auf einfache Weise Zugriff auf die gewähren, AWS Management Console ohne eine separate SAML Infrastruktur konfigurieren und verwalten zu müssen. Weitere Informationen finden Sie im AWS Sicherheitsblog unter So verbessert die AWS IAM Identity Center Active Directory-Synchronisierung das AWS Anwendungserlebnis. Sie können Zugriff auf Benutzerkonten in Ihrem Verzeichnis oder in Ihrem On-Premises-Active Directory gewähren. Auf diese Weise können sich Benutzer mit ihren vorhandenen Anmeldeinformationen und Berechtigungen bei AWS Management Console oder über AWS Command Line Interface (AWS CLI) anmelden, um AWS Ressourcen zu verwalten, indem sie den vorhandenen Benutzerkonten IAM Rollen direkt zuweisen.

Bevor Sie Ihren Verzeichnismitgliedern Konsolenzugriff gewähren können, muss Ihr Verzeichnis über einen Zugriff URL verfügen. Weitere Informationen zum Anzeigen von Verzeichnisdetails und zum Erlangen Ihres Zugriffs URL finden Sie in der AWS Directory Service Dokumentation unter Verzeichnisinformationen anzeigen. Weitere Informationen zum Erstellen eines Zugriffs URL finden Sie URL in der AWS Directory Service Dokumentation unter Zugriff erstellen. Weitere Informationen zum Erstellen und Zuweisen von IAM Rollen zu Ihren Verzeichnismitgliedern finden Sie in der AWS Directory Service Dokumentation unter Benutzern und Gruppen Zugriff auf AWS Ressourcen gewähren.

Ziehen Sie die folgenden Migrationsoptionen für Active Directory in Betracht:

• Active Directory erweitern

• Migrieren Sie zu AWS Managed Microsoft AD

• Verwenden Sie eine Vertrauensstellung, mit der Sie Active Directory verbinden AWS Managed Microsoft AD

• Integrieren Sie Active Directory DNS in Amazon Route 53

Active Directory erweitern

Wenn Sie bereits über eine Active Directory-Infrastruktur verfügen und diese bei der Migration von Active Directory-fähigen Workloads auf die verwenden möchten, kann das AWS Cloud helfen. AWS Managed Microsoft AD Sie können Trusts verwenden, um eine Verbindung zu Ihrem vorhandenen Active Directory AWS Managed Microsoft AD herzustellen. Das bedeutet, dass Ihre Benutzer mit ihren lokalen Active Directory-Anmeldeinformationen auf Active Directory-fähige AWS Anwendungen zugreifen können, ohne dass Sie Benutzer, Gruppen oder Kennwörter synchronisieren müssen. Ihre Benutzer können sich beispielsweise mit ihren vorhandenen Active Directory-Benutzernamen AWS Management Console und WorkSpaces -Kennwörtern bei und anmelden. Wenn Sie Active Directory-fähige Anwendungen wie SharePoint mit verwenden AWS Managed Microsoft AD, können Ihre angemeldeten Windows-Benutzer außerdem auf diese Anwendungen zugreifen, ohne die Anmeldeinformationen erneut eingeben zu müssen.

Zusätzlich zur Verwendung einer Vertrauensstellung können Sie Active Directory erweitern, indem Sie Active Directory so bereitstellen, dass es auf Instanzen in ausgeführt wird. EC2 AWS Sie können dies selbst tun oder mit uns zusammenarbeiten AWS , um Sie bei dem Prozess zu unterstützen. Wir empfehlen, dass Sie mindestens zwei Domänencontroller in verschiedenen Availability Zones bereitstellen, wenn Sie Ihr Active Directory auf erweitern AWS. Je nach Anzahl der Benutzer und Computer müssen Sie möglicherweise mehr als zwei Domänencontroller bereitstellen. Aus Gründen der Ausfallsicherheit empfehlen wir jedoch mindestens zwei. AWS Sie können auch Ihre lokale Active Directory-Domäne migrieren, AWS um die betriebliche Belastung Ihrer Active Directory-Infrastruktur zu vermeiden, indem Sie das Active Directory Migration Toolkit (ADMT) und den Password Export Server (PES) für die Migration verwenden. Sie können Active Directory auch mit dem Active Directory-Startassistenten bereitstellen AWS.

Migrieren Sie zu AWS Managed Microsoft AD

Sie können zwei Mechanismen für die Verwendung von Active Directory in anwenden AWS. Eine Methode besteht darin, Ihre AWS Managed Microsoft AD Active Directory-Objekte zu migrieren AWS. Dazu gehören u. a. Benutzer, Computer, und Gruppenrichtlinien. Der zweite Mechanismus ist ein manueller Ansatz, bei dem Sie alle Benutzer und Objekte exportieren und dann mithilfe des Active-Directory-Migrationstools manuell Benutzer und Objekte importieren.

Es gibt noch weitere Gründe für einen Umstieg auf AWS Managed Microsoft AD:

• AWS Managed Microsoft AD ist eine tatsächliche Microsoft Active Directory-Domäne, mit der Sie herkömmliche Active Directory-fähige Workloads wie Microsoft Remote Desktop Licensing Manager SharePoint, Microsoft und Microsoft SQL Server Always On in der ausführen können. AWS Cloud

• AWS Managed Microsoft AD hilft Ihnen dabei, die Sicherheit von Active Directory-Integrated zu vereinfachen und zu verbessern. NETAnwendungen mithilfe von gruppenverwalteten Dienstkonten (gMSAs) und eingeschränkter Kerberos-Delegierung (). KCD Weitere Informationen finden Sie unter Vereinfachen der Migration und Verbesserung der Sicherheit von Active Directory — Integrated. NETVerwendete Anwendungen AWS Managed Microsoft AD in der Dokumentation. AWS

Sie können für mehrere Personen AWS Managed Microsoft AD gemeinsam genutzt AWS-Konten werden. Auf diese Weise können Sie wie Amazon verwalten AWS-Services EC2, ohne für jedes Konto und jede Amazon Virtual Private Cloud (AmazonVPC) ein Verzeichnis betreiben zu müssen. Sie können Ihr Verzeichnis von jedem AWS-Konto und von jedem Amazon VPC innerhalb eines verwenden AWS-Region. Diese Funktion macht es einfacher und kostengünstiger, verzeichnisabhängige Workloads mit einem einzigen Verzeichnis für alle Konten und zu verwalten. VPCs Beispielsweise können Sie jetzt Ihre Microsoft-Workloads, die in EC2 Instanzen über mehrere Konten hinweg bereitgestellt werden, einfach verwalten, VPCs indem Sie ein einziges AWS Managed Microsoft AD Verzeichnis verwenden. Wenn Sie Ihr AWS Managed Microsoft AD Verzeichnis mit einem anderen teilen AWS-Konto, können Sie die EC2 Amazon-Konsole verwenden oder AWS Systems ManagerIhre Instances von einem beliebigen Amazon VPC innerhalb des Kontos aus nahtlos verbinden und AWS-Region.

Sie können Ihre verzeichnissensitiven Workloads schnell auf EC2 Instances bereitstellen, indem Sie Ihre Instances nicht mehr manuell mit einer Domain verbinden oder Verzeichnisse in jedem Konto und bei Amazon bereitstellen müssen. VPC Weitere Informationen finden Sie in der Dokumentation unter Verzeichnis teilen. AWS Directory Service Denken Sie daran, dass die gemeinsame Nutzung einer AWS Managed Microsoft AD Umgebung mit Kosten verbunden ist. Sie können von anderen Netzwerken oder Konten aus mit der AWS Managed Microsoft AD Umgebung kommunizieren, indem Sie einen VPC Amazon-Peer oder einen Transit Gateway Gateway-Peer verwenden, sodass eine gemeinsame Nutzung möglicherweise nicht erforderlich ist. Wenn Sie beabsichtigen, das Verzeichnis mit den folgenden Diensten zu verwenden, müssen Sie die Domain gemeinsam nutzen: Amazon Aurora MySQL, Amazon Aurora PostgreSQL, AmazonFSx, Amazon RDS for MariaDB, Amazon RDS for MySQL, Amazon RDS for Oracle, Amazon for Postgre und Amazon RDS for SQL Server. RDS SQL

Verwenden Sie eine Vertrauensstellung mit AWS Managed Microsoft AD

Um Benutzern aus einem vorhandenen Verzeichnis Zugriff auf AWS Ressourcen zu gewähren, können Sie bei Ihrer AWS Managed Microsoft AD Implementierung eine Vertrauensstellung verwenden. Es ist auch möglich, Vertrauensstellungen zwischen AWS Managed Microsoft AD Umgebungen herzustellen. Weitere Informationen finden Sie im AWS Managed Microsoft AD Beitrag Alles, was Sie über Vertrauensstellungen wissen wollten, im AWS Sicherheits-Blog.

Integrieren Sie Active Directory DNS in Amazon Route 53

Wenn Sie zu migrieren AWS, können Sie es DNS in Ihre Umgebung integrieren, indem Sie Amazon Route 53 Resolver den Zugriff auf Ihre Server ermöglichen (indem Sie deren DNS Namen verwenden). Wir empfehlen, hierfür Route 53 Resolver-Endpunkte zu verwenden, anstatt DHCP Optionssätze zu ändern. Dies ist ein zentralisierterer Ansatz für die Verwaltung Ihrer DNS Konfiguration als das Ändern von DHCP Optionssätzen. Darüber hinaus können Sie eine Vielzahl von Resolver-Regeln nutzen. Weitere Informationen finden Sie im Beitrag Integrieren der DNS Lösung Ihres Verzeichnisdienstes mit Amazon Route 53 Resolvers im Networking & Content Delivery Blog und unter Einrichtung der DNS Lösung für hybride Netzwerke in einer AWS Umgebung mit mehreren Konten in der Dokumentation AWS Prescriptive Guidance.

Migrieren

Wenn Sie mit der Migration zu beginnen, empfehlen wir Ihnen AWS, die Konfiguration und die Tooling-Optionen in Betracht zu ziehen, die Ihnen bei der Migration helfen. Es ist auch wichtig, langfristige Sicherheits- und Betriebsaspekte Ihrer Umgebung zu berücksichtigen.

Berücksichtigen Sie dabei die folgenden Optionen:

• Cloudnative Security

• Tools für die Migration von Active Directory zu AWS

Cloudnative Security

• Sicherheitsgruppenkonfigurationen für Active Directory-Controller — Wenn Sie diese verwenden AWS Managed Microsoft AD, verfügen die Domänencontroller über eine VPC Sicherheitskonfiguration für eingeschränkten Zugriff auf die Domänencontroller. Möglicherweise müssen Sie die Sicherheitsgruppenregeln ändern, um den Zugriff für einige potenzielle Anwendungsfälle zu ermöglichen. Weitere Informationen zur Konfiguration von Sicherheitsgruppen finden Sie in der AWS Directory Service Dokumentation unter Verbessern der AWS Managed Microsoft AD Netzwerksicherheitskonfiguration. Es wird empfohlen, Benutzern nicht zu gestatten, diese Gruppen zu ändern oder sie für andere zu verwenden AWS-Services. Wenn Sie anderen Benutzern erlauben, sie zu verwenden, kann dies zu Dienstunterbrechungen in Ihrer Active-Directory-Umgebung führen, wenn die Benutzer sie so ändern, dass die erforderliche Kommunikation blockiert wird.

• Integration mit Amazon CloudWatch Logs für Active Directory-Ereignisprotokolle — Wenn Sie ein selbstverwaltetes Active Directory ausführen AWS Managed Microsoft AD oder verwenden, können Sie Amazon CloudWatch Logs nutzen, um Ihre Active Directory-Protokollierung zu zentralisieren. Sie können CloudWatch Logs verwenden, um Authentifizierungs-, Sicherheits- und andere Protokolle zu kopieren. CloudWatch Dies gibt Ihnen eine einfache Möglichkeit, Protokolle an einem Ort zu durchsuchen, und es kann Ihnen helfen, einige Compliance-Anforderungen zu erfüllen. Wir empfehlen die Integration mit CloudWatch Logs, da Sie so besser auf future Vorfälle in Ihrer Umgebung reagieren können. Weitere Informationen finden Sie AWS Managed Microsoft AD in der AWS Directory Service Dokumentation unter Amazon CloudWatch Logs aktivieren für und unter Amazon CloudWatch Logs for Windows Event Logs im AWS Knowledge Center.

Tools für die Migration von Active Directory zu AWS

Wir empfehlen, dass Sie das Active Directory-Migrationstool (ADMT) und den Password Export Server (PES) verwenden, um Ihre Migration durchzuführen. Auf diese Weise können Sie Benutzer und Computer problemlos von einer Domain in eine andere verschieben. Beachten Sie die folgenden Überlegungen, wenn Sie eine verwaltete Active Directory-Domäne verwenden PES oder von einer zu einer anderen migrieren:

• Active Directory-Migrationstool (ADMT) für Benutzer, Gruppen und Computer — Sie können es verwenden, ADMTum Benutzer von selbstverwaltetem Active Directory zu zu AWS Managed Microsoft AD migrieren. Ein wichtiger Aspekt ist der Zeitplan für die Migration und die Bedeutung des Security Identifier (SID) -Verlaufs. SIDDer Verlauf wird während der Migration nicht übertragen. Wenn die Unterstützung von SID History dringend erforderlich ist, sollten Sie erwägen, EC2 stattdessen selbstverwaltetes Active Directory auf Amazon zu verwenden, ADMT damit Sie den SID Verlauf verwalten können.

• Passwort-Export-Server (PES) — PES kann verwendet werden, um Passwörter in, aber nicht aus diesem zu migrieren. AWS Managed Microsoft AD Informationen zur Migration von Benutzern und Kennwörtern aus Ihrem Verzeichnis finden Sie in der Microsoft-Dokumentation unter So migrieren Sie Ihre lokale Domäne auf AWS Managed Microsoft AD Using ADMT im AWS Security Blog und Password Export Server Version 3.1 (x64).

• LDIF— Das LDAP Data Interchange Format (LDIF) ist ein Dateiformat, das zur Erweiterung des Schemas eines AWS Managed Microsoft AD Verzeichnisses verwendet wird. LDIFDateien enthalten die notwendigen Informationen, um dem Verzeichnis neue Objekte und Attribute hinzuzufügen. Dateien müssen den LDAP Syntaxstandards entsprechen und gültige Objektdefinitionen für jedes Objekt enthalten, das durch die Dateien hinzugefügt wird. Nachdem Sie die LDIF Datei erstellt haben, müssen Sie sie in das Verzeichnis hochladen, um das Schema zu erweitern. Weitere Informationen zur Verwendung von LDIF Dateien zur Erweiterung des Schemas eines AWS Managed Microsoft AD Verzeichnisses finden Sie AWS Managed Microsoft AD in der AWS Directory Service Dokumentation unter Extending the schema of.

• CSVDE— In einigen Fällen müssen Sie möglicherweise Benutzer in ein Verzeichnis exportieren und importieren, ohne ein vertrauenswürdiges Verzeichnis zu erstellen und zu verwendenADMT. Auch wenn dies nicht ideal ist, können Sie Csvde (ein Befehlszeilentool) verwenden, um Active-Directory-Benutzer von einer Domain in eine andere zu migrieren. Um Csvde verwenden zu können, müssen Sie eine CSV Datei erstellen, die Benutzerinformationen wie Benutzernamen, Passwörter und Gruppenzugehörigkeit enthält. Anschließend können Sie den csvde Befehl verwenden, um die Benutzer in die neue Domäne zu importieren. Sie können diesen Befehl auch verwenden, um bestehende Benutzer aus der Quell-Domain zu exportieren. Dies kann hilfreich sein, wenn Sie von einer anderen Verzeichnisquelle migrieren, z. B. von SAMBA Domain Services zu Microsoft Active Directory. Weitere Informationen finden Sie unter So migrieren Sie Ihre Microsoft Active Directory-Benutzer zu Simple AD oder AWS Managed Microsoft AD im AWS Sicherheitsblog.

Weitere Ressourcen

• Alles, was Sie über Trusts mit wissen wollten AWS Managed Microsoft AD (AWS Security Blog)

• So migrieren Sie Ihre On-Premises-Domain zu AWS Managed Microsoft AD Using ADMT (AWS Security Blog)

• STEP2: DEPLOYING ACTIVE DIRECTORY (AWS Windows-Workshop)