Migration von Active Directory

Active Directory ist eine typische Identitäts- und Zugriffsverwaltungslösung für viele Unternehmensumgebungen. Die Kopplung von Benutzer DNS - und Maschinenverwaltung macht Active Directory zur idealen Wahl für Microsoft- und Linux-Workloads für die zentralisierte Benutzerauthentifizierung. Wenn Sie Ihre Reise in die Cloud oder in die Cloud planenAWS, stehen Sie vor der Wahl, Active Directory zu erweitern AWS oder einen verwalteten Dienst zu verwenden, um die Verwaltung der Verzeichnisdienst-Infrastruktur auszulagern. Wir empfehlen Ihnen, die Risiken und Vorteile der einzelnen Optionen zu verstehen, wenn Sie sich für den richtigen Ansatz für Ihr Unternehmen entscheiden.

Die richtige Strategie für eine Active Directory-Migration ist eine, die den Bedürfnissen Ihres Unternehmens entspricht und es Ihnen ermöglicht, die Vorteile der AWS Cloud zu nutzen. Dabei müssen nicht nur die Verzeichnisdienste selbst berücksichtigt werden, sondern auch, wie sie mit anderen AWS Diensten interagieren. Darüber hinaus müssen Sie die langfristigen Ziele der Teams berücksichtigen, die Active Directory verwalten.

Zusätzlich zur Active Directory-Migration müssen Sie die Kontostruktur für den Standort von Active Directory festlegen, die Netzwerktopologie Ihrer AWS Konten festlegen und festlegen, welche DNS Integrationen und andere potenzielle AWS Dienste Sie verwenden möchten, für die Active Directory erforderlich ist. Informationen zur Gestaltung Ihrer Kontentopologie und zu anderen Überlegungen zur Migrationsstrategie finden Sie im Abschnitt Bewährte Grundlagen in diesem Handbuch.

Bewerten

Um eine erfolgreiche Migration zu implementieren, ist es wichtig, Ihre bestehende Infrastruktur zu bewerten und die wichtigsten Features zu verstehen, die für Ihre Umgebung erforderlich sind. Es wird empfohlen, die folgenden Bereiche zu überprüfen, bevor Sie sich für die Migration entscheiden:

• Überprüfung des vorhandenen AWS Infrastrukturentwurfs — Folgen Sie den Anweisungen im Abschnitt Windows-Umgebungserkennung in diesem Handbuch und verwenden Sie die Bewertungsmethoden, um die bestehende Active Directory-Infrastruktur zu überprüfen, falls Sie sich nicht bereits über deren Umfang und Infrastrukturanforderungen im Klaren sind. Wir empfehlen, dass Sie die von Microsoft vorgeschriebene Dimensionierung für die Active Directory-Infrastruktur in verwendenAWS. Wenn Sie Ihre Active Directory-Infrastruktur auf erweiternAWS, benötigen Sie möglicherweise nur einen Teil Ihres Active Directory-Authentifizierungsaufwands inAWS. Vermeiden Sie aus diesem Grund eine Überdimensionierung Ihrer Umgebung, es sei denn, Sie verlagern Ihren Active Directory-Footprint vollständig aufAWS. Weitere Informationen finden Sie unter Kapazitätsplanung für Active Directory Domain Services in der Microsoft-Dokumentation.

• Überprüfen des bestehenden On-Premises-Active-Directory-Designs – überprüfen Sie die aktuelle Nutzung Ihres (selbstverwalteten) On-Premises-Active-Directory. Wenn Sie Ihre Active Directory-Umgebung auf erweitern möchtenAWS, empfehlen wir, Active Directory auf mehreren Domänencontrollern auszuführen, AWS auch als Erweiterung Ihrer lokalen Umgebung. Dies entspricht dem AWSWell-Architected Framework für die Planung potenzieller Fehler durch die Bereitstellung von Instances in mehreren Availability Zones.

• Identifizieren von Abhängigkeiten in Anwendungen und Netzwerken – bevor Sie sich für die beste Migrationsstrategie entscheiden, müssen Sie alle Funktionen von Active Directory, die Ihr Unternehmen für die Funktionalität benötigt, vollständig verstehen. Das bedeutet, dass es bei der Wahl zwischen einem verwalteten Dienst oder einem Self-Hosting wichtig ist, die jeweiligen Optionen zu kennen. Beachten Sie bei der Entscheidung, welche Migration für Sie die richtige ist, die folgenden Punkte:

  • Zugriffsanforderungen – die Anforderungen für den Zugriff auf die Steuerung von Active Directory legen den richtigen Migrationspfad für Sie fest. Wenn Sie vollen Zugriff auf die Active Directory-Domänencontroller benötigen, um Agenten aller Art zu installieren, ist AWS Managed Microsoft AD möglicherweise nicht die richtige Lösung für Sie. Untersuchen Sie stattdessen EC2 innerhalb Ihrer AWS Konten eine Erweiterung von Active Directory von Ihren Domain-Controllern auf Amazon.

  • Zeitpläne für die Migration – wenn Sie einen längeren Zeitplan für die Migration und keine klaren Termine für den Abschluss haben, stellen Sie sicher, dass für die Verwaltung von Instances in der Cloud und in On-Premises-Umgebungen Vorkehrungen getroffen wurden. Die Authentifizierung ist eine wichtige Komponente, die für Microsoft-Workloads eingerichtet werden muss, um Verwaltungsprobleme zu vermeiden. Wir empfehlen, dass Sie die Migration von Active Directory zu einem frühen Zeitpunkt Ihrer Migration planen.

• Sicherungsstrategien — Wenn Sie ein vorhandenes Windows-Backup zum Erfassen des Systemstatus von Active Directory-Domänencontrollern verwenden, können Sie Ihre vorhandenen Sicherungsstrategien weiterhin in verwendenAWS. Darüber hinaus AWS bietet es Technologieoptionen, mit denen Sie Ihre Instanzen sichern können. Beispielsweise sind AWSData Lifecycle Manager, AWSBackup und AWSElastic Disaster Recovery unterstützte Technologien für die Sicherung von Active Directory-Domänencontrollern. Um Probleme zu vermeiden, verlassen Sie sich am besten nicht auf die Wiederherstellung von Active Directory. Es wird empfohlen, eine stabile Architektur aufzubauen. Es ist jedoch wichtig, über eine Sicherungsmethode zu verfügen, falls eine Wiederherstellung erforderlich ist.

• Anforderungen an die Notfallwiederherstellung (DR) — Wenn Sie Active Directory auf ein System migrieren, müssen AWS Sie darauf achten, dass es im Notfall ausfallsicher ist. Wenn Sie Ihr vorhandenes Active Directory dorthin verschiebenAWS, können Sie eine sekundäre AWS Region verwenden und die beiden Regionen mithilfe von Transit Gateway verbinden, um die Replikation zu ermöglichen. Dies ist in der Regel die bevorzugte Methode. In einigen Unternehmen gelten unterschiedliche Anforderungen für das Testen von Failover in einer isolierten Umgebung, in der Sie die Konnektivität zwischen dem primären und dem sekundären Standort tagelang unterbrechen, um die Zuverlässigkeit zu testen. Wenn dies eine Anforderung in Ihrem Unternehmen ist, kann es einige Zeit dauern, bis Split-Brain-Probleme in Active Directory behoben sind. Möglicherweise können Sie AWSElastic Disaster Recovery als aktive/passive Implementierung verwenden, bei der Sie Ihren DR-Standort als Failover-Umgebung nutzen und Ihre DR-Strategie routinemäßig isoliert testen müssen. Die Planung der Anforderungen Ihres Unternehmens an das Recovery Time Objective (RTO) und das Recovery Point Objective (RPO) ist ein wichtiger Faktor bei der Bewertung Ihrer Migration zu. AWS Stellen Sie sicher, dass Sie Ihre Anforderungen zusammen mit einem Test- und Failover-Plan definiert haben, um die Implementierung zu validieren.

Mobilisieren

Die richtige Strategie zur Erfüllung Ihrer organisatorischen und betrieblichen Anforderungen ist ein wichtiges Element bei der Migration oder Erweiterung von Active Directory aufAWS. Die Entscheidung, wie Sie die AWS Services integrieren möchten, ist entscheidend für die EinführungAWS. Stellen Sie sicher, dass Sie die Methodenerweiterung von Active Directory oder AWS Managed Microsoft AD wählen, die Ihren Geschäftsanforderungen entspricht. Es gibt einige Funktionen in Diensten wie AmazonRDS, die von der Verwendung von AWS Managed Microsoft AD abhängig sind. Prüfen Sie unbedingt die AWS Servicebeschränkungen, um festzustellen, ob Kompatibilitätseinschränkungen für Active Directory auf Amazon EC2 und AWS Managed Microsoft AD bestehen. Es wird empfohlen, die folgenden Integrationspunkte im Rahmen Ihres Planungsprozesses zu berücksichtigen.

Beachten Sie die folgenden Gründe für die Verwendung von Active Directory inAWS:

• Ermöglichen Sie AWS Anwendungen, mit Active Directory zu arbeiten

• Verwenden Sie Active Directory, um sich bei der AWS Management Console anzumelden

Ermöglichen Sie AWS Anwendungen, mit Active Directory zu arbeiten

Sie können mehrere AWS Anwendungen und Dienste aktivieren, z. B. AWSClient VPN, AWSManagement Console, AWSIAMIdentity Center (Nachfolger von AWS Single Sign-On), Amazon Chime, Amazon Connect, Amazon FSx für Windows File Server, Amazon QuickSight, Amazon RDS for SQL Server (gilt nur für Directory Service), Amazon, Amazon WorkDocs WorkMail, und Amazon, WorkSpaces um Ihr AWS Managed Microsoft AD-Verzeichnis zu verwenden. Wenn Sie eine AWS Anwendung oder einen Dienst in Ihrem Verzeichnis aktivieren, können Ihre Benutzer mit ihren Active Directory-Anmeldeinformationen auf die Anwendung oder den Dienst zugreifen. Sie können vertraute Active Directory-Verwaltungstools verwenden, um Active Directory-Gruppenrichtlinienobjekte (GPOs) anzuwenden, um Ihre Amazon EC2 for Windows- oder Linux-Instances zentral zu verwalten, indem Sie Ihre Instances mit Ihrem AWSverwalteten Microsoft AD-Verzeichnis verbinden.

Ihre Benutzer können sich mit ihren Active-Directory-Anmeldeinformationen bei Ihren Instances anmelden. Dadurch müssen Sie keine individuellen Instance-Anmeldeinformationen verwenden oder private Schlüsseldateien (PEM) verteilen. Dadurch können Sie Benutzern mit Active-Directory-Benutzerverwaltungs-Tools, die Sie bereits verwenden, ganz einfach und unmittelbar Zugriff gewähren oder entziehen.

Verwenden Sie Active Directory, um sich bei der AWS Management Console anzumelden

AWSManaged Microsoft AD ermöglicht es Ihnen, Mitgliedern Ihres Verzeichnisses Zugriff auf die AWS Management Console zu gewähren. Standardmäßig haben Ihre Verzeichnismitglieder keinen Zugriff auf AWS Ressourcen. Sie weisen Ihren Verzeichnismitgliedern AWS Identity and Access Management Zugriffsverwaltungsrollen (IAM) zu, um ihnen Zugriff auf die verschiedenen AWS Dienste und Ressourcen zu gewähren. Die IAM Rolle definiert die Dienste, Ressourcen und Zugriffsebenen, die Ihre Verzeichnismitglieder haben.

Sie können Ihren Benutzern beispielsweise ermöglichen, sich mit ihren Active Directory-Anmeldeinformationen an der AWS Management Console anzumelden. Dazu aktivieren Sie die AWS Management Console als Anwendung in Ihrem Verzeichnis und weisen dann Ihre Active Directory-Benutzer und -Gruppen IAM Rollen zu. Wenn sich Ihre Benutzer bei der AWS Management Console anmelden, übernehmen sie die IAM Rolle der AWS Ressourcenverwaltung. Auf diese Weise können Sie Ihren Benutzern auf einfache Weise Zugriff auf die AWS Management Console gewähren, ohne eine separate SAML Infrastruktur konfigurieren und verwalten zu müssen. Weitere Informationen finden Sie im AWS Sicherheitsblog unter So verbessert die Active Directory-Synchronisierung mit AWS IAM Identity Center die AWS Anwendungserfahrung. Sie können Zugriff auf Benutzerkonten in Ihrem Verzeichnis oder in Ihrem On-Premises-Active Directory gewähren. Auf diese Weise können sich Benutzer mit ihren vorhandenen Anmeldeinformationen und Berechtigungen an der AWS Management Console oder über die AWS Befehlszeilenschnittstelle (AWSCLI) anmelden, um AWS Ressourcen zu verwalten, indem sie den vorhandenen Benutzerkonten direkt IAM Rollen zuweisen.

Bevor Sie Ihren Verzeichnismitgliedern Konsolenzugriff gewähren können, muss Ihr Verzeichnis über einen Zugriff URL verfügen. Weitere Informationen zum Anzeigen von Verzeichnisdetails und zum Erlangen Ihres Zugriffs URL finden Sie unter Verzeichnisinformationen anzeigen im AWS Directory Service Administration Guide. Weitere Informationen zum Erstellen eines Zugriffs URL finden Sie unter Erstellen eines Zugriffs URL im AWS Directory Service Administration Guide. Weitere Informationen zum Erstellen und Zuweisen von IAM Rollen zu Ihren Verzeichnismitgliedern finden Sie unter Gewähren von Benutzern und Gruppen Zugriff auf AWS Ressourcen im AWS Directory Service Administration Guide.

Ziehen Sie die folgenden Migrationsoptionen für Active Directory in Betracht:

• Active Directory erweitern

• Migrieren Sie zu AWS Managed Microsoft AD

• Verwenden Sie eine Vertrauensstellung, um Active Directory mit AWS Managed Microsoft AD zu verbinden

• Integrieren Sie Active Directory DNS in Amazon Route 53

Active Directory erweitern

Wenn Sie bereits über eine Active Directory-Infrastruktur verfügen und diese bei der Migration von Active Directory-fähigen Workloads in die AWS Cloud verwenden möchten, kann AWS Managed Microsoft AD helfen. Sie können Trusts verwenden, um AWS Managed Microsoft AD mit Ihrem vorhandenen Active Directory zu verbinden. Das bedeutet, dass Ihre Benutzer mit ihren lokalen Active Directory-Anmeldeinformationen auf Active Directory-fähige AWS Anwendungen und Anwendungen zugreifen können, ohne dass Sie Benutzer, Gruppen oder Kennwörter synchronisieren müssen. Ihre Benutzer können sich beispielsweise bei der AWS Management Console anmelden und WorkSpaces dabei ihre vorhandenen Active Directory-Benutzernamen und -Kennwörter verwenden. Wenn Sie Active Directory-fähige Anwendungen verwenden, z. B. SharePoint mit AWS Managed Microsoft AD, können Ihre angemeldeten Windows-Benutzer außerdem auf diese Anwendungen zugreifen, ohne die Anmeldeinformationen erneut eingeben zu müssen.

Zusätzlich zur Verwendung einer Vertrauensstellung können Sie Active Directory erweitern, indem Sie Active Directory so bereitstellen, dass es auf Instanzen in ausgeführt wird. EC2 AWS Sie können dies selbst tun oder mit uns zusammenarbeiten AWS, um Sie bei dem Prozess zu unterstützen. Wir empfehlen, dass Sie mindestens zwei Domänencontroller in verschiedenen Availability Zones bereitstellen, wenn Sie Ihr Active Directory auf erweiternAWS. Je nach Anzahl der Benutzer und Computer müssen Sie möglicherweise mehr als zwei Domänencontroller bereitstellen. Aus Gründen der Ausfallsicherheit empfehlen wir jedoch mindestens zwei. AWS Sie können auch Ihre lokale Active Directory-Domäne migrieren, AWS um die betriebliche Belastung Ihrer Active Directory-Infrastruktur zu vermeiden, indem Sie das Active Directory Migration Toolkit (ADMT) und den Password Export Server (PES) für die Migration verwenden. Sie können Active Directory auch mit dem Active Directory-Startassistenten bereitstellenAWS.

Migrieren Sie zu AWS Managed Microsoft AD

Sie können zwei Mechanismen für die Verwendung von Active Directory in anwendenAWS. Eine Methode besteht darin, AWS Managed Microsoft AD zu verwenden, um Ihre Active Directory-Objekte zu migrierenAWS. Dazu gehören u. a. Benutzer, Computer, und Gruppenrichtlinien. Der zweite Mechanismus ist ein manueller Ansatz, bei dem Sie alle Benutzer und Objekte exportieren und dann mithilfe des Active-Directory-Migrationstools manuell Benutzer und Objekte importieren.

Es gibt noch weitere Gründe für den Umstieg auf AWS Managed Microsoft Active Directory:

• AWSManaged Microsoft AD ist eine tatsächliche Microsoft Active Directory-Domäne, mit der Sie herkömmliche Active Directory-fähige Workloads wie Microsoft Remote Desktop Licensing Manager SharePoint, Microsoft und Microsoft SQL Server Always On in der Cloud ausführen können. AWS

• AWSManaged Microsoft AD hilft Ihnen dabei, die Sicherheit von Active Directory-Integrated zu vereinfachen und zu verbessern. NETAnwendungen mithilfe von verwalteten Gruppendienstkonten (gMSAs) und eingeschränkter Kerberos-Delegierung (). KCD Weitere Informationen finden Sie unter Vereinfachen der Migration und Verbesserung der Sicherheit von Active Directory — Integrated. NETAnwendungen mithilfe von AWS Microsoft AD in der AWS Dokumentation.

Sie können AWS Managed Microsoft AD für mehrere AWS Konten gemeinsam nutzen. Auf diese Weise können Sie AWS Dienste wie Amazon verwaltenEC2, ohne für jedes Konto und jede Amazon Virtual Private Cloud (AmazonVPC) ein Verzeichnis betreiben zu müssen. Sie können Ihr Verzeichnis von jedem AWS Konto und von jedem Amazon VPC innerhalb einer AWS Region aus verwenden. Diese Funktion macht es einfacher und kostengünstiger, verzeichnisabhängige Workloads mit einem einzigen Verzeichnis für alle Konten und Konten zu verwalten. VPCs Beispielsweise können Sie jetzt Ihre Microsoft-Workloads, die in EC2 Instances über mehrere Konten und Amazon hinweg bereitgestellt werden, einfach verwalten, VPCs indem Sie ein einziges AWS verwaltetes Microsoft AD-Verzeichnis verwenden. Wenn Sie Ihr AWS verwaltetes Microsoft AD-Verzeichnis mit einem anderen AWS Konto teilen, können Sie die EC2 Amazon-Konsole oder den AWSSystems Manager verwenden, um Ihre Instances von jedem Amazon VPC innerhalb des Kontos und der AWS Region aus nahtlos zu verbinden.

Sie können Ihre verzeichnissensitiven Workloads schnell auf EC2 Instances bereitstellen, indem Sie Ihre Instances nicht mehr manuell mit einer Domain verbinden oder Verzeichnisse in jedem Konto und bei Amazon bereitstellen müssen. VPC Weitere Informationen finden Sie unter Freigeben Ihres Verzeichnisses im AWS Directory Service Administration Guide. Beachten Sie, dass die gemeinsame Nutzung einer AWS verwalteten Microsoft AD-Umgebung mit Kosten verbunden ist. Sie können mit der AWS Managed Microsoft AD-Umgebung von anderen Netzwerken oder Konten aus kommunizieren, indem Sie einen VPC Amazon-Peer oder einen Transit Gateway Gateway-Peer verwenden, sodass eine gemeinsame Nutzung möglicherweise nicht erforderlich ist. Wenn Sie beabsichtigen, das Verzeichnis mit den folgenden Diensten zu verwenden, müssen Sie die Domain gemeinsam nutzen: Amazon Aurora MySQL, Amazon Aurora PostgreSQL, AmazonFSx, Amazon RDS for MariaDB, Amazon RDS for MySQL, Amazon RDS for Oracle, Amazon for Postgre und Amazon RDS for SQL Server. RDS SQL

Verwenden Sie eine Vertrauensstellung mit AWS Managed Microsoft AD

Um Benutzern aus einem vorhandenen Verzeichnis Zugriff auf AWS Ressourcen zu gewähren, können Sie eine Vertrauensstellung mit Ihrer AWS Managed Microsoft AD-Implementierung verwenden. Es ist auch möglich, Vertrauensstellungen zwischen AWS verwalteten Microsoft AD-Umgebungen herzustellen. Weitere Informationen finden Sie im Beitrag Alles, was Sie über Vertrauensstellungen mit AWS verwaltetem Microsoft AD wissen wollten, im AWS Sicherheitsblog.

Integrieren Sie Active Directory DNS in Amazon Route 53

Wenn Sie zu migrierenAWS, können Sie es DNS in Ihre Umgebung integrieren, indem Sie Route 53 53-Resolver verwenden, um den Zugriff auf Ihre Server zu ermöglichen (indem Sie deren DNS Namen verwenden). Wir empfehlen, dafür Route 53 53-Resolver-Endpunkte zu verwenden, anstatt DHCP Optionssätze zu ändern. Dies ist ein zentralisierterer Ansatz für die Verwaltung Ihrer DNS Konfiguration als das Ändern von DHCP Optionssätzen. Darüber hinaus können Sie eine Vielzahl von Resolver-Regeln nutzen. Weitere Informationen finden Sie im Beitrag Integrieren der DNS Lösung Ihres Verzeichnisdienstes mit Amazon Route 53 Resolvers im Networking & Content Delivery Blog und unter Einrichtung der DNS Lösung für hybride Netzwerke in einer AWS Umgebung mit mehreren Konten in der Dokumentation AWS Prescriptive Guidance.

Migrieren

Wenn Sie mit der Migration zu beginnen, empfehlen wir IhnenAWS, die Konfiguration und die Tooling-Optionen in Betracht zu ziehen, die Ihnen bei der Migration helfen. Außerdem ist wichtig, langfristige Sicherheits- und Betriebsaspekte Ihrer Umgebung zu berücksichtigen.

Berücksichtigen Sie dabei die folgenden Optionen:

• Cloudnative Security

• Tools für die Migration von Active Directory zu AWS

Cloudnative Security

• Sicherheitsgruppenkonfigurationen für Active Directory-Controller — Wenn Sie AWS Managed Microsoft AD verwenden, verfügen die Domänencontroller über eine VPC Sicherheitskonfiguration für eingeschränkten Zugriff auf die Domänencontroller. Möglicherweise müssen Sie die Sicherheitsgruppenregeln ändern, um den Zugriff für einige potenzielle Anwendungsfälle zu ermöglichen. Weitere Informationen zur Konfiguration von Sicherheitsgruppen finden Sie unter Verbessern Sie Ihre AWS verwaltete Microsoft AD-Netzwerksicherheitskonfiguration im AWS Directory Service Administration Guide. Es wird empfohlen, Benutzern nicht zu gestatten, diese Gruppen zu ändern oder sie für andere AWS Dienste zu verwenden. Wenn Sie anderen Benutzern erlauben, sie zu verwenden, kann dies zu Dienstunterbrechungen in Ihrer Active-Directory-Umgebung führen, wenn die Benutzer sie so ändern, dass die erforderliche Kommunikation blockiert wird.

• Integration mit Amazon CloudWatch Logs für Active Directory-Ereignisprotokolle — Wenn Sie AWS Managed Microsoft AD ausführen oder ein selbstverwaltetes Active Directory verwenden, können Sie Amazon CloudWatch Logs nutzen, um Ihre Active Directory-Protokollierung zu zentralisieren. Sie können CloudWatch Protokolle verwenden, um Authentifizierungs-, Sicherheits- und andere Protokolle zu kopieren. CloudWatch Dies gibt Ihnen eine einfache Möglichkeit, Protokolle an einem Ort zu durchsuchen, und es kann Ihnen helfen, einige Compliance-Anforderungen zu erfüllen. Wir empfehlen die Integration mit CloudWatch Logs, da Sie so besser auf future Vorfälle in Ihrer Umgebung reagieren können. Weitere Informationen finden Sie unter Enabling Amazon CloudWatch Logs for AWS Managed Active Directory im AWS Directory Service Administration Guide und Amazon CloudWatch Logs for Windows Event Logs im AWS Knowledge Center.

Tools für die Migration von Active Directory zu AWS

Wir empfehlen, dass Sie das Active Directory-Migrationstool (ADMT) und den Password Export Server (PES) verwenden, um Ihre Migration durchzuführen. Auf diese Weise können Sie Benutzer und Computer problemlos von einer Domain in eine andere verschieben. Beachten Sie die folgenden Überlegungen, wenn Sie eine verwaltete Active Directory-Domäne verwenden PES oder von einer zu einer anderen migrieren:

• Active Directory-Migrationstool (ADMT) für Benutzer, Gruppen und Computer — Sie können es verwenden, ADMTum Benutzer von selbstverwaltetem Active Directory zu AWS Managed Microsoft AD zu migrieren. Ein wichtiger Aspekt ist der Zeitplan für die Migration und die Bedeutung des Security Identifier (SID) -Verlaufs. SIDDer Verlauf wird während der Migration nicht übertragen. Wenn die Unterstützung von SID History dringend erforderlich ist, sollten Sie erwägen, EC2 stattdessen selbstverwaltetes Active Directory auf Amazon zu verwenden, ADMT damit Sie den SID Verlauf verwalten können.

• Password Export Server (PES) — PES kann verwendet werden, um Passwörter in, aber nicht aus AWS Managed Microsoft AD zu migrieren. Informationen zum Migrieren von Benutzern und Kennwörtern aus Ihrem Verzeichnis finden Sie unter So migrieren Sie Ihre lokale Domäne zu AWS Managed Microsoft AD ADMT im AWS Security Blog und Password Export Server Version 3.1 (x64) aus der Microsoft-Dokumentation.

• LDIF— LDAP Data Interchange Format (LDIF) ist ein Dateiformat, das verwendet wird, um das Schema eines AWS verwalteten Microsoft AD-Verzeichnisses zu erweitern. LDIFDateien enthalten die erforderlichen Informationen, um dem Verzeichnis neue Objekte und Attribute hinzuzufügen. Dateien müssen den LDAP Syntaxstandards entsprechen und gültige Objektdefinitionen für jedes Objekt enthalten, das durch die Dateien hinzugefügt wird. Nachdem Sie die LDIF Datei erstellt haben, müssen Sie sie in das Verzeichnis hochladen, um das Schema zu erweitern. Weitere Informationen zur Verwendung von LDIF Dateien zur Erweiterung des Schemas eines AWS verwalteten Microsoft AD-Verzeichnisses finden Sie unter Extending the schema of AWS Managed AD im AWS Directory Service Administration Guide.

• CSVDE— In einigen Fällen müssen Sie möglicherweise Benutzer in ein Verzeichnis exportieren und importieren, ohne ein vertrauenswürdiges Verzeichnis zu erstellen und zu verwendenADMT. Auch wenn dies nicht ideal ist, können Sie Csvde (ein Befehlszeilentool) verwenden, um Active-Directory-Benutzer von einer Domain in eine andere zu migrieren. Um Csvde verwenden zu können, müssen Sie eine CSV Datei erstellen, die Benutzerinformationen wie Benutzernamen, Passwörter und Gruppenzugehörigkeit enthält. Anschließend können Sie den Befehl csvde verwenden, um die Benutzer in die neue Domain zu importieren. Sie können diesen Befehl auch verwenden, um bestehende Benutzer aus der Quell-Domain zu exportieren. Dies kann hilfreich sein, wenn Sie von einer anderen Verzeichnisquelle migrieren, z. B. von SAMBA Domain Services zu Microsoft Active Directory. Weitere Informationen finden Sie im AWS Sicherheitsblog unter So migrieren Sie Ihre Microsoft Active Directory-Benutzer zu Simple AD oder AWS Managed Microsoft AD.

Weitere Ressourcen

• Alles, was Sie über Trusts mit AWS Managed Microsoft AD wissen wollten (AWSSecurity Blog)

• So migrieren Sie Ihre lokale Domain mit ADMT (AWSSecurity Blog) zu AWS Managed Microsoft AD

• Active Directory am AWS Immersion Day (AWSWorkshop Studio)