Migración de Active Directory - AWS Guía prescriptiva

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Migración de Active Directory

Active Directory es una solución típica de administración de identidades y accesos para muchos entornos corporativos. La combinación de DNS la administración de usuarios y máquinas convierte a Active Directory en la opción ideal para las cargas de trabajo de Microsoft y Linux para la autenticación centralizada de los usuarios. Cuando planifica su transición a la nube o hacia ella AWS, se enfrenta a la opción de ampliar Active Directory AWS o utilizar un servicio gestionado para reducir la carga de administración de la infraestructura de servicios de directorio. Le recomendamos que comprenda los riesgos y las ventajas de cada opción a la hora de decidir el enfoque adecuado para su organización.

La estrategia correcta para una migración a Active Directory es aquella que se adapte a las necesidades de su organización y le permita aprovecharlas. Nube de AWS Esto implica tener en cuenta no solo los servicios de directorio en sí mismos, sino también la forma en que interactúan con otros Servicios de AWS. Además, debe tener en cuenta los objetivos a largo plazo de los equipos que administran Active Directory.

Además de la migración a Active Directory, debe decidir la estructura de cuentas en la que se ubicará Active Directory, la topología de su Cuentas de AWS red y qué DNS integraciones y otras posibilidades Servicios de AWS tiene previsto utilizar que requieran Active Directory. Para obtener información sobre el diseño de la topología de su cuenta y otras consideraciones sobre la estrategia de migración, consulte la Mejores prácticas fundamentales sección de esta guía.

Evaluación

Para implementar una migración exitosa, es importante evaluar la infraestructura existente y comprender las características clave necesarias para su entorno. Le recomendamos que revise las siguientes áreas antes de elegir cómo migrar:

  • Revise el diseño de la AWS infraestructura existente: siga las instrucciones de la Descubrimiento del entorno Windows sección de esta guía y utilice los métodos de evaluación para revisar la infraestructura de Active Directory existente si aún no conoce su tamaño y sus requisitos de infraestructura. Le recomendamos que utilice el tamaño prescrito por Microsoft para la infraestructura de Active Directory en AWS. Si va a ampliar su infraestructura de Active Directory a AWS, es posible que solo necesite una parte del espacio de autenticación de Active Directory. AWS Por este motivo, evite sobredimensionar su entorno, a menos que esté trasladando completamente su espacio de Active Directory a AWS otro. Para obtener más información, consulte Planeamiento de capacidad para Active Directory Domain Services en la documentación de Microsoft.

  • Revise el diseño existente de Active Directory en las instalaciones: revise el uso actual de Active Directory en las instalaciones (autoadministrado). Si va a ampliar su entorno de Active Directory a AWS, le recomendamos ejecutar Active Directory en varios controladores de dominio, AWS incluso como una extensión de su entorno local. Esto se ajusta al marco de AWS Well-Architected que consiste en diseñar para posibles errores mediante la implementación de instancias en varias zonas de disponibilidad.

  • Identifique las dependencias en las aplicaciones y las redes: antes de elegir la mejor estrategia de migración, debe comprender perfectamente todas las características de Active Directory que su organización necesita para funcionar correctamente. Esto significa que, a la hora de elegir entre un servicio gestionado o un alojamiento propio, es importante entender las opciones de cada uno. Tenga en cuenta los siguientes aspectos al decidir qué migración es adecuada para usted:

    • Requisitos de acceso: los requisitos de acceso para controlar Active Directory estipularán la ruta de migración adecuada para usted. Si necesita acceso total a los controladores de dominio de Active Directory para instalar cualquier tipo de agente para cumplir con las normas de conformidad, AWS Managed Microsoft AD puede que no sea la solución adecuada para usted. En su lugar, investigue una extensión de Active Directory desde sus controladores de dominio hasta Amazon Elastic Compute Cloud (AmazonEC2) dentro de su Cuentas de AWS.

    • Plazos de migración: si tiene un plazo de migración ampliado y no tiene fechas claras de finalización, compruebe que cuenta con los requisitos necesarios para la administración de las instancias en la nube y en entornos en las instalaciones. La autenticación es un componente clave que se debe implementar en las cargas de trabajo de Microsoft para evitar problemas de administración. Le recomendamos que planee migrar Active Directory al principio de la migración.

  • Estrategias de copia de seguridad: si utiliza una copia de seguridad de Windows existente para capturar el estado de los sistemas de los controladores de dominio de Active Directory, puede seguir utilizando sus estrategias de copia de seguridad existentes en AWS. Además, AWS ofrece opciones tecnológicas que le ayudan a realizar copias de seguridad de sus instancias. Por ejemplo, Amazon Data Lifecycle Manager y AWS Elastic Disaster Recoveryson tecnologías compatibles para realizar copias de seguridad de los controladores de dominio de Active Directory. AWS Backup Para evitar problemas, es mejor no confiar en la restauración de Active Directory. La mejor práctica recomendada es crear una arquitectura resiliente, pero es fundamental contar con un método de respaldo si se requiere una recuperación.

  • Necesidades de recuperación ante desastres (DR): si va a migrar Active Directory a Active Directory, AWS debe diseñarlo pensando en la resiliencia en caso de que se produzca un desastre. Si va a trasladar su Active Directory actual a AWS, puede usar una secundaria Región de AWS y conectar las dos regiones mediante esta opción AWS Transit Gateway para permitir que se produzca la replicación. Normalmente es el método preferido. Algunas organizaciones tienen varios requisitos para probar la conmutación por error en un entorno aislado, en el que se corta la conectividad entre el sitio principal y el secundario durante días para comprobar la fiabilidad. Si se trata de un requisito en su organización, podría llevar algún tiempo solucionar los problemas de división de Active Directory. Es posible que pueda utilizarla AWS Elastic Disaster Recoverycomo una implementación activa o pasiva, en la que deje su sitio de recuperación ante desastres como un entorno de conmutación por error y deba probar su estrategia de recuperación ante desastres de forma aislada y rutinaria. Planificar los requisitos del objetivo de tiempo de recuperación (RTO) y el objetivo de punto de recuperación (RPO) de su organización es un factor importante a la hora de evaluar la migración a. AWS Asegúrese de definir sus requisitos junto con un plan de pruebas y conmutación por error para validar la implementación.

Movilización

La estrategia adecuada para satisfacer sus necesidades organizativas y operativas es un elemento importante a la hora de migrar o ampliar Active Directory a AWS. Elegir la forma en que se integrará Servicios de AWS es fundamental para la adopción AWS. Asegúrese de elegir la extensión de método de Active Directory o la AWS Managed Microsoft AD que mejor se adapte a los requisitos de su empresa. Hay algunas funciones en servicios como Amazon Relational Database Service (RDSAmazon) que dependen AWS Managed Microsoft AD del uso. Asegúrese de evaluar Servicio de AWS las limitaciones para determinar si existen restricciones de compatibilidad para Active Directory en Amazon EC2 y AWS Managed Microsoft AD. Le recomendamos que considere los siguientes puntos de integración como parte del proceso de planificación.

Tenga en cuenta las siguientes razones para usar Active Directory en AWS:

  • Permita que AWS las aplicaciones funcionen con Active Directory

  • Utilice Active Directory para iniciar sesión en AWS Management Console

Permita que AWS las aplicaciones funcionen con Active Directory

Puede habilitar múltiples AWS aplicaciones y servicios AWS Client VPN, como Amazon Chime AWS Management ConsoleAWS IAM Identity Center, Amazon Connect, Amazon FSx for Windows File Server, Amazon, QuickSightAmazon RDSfor SQL Server (solo aplicable a Directory Service), Amazon WorkMail, Amazon y WorkDocs Amazon WorkSpaces para que utilicen su AWS Managed Microsoft AD directorio. Cuando habilitas una AWS aplicación o un servicio en tu directorio, tus usuarios pueden acceder a la aplicación o al servicio con sus credenciales de Active Directory. Puede utilizar las conocidas herramientas de administración de Active Directory para aplicar objetos de política de grupo de Active Directory (GPOs) para gestionar de forma centralizada sus instancias de Amazon EC2 para Windows o Linux uniendo las instancias a su AWS Managed Microsoft AD directorio.

Los usuarios pueden iniciar sesión en las instancias con sus credenciales de Active Directory. Esto elimina la necesidad de usar credenciales de instancias individuales o distribuir archivos de clave privada (PEM). De este modo, le resultará más fácil conceder o revocar de forma instantánea el acceso a los usuarios con las herramientas de administración de usuarios de Active Directory que ya usa habitualmente.

Use Active Directory para iniciar sesión en AWS Management Console

AWS Managed Microsoft AD le permite conceder a los miembros de su directorio acceso a AWS Management Console. De forma predeterminada, los miembros del directorio no tienen acceso a ningún AWS recurso. Usted asigna las funciones AWS Identity and Access Management (IAM) a los miembros de su directorio para darles acceso a los distintos recursos Servicios de AWS y recursos. El IAM rol define los servicios, los recursos y el nivel de acceso que tienen los miembros del directorio.

Por ejemplo, puede permitir que los usuarios inicien sesión en él AWS Management Console con sus credenciales de Active Directory. Para ello, habilite la aplicación AWS Management Console as en su directorio y, a continuación, asigne IAM funciones a los usuarios y grupos de Active Directory. Cuando los usuarios inician sesión en AWS Management Console, asumen la IAM función de administrar AWS los recursos. Esto le facilita el acceso a sus usuarios AWS Management Console sin necesidad de configurar ni administrar una SAML infraestructura independiente. Para obtener más información, consulte Cómo la sincronización de AWS IAM Identity Center Active Directory mejora la experiencia de las AWS aplicaciones en el blog AWS de seguridad. Puede conceder acceso a las cuentas de usuario en su directorio o en Active Directory en las instalaciones. Esto permite a los usuarios iniciar sesión en AWS Management Console o a través de AWS Command Line Interface (AWS CLI) utilizando sus credenciales y permisos existentes para administrar los AWS recursos mediante la asignación de IAM funciones directamente a las cuentas de usuario existentes.

Para poder conceder acceso a la consola a los miembros del directorio, este debe tener accesoURL. Para obtener más información sobre cómo ver los detalles del directorio y obtener accesoURL, consulte Ver la información del directorio en la AWS Directory Service documentación. Para obtener más información sobre cómo crear un accesoURL, consulte Crear un acceso URL en la AWS Directory Service documentación. Para obtener más información sobre cómo crear y asignar IAM funciones a los miembros del directorio, consulte Otorgar a los usuarios y grupos acceso a AWS los recursos en la AWS Directory Service documentación.

Tenga en cuenta las siguientes opciones de migración para Active Directory:

  • Ampliación de Active Directory

  • Migre a AWS Managed Microsoft AD

  • Utilice una confianza para conectar Active Directory con AWS Managed Microsoft AD

  • Integre Active Directory DNS con Amazon Route 53

Ampliación de Active Directory

Si ya tiene una infraestructura de Active Directory y desea utilizarla al migrar cargas de trabajo compatibles con Active Directory a esa infraestructura, puede ayudarle. Nube de AWS AWS Managed Microsoft AD Puede usar las confianzas para conectarse AWS Managed Microsoft AD a su Active Directory actual. Esto significa que sus usuarios pueden acceder a AWS aplicaciones y aplicaciones compatibles con Active Directory con sus credenciales de Active Directory locales, sin necesidad de sincronizar usuarios, grupos o contraseñas. Por ejemplo, los usuarios pueden iniciar sesión en y con sus nombres WorkSpaces de usuario AWS Management Console y contraseñas de Active Directory existentes. Además, cuando utiliza aplicaciones compatibles SharePoint con Active Directory, por ejemplo AWS Managed Microsoft AD, los usuarios de Windows que hayan iniciado sesión pueden acceder a estas aplicaciones sin necesidad de volver a introducir las credenciales.

Además de utilizar una confianza, puede ampliar Active Directory implementando Active Directory para que se ejecute en instancias. EC2 AWS Puede hacerlo por su cuenta o trabajar con alguien AWS que le ayude en el proceso. Le recomendamos que implemente al menos dos controladores de dominio en distintas zonas de disponibilidad cuando extienda su Active Directory a AWS. Es posible que necesite implementar más de dos controladores de dominio en función del número de usuarios y equipos que tenga AWS, pero el número mínimo que recomendamos es de dos por motivos de resiliencia. También puede migrar su dominio de Active Directory local AWS para evitar la carga operativa de su infraestructura de Active Directory mediante el kit de herramientas de migración de Active Directory (ADMT) y el servidor de exportación de contraseñas (PES) para realizar la migración. También puede usar el Active Directory Launch Wizard para implementar Active Directory en AWS.

Migre a AWS Managed Microsoft AD

Puede aplicar dos mecanismos para usar Active Directory en AWS. Un método consiste en AWS Managed Microsoft AD migrar los objetos de Active Directory a AWS. Esto incluye usuarios, equipos, políticas de grupo y mucho más. El segundo mecanismo es un enfoque manual en el que se exportan todos los usuarios y objetos y, a continuación, se importan manualmente los usuarios y objetos mediante la herramienta de migración de Active Directory.

Existen otros motivos para migrar a AWS Managed Microsoft AD:

Puede compartir AWS Managed Microsoft AD en varios Cuentas de AWS. Esto le permite administrar Servicios de AWS, como Amazon EC2, sin necesidad de operar un directorio para cada cuenta y cada Amazon Virtual Private Cloud (AmazonVPC). Puede utilizar su directorio desde cualquier Amazon Cuenta de AWS y desde cualquier Amazon VPC dentro de un Región de AWS. Esta capacidad hace que sea más fácil y rentable administrar las cargas de trabajo compatibles con los directorios con un único directorio para todas las cuentas y. VPCs Por ejemplo, ahora puede administrar fácilmente las cargas de trabajo de Microsoft implementadas en EC2 instancias en varias cuentas y VPCs mediante un único AWS Managed Microsoft AD directorio. Cuando compartes tu AWS Managed Microsoft AD directorio con otra Cuenta de AWS persona, puedes usar la EC2 consola de Amazon o AWS Systems Managerunir tus instancias sin problemas desde cualquier Amazon VPC de la cuenta y Región de AWS.

Puedes implementar rápidamente tus cargas de trabajo compatibles con directorios en las EC2 instancias al eliminar la necesidad de unir manualmente las instancias a un dominio o de implementar directorios en cada cuenta y Amazon. VPC Para obtener más información, consulta Compartir tu directorio en la documentación. AWS Directory Service Tenga en cuenta que compartir un AWS Managed Microsoft AD entorno conlleva un coste. Puedes comunicarte con el AWS Managed Microsoft AD entorno desde otras redes o cuentas mediante un VPC peer de Amazon o Transit Gateway, por lo que puede que no sea necesario compartir. Si pretende utilizar el directorio con los siguientes servicios, debe compartir el dominio: Amazon Aurora MySQL, Amazon Aurora Postgre, Amazon, SQL Amazon for RDS MariaDB, FSx Amazon for RDS My, Amazon for RDS Oracle, SQL Amazon for RDS Postgre y Amazon for Server. SQL RDS SQL

Utilice un fideicomiso con AWS Managed Microsoft AD

Para conceder acceso a los AWS recursos a los usuarios de un directorio existente, puede utilizar una confianza en AWS Managed Microsoft AD la implementación. También es posible crear relaciones de confianza entre AWS Managed Microsoft AD entornos. Para obtener más información, consulte la AWS Managed Microsoft AD publicación Todo lo que quería saber sobre las confianzas en el blog AWS de seguridad.

Integre Active Directory DNS con Amazon Route 53

Al migrar a AWS, puede DNS integrarse en su entorno permitiendo el acceso a sus servidores (utilizando sus DNS nombres). Amazon Route 53 Resolver Para ello, le recomendamos que utilice los puntos finales de Route 53 Resolver, en lugar de modificar los conjuntos de DHCP opciones. Se trata de un enfoque más centralizado para administrar la DNS configuración que para modificar los conjuntos de DHCP opciones. Además, puede usar una variedad de reglas de resolución. Para obtener más información, consulte la publicación Integrar la DNS resolución de su servicio de directorio con los solucionadores de Amazon Route 53 en el blog sobre redes y entrega de contenido y Configurar la DNS resolución para redes híbridas en un AWS entorno de múltiples cuentas en la documentación de la Guía AWS prescriptiva.

Migración

Al comenzar la migración a AWS, le recomendamos que considere opciones de configuración y herramientas que le ayuden a migrar. También es importante tener en cuenta los aspectos operativos y de seguridad a largo plazo de su entorno.

Considere las siguientes opciones:

  • Seguridad nativa en la nube

  • Herramientas para migrar Active Directory a AWS

Seguridad nativa en la nube

  • Configuraciones de grupos de seguridad para controladores de Active Directory: si los usa AWS Managed Microsoft AD, los controladores de dominio vienen con una configuración de VPC seguridad para el acceso limitado a los controladores de dominio. Puede que tenga que modificar las reglas del grupo de seguridad para permitir el acceso en algunos casos de uso potenciales. Para obtener más información sobre la configuración de los grupos de seguridad, consulte Mejorar la configuración de seguridad de la AWS Managed Microsoft AD red en la AWS Directory Service documentación. Se recomienda no permitir que los usuarios modifiquen estos grupos ni los utilicen para ningún otro Servicios de AWS. Permitir que otros usuarios los utilicen podría provocar interrupciones en el servicio de su entorno de Active Directory si los usuarios los modifican para bloquear las comunicaciones necesarias.

  • Intégrelo con Amazon CloudWatch Logs para los registros de eventos de Active Directory: si ejecuta AWS Managed Microsoft AD o utiliza un Active Directory autogestionado, puede aprovechar Amazon CloudWatch Logs para centralizar los registros de Active Directory. Puede usar CloudWatch los registros para copiar los registros de autenticación, seguridad y otros registros. CloudWatch Esto le permite buscar fácilmente los registros en un solo lugar y puede ayudarlo a cumplir algunos requisitos de conformidad. Recomendamos la integración con CloudWatch Logs porque puede ayudarle a responder mejor a futuros incidentes en su entorno. Para obtener más información, consulte Habilitar Amazon CloudWatch Logs AWS Managed Microsoft AD en la AWS Directory Service documentación y Amazon CloudWatch Logs para Windows Event Logs en el AWS Knowledge Center.

Herramientas para migrar Active Directory a AWS

Le recomendamos que utilice la herramienta de migración de Active Directory (ADMT) y el servidor de exportación de contraseñas (PES) para realizar la migración. Esto le permite mover fácilmente usuarios y equipos de un dominio a otro. Tenga en cuenta las siguientes consideraciones si utiliza PES o migra de un dominio de Active Directory administrado a otro:

  • Herramienta de migración de Active Directory (ADMT) para usuarios, grupos y ordenadores: puede utilizarla ADMTpara migrar usuarios de un Active Directory autoadministrado a AWS Managed Microsoft AD otro. Una consideración importante es el cronograma de migración y la importancia del historial del identificador de seguridad (SID). SIDEl historial no se transfiere durante la migración. Si dar soporte a SID History es una necesidad crítica, entonces considere usar Active Directory autogestionado en Amazon en EC2 lugar de ADMT hacerlo de forma que pueda mantener SID History.

  • Servidor de exportación de contraseñas (PES): se PES puede utilizar para migrar contraseñas de entrada, pero no de AWS Managed Microsoft AD origen. Para obtener información sobre cómo migrar los usuarios y las contraseñas de su directorio, consulte Cómo migrar su dominio local para AWS Managed Microsoft AD usarlo ADMT en el blog de AWS seguridad y el servidor de exportación de contraseñas de la versión 3.1 (x64) de la documentación de Microsoft.

  • LDIF— El formato de intercambio de LDAP datos (LDIF) es un formato de archivo que se utiliza para ampliar el esquema de un directorio. AWS Managed Microsoft AD LDIFlos archivos contienen la información necesaria para añadir nuevos objetos y atributos al directorio. Los archivos deben cumplir los LDAP estándares de sintaxis y deben contener definiciones de objeto válidas para cada objeto que agreguen los archivos. Tras crear el LDIF archivo, debe cargarlo en el directorio para ampliar su esquema. Para obtener más información sobre el uso de LDIF archivos para ampliar el esquema de un AWS Managed Microsoft AD directorio, consulte Ampliación del esquema de AWS Managed Microsoft AD en la AWS Directory Service documentación.

  • CSVDE— En algunos casos, es posible que necesite exportar e importar usuarios a un directorio sin crear una confianza ni utilizarlosADMT. Aunque no es lo ideal, puede usar Csvde (una herramienta de línea de comandos) para migrar los usuarios de Active Directory de un dominio a otro. Para usar Csvde, debe crear un CSV archivo que contenga la información del usuario, como los nombres de usuario, las contraseñas y la pertenencia a grupos. A continuación, puede utilizar el csvde comando para importar los usuarios al nuevo dominio. También puede usar este comando para exportar los usuarios existentes del dominio de origen. Esto puede resultar útil si está migrando desde otra fuente de directorio, como SAMBA Domain Services a Microsoft Active Directory. Para obtener más información, consulte Cómo migrar los usuarios de Microsoft Active Directory a Simple AD o AWS Managed Microsoft AD en el blog AWS de seguridad.

Recursos adicionales