Migración de Active Directory

Active Directory es una solución típica de administración de identidades y accesos para muchos entornos corporativos. La combinación de DNS la administración de usuarios y máquinas convierte a Active Directory en la opción ideal para las cargas de trabajo de Microsoft y Linux para la autenticación centralizada de los usuarios. Cuando planifica su transición a la nube o hacia ellaAWS, se enfrenta a la opción de ampliar Active Directory AWS o utilizar un servicio gestionado para reducir la carga de administración de la infraestructura de servicios de directorio. Le recomendamos que comprenda los riesgos y las ventajas de cada opción a la hora de decidir el enfoque adecuado para su organización.

La estrategia correcta para migrar a Active Directory es aquella que se adapte a las necesidades de su organización y le permita aprovechar las ventajas de la AWS nube. Esto implica tener en cuenta no solo los servicios de directorio en sí mismos, sino también la forma en que interactúan con otros AWS servicios. Además, debe tener en cuenta los objetivos a largo plazo de los equipos que administran Active Directory.

Además de la migración a Active Directory, debe decidir la estructura de cuentas en la que se ubicará Active Directory, la topología de red de sus AWS cuentas y qué DNS integraciones y otros posibles AWS servicios va a utilizar que requieran Active Directory. Para obtener información sobre el diseño de la topología de su cuenta y otras consideraciones sobre la estrategia de migración, consulte la sección Foundational best practices de esta guía.

Evaluación

Para implementar una migración exitosa, es importante evaluar la infraestructura existente y comprender las características clave necesarias para su entorno. Le recomendamos que revise las siguientes áreas antes de elegir cómo migrar:

• Revise el diseño de la AWS infraestructura existente: siga las instrucciones de la sección de descubrimiento del entorno Windows de esta guía y utilice los métodos de evaluación para revisar la infraestructura de Active Directory existente si aún no conoce sus requisitos de espacio e infraestructura. Le recomendamos que utilice el tamaño prescrito por Microsoft para la infraestructura de Active Directory enAWS. Si va a ampliar su infraestructura de Active Directory aAWS, es posible que solo necesite una parte del espacio de autenticación de Active Directory. AWS Por este motivo, evite sobredimensionar su entorno, a menos que esté trasladando completamente su espacio de Active Directory a AWS otro. Para obtener más información, consulte Planeamiento de capacidad para Active Directory Domain Services en la documentación de Microsoft.

• Revise el diseño existente de Active Directory en las instalaciones: revise el uso actual de Active Directory en las instalaciones (autoadministrado). Si va a ampliar su entorno de Active Directory aAWS, le recomendamos ejecutar Active Directory en varios controladores de dominio, AWS incluso como una extensión de su entorno local. Esto se ajusta al marco de AWSWell-Architected que consiste en diseñar para posibles errores mediante la implementación de instancias en varias zonas de disponibilidad.

• Identifique las dependencias en las aplicaciones y las redes: antes de elegir la mejor estrategia de migración, debe comprender perfectamente todas las características de Active Directory que su organización necesita para funcionar correctamente. Esto significa que, a la hora de elegir entre un servicio administrado o un alojamiento propio, es importante entender las opciones de cada uno de ellos. Tenga en cuenta los siguientes aspectos al decidir qué migración es adecuada para usted:

  • Requisitos de acceso: los requisitos de acceso para controlar Active Directory estipularán la ruta de migración adecuada para usted. Si necesita acceso total a los controladores de dominio de Active Directory para instalar cualquier tipo de agente para cumplir con las normas de conformidad, es posible que AWS Managed Microsoft AD no sea la solución adecuada para usted. En su lugar, investigue una extensión de Active Directory desde sus controladores de dominio a Amazon EC2 dentro de sus AWS cuentas.

  • Plazos de migración: si tiene un plazo de migración ampliado y no tiene fechas claras de finalización, compruebe que cuenta con los requisitos necesarios para la administración de las instancias en la nube y en entornos en las instalaciones. La autenticación es un componente clave que se debe implementar en las cargas de trabajo de Microsoft para evitar problemas de administración. Le recomendamos que planee migrar Active Directory al principio de la migración.

• Estrategias de copia de seguridad: si utiliza una copia de seguridad de Windows existente para capturar el estado de los sistemas de los controladores de dominio de Active Directory, puede seguir utilizando sus estrategias de copia de seguridad existentes enAWS. Además, AWS ofrece opciones tecnológicas que le ayudan a realizar copias de seguridad de sus instancias. Por ejemplo, AWSData Lifecycle Manager, AWSBackup y AWSElastic Disaster Recovery son tecnologías compatibles para realizar copias de seguridad de los controladores de dominio de Active Directory. Para evitar problemas, es mejor no confiar en la restauración de Active Directory. La práctica recomendada es crear una arquitectura resiliente, pero es fundamental contar con un método de copia de seguridad si se requiere una recuperación.

• Necesidades de recuperación ante desastres (DR): si va a migrar Active Directory a Active Directory, AWS debe diseñarlo de forma que sea resiliente en caso de que se produzca un desastre. Si va a trasladar su Active Directory actual aAWS, puede usar una AWS región secundaria y conectar las dos regiones mediante Transit Gateway para permitir que se produzca la replicación. Normalmente es el método preferido. Algunas organizaciones tienen varios requisitos para probar la conmutación por error en un entorno aislado, en el que se corta la conectividad entre el sitio principal y el secundario durante días para comprobar la fiabilidad. Si se trata de un requisito en su organización, podría llevar algún tiempo solucionar los problemas de división de Active Directory. Es posible que puedas usar AWSElastic Disaster Recovery como una implementación activa o pasiva, en la que dejas tu sitio de DR como un entorno de conmutación por error y debes probar tu estrategia de DR de forma aislada y rutinaria. Planificar los requisitos del objetivo de tiempo de recuperación (RTO) y el objetivo de punto de recuperación (RPO) de su organización es un factor importante a la hora de evaluar la migración a. AWS Asegúrese de definir sus requisitos junto con un plan de pruebas y conmutación por error para validar la implementación.

Movilización

La estrategia adecuada para satisfacer sus necesidades organizativas y operativas es un elemento importante a la hora de migrar o ampliar Active Directory aAWS. Elegir cómo se integrará con AWS los servicios es fundamental para la adopciónAWS. Asegúrese de elegir la extensión de método de Active Directory o Microsoft AD AWS administrado que cumpla con los requisitos de su empresa. Hay algunas funciones en servicios como Amazon RDS que dependen del uso de Microsoft AD AWS administrado. Asegúrese de evaluar las limitaciones del AWS servicio para determinar si existen restricciones de compatibilidad para Active Directory en Amazon EC2 y AWS Managed Microsoft AD. Le recomendamos que considere los siguientes puntos de integración como parte del proceso de planificación.

Tenga en cuenta las siguientes razones para usar Active Directory enAWS:

• Permita que AWS las aplicaciones funcionen con Active Directory

• Use Active Directory para iniciar sesión en la consola AWS de administración

Permita que AWS las aplicaciones funcionen con Active Directory

Puede habilitar múltiples AWS aplicaciones y servicios, como AWS Client VPN, AWS Management Console, AWS IAM Identity Center (sucesor del AWS Single Sign-On), Amazon Chime, Amazon Connect, FSx Amazon for Windows File Server, Amazon QuickSight, RDS Amazon SQLfor Server (solo aplicable a Directory Service), Amazon, Amazon WorkDocs WorkMaily Amazon WorkSpaces para usar tu directorio AWS gestionado de Microsoft AD. Al habilitar una AWS aplicación o un servicio en su directorio, los usuarios pueden acceder a la aplicación o al servicio con sus credenciales de Active Directory. Puede utilizar las conocidas herramientas de administración de Active Directory para aplicar objetos de política de grupo de Active Directory (GPOs) para gestionar de forma centralizada sus instancias de Amazon EC2 para Windows o Linux uniendo las instancias a su directorio AWS gestionado de Microsoft AD.

Los usuarios pueden iniciar sesión en las instancias con sus credenciales de Active Directory. Esto elimina la necesidad de usar credenciales de instancias individuales o distribuir archivos de clave privada (PEM). De este modo, le resultará más fácil conceder o revocar de forma instantánea el acceso a los usuarios con las herramientas de administración de usuarios de Active Directory que ya usa habitualmente.

Use Active Directory para iniciar sesión en la consola AWS de administración

AWSMicrosoft AD administrado le permite conceder a los miembros de su directorio acceso a la Consola AWS de administración. De forma predeterminada, los miembros del directorio no tienen acceso a ningún AWS recurso. Debe asignar funciones de AWS Identity and Access Management (IAM) a los miembros del directorio para darles acceso a los distintos AWS servicios y recursos. El IAM rol define los servicios, los recursos y el nivel de acceso que tienen los miembros del directorio.

Por ejemplo, puede permitir que los usuarios inicien sesión en la consola AWS de administración con sus credenciales de Active Directory. Para ello, habilite la Consola AWS de administración como una aplicación en su directorio y, a continuación, asigne IAM funciones a los usuarios y grupos de Active Directory. Cuando los usuarios inician sesión en la consola AWS de administración, asumen la IAM función de administrar AWS los recursos. Esto le permite conceder fácilmente a sus usuarios el acceso a la Consola AWS de administración sin necesidad de configurar y administrar una SAML infraestructura independiente. Para obtener más información, consulte Cómo la sincronización con Active Directory de AWS IAM Identity Center mejora la experiencia de las AWS aplicaciones en el blog AWS de seguridad. Puede conceder acceso a las cuentas de usuario en su directorio o en Active Directory en las instalaciones. Esto permite a los usuarios iniciar sesión en la consola de AWS administración o a través de la interfaz de línea de AWS comandos (AWSCLI) utilizando sus credenciales y permisos existentes para administrar AWS los recursos mediante la asignación de IAM funciones directamente a las cuentas de usuario existentes.

Para poder conceder acceso a la consola a los miembros del directorio, este debe tener accesoURL. Para obtener más información sobre cómo ver los detalles del directorio y obtener accesoURL, consulte Ver información del directorio en la Guía de administración de AWS Directory Service. Para obtener más información acerca de cómo crear un accesoURL, consulte Crear un acceso URL en la Guía de administración de AWS Directory Service. Para obtener más información sobre cómo crear y asignar IAM funciones a los miembros del directorio, consulte Otorgar a los usuarios y grupos acceso a AWS los recursos en la Guía de administración de AWS Directory Service.

Tenga en cuenta las siguientes opciones de migración para Active Directory:

• Ampliación de Active Directory

• Migre a Microsoft AD AWS administrado

• Use una confianza para conectar Active Directory con Microsoft AD AWS administrado

• Integre Active Directory DNS con Amazon Route 53

Ampliación de Active Directory

Si ya tiene una infraestructura de Active Directory y quiere usarla al migrar cargas de trabajo compatibles con Active Directory a la nubeAWS, Managed AWS Microsoft AD puede ayudarlo. Puede usar confianzas para conectar Microsoft AD AWS administrado a su Active Directory existente. Esto significa que sus usuarios pueden acceder a AWS aplicaciones y aplicaciones compatibles con Active Directory con sus credenciales de Active Directory locales, sin necesidad de sincronizar usuarios, grupos o contraseñas. Por ejemplo, los usuarios pueden iniciar sesión en la consola de AWS administración WorkSpaces utilizando sus nombres de usuario y contraseñas de Active Directory existentes. Además, cuando utiliza aplicaciones compatibles SharePoint con Active Directory, como AWS Microsoft AD administrado, los usuarios de Windows que hayan iniciado sesión pueden acceder a estas aplicaciones sin necesidad de volver a introducir las credenciales.

Además de utilizar una confianza, puede ampliar Active Directory implementando Active Directory para que se ejecute en las instancias de. EC2 AWS Puede hacerlo por su cuenta o trabajar con alguien AWS que le ayude en el proceso. Le recomendamos que implemente al menos dos controladores de dominio en distintas zonas de disponibilidad cuando extienda su Active Directory aAWS. Es posible que necesite implementar más de dos controladores de dominio en función del número de usuarios y equipos que tengaAWS, pero el número mínimo que recomendamos es de dos por motivos de resiliencia. También puede migrar su dominio de Active Directory local AWS para evitar la carga operativa de su infraestructura de Active Directory mediante el kit de herramientas de migración de Active Directory (ADMT) y el servidor de exportación de contraseñas (PES) para realizar la migración. También puede usar el Active Directory Launch Wizard para implementar Active Directory enAWS.

Migre a Microsoft AD AWS administrado

Puede aplicar dos mecanismos para usar Active Directory enAWS. Un método consiste en adoptar Microsoft AD AWS administrado para migrar los objetos de Active Directory aAWS. Esto incluye usuarios, equipos, políticas de grupo y mucho más. El segundo mecanismo es un enfoque manual en el que se exportan todos los usuarios y objetos y, a continuación, se importan manualmente los usuarios y objetos mediante la herramienta de migración de Active Directory.

Existen otros motivos para pasarse a Microsoft Active Directory AWS administrado:

• AWSManaged Microsoft AD es un dominio real de Microsoft Active Directory que le permite ejecutar cargas de trabajo tradicionales compatibles con Active Directory, como Microsoft Remote Desktop Licensing Manager, Microsoft SharePoint y Microsoft SQL Server Always On in the Cloud. AWS

• AWSMicrosoft AD administrado le ayuda a simplificar y mejorar la seguridad de los dispositivos integrados en Active Directory. NETaplicaciones mediante cuentas de servicio administradas grupales (gMSAs) y delegación restringida de Kerberos (). KCD Para obtener más información, consulte Simplificar la migración y mejorar la seguridad de Active Directory: Integrated. NETAplicaciones mediante AWS Microsoft AD en la AWS documentación.

Puede compartir Microsoft AD AWS administrado en varias AWS cuentas. Esto le permite administrar AWS servicios, como Amazon EC2, sin necesidad de operar un directorio para cada cuenta y cada Amazon Virtual Private Cloud (AmazonVPC). Puedes usar tu directorio desde cualquier AWS cuenta y desde cualquier Amazon VPC de una AWS región. Esta capacidad hace que sea más fácil y rentable administrar las cargas de trabajo compatibles con los directorios con un único directorio para todas las cuentas y. VPCs Por ejemplo, ahora puede administrar fácilmente sus cargas de trabajo de Microsoft implementadas en EC2 instancias en varias cuentas y Amazon VPCs mediante un único directorio AWS administrado de Microsoft AD. Cuando compartes tu directorio AWS gestionado de Microsoft AD con otra AWS cuenta, puedes usar la EC2 consola de Amazon o AWSSystems Manager para unir tus instancias sin problemas desde cualquier Amazon VPC de la cuenta y la AWS región.

Puedes implementar rápidamente tus cargas de trabajo compatibles con directorios en las EC2 instancias al eliminar la necesidad de unir manualmente las instancias a un dominio o de implementar directorios en cada cuenta y Amazon. VPC Para obtener más información, consulte Compartir su directorio en la Guía de administración de AWS Directory Service. Tenga en cuenta que compartir un entorno Microsoft AD AWS administrado conlleva un costo. Puede comunicarse con el entorno AWS gestionado de Microsoft AD desde otras redes o cuentas mediante un VPC par de Amazon o Transit Gateway, por lo que puede que no sea necesario compartir. Si pretende utilizar el directorio con los siguientes servicios, debe compartir el dominio: Amazon Aurora MySQL, Amazon Aurora Postgre, Amazon, SQL Amazon for RDS MariaDB, FSx Amazon for RDS My, Amazon for RDS Oracle, SQL Amazon for RDS Postgre y Amazon for Server. SQL RDS SQL

Utilice un fideicomiso con AWS Managed Microsoft AD

Para conceder a los usuarios de un directorio existente acceso a AWS los recursos, puedes usar una confianza con tu implementación de Microsoft AD AWS administrado. También es posible crear relaciones de confianza entre los entornos AWS gestionados de Microsoft AD. Para obtener más información, consulte la publicación Todo lo que desea saber sobre las confianzas con Microsoft AD AWS administrado en el blog AWS de seguridad.

Integre Active Directory DNS con Amazon Route 53

Al migrar aAWS, puede DNS integrarse en su entorno mediante los resolutores de Route 53 para permitir el acceso a sus servidores (mediante sus DNS nombres). Para ello, le recomendamos que utilice los puntos finales de resolución de Route 53 en lugar de modificar los conjuntos de DHCP opciones. Se trata de un enfoque más centralizado para administrar la DNS configuración que para modificar los conjuntos de DHCP opciones. Además, puede usar una variedad de reglas de resolución. Para obtener más información, consulte la publicación Integrar la DNS resolución de su servicio de directorio con los solucionadores de Amazon Route 53 en el blog Networking & Content Delivery y Configurar la DNS resolución para redes híbridas en un AWS entorno de múltiples cuentas en la documentación de la Guía AWS prescriptiva.

Migración

Al comenzar la migración aAWS, le recomendamos que considere opciones de configuración y herramientas que le ayuden a migrar. También es importante tener en cuenta los aspectos operativos y de seguridad a largo plazo de su entorno.

Considere las siguientes opciones:

• Seguridad nativa en la nube

• Herramientas para migrar Active Directory a AWS

Seguridad nativa en la nube

• Configuraciones de grupos de seguridad para controladores de Active Directory: si usa Microsoft AD AWS administrado, los controladores de dominio incluyen una configuración de VPC seguridad para el acceso limitado a los controladores de dominio. Puede que tenga que modificar las reglas del grupo de seguridad para permitir el acceso en algunos casos de uso potenciales. Para obtener más información sobre la configuración de los grupos de seguridad, consulte Mejorar la configuración de seguridad de red AWS gestionada de Microsoft AD en la Guía de administración de AWS Directory Service. Se recomienda no permitir que los usuarios modifiquen estos grupos ni los utilicen para ningún otro AWS servicio. Permitir que otros usuarios los utilicen podría provocar interrupciones en el servicio de su entorno de Active Directory si los usuarios los modifican para bloquear las comunicaciones necesarias.

• Intégrelo con Amazon CloudWatch Logs para los registros de eventos de Active Directory: si ejecuta AWS Microsoft AD administrado o utiliza un Active Directory autoadministrado, puede aprovechar Amazon CloudWatch Logs para centralizar los registros de Active Directory. Puede usar CloudWatch los registros para copiar los registros de autenticación, seguridad y otros registros. CloudWatch Esto le permite buscar fácilmente los registros en un solo lugar y puede ayudarlo a cumplir algunos requisitos de conformidad. Recomendamos la integración con CloudWatch Logs porque puede ayudarle a responder mejor a futuros incidentes en su entorno. Para obtener más información, consulte Habilitar Amazon CloudWatch Logs para Active Directory AWS gestionado en la Guía de administración de AWS Directory Service y Amazon CloudWatch Logs para Windows Event Logs en el AWS Knowledge Center.

Herramientas para migrar Active Directory a AWS

Le recomendamos que utilice la herramienta de migración de Active Directory (ADMT) y el servidor de exportación de contraseñas (PES) para realizar la migración. Esto le permite mover fácilmente usuarios y equipos de un dominio a otro. Tenga en cuenta las siguientes consideraciones si utiliza PES o migra de un dominio de Active Directory administrado a otro:

• Herramienta de migración de Active Directory (ADMT) para usuarios, grupos y ordenadores: se puede utilizar ADMTpara migrar usuarios de Active Directory autogestionado a Microsoft AD AWS administrado. Una consideración importante es el cronograma de migración y la importancia del historial del identificador de seguridad (SID). SIDEl historial no se transfiere durante la migración. Si dar soporte a SID History es una necesidad crítica, entonces considere usar Active Directory autogestionado en Amazon en EC2 lugar de ADMT hacerlo de forma que pueda mantener SID History.

• Servidor de exportación de contraseñas (PES): se PES puede usar para migrar contraseñas a Microsoft AD AWS gestionado, pero no desde él. Para obtener información sobre cómo migrar los usuarios y las contraseñas de su directorio, consulte Cómo migrar su dominio local a Microsoft AD AWS administrado mediante ADMT el blog de AWS seguridad y el servidor de exportación de contraseñas versión 3.1 (x64) de la documentación de Microsoft.

• LDIF— El formato de intercambio de LDAP datos (LDIF) es un formato de archivo que se utiliza para ampliar el esquema de un directorio AWS administrado de Microsoft AD. LDIFlos archivos contienen la información necesaria para añadir nuevos objetos y atributos al directorio. Los archivos deben cumplir los LDAP estándares de sintaxis y deben contener definiciones de objeto válidas para cada objeto que agreguen los archivos. Tras crear el LDIF archivo, debe cargarlo en el directorio para ampliar su esquema. Para obtener más información sobre el uso de LDIF archivos para ampliar el esquema de un directorio de Microsoft AD AWS administrado, consulte Ampliación del esquema de AD AWS administrado en la Guía de administración de AWS Directory Service.

• CSVDE— En algunos casos, es posible que tengas que exportar e importar usuarios a un directorio sin crear una confianza ni utilizarlosADMT. Aunque no es lo ideal, puede usar Csvde (una herramienta de línea de comandos) para migrar los usuarios de Active Directory de un dominio a otro. Para usar Csvde, debe crear un CSV archivo que contenga la información del usuario, como los nombres de usuario, las contraseñas y la pertenencia a grupos. A continuación, puede utilizar el comando csvde para importar los usuarios al nuevo dominio. También puede usar este comando para exportar los usuarios existentes del dominio de origen. Esto puede resultar útil si está migrando desde otra fuente de directorio, como SAMBA Domain Services a Microsoft Active Directory. Para obtener más información, consulte Cómo migrar los usuarios de Microsoft Active Directory a Simple AD o Microsoft AD AWS administrado en el blog AWS de seguridad.

Recursos adicionales de

• Todo lo que quería saber sobre las confianzas con AWS Managed Microsoft AD (blog AWS de seguridad)

• Cómo migrar su dominio local a Microsoft AD AWS administrado mediante ADMT (Blog AWS de seguridad)

• Active Directory el día de la AWS inmersión (AWSWorkshop Studio)