Migración de Active Directory

Active Directory es una solución típica de administración de identidades y accesos para muchos entornos corporativos. La combinación de la administración de DNS, usuarios y máquinas convierte a Active Directory en la opción ideal para las cargas de trabajo de Microsoft y Linux para la autenticación centralizada de los usuarios. Cuando planifica su transición a la nube o a la nube AWS, se enfrenta a la opción de ampliar Active Directory AWS o utilizar un servicio administrado para reducir la carga de administración de la infraestructura de servicios de directorio. Le recomendamos que comprenda los riesgos y las ventajas de cada opción a la hora de decidir el enfoque adecuado para su organización.

La estrategia correcta para una migración a Active Directory es aquella que se adapte a las necesidades de su organización y le permita aprovecharlas. Nube de AWS Esto implica tener en cuenta no solo los servicios de directorio en sí mismos, sino también la forma en que interactúan con otros Servicios de AWS. Además, debe tener en cuenta los objetivos a largo plazo de los equipos que administran Active Directory.

Además de la migración a Active Directory, debe decidir la estructura de cuentas en la que se ubicará Active Directory, la topología de su Cuentas de AWS red y qué integraciones de DNS y otras posibles integraciones de DNS Servicios de AWS planea utilizar que requieran Active Directory. Para obtener información sobre el diseño de la topología de su cuenta y otras consideraciones sobre la estrategia de migración, consulte la Mejores prácticas fundamentales sección de esta guía.

Evaluación

Para implementar una migración exitosa, es importante evaluar la infraestructura existente y comprender las características clave necesarias para su entorno. Le recomendamos que revise las siguientes áreas antes de elegir cómo migrar:

Revise el diseño de la AWS infraestructura existente: siga las instrucciones de la Descubrimiento del entorno Windows sección de esta guía y utilice los métodos de evaluación para revisar la infraestructura de Active Directory existente si aún no conoce su tamaño y sus requisitos de infraestructura. Le recomendamos que utilice el tamaño prescrito por Microsoft para la infraestructura de Active Directory en AWS. Si va a ampliar su infraestructura de Active Directory a AWS, es posible que solo necesite una parte del espacio de autenticación de Active Directory. AWS Por este motivo, evite sobredimensionar su entorno, a menos que esté trasladando completamente su espacio de Active Directory a AWS otro. Para obtener más información, consulte Planeamiento de capacidad para Active Directory Domain Services en la documentación de Microsoft.
Revise el diseño existente de Active Directory en las instalaciones: revise el uso actual de Active Directory en las instalaciones (autoadministrado). Si va a ampliar su entorno de Active Directory a AWS, le recomendamos ejecutar Active Directory en varios controladores de dominio, AWS incluso como una extensión de su entorno local. Esto se ajusta al marco de AWS Well-Architected que consiste en diseñar para posibles errores mediante la implementación de instancias en varias zonas de disponibilidad.
Identifique las dependencias en las aplicaciones y las redes: antes de elegir la mejor estrategia de migración, debe comprender perfectamente todas las características de Active Directory que su organización necesita para funcionar correctamente. Esto significa que, a la hora de elegir entre un servicio gestionado o un alojamiento propio, es importante entender las opciones de cada uno. Tenga en cuenta los siguientes aspectos al decidir qué migración es adecuada para usted:
- Requisitos de acceso: los requisitos de acceso para controlar Active Directory estipularán la ruta de migración adecuada para usted. Si necesita acceso total a los controladores de dominio de Active Directory para instalar cualquier tipo de agente para cumplir con las normas de conformidad, AWS Managed Microsoft AD puede que no sea la solución adecuada para usted. En su lugar, investigue una extensión de Active Directory desde sus controladores de dominio hasta Amazon Elastic Compute Cloud (Amazon EC2) dentro de su Cuentas de AWS.
- Plazos de migración: si tiene un plazo de migración ampliado y no tiene fechas claras de finalización, compruebe que cuenta con los requisitos necesarios para la administración de las instancias en la nube y en entornos en las instalaciones. La autenticación es un componente clave que se debe implementar en las cargas de trabajo de Microsoft para evitar problemas de administración. Le recomendamos que planee migrar Active Directory al principio de la migración.
Estrategias de copia de seguridad: si utiliza una copia de seguridad de Windows existente para capturar el estado de los sistemas de los controladores de dominio de Active Directory, puede seguir utilizando sus estrategias de copia de seguridad existentes en AWS. Además, AWS ofrece opciones tecnológicas que le ayudan a realizar copias de seguridad de sus instancias. Por ejemplo, Amazon Data Lifecycle Manager y AWS Elastic Disaster Recoveryson tecnologías compatibles para realizar copias de seguridad de los controladores de dominio de Active Directory. AWS Backup Para evitar problemas, es mejor no confiar en la restauración de Active Directory. La mejor práctica recomendada es crear una arquitectura resiliente, pero es fundamental contar con un método de respaldo si se requiere una recuperación.
Necesidades de recuperación ante desastres (DR): si va a migrar Active Directory a Active Directory, AWS debe diseñarlo pensando en la resiliencia en caso de que se produzca un desastre. Si va a trasladar su Active Directory actual a AWS, puede usar una secundaria Región de AWS y conectar las dos regiones mediante esta opción AWS Transit Gateway para permitir que se produzca la replicación. Normalmente es el método preferido. Algunas organizaciones tienen varios requisitos para probar la conmutación por error en un entorno aislado, en el que se corta la conectividad entre el sitio principal y el secundario durante días para comprobar la fiabilidad. Si se trata de un requisito en su organización, podría llevar algún tiempo solucionar los problemas de división de Active Directory. Es posible que pueda utilizarla AWS Elastic Disaster Recoverycomo una implementación activa o pasiva, en la que deje su sitio de recuperación ante desastres como un entorno de conmutación por error y deba probar su estrategia de recuperación ante desastres de forma aislada y rutinaria. Planificar los requisitos del objetivo de tiempo de recuperación (RTO) y el objetivo de punto de recuperación (RPO) de su organización es un factor importante a la hora de evaluar su migración a. AWS Asegúrese de definir sus requisitos junto con un plan de pruebas y conmutación por error para validar la implementación.

Movilización

La estrategia adecuada para satisfacer sus necesidades organizativas y operativas es un elemento importante a la hora de migrar o ampliar Active Directory a. AWS Elegir cómo se integrará Servicios de AWS es fundamental para la adopción AWS. Asegúrese de elegir la extensión de método de Active Directory o AWS Managed Microsoft AD que cumpla con los requisitos de su empresa. Hay algunas funciones en servicios como Amazon Relational Database Service (Amazon RDS) que dependen del uso. AWS Managed Microsoft AD Asegúrese de evaluar Servicio de AWS las limitaciones para determinar si existen restricciones de compatibilidad para Active Directory en Amazon EC2 y AWS Managed Microsoft AD. Le recomendamos que considere los siguientes puntos de integración como parte del proceso de planificación.

Tenga en cuenta las siguientes razones para usar Active Directory en AWS:

Permita que AWS las aplicaciones funcionen con Active Directory
Utilice Active Directory para iniciar sesión en AWS Management Console

Permita que AWS las aplicaciones funcionen con Active Directory

Puede habilitar múltiples AWS aplicaciones y servicios AWS Client VPN, como Amazon Chime AWS Management Console AWS IAM Identity Center, AmazonConnect, Amazon FSx for Windows File Server, Amazon QuickSight, Amazon RDS for SQL Server (solo aplicable a Directory Service), Amazon WorkDocs, Amazon y WorkSpacesAmazon para que utilicen su directorio. WorkMail AWS Managed Microsoft AD Al habilitar una AWS aplicación o un servicio en su directorio, sus usuarios pueden acceder a la aplicación o el servicio con sus credenciales de Active Directory. Puede utilizar las conocidas herramientas de administración de Active Directory para aplicar objetos de política de grupo de Active Directory (GPOs) para gestionar de forma centralizada sus instancias de Amazon EC2 para Windows o Linux uniendo las instancias a su AWS Managed Microsoft AD directorio.

Los usuarios pueden iniciar sesión en las instancias con sus credenciales de Active Directory. Esto elimina la necesidad de utilizar credenciales de instancias individuales o distribuir archivos de clave privada (PEM). De este modo, le resultará más fácil conceder o revocar de forma instantánea el acceso a los usuarios con las herramientas de administración de usuarios de Active Directory que ya usa habitualmente.

Utilice Active Directory para iniciar sesión en el AWS Management Console

AWS Managed Microsoft AD le permite conceder a los miembros de su directorio acceso a AWS Management Console. De forma predeterminada, los miembros del directorio no tienen acceso a ningún AWS recurso. Usted asigna funciones AWS Identity and Access Management (de IAM) a los miembros de su directorio para darles acceso a Servicios de AWS los distintos recursos. El rol de IAM define los servicios, los recursos y el nivel de acceso que tienen los miembros de su directorio.

Por ejemplo, puede permitir que sus usuarios inicien sesión en él AWS Management Console con sus credenciales de Active Directory. Para ello, habilite la aplicación AWS Management Console as en su directorio y, a continuación, asigne los usuarios y grupos de Active Directory a las funciones de IAM. Cuando los usuarios inician sesión en AWS Management Console, asumen una función de IAM para administrar AWS los recursos. Esto le facilita el acceso a sus usuarios AWS Management Console sin necesidad de configurar ni administrar una infraestructura SAML independiente. Para obtener más información, consulte Cómo la sincronización de AWS IAM Identity Center Active Directory mejora la experiencia de las AWS aplicaciones en el blog AWS de seguridad. Puede conceder acceso a las cuentas de usuario en su directorio o en Active Directory en las instalaciones. Esto permite a los usuarios iniciar sesión en AWS Management Console o a través de AWS Command Line Interface (AWS CLI) utilizando sus credenciales y permisos existentes para administrar los AWS recursos mediante la asignación de funciones de IAM directamente a las cuentas de usuario existentes.

Para que los miembros de su directorio puedan tener acceso a la consola, es preciso que este cuente con una URL de acceso. Para obtener más información sobre cómo ver los detalles del directorio y obtener la URL de acceso, consulte Ver la información del directorio en la AWS Directory Service documentación. Para obtener más información sobre cómo crear una URL de acceso, consulte Crear una URL de acceso en la AWS Directory Service documentación. Para obtener más información sobre cómo crear y asignar funciones de IAM a los miembros de su directorio, consulte Otorgar a los usuarios y grupos acceso a AWS los recursos en la AWS Directory Service documentación.

Tenga en cuenta las siguientes opciones de migración para Active Directory:

Ampliación de Active Directory
Migre a AWS Managed Microsoft AD
Utilice una confianza para conectar Active Directory con AWS Managed Microsoft AD
Integración del DNS de Active Directory con Amazon Route 53

Ampliación de Active Directory

Si ya tiene una infraestructura de Active Directory y desea utilizarla al migrar cargas de trabajo compatibles con Active Directory a esa infraestructura, puede ayudarle. Nube de AWS AWS Managed Microsoft AD Puede usar las confianzas para conectarse AWS Managed Microsoft AD a su Active Directory actual. Esto significa que sus usuarios pueden acceder a AWS aplicaciones y aplicaciones compatibles con Active Directory con sus credenciales de Active Directory locales, sin necesidad de sincronizar usuarios, grupos o contraseñas. Por ejemplo, los usuarios pueden iniciar sesión en y con sus nombres WorkSpaces de usuario AWS Management Console y contraseñas de Active Directory existentes. Además, cuando utiliza aplicaciones compatibles SharePoint con Active Directory, por ejemplo AWS Managed Microsoft AD, los usuarios de Windows que hayan iniciado sesión pueden acceder a estas aplicaciones sin necesidad de volver a introducir las credenciales.

Además de utilizar una confianza, puede ampliar Active Directory implementando Active Directory para que se ejecute en instancias. EC2 AWS Puede hacerlo por su cuenta o trabajar con alguien AWS que le ayude en el proceso. Le recomendamos que implemente al menos dos controladores de dominio en distintas zonas de disponibilidad cuando extienda su Active Directory a AWS. Es posible que necesite implementar más de dos controladores de dominio en función del número de usuarios y equipos que tenga AWS, pero el número mínimo que recomendamos es de dos por motivos de resiliencia. También puede migrar su dominio de Active Directory local AWS para evitar la carga operativa de su infraestructura de Active Directory mediante el kit de herramientas de migración de Active Directory (ADMT) y el servidor de exportación de contraseñas (PES) para realizar la migración. También puede usar el Active Directory Launch Wizard para implementar Active Directory en AWS.

Migre a AWS Managed Microsoft AD

Puede aplicar dos mecanismos para usar Active Directory en AWS. Un método consiste en AWS Managed Microsoft AD migrar los objetos de Active Directory a AWS. Esto incluye usuarios, equipos, políticas de grupo y mucho más. El segundo mecanismo es un enfoque manual en el que se exportan todos los usuarios y objetos y, a continuación, se importan manualmente los usuarios y objetos mediante la herramienta de migración de Active Directory.

Existen otros motivos para migrar a AWS Managed Microsoft AD:

AWS Managed Microsoft AD es un dominio real de Microsoft Active Directory que le permite ejecutar cargas de trabajo tradicionales compatibles con Active Directory, como Microsoft Remote Desktop Licensing Manager, Microsoft SharePoint y Microsoft SQL Server Always On en el. Nube de AWS
AWS Managed Microsoft AD le ayuda a simplificar y mejorar la seguridad de las aplicaciones.NET integradas en Active Directory mediante el uso de cuentas de servicio gestionadas grupales (gMSAs) y la delegación restringida de Kerberos (KCD). Para obtener más información, consulte Simplificar la migración y mejorar la seguridad de las aplicaciones.NET integradas en Active Directory mediante el uso de la documentación. AWS Managed Microsoft AD AWS

Puede compartir AWS Managed Microsoft AD en varios. Cuentas de AWS Esto le permite administrar Servicios de AWS, como Amazon EC2, sin necesidad de operar un directorio para cada cuenta y cada Amazon Virtual Private Cloud (Amazon VPC). Puede utilizar su directorio desde cualquier Amazon VPC Cuenta de AWS y desde cualquier Amazon VPC dentro de un. Región de AWS Esta capacidad hace que sea más fácil y rentable administrar las cargas de trabajo compatibles con los directorios con un único directorio para todas las cuentas y. VPCs Por ejemplo, ahora puede administrar fácilmente las cargas de trabajo de Microsoft implementadas en EC2 instancias en varias cuentas y VPCs mediante un único AWS Managed Microsoft AD directorio. Cuando compartes tu AWS Managed Microsoft AD directorio con otra persona Cuenta de AWS, puedes usar la EC2 consola de Amazon o AWS Systems Managerunir tus instancias sin problemas desde cualquier Amazon VPC de la cuenta y. Región de AWS

Puede implementar rápidamente sus cargas de trabajo compatibles con directorios en las EC2 instancias al eliminar la necesidad de unir manualmente las instancias a un dominio o de implementar directorios en cada cuenta y Amazon VPC. Para obtener más información, consulte Compartir su directorio en la documentación. AWS Directory Service Tenga en cuenta que compartir un AWS Managed Microsoft AD entorno conlleva un coste. Puede comunicarse con el AWS Managed Microsoft AD entorno desde otras redes o cuentas mediante un par de Amazon VPC o un par de Transit Gateway, por lo que es posible que no sea necesario compartir. Si pretende utilizar el directorio con los siguientes servicios, debe compartir el dominio: Amazon Aurora MySQL, Amazon Aurora PostgreSQL, Amazon, Amazon RDS for MariaDB, FSx Amazon RDS for MySQL, Amazon RDS for Oracle, Amazon RDS for PostgreSQL y Amazon RDS Amazon RDS for SQL Server.

Utilice un fideicomiso con AWS Managed Microsoft AD

Para conceder acceso a los AWS recursos a los usuarios de un directorio existente, puede utilizar una confianza en AWS Managed Microsoft AD la implementación. También es posible crear confianzas entre AWS Managed Microsoft AD entornos. Para obtener más información, consulte la AWS Managed Microsoft AD publicación Todo lo que quería saber sobre las confianzas en el blog AWS de seguridad.

Integración del DNS de Active Directory con Amazon Route 53

Al migrar a AWS, puede integrar el DNS en su entorno permitiendo el acceso a sus servidores (mediante sus nombres de DNS). Amazon Route 53 Resolver Para ello, le recomendamos que utilice los puntos finales de Route 53 Resolver, en lugar de modificar los conjuntos de opciones de DHCP. Se trata de un enfoque más centralizado para administrar la configuración de DNS que para modificar los conjuntos de opciones de DHCP. Además, puede usar una variedad de reglas de resolución. Para obtener más información, consulte la publicación Integrar la resolución de DNS de su servicio de directorio con los solucionadores de Amazon Route 53 en el blog sobre redes y entrega de contenido y Configurar la resolución de DNS para redes híbridas en un AWS entorno de múltiples cuentas en la documentación de orientación AWS prescriptiva.

Migración

Al comenzar la migración a AWS, le recomendamos que considere opciones de configuración y herramientas que le ayuden a migrar. También es importante tener en cuenta los aspectos operativos y de seguridad a largo plazo de su entorno.

Considere las siguientes opciones:

Seguridad nativa en la nube
Herramientas para migrar Active Directory a AWS

Seguridad nativa en la nube

Configuraciones de grupos de seguridad para controladores de Active Directory: si los usa AWS Managed Microsoft AD, los controladores de dominio incluyen una configuración de seguridad de VPC para un acceso limitado a los controladores de dominio. Puede que tenga que modificar las reglas del grupo de seguridad para permitir el acceso en algunos casos de uso potenciales. Para obtener más información sobre la configuración de los grupos de seguridad, consulte Mejorar la configuración AWS Managed Microsoft AD de seguridad de la red en la AWS Directory Service documentación. Se recomienda no permitir que los usuarios modifiquen estos grupos ni los utilicen para ningún otro Servicios de AWS. Permitir que otros usuarios los utilicen podría provocar interrupciones en el servicio de su entorno de Active Directory si los usuarios los modifican para bloquear las comunicaciones necesarias.
Intégrelo con Amazon CloudWatch Logs para los registros de eventos de Active Directory: si ejecuta AWS Managed Microsoft AD o utiliza un Active Directory autogestionado, puede aprovechar Amazon CloudWatch Logs para centralizar los registros de Active Directory. Puede usar CloudWatch los registros para copiar los registros de autenticación, seguridad y otros registros. CloudWatch Esto le permite buscar fácilmente los registros en un solo lugar y puede ayudarlo a cumplir algunos requisitos de conformidad. Recomendamos la integración con CloudWatch Logs porque puede ayudarle a responder mejor a futuros incidentes en su entorno. Para obtener más información, consulte Habilitar Amazon CloudWatch Logs AWS Managed Microsoft AD en la AWS Directory Service documentación y Amazon CloudWatch Logs para Windows Event Logs en el AWS Knowledge Center.

Herramientas para migrar Active Directory a AWS

Le recomendamos que utilice la herramienta de migración de Active Directory (ADMT) y el servidor de exportación de contraseñas (PES) para realizar la migración. Esto le permite mover fácilmente usuarios y equipos de un dominio a otro. Tenga en cuenta las siguientes consideraciones si utiliza PES o migra de un dominio de Active Directory administrado a otro:

Herramienta de migración de Active Directory (ADMT) para usuarios, grupos y computadoras: puede usar ADMT para migrar usuarios de Active Directory autoadministrado a. AWS Managed Microsoft AD Una consideración importante es el cronograma de migración y la importancia del historial de los identificadores de seguridad (SID). El historial de SID no se transfiere durante la migración. Si la compatibilidad con el historial de SID es una necesidad fundamental, considere la posibilidad de utilizar Active Directory autogestionado en Amazon en EC2 lugar de ADMT para poder mantener el historial de SID.
Servidor de exportación de contraseñas (PES): el PES se puede utilizar para migrar contraseñas de entrada, pero no de origen. AWS Managed Microsoft AD Para obtener información sobre cómo migrar los usuarios y las contraseñas de su directorio, consulte Cómo migrar su dominio local para AWS Managed Microsoft AD usar ADMT en el blog de AWS seguridad y el servidor de exportación de contraseñas versión 3.1 (x64) de la documentación de Microsoft.
LDIF: el formato de intercambio de datos LDAP (LDIF) es un formato de archivo que se utiliza para ampliar el esquema de un directorio. AWS Managed Microsoft AD Los archivos LDIF contienen la información necesaria para agregar nuevos objetos y atributos al directorio. Los archivos deben cumplir con los estándares de sintaxis de LDAP y deben contener definiciones de objeto válidas para cada objeto que agreguen los archivos. Tras crear el archivo LDIF, debe cargarlo en el directorio para ampliar su esquema. Para obtener más información sobre el uso de archivos LDIF para ampliar el esquema de un AWS Managed Microsoft AD directorio, consulte Ampliación del esquema de en la documentación. AWS Managed Microsoft AD AWS Directory Service
CSVDE: en algunos casos, es posible que necesite exportar e importar usuarios a un directorio sin crear una relación de confianza ni utilizar ADMT. Aunque no es lo ideal, puede usar Csvde (una herramienta de línea de comandos) para migrar los usuarios de Active Directory de un dominio a otro. Para utilizar Csvde, debe crear un archivo CSV que contenga la información del usuario, como nombres de usuario, contraseñas y pertenencia a un grupo. A continuación, puede utilizar el csvde comando para importar los usuarios al nuevo dominio. También puede usar este comando para exportar los usuarios existentes del dominio de origen. Esto puede resultar útil si está migrando desde otra fuente de directorio, como SAMBA Domain Services a Microsoft Active Directory. Para obtener más información, consulte Cómo migrar los usuarios de Microsoft Active Directory a Simple AD o AWS Managed Microsoft AD en el blog AWS de seguridad.

Recursos adicionales

Todo lo que quería saber sobre las confianzas con AWS Managed Microsoft AD (blog AWS de seguridad)
Cómo migrar su dominio local para que AWS Managed Microsoft AD utilice ADMT (blog de AWS seguridad)
PASO 2: IMPLEMENTAR ACTIVE DIRECTORY (AWS Windows Workshop)

Aviso JavaScript está desactivado o no está disponible en su navegador.

Para utilizar la documentación de AWS, debe estar habilitado JavaScript. Para obtener más información, consulte las páginas de ayuda de su navegador.

Convenciones del documento

Migración de cargas de trabajo de Microsoft

Migración de Windows Server