Migration d’Active Directory

Active Directory est une solution type de gestion des identités et des accès dans de nombreux environnements d’entreprise. Le couplage de DNS la gestion des utilisateurs et de la gestion des machines fait d'Active Directory un choix idéal pour les charges de travail Microsoft et Linux en matière d'authentification centralisée des utilisateurs. Lorsque vous planifiez votre transition vers le cloud ou vers le cloudAWS, vous devez choisir d'étendre Active Directory à un service géré AWS ou d'utiliser un service géré pour vous décharger de la gestion de l'infrastructure du service d'annuaire. Nous vous recommandons de bien comprendre les risques et les avantages de chaque option lorsque vous déciderez de l’approche qui convient à votre organisation.

La bonne stratégie pour une migration Active Directory est celle qui répond aux besoins de votre entreprise et vous permet de tirer parti du AWS cloud. Cela implique de prendre en compte non seulement les services d'annuaire eux-mêmes, mais aussi la manière dont ils interagissent avec les autres AWS services. En outre, vous devez tenir compte des objectifs à long terme des équipes qui gèrent Active Directory.

Outre la migration d'Active Directory, vous devez décider de la structure de compte pour l'emplacement d'Active Directory, de la topologie réseau de vos AWS comptes, ainsi que des DNS intégrations et autres AWS services potentiels que vous comptez utiliser et qui nécessitent Active Directory. Pour plus d’informations sur la conception de la topologie de votre compte et sur d’autres considérations relatives à la stratégie de migration, veuillez consulter la section Bonnes pratiques de base de ce guide.

Évaluation

Pour mettre en œuvre une migration réussie, il est important d’évaluer votre infrastructure existante et de comprendre les principales fonctionnalités requises pour votre environnement. Nous vous conseillons d’examiner les points suivants avant de choisir la méthode de migration :

• Passez en revue la conception de l'AWSinfrastructure existante : suivez les instructions de la section de ce guide consacrée à la découverte de l'environnement Windows et utilisez les méthodes d'évaluation pour examiner l'infrastructure Active Directory existante si vous n'êtes pas déjà au courant de son encombrement et de ses exigences en matière d'infrastructure. Nous vous recommandons d'utiliser le dimensionnement prescrit par Microsoft pour l'infrastructure Active Directory dansAWS. Si vous étendez votre infrastructure Active Directory àAWS, il se peut que vous n'ayez besoin que d'une partie de votre empreinte d'authentification Active DirectoryAWS. Pour cette raison, évitez de surdimensionner votre environnement à moins de déplacer complètement votre empreinte Active Directory vers. AWS Pour plus d’informations, veuillez consulter Planification de capacité pour Active Directory Domain Services dans la documentation Microsoft.

• Examiner la conception d’Active Directory sur site existante : examinez l’utilisation actuelle de votre version d’Active Directory sur site (autogérée). Si vous étendez votre environnement Active Directory àAWS, nous vous recommandons d'exécuter Active Directory sur plusieurs contrôleurs de domaine, AWS même en tant qu'extension de votre environnement sur site. Cela est conforme au cadre AWSWell-Architected qui consiste à concevoir pour les défaillances potentielles en déployant des instances dans plusieurs zones de disponibilité.

• Identifier les dépendances dans les applications et le réseau : avant de choisir la meilleure stratégie de migration, vous devez bien comprendre toutes les fonctionnalités d’Active Directory dont votre entreprise a besoin pour fonctionner. Cela signifie que lorsque vous choisissez entre un service géré ou un service d’auto-hébergement, il est important de comprendre les options qui se rapportent à chacun. Tenez compte des éléments suivants au moment de choisir la migration qui vous convient le mieux :

  • Exigences relatives à l’accès : les exigences relatives à l’accès pour contrôler Active Directory détermineront le chemin de migration qui vous convient. Si vous avez besoin d'un accès complet aux contrôleurs de domaine Active Directory pour installer tout type d'agent conformément aux réglementations de conformité, AWS Managed Microsoft AD n'est peut-être pas la bonne solution pour vous. Recherchez plutôt une extension d'Active Directory depuis vos contrôleurs de domaine vers Amazon EC2 au sein de vos AWS comptes.

  • Délais de migration : si votre calendrier de migration est long et que les dates d’achèvement ne sont pas clairement définies, vérifiez que vous avez mis en place des mesures d’urgence pour l’administration des instances dans le cloud et dans les environnements sur site. L’authentification est un élément clé à mettre en place pour les charges de travail Microsoft afin d’éviter les problèmes d’administration. Nous vous recommandons de planifier le déplacement d’Active Directory au début de votre migration.

• Stratégies de sauvegarde : si vous utilisez une sauvegarde Windows existante pour capturer l'état du système des contrôleurs de domaine Active Directory, vous pouvez continuer à utiliser vos stratégies de sauvegarde existantes dansAWS. AWSIl propose également des options technologiques pour vous aider à sauvegarder vos instances. Par exemple, AWSData Lifecycle Manager, AWSBackup et AWSElastic Disaster Recovery sont des technologies prises en charge pour la sauvegarde des contrôleurs de domaine Active Directory. Pour éviter tout problème, il est préférable de ne pas se fier à la restauration d’Active Directory. Il est recommandé de créer une architecture résiliente, mais il est essentiel de disposer d’une méthode de sauvegarde si une restauration est requise.

• Besoins en matière de reprise après sinistre (DR) : si vous migrez Active Directory vers Active Directory, AWS vous devez concevoir une solution résiliente en cas de sinistre. Si vous déplacez votre répertoire Active Directory existant versAWS, vous pouvez utiliser une AWS région secondaire et connecter les deux régions en utilisant Transit Gateway pour permettre la réplication. Il s’agit généralement de la méthode préférée. Certaines organisations ont des exigences différentes pour tester le basculement dans un environnement isolé, dans lequel vous interrompez la connectivité entre le site principal et le site secondaire pendant plusieurs jours afin de tester la fiabilité. S’il s’agit d’une exigence au sein de votre organisation, il faudra peut-être du temps pour résoudre les problèmes de split-brain dans Active Directory. Vous pouvez peut-être utiliser AWSElastic Disaster Recovery en tant qu'implémentation active/passive dans laquelle vous quittez votre site de reprise après sinistre en tant qu'environnement de basculement et devez régulièrement tester votre stratégie de reprise après sinistre de manière isolée. La planification des exigences de votre organisation en termes d'objectif de temps de reprise (RTO) et d'objectif de point de reprise (RPO) est un facteur important lors de l'évaluation de votre migration versAWS. Assurez-vous d’avoir défini vos exigences ainsi qu’un plan de test et de basculement pour valider l’implémentation.

Mobilisation

La stratégie appropriée pour répondre à vos besoins organisationnels et opérationnels est un élément important de la migration ou de l'extension d'Active Directory versAWS. Le choix de la manière dont vous allez intégrer les AWS services est essentiel pour l'adoptionAWS. Assurez-vous de choisir l'extension de méthode Active Directory ou AWS Managed Microsoft AD qui répond aux besoins de votre entreprise. Certaines fonctionnalités de services tels RDS qu'Amazon dépendent de l'utilisation de AWS Managed Microsoft AD. Assurez-vous d'évaluer les limites du AWS service afin de déterminer s'il existe des contraintes de compatibilité pour Active Directory sur Amazon EC2 et AWS Managed Microsoft AD. Nous vous conseillons de tenir compte des points d’intégration suivants dans le cadre de votre processus de planification.

Tenez compte des raisons suivantes pour utiliser Active Directory dans AWS :

• Permettre aux AWS applications de fonctionner avec Active Directory

• Utiliser Active Directory pour vous connecter à la console AWS de gestion

Permettre aux AWS applications de fonctionner avec Active Directory

Vous pouvez activer plusieurs AWS applications et services tels que AWSClient VPN, AWSManagement Console, AWSIAMIdentity Center (successeur de Single Sign-On), Amazon Chime, Amazon Connect, FSxAmazon pour Windows File Server, Amazon QuickSight, RDSAmazon SQL for Server (applicable uniquement pour Directory Service), Amazon, Amazon AWS WorkDocs WorkMail, et Amazon WorkSpaces pour utiliser votre annuaire Microsoft AD AWS géré. Lorsque vous activez une AWS application ou un service dans votre annuaire, vos utilisateurs peuvent accéder à l'application ou au service avec leurs informations d'identification Active Directory. Vous pouvez utiliser les outils d'administration Active Directory que vous connaissez déjà pour appliquer des objets de politique de groupe Active Directory (GPOs) afin de gérer de manière centralisée vos instances Amazon EC2 pour Windows ou Linux en les joignant à votre annuaire Microsoft AD AWS géré.

Vos utilisateurs peuvent se connecter à vos instances à l’aide de leurs informations d’identification Active Directory. Il n'est donc plus nécessaire d'utiliser des informations d'identification d'instance individuelles ou de distribuer des fichiers de clé privée (PEM). Ainsi, il est plus simple pour vous d’accorder ou de révoquer instantanément l’accès aux utilisateurs à l’aide des outils l’administration des utilisateurs Active Directory que vous utilisez déjà.

Utiliser Active Directory pour vous connecter à la console AWS de gestion

AWSManaged Microsoft AD vous permet d'accorder aux membres de votre annuaire l'accès à la console AWS de gestion. Par défaut, les membres de votre répertoire n'ont accès à aucune AWS ressource. Vous attribuez des rôles AWS Identity and Access Management (IAM) aux membres de votre annuaire pour leur donner accès aux différents AWS services et ressources. Le IAM rôle définit les services, les ressources et le niveau d'accès dont disposent les membres de votre annuaire.

Par exemple, vous pouvez permettre à vos utilisateurs de se connecter à la console AWS de gestion avec leurs informations d'identification Active Directory. Pour ce faire, vous activez la console AWS de gestion en tant qu'application dans votre annuaire, puis attribuez des IAM rôles à vos utilisateurs et groupes Active Directory. Lorsque vos utilisateurs se connectent à la console AWS de gestion, ils assument un IAM rôle dans la gestion AWS des ressources. Cela vous permet d'accorder facilement à vos utilisateurs l'accès à la console AWS de gestion sans avoir à configurer et à gérer une SAML infrastructure distincte. Pour plus d'informations, consultez la section Comment la synchronisation AWS IAM d'Identity Center Active Directory améliore AWS l'expérience des applications dans le blog sur la AWS sécurité. Vous pouvez accorder l’accès à des comptes utilisateur dans votre annuaire ou dans votre Active Directory sur site. Cela permet aux utilisateurs de se connecter à la console de AWS gestion ou via l'interface de ligne de AWS commande (AWSCLI) en utilisant leurs informations d'identification et autorisations existantes pour gérer les AWS ressources en attribuant IAM des rôles directement aux comptes utilisateur existants.

Avant de pouvoir accorder l'accès à la console aux membres de votre répertoire, celui-ci doit disposer d'un accèsURL. Pour plus d'informations sur la façon d'afficher les détails du répertoire et d'obtenir votre accèsURL, consultez la section Afficher les informations du répertoire dans le Guide d'administration du Service d'AWSannuaire. Pour plus d'informations sur la création d'un accèsURL, consultez la section Création d'un accès URL dans le Guide d'administration du AWS Directory Service. Pour plus d'informations sur la création et l'attribution de IAM rôles aux membres de votre annuaire, consultez la section Accorder aux utilisateurs et aux groupes l'accès aux AWS ressources dans le Guide d'administration des services d'AWSannuaire.

Envisagez les options de migration suivantes pour Active Directory :

• Extension d’Active Directory

• Migrer vers AWS Managed Microsoft AD

• Utiliser une approbation pour connecter Active Directory à AWS Managed Microsoft AD

• Intégrer Active Directory DNS à Amazon Route 53

Extension d’Active Directory

Si vous disposez déjà d'une infrastructure Active Directory et que vous souhaitez l'utiliser lors de la migration de charges de travail compatibles avec Active Directory vers le cloudAWS, Managed AWS Microsoft AD peut vous aider. Vous pouvez utiliser des approbations pour connecter AWS Managed Microsoft AD à votre Active Directory existant. Cela signifie que vos utilisateurs peuvent accéder aux AWS applications compatibles avec Active Directory avec leurs informations d'identification Active Directory locales, sans que vous ayez à synchroniser les utilisateurs, les groupes ou les mots de passe. Par exemple, vos utilisateurs peuvent se connecter à la console AWS de gestion en WorkSpaces utilisant leurs noms d'utilisateur et mots de passe Active Directory existants. En outre, lorsque vous utilisez des applications compatibles SharePoint avec Active Directory, telles que Managed AWS Microsoft AD, les utilisateurs Windows connectés peuvent accéder à ces applications sans avoir à saisir à nouveau leurs informations d'identification.

Outre l'utilisation d'une approbation, vous pouvez étendre Active Directory en déployant Active Directory pour qu'il s'exécute sur EC2 des instances dansAWS. Vous pouvez le faire vous-même ou travailler avec nous AWS pour vous aider dans le processus. Nous vous recommandons de déployer au moins deux contrôleurs de domaine dans différentes zones de disponibilité lorsque vous étendez votre Active Directory àAWS. Il se peut que vous deviez déployer plus de deux contrôleurs de domaine en fonction du nombre d'utilisateurs et d'ordinateurs que vous utilisezAWS, mais le nombre minimum que nous recommandons est de deux pour des raisons de résilience. Vous pouvez également migrer votre domaine Active Directory sur site AWS afin de vous libérer de la charge opérationnelle de votre infrastructure Active Directory en utilisant le kit de migration Active Directory (ADMT) et le serveur d'exportation de mots de passe (PES) pour effectuer la migration. Vous pouvez également utiliser l'Active Directory Launch Wizard pour déployer Active Directory surAWS.

Migrer vers AWS Managed Microsoft AD

Vous pouvez appliquer deux mécanismes pour utiliser Active Directory dansAWS. L'une des méthodes consiste à adopter AWS Managed Microsoft AD pour migrer vos objets Active Directory versAWS. Cela inclut les utilisateurs, les ordinateurs, les politiques de groupe, etc. Le deuxième mécanisme consiste en une approche manuelle dans laquelle vous exportez tous les utilisateurs et les objets, puis vous les importez manuellement à l’aide de l’Outil de migration Active Directory.

Il existe d'autres raisons de passer à AWS Managed Microsoft Active Directory :

• AWSManaged Microsoft AD est un véritable domaine Microsoft Active Directory qui vous permet d'exécuter des charges de travail traditionnelles compatibles avec Active Directory, telles que Microsoft Remote Desktop Licensing Manager, Microsoft SharePoint et Microsoft SQL Server Always On in the Cloud. AWS

• AWSManaged Microsoft AD vous aide à simplifier et à améliorer la sécurité des applications intégrées à Active Directory. NETapplications en utilisant des comptes de service gérés de groupe (gMSAs) et une délégation contrainte Kerberos (). KCD Pour plus d'informations, voir Simplifier la migration et améliorer la sécurité d'Active Directory intégré. NETApplications utilisant AWS Microsoft AD dans la AWS documentation.

Vous pouvez partager AWS Managed Microsoft AD sur plusieurs AWS comptes. Cela vous permet de gérer AWS des services, tels qu'Amazon EC2, sans avoir à gérer un répertoire pour chaque compte et chaque Amazon Virtual Private Cloud (AmazonVPC). Vous pouvez utiliser votre annuaire depuis n'importe quel AWS compte et depuis n'importe quel Amazon VPC au sein d'une AWS région. Cette fonctionnalité permet de gérer plus facilement et de manière plus rentable les charges de travail basées sur les annuaires avec un seul répertoire pour tous les comptes et. VPCs Par exemple, vous pouvez désormais gérer facilement vos charges de travail Microsoft déployées dans EC2 des instances sur plusieurs comptes et Amazon VPCs en utilisant un seul annuaire Microsoft AD AWS géré. Lorsque vous partagez votre répertoire AWS Managed Microsoft AD avec un autre AWS compte, vous pouvez utiliser la EC2 console Amazon ou AWSSystems Manager pour joindre facilement vos instances depuis n'importe quel Amazon VPC du compte et de la AWS région.

Vous pouvez rapidement déployer vos charges de travail basées sur les annuaires sur des EC2 instances en éliminant le besoin de joindre manuellement vos instances à un domaine ou de déployer des annuaires dans chaque compte et sur Amazon. VPC Pour plus d'informations, voir Partager votre répertoire dans le Guide d'administration du AWS Directory Service. N'oubliez pas que le partage d'un environnement Microsoft AD AWS géré entraîne un coût. Vous pouvez communiquer avec l'environnement Microsoft AD AWS géré depuis d'autres réseaux ou comptes à l'aide d'un VPC homologue Amazon ou d'un homologue Transit Gateway. Le partage n'est donc peut-être pas nécessaire. Si vous avez l'intention d'utiliser l'annuaire avec les services suivants, vous devez partager le domaine : Amazon Aurora MySQL, Amazon Aurora PostgreSQL, AmazonFSx, Amazon RDS pour MariaDB, RDS Amazon pour SQL My, Amazon pour Oracle, RDS Amazon pour SQL Postgre et RDS Amazon pour Server. RDS SQL

Utilisez une relation de confiance avec AWS Managed Microsoft AD

Pour accorder aux utilisateurs d'un annuaire existant l'accès aux AWS ressources, vous pouvez utiliser un accord de confiance avec votre implémentation de AWS Managed Microsoft AD. Il est également possible de créer des liens de confiance entre les environnements Microsoft AD AWS gérés. Pour plus d'informations, consultez l'article Tout ce que vous vouliez savoir sur les approbations avec AWS Managed Microsoft AD sur le blog sur la AWS sécurité.

Intégrer Active Directory DNS à Amazon Route 53

Lorsque vous migrez versAWS, vous pouvez vous DNS intégrer à votre environnement en utilisant les résolveurs Route 53 pour autoriser l'accès à vos serveurs (en utilisant leurs DNS noms). Nous vous recommandons d'utiliser les points de terminaison du résolveur Route 53 pour ce faire plutôt que de modifier les ensembles d'DHCPoptions. Il s'agit d'une approche plus centralisée pour gérer votre DNS configuration que la modification des ensembles DHCP d'options. De plus, vous pouvez profiter d’une variété de règles de résolveur. Pour plus d'informations, consultez le billet sur l'intégration de la DNS résolution de votre service d'annuaire aux résolveurs Amazon Route 53 sur le blog Networking & Content Delivery et sur la configuration de la DNS résolution pour les réseaux hybrides dans un AWS environnement multi-comptes dans la documentation AWS Prescriptive Guidance.

Migrer

Lorsque vous commencez votre migration versAWS, nous vous recommandons de prendre en compte les options de configuration et d'outillage pour vous aider à effectuer la migration. Il est également important de prendre en compte les aspects liés à l’exploitation et à la sécurité à long terme de votre environnement.

Prenez en compte les options suivantes :

• Sécurité native cloud

• Outils pour migrer Active Directory vers AWS

Sécurité native cloud

• Configurations de groupes de sécurité pour les contrôleurs Active Directory : si vous utilisez AWS Managed Microsoft AD, les contrôleurs de domaine sont fournis avec une configuration de VPC sécurité pour un accès limité aux contrôleurs de domaine. Il peut être nécessaire de modifier les règles du groupe de sécurité afin d’autoriser l’accès pour certains cas d’utilisation potentiels. Pour plus d'informations sur la configuration des groupes de sécurité, voir Améliorer la configuration de sécurité de votre réseau Microsoft AD AWS géré dans le Guide d'administration des services d'AWSannuaire. Nous vous recommandons de ne pas autoriser les utilisateurs à modifier ces groupes ni à les utiliser pour d'autres AWS services. Le fait d’autoriser d’autres utilisateurs à les utiliser peut entraîner des interruptions de service dans votre environnement Active Directory s’ils les modifient pour bloquer les communications requises.

• Intégrez les CloudWatch journaux d'événements d'Amazon Logs pour Active Directory : si vous utilisez AWS Managed Microsoft AD ou si vous utilisez un Active Directory autogéré, vous pouvez tirer parti d'Amazon CloudWatch Logs pour centraliser votre journalisation Active Directory. Vous pouvez utiliser CloudWatch les journaux pour copier les journaux d'authentification, de sécurité et autres dans CloudWatch. Vous disposez ainsi d’un moyen facile de rechercher les journaux en un seul endroit, ce qui peut contribuer à satisfaire certaines exigences de conformité. Nous recommandons l'intégration avec CloudWatch Logs, car elle peut vous aider à mieux répondre aux futurs incidents dans votre environnement. Pour plus d'informations, consultez la section Activation d'Amazon CloudWatch Logs pour AWS Managed Active Directory dans le Guide d'administration du AWS Directory Service et CloudWatch les journaux d'événements Amazon Logs for Windows dans le AWS Knowledge Center.

Outils pour migrer Active Directory vers AWS

Nous vous recommandons d'utiliser l'outil de migration Active Directory (ADMT) et le serveur d'exportation de mots de passe (PES) pour effectuer votre migration. Cela vous permet de transférer facilement des utilisateurs et des ordinateurs d’un domaine à un autre. Tenez compte des considérations suivantes si vous utilisez PES ou migrez d'un domaine Active Directory géré vers un autre :

• Outil de migration Active Directory (ADMT) pour les utilisateurs, les groupes et les ordinateurs : vous pouvez l'utiliser ADMTpour migrer des utilisateurs d'Active Directory autogéré vers AWS Managed Microsoft AD. Le calendrier de migration et l'importance de l'historique des identifiants de sécurité (SID) constituent un élément important à prendre en compte. SIDL'historique n'est pas transféré pendant la migration. Si la prise en charge de SID l'historique est un besoin essentiel, envisagez d'utiliser Active Directory autogéré sur Amazon EC2 plutôt ADMT que de gérer SID l'historique.

• Serveur d'exportation de mots de passe (PES) : PES peut être utilisé pour migrer des mots de passe vers AWS Managed Microsoft AD, mais pas depuis celui-ci. Pour plus d'informations sur la façon de migrer des utilisateurs et des mots de passe depuis votre annuaire, consultez Comment migrer votre domaine local vers AWS Managed Microsoft AD ADMT à l'aide du blog sur la AWS sécurité et du serveur d'exportation de mots de passe version 3.1 (x64) de la documentation Microsoft.

• LDIF— Le format d'échange de LDAP données (LDIF) est un format de fichier utilisé pour étendre le schéma d'un répertoire Microsoft AD AWS géré. LDIFles fichiers contiennent les informations nécessaires pour ajouter de nouveaux objets et attributs au répertoire. Les fichiers doivent respecter les LDAP normes de syntaxe et contenir des définitions d'objet valides pour chaque objet ajouté par les fichiers. Après avoir créé le LDIF fichier, vous devez le télécharger dans le répertoire pour étendre son schéma. Pour plus d'informations sur l'utilisation de LDIF fichiers pour étendre le schéma d'un répertoire Microsoft AD AWS géré, consultez la section Extension du schéma de AWS Managed AD dans le Guide d'administration du Service d'AWSannuaire.

• CSVDE— Dans certains cas, vous devrez peut-être exporter et importer des utilisateurs vers un répertoire sans créer de confiance ni utiliserADMT. Bien que cela ne soit pas idéal, vous pouvez utiliser Csvde (un outil de ligne de commande) pour migrer les utilisateurs d’Active Directory d’un domaine vers un autre. Pour utiliser Csvde, vous devez créer un CSV fichier contenant les informations utilisateur, telles que les noms d'utilisateur, les mots de passe et l'appartenance à un groupe. Vous pouvez ensuite utiliser la commande Csvde pour importer les utilisateurs dans le nouveau domaine. Vous pouvez également utiliser cette commande pour exporter des utilisateurs existants depuis le domaine source. Cela peut être utile si vous migrez depuis une autre source d'annuaire, telle que SAMBA Domain Services vers Microsoft Active Directory. Pour plus d'informations, consultez Comment migrer vos utilisateurs de Microsoft Active Directory vers Simple AD ou AWS Managed Microsoft AD dans le blog sur la AWS sécurité.

Ressources supplémentaires

• Tout ce que vous vouliez savoir sur les trusts avec AWS Managed Microsoft AD (blog sur AWS la sécurité)

• Comment migrer votre domaine local vers AWS Managed Microsoft AD à l'aide de ADMT (Blog sur AWS la sécurité)

• Active Directory le jour de AWS l'immersion (AWSWorkshop Studio)