Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Migrasi Direktori Aktif
Active Directory adalah identitas khas dan solusi manajemen akses untuk banyak lingkungan perusahaan. Penggabungan DNS, pengguna, dan manajemen mesin menjadikan Active Directory pilihan ideal untuk beban kerja Microsoft dan Linux untuk otentikasi pengguna terpusat. Saat merencanakan perjalanan ke cloud atau AWS, Anda dihadapkan pada pilihan untuk memperluas Active Directory ke AWS atau menggunakan layanan terkelola untuk membongkar pengelolaan infrastruktur layanan direktori. Kami menyarankan Anda memahami risiko dan manfaat dari setiap opsi saat memutuskan pendekatan yang tepat untuk organisasi Anda.
Strategi yang tepat untuk migrasi Direktori Aktif adalah strategi yang sesuai dengan kebutuhan organisasi Anda dan memungkinkan Anda memanfaatkan AWS Cloud. Ini melibatkan pertimbangan tidak hanya layanan direktori itu sendiri tetapi bagaimana mereka berinteraksi dengan layanan AWS lainnya. Selain itu, Anda harus mempertimbangkan tujuan jangka panjang untuk tim yang mengelola Active Directory.
Selain migrasi Direktori Aktif, Anda harus memutuskan struktur akun untuk lokasi Active Directory, topologi jaringan akun AWS Anda, dan integrasi DNS apa dan layanan AWS potensial lainnya yang akan Anda gunakan yang memerlukan Active Directory. Untuk informasi tentang mendesain topologi akun Anda dan pertimbangan strategi migrasi lainnya, lihat bagian Praktik terbaik dasar dari panduan ini.
Menilai
Untuk mengimplementasikan migrasi yang berhasil, penting untuk menilai infrastruktur yang ada dan memahami fitur utama yang diperlukan untuk lingkungan Anda. Kami menyarankan Anda meninjau area berikut sebelum memilih cara bermigrasi:
-
Tinjau desain infrastruktur AWS yang ada — Ikuti panduan di bagian penemuan lingkungan Windows dari panduan ini dan gunakan metode penilaian untuk membantu meninjau infrastruktur Direktori Aktif yang ada jika Anda belum mengetahui jejak dan persyaratan infrastrukturnya. Kami menyarankan Anda menggunakan ukuran yang ditentukan dari Microsoft untuk infrastruktur Direktori Aktif di AWS. Jika Anda memperluas infrastruktur Direktori Aktif ke AWS, Anda mungkin hanya memerlukan sebagian jejak otentikasi Direktori Aktif di AWS. Untuk alasan ini, hindari melebih-lebihkan lingkungan Anda kecuali Anda benar-benar memindahkan jejak Active Directory Anda ke AWS. Untuk informasi selengkapnya, lihat Perencanaan kapasitas untuk Layanan Domain Direktori Aktif
di dokumentasi Microsoft. -
Tinjau desain Active Directory lokal yang ada — Tinjau pemanfaatan Direktori Aktif lokal (dikelola sendiri) saat ini. Jika Anda memperluas lingkungan Direktori Aktif ke AWS, sebaiknya jalankan Active Directory pada beberapa pengontrol domain di AWS bahkan sebagai ekstensi ke lingkungan lokal Anda. Ini mematuhi AWS Well-Architected
Framework untuk merancang potensi kegagalan dengan menerapkan instance di beberapa Availability Zone. -
Identifikasi dependensi dalam aplikasi dan jaringan — Sebelum memilih strategi migrasi apa yang terbaik, Anda harus sepenuhnya memahami semua fitur Active Directory yang diperlukan organisasi Anda untuk fungsionalitas. Ini berarti bahwa ketika memilih antara layanan terkelola atau hosting mandiri, penting untuk memahami opsi untuk masing-masing. Pertimbangkan item berikut saat memutuskan migrasi mana yang tepat untuk Anda:
-
Persyaratan untuk akses — Persyaratan untuk akses untuk mengontrol Active Directory akan menetapkan jalur migrasi yang tepat untuk Anda. Jika Anda memerlukan akses penuh ke pengontrol domain Direktori Aktif untuk menginstal semua jenis agen untuk peraturan kepatuhan, AWS Managed Microsoft AD mungkin bukan solusi yang tepat untuk Anda. Sebagai gantinya, selidiki ekstensi Direktori Aktif dari pengontrol domain Anda ke Amazon EC2 dalam akun AWS Anda.
-
Garis waktu migrasi — Jika Anda memiliki garis waktu perpanjangan untuk migrasi yang tidak memiliki tanggal penyelesaian yang jelas, verifikasi bahwa Anda memiliki kemungkinan untuk administrasi instance di cloud dan di lingkungan lokal. Otentikasi adalah komponen kunci untuk beban kerja Microsoft untuk menghindari masalah administrasi. Sebaiknya Anda merencanakan pemindahan Active Directory di awal migrasi.
-
-
Strategi Backup — Jika Anda menggunakan cadangan Windows yang ada untuk menangkap status sistem pengontrol domain Active Directory, Anda dapat terus menggunakan strategi pencadangan yang ada di AWS. Selain itu, AWS menawarkan opsi teknologi untuk membantu Anda mencadangkan instans Anda. Misalnya, AWS Data Lifecycle Manager, AWS Backup, dan AWS
Elastic Disaster Recovery adalah teknologi yang didukung untuk mencadangkan pengontrol domain Active Directory. Untuk menghindari masalah, sebaiknya jangan mengandalkan pemulihan Active Directory. Praktik terbaik yang disarankan adalah membangun arsitektur yang tangguh, tetapi sangat penting untuk memiliki metode cadangan jika pemulihan diperlukan. -
Kebutuhan pemulihan bencana (DR) — Jika Anda memigrasikan Active Directory ke AWS, Anda harus merancang ketahanan jika terjadi bencana. Jika Anda memindahkan direktori aktif yang ada ke AWS, Anda dapat menggunakan Wilayah AWS sekunder dan menghubungkan kedua Wilayah dengan menggunakan Transit Gateway untuk memungkinkan terjadinya replikasi. Ini biasanya metode yang disukai. Ada beberapa organisasi yang memiliki berbagai persyaratan untuk menguji failover di lingkungan yang terisolasi, di mana Anda memutuskan konektivitas antara situs primer dan sekunder selama berhari-hari untuk menguji keandalan. Jika ini adalah persyaratan dalam organisasi Anda, mungkin perlu waktu untuk membersihkan masalah otak terpisah dari Active Directory. Anda mungkin dapat menggunakan AWS Elastic Disaster Recovery
sebagai implementasi aktif/pasif di mana Anda meninggalkan situs DR Anda sebagai lingkungan failover dan harus secara rutin menguji strategi DR Anda secara terpisah. Merencanakan persyaratan tujuan waktu pemulihan (RTO) dan tujuan titik pemulihan (RPO) organisasi Anda merupakan faktor penting saat menilai migrasi Anda ke AWS. Pastikan Anda memiliki persyaratan yang ditentukan bersama dengan rencana pengujian dan failover untuk memvalidasi implementasi.
Memobilisasi
Strategi yang tepat untuk memenuhi kebutuhan organisasi dan operasional Anda merupakan elemen penting dalam memigrasikan atau memperluas Active Directory ke AWS. Memilih bagaimana Anda akan berintegrasi dengan layanan AWS sangat penting untuk mengadopsi AWS. Pastikan untuk memilih ekstensi metode Active Directory atau AWS Managed Microsoft AD yang memenuhi persyaratan bisnis Anda. Ada beberapa fitur dalam layanan seperti Amazon RDS yang bergantung pada penggunaan AWS Managed Microsoft AD. Pastikan Anda mengevaluasi batasan layanan AWS untuk menentukan apakah ada batasan kompatibilitas untuk Active Directory di Amazon EC2 dan AWS Managed Microsoft AD. Kami menyarankan Anda mempertimbangkan poin integrasi berikut sebagai bagian dari proses perencanaan Anda.
Pertimbangkan alasan berikut untuk menggunakan Active Directory di AWS:
-
Aktifkan aplikasi AWS untuk bekerja dengan Active Directory
-
Menggunakan Active Directory untuk masuk ke AWS Management Console
Aktifkan aplikasi AWS untuk bekerja dengan Active Directory
Anda dapat mengaktifkan beberapa aplikasi dan layanan AWS seperti AWS Client VPN
Pengguna Anda dapat masuk ke instans Anda dengan kredensi Direktori Aktif mereka. Ini menghilangkan kebutuhan untuk menggunakan kredensial instans individu atau mendistribusikan file kunci pribadi (PEM). Ini memudahkan Anda untuk langsung memberikan atau mencabut akses ke pengguna dengan menggunakan alat administrasi pengguna Active Directory yang sudah Anda gunakan.
Menggunakan Active Directory untuk masuk ke AWS Management Console
AWS Managed Microsoft AD memungkinkan Anda memberi anggota direktori akses ke AWS Management Console. Secara default, anggota direktori Anda tidak memiliki akses ke sumber daya AWS apa pun. Anda menetapkan peran AWS Identity and Access Management (IAM) kepada anggota direktori Anda untuk memberi mereka akses ke berbagai layanan dan sumber daya AWS. IAM role menentukan layanan, sumber daya, dan tingkat akses yang dimiliki anggota direktori Anda.
Misalnya, Anda dapat mengaktifkan pengguna untuk masuk ke AWS Management Console dengan kredensyal Direktori Aktif
Sebelum Anda dapat memberikan akses konsol ke anggota direktori Anda, direktori Anda harus memiliki URL akses. Untuk informasi selengkapnya tentang cara melihat detail direktori dan mendapatkan URL akses Anda, lihat Melihat informasi direktori di Panduan Administrasi Layanan AWS Directory Service. Untuk informasi selengkapnya tentang cara membuat URL akses, lihat Membuat URL akses di Panduan Administrasi Layanan AWS Directory Service. Untuk informasi selengkapnya tentang cara membuat dan menetapkan peran IAM ke anggota direktori Anda, lihat Memberi pengguna dan grup akses ke sumber daya AWS di Panduan Administrasi Layanan Direktori AWS.
Pertimbangkan opsi migrasi berikut untuk Active Directory:
-
Perluas Direktori Aktif
-
Migrasi ke AWS Managed Microsoft AD
-
Gunakan kepercayaan untuk menghubungkan Active Directory dengan AWS Managed Microsoft AD
-
Integrasikan Active Directory DNS dengan Amazon Route 53
Perluas Direktori Aktif
Jika Anda sudah memiliki infrastruktur Direktori Aktif dan ingin menggunakannya saat memigrasikan beban kerja Active Directory-aware ke AWS Cloud, AWS Managed Microsoft AD dapat membantu. Anda dapat menggunakan trust untuk menghubungkan AWS Managed Microsoft AD ke Active Directory yang ada. Ini berarti pengguna Anda dapat mengakses aplikasi Active Directory-aware dan AWS dengan kredensi Active Directory lokal mereka, tanpa perlu Anda menyinkronkan pengguna, grup, atau kata sandi. Misalnya, pengguna Anda dapat masuk ke AWS Management Console dan WorkSpaces dengan menggunakan nama pengguna dan kata sandi Active Directory yang ada. Selain itu, saat Anda menggunakan aplikasi Active Directory-aware seperti SharePoint AWS Managed Microsoft AD, pengguna Windows yang masuk dapat mengakses aplikasi ini tanpa perlu memasukkan kredensialnya lagi.
Selain menggunakan kepercayaan, Anda dapat memperluas Active Directory dengan menerapkan Active Directory untuk berjalan pada instans EC2 di AWS. Anda dapat melakukannya sendiri atau bekerja dengan AWS
Migrasi ke AWS Managed Microsoft AD
Anda dapat menerapkan dua mekanisme untuk menggunakan Active Directory di AWS. Salah satu metode adalah dengan mengadopsi AWS Managed Microsoft AD untuk memigrasikan objek Active Directory Anda ke AWS. Ini termasuk pengguna, komputer, kebijakan grup, dan banyak lagi. Mekanisme kedua adalah pendekatan manual di mana Anda mengekspor semua pengguna dan objek, dan kemudian secara manual mengimpor pengguna dan objek dengan menggunakan Alat Migrasi Direktori Aktif
Ada alasan tambahan untuk pindah ke AWS Managed Microsoft Active Directory:
-
AWS Managed Microsoft AD adalah domain Microsoft Active Directory aktual yang memungkinkan Anda menjalankan beban kerja tradisional yang sadar Active Directory seperti Microsoft Remote Desktop Licensing Manager
, Microsoft SharePoint, dan Microsoft SQL Server Always On di AWS Cloud. -
AWS Managed Microsoft AD membantu Anda menyederhanakan dan meningkatkan keamanan aplikasi.NET yang terintegrasi dengan Direktori Aktif dengan menggunakan Akun Layanan Terkelola grup (GMSAs) dan delegasi terbatas Kerberos (KCD). Untuk informasi selengkapnya, lihat Menyederhanakan Migrasi dan Meningkatkan Keamanan Direktori Aktif—Aplikasi.NET Terintegrasi dengan Menggunakan AWS Microsoft AD dalam dokumentasi AWS
.
Anda dapat membagikan AWS Managed Microsoft AD di beberapa akun AWS. Ini memungkinkan Anda mengelola layanan AWS, seperti Amazon EC2
Anda dapat dengan cepat menerapkan beban kerja sadar direktori pada instans EC2 dengan menghilangkan kebutuhan untuk menggabungkan instans Anda secara manual ke domain atau menerapkan direktori di setiap akun dan Amazon VPC. Untuk informasi selengkapnya, lihat Membagikan direktori Anda di Panduan Administrasi Layanan AWS Directory. Perlu diingat bahwa ada biaya untuk berbagi lingkungan AWS Managed Microsoft AD. Anda dapat berkomunikasi dengan lingkungan AWS Managed Microsoft AD dari jaringan atau akun lain dengan menggunakan rekan Amazon VPC atau rekan Transit Gateway, sehingga berbagi mungkin tidak diperlukan. Jika Anda bermaksud menggunakan direktori dengan layanan berikut, maka Anda harus berbagi domain: Amazon Aurora MySQL, Amazon Aurora PostgreSQL, Amazon FSX, Amazon RDS untuk MariaDB, Amazon RDS for MariaDB, Amazon RDS untuk MySQL Oracle, Amazon RDS untuk PostgreSQL, dan Amazon RDS for SQL Server.
Gunakan kepercayaan dengan AWS Managed Microsoft AD
Untuk memberi pengguna akses direktori yang ada ke sumber daya AWS, Anda dapat menggunakan kepercayaan dengan implementasi AWS Managed Microsoft AD Anda. Anda juga dapat membuat kepercayaan antara lingkungan AWS Managed Microsoft AD. Untuk informasi selengkapnya, lihat Semua yang ingin Anda ketahui tentang trust dengan postingan AWS Managed Microsoft AD
Integrasikan Active Directory DNS dengan Amazon Route 53
Saat Anda bermigrasi ke AWS, Anda dapat mengintegrasikan DNS ke lingkungan Anda dengan menggunakan resolver Route 53 untuk mengizinkan akses ke server Anda (dengan menggunakan nama DNS mereka). Kami menyarankan Anda menggunakan titik akhir resolver Route 53 untuk mencapai hal ini daripada memodifikasi set opsi DHCP. Ini adalah pendekatan yang lebih terpusat untuk mengelola konfigurasi DNS Anda daripada memodifikasi set opsi DHCP. Selain itu, Anda dapat memanfaatkan berbagai aturan resolver. Untuk informasi selengkapnya, lihat posting Mengintegrasikan resolusi DNS Layanan Direktori Anda dengan Amazon Route 53 Resolvers
Migrasi
Saat memulai migrasi ke AWS, sebaiknya pertimbangkan opsi konfigurasi dan perkakas untuk membantu Anda bermigrasi. Penting juga untuk mempertimbangkan aspek keamanan dan operasional jangka panjang dari lingkungan Anda.
Pertimbangkan opsi berikut:
-
Keamanan cloud-native
-
Alat untuk memigrasikan Active Directory ke AWS
Keamanan cloud-native
-
Konfigurasi grup keamanan untuk pengontrol Direktori Aktif — Jika Anda menggunakan AWS Managed Microsoft AD, pengontrol domain dilengkapi dengan konfigurasi keamanan VPC untuk akses terbatas ke pengontrol domain. Mungkin perlu bagi Anda untuk memodifikasi aturan grup keamanan untuk mengizinkan akses untuk beberapa kasus penggunaan potensial. Untuk informasi selengkapnya tentang konfigurasi grup keamanan, lihat Meningkatkan konfigurasi keamanan jaringan AWS Managed Microsoft AD Anda di Panduan Administrasi Layanan AWS Directory Service. Kami menyarankan agar Anda tidak mengizinkan pengguna untuk memodifikasi grup ini atau menggunakannya untuk layanan AWS lainnya. Mengizinkan pengguna lain untuk menggunakan ini dapat menyebabkan gangguan layanan ke lingkungan Active Directory Anda jika pengguna memodifikasinya untuk memblokir komunikasi yang diperlukan.
-
Integrasikan dengan CloudWatch Log Amazon untuk log peristiwa Direktori Aktif — Jika Anda menjalankan AWS Managed Microsoft AD atau menggunakan Direktori Aktif yang dikelola sendiri, Anda dapat memanfaatkan CloudWatch Log Amazon untuk memusatkan pencatatan Direktori Aktif Anda. Anda dapat menggunakan CloudWatch log untuk menyalin otentikasi, keamanan, dan log lainnya. CloudWatch Ini memberi Anda cara mudah untuk mencari log di satu tempat, dan ini dapat membantu memenuhi beberapa persyaratan kepatuhan. Kami merekomendasikan integrasi dengan CloudWatch Log karena dapat membantu Anda merespons insiden masa depan dengan lebih baik di lingkungan Anda. Untuk informasi selengkapnya, lihat Mengaktifkan CloudWatch Log Amazon untuk AWS Managed Active Directory di AWS Directory Service Administration Guide dan Amazon CloudWatch Logs untuk Windows Event Logs
di AWS Knowledge Center.
Alat untuk memigrasikan Active Directory ke AWS
Kami menyarankan Anda menggunakan Alat Migrasi Direktori Aktif (ADMT) dan Server Ekspor Kata Sandi (PES) untuk melakukan migrasi Anda. Ini memungkinkan Anda untuk dengan mudah memindahkan pengguna dan komputer dari satu domain ke domain lainnya. Perhatikan pertimbangan berikut jika Anda menggunakan PES atau bermigrasi dari satu domain Direktori Aktif terkelola ke domain lain:
-
Alat Migrasi Direktori Aktif (ADMT) untuk pengguna, grup, dan komputer — Anda dapat menggunakan ADMT
untuk memigrasikan pengguna dari Active Directory yang dikelola sendiri ke AWS Managed Microsoft AD. Pertimbangan penting adalah timeline migrasi dan pentingnya Security Identifier (SID) History. Riwayat SID tidak ditransfer selama migrasi. Jika mendukung Riwayat SID adalah kebutuhan penting, pertimbangkan untuk menggunakan Direktori Aktif yang dikelola sendiri di Amazon EC2 alih-alih ADMT sehingga Anda dapat mempertahankan Riwayat SID. -
Server Ekspor Kata Sandi (PES) — PES dapat digunakan untuk memigrasikan kata sandi ke tetapi tidak keluar dari AWS Managed Microsoft AD. Untuk informasi tentang cara memigrasi pengguna dan kata sandi dari direktori Anda, lihat Cara memigrasikan domain lokal Anda ke AWS Managed Microsoft AD menggunakan ADMT di
AWS Security Blog dan Server Ekspor Kata Sandi versi 3.1 (x64) dari dokumentasi Microsoft. -
LDIF - LDAP Data Interchange Format (LDIF) adalah format file yang digunakan untuk memperluas skema direktori AWS Managed Microsoft AD. File LDIF berisi informasi yang diperlukan untuk menambahkan objek dan atribut baru ke direktori. File harus memenuhi standar LDAP untuk sintaks dan harus berisi definisi objek yang valid untuk setiap objek yang ditambahkan file. Setelah Anda membuat file LDIF, Anda harus mengunggah file ke direktori untuk memperluas skema. Untuk informasi selengkapnya tentang penggunaan file LDIF untuk memperluas skema direktori AWS Managed Microsoft AD, lihat Memperluas skema AWS Managed AD di Panduan Administrasi Layanan AWS Directory.
-
CSVDE — Dalam beberapa kasus, Anda mungkin perlu mengekspor dan mengimpor pengguna ke direktori tanpa membuat kepercayaan dan menggunakan ADMT. Meskipun tidak ideal, Anda dapat menggunakan Csvde
(alat baris perintah) untuk memigrasikan pengguna Active Directory dari satu domain ke domain lainnya. Untuk menggunakan Csvde, Anda harus membuat file CSV yang berisi informasi pengguna, seperti nama pengguna, kata sandi, dan keanggotaan grup. Kemudian, Anda dapat menggunakan perintah csvde untuk mengimpor pengguna ke domain baru. Anda juga dapat menggunakan perintah ini untuk mengekspor pengguna yang ada dari domain sumber. Ini mungkin berguna jika Anda bermigrasi dari sumber direktori lain, seperti Layanan Domain SAMBA ke Microsoft Active Directory. Untuk informasi selengkapnya, lihat Cara Memigrasi Pengguna Microsoft Active Directory Anda ke Simple AD atau AWS Managed Microsoft AD di AWS Security Blog.
Sumber daya tambahan
-
Semua yang ingin Anda ketahui tentang kepercayaan dengan AWS Managed Microsoft AD (AWS
Security Blog) -
Cara memigrasikan domain lokal Anda ke AWS Managed Microsoft AD menggunakan ADMT (
AWS Security Blog) -
Direktori Aktif pada Hari Perendaman AWS
(AWS Workshop Studio)