Migrazione di Active Directory

Active Directory è una soluzione di gestione delle identità e degli accessi in uso presso molti ambienti aziendali. L'abbinamento della DNS gestione degli utenti e delle macchine rende Active Directory la scelta ideale per i carichi di lavoro Microsoft e Linux per l'autenticazione centralizzata degli utenti. Quando pianifichi il tuo percorso verso il cloud o verso il cloudAWS, ti trovi di fronte alla scelta di estendere Active Directory AWS o utilizzare un servizio gestito per sgravare la gestione dell'infrastruttura dei servizi di directory. Al momento di decidere l'approccio giusto per la tua organizzazione, ti consigliamo di comprendere i rischi e i vantaggi di ciascuna opzione.

La strategia giusta per una migrazione ad Active Directory è quella che si adatta alle esigenze della tua organizzazione e ti consente di sfruttare i vantaggi del AWS cloud. Ciò implica prendere in considerazione non solo i servizi di directory stessi, ma anche il modo in cui interagiscono con altri AWS servizi. Inoltre, è necessario considerare gli obiettivi a lungo termine dei team che gestiscono Active Directory.

Oltre alla migrazione di Active Directory, è necessario decidere la struttura degli account in cui collocare Active Directory, la topologia di rete degli AWS account e quali DNS integrazioni e altri potenziali AWS servizi si prevede di utilizzare che richiedono Active Directory. Per dettagli sulla progettazione della topologia degli account e ulteriori suggerimenti strategici per la migrazione, si raccomanda di consultare la sezione Best practice di base presente in questa guida.

Valutazione

Per implementare una migrazione di successo, è importante valutare l'infrastruttura esistente e comprendere le funzionalità essenziali necessarie per l'ambiente in uso. Prima di scegliere la modalità di migrazione, ti consigliamo di rivedere le seguenti aree:

• Esamina la progettazione AWS dell'infrastruttura esistente: segui le indicazioni contenute nella sezione relativa all'individuazione dell'ambiente Windows di questa guida e utilizza i metodi di valutazione per esaminare l'infrastruttura Active Directory esistente se non sei già a conoscenza del suo ingombro e dei requisiti di infrastruttura. Si consiglia di utilizzare il dimensionamento prescritto dall'infrastruttura Microsoft per Active Directory inAWS. Se intendi estendere la tua infrastruttura Active Directory aAWS, potresti richiedere solo una parte del footprint di autenticazione di Active Directory in. AWS Per questo motivo, evita di sovradimensionare il tuo ambiente a meno che tu non stia spostando completamente l'impronta di Active Directory in. AWS Per ulteriori informazioni, consulta la pagina Pianificazione della capacità per i servizi di Dominio di Active Directory nella documentazione di Microsoft.

• Esamina la progettazione di Active Directory on-premise esistente: esamina l'utilizzo attuale di Active Directory on-premise (autogestito). Se intendi estendere il tuo ambiente Active Directory aAWS, ti consigliamo di eseguire Active Directory su più controller di dominio AWS anche come estensione dell'ambiente locale. Questo aderisce al AWSWell-Architected Framework di progettazione per potenziali guasti distribuendo istanze in più zone di disponibilità.

• Identifica le dipendenze nelle applicazioni e nella rete: prima di scegliere la strategia di migrazione migliore, è necessario comprendere appieno tutte le funzionalità di Active Directory necessarie per la funzionalità dell'organizzazione. Questo implica che, nella decisione tra optare per un servizio gestito o per l'autogestione, è fondamentale avere una chiara comprensione delle opzioni disponibili per ciascuna scelta. Per decidere quale migrazione è più adatta a te, considera gli elementi seguenti:

  • Requisiti di accesso: i requisiti di accesso per il controllo di Active Directory determinano il percorso di migrazione giusto per te. Se hai bisogno dell'accesso completo ai controller di dominio Active Directory per installare qualsiasi tipo di agente per le normative di conformità, AWS Managed Microsoft AD potrebbe non essere la soluzione giusta per te. Cerca invece un'estensione di Active Directory dai tuoi controller di dominio ad Amazon all'EC2interno AWS dei tuoi account.

  • Tempi di migrazione: se hai un lasso di tempo prolungato per la migrazione senza date precise di completamento, assicurati di avere piani di contingenza per la gestione delle istanze sia nel cloud che negli ambienti on-premise. Per evitare problemi di amministrazione con i carichi di lavoro Microsoft, l'autenticazione è un componente indispensabile. Ti consigliamo di pianificare lo spostamento di Active Directory nelle prime fasi della migrazione.

• Strategie di backup: se si utilizza un backup Windows esistente per acquisire lo stato del sistema dei controller di dominio Active Directory, è possibile continuare a utilizzare le strategie di backup esistenti in. AWS Inoltre, AWS offre opzioni tecnologiche per aiutarti a eseguire il backup delle istanze. Ad esempio, AWSData Lifecycle Manager, AWSBackup ed AWSElastic Disaster Recovery sono tecnologie supportate per il backup dei controller di dominio Active Directory. Per evitare problemi, è meglio non fare affidamento sul ripristino di Active Directory. La best practice consigliata è quella di creare un'architettura resiliente, ma è fondamentale disporre di un metodo di backup se si rende necessario il ripristino.

• Esigenze di disaster recovery (DR): se stai migrando Active Directory verso, AWS devi progettare la resilienza in caso di emergenza. Se stai spostando la tua Active Directory esistente inAWS, puoi utilizzare una AWS regione secondaria e connettere le due regioni utilizzando Transit Gateway per consentire la replica. In genere questo è il metodo preferito. Alcune organizzazioni hanno requisiti diversi per testare il failover in un ambiente isolato, in cui si interrompe la connettività tra il sito primario e quello secondario per giorni per testare l'affidabilità. Se questo requisito si applica anche alla tua organizzazione, potrebbe essere necessario del tempo per risolvere i problemi di split-brain causati da Active Directory. Potresti essere in grado di utilizzare AWSElastic Disaster Recovery come implementazione attiva/passiva in cui lasci il sito DR come ambiente di failover e devi testare regolarmente la tua strategia di DR in modo isolato. La pianificazione dei requisiti relativi al Recovery Time Objective (RTO) e al Recovery Point Objective (RPO) dell'organizzazione è un fattore importante nella valutazione della migrazione a. AWS Assicurati di avere definito i requisiti così come un piano di test e failover per convalidare l'implementazione.

Mobilitazione

La strategia adeguata per soddisfare le esigenze organizzative e operative è un elemento importante per la migrazione o l'estensione di Active Directory verso. AWS La scelta del modo in cui integrarsi con AWS i servizi è fondamentale per l'adozione. AWS Assicurati di scegliere l'estensione del metodo di Active Directory o AWS Managed Microsoft AD che soddisfi i tuoi requisiti aziendali. Esistono alcune funzionalità in servizi come Amazon RDS che dipendono dall'utilizzo di AWS Managed Microsoft AD. Assicurati di valutare le limitazioni AWS del servizio per determinare se esistono vincoli di compatibilità per Active Directory su Amazon EC2 e Managed AWS Microsoft AD. Ti consigliamo di prendere in considerazione i seguenti punti di integrazione come parte del processo di pianificazione.

Considera i seguenti motivi per utilizzare Active Directory in: AWS

• Abilita AWS le applicazioni a funzionare con Active Directory

• Usa Active Directory per accedere alla console AWS di gestione

Abilita AWS le applicazioni a funzionare con Active Directory

Puoi abilitare più AWS applicazioni e servizi come AWS Client VPN, AWS Management Console, AWS IAM Identity Center (successore di AWS Single Sign-On), Amazon Chime, AmazonConnect, Amazonfor Windows File Server, FSx Amazon QuickSight, RDS Amazonfor Server (applicabile solo SQL per Directory Service), Amazon, Amazon WorkDocs WorkMaile Amazon WorkSpaces per utilizzare la tua directory AWS Managed Microsoft AD. Quando abiliti un'AWSapplicazione o un servizio nella tua directory, gli utenti possono accedere all'applicazione o al servizio con le proprie credenziali Active Directory. Puoi utilizzare gli strumenti di amministrazione di Active Directory familiari per applicare gli oggetti di policy di gruppo di Active Directory (GPOs) per gestire centralmente le tue istanze Amazon EC2 for Windows o Linux unendo le tue istanze alla tua directory AWSManaged Microsoft AD.

Gli utenti possono effettuare l'accesso alle istanze con le proprie credenziali Active Directory. Ciò elimina la necessità di utilizzare le credenziali delle singole istanze o di distribuire file di chiave privata ()PEM. In questo modo è più semplice concedere o revocare immediatamente l'accesso agli utenti con gli strumenti di amministrazione degli utenti di Active Directory già in uso.

Usa Active Directory per accedere alla console di AWS gestione

AWSManaged Microsoft AD consente di concedere ai membri della directory l'accesso alla console di AWS gestione. Per impostazione predefinita, i membri della directory non hanno accesso ad alcuna AWS risorsa. Assegni ruoli AWS Identity and Access Management (IAM) ai membri della directory per consentire loro di accedere ai vari AWS servizi e risorse. Il IAM ruolo definisce i servizi, le risorse e il livello di accesso dei membri della directory.

Ad esempio, puoi consentire agli utenti di accedere alla Console di AWS gestione con le proprie credenziali di Active Directory. A tale scopo, abiliti la Console di AWS gestione come applicazione nella tua directory e quindi assegni gli utenti e i gruppi di Active Directory ai IAM ruoli. Quando gli utenti accedono alla Console di AWS gestione, assumono il IAM ruolo di gestione AWS delle risorse. In questo modo è facile concedere agli utenti l'accesso alla console di AWS gestione senza dover configurare e gestire un'SAMLinfrastruttura separata. Per ulteriori informazioni, consulta Come la sincronizzazione con AWS IAM Identity Center Active Directory migliora AWS l'esperienza delle applicazioni nel AWS Security Blog. È possibile concedere l'accesso agli account utente nella directory o nell'istanza Active Directory on-premise. Ciò consente agli utenti di accedere alla Console di AWS gestione o tramite l'interfaccia a riga di AWS comando (AWSCLI) utilizzando le credenziali e le autorizzazioni esistenti per gestire AWS le risorse assegnando IAM ruoli direttamente agli account utente esistenti.

Prima di poter concedere l'accesso dalla console ai membri della directory, è necessario che quest'ultima disponga di un accesso. URL Per ulteriori informazioni su come visualizzare i dettagli delle directory e ottenere l'accessoURL, vedere Visualizza le informazioni sulle AWS directory nella Directory Service Administration Guide. Per ulteriori informazioni su come creare un accessoURL, vedere Creating an access URL nella AWS Directory Service Administration Guide. Per ulteriori informazioni su come creare e assegnare IAM ruoli ai membri della directory, consulta Concedere a utenti e gruppi l'accesso alle AWS risorse nella AWS Directory Service Administration Guide.

Considera le seguenti opzioni di migrazione per Active Directory:

• Estensione di Active Directory

• Migrazione a AWS Managed Microsoft AD

• Usa un trust per connettere Active Directory con AWS Managed Microsoft AD

• Integrazione di Active Directory DNS con Amazon Route 53

Estensione di Active Directory

Se disponi già di un'infrastruttura Active Directory e desideri utilizzarla per la migrazione di carichi di lavoro compatibili con Active Directory sul cloudAWS, Managed AWS Microsoft AD può aiutarti. Puoi utilizzare i trust per connettere AWS Managed Microsoft AD all'Active Directory esistente. Ciò significa che gli utenti possono accedere alle AWS applicazioni e alle applicazioni compatibili con Active Directory con le proprie credenziali di Active Directory locali, senza che sia necessario sincronizzare utenti, gruppi o password. Ad esempio, gli utenti possono accedere alla Console di AWS gestione e utilizzare i nomi utente e le password di WorkSpaces Active Directory esistenti. Inoltre, quando si utilizzano applicazioni compatibili con Active Directory, ad esempio con SharePoint Managed AWS Microsoft AD, gli utenti Windows che hanno effettuato l'accesso possono accedere a tali applicazioni senza dover immettere nuovamente le credenziali.

Oltre a utilizzare un trust, puoi estendere Active Directory distribuendo Active Directory per l'esecuzione su istanze in. EC2 AWS Puoi farlo da solo o collaborare con noi AWS per aiutarti nel processo. Ti consigliamo di distribuire almeno due controller di dominio in zone di disponibilità diverse quando estendi Active Directory a. AWS Potrebbe essere necessario distribuire più di due controller di dominio in base al numero di utenti e computer presentiAWS, ma il numero minimo consigliato è due per motivi di resilienza. Puoi anche migrare il dominio Active Directory locale per AWS liberarti dal carico operativo dell'infrastruttura Active Directory utilizzando Active Directory Migration Toolkit (ADMT) e Password Export Server (PES) per eseguire la migrazione. È inoltre possibile utilizzare Active Directory Launch Wizard per distribuire Active Directory su. AWS

Migrazione a AWS Managed Microsoft AD

È possibile applicare due meccanismi per utilizzare Active Directory inAWS. Un metodo consiste nell'adottare AWS Managed Microsoft AD per migrare gli oggetti di Active Directory versoAWS. Ciò include utenti, computer, policy di gruppo e altro ancora. Il secondo metodo consiste in un approccio manuale, che prevede l'esportazione di tutti gli utenti e gli oggetti, per poi importarli manualmente attraverso lo strumento di migrazione di Active Directory.

Esistono altri motivi per passare a AWS Managed Microsoft Active Directory:

• AWSManaged Microsoft AD è un dominio Microsoft Active Directory effettivo che consente di eseguire carichi di lavoro tradizionali compatibili con Active Directory come Microsoft Remote Desktop Licensing Manager SharePoint, Microsoft e SQL Microsoft Server Always On in the Cloud. AWS

• AWSManaged Microsoft AD ti aiuta a semplificare e migliorare la sicurezza dell'integrazione con Active Directory. NETapplicazioni che utilizzano Managed Service Accounts di gruppo (gMSAs) e Kerberos Constrained Delegation (). KCD Per ulteriori informazioni, consulta Semplifica la migrazione e migliora la sicurezza di Active Directory—Integrated. NETApplicazioni che utilizzano AWS Microsoft AD nella AWS documentazione.

Puoi condividere AWS Managed Microsoft AD su più AWS account. Ciò consente di gestire AWS servizi, come Amazon EC2, senza la necessità di gestire una directory per ogni account e ogni Amazon Virtual Private Cloud (AmazonVPC). Puoi utilizzare la tua directory da qualsiasi AWS account e da qualsiasi Amazon VPC all'interno di una AWS regione. Questa funzionalità rende più semplice ed economica la gestione dei carichi di lavoro compatibili con le directory con un'unica directory per più account e. VPCs Ad esempio, ora puoi gestire facilmente i carichi di lavoro Microsoft distribuiti in EC2 istanze su più account e Amazon VPCs utilizzando un'unica directory AWS Microsoft AD gestita. Quando condividi la tua directory AWS Managed Microsoft AD con un altro AWS account, puoi utilizzare la EC2 console Amazon o AWSSystems Manager per unire senza problemi le tue istanze da qualsiasi Amazon VPC all'interno dell'account e AWS della regione.

Puoi distribuire rapidamente i carichi di lavoro compatibili con le directory sulle EC2 istanze eliminando la necessità di aggiungere manualmente le istanze a un dominio o di distribuire le directory in ogni account e Amazon. VPC Per ulteriori informazioni, consulta Condividere la AWS directory nella Directory Service Administration Guide. Tieni presente che la condivisione di un ambiente Microsoft AD AWS gestito comporta un costo. Puoi comunicare con l'ambiente AWS Managed Microsoft AD da altre reti o account utilizzando un peer Amazon o un VPC peer Transit Gateway, quindi la condivisione potrebbe non essere necessaria. Se intendi utilizzare la directory con i seguenti servizi, devi condividere il dominio: Amazon Aurora MySQL, Amazon Aurora Postgre, Amazon, Amazon for RDS MariaDB, SQL FSx Amazon for MySQL, Amazon for Oracle, Amazon RDS for Postgre e RDS Amazon for Server. RDS SQL RDS SQL

Usa un trust con AWS Managed Microsoft AD

Per concedere agli utenti di una directory esistente l'accesso alle AWS risorse, puoi utilizzare un trust con la tua implementazione AWS Managed Microsoft AD. È anche possibile creare trust tra ambienti Microsoft AD AWS gestiti. Per ulteriori informazioni, consulta il post Tutto ciò che volevi sapere sui trust con AWS Managed Microsoft AD nel blog sulla AWS sicurezza.

Integrazione di Active Directory DNS con Amazon Route 53

Quando esegui la migrazione aAWS, puoi DNS integrarti nel tuo ambiente utilizzando i resolver Route 53 per consentire l'accesso ai tuoi server (utilizzando i loro nomi). DNS Si consiglia di utilizzare gli endpoint del resolver Route 53 per eseguire questa operazione anziché modificare i set di opzioni. DHCP Si tratta di un approccio più centralizzato per la gestione della configurazione rispetto alla modifica dei set di opzioniDNS. DHCP Inoltre, puoi sfruttare una varietà di regole dei risolutori. Per ulteriori informazioni, consulta il post Integrating your Directory Service with Amazon Route 53 DNS Resolvers nel blog Networking & Content Delivery e la sezione Configurazione della DNS risoluzione per reti ibride in un AWS ambiente multi-account nella documentazione Prescriptive Guidance. AWS

Migrazione

Quando inizi la migrazione versoAWS, ti consigliamo di prendere in considerazione le opzioni di configurazione e gli strumenti per aiutarti a migrare. È anche importante considerare gli aspetti operativi e di sicurezza a lungo termine dell'ambiente.

Considera le seguenti opzioni:

• Sicurezza nativa del cloud

• Strumenti per migrare Active Directory verso AWS

Sicurezza nativa del cloud

• Configurazioni dei gruppi di sicurezza per i controller di Active Directory: se utilizzi Managed AWS Microsoft AD, i controller di dominio sono dotati di una configurazione di VPC sicurezza per l'accesso limitato ai controller di dominio. Per alcuni potenziali casi d'uso, potrebbe essere necessario modificare le regole del gruppo di sicurezza per consentire l'accesso. Per ulteriori informazioni sulla configurazione dei gruppi di sicurezza, vedere Migliora la configurazione di sicurezza della rete AWS Managed Microsoft AD nella AWS Directory Service Administration Guide. Ti consigliamo di non consentire agli utenti di modificare questi gruppi o di utilizzarli per altri AWS servizi. Permettere ad altri utenti di manipolare i gruppi potrebbe portare a interruzioni del servizio nell'ambiente Active Directory, specialmente se gli utenti apportano modifiche che impediscono le comunicazioni essenziali.

• Integrazione con i registri degli eventi di Amazon CloudWatch Logs per Active Directory: se utilizzi Managed AWS Microsoft AD o utilizzi un Active Directory autogestito, puoi sfruttare Amazon CloudWatch Logs per centralizzare la registrazione di Active Directory. Puoi utilizzare i log per copiare CloudWatch log di autenticazione, sicurezza e altri registri. CloudWatch Si tratta di una soluzione semplice per cercare i log in un unico posto e può contribuire a soddisfare alcuni requisiti di conformità. Consigliamo l'integrazione con CloudWatch Logs perché può aiutarvi a rispondere meglio agli incidenti futuri nel vostro ambiente. Per ulteriori informazioni, consulta Enabling Amazon CloudWatch Logs for AWS Managed Active Directory nella AWS Directory Service Administration Guide e Amazon CloudWatch Logs for Windows Event Logs nel AWS Knowledge Center.

Strumenti per migrare Active Directory verso AWS

Si consiglia di utilizzare Active Directory Migration Tool (ADMT) e Password Export Server (PES) per eseguire la migrazione. Questi strumenti facilitano lo spostamento di utenti e computer da un dominio all'altro. Tieni presente le seguenti considerazioni se utilizzi PES o esegui la migrazione da un dominio Active Directory gestito a un altro:

• Strumento di migrazione Active Directory (ADMT) per utenti, gruppi e computer: è possibile utilizzarlo ADMTper migrare gli utenti da Active Directory autogestito a Managed AWS Microsoft AD. Una considerazione importante è la tempistica della migrazione e l'importanza della cronologia degli identificatori di sicurezza (). SID SIDLa cronologia non viene trasferita durante la migrazione. Se supportare SID History è un'esigenza fondamentale, prendi in considerazione l'utilizzo di Active Directory autogestito su Amazon EC2 invece di ADMT gestire SID History.

• Password Export Server (PES): PES può essere utilizzato per migrare le password all'interno ma non all'esterno di Managed AWS Microsoft AD. Per informazioni su come migrare utenti e password dalla tua directory, vedi Come migrare il dominio locale a AWS Microsoft AD gestito utilizzando ADMT la versione 3.1 (x64) del AWS Security Blog and Password Export Server dalla documentazione Microsoft.

• LDIF— LDAP Data Interchange Format (LDIF) è un formato di file utilizzato per estendere lo schema di una directory AWS Managed Microsoft AD. LDIFi file contengono le informazioni necessarie per aggiungere nuovi oggetti e attributi alla directory. I file devono soddisfare gli LDAP standard di sintassi e contenere definizioni di oggetto valide per ogni oggetto aggiunto dai file. Dopo aver creato il LDIF file, è necessario caricarlo nella directory per estenderne lo schema. Per ulteriori informazioni sull'utilizzo LDIF dei file per estendere lo schema di una directory AWS Managed Microsoft AD, vedere Extending the schema of AWS Managed AD nella AWS Directory Service Administration Guide.

• CSVDE— In alcuni casi, potrebbe essere necessario esportare e importare utenti in una directory senza creare un trust e ADMT utilizzarli. Sebbene non sia la soluzione ideale, è possibile utilizzare Csvde (uno strumento a riga di comando) per migrare gli utenti di Active Directory da un dominio all'altro. Per utilizzare Csvde, è necessario creare un CSV file che contenga le informazioni sull'utente, come nomi utente, password e appartenenza ai gruppi. Successivamente, è possibile utilizzare il comando csvde per importare gli utenti nel nuovo dominio. Questo comando può essere utilizzato anche per esportare gli utenti esistenti dal dominio di origine. Ciò può essere utile se si esegue la migrazione da un'altra origine di directory, ad esempio SAMBA Domain Services a Microsoft Active Directory. Per ulteriori informazioni, vedi Come migrare gli utenti di Microsoft Active Directory a Simple AD o AWS Managed Microsoft AD nel blog sulla AWS sicurezza.

Risorse aggiuntive

• Tutto quello che volevi sapere sui trust con AWS Managed Microsoft AD (AWSSecurity Blog)

• Come migrare il dominio locale a Managed AWS Microsoft AD utilizzando ADMT (AWSSecurity Blog)

• Active Directory on AWS Immersion Day (Workshop Studio) AWS