Migrazione di Active Directory

Active Directory è una soluzione di gestione delle identità e degli accessi in uso presso molti ambienti aziendali. L'abbinamento della DNS gestione degli utenti e delle macchine rende Active Directory la scelta ideale per i carichi di lavoro Microsoft e Linux per l'autenticazione centralizzata degli utenti. Quando pianifichi il tuo percorso verso il cloud o verso il cloud AWS, ti trovi di fronte alla scelta di estendere Active Directory AWS o utilizzare un servizio gestito per sgravare la gestione dell'infrastruttura dei servizi di directory. Al momento di decidere l'approccio giusto per la tua organizzazione, ti consigliamo di comprendere i rischi e i vantaggi di ciascuna opzione.

La strategia giusta per una migrazione ad Active Directory è quella che si adatta alle esigenze della tua organizzazione e ti consente di sfruttare la. Cloud AWS Ciò implica prendere in considerazione non solo i servizi di directory stessi, ma anche il modo in cui interagiscono con gli altri Servizi AWS. Inoltre, è necessario considerare gli obiettivi a lungo termine dei team che gestiscono Active Directory.

Oltre alla migrazione ad Active Directory, è necessario decidere la struttura degli account in cui collocare Active Directory, la topologia di rete Account AWS e quali DNS integrazioni e altre potenzialità Servizi AWS si intende utilizzare che richiedono Active Directory. Per informazioni sulla progettazione della topologia dell'account e altre considerazioni sulla strategia di migrazione, consulta la Le migliori pratiche di base sezione di questa guida.

Valutazione

Per implementare una migrazione di successo, è importante valutare l'infrastruttura esistente e comprendere le funzionalità chiave richieste per il proprio ambiente. Prima di scegliere la modalità di migrazione, ti consigliamo di rivedere le seguenti aree:

• Rivedi la progettazione AWS dell'infrastruttura esistente: segui le indicazioni contenute nella Individuazione dell'ambiente Windows sezione di questa guida e utilizza i metodi di valutazione per aiutarti a esaminare l'infrastruttura Active Directory esistente se non sei già a conoscenza dei suoi requisiti di ingombro e infrastruttura. Si consiglia di utilizzare il dimensionamento prescritto dall'infrastruttura Microsoft per Active Directory in AWS. Se intendi estendere la tua infrastruttura Active Directory a AWS, potresti richiedere solo una parte del footprint di autenticazione di Active Directory in. AWS Per questo motivo, evita di sovradimensionare il tuo ambiente a meno che tu non stia spostando completamente l'impronta di Active Directory in. AWS Per ulteriori informazioni, consulta la pagina Pianificazione della capacità per i servizi di Dominio di Active Directory nella documentazione di Microsoft.

• Esamina la progettazione di Active Directory on-premise esistente: esamina l'utilizzo attuale di Active Directory on-premise (autogestito). Se intendi estendere il tuo ambiente Active Directory a AWS, ti consigliamo di eseguire Active Directory su più controller di dominio AWS anche come estensione dell'ambiente locale. Questo aderisce al AWS Well-Architected Framework di progettazione per potenziali guasti distribuendo istanze in più zone di disponibilità.

• Identifica le dipendenze nelle applicazioni e nella rete: prima di scegliere la strategia di migrazione migliore, è necessario comprendere appieno tutte le funzionalità di Active Directory necessarie per la funzionalità dell'organizzazione. Ciò significa che quando si sceglie tra un servizio gestito o un self-hosting è importante comprendere le opzioni per ciascuno di essi. Per decidere quale migrazione è più adatta a te, considera gli elementi seguenti:

  • Requisiti di accesso: i requisiti di accesso per il controllo di Active Directory determinano il percorso di migrazione giusto per te. Se hai bisogno dell'accesso completo ai controller di dominio Active Directory per installare qualsiasi tipo di agente per le normative di conformità, AWS Managed Microsoft AD potrebbe non essere la soluzione giusta per te. Cerca invece un'estensione di Active Directory dai tuoi controller di dominio ad Amazon Elastic Compute Cloud EC2 (Amazon) all'interno del tuo. Account AWS

  • Tempi di migrazione: se hai un lasso di tempo prolungato per la migrazione senza date precise di completamento, assicurati di avere piani di contingenza per la gestione delle istanze sia nel cloud che negli ambienti on-premise. Per evitare problemi di amministrazione con i carichi di lavoro Microsoft, l'autenticazione è un componente indispensabile. Ti consigliamo di pianificare lo spostamento di Active Directory nelle prime fasi della migrazione.

• Strategie di backup: se si utilizza un backup Windows esistente per acquisire lo stato del sistema dei controller di dominio Active Directory, è possibile continuare a utilizzare le strategie di backup esistenti in. AWS Inoltre, AWS offre opzioni tecnologiche per aiutarti a eseguire il backup delle istanze. Ad esempio, Amazon Data Lifecycle Manager e AWS Elastic Disaster Recoverysono tecnologie supportate per il backup dei controller di dominio Active Directory. AWS Backup Per evitare problemi, è meglio non fare affidamento sul ripristino di Active Directory. La best practice consigliata è quella di creare un'architettura resiliente, ma è fondamentale disporre di un metodo di backup se è necessario il ripristino.

• Esigenze di disaster recovery (DR): se si sta effettuando la migrazione ad Active Directory, AWS è necessario progettare in modo da garantire la resilienza in caso di emergenza. Se stai spostando la tua Active Directory esistente in AWS, puoi utilizzarne una secondaria Regione AWS e connettere le due regioni utilizzandola AWS Transit Gateway per consentire la replica. In genere questo è il metodo preferito. Alcune organizzazioni hanno requisiti diversi per testare il failover in un ambiente isolato, in cui si interrompe la connettività tra il sito primario e quello secondario per giorni per testare l'affidabilità. Se questo requisito si applica anche alla tua organizzazione, potrebbe essere necessario del tempo per risolvere i problemi di split-brain causati da Active Directory. Potrebbe essere possibile utilizzare AWS Elastic Disaster Recoverycome implementazione attiva/passiva il sito di DR come ambiente di failover e verificare regolarmente la propria strategia di disaster recovery in modo isolato. La pianificazione dei requisiti relativi all'obiettivo del tempo di ripristino (RTO) e all'obiettivo del punto di ripristino (RPO) dell'organizzazione è un fattore importante nella valutazione della migrazione a. AWS Assicurati di avere definito i requisiti così come un piano di test e failover per convalidare l'implementazione.

Mobilitazione

La strategia adeguata per soddisfare le esigenze organizzative e operative è un elemento importante per la migrazione o l'estensione di Active Directory verso. AWS La scelta della modalità di integrazione con Servizi AWS è fondamentale per l'adozione. AWS Assicurati di scegliere l'estensione del metodo di Active Directory o AWS Managed Microsoft AD che soddisfi i tuoi requisiti aziendali. Esistono alcune funzionalità in servizi come Amazon Relational Database Service (RDSAmazon) che dipendono AWS Managed Microsoft AD dall'utilizzo. Assicurati di valutare le Servizio AWS limitazioni per determinare se esistono vincoli di compatibilità per Active Directory su Amazon EC2 e. AWS Managed Microsoft AD Ti consigliamo di prendere in considerazione i seguenti punti di integrazione come parte del processo di pianificazione.

Considera i seguenti motivi per utilizzare Active Directory in: AWS

• Abilita AWS le applicazioni a funzionare con Active Directory

• Usa Active Directory per accedere a AWS Management Console

Abilita AWS le applicazioni a funzionare con Active Directory

Puoi abilitare più AWS applicazioni e servizi come Amazon Chime AWS Client VPNAWS Management ConsoleAWS IAM Identity Center, Amazon Connect, Amazon FSx for Windows File Server, Amazon, QuickSightAmazon RDS for SQL Server (applicabile solo per Directory Service), Amazon WorkMail, Amazon e WorkDocs Amazon WorkSpaces per utilizzare la tua AWS Managed Microsoft AD directory. Quando abiliti un' AWS applicazione o un servizio nella tua directory, gli utenti possono accedere all'applicazione o al servizio con le proprie credenziali Active Directory. Puoi utilizzare gli strumenti di amministrazione di Active Directory familiari per applicare gli oggetti di policy di gruppo di Active Directory (GPOs) per gestire centralmente le tue istanze Amazon EC2 per Windows o Linux unendo le tue istanze alla tua AWS Managed Microsoft AD directory.

Gli utenti possono effettuare l'accesso alle istanze con le proprie credenziali Active Directory. Ciò elimina la necessità di utilizzare le credenziali delle singole istanze o di distribuire file di chiave privata ()PEM. In questo modo è più semplice concedere o revocare immediatamente l'accesso agli utenti con gli strumenti di amministrazione degli utenti di Active Directory già in uso.

Usa Active Directory per accedere a AWS Management Console

AWS Managed Microsoft AD consente di concedere ai membri della directory l'accesso a AWS Management Console. Per impostazione predefinita, i membri della directory non hanno accesso ad alcuna AWS risorsa. Assegnate ruoli AWS Identity and Access Management (IAM) ai membri della directory per consentire loro di accedere alle varie Servizi AWS risorse. Il IAM ruolo definisce i servizi, le risorse e il livello di accesso dei membri della directory.

Ad esempio, è possibile consentire agli utenti di accedere a AWS Management Console con le proprie credenziali di Active Directory. A tale scopo, è necessario abilitare l'applicazione AWS Management Console come applicazione nella directory e quindi assegnare i ruoli agli utenti e ai IAM gruppi di Active Directory. Quando gli utenti accedono a AWS Management Console, assumono il IAM ruolo di gestire AWS le risorse. In questo modo puoi concedere facilmente ai tuoi utenti l'accesso a AWS Management Console senza dover configurare e gestire un'SAMLinfrastruttura separata. Per ulteriori informazioni, consulta Come la sincronizzazione con AWS IAM Identity Center Active Directory migliora AWS l'esperienza delle applicazioni nel AWS Security Blog. È possibile concedere l'accesso agli account utente nella directory o nell'istanza Active Directory on-premise. Ciò consente agli utenti di accedere a AWS Management Console o tramite AWS Command Line Interface (AWS CLI) utilizzando le credenziali e le autorizzazioni esistenti per gestire le AWS risorse assegnando IAM ruoli direttamente agli account utente esistenti.

Prima di poter concedere l'accesso alla console ai membri della directory, è necessario che la directory disponga di un accesso. URL Per ulteriori informazioni su come visualizzare i dettagli della directory e ottenere l'accessoURL, consulta Visualizzare le informazioni sulla directory nella AWS Directory Service documentazione. Per ulteriori informazioni su come creare un accessoURL, consulta Creazione di un accesso URL nella AWS Directory Service documentazione. Per ulteriori informazioni su come creare e assegnare IAM ruoli ai membri dell'elenco, consulta Concedere a utenti e gruppi l'accesso alle AWS risorse nella AWS Directory Service documentazione.

Considera le seguenti opzioni di migrazione per Active Directory:

• Estensione di Active Directory

• Effettua la migrazione a AWS Managed Microsoft AD

• Usa un trust per connettere Active Directory con AWS Managed Microsoft AD

• Integrazione di Active Directory DNS con Amazon Route 53

Estensione di Active Directory

Se disponi già di un'infrastruttura Active Directory e desideri utilizzarla per la migrazione di carichi di lavoro compatibili con Active Directory verso, può esserti utile. Cloud AWS AWS Managed Microsoft AD Puoi utilizzare i trust per AWS Managed Microsoft AD connetterti alla tua Active Directory esistente. Ciò significa che gli utenti possono accedere alle AWS applicazioni e alle applicazioni compatibili con Active Directory utilizzando le proprie credenziali di Active Directory locali, senza che sia necessario sincronizzare utenti, gruppi o password. Ad esempio, gli utenti possono accedere a e utilizzando i nomi utente AWS Management Console e le password di WorkSpaces Active Directory esistenti. Inoltre, quando si utilizzano applicazioni compatibili con Active Directory come SharePoint with AWS Managed Microsoft AD, gli utenti Windows che hanno effettuato l'accesso possono accedere a tali applicazioni senza dover immettere nuovamente le credenziali.

Oltre a utilizzare un trust, puoi estendere Active Directory distribuendo Active Directory per l'esecuzione su istanze in. EC2 AWS Puoi farlo da solo o collaborare con noi AWS per aiutarti nel processo. Ti consigliamo di distribuire almeno due controller di dominio in zone di disponibilità diverse quando estendi Active Directory a. AWS Potrebbe essere necessario distribuire più di due controller di dominio in base al numero di utenti e computer presenti AWS, ma il numero minimo consigliato è due per motivi di resilienza. Puoi anche migrare il dominio Active Directory locale per AWS liberarti dal carico operativo dell'infrastruttura Active Directory utilizzando Active Directory Migration Toolkit (ADMT) e Password Export Server (PES) per eseguire la migrazione. È inoltre possibile utilizzare Active Directory Launch Wizard per distribuire Active Directory su. AWS

Esegui la migrazione a AWS Managed Microsoft AD

È possibile applicare due meccanismi per utilizzare Active Directory in AWS. Un metodo consiste nell' AWS Managed Microsoft AD adottare la migrazione degli oggetti di Active Directory verso AWS. Ciò include utenti, computer, policy di gruppo e altro ancora. Il secondo metodo consiste in un approccio manuale, che prevede l'esportazione di tutti gli utenti e gli oggetti, per poi importarli manualmente attraverso lo strumento di migrazione di Active Directory.

Esistono altri motivi per passare a AWS Managed Microsoft AD:

• AWS Managed Microsoft AD è un dominio Microsoft Active Directory effettivo che consente di eseguire carichi di lavoro tradizionali compatibili con Active Directory come Microsoft Remote Desktop Licensing Manager SharePoint, Microsoft e SQL Microsoft Server Always On in. Cloud AWS

• AWS Managed Microsoft AD ti aiuta a semplificare e migliorare la sicurezza dei sistemi integrati in Active Directory. NETapplicazioni che utilizzano Managed Service Accounts di gruppo (gMSAs) e Kerberos constrained delegation (). KCD Per ulteriori informazioni, consulta Semplifica la migrazione e migliora la sicurezza di Active Directory—Integrated. NETApplicazioni utilizzate nella documentazione AWS Managed Microsoft AD. AWS

Puoi condividerlo AWS Managed Microsoft AD tra più persone Account AWS. Ciò consente di gestire Servizi AWS, come Amazon EC2, senza la necessità di gestire una directory per ogni account e ogni Amazon Virtual Private Cloud (AmazonVPC). Puoi utilizzare la tua directory da qualsiasi Account AWS Amazon VPC all'interno di un Regione AWS. Questa funzionalità semplifica e rende più conveniente la gestione dei carichi di lavoro compatibili con le directory con un'unica directory per più account e. VPCs Ad esempio, ora puoi gestire facilmente i carichi di lavoro Microsoft distribuiti in EC2 istanze su più account e VPCs utilizzando un'unica directory. AWS Managed Microsoft AD Quando condividi la tua AWS Managed Microsoft AD directory con un'altra Account AWS persona, puoi utilizzare la EC2 console Amazon o AWS Systems Managerunire senza problemi le tue istanze da qualsiasi Amazon VPC all'interno dell'account e. Regione AWS

Puoi distribuire rapidamente i carichi di lavoro compatibili con le directory sulle EC2 istanze eliminando la necessità di aggiungere manualmente le istanze a un dominio o di distribuire le directory in ogni account e Amazon. VPC Per ulteriori informazioni, consulta Condividi la tua directory nella documentazione. AWS Directory Service Tieni presente che la condivisione di un AWS Managed Microsoft AD ambiente comporta un costo. Puoi comunicare con l' AWS Managed Microsoft AD ambiente da altre reti o account utilizzando un peer Amazon o un VPC peer Transit Gateway, quindi la condivisione potrebbe non essere necessaria. Se intendi utilizzare la directory con i seguenti servizi, devi condividere il dominio: Amazon Aurora MySQL, Amazon Aurora Postgre, Amazon, Amazon for RDS MariaDB, SQL FSx Amazon for MySQL, Amazon for Oracle, Amazon RDS for Postgre e RDS Amazon for Server. RDS SQL RDS SQL

Usa un trust con AWS Managed Microsoft AD

Per concedere agli utenti di una directory esistente l'accesso alle AWS risorse, puoi utilizzare un trust con la tua AWS Managed Microsoft AD implementazione. È anche possibile creare trust tra AWS Managed Microsoft AD ambienti. Per ulteriori informazioni, consulta il AWS Managed Microsoft AD post Tutto ciò che volevi sapere sui trust con fiducia nel AWS Security Blog.

Integrazione di Active Directory DNS con Amazon Route 53

Quando esegui la migrazione a AWS, puoi DNS integrarti nel tuo ambiente utilizzando Amazon Route 53 Resolver per consentire l'accesso ai tuoi server (utilizzando i loro DNS nomi). A tale scopo, si consiglia di utilizzare gli endpoint Route 53 Resolver anziché modificare i set di opzioni. DHCP Si tratta di un approccio più centralizzato per la gestione della configurazione rispetto alla modifica dei set di opzioniDNS. DHCP Inoltre, puoi sfruttare una varietà di regole dei risolutori. Per ulteriori informazioni, consulta il post Integrating your Directory Service with Amazon Route 53 DNS Resolvers nel blog Networking & Content Delivery e l'impostazione della DNS risoluzione per reti ibride in un AWS ambiente multi-account nella documentazione Prescriptive Guidance. AWS

Migrazione

Quando inizi la migrazione verso AWS, ti consigliamo di prendere in considerazione le opzioni di configurazione e gli strumenti per aiutarti a migrare. È inoltre importante considerare gli aspetti operativi e di sicurezza a lungo termine dell'ambiente.

Considera le seguenti opzioni:

• Sicurezza nativa del cloud

• Strumenti per migrare Active Directory verso AWS

Sicurezza nativa del cloud

• Configurazioni dei gruppi di sicurezza per i controller di Active Directory: se si utilizza AWS Managed Microsoft AD, i controller di dominio sono dotati di una configurazione di VPC sicurezza per l'accesso limitato ai controller di dominio. Per alcuni potenziali casi d'uso, potrebbe essere necessario modificare le regole del gruppo di sicurezza per consentire l'accesso. Per ulteriori informazioni sulla configurazione dei gruppi di sicurezza, consulta Migliorare la configurazione AWS Managed Microsoft AD della sicurezza di rete nella documentazione. AWS Directory Service Ti consigliamo di non consentire agli utenti di modificare questi gruppi o di utilizzarli per nessun altro Servizi AWS. Permettere ad altri utenti di manipolare i gruppi potrebbe portare a interruzioni del servizio nell'ambiente Active Directory, specialmente se gli utenti apportano modifiche che impediscono le comunicazioni essenziali.

• Integrazione con Amazon CloudWatch Logs per i registri degli eventi di Active Directory: se utilizzi AWS Managed Microsoft AD o utilizzi un Active Directory autogestito, puoi sfruttare Amazon CloudWatch Logs per centralizzare la registrazione di Active Directory. Puoi usare CloudWatch Logs per copiare log di autenticazione, sicurezza e altri registri. CloudWatch Si tratta di una soluzione semplice per cercare i log in un unico posto e può contribuire a soddisfare alcuni requisiti di conformità. Consigliamo l'integrazione con CloudWatch Logs perché può aiutarvi a rispondere meglio agli incidenti futuri nel vostro ambiente. Per ulteriori informazioni, consulta Enabling Amazon CloudWatch Logs for AWS Managed Microsoft AD nella AWS Directory Service documentazione e Amazon CloudWatch Logs for Windows Event Logs nel Knowledge Center. AWS

Strumenti per migrare Active Directory verso AWS

Si consiglia di utilizzare Active Directory Migration Tool (ADMT) e Password Export Server (PES) per eseguire la migrazione. Questi strumenti facilitano lo spostamento di utenti e computer da un dominio all'altro. Tieni presente le seguenti considerazioni se utilizzi PES o esegui la migrazione da un dominio Active Directory gestito a un altro:

• Strumento di migrazione di Active Directory (ADMT) per utenti, gruppi e computer: puoi utilizzarlo per ADMTmigrare gli utenti da Active Directory autogestito a. AWS Managed Microsoft AD Una considerazione importante è la tempistica della migrazione e l'importanza della cronologia degli identificatori di sicurezza (). SID SIDLa cronologia non viene trasferita durante la migrazione. Se supportare SID History è un'esigenza fondamentale, prendi in considerazione l'utilizzo di Active Directory autogestito su Amazon EC2 invece di ADMT gestire SID History.

• Password Export Server (PES): PES può essere utilizzato per migrare le password in entrata ma non in uscita da. AWS Managed Microsoft AD Per informazioni su come migrare utenti e password dalla tua directory, vedi Come migrare il dominio locale a AWS Managed Microsoft AD Using ADMT in the AWS Security Blog and Password Export Server versione 3.1 (x64) dalla documentazione Microsoft.

• LDIF— LDAP Data Interchange Format (LDIF) è un formato di file utilizzato per estendere lo schema di una directory. AWS Managed Microsoft AD LDIFi file contengono le informazioni necessarie per aggiungere nuovi oggetti e attributi alla directory. I file devono soddisfare gli LDAP standard di sintassi e contenere definizioni di oggetto valide per ogni oggetto aggiunto dai file. Dopo aver creato il LDIF file, è necessario caricarlo nella directory per estenderne lo schema. Per ulteriori informazioni sull'utilizzo LDIF dei file per estendere lo schema di una AWS Managed Microsoft AD directory, consulta Estendere lo schema di AWS Managed Microsoft AD nella AWS Directory Service documentazione.

• CSVDE— In alcuni casi, potrebbe essere necessario esportare e importare utenti in una directory senza creare un trust e ADMT utilizzarli. Sebbene non sia la soluzione ideale, è possibile utilizzare Csvde (uno strumento a riga di comando) per migrare gli utenti di Active Directory da un dominio all'altro. Per utilizzare Csvde, è necessario creare un CSV file che contenga le informazioni sull'utente, come nomi utente, password e appartenenza ai gruppi. Quindi, puoi utilizzare il csvde comando per importare gli utenti nel nuovo dominio. Questo comando può essere utilizzato anche per esportare gli utenti esistenti dal dominio di origine. Ciò può essere utile se si esegue la migrazione da un'altra origine di directory, ad esempio SAMBA Domain Services a Microsoft Active Directory. Per ulteriori informazioni, vedi Come migrare gli utenti di Microsoft Active Directory a Simple AD o AWS Managed Microsoft AD nel blog sulla AWS sicurezza.

Risorse aggiuntive

• Tutto quello che volevi sapere sui trust con AWS Managed Microsoft AD (AWS Security Blog)

• Come migrare il dominio locale all' AWS Managed Microsoft AD utilizzo ADMT (Security Blog)AWS

• STEP2: DEPLOYING ACTIVE DIRECTORY (WorkshopAWS su Windows)