Migração do Active Directory

O Active Directory é uma solução típica de gerenciamento de identidade e acesso para muitos ambientes corporativos. O acoplamento do DNS gerenciamento de usuários e máquinas torna o Active Directory a escolha ideal para cargas de trabalho da Microsoft e do Linux para autenticação centralizada de usuários. Ao planejar sua jornada para a nuvem ou para AWS, você se depara com a opção de estender o Active Directory para AWS ou usar um serviço gerenciado para aliviar o gerenciamento da infraestrutura do serviço de diretório. Recomendamos que você entenda os riscos e benefícios de cada opção ao decidir a abordagem correta para sua organização.

A estratégia certa para uma migração do Active Directory é aquela que atende às necessidades da sua organização e permite que você aproveite Nuvem AWS o. Isso envolve levar em consideração não apenas os serviços de diretório em si, mas também a forma como eles interagem com os outros Serviços da AWS. Além disso, você deve considerar as metas de longo prazo das equipes que gerenciam o Active Directory.

Além da migração do Active Directory, você deve decidir a estrutura da conta de onde o Active Directory estará localizado, a topologia de rede da sua Contas da AWS e quais DNS integrações e outros potenciais Serviços da AWS você planeja usar que exijam o Active Directory. Para obter informações sobre como projetar a topologia da sua conta e outras considerações sobre a estratégia de migração, consulte a Práticas recomendadas fundamentais seção deste guia.

Avaliar

Para implementar uma migração bem-sucedida, é importante avaliar sua infraestrutura existente e entender os principais recursos necessários para seu ambiente. Recomendamos que você analise as seguintes áreas antes de escolher como migrar:

• Analise o projeto da AWS infraestrutura existente — siga as orientações na Descoberta do ambiente Windows seção deste guia e use os métodos de avaliação para ajudar a analisar a infraestrutura existente do Active Directory, caso ainda não esteja ciente de sua área de cobertura e dos requisitos de infraestrutura. Recomendamos que você use o dimensionamento prescrito pela Microsoft para a infraestrutura do Active Directory em AWS. Se você estiver estendendo sua infraestrutura do Active Directory para AWS, você pode precisar apenas de uma quantidade parcial de sua área de cobertura de autenticação do Active Directory. AWS Por esse motivo, evite sobredimensionar seu ambiente, a menos que você esteja transferindo completamente sua área de cobertura do Active Directory para o. AWS Para obter mais informações, consulte Planejamento de capacidade para o Active Directory Domain Services na documentação da Microsoft.

• Analisar o design do Active Directory on-premises existente: analise a utilização atual do Active Directory on-premises (autogerenciado). Se você estiver estendendo seu ambiente do Active Directory para AWS, recomendamos executar o Active Directory em vários controladores de domínio, AWS mesmo como uma extensão do seu ambiente local. Isso segue o AWS Well-Architected Framework de design para possíveis falhas por meio da implantação de instâncias em várias zonas de disponibilidade.

• Identificar dependências em aplicações e redes: antes de escolher qual a melhor estratégia de migração, você deve entender completamente todos os recursos do Active Directory de que sua organização precisa para funcionar. Isso significa que, ao escolher entre um serviço gerenciado ou hospedagem própria, é importante entender as opções de cada um. Considere os seguintes itens ao decidir qual migração é ideal para você:

  • Requisitos de acesso: os requisitos de acesso para controlar o Active Directory estipularão o caminho de migração certo para você. Se você precisar de acesso total aos controladores de domínio do Active Directory para instalar qualquer tipo de agente de acordo com os regulamentos de conformidade, AWS Managed Microsoft AD talvez não seja a solução certa para você. Em vez disso, investigue uma extensão do Active Directory dos seus controladores de domínio para o Amazon Elastic Compute Cloud EC2 (Amazon) dentro do seu. Contas da AWS

  • Cronogramas de migração: se você tiver um cronograma prolongado para a migração que não tenha datas claras para conclusão, verifique se existem contingências para a administração de instâncias na nuvem e em ambientes on-premises. A autenticação é um componente essencial para as workloads da Microsoft, a fim de evitar problemas administrativos. Recomendamos que você planeje mover o Active Directory logo no início da migração.

• Estratégias de backup — Se você usar um backup existente do Windows para capturar o estado dos sistemas dos controladores de domínio do Active Directory, poderá continuar usando suas estratégias de backup existentes no. AWS Além disso, AWS oferece opções de tecnologia para ajudá-lo a fazer backup de suas instâncias. Por exemplo, o Amazon Data Lifecycle Manager e AWS Backup, AWS Elastic Disaster Recoverysão tecnologias compatíveis para fazer backup dos controladores de domínio do Active Directory. Para evitar problemas, é melhor não confiar na restauração do Active Directory. A melhor prática recomendada é criar uma arquitetura resiliente, mas é fundamental ter um método de backup em vigor se a recuperação for necessária.

• Necessidades de recuperação de desastres (DR) — Se você estiver migrando o Active Directory para o Active Directory, AWS você deve projetar resiliência em caso de desastre. Se você estiver movendo seu Active Directory existente para AWS, você pode usar um secundário Região da AWS e conectar as duas regiões usando AWS Transit Gateway para permitir que a replicação ocorra. Normalmente, esse é o método preferencial. Há algumas organizações que têm vários requisitos para testar o failover em um ambiente isolado, em que você corta a conectividade entre o local primário e o secundário por dias para testar a confiabilidade. Se isso for um requisito em sua organização, poderá levar algum tempo para resolver os problemas de split-brain do Active Directory. Talvez você possa usar AWS Elastic Disaster Recoverycomo uma implementação ativa/passiva, deixando seu local de DR como um ambiente de failover e deve testar rotineiramente sua estratégia de DR de forma isolada. Planejar os requisitos de objetivo de tempo de recuperação (RTO) e objetivo de ponto de recuperação (RPO) de sua organização é um fator importante ao avaliar sua migração para o. AWS Certifique-se de ter seus requisitos definidos, com um plano de teste e failover para validar a implementação.

Mobilizar

A estratégia adequada para atender às suas necessidades organizacionais e operacionais é um elemento importante na migração ou extensão do Active Directory para o. AWS Escolher como você se integrará Serviços da AWS é fundamental para a adoção. AWS Certifique-se de escolher a extensão do método do Active Directory ou AWS Managed Microsoft AD que atenda às suas necessidades comerciais. Há alguns recursos em serviços como o Amazon Relational Database Service (RDSAmazon) que dependem AWS Managed Microsoft AD do uso. Certifique-se de avaliar AWS service (Serviço da AWS) as limitações para determinar se há restrições de compatibilidade para o Active Directory na Amazon e. EC2 AWS Managed Microsoft AD Recomendamos considerar os pontos de integração a seguir como parte do processo de planejamento.

Considere os seguintes motivos para usar o Active Directory em AWS:

• Permita que os AWS aplicativos funcionem com o Active Directory

• Use o Active Directory para fazer login no AWS Management Console

Permita que os AWS aplicativos funcionem com o Active Directory

Você pode habilitar vários AWS aplicativos e serviços AWS Client VPN, como, AWS Management ConsoleAWS IAM Identity Center, Amazon Chime, Amazon Connect, Amazon FSx for Windows File Server, Amazon, QuickSight Amazon RDS for SQL Server (aplicável somente ao Directory Service), Amazon WorkMail, WorkDocs Amazon e Amazon WorkSpaces para usar seu AWS Managed Microsoft AD diretório. Quando você habilita um AWS aplicativo ou serviço em seu diretório, seus usuários podem acessar o aplicativo ou serviço com suas credenciais do Active Directory. Você pode usar ferramentas familiares de administração do Active Directory para aplicar objetos de política de grupo do Active Directory (GPOs) para gerenciar centralmente suas instâncias Amazon EC2 para Windows ou Linux unindo suas instâncias ao seu AWS Managed Microsoft AD diretório.

Os usuários podem fazer login nas instâncias com as credenciais do Active Directory. Isso elimina a necessidade de usar credenciais de instância individuais ou distribuir arquivos de chave privada (PEM). Dessa forma, fica mais fácil para você conceder ou revogar instantaneamente o acesso aos usuários, utilizando as ferramentas de administração de usuário do Active Directory que você já usa.

Use o Active Directory para fazer login no AWS Management Console

AWS Managed Microsoft AD permite que você conceda aos membros do seu diretório acesso ao AWS Management Console. Por padrão, os membros do seu diretório não têm acesso a nenhum AWS recurso. Você atribui funções AWS Identity and Access Management (IAM) aos membros do seu diretório para dar a eles acesso aos vários Serviços da AWS recursos. A IAM função define os serviços, os recursos e o nível de acesso que os membros do seu diretório têm.

Por exemplo, você pode permitir que seus usuários entrem no AWS Management Console com suas credenciais do Active Directory. Para fazer isso, você habilita o AWS Management Console como um aplicativo em seu diretório e, em seguida, atribui IAM funções aos usuários e grupos do Active Directory. Quando seus usuários fazem login no AWS Management Console, eles assumem a IAM função de gerenciar AWS recursos. Isso facilita a concessão de acesso aos usuários ao AWS Management Console sem a necessidade de configurar e gerenciar uma SAML infraestrutura separada. Para obter mais informações, consulte Como a sincronização do AWS IAM Identity Center Active Directory aprimora as experiências de AWS aplicativos no Blog AWS de Segurança. Você pode conceder acesso às contas de usuário no diretório ou no Active Directory on-premises. Isso permite que os usuários façam login no AWS Management Console ou por meio do AWS Command Line Interface (AWS CLI) usando suas credenciais e permissões existentes para gerenciar AWS recursos atribuindo IAM funções diretamente às contas de usuário existentes.

Antes que você possa conceder acesso ao console aos membros do seu diretório, seu diretório deve ter um acessoURL. Para obter mais informações sobre como visualizar os detalhes do diretório e obter seu acessoURL, consulte Exibir informações do diretório na AWS Directory Service documentação. Para obter mais informações sobre como criar um acessoURL, consulte Criação de um acesso URL na AWS Directory Service documentação. Para obter mais informações sobre como criar e atribuir IAM funções aos membros do seu diretório, consulte Conceder aos usuários e grupos acesso aos AWS recursos na AWS Directory Service documentação.

Considere as seguintes opções de migração do Active Directory:

• Estender o Active Directory

• Migrar para AWS Managed Microsoft AD

• Use uma relação de confiança para conectar o Active Directory com AWS Managed Microsoft AD

• Integre o Active Directory DNS com o Amazon Route 53

Estender o Active Directory

Se você já tem uma infraestrutura do Active Directory e deseja usá-la ao migrar cargas de trabalho compatíveis com o Active Directory para o Nuvem AWS, pode ajudar. AWS Managed Microsoft AD Você pode usar relações de confiança para se conectar AWS Managed Microsoft AD ao seu Active Directory existente. Isso significa que seus usuários podem acessar AWS aplicativos e aplicativos compatíveis com o Active Directory com suas credenciais locais do Active Directory, sem precisar sincronizar usuários, grupos ou senhas. Por exemplo, seus usuários podem entrar no AWS Management Console e WorkSpaces usando seus nomes de usuário e senhas existentes do Active Directory. Além disso, quando você usa aplicativos compatíveis com o Active Directory, como SharePoint com AWS Managed Microsoft AD, seus usuários conectados do Windows podem acessar esses aplicativos sem precisar inserir as credenciais novamente.

Além de usar uma relação de confiança, você pode estender o Active Directory implantando o Active Directory para execução em EC2 instâncias em AWS. Você pode fazer isso sozinho ou trabalhar com você AWS para ajudá-lo no processo. Recomendamos que você implante pelo menos dois controladores de domínio em zonas de disponibilidade diferentes ao estender seu Active Directory para o. AWS Talvez seja necessário implantar mais de dois controladores de domínio com base no número de usuários e computadores que você tem AWS, mas o número mínimo que recomendamos é dois por motivos de resiliência. Você também pode migrar seu domínio local do Active Directory AWS para se livrar da carga operacional de sua infraestrutura do Active Directory usando o Active Directory Migration Toolkit (ADMT) e o Password Export Server (PES) para realizar a migração. Você também pode usar o Active Directory Launch Wizard para implantar o Active Directory em AWS.

Migrar para AWS Managed Microsoft AD

Você pode aplicar dois mecanismos para usar o Active Directory no AWS. Um método é adotar AWS Managed Microsoft AD a migração de seus objetos do Active Directory para o. AWS Isso inclui usuários, computadores, políticas de grupo e muito mais. O segundo mecanismo é uma abordagem manual em que você exporta todos os usuários e objetos e, em seguida, importa-os manualmente usando a Ferramenta de Migração do Active Directory.

Há outros motivos para mudar para AWS Managed Microsoft AD:

• AWS Managed Microsoft AD é um domínio real do Microsoft Active Directory que permite executar cargas de trabalho tradicionais compatíveis com o Active Directory, como Microsoft Remote Desktop Licensing Manager, Microsoft SharePoint e Microsoft SQL Server Always On no. Nuvem AWS

• AWS Managed Microsoft AD ajuda você a simplificar e melhorar a segurança do Active Directory integrado. NETaplicativos usando contas de serviço gerenciadas em grupo (gMSAs) e delegação restrita Kerberos (). KCD Para obter mais informações, consulte Simplificar a migração e melhorar a segurança do Active Directory integrado. NETAplicativos usando AWS Managed Microsoft AD na AWS documentação.

Você pode compartilhar AWS Managed Microsoft AD entre vários Contas da AWS. Isso permite que você gerencie Serviços da AWS, como a Amazon EC2, sem a necessidade de operar um diretório para cada conta e cada Amazon Virtual Private Cloud (AmazonVPC). Você pode usar seu diretório de qualquer Conta da AWS e de qualquer Amazon VPC dentro de um Região da AWS. Esse recurso torna mais fácil e econômico gerenciar cargas de trabalho com reconhecimento de diretório com um único diretório entre contas e. VPCs Por exemplo, agora você pode gerenciar facilmente suas cargas de trabalho da Microsoft implantadas em EC2 instâncias em várias contas e VPCs usando um único AWS Managed Microsoft AD diretório. Ao compartilhar seu AWS Managed Microsoft AD diretório com outra pessoa Conta da AWS, você pode usar o EC2 console da Amazon ou AWS Systems Managerunir facilmente suas instâncias de qualquer Amazon VPC dentro da conta e. Região da AWS

Você pode implantar rapidamente suas cargas de trabalho com reconhecimento de diretório em EC2 instâncias, eliminando a necessidade de unir manualmente suas instâncias a um domínio ou implantar diretórios em cada conta e na Amazon. VPC Para obter mais informações, consulte Compartilhar seu diretório na AWS Directory Service documentação. Lembre-se de que há um custo para compartilhar um AWS Managed Microsoft AD ambiente. Você pode se comunicar com o AWS Managed Microsoft AD ambiente a partir de outras redes ou contas usando um peer Amazon ou um VPC peer do Transit Gateway, portanto, o compartilhamento pode não ser necessário. Se você pretende usar o diretório com os seguintes serviços, deve compartilhar o domínio: Amazon Aurora MySQL, Amazon Aurora Postgre, Amazon, SQL Amazon for RDS MariaDB, FSx Amazon for MySQL, Amazon for Oracle, RDS Amazon for Postgre e RDS Amazon for ServerRDS. SQL RDS SQL

Use uma relação de confiança com AWS Managed Microsoft AD

Para conceder aos usuários de um diretório existente acesso aos AWS recursos, você pode usar uma relação de confiança com sua AWS Managed Microsoft AD implementação. Também é possível criar relações de confiança entre AWS Managed Microsoft AD ambientes. Para obter mais informações, consulte a AWS Managed Microsoft AD publicação Tudo o que você queria saber sobre relações de confiança no Blog AWS de Segurança.

Integre o Active Directory DNS com o Amazon Route 53

Ao migrar para AWS, você pode se DNS integrar ao seu ambiente usando Amazon Route 53 Resolver para permitir acesso aos seus servidores (usando seus DNS nomes). Recomendamos que você use os endpoints do Route 53 Resolver para fazer isso, em vez de modificar os conjuntos de DHCP opções. Essa é uma abordagem mais centralizada para gerenciar sua DNS configuração do que modificar conjuntos de DHCP opções. Além disso, você pode aproveitar uma variedade de regras do resolvedor. Para obter mais informações, consulte a publicação Integrando a DNS resolução do seu serviço de diretório com os resolvedores do Amazon Route 53 no blog Networking & Content Delivery e configure a DNS resolução para redes híbridas em um AWS ambiente com várias contas na documentação de orientação AWS prescritiva.

Migrar

Ao iniciar sua migração para AWS, recomendamos que você considere as opções de configuração e ferramentas para ajudá-lo a migrar. Também é importante considerar os aspectos operacionais e de segurança de longo prazo do seu ambiente.

Considere as seguintes opções:

• Segurança nativa da nuvem

• Ferramentas para migrar o Active Directory para AWS

Segurança nativa da nuvem

• Configurações de grupos de segurança para controladores do Active Directory — Se você estiver usando AWS Managed Microsoft AD, os controladores de domínio vêm com uma configuração de VPC segurança para acesso limitado aos controladores de domínio. Talvez seja necessário modificar as regras do grupo de segurança para permitir o acesso a alguns possíveis casos de uso. Para obter mais informações sobre a configuração do grupo de segurança, consulte Aprimorar sua configuração de segurança de AWS Managed Microsoft AD rede na AWS Directory Service documentação. Recomendamos que você não permita que os usuários modifiquem esses grupos ou os usem para outros Serviços da AWS. A permissão para que outros usuários os utilizem poderá causar interrupções no serviço do ambiente do Active Directory se os usuários os modificarem para bloquear comunicações necessárias.

• Integre com o Amazon CloudWatch Logs para registros de eventos do Active Directory — Se você estiver executando AWS Managed Microsoft AD ou usando um Active Directory autogerenciado, poderá aproveitar as vantagens do Amazon CloudWatch Logs para centralizar seus registros do Active Directory. Você pode usar o CloudWatch Logs para copiar a autenticação, a segurança e outros registros para CloudWatch o. Essa opção oferece uma maneira fácil de pesquisar logs em um só lugar e pode ajudar a cumprir alguns requisitos de conformidade. Recomendamos a integração com o CloudWatch Logs porque isso pode ajudar você a responder melhor a futuros incidentes em seu ambiente. Para obter mais informações, consulte Ativação do Amazon CloudWatch Logs AWS Managed Microsoft AD na AWS Directory Service documentação e Registros de eventos do Amazon CloudWatch Logs para Windows no Centro de AWS conhecimento.

Ferramentas para migrar o Active Directory para AWS

Recomendamos que você use a Ferramenta de Migração do Active Directory (ADMT) e o Servidor de Exportação de Senha (PES) para realizar sua migração. Isso permite que você mova facilmente usuários e computadores de um domínio para outro. Lembre-se das seguintes considerações se você usar PES ou migrar de um domínio gerenciado do Active Directory para outro:

• Ferramenta de migração do Active Directory (ADMT) para usuários, grupos e computadores — você pode usar ADMTpara migrar usuários do Active Directory autogerenciado para o. AWS Managed Microsoft AD Uma consideração importante é o cronograma de migração e a importância do histórico do identificador de segurança (SID). SIDO histórico não é transferido durante a migração. Se oferecer suporte ao SID histórico for uma necessidade crítica, considere usar o Active Directory autogerenciado na Amazon em EC2 vez de ADMT fazê-lo para que você possa manter o SID histórico.

• Servidor de exportação de senha (PES) — PES pode ser usado para migrar senhas para dentro, mas não para fora dele AWS Managed Microsoft AD. Para obter informações sobre como migrar usuários e senhas do seu diretório, consulte Como migrar seu domínio local para AWS Managed Microsoft AD uso ADMT no Blog de AWS Segurança e no Servidor de Exportação de Senhas versão 3.1 (x64) da documentação da Microsoft.

• LDIF— LDAP Data Interchange Format (LDIF) é um formato de arquivo usado para estender o esquema de um AWS Managed Microsoft AD diretório. LDIFos arquivos contêm as informações necessárias para adicionar novos objetos e atributos ao diretório. Os arquivos devem atender aos LDAP padrões de sintaxe e devem conter definições de objeto válidas para cada objeto adicionado pelos arquivos. Depois de criar o LDIF arquivo, você deve carregar o arquivo no diretório para estender seu esquema. Para obter mais informações sobre o uso de LDIF arquivos para estender o esquema de um AWS Managed Microsoft AD diretório, consulte Estendendo o esquema de AWS Managed Microsoft AD na documentação. AWS Directory Service

• CSVDE— Em alguns casos, talvez seja necessário exportar e importar usuários para um diretório sem criar uma relação de confiança e usoADMT. Embora não seja o ideal, você pode usar o Csvde (uma ferramenta de linha de comando) para migrar usuários do Active Directory de um domínio para outro. Para usar o Csvde, você deve criar um CSV arquivo que contenha as informações do usuário, como nomes de usuário, senhas e associação ao grupo. Em seguida, você pode usar o csvde comando para importar os usuários para o novo domínio. Você também pode usar esse comando para exportar usuários existentes do domínio de origem. Isso pode ser útil se você estiver migrando de outra fonte de diretório, como Serviços de SAMBA Domínio para o Microsoft Active Directory. Para obter mais informações, consulte Como migrar seus usuários do Microsoft Active Directory para o Simple AD ou AWS Managed Microsoft AD no blog AWS de segurança.

Recursos adicionais

• Tudo o que você queria saber sobre relações de confiança com AWS Managed Microsoft AD (Blog AWS de segurança)

• Como migrar seu domínio local para AWS Managed Microsoft AD usar ADMT (Blog de AWS segurança)

• STEP2: DEPLOYING ACTIVE DIRECTORY (Workshop AWS do Windows)