Migração do Active Directory

O Active Directory é uma solução típica de gerenciamento de identidade e acesso para muitos ambientes corporativos. O acoplamento do DNS gerenciamento de usuários e máquinas torna o Active Directory a escolha ideal para cargas de trabalho da Microsoft e do Linux para autenticação centralizada de usuários. Ao planejar sua jornada para a nuvem ou paraAWS, você se depara com a opção de estender o Active Directory para AWS ou usar um serviço gerenciado para aliviar o gerenciamento da infraestrutura do serviço de diretório. Recomendamos que você entenda os riscos e benefícios de cada opção ao decidir a abordagem correta para sua organização.

A estratégia certa para uma migração do Active Directory é aquela que atende às necessidades da sua organização e permite que você aproveite a AWS nuvem. Isso envolve levar em consideração não apenas os serviços de diretório em si, mas também como eles interagem com outros AWS serviços. Além disso, você deve considerar as metas de longo prazo das equipes que gerenciam o Active Directory.

Além da migração do Active Directory, você deve decidir a estrutura da conta de onde o Active Directory estará localizado, a topologia de rede de suas AWS contas e quais DNS integrações e outros AWS serviços potenciais você planeja usar que exijam o Active Directory. Para obter informações sobre como projetar a topologia da sua conta e outras considerações sobre a estratégia de migração, consulte a seção de Práticas recomendadas básicas deste guia.

Avaliar

Para implementar uma migração bem-sucedida, é importante avaliar sua infraestrutura existente e entender os principais recursos necessários para seu ambiente. Recomendamos que você analise as seguintes áreas antes de escolher como migrar:

• Analise o design da AWS infraestrutura existente — Siga as orientações na seção de descoberta do ambiente Windows deste guia e use os métodos de avaliação para ajudar a analisar a infraestrutura existente do Active Directory se você ainda não estiver ciente de sua área de cobertura e dos requisitos de infraestrutura. Recomendamos que você use o dimensionamento prescrito pela Microsoft para a infraestrutura do Active Directory emAWS. Se você estiver estendendo sua infraestrutura do Active Directory paraAWS, você pode precisar apenas de uma quantidade parcial de seu espaço de autenticação do Active Directory. AWS Por esse motivo, evite sobredimensionar seu ambiente, a menos que você esteja transferindo completamente sua área de cobertura do Active Directory para o. AWS Para obter mais informações, consulte Planejamento de capacidade para o Active Directory Domain Services na documentação da Microsoft.

• Analisar o design do Active Directory on-premises existente: analise a utilização atual do Active Directory on-premises (autogerenciado). Se você estiver estendendo seu ambiente do Active Directory paraAWS, recomendamos executar o Active Directory em vários controladores de domínio, AWS mesmo como uma extensão do seu ambiente local. Isso segue o AWSWell-Architected Framework de design para possíveis falhas por meio da implantação de instâncias em várias zonas de disponibilidade.

• Identificar dependências em aplicações e redes: antes de escolher qual a melhor estratégia de migração, você deve entender completamente todos os recursos do Active Directory de que sua organização precisa para funcionar. Isso significa que, ao escolher entre um serviço gerenciado ou hospedagem própria, é importante entender as opções de cada um. Considere os seguintes itens ao decidir qual migração é ideal para você:

  • Requisitos de acesso: os requisitos de acesso para controlar o Active Directory estipularão o caminho de migração certo para você. Se você precisar de acesso total aos controladores de domínio do Active Directory para instalar qualquer tipo de agente de acordo com os regulamentos de conformidade, o AWS Managed Microsoft AD pode não ser a solução certa para você. Em vez disso, investigue uma extensão do Active Directory dos seus controladores de domínio para a Amazon EC2 em suas AWS contas.

  • Cronogramas de migração: se você tiver um cronograma prolongado para a migração que não tenha datas claras para conclusão, verifique se existem contingências para a administração de instâncias na nuvem e em ambientes on-premises. A autenticação é um componente essencial para as workloads da Microsoft, a fim de evitar problemas administrativos. Recomendamos que você planeje mover o Active Directory logo no início da migração.

• Estratégias de backup — Se você usar um backup existente do Windows para capturar o estado dos sistemas dos controladores de domínio do Active Directory, poderá continuar usando suas estratégias de backup existentes no. AWS Além disso, AWS oferece opções de tecnologia para ajudá-lo a fazer backup de suas instâncias. Por exemplo, o AWSData Lifecycle Manager, o AWSBackup e o AWSElastic Disaster Recovery são tecnologias compatíveis para fazer backup dos controladores de domínio do Active Directory. Para evitar problemas, é melhor não confiar na restauração do Active Directory. A melhor prática recomendada é criar uma arquitetura resiliente, mas é fundamental ter um método de backup em vigor se a recuperação for necessária.

• Necessidades de recuperação de desastres (DR) — Se você estiver migrando o Active Directory para o Active Directory, AWS você deve projetar resiliência em caso de desastre. Se você estiver transferindo seu Active Directory existente paraAWS, você pode usar uma AWS região secundária e conectar as duas regiões usando o Transit Gateway para permitir que a replicação ocorra. Normalmente, esse é o método preferencial. Há algumas organizações que têm vários requisitos para testar o failover em um ambiente isolado, em que você corta a conectividade entre o local primário e o secundário por dias para testar a confiabilidade. Se isso for um requisito em sua organização, poderá levar algum tempo para resolver os problemas de split-brain do Active Directory. Talvez você possa usar o AWSElastic Disaster Recovery como uma implementação ativa/passiva, deixando seu local de DR como um ambiente de failover e deve testar rotineiramente sua estratégia de DR isoladamente. Planejar os requisitos de objetivo de tempo de recuperação (RTO) e objetivo de ponto de recuperação (RPO) de sua organização é um fator importante ao avaliar sua migração para o. AWS Certifique-se de ter seus requisitos definidos, com um plano de teste e failover para validar a implementação.

Mobilizar

A estratégia adequada para atender às suas necessidades organizacionais e operacionais é um elemento importante na migração ou extensão do Active Directory para o. AWS Escolher como você se integrará aos AWS serviços é fundamental para a adoção. AWS Certifique-se de escolher a extensão de método do Active Directory ou do Microsoft AD AWS gerenciado que atenda às suas necessidades comerciais. Há alguns recursos em serviços como o Amazon RDS que dependem do uso do Microsoft AD AWS gerenciado. Certifique-se de avaliar as limitações do AWS serviço para determinar se há restrições de compatibilidade para o Active Directory na Amazon EC2 e o Managed AWS Microsoft AD. Recomendamos considerar os pontos de integração a seguir como parte do processo de planejamento.

Considere os seguintes motivos para usar o Active Directory emAWS:

• Permita que os AWS aplicativos funcionem com o Active Directory

• Use o Active Directory para fazer login no console AWS de gerenciamento

Permita que os AWS aplicativos funcionem com o Active Directory

Você pode habilitar vários AWS aplicativos e serviços, como AWS Client VPN, AWS Management Console, AWS IAM Identity Center (sucessor do AWS Single Sign-On), Amazon Chime,Amazon Connect, FSx Amazon for Windows File Server, Amazon QuickSight, RDS Amazon SQLfor Server (aplicável somente ao Directory Service), Amazon, Amazon WorkDocs WorkMaile WorkSpaces a Amazon para usar seu diretório AWS gerenciado do Microsoft AD. Quando você habilita um AWS aplicativo ou serviço em seu diretório, seus usuários podem acessar o aplicativo ou serviço com suas credenciais do Active Directory. Você pode usar ferramentas familiares de administração do Active Directory para aplicar objetos de política de grupo do Active Directory (GPOs) para gerenciar centralmente suas instâncias Amazon EC2 para Windows ou Linux unindo suas instâncias ao seu diretório AWS Managed Microsoft AD.

Os usuários podem fazer login nas instâncias com as credenciais do Active Directory. Isso elimina a necessidade de usar credenciais de instância individuais ou distribuir arquivos de chave privada (PEM). Dessa forma, fica mais fácil para você conceder ou revogar instantaneamente o acesso aos usuários, utilizando as ferramentas de administração de usuário do Active Directory que você já usa.

Use o Active Directory para fazer login no console AWS de gerenciamento

AWSO Microsoft AD gerenciado permite que você conceda aos membros do seu diretório acesso ao AWS Management Console. Por padrão, os membros do seu diretório não têm acesso a nenhum AWS recurso. Você atribui funções de AWS Identity and Access Management (IAM) aos membros do seu diretório para lhes dar acesso aos vários AWS serviços e recursos. A IAM função define os serviços, os recursos e o nível de acesso que os membros do seu diretório têm.

Por exemplo, você pode permitir que seus usuários entrem no AWS Management Console com suas credenciais do Active Directory. Para fazer isso, você habilita o AWS Management Console como um aplicativo em seu diretório e, em seguida, atribui IAM funções aos usuários e grupos do Active Directory. Quando seus usuários fazem login no AWS Management Console, eles assumem a IAM função de gerenciar AWS recursos. Isso facilita a concessão aos usuários de acesso ao AWS Management Console sem a necessidade de configurar e gerenciar uma SAML infraestrutura separada. Para obter mais informações, consulte Como a sincronização do AWS IAM Identity Center Active Directory aprimora as experiências de AWS aplicativos no Blog AWS de Segurança. Você pode conceder acesso às contas de usuário no diretório ou no Active Directory on-premises. Isso permite que os usuários façam login no AWS Management Console ou por meio da interface de linha de AWS comando (AWSCLI) usando suas credenciais e permissões existentes para gerenciar AWS recursos atribuindo IAM funções diretamente às contas de usuário existentes.

Antes que você possa conceder acesso ao console aos membros do seu diretório, seu diretório deve ter um acessoURL. Para obter mais informações sobre como visualizar detalhes do diretório e obter seu acessoURL, consulte Exibir informações do AWS diretório no Directory Service Administration Guide. Para obter mais informações sobre como criar um acessoURL, consulte Criando um acesso URL no AWS Directory Service Administration Guide. Para obter mais informações sobre como criar e atribuir IAM funções aos membros do seu diretório, consulte Conceder aos usuários e grupos acesso aos AWS recursos no AWS Directory Service Administration Guide.

Considere as seguintes opções de migração do Active Directory:

• Estender o Active Directory

• Migrar para o Microsoft AWS AD gerenciado

• Use uma relação de confiança para conectar o Active Directory ao Microsoft AD AWS gerenciado

• Integre o Active Directory DNS com o Amazon Route 53

Estender o Active Directory

Se você já tem uma infraestrutura do Active Directory e deseja usá-la ao migrar cargas de trabalho compatíveis com o Active Directory para a nuvemAWS, o Managed AWS Microsoft AD pode ajudar. Você pode usar relações de confiança para conectar o Microsoft AD AWS gerenciado ao seu Active Directory existente. Isso significa que seus usuários podem acessar AWS aplicativos e aplicativos compatíveis com o Active Directory com suas credenciais locais do Active Directory, sem precisar sincronizar usuários, grupos ou senhas. Por exemplo, seus usuários podem entrar no AWS Management Console WorkSpaces usando seus nomes de usuário e senhas existentes do Active Directory. Além disso, quando você usa aplicativos compatíveis com o Active Directory, como SharePoint com o Managed AWS Microsoft AD, seus usuários conectados do Windows podem acessar esses aplicativos sem precisar inserir credenciais novamente.

Além de usar uma relação de confiança, você pode estender o Active Directory implantando o Active Directory para execução em EC2 instâncias emAWS. Você pode fazer isso sozinho ou trabalhar com você AWS para ajudá-lo no processo. Recomendamos que você implante pelo menos dois controladores de domínio em zonas de disponibilidade diferentes ao estender seu Active Directory para o. AWS Talvez seja necessário implantar mais de dois controladores de domínio com base no número de usuários e computadores que você temAWS, mas o número mínimo que recomendamos é dois por motivos de resiliência. Você também pode migrar seu domínio local do Active Directory AWS para se livrar da carga operacional de sua infraestrutura do Active Directory usando o Active Directory Migration Toolkit (ADMT) e o Password Export Server (PES) para realizar a migração. Você também pode usar o Active Directory Launch Wizard para implantar o Active Directory emAWS.

Migrar para o Microsoft AWS AD gerenciado

Você pode aplicar dois mecanismos para usar o Active Directory noAWS. Um método é adotar o AWS Managed Microsoft AD para migrar seus objetos do Active Directory para o. AWS Isso inclui usuários, computadores, políticas de grupo e muito mais. O segundo mecanismo é uma abordagem manual em que você exporta todos os usuários e objetos e, em seguida, importa-os manualmente usando a Ferramenta de Migração do Active Directory.

Há outros motivos para migrar para o Microsoft Active Directory AWS gerenciado:

• AWSO Microsoft AD gerenciado é um domínio real do Microsoft Active Directory que permite executar cargas de trabalho tradicionais compatíveis com o Active Directory, como Microsoft Remote Desktop Licensing Manager, Microsoft SharePoint e Microsoft SQL Server Always On in the Cloud. AWS

• AWSO Microsoft AD gerenciado ajuda você a simplificar e melhorar a segurança do Active Directory integrado. NETaplicativos usando contas de serviço gerenciadas em grupo (gMSAs) e delegação restrita Kerberos (). KCD Para obter mais informações, consulte Simplificar a migração e melhorar a segurança do Active Directory integrado. NETAplicativos usando o AWS Microsoft AD na AWS documentação.

Você pode compartilhar o AWS Managed Microsoft AD em várias AWS contas. Isso permite que você gerencie AWS serviços, como a Amazon EC2, sem a necessidade de operar um diretório para cada conta e cada Amazon Virtual Private Cloud (AmazonVPC). Você pode usar seu diretório de qualquer AWS conta e de qualquer Amazon VPC dentro de uma AWS região. Esse recurso torna mais fácil e econômico gerenciar cargas de trabalho com reconhecimento de diretório com um único diretório entre contas e. VPCs Por exemplo, agora você pode gerenciar facilmente suas cargas de trabalho da Microsoft implantadas em EC2 instâncias em várias contas e na Amazon VPCs usando um único diretório gerenciado AWS do Microsoft AD. Ao compartilhar seu diretório AWS Managed Microsoft AD com outra AWS conta, você pode usar o EC2 console da Amazon ou o AWSSystems Manager para unir facilmente suas instâncias de qualquer Amazon VPC dentro da conta e AWS região.

Você pode implantar rapidamente suas cargas de trabalho com reconhecimento de diretório em EC2 instâncias, eliminando a necessidade de unir manualmente suas instâncias a um domínio ou implantar diretórios em cada conta e na Amazon. VPC Para obter mais informações, consulte Compartilhar seu diretório no AWS Directory Service Administration Guide. Lembre-se de que há um custo para compartilhar um ambiente AWS gerenciado do Microsoft AD. Você pode se comunicar com o ambiente AWS gerenciado do Microsoft AD a partir de outras redes ou contas usando um peer Amazon ou um VPC peer do Transit Gateway, portanto, o compartilhamento pode não ser necessário. Se você pretende usar o diretório com os seguintes serviços, deve compartilhar o domínio: Amazon Aurora MySQL, Amazon Aurora Postgre, Amazon, SQL Amazon for RDS MariaDB, FSx Amazon for MySQL, Amazon for Oracle, RDS Amazon for Postgre e RDS Amazon for ServerRDS. SQL RDS SQL

Use uma relação de confiança com o AWS Managed Microsoft AD

Para conceder aos usuários de um diretório existente acesso aos AWS recursos, você pode usar uma relação de confiança com sua implementação AWS gerenciada do Microsoft AD. Também é possível criar relações de confiança entre ambientes AWS gerenciados do Microsoft AD. Para obter mais informações, consulte a postagem Tudo o que você queria saber sobre relações de confiança com o AWS Managed Microsoft AD no Blog AWS de Segurança.

Integre o Active Directory DNS com o Amazon Route 53

Ao migrar paraAWS, você pode se DNS integrar ao seu ambiente usando os resolvedores do Route 53 para permitir acesso aos seus servidores (usando seus DNS nomes). Recomendamos que você use os endpoints do resolvedor Route 53 para fazer isso, em vez de modificar os conjuntos de DHCP opções. Essa é uma abordagem mais centralizada para gerenciar sua DNS configuração do que modificar conjuntos de DHCP opções. Além disso, você pode aproveitar uma variedade de regras do resolvedor. Para obter mais informações, consulte a publicação Integrando a DNS resolução do seu serviço de diretório com os resolvedores do Amazon Route 53 no blog Networking & Content Delivery e Configurar a DNS resolução para redes híbridas em um AWS ambiente com várias contas na documentação de orientação AWS prescritiva.

Migrar

Ao iniciar sua migração paraAWS, recomendamos que você considere as opções de configuração e ferramentas para ajudá-lo a migrar. Também é importante considerar os aspectos operacionais e de segurança de longo prazo do seu ambiente.

Considere as seguintes opções:

• Segurança nativa da nuvem

• Ferramentas para migrar o Active Directory para AWS

Segurança nativa da nuvem

• Configurações de grupos de segurança para controladores do Active Directory — Se você estiver usando o AWS Microsoft AD gerenciado, os controladores de domínio vêm com uma configuração de VPC segurança para acesso limitado aos controladores de domínio. Talvez seja necessário modificar as regras do grupo de segurança para permitir o acesso a alguns possíveis casos de uso. Para obter mais informações sobre a configuração do grupo de segurança, consulte Aprimorar sua configuração de segurança de rede AWS Managed Microsoft AD no AWS Directory Service Administration Guide. Recomendamos que você não permita que os usuários modifiquem esses grupos ou os usem para outros AWS serviços. A permissão para que outros usuários os utilizem poderá causar interrupções no serviço do ambiente do Active Directory se os usuários os modificarem para bloquear comunicações necessárias.

• Integre com o Amazon CloudWatch Logs para registros de eventos do Active Directory — Se você estiver executando o Microsoft AD AWS gerenciado ou usando um Active Directory autogerenciado, poderá aproveitar as vantagens do Amazon CloudWatch Logs para centralizar seus registros do Active Directory. Você pode usar CloudWatch registros para copiar autenticação, segurança e outros registros para CloudWatch. Essa opção oferece uma maneira fácil de pesquisar logs em um só lugar e pode ajudar a cumprir alguns requisitos de conformidade. Recomendamos a integração com o CloudWatch Logs porque isso pode ajudar você a responder melhor a futuros incidentes em seu ambiente. Para obter mais informações, consulte Habilitando Amazon CloudWatch Logs para AWS Managed Active Directory no AWS Directory Service Administration Guide e Amazon CloudWatch Logs for Windows Event Logs no Centro de AWS conhecimento.

Ferramentas para migrar o Active Directory para AWS

Recomendamos que você use a Ferramenta de Migração do Active Directory (ADMT) e o Servidor de Exportação de Senha (PES) para realizar sua migração. Isso permite que você mova facilmente usuários e computadores de um domínio para outro. Lembre-se das seguintes considerações se você usar PES ou migrar de um domínio gerenciado do Active Directory para outro:

• Ferramenta de migração do Active Directory (ADMT) para usuários, grupos e computadores — você pode usar ADMTpara migrar usuários do Active Directory autogerenciado para o AWS Microsoft AD gerenciado. Uma consideração importante é o cronograma de migração e a importância do histórico do identificador de segurança (SID). SIDO histórico não é transferido durante a migração. Se oferecer suporte ao SID histórico for uma necessidade crítica, considere usar o Active Directory autogerenciado na Amazon em EC2 vez de ADMT fazê-lo para que você possa manter o SID histórico.

• Servidor de exportação de senha (PES) — PES pode ser usado para migrar senhas para dentro, mas não para fora do AWS Managed Microsoft AD. Para obter informações sobre como migrar usuários e senhas do seu diretório, consulte Como migrar seu domínio local para o Managed AWS Microsoft AD usando ADMT o Blog de AWS Segurança e o Password Export Server versão 3.1 (x64) da documentação da Microsoft.

• LDIF— LDAP Data Interchange Format (LDIF) é um formato de arquivo usado para estender o esquema de um diretório gerenciado do AWS Microsoft AD. LDIFos arquivos contêm as informações necessárias para adicionar novos objetos e atributos ao diretório. Os arquivos devem atender aos LDAP padrões de sintaxe e devem conter definições de objeto válidas para cada objeto adicionado pelos arquivos. Depois de criar o LDIF arquivo, você deve carregar o arquivo no diretório para estender seu esquema. Para obter mais informações sobre o uso de LDIF arquivos para estender o esquema de um diretório AWS gerenciado do Microsoft AD, consulte Estendendo o esquema do AWS Managed AD no AWS Directory Service Administration Guide.

• CSVDE— Em alguns casos, talvez seja necessário exportar e importar usuários para um diretório sem criar uma relação de confiança e usoADMT. Embora não seja o ideal, você pode usar o Csvde (uma ferramenta de linha de comando) para migrar usuários do Active Directory de um domínio para outro. Para usar o Csvde, você deve criar um CSV arquivo que contenha as informações do usuário, como nomes de usuário, senhas e associação ao grupo. Em seguida, você pode usar o comando csvde para importar os usuários para o novo domínio. Você também pode usar esse comando para exportar usuários existentes do domínio de origem. Isso pode ser útil se você estiver migrando de outra fonte de diretório, como Serviços de SAMBA Domínio para o Microsoft Active Directory. Para obter mais informações, consulte Como migrar seus usuários do Microsoft Active Directory para o Simple AD ou o AWS Managed Microsoft AD no blog AWS de segurança.

Recursos adicionais

• Tudo o que você queria saber sobre relações de confiança com o AWS Managed Microsoft AD (Blog AWS de segurança)

• Como migrar seu domínio local para o AWS Microsoft AD gerenciado usando ADMT (Blog de AWS segurança)

• Active Directory no Dia AWS da Imersão (AWSWorkshop Studio)