遷移 Active Directory

Active Directory 為適用於許多企業環境的一般身分識別與存取管理解決方案。結合 DNS、使用者和機器管理，讓 Active Directory 成為 Microsoft 和 Linux 工作負載的理想選擇，以進行集中式使用者身分驗證。當您規劃雲端或目的地的旅程時 AWS，您會面臨將 Active Directory 擴展到 AWS 或使用受管服務卸載目錄服務基礎設施管理的選擇。建議您在決定適合組織的方法時，了解每個選項的風險和優點。

Active Directory 遷移的正確策略是符合您組織需求的策略，並可讓您利用 AWS 雲端。這涉及到不僅要考慮目錄服務本身，還要考慮它們如何與其他 互動 AWS 服務。此外，您必須考量管理 Active Directory 之團隊的長期目標。

除了 Active Directory 遷移之外，您還必須決定 Active Directory 將位於何處的帳戶結構、您 的網路拓撲 AWS 帳戶，以及您 AWS 服務 計劃使用哪些 DNS 整合和其他需要 Active Directory 的潛在。如需設計帳戶拓撲和其他遷移策略考量的相關資訊，請參閱本指南的 基礎最佳實務一節。

評估

若要實作成功的遷移，請務必評估現有的基礎設施並了解環境所需的主要功能。建議您在選擇遷移方式之前，檢閱下列區域：

• 檢閱現有的 AWS 基礎設施設計 – 遵循本指南 Windows 環境探索 一節中的指引，如果您尚未了解其足跡和基礎設施需求，請使用評估方法協助檢閱現有的 Active Directory 基礎設施。建議您使用 Microsoft for Active Directory 基礎設施的指定大小 AWS。如果您要將 Active Directory 基礎設施擴展到 AWS，則可能只需要在 中部分數量的 Active Directory 身分驗證足跡 AWS。因此，除非您將 Active Directory 足跡完全移至其中，否則請避免過度規劃您的環境 AWS。如需詳細資訊，請參閱 Microsoft 文件中的 Active Directory Domain Services 的容量規劃。

• 檢閱現有的內部部署 Active Directory 設計：檢閱內部部署 (自我管理) Active Directory 的目前使用率。如果您要將 Active Directory 環境擴展至 AWS，建議您在多個網域控制站上執行 Active Directory， AWS 即使 是內部部署環境的延伸。這遵循 AWS Well-Architected 架構，透過在多個可用區域中部署執行個體來設計潛在的故障。

• 識別應用程式和聯網中的相依性：在選擇最佳的遷移策略之前，您必須完全了解組織在功能方面所需的所有 Active Directory 功能。這表示，在受管服務或自我託管之間進行選擇時，請務必了解每個選項的選項。決定適合您的遷移時，請考量下列項目：

  • 存取需求：存取控制 Active Directory 的需求將會決定適合您的遷移路徑。如果您需要完整存取 Active Directory 網域控制站，才能安裝任何類型的代理程式以符合合規法規，則 AWS Managed Microsoft AD 可能不是適合您的解決方案。相反地，請調查 Active Directory 從網域控制站擴展到 Amazon Elastic Compute Cloud (Amazon EC2) AWS 帳戶。

  • 遷移時間軸：如果您延長遷移時間軸，但沒有明確的完成日期，請確認您具有採取緊急應變措施可在雲端和內部部署環境中管理執行個體。驗證為 Microsoft 工作負載用於避免管理問題的重要元件。建議您在遷移初期規劃移動 Active Directory。

• 備份策略 – 如果您使用現有的 Windows 備份來擷取 Active Directory 網域控制器的系統狀態，則可以繼續使用現有的備份策略 AWS。此外， AWS 還提供技術選項，協助您備份執行個體。例如，Amazon Data Lifecycle Manager、 AWS Backup和 AWS Elastic Disaster Recovery是支援備份 Active Directory 網域控制器的技術。為了避免問題，最好不要依賴 Active Directory 的還原。建議的最佳實務是建置彈性架構，但如果需要復原，請務必備妥備份方法。

• 災難復原 (DR) 需求 – 如果您要將 Active Directory 遷移至 AWS ，則必須在發生災難時設計彈性。如果您要將現有 Active Directory 移至 AWS，您可以使用次要 AWS 區域 ，並使用 來允許複寫發生 AWS Transit Gateway ，以連接兩個區域。此為一般偏好方法。部分組織對於在隔離環境 (您可以在此環境內中斷主要網站和次要網站之間的連線數天，以測試可靠性) 中測試容錯移轉具有不同需求。如果此為組織的需求，則可能需要時間從 Active Directory 中排除 split-brain 問題。您可以將 AWS Elastic Disaster Recovery用作主動/被動實作，其中您將 DR 網站保留為容錯移轉環境，並且必須定期單獨測試 DR 策略。規劃組織的復原時間目標 (RTO) 和復原點目標 (RPO) 需求，是評估遷移至 的重要因素 AWS。請務必定義需求與測試和容錯移轉計畫以驗證實作。

調動

符合您組織和營運需求的適當策略，是遷移或延伸 Active Directory 至 的重要元素 AWS。選擇如何與 整合對於採用 AWS 服務 至關重要 AWS。請務必選擇 Active Directory 的方法延伸，或 AWS Managed Microsoft AD 符合您業務需求的方法延伸。Amazon Relational Database Service (Amazon RDS) 等服務中有一些功能依賴於使用 AWS Managed Microsoft AD。請務必評估 AWS 服務 限制，以判斷 Amazon EC2 和 上的 Active Directory 是否有相容性限制 AWS Managed Microsoft AD。建議您考量下列整合點作為規劃程序。

考慮下列在 中使用 Active Directory 的原因 AWS：

• 讓 AWS 應用程式使用 Active Directory

• 使用 Active Directory 登入 AWS Management Console

讓 AWS 應用程式使用 Active Directory

您可以啟用多個 AWS 應用程式和服務，例如 AWS Client VPN、AWS Management Console、AWS IAM Identity Center、Amazon Chime、Amazon Connect、Amazon FSx for Windows File Server、Amazon QuickSight、Amazon RDS for SQL Server （僅適用於 Directory Service)、Amazon WorkDocs、Amazon WorkMail 和 Amazon WorkSpaces，以使用您的 AWS Managed Microsoft AD 目錄。當您在目錄中啟用 AWS 應用程式或服務時，您的使用者可以使用其 Active Directory 憑證來存取應用程式或服務。您可以使用熟悉的 Active Directory 管理工具，將執行個體加入AWS Managed Microsoft AD 目錄，以套用 Active Directory 群組政策物件 (GPOs) 來集中管理 Amazon EC2 for Windows 或 Linux 執行個體。

您的使用者可透過 Active Directory 憑證登入執行個體。這樣就不需要使用個別執行個體憑證或分發私有金鑰 (PEM) 檔案。您可更輕鬆地透過利用使用中的 Active Directory 使用者管理工具，立即授予或撤銷使用者存取權。

使用 Active Directory 登入 AWS Management Console

AWS Managed Microsoft AD 可讓您授予目錄成員對 的存取權 AWS Management Console。根據預設，您的目錄成員無法存取任何 AWS 資源。您可以將 AWS Identity and Access Management (IAM) 角色指派給目錄成員，讓他們存取各種 AWS 服務 和資源。IAM 角色會定義目錄成員擁有的服務、資源和存取層級。

例如，您可以讓使用者 AWS Management Console 使用其 Active Directory 憑證登入 。若要這麼做，請在目錄中啟用 AWS Management Console 作為應用程式，然後將 Active Directory 使用者和群組指派給 IAM 角色。當您的使用者登入 時 AWS Management Console，他們會擔任 IAM 角色來管理 AWS 資源。這可讓您輕鬆地授予使用者對 的存取權， AWS Management Console 而不需要設定和管理單獨的 SAML 基礎設施。如需詳細資訊，請參閱 AWS 安全部落格中的 AWS IAM Identity Center Active Directory 同步如何增強 AWS 應用程式體驗。您可以授予目錄或內部部署 Active Directory 之使用者帳戶的存取權。這可讓使用者使用現有的憑證和許可，直接將 IAM 角色指派給現有的使用者帳戶來管理 AWS 資源，藉此登入 AWS Management Console 或 AWS Command Line Interface (AWS CLI)。

在您將主控台存取權授予目錄成員之前，您的目錄必須具有存取 URL。如需有關如何檢視目錄詳細資訊和取得 URL 存取權的詳細資訊，請參閱 AWS Directory Service 文件中的檢視目錄資訊。如需如何建立存取 URL 的詳細資訊，請參閱 AWS Directory Service 文件中的建立存取 URL。如需如何建立 IAM 角色並將其指派給目錄成員的詳細資訊，請參閱授予使用者和群組對文件中 AWS 資源的存取權。 AWS Directory Service

請考量 Active Directory 的下列遷移選項：

• 延伸 Active Directory

• 遷移至 AWS Managed Microsoft AD

• 使用信任將 Active Directory 與 連線 AWS Managed Microsoft AD

• 將 Active Directory DNS 與 Amazon Route 53 整合

延伸 Active Directory

如果您已經擁有 Active Directory 基礎設施，且想要在將 Active Directory 感知工作負載遷移至 時使用它 AWS 雲端， AWS Managed Microsoft AD 可以提供協助。您可以使用信任 AWS Managed Microsoft AD 連線到現有的 Active Directory。這表示您的使用者可以使用其內部部署 Active Directory 憑證存取 Active Directory 感知和 AWS 應用程式，而不需要您同步使用者、群組或密碼。例如，您的使用者可以使用現有的 Active Directory 使用者名稱和密碼登入 AWS Management Console 和 WorkSpaces 。此外，當您搭配 SharePoint 等 Active Directory 感知應用程式時 AWS Managed Microsoft AD，登入的 Windows 使用者可以存取這些應用程式，而不需要再次輸入憑證。

除了使用信任之外，您還可以透過部署 Active Directory 以在 EC2 執行個體上執行來擴展 Active Directory AWS。您可以自行執行此操作，也可以使用 AWS 來協助您完成程序。建議您在將 Active Directory 擴展到 時，在不同可用區域中至少部署兩個網域控制器 AWS。您可能需要根據您擁有的使用者和電腦數量部署兩個以上的網域控制站 AWS，但基於彈性原因，我們建議的最低數量為兩個。您也可以使用 Active Directory 遷移工具組 (ADMT) 和密碼匯出伺服器 (PES) 來執行遷移，將內部部署 Active Directory 網域遷移至 ， AWS 以免於 Active Directory 基礎設施的操作負擔。您也可以使用 Active Directory Launch Wizard 在 上部署 Active Directory AWS。

遷移至 AWS Managed Microsoft AD

您可以在 中套用兩個用於使用 Active Directory 的機制 AWS。其中一種方法是採用 AWS Managed Microsoft AD 來遷移您的 Active Directory 物件 AWS。其中包括使用者、電腦及群組原則等。第二種機制是一種手動方法，您可以透過此方法匯出所有使用者和物件，然後透過使用 Active Directory Migration Tool 手動匯入使用者和物件。

還有其他理由要移至 AWS Managed Microsoft AD：

• AWS Managed Microsoft AD 是實際的 Microsoft Active Directory 網域，可讓您在 中執行傳統的 Active Directory 感知工作負載，例如 Microsoft Remote Desktop Licensing Manager、Microsoft SharePoint 和 Microsoft Word Server Always On。 SQL AWS 雲端

• AWS Managed Microsoft AD 可協助您使用群組受管服務帳戶 (NET) 和 Kerberos 限制委派 (gMSAs)，簡化和改善 Active Directory 整合 .KCD 應用程式的安全性。如需詳細資訊，請參閱簡化遷移並改善 Active Directory – 整合的 .NET 的安全性 文件中使用 的應用程式 AWS Managed Microsoft AD。 AWS

您可以在多個 AWS Managed Microsoft AD 之間共用 AWS 帳戶。這可讓您管理 AWS 服務，例如 Amazon EC2，而無需操作每個帳戶和每個 Amazon Virtual Private Cloud (Amazon VPC) 的目錄。您可以從 內的任何 AWS 帳戶 和任何 Amazon VPC 使用目錄 AWS 區域。此功能可讓您更輕鬆且更符合成本效益地使用跨帳戶和 VPCs 的單一目錄來管理感知目錄的工作負載。例如，您現在可以使用單一 AWS Managed Microsoft AD 目錄，輕鬆管理部署在跨多個帳戶和 VPCs 的 EC2 執行個體中的 Microsoft 工作負載。當您與另一個 共用目錄 AWS Managed Microsoft AD 時 AWS 帳戶，您可以使用 Amazon EC2 主控台或 AWS Systems Manager ，從帳戶中的任何 Amazon VPC 無縫加入執行個體 AWS 區域。

您可以在 EC2 執行個體上快速部署目錄感知工作負載，無需手動將執行個體加入網域，或在每個帳戶和 Amazon VPC 中部署目錄。如需詳細資訊，請參閱 AWS Directory Service 文件中的共用目錄。請記住，共享 AWS Managed Microsoft AD 環境需要付費。您可以使用 Amazon VPC 對等或 Transit Gateway 對等，與其他網路或帳戶 AWS Managed Microsoft AD 的環境通訊，因此可能不需要共用。如果您打算將目錄與下列服務搭配使用，則必須共用網域：Amazon Aurora MySQL、Amazon Aurora PostgreSQL、Amazon FSx、Amazon RDS for MariaDB、Amazon RDS for MySQL、Amazon RDS for Oracle、Amazon RDS for PostgreSQL 和 Amazon RDS for SQL Server。

將信任與 搭配使用 AWS Managed Microsoft AD

若要將現有目錄對 AWS 資源的存取權授予使用者，您可以在 AWS Managed Microsoft AD 實作中使用信任。您也可以在 AWS Managed Microsoft AD 環境之間建立信任。如需詳細資訊，請參閱 AWS 安全部落格中的有關信任的所有資訊 AWS Managed Microsoft AD。

將 Active Directory DNS 與 Amazon Route 53 整合

遷移至 時 AWS，您可以使用 將 DNS 整合到您的環境中 Amazon Route 53 Resolver ，以允許存取您的伺服器 （使用其 DNS 名稱）。我們建議您使用 Route 53 Resolver 端點來完成此操作，而不是修改 DHCP 選項集。這是管理 DNS 組態比修改 DHCP 選項集更集中的方法。此外，您可以利用各種解析程式規則。如需詳細資訊，請參閱在 網路和內容交付部落格中的將 Directory Service 的 DNS 解析與 Amazon Route 53 Resolvers 文章整合，並在 AWS 規範性指南文件中為多帳戶 AWS 環境中的混合網路設定 DNS 解析。

遷移

開始遷移至 時 AWS，建議您考慮組態和工具選項，以協助您遷移。考慮環境的長期安全和操作方面也很重要。

請考量下列選項：

• 雲端原生安全性

• 將 Active Directory 遷移至 的工具 AWS

雲端原生安全性

• Active Directory 控制器的安全群組組態 – 如果您使用的是 AWS Managed Microsoft AD，網域控制器會隨附 VPC 安全組態，以限制對網域控制器的存取。您可能需要修改安全群組規則，以允許部分潛在使用案例的存取。如需安全群組組態的詳細資訊，請參閱 AWS Directory Service 文件中的增強 AWS Managed Microsoft AD 網路安全組態。建議您不要允許使用者修改這些群組，或將其用於任何其他群組 AWS 服務。如果使用者修改此類群組以封鎖必要的通訊，則允許其他使用者使用此類群組，可能會導致您的 Active Directory 環境服務中斷。

• 與 Amazon CloudWatch Logs for Active Directory 事件日誌整合 – 如果您正在執行 AWS Managed Microsoft AD 或使用自我管理的 Active Directory，則可以利用 Amazon CloudWatch Logs 集中管理 Active Directory 日誌。您可以使用 CloudWatch Logs 將身分驗證、安全和其他日誌複製到 CloudWatch。如此可讓您以輕鬆方式在單一位置搜尋日誌，並協助滿足部分合規要求。我們建議您與 CloudWatch Logs 整合，因為它可協助您更好地回應環境中的未來事件。如需詳細資訊，請參閱 AWS 知識中心的 文件中的 AWS Directory Service 啟用 的 Amazon CloudWatch Logs AWS Managed Microsoft AD 和 Windows 事件日誌的 Amazon CloudWatch Logs。

將 Active Directory 遷移至 的工具 AWS

建議您使用 Active Directory 遷移工具 (ADMT) 和密碼匯出伺服器 (PES) 來執行遷移。如此可讓您輕鬆從一個網域將使用者和電腦移動至另一個網域。如果您使用 PES 或從一個受管 Active Directory 網域遷移至另一個受管 Active Directory 網域，請記住下列考量事項：

• 適用於使用者、群組和電腦的 Active Directory 遷移工具 (ADMT) – 您可以使用 ADMT 將使用者從自我管理的 Active Directory 遷移至 AWS Managed Microsoft AD。一個重要的考量是遷移時間表和安全識別符 (SID) 歷史記錄的重要性。遷移期間不會傳輸SID歷史記錄。如果支援 SID 歷史記錄是關鍵需求，請考慮在 Amazon EC2 上使用自我管理的 Active Directory，而不是 ADMT，以便您可以維護 SID 歷史記錄。

• 密碼匯出伺服器 (PES) – PES 可用來將密碼遷移至 ，但不能遷移至 AWS Managed Microsoft AD。如需有關如何從目錄遷移使用者和密碼的資訊，請參閱 Microsoft 文件中的 AWS 安全部落格和密碼匯出伺服器版本 3.1 (x64) 中的如何將內部部署網域遷移至 AWS Managed Microsoft AD 使用 ADMT。

• LDIF – LDAP Data Interchange Format (LDIF) 是一種檔案格式，用於延伸 AWS Managed Microsoft AD 目錄的結構描述。LDIF 檔案包含將新物件和屬性新增至目錄的必要資訊。檔案必須符合語法的 LDAP 標準，且必須包含檔案新增的每個物件的有效物件定義。建立 LDIF 檔案之後，您必須將檔案上傳至目錄，才能延伸其結構描述。如需使用 LDIF 檔案來延伸 AWS Managed Microsoft AD 目錄結構描述的詳細資訊，請參閱 文件中的 AWS Directory Service 延伸 結構描述 AWS Managed Microsoft AD。

• CSVDE – 在某些情況下，您可能需要將使用者匯出和匯入目錄，而無需建立信任並使用 ADMT。雖然未盡理想，但您可以使用 CSVDE (命令列工具) 從一個網域將 Active Directory 使用者遷移至另一個網域。若要使用 Csvde，您必須建立包含使用者資訊的 CSV 檔案，例如使用者名稱、密碼和群組成員資格。然後，您可以使用 csvde命令將使用者匯入新網域。您也可以使用此命令從來源網域匯出現有的使用者。如果您要從 SAMBA Domain Services 等其他目錄來源遷移至 Microsoft Active Directory，這可能會有所幫助。如需詳細資訊，請參閱如何將 Microsoft Active Directory 使用者遷移至 Simple AD 或 AWS Managed Microsoft AD AWS 安全部落格中的 。

其他資源

• 您希望知道有關信任的所有資訊 AWS Managed Microsoft AD (AWS 安全部落格）

• 如何使用 ADMT （安全部落格） AWS Managed Microsoft AD 將內部部署網域遷移至AWS

• STEPDEPLOYING 2：ACTIVEDIRECTORY (AWS Windows 研討會）