遷移 Active Directory

Active Directory 為適用於許多企業環境的一般身分識別與存取管理解決方案。DNS結合 、使用者和機器管理，讓 Active Directory 成為 Microsoft 和 Linux 工作負載的理想選擇，以進行集中式使用者身分驗證。當您計劃前往雲端或 的旅程時AWS，您會面臨將 Active Directory 擴展到 AWS 或使用 受管服務卸載目錄服務基礎設施管理的選擇。建議您在決定適合組織的方法時，了解每個選項的風險和優點。

Active Directory 遷移的正確策略是符合您組織需求的策略，並可讓您利用AWS雲端。這涉及到不僅要考慮目錄服務本身，還要考慮它們如何與其他 AWS 服務互動。此外，您必須考量管理 Active Directory 之團隊的長期目標。

除了 Active Directory 遷移之外，您還必須決定 Active Directory 將位於何處的帳戶結構、AWS帳戶的網路拓撲，以及您計劃使用哪些DNS整合和其他需要 Active Directory 的潛在AWS服務。如需有關設計帳戶拓撲和其他遷移策略考量的資訊，請參閱本指南的基礎最佳實務一節。

評估

若要實作成功的遷移，請務必評估您現有的基礎架構，並瞭解環境所需的主要功能。建議您在選擇遷移方式之前，檢閱下列區域：

• 檢閱現有的AWS基礎設施設計 – 請遵循本指南 Windows 環境探索一節中的指引，如果您尚未了解現有 Active Directory 基礎設施的足跡和基礎設施需求，請使用評估方法協助檢閱。建議您在 中使用 Microsoft for Active Directory 基礎設施的處方大小AWS。如果您要將 Active Directory 基礎設施擴展至 AWS，則可能只需要在 中部分量的 Active Directory 身分驗證足跡AWS。因此，除非您將 Active Directory 佔用空間完全移至 ，否則請避免過度規劃您的環境AWS。如需詳細資訊，請參閱 Microsoft 文件中的 Active Directory Domain Services 的容量規劃。

• 檢閱現有的內部部署 Active Directory 設計：檢閱內部部署 (自我管理) Active Directory 的目前使用率。如果您要將 Active Directory 環境擴展至 AWS，建議您在多個網域控制器上執行 Active Directory，AWS即使是做為內部部署環境的延伸。這遵循 AWS Well-Architected 架構，透過在多個可用區域中部署執行個體來設計潛在的故障。

• 識別應用程式和聯網中的相依性：在選擇最佳的遷移策略之前，您必須完全了解組織在功能方面所需的所有 Active Directory 功能。如此表示選擇託管服務或自我託管時，必須了解每個服務的選項。決定適合您的遷移時，請考量下列項目：

  • 存取需求：存取控制 Active Directory 的需求將會決定適合您的遷移路徑。如果您需要完整存取 Active Directory 網域控制站，才能安裝任何類型的代理程式以符合合規法規，則 AWS Managed Microsoft AD 可能不是適合您的解決方案。相反地，請調查 Active Directory 從網域控制站延伸到EC2AWS帳戶中的 Amazon。

  • 遷移時間軸：如果您延長遷移時間軸，但沒有明確的完成日期，請確認您具有採取緊急應變措施可在雲端和內部部署環境中管理執行個體。驗證為 Microsoft 工作負載用於避免管理問題的重要元件。建議您在遷移初期規劃移動 Active Directory。

• 備份策略 – 如果您使用現有的 Windows 備份來擷取 Active Directory 網域控制器的系統狀態，則可以繼續使用 中的現有備份策略AWS。此外， AWS提供技術選項，協助您備份執行個體。例如，AWSData Lifecycle Manager 、 AWS Backup 和 AWS Elastic Disaster Recovery 是支援備份 Active Directory 網域控制器的技術。若要避免發生問題，請勿仰賴還原 Active Directory。建議的最佳實務為建置具彈性的架構，但如果您需要進行復原，則必須具有備份方法。

• 災難復原 （DR） 需求 – 如果您要將 Active Directory 遷移至 AWS ，則必須在發生災難時設計復原能力。如果您要將現有作用中目錄移至 AWS，您可以使用次要AWS區域，並使用 Transit Gateway 連接兩個區域，以允許發生複寫。此為一般偏好方法。部分組織對於在隔離環境 (您可以在此環境內中斷主要網站和次要網站之間的連線數天，以測試可靠性) 中測試容錯移轉具有不同需求。如果此為組織的需求，則可能需要時間從 Active Directory 中排除 split-brain 問題。您可能可以將 AWS Elastic Disaster Recovery 用作主動/被動實作，其中您將 DR 網站保留為容錯移轉環境，並且必須定期單獨測試 DR 策略。規劃組織的復原時間目標 （RTO） 和復原點目標 （RPO） 需求，是評估遷移至 的重要因素AWS。請務必定義需求與測試和容錯移轉計畫以驗證實作。

調動

符合您組織和操作需求的正確策略，是將 Active Directory 遷移或擴展至 的重要元素AWS。選擇如何整合 AWS 服務對於採用 至關重要AWS。請務必選擇符合您業務需求的 Active Directory 或 AWS Managed Microsoft AD 方法延伸。Amazon 等服務中有一些功能RDS依賴於使用 AWS Managed Microsoft AD。請務必評估AWS服務限制，以確定 Amazon EC2和 AWS Managed Microsoft AD 上的 Active Directory 是否存在相容性限制。建議您考量下列整合點作為規劃程序。

考慮下列在 中使用 Active Directory 的原因AWS：

• 讓AWS應用程式使用 Active Directory

• 使用 Active Directory 登入AWS管理主控台

讓AWS應用程式使用 Active Directory

您可以啟用多個AWS應用程式和服務，例如AWS用戶端 VPN、AWS管理主控台 、AWSIAM身分中心 （AWS單一登入的後繼者）、Amazon Chime 、Amazon Connect、Amazon FSx for Windows File Server 、Amazon QuickSight、Amazon RDS for SQL Server （僅適用於 Directory Service）、Amazon WorkDocs、Amazon WorkMail和 Amazon WorkSpaces，以使用您的 AWS Managed Microsoft AD 目錄。當您在目錄中啟用AWS應用程式或服務時，您的使用者可以使用其 Active Directory 憑證來存取應用程式或服務。您可以使用熟悉的 Active Directory 管理工具，將執行個體加入 AWS Managed Microsoft AD 目錄 ，以套用 Active Directory 群組政策物件 （GPOs），集中管理 Amazon EC2 for Windows 或 Linux 執行個體。

您的使用者可透過 Active Directory 憑證登入執行個體。這樣就不需要使用個別執行個體憑證或分發私有金鑰 （PEM） 檔案。您可更輕鬆地透過利用使用中的 Active Directory 使用者管理工具，立即授予或撤銷使用者存取權。

使用 Active Directory 登入AWS管理主控台

AWS Managed Microsoft AD 可讓您授予目錄成員對 AWS 管理主控台的存取權。根據預設，您的目錄成員無法存取任何AWS資源。您可以將 AWS Identity and Access Management （IAM） 角色指派給目錄成員，讓他們存取各種AWS服務和資源。此IAM角色會定義目錄成員擁有的服務、資源和存取層級。

例如，您可以讓使用者使用其 Active Directory 憑證 登入AWS管理主控台。若要執行此操作，請在目錄中將AWS管理主控台啟用為應用程式，然後將 Active Directory 使用者和群組指派給IAM角色。當您的使用者登入 AWS 管理主控台時，他們擔任管理 AWS 資源IAM的角色。這可讓您輕鬆地授予使用者對 AWS 管理主控台的存取權，而不需要設定和管理單獨的SAML基礎設施。如需詳細資訊，請參閱 AWS安全部落格中的 AWS IAM Identity Center Active Directory 同步如何增強AWS應用程式體驗。您可以授予目錄或內部部署 Active Directory 之使用者帳戶的存取權。這可讓使用者使用現有的憑證和許可，直接將IAM角色指派給現有的使用者帳戶，以登入 AWS 管理主控台或透過 AWS 命令列介面 （AWS CLI） 管理AWS資源。

在您將主控台存取權授予目錄成員之前，您的目錄必須具有存取權 URL。如需有關如何檢視目錄詳細資訊和取得存取權的詳細資訊URL，請參閱 AWS Directory Service Administration Guide 中的檢視目錄資訊。如需如何建立存取權的詳細資訊URL，請參閱 AWS目錄服務管理指南中的建立存取權URL。如需如何建立角色並將IAM角色指派給目錄成員的詳細資訊，請參閱AWS目錄服務管理指南中的授予使用者和群組對 AWS 資源的存取權。

請考量 Active Directory 的下列遷移選項：

• 延伸 Active Directory

• 遷移至 AWS Managed Microsoft AD

• 使用信任將 Active Directory 與 AWS Managed Microsoft AD 連線

• 將 Active Directory DNS與 Amazon Route 53 整合

延伸 Active Directory

如果您已有 Active Directory 基礎設施，且想要在將 Active Directory 感知工作負載遷移至AWS雲端時使用它，AWSManaged Microsoft AD 可以提供協助。您可以使用信任將 AWS Managed Microsoft AD 連接至現有的 Active Directory。這表示您的使用者可以透過其內部部署 Active Directory 憑證存取 Active Directory 感知和AWS應用程式，而不需要您同步使用者、群組或密碼。例如，您的使用者可以使用 WorkSpaces 現有的 Active Directory 使用者名稱和密碼，登入 AWS 管理主控台和 。此外，當您使用 Active Directory 感知應用程式，例如 SharePoint 搭配 AWS Managed Microsoft AD 使用時，您登入的 Windows 使用者可以存取這些應用程式，而無需再次輸入憑證。

除了使用信任之外，您還可以透過部署 Active Directory 在 中的EC2執行個體上執行來擴展 Active DirectoryAWS。您可以自行執行此操作，也可以使用 AWS 來協助您完成程序。建議您在將 Active Directory 延伸至 時，在不同可用區域中至少部署兩個網域控制器AWS。您可能需要根據您在 中擁有的使用者和電腦數目部署兩個以上的網域控制器AWS，但基於恢復能力原因，我們建議的最小數目為兩個。您也可以使用 Active Directory 遷移工具組 （ADMT） 和密碼匯出伺服器 （PES） 來執行遷移，將內部部署 Active Directory 網域遷移至 ，AWS以減輕 Active Directory 基礎設施的操作負擔。您也可以使用 Active Directory Launch Wizard 在 上部署 Active DirectoryAWS。

遷移至 AWS Managed Microsoft AD

您可以在 中套用兩個用於使用 Active Directory 的機制AWS。其中一種方法是採用 AWS Managed Microsoft AD 將 Active Directory 物件遷移至 AWS。其中包括使用者、電腦及群組原則等。第二種機制是一種手動方法，您可以透過此方法匯出所有使用者和物件，然後透過使用 Active Directory Migration Tool 手動匯入使用者和物件。

還有其他理由可移至 AWS Managed Microsoft Active Directory：

• AWS Managed Microsoft AD 是實際的 Microsoft Active Directory 網域，可讓您在雲端 中執行傳統的 Active Directory 感知工作負載，例如 Microsoft Remote Desktop Licensing Manager 、Microsoft SharePoint和 Microsoft Server Always On。 SQL AWS

• AWS Managed Microsoft AD 可協助您使用群組 Managed Service 帳戶 （gMSAs） 和 Kerberos 限制委派 （），簡化和改善 Active Directory 整合的 .NET 應用程式的安全性KCD。如需詳細資訊，請參閱簡化遷移並改善 Active Directory 整合的安全性。NET 文件中使用 AWS Microsoft AD 的應用程式。 AWS

您可以跨多個AWS帳戶共用 AWS Managed Microsoft AD。這可讓您管理 AWS 服務，例如 Amazon EC2，而無需操作每個帳戶和每個 Amazon Virtual Private Cloud （Amazon） 的目錄VPC。您可以從任何 AWS 帳戶和AWS區域內的任何 Amazon VPC 使用目錄。此功能可讓您更輕鬆且更符合成本效益地管理具有目錄感知能力的工作負載，而單一目錄橫跨 帳戶和 VPCs。例如，您現在可以VPCs使用單一 AWS Managed Microsoft AD 目錄，輕鬆管理部署在多個帳戶和 Amazon 之間執行個體中的 Microsoft 工作負載。 EC2當您與另一個AWS帳戶共用 AWS Managed Microsoft AD 目錄時，您可以使用 Amazon EC2主控台或 AWS Systems Manager，從VPC帳戶和AWS區域中的任何 Amazon 無縫加入執行個體。

您可以透過消除手動將EC2執行個體加入網域或在每個帳戶和 Amazon 中部署目錄的需求，在執行個體上快速部署具有目錄感知能力的工作負載VPC。如需詳細資訊，請參閱目錄服務管理指南中的共用您的AWS目錄。請記住，共用 AWS Managed Microsoft AD 環境需要付費。您可以使用 Amazon VPC對等或 Transit Gateway 對等，從其他網路或帳戶與 AWS Managed Microsoft AD 環境通訊，因此可能不需要共用。如果您打算將目錄與下列服務搭配使用，則必須共用網域：Amazon Aurora My SQL、Amazon Aurora Postgre SQL、Amazon FSx、Amazon RDS for MariaDB 、Amazon RDS for My SQL、Amazon RDS for Oracle、Amazon RDS for Postgre SQL和 Amazon RDS for SQL Server。

將信任與 AWS Managed Microsoft AD 搭配使用

若要將現有目錄對AWS資源的存取權授予使用者，您可以將信任與 AWS Managed Microsoft AD 實作搭配使用。也可以在 AWS Managed Microsoft AD 環境之間建立信任。如需詳細資訊，請參閱 AWS安全部落格中的有關使用 AWS Managed Microsoft AD 的信任的所有相關資訊。

將 Active Directory DNS與 Amazon Route 53 整合

當您遷移至 時AWS，您可以使用 Route 53 解析程式來允許存取您的伺服器 （使用其DNS名稱），以整合DNS到您的環境。我們建議您使用 Route 53 解析器端點來完成此操作，而不是修改DHCP選項集。這是管理DNS組態比修改DHCP選項集更集中的方法。此外，您可以利用各種解析程式規則。如需詳細資訊，請參閱在網路和內容交付部落格中的將 Directory Service 的DNS解析度與 Amazon Route 53 Resolvers 貼文整合，並在 AWS 規範指南文件中為多帳戶AWS環境中的混合網路設定DNS解析度。

遷移

當您開始遷移至 時AWS，建議您考慮組態和工具選項，以協助您遷移。此外，請務必考量環境的長期安全性與運作方向。

請考量下列選項：

• 雲端原生安全性

• 將 Active Directory 遷移至 的工具 AWS

雲端原生安全性

• Active Directory 控制器的安全群組組態 – 如果您使用的是 AWS Managed Microsoft AD，網域控制器會隨附VPC安全組態，以限制對網域控制器的存取。您可能需要修改安全群組規則，以允許部分潛在使用案例的存取。如需安全群組組態的詳細資訊，請參閱AWS目錄服務管理指南中的增強 AWS Managed Microsoft AD 網路安全組態。建議您不要允許使用者修改這些群組，或將其用於任何其他 AWS 服務。如果使用者修改此類群組以封鎖必要的通訊，則允許其他使用者使用此類群組，可能會導致您的 Active Directory 環境服務中斷。

• 與 Amazon CloudWatch Logs for Active Directory 事件日誌整合 – 如果您正在執行 AWS Managed Microsoft AD 或使用自我管理的 Active Directory，則可以利用 Amazon CloudWatch Logs 集中 Active Directory 日誌。您可以使用 CloudWatch 日誌將身分驗證、安全性和其他日誌複製到 CloudWatch。如此可讓您以輕鬆方式在單一位置搜尋日誌，並協助滿足部分合規要求。我們建議您與 CloudWatch Logs 整合，因為它可協助您更好地回應環境中的未來事件。如需詳細資訊，請參閱 AWS 目錄服務管理指南中的啟用 Amazon CloudWatch Logs for AWS Managed Active Directory 和 AWS 知識中心的 Amazon CloudWatch Logs for Windows 事件日誌。

將 Active Directory 遷移至 的工具 AWS

建議您使用 Active Directory 遷移工具 （ADMT） 和密碼匯出伺服器 （PES） 來執行遷移。如此可讓您輕鬆從一個網域將使用者和電腦移動至另一個網域。如果您使用或從一個受管 Active Directory 網域PES遷移至另一個受管 Active Directory 網域，請記住下列考量事項：

• 適用於使用者、群組和電腦的 Active Directory 遷移工具 （ADMT） – 您可以使用 ADMT 將使用者從自我管理的 Active Directory 遷移至 AWS Managed Microsoft AD。一個重要的考量是遷移時間表和安全識別符 （SID） 歷史記錄的重要性。SID 遷移期間不會轉移歷史記錄。如果支援SID歷史記錄是關鍵需求，請考慮在 Amazon 上使用自我管理的 Active Directory，EC2而不是ADMT以維護SID歷史記錄。

• 密碼匯出伺服器 （PES） – PES可用來將密碼遷移至 AWS Managed Microsoft AD，但不能遷移至 Managed Microsoft AD。如需如何從目錄遷移使用者和密碼的資訊，請參閱 Microsoft 文件中的AWS安全部落格和密碼匯出伺服器版本 3.1 （x64） 中的如何使用 將內部部署網域遷移至 AWS Managed Microsoft ADADMT。

• LDIF – LDAP Data Interchange Format （LDIF） 是一種檔案格式，用於擴展 AWS Managed Microsoft AD 目錄的結構描述。LDIF 檔案包含將新物件和屬性新增至目錄的必要資訊。檔案必須符合語法LDAP標準，且必須針對檔案新增的每個物件包含有效的物件定義。建立LDIF檔案之後，您必須將檔案上傳至目錄，才能延伸其結構描述。如需使用LDIF檔案來擴展 AWS Managed Microsoft AD 目錄結構描述的詳細資訊，請參閱 AWS 目錄服務管理指南中的擴展 AWS Managed AD 結構描述。

• CSVDE – 在某些情況下，您可能需要將使用者匯出和匯入目錄，而無需建立信任並使用 ADMT。雖然未盡理想，但您可以使用 CSVDE (命令列工具) 從一個網域將 Active Directory 使用者遷移至另一個網域。若要使用 Csvde，您必須建立包含使用者資訊CSV的檔案，例如使用者名稱、密碼和群組成員資格。接著，您可以使用 csvde 命令將使用者匯入新網域。您也可以使用此命令從來源網域匯出現有的使用者。如果您從SAMBA網域服務等其他目錄來源遷移至 Microsoft Active Directory，這可能會有所幫助。如需詳細資訊，請參閱AWS安全部落格中的如何將 Microsoft Active Directory 使用者遷移至 Simple AD 或 AWS Managed Microsoft AD。

其他資源

• 有關 AWS Managed Microsoft AD 信任的所有須知 （AWS 安全部落格）

• 如何使用 （ 安全性部落格） 將內部部署網域遷移至 AWS Managed Microsoft AD ADMT AWS

• AWS 沉浸式當日 Active Directory （AWS Workshop Studio）