Migración de Active Directory - Recomendaciones de AWS
EvaluaciónMovilizaciónMigración

Migración de Active Directory

Active Directory es una solución típica de administración de identidades y accesos para muchos entornos corporativos. La combinación de la administración de DNS, usuarios y máquinas convierte a Active Directory en la opción ideal para las cargas de trabajo de Microsoft y Linux para la autenticación centralizada de los usuarios. Cuando planifica su transición a la nube o a AWS, se enfrenta a la opción de ampliar Active Directory a AWS o utilizar un servicio administrado para reducir la carga de administración de la infraestructura del servicio de directorios. Le recomendamos que comprenda los riesgos y las ventajas de cada opción a la hora de decidir el enfoque adecuado para su organización.

La estrategia correcta para una migración a Active Directory es aquella que se adapte a las necesidades de su organización y le permita utilizar la Nube de AWS. Esto implica tener en cuenta no solo los servicios de directorios en sí mismos, sino también la manera en que interactúan con otros servicios de Servicios de AWS. Además, debe tener en cuenta los objetivos a largo plazo de los equipos que administran Active Directory.

Además de la migración a Active Directory, debe decidir la estructura de cuentas en la que se ubicará Active Directory, la topología de red de sus Cuentas de AWS y qué integraciones de DNS y otros posibles servicios de Servicios de AWS tiene previsto utilizar que requieran Active Directory. Para obtener información acerca del diseño de la topología de su cuenta y otras consideraciones sobre la estrategia de migración, consulte la sección Prácticas recomendadas fundamentales de esta guía.

Evaluación

Para implementar una migración correcta, es importante evaluar la infraestructura existente y comprender las características clave necesarias para su entorno. Le recomendamos que revise las siguientes áreas antes de elegir cómo migrar:

  • Revise el diseño de la infraestructura de AWS existente: siga las instrucciones de la sección Detección del entorno de Windows de esta guía y utilice los métodos de evaluación para ayudar a revisar la infraestructura de Active Directory existente si aún no conoce su superficie de memoria y requisitos de infraestructura. Le recomendamos que utilice el tamaño prescrito por Microsoft para la infraestructura de Active Directory en AWS. Si va a ampliar la infraestructura de Active Directory a AWS, es posible que solo necesite una parte del espacio de autenticación de Active Directory en AWS. Por este motivo, evite sobredimensionar el entorno a menos que esté trasladando por completo su espacio de Active Directory a AWS. Para obtener más información, consulte Planeamiento de capacidad para Active Directory Domain Services en la documentación de Microsoft.

  • Revise el diseño existente de Active Directory en las instalaciones: revise el uso actual de Active Directory en las instalaciones (autoadministrado). Si va a ampliar su entorno de Active Directory a AWS, le recomendamos ejecutar Active Directory en varios controladores de dominio de AWS, incluso como una extensión de su entorno en las instalaciones. Esto se ajusta al Marco de AWS Well-Architected, que consiste en el diseño de posibles errores mediante la implementación de instancias en varias zonas de disponibilidad.

  • Identifique las dependencias en las aplicaciones y las redes: antes de elegir la mejor estrategia de migración, debe comprender perfectamente todas las características de Active Directory que su organización necesita para funcionar correctamente. Esto significa que, al elegir entre un servicio administrado o un alojamiento propio, es importante entender las opciones de cada uno de ellos. Tenga en cuenta los siguientes aspectos al decidir qué migración es adecuada para usted:

    • Requisitos de acceso: los requisitos de acceso para controlar Active Directory estipularán la ruta de migración adecuada para usted. Si necesita acceso total a los controladores de dominio de Active Directory para instalar cualquier tipo de agente a fin de cumplir con las normativas de cumplimiento, es posible que AWS Managed Microsoft AD no sea la solución adecuada para usted. En su lugar, busque una extensión de Active Directory desde sus controladores de dominio a Amazon Elastic Compute Cloud (Amazon EC2) en sus Cuentas de AWS.

    • Plazos de migración: si tiene un plazo de migración ampliado y no tiene fechas claras de finalización, compruebe que cuenta con los requisitos necesarios para la administración de las instancias en la nube y en entornos en las instalaciones. La autenticación es un componente clave que se debe implementar en las cargas de trabajo de Microsoft para evitar problemas de administración. Le recomendamos que planee migrar Active Directory al principio de la migración.

  • Estrategias de copia de seguridad: si utiliza una copia de seguridad de Windows existente para capturar el estado de los sistemas de los controladores de dominio de Active Directory, puede seguir utilizando sus estrategias de copia de seguridad existentes en AWS. Además, AWS ofrece opciones tecnológicas que pueden serle útiles para hacer copias de seguridad de las instancias. Por ejemplo, Amazon Data Lifecycle Manager, AWS Backup y AWS Elastic Disaster Recovery son tecnologías admitidas para hacer copias de seguridad de los controladores de dominio de Active Directory. Para evitar problemas, es mejor no confiar en la restauración de Active Directory. Se recomienda crear una arquitectura resiliente, pero es fundamental contar con un método de copia de seguridad si se requiere una recuperación.

  • Necesidades de recuperación ante desastres (DR): si va a migrar Active Directory a AWS, se debe diseñar para ofrecer resiliencia en caso de que se produzca un desastre. Si va a trasladar la instancia de Active Directory actual a AWS, puede utilizar una Región de AWS secundaria y conectar las dos regiones mediante AWS Transit Gateway para permitir que se produzca la replicación. Normalmente es el método preferido. Algunas organizaciones tienen varios requisitos para probar la conmutación por error en un entorno aislado, en el que se corta la conectividad entre el sitio principal y el secundario durante días para comprobar la fiabilidad. Si se trata de un requisito en su organización, podría llevar algún tiempo solucionar los problemas de división de Active Directory. Es posible que pueda utilizar AWS Elastic Disaster Recovery como una implementación activa o pasiva en la que deje su sitio de DR como un entorno de conmutación por error y deba probar su estrategia de DR de manera rutinaria y aislada. Planificar los requisitos del objetivo de tiempo de recuperación (RTO) y el objetivo de punto de recuperación (RPO) de su organización es un factor importante al evaluar la migración a AWS. Asegúrese de definir sus requisitos junto con un plan de pruebas y conmutación por error para validar la implementación.

Movilización

La estrategia adecuada para satisfacer sus necesidades organizativas y operativas es un elemento importante a la hora de migrar o extender Active Directory a AWS. Elegir cómo se integrará con los servicios de Servicios de AWS es fundamental para adoptar AWS. Asegúrese de elegir la extensión de método de Active Directory o AWS Managed Microsoft AD que cumpla con los requisitos de su empresa. Hay algunas características de servicios como Amazon Relational Database Service (Amazon RDS) que dependen del uso de AWS Managed Microsoft AD. Asegúrese de evaluar las limitaciones de los Servicio de AWS para determinar si existen restricciones de compatibilidad para Active Directory en Amazon EC2 y AWS Managed Microsoft AD. Le recomendamos que considere los siguientes puntos de integración como parte del proceso de planificación.

Tenga en cuenta los motivos siguientes para utilizar Active Directory en AWS:

  • Habilitación del funcionamiento de las aplicaciones de AWS con Active Directory

  • Uso de Active Directory para iniciar sesión en Consola de administración de AWS

Habilitación del funcionamiento de las aplicaciones de AWS con Active Directory

Puede habilitar varias aplicaciones y servicios de AWS como AWS Client VPN, Consola de administración de AWS, AWS IAM Identity Center, Amazon Connect, Amazon FSx para Windows File Server, Amazon Quick Suite, Amazon RDS para SQL Server (solo aplicable a Directory Service), Amazon WorkMail y Amazon WorkSpaces para utilizar su directorio de AWS Managed Microsoft AD. Cuando habilite una aplicación o un servicio de AWS en su directorio, los usuarios podrán acceder a estos con sus credenciales de Active Directory. Puede utilizar las herramientas conocidas de administración de Active Directory para aplicar objetos de política de grupo (GPO) de Active Directory para administrar de manera centralizada las instancias de Amazon EC2 para Windows o Linux mediante la unión de dichas instancias a su directorio de AWS Managed Microsoft AD.

Los usuarios pueden iniciar sesión en las instancias con sus credenciales de Active Directory. Esto elimina la necesidad de utilizar credenciales de instancias individuales o distribuir archivos de clave privada (PEM). De este modo, le resultará más fácil conceder o revocar de forma instantánea el acceso a los usuarios con las herramientas de administración de usuarios de Active Directory que ya usa habitualmente.

Uso de Active Directory para iniciar sesión en Consola de administración de AWS

AWS Managed Microsoft AD le permite conceder acceso a Consola de administración de AWS a los miembros de su directorio. De manera predeterminada, los miembros de su directorio no tienen acceso a los recursos de AWS. Asigne roles de AWS Identity and Access Management (IAM) a los miembros de su directorio para darles acceso a los distintos servicios y recursos de Servicios de AWS. El rol de IAM define los servicios, los recursos y el nivel de acceso que tienen los miembros de su directorio.

Por ejemplo, puede permitir a los usuarios iniciar sesión en Consola de administración de AWS con sus credenciales de Active Directory. Para ello, habilita la Consola de administración de AWS como una aplicación en su directorio y, a continuación, asigna a los usuarios y grupos de Active Directory a los roles de IAM. Cuando los usuarios inicien sesión en la Consola de administración de AWS, asumirán un rol de IAM para administrar los recursos de AWS. Esto facilita la concesión de acceso a sus usuarios a la Consola de administración de AWS sin necesidad de configurar y administrar una infraestructura de SAML independiente. Para más información, consulte How AWS IAM Identity Center Active Directory sync enhances AWS application experiences en el blog sobre seguridad de AWS. Puede conceder acceso a las cuentas de usuario en su directorio o en Active Directory en las instalaciones. Esto permite a los usuarios iniciar sesión en Consola de administración de AWS o a través de AWS Command Line Interface (AWS CLI) con sus credenciales y permisos existentes para administrar los recursos de AWS mediante la asignación de roles de IAM de manera directa a las cuentas de usuario existentes.

Para que los miembros de su directorio puedan tener acceso a la consola, es preciso que este cuente con una URL de acceso. Para más información acerca de cómo ver los detalles del directorio y obtener la URL de acceso, consulte View directory information en la documentación de AWS Directory Service. Para más información acerca de cómo crear una URL de acceso, consulte Creating an access URL en la documentación de Directory Service. Para más información sobre cómo crear roles de IAM y asignarlos a los miembros del directorio, consulte Grant users and groups access to AWS resources en la documentación de Directory Service.

Tenga en cuenta las siguientes opciones de migración para Active Directory:

  • Ampliación de Active Directory

  • Migración a AWS Managed Microsoft AD

  • Uso de una relación de confianza para conectar Active Directory con AWS Managed Microsoft AD

  • Integración del DNS de Active Directory con Amazon Route 53

Ampliación de Active Directory

Si ya dispone de una infraestructura de Active Directory y quiere utilizarla al migrar las cargas de trabajo compatibles con Active Directory a la Nube de AWS, AWS Managed Microsoft AD puede ser útil. Puede utilizar relaciones de confianza para conectar AWS Managed Microsoft AD a su directorio existente de Active Directory. Esto significa que los usuarios pueden obtener acceso a aplicaciones de AWS y aplicaciones compatibles con Active Directory con sus propias credenciales de Active Directory en las instalaciones, sin necesidad de que sincronice usuarios, grupos o contraseñas. Por ejemplo, los usuarios pueden iniciar sesión en Consola de administración de AWS y WorkSpaces mediante sus nombres de usuario y contraseñas existentes de Active Directory. Además, cuando utilice aplicaciones compatibles con Active Directory, como SharePoint, con AWS Managed Microsoft AD, los usuarios de Windows que hayan iniciado sesión podrán acceder a estas aplicaciones sin tener que volver a ingresar las credenciales.

Además de utilizar una relación de confianza, puede ampliar Active Directory al implementar Active Directory para que se ejecute en instancias de EC2 en AWS. Puede hacerlo por su cuenta o trabajar con AWS para que le brinda ayuda con el proceso. Le recomendamos que implemente al menos dos controladores de dominio en distintas zonas de disponibilidad cuando extienda Active Directory a AWS. Es posible que necesite implementar más de dos controladores de dominio en función del número de usuarios y equipos que tenga en AWS, pero el número mínimo que recomendamos es de dos por motivos de resiliencia. También puede migrar su dominio de Active Directory en las instalaciones a AWS para liberarse de la carga operativa de su infraestructura de Active Directory mediante el kit de herramientas de migración de Active Directory (ADMT) junto con el servidor de exportación de contraseñas (PES) para llevar a cabo la migración. También puede utilizar el asistente de lanzamiento de Active Directory para implementar Active Directory en AWS.

Migración a AWS Managed Microsoft AD

Puede aplicar dos mecanismos para utilizar Active Directory en AWS. Un método consiste en adoptar AWS Managed Microsoft AD para migrar los objetos de Active Directory a AWS. Esto incluye usuarios, equipos, políticas de grupo y mucho más. El segundo mecanismo es un enfoque manual en el que se exportan todos los usuarios y objetos y, a continuación, se importan manualmente los usuarios y objetos mediante la herramienta de migración de Active Directory.

Existen otros motivos para migrar a AWS Managed Microsoft AD:

Puede compartir AWS Managed Microsoft AD en varias Cuentas de AWS. Esto le permite administrar los Servicios de AWS, como Amazon EC2, sin necesidad de operar un directorio para cada cuenta y cada instancia de Amazon Virtual Private Cloud (Amazon VPC). Puede utilizar su directorio desde cualquier Cuenta de AWS y desde cualquier VPC de Amazon en una Región de AWS. Esta capacidad hace que sea más fácil y rentable administrar cargas de trabajo compatibles con el directorio con un único directorio entre cuentas y VPC. Por ejemplo, ahora puede administrar de manera fácil sus cargas de trabajo de Microsoft implementadas en instancias EC2 en varias cuentas y las VPC mediante un único directorio de AWS Managed Microsoft AD. Cuando comparte su directorio de AWS Managed Microsoft AD con otra Cuenta de AWS, puede utilizar la consola de Amazon EC2 o AWS Systems Manager para unir sin problemas las instancias desde cualquier VPC de Amazon en la cuenta y Región de AWS.

Puede implementar rápidamente las cargas de trabajo compatibles con un directorio en instancias de EC2 al eliminar la necesidad de unir manualmente las instancias a un dominio o de implementar directorios en cada cuenta y VPC de Amazon. Para más información, consulte Share your directory en la documentación de Directory Service. Tenga en cuenta que compartir un entorno de AWS Managed Microsoft AD conlleva un costo. Puede comunicarse con el entorno de AWS Managed Microsoft AD desde otras redes o cuentas mediante una interconexión de Amazon VPC o una interconexión de Transit Gateway, por lo que puede que no sea necesario compartir. Si pretende utilizar el directorio con los siguientes servicios, debe compartir el dominio: Amazon Aurora MySQL, Amazon Aurora PostgreSQL, Amazon FSx, Amazon RDS para MariaDB, Amazon RDS para MySQL, Amazon RDS para Oracle, Amazon RDS para PostgreSQL y Amazon RDS para SQL Server.

Uso de una relación de confianza con AWS Managed Microsoft AD

Para conceder a los usuarios de un directorio existente acceso a los recursos de AWS, puede utilizar una relación de confianza con su implementación de AWS Managed Microsoft AD. También es posible crear relaciones de confianza entre los entornos de AWS Managed Microsoft AD. Para más información, consulte la publicación Everything you wanted to know about trusts with AWS Managed Microsoft AD en el blog de AWS sobre seguridad.

Integración del DNS de Active Directory con Amazon Route 53

Al migrar a AWS, puede integrar el DNS en el entorno mediante Amazon Route 53 Resolver para permitir el acceso a los servidores (mediante sus nombres de DNS). Para ello, le recomendamos utilizar los puntos de conexión de Route 53 Resolver en lugar de modificar los conjuntos de opciones de DHCP. Se trata de un enfoque más centralizado para administrar la configuración de DNS que para modificar los conjuntos de opciones de DHCP. Además, puede usar una variedad de reglas de resolución. Para más información, consulte la publicación Integrating your Directory Service's DNS resolution with Amazon Route 53 Resolvers en el blog sobre redes y entrega de contenido y Set up DNS resolution for hybrid networks in a multi-account AWS environment en la documentación de Recomendaciones de AWS.

Migración

Al comenzar la migración a AWS, le recomendamos tomar en cuenta las opciones de configuración y herramientas que son útiles para migrar. También es importante tomar en cuenta los aspectos operativos y de seguridad a largo plazo de su entorno.

Considere las siguientes opciones:

  • Seguridad nativa en la nube

  • Herramientas para migrar Active Directory a AWS

Seguridad nativa en la nube

  • Configuraciones de grupos de seguridad para controladores de Active Directory: si utiliza AWS Managed Microsoft AD, los controladores de dominio incluyen una configuración de seguridad de VPC para un acceso limitado a los controladores de dominio. Puede que tenga que modificar las reglas del grupo de seguridad para permitir el acceso en algunos casos de uso potenciales. Para más información sobre la configuración de los grupos de seguridad, consulte Enhance your AWS Managed Microsoft AD network security configuration en la documentación de Directory Service. Le recomendamos que no permita a los usuarios modificar estos grupos ni utilizarlos para ningún otro servicio de Servicios de AWS. Permitir que otros usuarios los utilicen podría provocar interrupciones en el servicio de su entorno de Active Directory si los usuarios los modifican para bloquear las comunicaciones necesarias.

  • Integración con Registros de Amazon CloudWatch para obtener registros de eventos de Active Directory: si ejecuta AWS Managed Microsoft AD o utiliza Active Directory autoadministrado, puede aprovechar Registros de Amazon CloudWatch para centralizar los registros de Active Directory. Puede utilizar los registros de CloudWatch para copiar los registros de autenticación, seguridad y otros registros en CloudWatch. Esto le permite buscar fácilmente los registros en un solo lugar y puede ayudarlo a cumplir algunos requisitos de conformidad. Recomendamos la integración con los registros de CloudWatch porque puede ayudarlo a responder mejor a futuros incidentes en su entorno. Para más información, consulte Enabling Amazon CloudWatch Logs for AWS Managed Microsoft AD en la documentación de Directory Service y Registros de Amazon CloudWatch para registros de eventos de Windows en el Centro de conocimientos de AWS.

Herramientas para migrar Active Directory a AWS

Le recomendamos que utilice la herramienta de migración de Active Directory (ADMT) y el servidor de exportación de contraseñas (PES) para realizar la migración. Esto le permite mover fácilmente usuarios y equipos de un dominio a otro. Tenga en cuenta las siguientes consideraciones si utiliza PES o migra de un dominio de Active Directory administrado a otro:

  • Herramienta de migración de Active Directory (ADMT) para usuarios, grupos y equipos: puede utilizar ADMT para migrar usuarios de Active Directory autoadministrado a AWS Managed Microsoft AD. Una consideración importante es el cronograma de migración y la importancia del historial de los identificadores de seguridad (SID). El historial de SID no se transfiere durante la migración. Si la compatibilidad con el historial de SID es una necesidad fundamental, considere la posibilidad de utilizar Active Directory autoadministrado en Amazon EC2 en lugar de ADMT para poder mantener el historial de SID.

  • Servidor de exportación de contraseñas (PES): PES se puede utilizar para migrar contraseñas a AWS Managed Microsoft AD, pero no desde este. Para obtener información sobre cómo migrar los usuarios y las contraseñas de su directorio, consulte How to migrate your on-premises domain to AWS Managed Microsoft AD using ADMT en el blog de AWS sobre seguridad y Password Export Server version 3.1 (x64) en la documentación de Microsoft.

  • LDIF: el formato de intercambio de datos LDAP (LDIF) es un formato de archivo que se utiliza para ampliar el esquema de un directorio de AWS Managed Microsoft AD. Los archivos LDIF contienen la información necesaria para agregar nuevos objetos y atributos al directorio. Los archivos deben cumplir con los estándares de sintaxis de LDAP y deben contener definiciones de objeto válidas para cada objeto que agreguen los archivos. Tras crear el archivo LDIF, debe cargarlo en el directorio para ampliar su esquema. Para más información acerca del uso de archivos LDIF para ampliar el esquema de un directorio de AWS Managed Microsoft AD, consulte Extending the schema of AWS Managed Microsoft AD en la documentación de Directory Service.

  • CSVDE: en algunos casos, es posible que necesite exportar e importar usuarios a un directorio sin crear una relación de confianza ni utilizar ADMT. Aunque no es lo ideal, puede usar Csvde (una herramienta de línea de comandos) para migrar los usuarios de Active Directory de un dominio a otro. Para utilizar Csvde, debe crear un archivo CSV que contenga la información del usuario, como nombres de usuario, contraseñas y pertenencia a un grupo. A continuación, puede utilizar el comando csvde para importar los usuarios al nuevo dominio. También puede usar este comando para exportar los usuarios existentes del dominio de origen. Esto puede resultar útil si va a migrar desde otro origen de directorios, como SAMBA Domain Services a Microsoft Active Directory. Para más información, consulte How to Migrate Your Microsoft Active Directory Users to Simple AD or AWS Managed Microsoft AD en el blog de AWS sobre seguridad.

Recursos adicionales