Migração do Active Directory

O Active Directory é uma solução típica de gerenciamento de identidade e acesso para muitos ambientes corporativos. A combinação do gerenciamento de DNS, usuário e máquina torna o Active Directory a escolha ideal para workloads da Microsoft e do Linux para autenticação centralizada de usuários. Ao planejar sua jornada para a nuvem ou para a AWS, você se depara com a opção de estender o Active Directory para a AWS ou usar um serviço gerenciado para aliviar o gerenciamento da infraestrutura do serviço de diretório. Recomendamos que você entenda os riscos e benefícios de cada opção ao decidir a abordagem correta para sua organização.

A estratégia certa para uma migração do Active Directory é aquela que atende às necessidades da sua organização e permite que você aproveite as vantagens da Nuvem AWS. Isso envolve levar em consideração não apenas os serviços de diretório em si, mas também como eles interagem com outros Serviços da AWS. Além disso, você deve considerar as metas de longo prazo das equipes que gerenciam o Active Directory.

Além da migração do Active Directory, você deve decidir a estrutura da conta do local em que o Active Directory estará localizado, a topologia de rede de suas Contas da AWS e quais integrações de DNS e outros possíveis Serviços da AWS você planeja usar que exigem o Active Directory. Para obter informações sobre como projetar a topologia da sua conta e outras considerações sobre a estratégia de migração, consulte a seção Práticas recomendadas fundamentais deste guia.

Avaliar

Para implementar uma migração com êxito, é importante avaliar sua infraestrutura existente e entender os principais recursos necessários para seu ambiente. Recomendamos que você analise as seguintes áreas antes de escolher como migrar:

Analisar o design de infraestrutura existente da AWS: siga as orientações na seção Descoberta do ambiente Windows deste guia e use os métodos de avaliação para ajudar a analisar a infraestrutura atual do Active Directory se você ainda não estiver ciente da pegada dele e dos requisitos de infraestrutura. Recomendamos que use o dimensionamento prescrito pela Microsoft para a infraestrutura do Active Directory na AWS. Se você estiver ampliando a infraestrutura do Active Directory para a AWS, talvez só precise de uma quantidade parcial da pegada de autenticação do Active Directory na AWS. Por esse motivo, evite sobredimensionar seu ambiente, a menos que você esteja movendo totalmente sua pegada do Active Directory para a AWS. Para obter mais informações, consulte Planejamento de capacidade para o Active Directory Domain Services na documentação da Microsoft.
Analisar o design do Active Directory on-premises existente: analise a utilização atual do Active Directory on-premises (autogerenciado). Se você estiver estendendo seu ambiente do Active Directory para a AWS, recomendamos executar o Active Directory em vários controladores de domínio na AWS, mesmo como uma extensão do seu ambiente on-premises. Essa orientação segue o AWS AWS Well-Architected Framework de projetar para possíveis falhas, implantando instâncias em várias zonas de disponibilidade.
Identificar dependências em aplicações e redes: antes de escolher qual a melhor estratégia de migração, você deve entender completamente todos os recursos do Active Directory de que sua organização precisa para funcionar. Isso significa que, ao escolher entre um serviço gerenciado ou hospedagem própria, é importante entender as opções de cada um. Considere os seguintes itens ao decidir qual migração é ideal para você:
- Requisitos de acesso: os requisitos de acesso para controlar o Active Directory estipularão o caminho de migração certo para você. Se você precisar de acesso total aos controladores de domínio do Active Directory para instalar qualquer tipo de agente de acordo com os regulamentos de conformidade, o AWS Managed Microsoft AD talvez não seja a solução certa para você. Em vez disso, investigue uma extensão do Active Directory dos seus controladores de domínio para o Amazon Elastic Compute Cloud (Amazon EC2) em suas contas da Contas da AWS.
- Cronogramas de migração: se você tiver um cronograma prolongado para a migração que não tenha datas claras para conclusão, verifique se existem contingências para a administração de instâncias na nuvem e em ambientes on-premises. A autenticação é um componente essencial para as workloads da Microsoft, a fim de evitar problemas administrativos. Recomendamos que você planeje mover o Active Directory logo no início da migração.
Estratégias de backup: se você usa um backup existente do Windows para capturar o estado dos sistemas dos controladores de domínio do Active Directory, poderá continuar usando suas estratégias de backup existentes na AWS. Além disso, a AWS oferece opções de tecnologia para ajudar no backup de suas instâncias. Por exemplo, o Amazon Data Lifecycle Manager, o AWS Backup e o AWS Elastic Disaster Recoverysão tecnologias compatíveis para fazer backup dos controladores de domínio do Active Directory. Para evitar problemas, é melhor não contar com a restauração do Active Directory. A prática recomendada é criar uma arquitetura resiliente, mas é fundamental ter um método de backup em vigor se a recuperação for necessária.
Necessidades de recuperação de desastres (DR): se você estiver migrando o Active Directory para a AWS, deverá ter em mente a resiliência em caso de desastre. Caso esteja transferindo seu Active Directory existente para a AWS, você poderá usar uma região secundária da Região da AWS e conectar as duas regiões usando o AWS Transit Gateway para permitir que a replicação ocorra. Normalmente, esse é o método preferencial. Há algumas organizações que têm vários requisitos para testar o failover em um ambiente isolado, em que você corta a conectividade entre o local primário e o secundário por dias para testar a confiabilidade. Se isso for um requisito em sua organização, poderá levar algum tempo para resolver os problemas de split-brain do Active Directory. Talvez você consiga usar o AWS Elastic Disaster Recovery como uma implementação ativa/passiva, em que você deixa seu local de DR como ambiente de failover e deve testar rotineiramente sua estratégia de DR de forma isolada. O planejamento dos requisitos de objetivo de tempo de recuperação (RTO) e objetivo de ponto de recuperação (RPO) da sua organização é um fator importante ao avaliar sua migração para a AWS. Certifique-se de ter seus requisitos definidos, com um plano de teste e failover para validar a implementação.

Mobilizar

A estratégia adequada para atender às suas necessidades organizacionais e operacionais é um elemento importante na migração ou extensão do Active Directory para a AWS. Sua escolha de como fazer a integração com os Serviços da AWS é fundamental para adotar a AWS. Certifique-se de escolher a extensão de método do Active Directory ou do AWS Managed Microsoft AD que atenda às suas necessidades de negócios. Há alguns recursos em serviços como o Amazon Relational Database Service (Amazon RDS) que dependem do uso AWS Managed Microsoft AD. Certifique-se de avaliar as limitações do AWS service (Serviço da AWS) para determinar se há restrições de compatibilidade para o Active Directory no Amazon EC2 e no AWS Managed Microsoft AD. Recomendamos considerar os pontos de integração a seguir como parte do processo de planejamento.

Considere os seguintes motivos para usar o Active Directory na AWS:

Permitir que as aplicações da AWS funcionem com o Active Directory
Usar o Active Directory para fazer login no Console de gerenciamento da AWS

Permitir que as aplicações da AWS funcionem com o Active Directory

Você pode habilitar várias aplicações e serviços da AWS como, o AWS Client VPN, o Console de gerenciamento da AWS, o AWS IAM Identity Center, o Amazon Connect, o Amazon FSx para Windows File Server, o Amazon Quick Suite, o Amazon RDS para SQL Server (aplicável somente para o Directory Service), o Amazon WorkMail e o Amazon WorkSpaces para usar seu diretório do AWS Managed Microsoft AD. Quando você habilita uma aplicação ou um serviço da AWS no seu diretório, os usuários podem acessar a aplicação ou o serviço com as credenciais deles do Active Directory. Você pode usar as ferramentas de administração familiares do Active Directory para aplicar os objetos de política de grupo (GPOs) do Active Directory para gerenciar de modo centralizado as instâncias do Amazon EC2 para Windows ou Linux, unindo suas instâncias ao diretório do AWS Managed Microsoft AD.

Os usuários podem fazer login nas instâncias com as credenciais do Active Directory. Isso elimina a necessidade de usar credenciais de instâncias individuais ou distribuir arquivos de chave privada (PEM). Dessa forma, fica mais fácil para você conceder ou revogar instantaneamente o acesso aos usuários, utilizando as ferramentas de administração de usuário do Active Directory que você já usa.

Usar o Active Directory para fazer login no Console de gerenciamento da AWS

O AWS Managed Microsoft AD permite que você conceda acesso a membros do seu diretório ao Console de gerenciamento da AWS. Por padrão, os membros do diretório não têm acesso a nenhum recurso da AWS. Você atribui perfis do AWS Identity and Access Management (IAM) aos membros do diretório para conceder a eles acesso a vários recursos e Serviços da AWS. O perfil do IAM define os serviços, os recursos e o nível de acesso dos membros do seu diretório.

Por exemplo, você pode permitir que os usuários façam login no Console de gerenciamento da AWS com suas credenciais do Active Directory. Para fazer isso, habilite o Console de gerenciamento da AWS como uma aplicação no diretório e atribua seus usuários e grupos do Active Directory a perfis do IAM. Quando os usuários fazem login no Console de gerenciamento da AWS, eles assumem um perfil do IAM para gerenciar recursos da AWS. Isso facilita conceder aos usuários acesso ao Console de gerenciamento da AWS sem a necessidade de configurar e gerenciar uma infraestrutura SAML separada. Para obter mais informações, consulte How AWS IAM Identity Center Active Directory sync enhances AWS application experiences no blog AWS Security. Você pode conceder acesso às contas de usuário no diretório ou no Active Directory on-premises. Isso permite que os usuários façam login no Console de gerenciamento da AWS ou por meio da AWS Command Line Interface (AWS CLI) usando suas credenciais e permissões existentes para gerenciar os recursos da AWS atribuindo perfis do IAM diretamente às contas existentes dos usuários.

Para que seja possível conceder acesso ao console aos membros do diretório, o diretório deve ter um URL de acesso. Para obter mais informações sobre como ver detalhes do diretório e obter o URL de acesso, consulte Visualizar informações do diretório na documentação do AWS Directory Service. Para obter mais informações sobre como criar uma URL de acesso, consulte Crriar um URL de acesso na documentação do Directory Service. Para obter mais informações sobre como criar e atribuir perfis do IAM aos membros do diretório, consulte Conceder aos usuários e grupos acesso aos recursos da AWS na documentação do Directory Service.

Considere as seguintes opções de migração do Active Directory:

Estender o Active Directory
Migração para o AWS Managed Microsoft AD
Usar uma confiança para conectar o Active Directory ao AWS Managed Microsoft AD
Integrar o DNS do Active Directory com o Amazon Route 53

Estender o Active Directory

Se você já tem uma infraestrutura do Active Directory e deseja usá-la ao migrar workloads compatíveis com o Active Directory para a Nuvem AWS, o AWS Managed Microsoft AD pode ajudar. Você pode usar confianças para conectar o AWS Managed Microsoft AD ao seu Active Directory existente. Isso significa que os usuários podem acessar aplicações da AWS e compatíveis com o Active Directory com suas credenciais do Active Directory on-premises, sem precisar sincronizar usuários, grupos ou senhas. Por exemplo, os usuários podem fazer login no Console de gerenciamento da AWS e no WorkSpaces usando os nomes de usuário e senhas existentes do Active Directory. Além disso, quando você usa aplicações compatíveis com o Active Directory, como o SharePoint com o AWS Managed Microsoft AD, os usuários conectados do Windows poderão acessar essas aplicações sem a necessidade de inserir as credenciais novamente.

Além de usar uma confiança, você pode estender o Active Directory implantando-o para execução nas instâncias do EC2 na AWS. Você pode fazer isso por conta própria ou trabalhar com a AWS para ajudar no processo. Recomendamos que você implante pelo menos dois controladores de domínio em diferentes zonas de disponibilidade ao estender o Active Directory à AWS. Talvez você precise implantar mais de dois controladores de domínio com base no número de usuários e computadores que você tem na AWS, mas o número mínimo que recomendamos é dois por motivos de resiliência. Você também pode migrar seu domínio do Active Directory on-premises para a AWS para se livrar da carga operacional de sua infraestrutura do Active Directory usando o Active Directory Migration Toolkit (ADMT) e o Password Export Server (PES) para realizar a migração. Você também pode usar o Active Directory Launch Wizard para implantar o Active Directory na AWS.

Migração para o AWS Managed Microsoft AD

Você pode aplicar dois mecanismos para usar o Active Directory na AWS. Um método é adotar o AWS Managed Microsoft AD para migrar os objetos do Active Directory para a AWS. Isso inclui usuários, computadores, políticas de grupo e muito mais. O segundo mecanismo é uma abordagem manual em que você exporta todos os usuários e objetos e, em seguida, importa-os manualmente usando a Ferramenta de Migração do Active Directory.

Há outros motivos para migrar para o AWS Managed Microsoft AD:

O AWS Managed Microsoft AD é um domínio real do Microsoft Active Directory que permite a você executar workloads tradicionais compatíveis com o Active Directory, como o Gerenciador de Licenciamento do Microsoft Remote Desktop, o Microsoft SharePoint e o Microsoft SQL Server Always On na Nuvem AWS.
O AWS Managed Microsoft AD ajuda você a simplificar e melhorar a segurança das aplicações .NET integradas ao Active Directory usando contas de serviço gerenciadas em grupo (gMSAs) e delegação restrita de Kerberos (KCD). Para obter mais informações, consulte Simplify Migration and Improve Security of Active Directory–Integrated .NET Applications by Using AWS Managed Microsoft AD na documentação da AWS.

Você pode compartilhar o AWS Managed Microsoft AD entre várias Contas da AWS. Isso permite que você gerencie Serviços da AWS, como o Amazon EC2, sem a necessidade de operar um diretório para cada conta e cada Amazon Virtual Private Cloud (Amazon VPC). Você pode usar seu diretório de qualquer Conta da AWS e de qualquer Amazon VPC dentro de uma Região da AWS. Esse recurso torna mais fácil e econômico o gerenciamento de cargas de trabalho com reconhecimento do diretório com um único diretório entre contas e VPCs. Por exemplo, agora você pode gerenciar facilmente suas workloads do Windows implantadas em instâncias do EC2 em várias contas e VPCs usando um único diretório do AWS Managed Microsoft AD. Ao compartilhar seu diretório do AWS Managed Microsoft AD com outra Conta da AWS, é possível usar o console do Amazon EC2 ou o AWS Systems Manager para integrar diretamente suas instâncias de qualquer Amazon VPC na conta e Região da AWS.

Você pode implantar rapidamente as cargas de trabalho com reconhecimento do diretório nas instâncias do EC2 eliminando a necessidade de unir manualmente suas instâncias a um domínio ou implantar diretórios em cada conta e Amazon VPC. Para obter mais informações, consulte Compartilhar o seu diretório na documentação da Directory Service. Lembre-se de que há um custo para compartilhar um ambiente do AWS Managed Microsoft AD. Você pode se comunicar com o ambiente do AWS Managed Microsoft AD de outras redes ou contas usando um emparelhamento da Amazon VPC ou de um gateway de trânsito, de modo que o compartilhamento pode não ser necessário. Se você planeja usar o diretório com os seguintes serviços, deverá compartilhar o domínio: Amazon Aurora MySQL, Amazon Aurora PostgreSQL, Amazon FSx, Amazon RDS para MariaDB, Amazon RDS para MySQL, Amazon RDS para Oracle, Amazon RDS para PostgreSQL e Amazon RDS para SQL Server.

Usar uma confiança com o AWS Managed Microsoft AD

Para conceder aos usuários de um diretório existente acesso aos recursos da AWS, você pode usar uma confiança com sua implementação do AWS Managed Microsoft AD. Também é possível criar confianças entre os ambientes do AWS Managed Microsoft AD. Para obter mais informações sobre confianças, consulte a publicação Everything you wanted to know about trusts with AWS Managed Microsoft AD no blog AWS Security.

Integrar o DNS do Active Directory com o Amazon Route 53

Ao migrar para a AWS, você pode integrar o DNS ao seu ambiente usando o Amazon Route 53 Resolver para permitir o acesso aos seus servidores (usando seus nomes DNS). Recomendamos que você use os endpoints do Route 53 Resolver para fazer isso, em vez de modificar os conjuntos de opções de DHCP. Essa é uma abordagem mais centralizada para gerenciar sua configuração de DNS do que modificar conjuntos de opções de DHCP. Além disso, você pode aproveitar uma variedade de regras do resolvedor. Para obter mais informações, consulte a publicação Integrating your Directory Service's DNS resolution with Amazon Route 53 Resolvers no blog Networking & Content Delivery e Set up DNS resolution for hybrid networks in a multi-account AWS environment na documentação de Recomendações da AWS.

Migrar

Ao iniciar sua migração para a AWS, recomendamos que você considere as opções de configuração e ferramentas para ajudar na migração. Também é importante considerar os aspectos operacionais e de segurança de longo prazo do seu ambiente.

Considere as seguintes opções:

Segurança nativa da nuvem
Ferramentas para migrar o Active Directory para a AWS

Segurança nativa da nuvem

Configurações de grupo de segurança para controladores do Active Directory: se você estiver usando o AWS Managed Microsoft AD, os controladores de domínio virão com uma configuração de segurança de VPC para acesso limitado a eles. Talvez seja necessário modificar as regras do grupo de segurança para permitir o acesso a alguns possíveis casos de uso. Para obter mais informações sobre a configuração de grupo de segurança, consulte Aprimoramento da sua configuração de segurança de rede do AWS Managed Microsoft AD na documentação do Directory Service. Recomendamos que você não permita que os usuários modifiquem esses grupos nem os usem para outros Serviços da AWS. A permissão para que outros usuários os utilizem poderá causar interrupções no serviço do ambiente do Active Directory se os usuários os modificarem para bloquear comunicações necessárias.
Integração com o Amazon CloudWatch Logs para logs de eventos do Active Directory: se você estiver executando o AWS Managed Microsoft AD ou usando um Active Directory autogerenciado, poderá aproveitar as vantagens do Amazon CloudWatch Logs para centralizar seus registros em log do Active Directory. Você pode usar o CloudWatch Logs para copiar logs de autenticação, segurança e outros para o CloudWatch. Essa opção oferece uma maneira fácil de pesquisar logs em um só lugar e pode ajudar a cumprir alguns requisitos de conformidade. Recomendamos a integração com o CloudWatch Logs porque ele pode ajudar você a responder melhor a futuros incidentes em seu ambiente. Para obter mais informações, consulte Habilitar o Amazon CloudWatch Logs para AWS Managed Microsoft AD na documentação do Directory Service, e Amazon CloudWatch Logs para logs de eventos do Windows no Centro de Conhecimentos da AWS.

Ferramentas para migrar o Active Directory para a AWS

Recomendamos que você use a Ferramenta de Migração do Active Directory (ADMT) e o Password Export Server (PES) para fazer a migração. Isso permite que você mova facilmente usuários e computadores de um domínio para outro. Lembre-se das seguintes considerações se você usar o PES ou migrar de um domínio gerenciado do Active Directory para outro:

Ferramenta de migração do Active Directory (ADMT) para usuários, grupos e computadores: você pode usar o ADMT para migrar usuários do Active Directory autogerenciado para o AWS Managed Microsoft AD. Uma consideração importante é o cronograma da migração e a importância do histórico do identificador de segurança (SID). O histórico do SID não é transferido durante a migração. Se o suporte ao histórico do SID for uma necessidade crítica, considere usar o Active Directory autogerenciado no Amazon EC2 em vez do ADMT para que você possa manter o histórico do SID.
Password Export Server (PES): pode ser usado para migrar senhas para dentro, mas não para fora, do AWS Managed Microsoft AD. Para obter informações sobre como migrar usuários e senhas do seu diretório, consulte How to migrate your on-premises domain to AWS Managed Microsoft AD using ADMT in the AWS Security Blog and Password Export Server version 3.1 (x64) na documentção da Microsoft.
LDIF: LDAP Data Interchange Format (LDIF) é um formato de arquivo usado para estender o esquema de um diretório do AWS Managed Microsoft AD. Os arquivos LDIF contêm as informações necessárias para adicionar novos objetos e atributos ao diretório. Os arquivos devem atender aos padrões de sintaxe do LDAP e devem conter definições de objeto válidas para cada objeto adicionado pelos arquivos. Depois de criar o arquivo LDIF, faça upload do arquivo para o diretório para estender o esquema. Para obter mais informações sobre como usar arquivos LDIF para estender o esquema de um diretório do AWS Managed Microsoft AD, consulte Extender o schema do AWS Managed Microsoft AD na documentação do Directory Service.
CSVDE: em alguns casos, talvez seja necessário exportar e importar usuários para um diretório sem criar uma confiança e usar o ADMT. Embora não seja o ideal, você pode usar o Csvde (uma ferramenta de linha de comando) para migrar usuários do Active Directory de um domínio para outro. Para usar o Csvde, crie um arquivo CSV que contenha as informações do usuário, como nomes, senhas e associação a grupo. Em seguida, você pode usar o comando csvde para importar os usuários para o novo domínio. Você também pode usar esse comando para exportar usuários existentes do domínio de origem. Isso poderá ser útil se você estiver migrando de outra fonte de diretório, como os serviços de domínio SAMBA para o Microsoft Active Directory. Para obter mais informações, consulte How to Migrate Your Microsoft Active Directory Users to Simple AD or AWS Managed Microsoft AD no blog AWS Security.

Recursos adicionais

Everything you wanted to know about trusts with AWS Managed Microsoft AD (blog AWS Security)
How to migrate your on-premises domain to AWS Managed Microsoft AD using ADMT (blog AWS Security)
STEP 2: DEPLOYING ACTIVE DIRECTORY (Workshop da AWS para Windows)

Atenção O Javascript está desativado ou não está disponível no seu navegador.

Para usar a documentação da AWS, o Javascript deve estar ativado. Consulte as páginas de Ajuda do navegador para obter instruções.

Convenções do documento

Migração de workloads da Microsoft

Migração do Windows Server