如何使用 ADMT 将本地域迁移到 AWS 管理的 Microsoft AD 安全博客
将本地域迁移到 AWS 托管的 Microsoft AD使用 ADMT
关键要点
学习如何利用 Active Directory 迁移工具ADMT和密码导出服务PES将本地 Active Directory 域迁移到 AWS 托管的 Microsoft Active Directory。从本地域迁移用户、计算机和组,将其转移到 AWS 云端环境并确保密码安全。本文提供操作步骤,适用于希望简化 AD 管理的客户。2024年2月2日: 本文已更新以修复破损的链接,并添加关于迁移密码的说明。
客户经常询问我们如何将本地 Active DirectoryAD域迁移到 AWS,以便减少对 AD 基础设施的操作管理。很多情况下,他们对于如何简化迁移过程感到困惑。常用的 CSVDE 工具 在迁移时无法处理用户密码等属性,导致迁移过程变得复杂,并需进行大量手动操作,这可能在迁移到新目录时造成运维和安全挑战。那么,有什么变化呢?
现在,您可以使用 Active Directory 迁移工具ADMT和密码导出服务PES,轻松将自管理的 AD 迁移到 AWS 目录服务的 Microsoft Active Directory,也称为 AWS 托管的 Microsoft AD。这使得迁移 AD 对象及用户加密密码变得更加简单。
AWS 托管的 Microsoft AD 是基于 Microsoft Active Directory 的管理服务。AWS 提供域控制器的操作管理,您可以使用标准 AD 工具管理用户、组和计算机。AWS 托管的 Microsoft AD 使您可以利用内置的 Active Directory 功能,例如组策略、信任和单点登录,同时帮助您轻松将依赖于 AD 的工作负载迁移到 AWS 云。借助 AWS 托管的 Microsoft AD,您可以将 Amazon EC2 和 Amazon RDS for SQL Server 实例加入域,并使用 AWS 企业 IT 应用程序,例如 Amazon WorkSpaces 和 AWS IAM 身份中心,进行 Active Directory 用户和组的管理。
在本文中,我们将介绍如何将现有 AD 对象迁移到 AWS 托管的 Microsoft AD。对象的来源可以是您在 EC2、本地、共处或其他云提供商上运行的自管理 AD。我们将展示如何使用 ADMT 和 PES 来迁移用户及其密码、组和计算机等对象。
本文假设您对 AD 有一定的了解,并能使用远程桌面协议客户端登录并使用 EC2 Windows 实例。
背景
本文将把用户和计算机对象以及密码迁移到新的 AWS 托管的 Microsoft AD 目录。源将是一个本地域。
这个迁移示例将应用于相对简单的用例。大型客户可能会因为拥有复杂的源域或森林,面临更复杂的过程,映射用户、组和计算机到 AWS 托管的 Microsoft AD 的单个 OU 结构。例如,您可能希望逐个 OU 进行迁移。而拥有单域森林的客户则可能能够以较少的步骤完成迁移。同样,您在 ADMT 中选择的选项将根据所尝试实现的目标而有所不同。
为了执行迁移,我们将使用 AWS 托管的 Microsoft AD 的管理员用户帐户。AWS 创建了管理员用户帐户并向该帐户委派运营单位OU在 AWS 托管的 Microsoft AD 域的管理权限。该帐户拥有管理您的域所需的大部分权限,以及完成此迁移所需的所有权限。
在本示例中,我们有一个名为 sourcelocal 的源域,其运行在 10000/16 的网络范围内,我们希望将用户、组和计算机迁移到一个名为 destinationlocal 的 AWS 托管 Microsoft AD 域,该域运行在 19216800/16 的网络范围内。
要将用户从 sourcelocal 迁移到 destinationlocal,我们需要一台先迁移计算机,将其加入 destinationlocal 域并在其上运行 ADMT。我们还将在这台机器上执行 AWS 托管的 Microsoft AD 的管理任务。ADMT 的先决条件是必须在迁移计算机上安装 Microsoft SQL Express 2019。同时,我们还需要一个在源域和目标域都有权限的管理员帐户。为此,我们将使用 AD 信任,并将来自 destinationlocal 的 AWS 托管 Microsoft AD 管理员帐户添加到 sourcelocal 域中。接下来,我们将在迁移计算机上安装 ADMT,并在 sourcelocal 的一台域控制器上运行 PES。最后,我们将迁移用户和计算机。
注意:如果您使用 ADMT 和 PES 迁移用户密码,并且客户端计算机上禁用了 受支持的 Kerberos 加密类型 RC4HMACMD5,则 Kerberos 身份验证将在用户重置密码之前失败。这是由于 PES 工具的设计和它用于同步密码的方法。我们建议用户在迁移后重置他们的密码。
在本示例中,我们将迁移一些用户、组和计算机,具体情况如下图所示:
图 1 示例源用户
图 2 示例客户端计算机
在接下来的内容中,我们将分五个步骤展示如何进行迁移:
准备森林、迁移计算机和管理员帐户。在迁移计算机上安装 SQL Express 和 ADMT。配置 ADMT 和 PES。迁移用户和组。迁移计算机。第一步:准备森林、迁移计算机和管理员帐户
要将用户和密码从源域迁移到 AWS 托管的 Microsoft AD,您必须建立双向森林信任。从源域到 AWS 托管的 Microsoft AD 的信任关系使您能够将 AWS 托管的 Microsoft AD 管理员帐户添加到源域中。这是必要的,以便授予 AWS 托管的 Microsoft AD 管理员帐户在您的源 AD 目录中读取属性以进行迁移的权限。我们已经在这些域之间创建了双向森林信任。您应该通过 按照此指南 来做同样的事情。一旦信任关系创建完成,它将在 AWS 控制台中显示为“已验证”。
ADMT 工具应安装在目标域 destinationlocal 中的不是域控制器的计算机上。为此,我们将启动一台在与域控制器相同的 VPC 内的 EC2 实例,并将其添加到 destinationlocal 域,使用 EC2 无缝域加入功能。它将作为 ADMT Transfer 计算机。
启动 Microsoft Windows Server 2019 实例。完成与目标域 destinationlocal 的域加入。您可以手动完成此操作,或者alternatively 您可以使用 AWS Systems Manager 根据 此处 的内容来完成无缝域加入。使用 RDP 登录到该实例,使用 Active Directory 用户和计算机ADUC将来自 destinationlocal 域的 AWS 托管 Microsoft AD 管理员用户添加到 sourcelocal 域的内置管理员组您将无法将 Admin 用户添加为域管理员。有关如何设置此实例以使用 ADUC 的信息,请参见 此文档。图 3 “管理员属性”对话框
第二步:在迁移计算机上安装 SQL Express 和 ADMT
接下来,我们需要按照以下步骤在迁移计算机上安装 SQL Express 和 ADMT。
在迁移计算机上安装 Microsoft SQL Express 2019,选择基本安装。从 Microsoft 下载 ADMT 版本 32。运行安装程序,在向导的 数据库选择 页面上,对于 数据库服务器实例,输入我们之前安装的 Microsoft SQL Express 的本地实例,以与 ADMT 一起使用。图 4 指定“数据库服务器实例”
在向导的 数据库导入 页面中,选择 否, 不从现有数据库导入数据默认。图 5 “数据库导入”对话框
使用默认选项完成其余安装。第三步:配置 ADMT 和 PES
我们将利用 PES 处理加密密码同步。在配置之前,我们需要创建一个将在迁移过程中使用的加密密钥。
在 ADMT 迁移计算机上,打开提升的命令提示符,并使用以下格式创建加密密钥:plaintext admt key /optioncreate /sourcedomainltSourceDomaingt /keyfileltKeyFilePathgt /keypassword{ltpasswordgt}
这是一个示例:
plaintextadmt key /optioncreate /sourcedomainsourcelocal /keyfilec /keypasswordpassword123
注意: 如果您收到命令未找到的错误,请关闭并重新打开命令提示符以刷新 ADMT 可执行文件的路径位置,然后重试。
将输出的密钥文件拷贝到一台 sourcelocal 域控制器上。在其中一台 sourcelocal 域控制器上下载 密码导出服务器。启动安装,并在 ADMT 密码迁移 DLL 设置 窗口中,浏览到您在上一步中创建的加密文件。当系统提示时,输入您在 ADMT 加密命令中使用的密码。使用本地系统帐户运行 PES。请注意,这将提示您重启您安装 PES 的域控制器。域控制器重启后,打开 servicesmsc,启动当前设置为 手动 的 密码导出服务器服务。如果您认为您的 DC 在迁移结束之前可能还会重启,您可以选择将其设置为自动。图 6 启动密码导出服务器服务
现在您可以打开 Active Directory 迁移工具:控制面板 gt 系统和安全 gt 管理工具 gt Active Directory 迁移工具。右键单击 Active Directory 迁移工具 以查看迁移选项:图 7 迁移选项列表
第四步:迁移用户和组
在 域选择 页面中,选择或输入 源 和 目标 域,然后选择 下一步。在 用户选择 页面中,选择要迁移的用户。如果您的域很大,可以使用包括文件。选择 下一步。在 组织单位选择 页面中,选择要迁移用户的目标 OU,然后选择 下一步。AWS 托管的 Microsoft AD 为您提供一个管理 OU,您可以在其中创建您的 OU 树结构。在此示例中,我们将将它们插入用户 OU:
plaintextLDAP//destinationlocal/OU=UsersOU=destinationDC=destinationDC=local
在 密码选项 页面中,选择 迁移密码,然后选择 下一步。这将联系在源域控制器上运行的 PES。在 帐户转换 页面中,决定如何处理用户对象的迁移。在此示例中,我们将从源域复制状态。迁移 SID 历史在进行长时间分阶段迁移时是有益的,此时用户可能需要访问源域和目标域中的资源。目前,AWS 托管的 Microsoft AD 不支持迁移用户的 SID。我们选择 目标与源相同,然后选择 下一步。再次强调,您选择的操作可能会不同。图 8 “帐户转换选项”对话框
现在,让我们自定义传输。以下屏幕截图显示了 用户帐户迁移向导 的 用户选项 页面上常选的选项:
图 9 常用用户选项
您可能会有多次迁移,因此选择如何处理现有对象非常重要。对我们来说这将是一次单独的运行,但默认行为是在对象已存在时不进行迁移见下面的 冲突管理 页面图像。如果您正在进行多次迁移,您将想查看涉及合并冲突对象的选项。您选择的方法将取决于您的用例。如果您不知道从何开始,请阅读 这篇文章。
图 10 “冲突管理”对话框
在我们的示例中,可以看到我们的 3 名用户,以及他们所属于的任何组都已经迁移。
飞机节点加速器图 11 “迁移进度”窗口
我们可以通过检查用户是否存在于我们的 destinationlocal 域中来验证这一点:
图 12 检查用户是否存在于 destinationlocal 域
第五步:迁移计算机
现在,我们将转向计算机对象的迁移。
打开 Active Directory 迁移工具:控制面板 gt 系统和安全 gt 管理工具 gt Active Directory 迁移工具。右键单击 Active Directory 迁移工具 选择 计算机迁移向导。选择要迁移到新域的计算机。我们将选择四台计算机进行迁移。图 13 四台将被迁移的计算机
在 翻译对象 页面上,选择在迁移期间要重新应用的访问控制,然后选择 下一步。
在 AWS 上部署和管理 IoT 工作负载 官方博客
在AWS上部署和管理IoT工作负载关键要点本文将帮助您理解如何在AWS上实现IoT解决方案,包括设备制造、设备管理、数据采集等重要组件。选择合适的配置和迁移策略,可以让您的IoT项目更加高效和安全。引...
软件定义的边缘架构用于连网车辆 架构博客
软定义边缘架构提升联网车辆功能关键要点联网车辆的能力需逐步提升,采用软定义功能来提升用户体验。车辆制造商和车队运营商借助数据进行决策,以利用软件定义的功能。新架构利用了微服务和容器技术,简化应用开发与...