Migration von Active Directory - AWS Präskriptive Leitlinien
BewertenMobilisierenMigrieren

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Migration von Active Directory

Active Directory ist eine typische Identitäts- und Zugriffsverwaltungslösung für viele Unternehmensumgebungen. Die Kopplung von DNS-, Benutzer- und Maschinenverwaltung macht Active Directory zur idealen Wahl für Microsoft- und Linux-Workloads für die zentralisierte Benutzerauthentifizierung. Wenn Sie planen, zur Cloud oder zu AWS zu wechseln, stehen Sie vor der Wahl, Active Directory auf AWS auszudehnen oder einen verwalteten Service zu verwenden, um die Verwaltung der Verzeichnisdienst-Infrastruktur auszulagern. Wir empfehlen Ihnen, die Risiken und Vorteile der einzelnen Optionen zu verstehen, wenn Sie sich für den richtigen Ansatz für Ihr Unternehmen entscheiden.

Die richtige Strategie für eine Migration von Active Directory entspricht den Bedürfnissen Ihres Unternehmens und ermöglicht es Ihnen, die Vorteile der AWS Cloud zu nutzen. Dabei müssen nicht nur die Verzeichnisdienste selbst berücksichtigt werden, sondern auch, wie sie mit anderen AWS-Services interagieren. Darüber hinaus müssen Sie die langfristigen Ziele der Teams berücksichtigen, die Active Directory verwalten.

Zusätzlich zur Migration von Active Directory müssen Sie die Kontostruktur für den Standort von Active Directory und die Netzwerktopologie Ihrer AWS-Konten festlegen, sowie welche DNS-Integrationen und andere potenzielle AWS-Services, für die Active Directory erforderlich ist, Sie verwenden möchten. Informationen zur Gestaltung Ihrer Kontentopologie und zu anderen Überlegungen zur Migrationsstrategie finden Sie im Abschnitt Bewährte Grundlagen in diesem Handbuch.

Bewerten

Um eine erfolgreiche Migration zu implementieren, ist es wichtig, Ihre bestehende Infrastruktur zu bewerten und die wichtigsten Features zu verstehen, die für Ihre Umgebung erforderlich sind. Es wird empfohlen, die folgenden Bereiche zu überprüfen, bevor Sie sich für die Migration entscheiden:

  • Überprüfen des bestehenden AWS-Infrastrukturdesigns – befolgen Sie die Anweisungen im Abschnitt Windows-Umgebungserkennung dieses Handbuchs und verwenden Sie die Bewertungsmethoden, um die bestehende Active-Directory-Infrastruktur zu überprüfen, falls Sie sich über deren Platzbedarf und Infrastrukturanforderungen noch nicht im Klaren sind. Wir empfehlen, die von Microsoft vorgeschriebene Größe für die Active-Directory-Infrastruktur in AWS zu verwenden. Wenn Sie Ihre Active-Directory-Infrastruktur auf AWS ausweiten, benötigen Sie möglicherweise nur einen Teil Ihres Active-Directory-Authentifizierungsaufwandes in AWS. Vermeiden Sie aus diesem Grund eine Überdimensionierung Ihrer Umgebung; es sei denn, Sie verlagern Ihren Active-Directory-Ressourcenbedarf vollständig zu AWS. Weitere Informationen finden Sie unter Kapazitätsplanung für Active Directory Domain Services in der Microsoft-Dokumentation.

  • Überprüfen des bestehenden On-Premises-Active-Directory-Designs – überprüfen Sie die aktuelle Nutzung Ihres (selbstverwalteten) On-Premises-Active-Directory. Wenn Sie Ihre Active-Directory-Umgebung auf AWS erweitern, empfehlen wir, Active Directory auf mehreren Domain-Controllern in AWS auszuführen, auch als Erweiterung Ihrer On-Premises-Umgebung. Dies entspricht dem AWS-Well-Architected-Framework für die Planung potenzieller Fehler durch die Bereitstellung von Instances in mehreren Availability Zones.

  • Identifizieren von Abhängigkeiten in Anwendungen und Netzwerken – bevor Sie sich für die beste Migrationsstrategie entscheiden, müssen Sie alle Funktionen von Active Directory, die Ihr Unternehmen für die Funktionalität benötigt, vollständig verstehen. Das bedeutet, dass es bei der Wahl zwischen einem verwalteten Dienst oder einem Self-Hosting wichtig ist, die jeweiligen Optionen zu kennen. Beachten Sie bei der Entscheidung, welche Migration für Sie die richtige ist, die folgenden Punkte:

    • Zugriffsanforderungen – die Anforderungen für den Zugriff auf die Steuerung von Active Directory legen den richtigen Migrationspfad für Sie fest. Wenn Sie vollen Zugriff auf die Active-Directory-Domain-Controller benötigen, um jegliche Art von Agents zur Einhaltung von Vorschriften zu installieren, ist AWS Managed Microsoft AD möglicherweise nicht die richtige Lösung für Sie. Untersuchen Sie stattdessen eine Erweiterung von Active Directory von Ihren Domain-Controllern auf Amazon EC2 innerhalb Ihrer AWS-Konten.

    • Zeitpläne für die Migration – wenn Sie einen längeren Zeitplan für die Migration und keine klaren Termine für den Abschluss haben, stellen Sie sicher, dass für die Verwaltung von Instances in der Cloud und in On-Premises-Umgebungen Vorkehrungen getroffen wurden. Die Authentifizierung ist eine wichtige Komponente, die für Microsoft-Workloads eingerichtet werden muss, um Verwaltungsprobleme zu vermeiden. Wir empfehlen, dass Sie die Migration von Active Directory zu einem frühen Zeitpunkt Ihrer Migration planen.

  • Sicherungsstrategien – wenn Sie ein vorhandenes Windows-Backup zur Erfassung des Systemstatus von Active-Directory-Domain-Controllern verwenden, können Sie Ihre vorhandenen Sicherungsstrategien in AWS weiterhin verwenden. Darüber hinaus bietet AWS Technologieoptionen, mit denen Sie Ihre Instances sichern können. Beispielsweise unterstützen die Technologien AWS Data Lifecycle Manager, AWS Backup und AWS Elastic Disaster Recovery die Sicherung von Active-Directory-Domain-Controllern. Um Probleme zu vermeiden, verlassen Sie sich am besten nicht auf die Wiederherstellung von Active Directory. Es wird empfohlen, eine stabile Architektur aufzubauen. Es ist jedoch wichtig, über eine Sicherungsmethode zu verfügen, falls eine Wiederherstellung erforderlich ist.

  • Anforderungen an die Notfallwiederherstellung (DR) – wenn Sie Active Directory zu AWS migrieren, müssen Sie darauf achten, dass die Ausfallsicherheit im Katastrophenfall gewährleistet ist. Wenn Sie Ihr vorhandenes Active Directory zu AWS verschieben, können Sie eine sekundäre AWS-Region verwenden und die beiden Regionen mithilfe von Transit Gateway verbinden, um die Replikation zu ermöglichen. Dies ist in der Regel die bevorzugte Methode. In einigen Unternehmen gelten unterschiedliche Anforderungen für das Testen von Failover in einer isolierten Umgebung, in der Sie die Konnektivität zwischen dem primären und dem sekundären Standort tagelang unterbrechen, um die Zuverlässigkeit zu testen. Wenn dies eine Anforderung in Ihrem Unternehmen ist, kann es einige Zeit dauern, bis Split-Brain-Probleme in Active Directory behoben sind. Möglicherweise können Sie AWS Elastic Disaster Recovery als aktive/passive Implementierung verwenden, bei der Sie Ihren DR-Standort als Failover-Umgebung belassen und Ihre DR-Strategie routinemäßig isoliert testen müssen. Die Planung der Recovery Time Objective (RTO)- und Recovery Point Objective (RPO)-Anforderungen Ihres Unternehmens ist ein wichtiger Faktor bei der Bewertung Ihrer Migration zu AWS. Stellen Sie sicher, dass Sie Ihre Anforderungen zusammen mit einem Test- und Failover-Plan definiert haben, um die Implementierung zu validieren.

Mobilisieren

Die richtige Strategie zur Erfüllung Ihrer organisatorischen und betrieblichen Anforderungen ist ein wichtiges Element bei der Migration oder Erweiterung von Active Directory zu AWS. Die Entscheidung, wie Sie die AWS-Services integrieren möchten, ist entscheidend für die Einführung von AWS. Stellen Sie sicher, dass Sie die Methodenerweiterung von Active Directory oder AWS Managed Microsoft AD wählen, die Ihren Geschäftsanforderungen entspricht. Einige Features in Diensten wie Amazon RDS sind von der Verwendung von AWS Managed Microsoft AD abhängig. Stellen Sie sicher, dass Sie die AWS-Servicebeschränkungen auswerten, um festzustellen, ob Kompatibilitätsbeschränkungen für Active Directory auf Amazon EC2 und AWS Managed Microsoft AD bestehen. Es wird empfohlen, die folgenden Integrationspunkte im Rahmen Ihres Planungsprozesses zu berücksichtigen.

Beachten Sie die folgenden Gründe für die Verwendung von Active Directory in AWS:

  • Aktivieren Sie die Zusammenarbeit von AWS-Anwendungen mit Active Directory

  • Verwenden Sie Active Directory, um sich bei der AWS-Managementkonsole anzumelden.

Aktivieren Sie die Zusammenarbeit von AWS-Anwendungen mit Active Directory

Sie können mehrere AWS-Anwendungen und -Services wie AWS Client VPN, AWSManagement Console, AWSIAM Identity Center (Nachfolger von AWS Single Sign-On), Amazon Chime, AmazonConnect, AmazonFSx for Windows File Server, Amazon QuickSight, AmazonRDS for SQL Server (gilt nur für Directory Service), Amazon WorkDocs, Amazon und Amazon WorkSpaces für die Nutzung von AWS Managed aktivieren WorkMail Microsoft AD-Verzeichnis. Wenn Sie eine AWS-Anwendung oder einen AWS-Service in Ihrem Verzeichnis aktivieren, können Ihre Benutzer mit ihren Anmeldeinformationen für Active Directory auf die Anwendung oder den Service zugreifen. Sie können mit den vertrauten Active-Directory-Verwaltungstools Active-Directory-Gruppenrichtlinienobjekte (GPOs) anwenden, um Amazon EC2 für Windows- oder Linux-Instances zentral zu verwalten, indem Sie Ihre Instances zu Ihrer AWS Microsoft AD-Domäne hinzufügen.

Ihre Benutzer können sich mit ihren Active-Directory-Anmeldeinformationen bei Ihren Instances anmelden. Dadurch müssen keine individuellen Instance-Anmeldeinformationen verwendet oder private Schlüsseldateien (PEM) verteilt werden. Dadurch können Sie Benutzern mit Active-Directory-Benutzerverwaltungs-Tools, die Sie bereits verwenden, ganz einfach und unmittelbar Zugriff gewähren oder entziehen.

Verwenden Sie Active Directory, um sich bei der AWS-Managementkonsole anzumelden.

Mit AWS Managed Microsoft AD können Sie Mitgliedern Ihres Verzeichnisses Zugriff auf die AWS-Managementkonsole gewähren. Standardmäßig haben die Mitglieder Ihres Verzeichnisses keinen Zugriff auf AWS-Ressourcen. Sie weisen Ihren Verzeichnismitgliedern AWS Identity and Access Management (IAM)-Rollen zu, um ihnen Zugriff auf die verschiedenen -AWS-Services und -Ressourcen zu geben. Die IAM-Rolle definiert die Services, Ressourcen und Zugriffsebenen, die für das Mitglied Ihres Verzeichnisses verfügbar sind.

Beispielsweise können Sie Ihren Benutzern erlauben, sich bei der AWS-Managementkonsole mit ihren Anmeldeinformationen für Active Directory anzumelden. Aktivieren Sie hierzu die AWS-Managementkonsole als Anwendung in Ihrem Verzeichnis und weisen Sie dann Ihre Active-Directory-Benutzer und -Gruppen zu IAM-Rollen zu. Wenn sich Ihre Benutzer bei der AWS-Managementkonsole anmelden, können Sie für die Verwaltung von AWS-Ressourcen eine IAM-Rolle annehmen. Auf diese Weise können Sie Ihren Benutzern ganz einfach Zugriff auf die AWS-Managementkonsole gewähren, ohne eine separate SAML-Infrastruktur konfigurieren und verwalten zu müssen. Weitere Informationen finden Sie im AWS-Sicherheitsblog unter How AWS IAM Identity Center Active Directory sync enhances AWS application experiences. Sie können Zugriff auf Benutzerkonten in Ihrem Verzeichnis oder in Ihrem On-Premises-Active Directory gewähren. So können sich Benutzer mit ihren bestehenden Anmeldeinformationen und Berechtigungen in der AWS-Managementkonsole oder über die AWS Command Line Interface (AWS CLI) anmelden, um AWS-Ressourcen zu verwalten, indem Sie den bestehenden Benutzerkonten direkt IAM-Rollen zuweisen.

Bevor Sie den Mitgliedern Ihres Verzeichnisses Konsolenzugriff gewähren können, muss das Verzeichnis über eine Zugriffs-URL verfügen. Weitere Informationen zum Abrufen der Verzeichnisdetails und Zugriffs-URL finden Sie unter Verzeichnisinformationen im AWS Directory Service Administration Guide. Weitere Informationen zum Erstellen einer Zugriffs-URL finden Sie unter Zugriffs-URL erstellen im AWS Directory Service Administration Guide. Weitere Informationen zum Erstellen von IAM-Rollen und zum Zuweisen dieser Rollen zu den Mitgliedern Ihres Verzeichnisses finden Sie im AWS Directory Service Administration Guide unter Benutzern und Gruppen den Zugriff auf AWS-Ressourcen gewähren.

Ziehen Sie die folgenden Migrationsoptionen für Active Directory in Betracht:

  • Active Directory erweitern

  • Migration zu AWS Managed Microsoft AD

  • Vertrauensstellung zur Verbindung von Active Directory mit AWS Managed Microsoft AD verwenden

  • Active-Directory-DNS mit Amazon Route 53 integrieren

Active Directory erweitern

Wenn Sie bereits über eine Active-Directory-Infrastruktur verfügen und diese für die Migration Active-Directory-fähiger Workloads in die AWS Cloud verwenden möchten, kann AWS Managed Microsoft AD Sie dabei unterstützen. Mit Vertrauensstellungen können Sie AWS Managed Microsoft AD mit Ihrem vorhandenen Active Directory verbinden. Das bedeutet, dass Ihre Benutzer mit ihren On-Premises-Active-Directory-Anmeldeinformationen auf Active-Directory-fähige und auf AWS-Anwendungen zugreifen können, ohne dass Sie Benutzer, Gruppen oder Passwörter synchronisieren müssen. Ihre Benutzer können sich beispielsweise bei der AWS-Managementkonsole anmelden und WorkSpaces dabei ihre vorhandenen Active Directory-Benutzernamen und -Passwörter verwenden. Wenn Sie Active Directory-fähige Anwendungen verwenden, z. B. SharePoint mit AWS Managed Microsoft AD, können Ihre angemeldeten Windows-Benutzer außerdem auf diese Anwendungen zugreifen, ohne die Anmeldeinformationen erneut eingeben zu müssen.

Zusätzlich zur Verwendung einer Vertrauensstellung können Sie Active Directory erweitern, indem Sie Active Directory für die Ausführung auf EC2-Instances in AWS bereitstellen. Sie können dies selbst tun oder mit AWS zusammenarbeiten, um Sie bei diesem Prozess zu unterstützen. Wir empfehlen, dass Sie mindestens zwei Domain-Controller in verschiedenen Availability Zones bereitstellen, wenn Sie Ihr Active Directory auf AWS erweitern. Je nach Anzahl der Benutzer und Computer, die Sie in AWS haben, müssen Sie möglicherweise mehr als zwei Domain Controller bereitstellen. Aus Gründen der Ausfallsicherheit empfehlen wir jedoch mindestens zwei. Sie können auch Ihre On-Premises-Domain von Active Directory zu AWS migrieren, um sich von der Betriebslast Ihrer Active-Directory-Infrastruktur zu befreien. Verwenden Sie dazu das Active Directory Migration Toolkit (ADMT) zusammen mit dem Password Export Service (PES). Sie können auch den Active-Directory-Startassistenten verwenden, um Active Directory in AWS bereitzustellen.

Migration zu AWS Managed Microsoft AD

Sie können zwei Mechanismen für die Verwendung von Active Directory in AWS anwenden. Eine Methode besteht darin, AWS Managed Microsoft AD zu verwenden, um Ihre Active-Directory-Objekte zu AWS zu migrieren. Dazu gehören u. a. Benutzer, Computer, und Gruppenrichtlinien. Der zweite Mechanismus ist ein manueller Ansatz, bei dem Sie alle Benutzer und Objekte exportieren und dann mithilfe des Active-Directory-Migrationstools manuell Benutzer und Objekte importieren.

Es gibt noch weitere Gründe für einen Umstieg auf AWS Managed Microsoft Active Directory:

Sie können AWS Managed Microsoft AD für mehrere AWS-Konten gemeinsam nutzen. Auf diese Weise können Sie AWS-Services wie Amazon EC2 verwalten, ohne für jedes Konto und jede Amazon Virtual Private Cloud (Amazon VPC) ein Verzeichnis betreiben zu müssen. Sie können Ihr Verzeichnis über jedes beliebige AWS-Konto und jede beliebige Amazon-VPC innerhalb einer AWS-Region nutzen. Auf diese Weise können Sie verzeichnisfähige Workloads einfacher und kosteneffektiver mit einem einzelnen Verzeichnis über Konten und VPCs hinweg verwalten. Beispiel: Sie können Ihre für EC2-Instances bereitgestellte Microsoft-Workloads jetzt mithilfe eines Verzeichnisses in AWS Managed Microsoft AD problemlos über mehrere Konten und VPC hinweg verwalten. Wenn Sie Ihr Verzeichnis in AWS Managed Microsoft AD für ein anderes AWS-Konto freigeben, können Sie mithilfe der Amazon-EC2-Konsole oder AWS Systems Manager Ihre Instances über jede beliebige Amazon VPC innerhalb des Kontos und der AWS-Region nahtlos verbinden.

Sie können schnell verzeichnisfähige Workloads auf EC2-Instances bereitstellen, ohne manuell eine Verbindung Ihrer Instances mit einer Domain herstellen oder Verzeichnisse in jedem Konto und der Amazon VPC bereitstellen zu müssen. Weitere Informationen zur Active-Directory-Integration finden Sie im Administratorhandbuch zu AWS Directory Service unter Ihr Verzeichnis freigeben. Beachten Sie, dass für die gemeinsame Nutzung einer von AWS verwalteten Microsoft AD-Umgebung Kosten anfallen. Sie können mit der AWS Managed Microsoft AD-Umgebung von anderen Netzwerken oder Konten aus kommunizieren, indem Sie einen Amazon VPC-Peer oder Transit Gateway-Peer verwenden, sodass eine gemeinsame Nutzung möglicherweise nicht erforderlich ist. Wenn Sie beabsichtigen, das Verzeichnis mit den folgenden Diensten zu verwenden, müssen Sie die Domain gemeinsam nutzen: Amazon Aurora MySQL, Amazon Aurora PostgreSQL, Amazon FSx, Amazon RDS für MariaDB, Amazon RDS für MySQL, Amazon RDS für Oracle, Amazon RDS für PostgreSQL und Amazon RDS für SQL Server.

Vertrauensstellung mit AWS Managed Microsoft AD verwenden

Um Benutzern aus einem vorhandenen Verzeichnis Zugriff auf AWS-Ressourcen zu gewähren, können Sie eine Vertrauensstellung mit Ihrer AWS Managed Microsoft AD-Implementierung verwenden. Es ist auch möglich, Vertrauensstellungen zwischen AWS Managed Microsoft AD-Umgebungen herzustellen. Weitere Informationen finden Sie im Beitrag Everything you wanted to know about trusts with AWS Managed Microsoft AD im AWS-Sicherheitsblog.

Active-Directory-DNS mit Amazon Route 53 integrieren

Wenn Sie zu AWS migrieren, können Sie DNS in Ihre Umgebung integrieren, indem Sie Route-53-Resolver verwenden, um den Zugriff auf Ihre Server zu ermöglichen (mithilfe ihrer DNS-Namen). Wir empfehlen, hierfür Route-53-Resolver-Endpunkte zu verwenden, anstatt die DHCP-Optionssätze zu ändern. Dies ist ein zentralisierterer Ansatz für die Verwaltung Ihrer DNS-Konfiguration als das Ändern von DHCP-Optionssätzen. Darüber hinaus können Sie eine Vielzahl von Resolver-Regeln nutzen. Weitere Informationen finden Sie im Blog Networking & Content Delivery im Beitrag Integrating your Directory Service’s DNS resolution with Amazon Route 53 Resolvers und in der Dokumentation „AWS Prescriptive Guidance“ unter Set up DNS resolution for hybrid networks in a multi-account AWS environment.

Migrieren

Wir empfehlen Ihnen, zu Beginn Ihrer Migration zu AWS die Konfigurations- und Tooling-Optionen in Betracht zu ziehen, die Ihnen bei der Migration helfen. Außerdem ist wichtig, langfristige Sicherheits- und Betriebsaspekte Ihrer Umgebung zu berücksichtigen.

Berücksichtigen Sie dabei die folgenden Optionen:

  • Cloudnative Security

  • Tools zur Migration von Active Directory zu AWS

Cloudnative Security

  • Sicherheitsgruppenkonfigurationen für Active-Directory-Controller  wenn Sie AWS Managed Microsoft AD verwenden, verfügen die Domain-Controller über eine VPC-Sicherheitskonfiguration für eingeschränkten Zugriff auf die Domain-Controller. Möglicherweise müssen Sie die Sicherheitsgruppenregeln ändern, um den Zugriff für einige potenzielle Anwendungsfälle zu ermöglichen. Weitere Informationen zur Konfiguration von Sicherheitsgruppen finden Sie unter Ihre AWS Managed Microsoft AD-Netzwerksicherheitskonfiguration im AWS Directory Service Administration Guide. Wir empfehlen, Benutzern nicht zu erlauben, diese Gruppen zu ändern oder sie für andere AWS-Services zu verwenden. Wenn Sie anderen Benutzern erlauben, sie zu verwenden, kann dies zu Dienstunterbrechungen in Ihrer Active-Directory-Umgebung führen, wenn die Benutzer sie so ändern, dass die erforderliche Kommunikation blockiert wird.

  • Integration mit Amazon CloudWatch Logs für Active Directory-Ereignisprotokolle Wenn Sie AWS Managed Microsoft AD ausführen oder ein selbstverwaltetes Active Directory verwenden, können Sie Amazon CloudWatch Logs nutzen, um Ihre Active Directory-Protokollierung zu zentralisieren. Sie können CloudWatch Protokolle verwenden, um Authentifizierungs-, Sicherheits- und andere Protokolle zu kopieren. CloudWatch Dies gibt Ihnen eine einfache Möglichkeit, Protokolle an einem Ort zu durchsuchen, und es kann Ihnen helfen, einige Compliance-Anforderungen zu erfüllen. Wir empfehlen die Integration mit CloudWatch Logs, da Sie so besser auf future Vorfälle in Ihrer Umgebung reagieren können. Weitere Informationen finden Sie unter Enabling Amazon CloudWatch Logs for AWS Managed Active Directory im AWS Directory Service Administration Guide und Amazon CloudWatch Logs for Windows Event Logs im AWS Knowledge Center.

Tools zur Migration von Active Directory zu AWS

Wir empfehlen, das Active Directory Migration Tool (ADMT) und den Password Export Server (PES) zu verwenden, um Ihre Migration durchzuführen. Auf diese Weise können Sie Benutzer und Computer problemlos von einer Domain in eine andere verschieben. Beachten Sie die folgenden Überlegungen, wenn Sie PES verwenden oder von einer verwalteten Active-Directory-Domain zu einer anderen migrieren:

  • Active Directory Migration Tool (ADMT) für Benutzer, Gruppen und Computer – Sie können ADMT verwenden, um Benutzer von selbstverwaltetem Active Directory zu AWS Managed Microsoft AD zu migrieren. Ein wichtiger Aspekt ist der Zeitplan für die Migration und die Bedeutung des Security Identifier (SID)-Verlaufs. Der SID-Verlauf wird während der Migration nicht übertragen. Wenn die Unterstützung des SID-Verlaufs dringend erforderlich ist, sollten Sie erwägen, auf Amazon EC2 selbstverwaltetes Active Directory anstelle von ADMT zu verwenden, damit Sie den SID-Verlauf verwalten können.

  • Password Export Server (PES) – PES kann verwendet werden, um Passwörter in, aber nicht aus AWS Managed Microsoft AD zu migrieren. Informationen zur Migration von Benutzern und Passwörtern aus Ihrem Verzeichnis finden Sie im AWS-Sicherheitsblog unter How to migrate your on-premises domain to AWS Managed Microsoft AD using ADMT und in der Microsoft-Dokumentation unter Password Export Server Version 3.1 (x 64).

  • LDIF – LDAP Data Interchange Format (LDIF) ist ein Dateiformat, das zur Erweiterung des Schemas eines Verzeichnisses in AWS Managed Microsoft AD verwendet wird. LDIF-Dateien enthalten die erforderlichen Informationen, um dem Verzeichnis neue Objekte und Attribute hinzuzufügen. Dateien müssen den LDAP-Standards für die Syntax entsprechen und gültige Objektdefinitionen für jedes Objekt enthalten, das durch die Dateien hinzugefügt wird. Nachdem Sie die LDIF-Datei erstellt haben, müssen Sie die Datei in das Verzeichnis hochladen, um das Schema zu erweitern. Weitere Informationen zur Verwendung von LDIF-Dateien zur Erweiterung des Schemas eines AWS Managed Microsoft AD-Verzeichnisses finden Sie unter Erweitern des Schemas von AWS Managed AD im AWS Directory Service Administration Guide.

  • CSVDE – in einigen Fällen müssen Sie möglicherweise Benutzer exportieren und in ein Verzeichnis importieren, ohne eine Vertrauensstellung zu erstellen und ADMT zu verwenden. Auch wenn dies nicht ideal ist, können Sie Csvde (ein Befehlszeilentool) verwenden, um Active-Directory-Benutzer von einer Domain in eine andere zu migrieren. Um Csvde verwenden zu können, müssen Sie eine CSV-Datei erstellen, die die Benutzerinformationen wie Benutzernamen, Passwörter und Gruppenmitgliedschaften enthält. Anschließend können Sie den Befehl csvde verwenden, um die Benutzer in die neue Domain zu importieren. Sie können diesen Befehl auch verwenden, um bestehende Benutzer aus der Quell-Domain zu exportieren. Dies kann hilfreich sein, wenn Sie von einer anderen Verzeichnisquelle migrieren, z. B. von SAMBA Domain Services zu Microsoft Active Directory. Weitere Informationen finden Sie im AWS-Sicherheitsblog unter How to Migrate Your Microsoft Active Directory Users to Simple AD or AWS Managed Microsoft AD.

Weitere Ressourcen