写点什么

使用 ADMT 迁移本地 AD 用户到 AWS Microsoft AD

  • 2019-10-21
  • 本文字数:2074 字

    阅读完需:约 7 分钟

使用 ADMT 迁移本地 AD 用户到 AWS Microsoft AD

AWS Managed Microsoft AD 介绍:

AWS Managed Microsoft AD 在 AWS 云中创建一个完全托管的 Microsoft Active Directory,采用 Windows Server 2012 R2 并在 2012 R2 功能级别上操作。AWS Managed Microsoft AD 可以与 Microsoft SharePoint、Microsoft SQL Server Always On Availability Groups 和多种 .NET 应用程序配合使用。它还支持 AWS 托管的应用程序和服务,包括 Amazon WorkSpaces、Amazon WorkDocs、Amazon QuickSight、Amazon Chime、Amazon Connect 和 Amazon Relational Database Service for Microsoft SQL Server (RDS for SQL Server)。


在本文中,我们主要讨论使用微软提供的 ADMT (Active Directory Migration Tool) 来实现将用户从本地 AD 迁移到 AWS Managed Microsoft AD。需要注意的是: AWS Managed Microsoft AD 采用 Windows Server 2012 R2 并在 2012 R2 功能级别上操作,如果和本地域功能级别不同,在迁移的时候有可能会出现一些属性无法同步的情况。

先决条件:

  1. 在迁移之前,可以根据自己的业务场景使用 VPN 或者 Direct Connect 将本地数据中心和 AWS VPC 网络打通。

  2. 建立本地 DC 和 AWS Managed AD 的信任关系

  3. 在本地 DC 上安装 pwdmig(Password Export Server) 用于密码迁移

操作步骤:

  1. 在 AWS 上创建一个托管 Microsoft AD,本次示例中 AWS 托管 AD 的目录名字为 mad.com ,创建好之后 AWS 会自动在指定的子网中创建 2 个域控制器.



  1. 修改 VPC DHCP Options,使 VPC DNS 指向 AWS Managed AD DNS 服务器(在先前创建的目录服务中可找到 DNS address )



  1. 创建一个 Windows EC2 ,在配置实例的时候,选择之前新建的目录,以及选择一个 IAM Role 使 EC2 实例自动加入到托管 AD 中,IAM Role 至少要有 AmazonEC2RoleforSSM 权限。



  1. EC2 实例启动之后,可以通过在 AWS Managed AD 中创建的 admin 用户登录,登录成功之后安装 AD 管理工具.


使用 PowerShell 安装命令如下:_Add-WindowsFeature RSAT-AD-PowerShell,RSAT-AD-AdminCenter_


  1. 在 VPC 安全组界面,搜索之前创建的 Managed AD 的 Directory ID,格式为:d-xxxxxxxxxx,找到之后,修改出站流量,允许本地 DC 所在 CIDR 的所有流量.



  1. 在本地 DC 设置与 AWS Managed AD 林级别的信任,并添加 Managed AD 和本地 onpremise.com 的双向信任,在条件转发器中输入 onpremise.com 的 DNS 地址。如果信任建立失败,请检查 AWS Managed AD 的安全组出站策略以及本地数据中心的防火墙设置.




  1. 在 EC2 实例上安装 ADMT 工具(安装的时候需要指定 SQL Server 数据库,也可以在本地安装SQL Server Express 版) 。ADMT 默认安装路径为: C:\Windows\ADMT\,安装成功之后需要使用 ADMT 生成一个 Encryption File,用于源域控制器配置 pwdmig(Password Export Server).


_admt key /option:create /sourcedomain:SOURCEDOMAIN.com /keyfile:c:\key.pes /keypassword:KEYPASS_



  1. 将上一步生成的 key.pes 文件拷贝到本地域控制器,在本地域控制器上安装 pwdming 并指定 key.pes 文件,安装之后重启服务器。

  2. 同时在本地 AD 上打开 services.msc ,找到 Password Export Server Service,在 Logon 中修改用户为 AWS Managed AD 的管理员 admin,并将此服务启动。

  3. 另外在本地 AD 中,将 AWS Managed AD 的管理员添加到本地 AD 的 administrators 组中(如果不添加,在使用 ADMT 迁移密码的时候会报错提示访问被拒绝)


  4. 在 EC2 (连接到目标域控制器的实例)上打开 ADMT 工具开始准备迁移,右键选择 “User Account Migration Wizard”


  5. 选择源 AD 和目标 AD


  6. 手动选择要迁移的用户


  7. 选择要迁移到的 OU


  8. 迁移密码


  9. 不要勾选“Migrate user SIDs to target domain”。Sid 迁移需要在 AWS Managed AD 启用 SID History,但由于 AWS Managed AD 是一个托管服务,无法修改此属性,因而无法迁移用户的 sid.


  10. 之后根据提示点击下一步开始迁移工作,迁移完成之后,可以查看迁移报告,如果有用户迁移失败,可以点击 View Log 按钮查看报错日志。


  11. 经测试: 在迁移用户的过程中,如果用户隶属于某个组,可以实现在迁移用户的过程中自动将组也迁移过去。迁移后的用户默认勾选 “User must change password at next logon”,可以通过 PowerShell 脚本取消勾选:

  12. _Set-ADUser localuser001 -ChangePasswordAtLogon $false_

  13. 如果要批量修改某一个 OU 下的所有用户的属性,可以参考下面的循环语句:

  14. _Get-ADUser -Filter * -SearchBase "OU=testOU,OU=MAD,DC=mad,DC=com" | % {Set-ADUser $_ -ChangePasswordAtLogon $false}_


更多资料请参考:


https://docs.aws.amazon.com/zh_cn/directoryservice/latest/admin-guide/ms_ad_tutorial_setup_trust.html


https://docs.microsoft.com/en-us/previous-versions/windows/it-pro/windows-server-2008-R2-and-2008/cc974332(v=ws.10)


作者介绍:


刘翔


亚马逊 AWS 解决方案架构师,负责基于 AWS 的云计算方案架构的咨询和设计。在加入架构师团队之前,在 AWS Support 团队有 2 年半的工作经验,对 AWS 底层服务有深入的理解和认识。


本文转载自 AWS 技术博客。


原文链接:


https://amazonaws-china.com/cn/blogs/china/admt-aws-microsoft-ad/


2019-10-21 08:00818

评论

发布
暂无评论
发现更多内容

我的sql没问题为什么还是这么慢|MySQL加锁规则

做梦都在改BUG

Java MySQL 数据库

从ChatGPT到MOSS,《流浪地球2》是否会照进现实?

加入高科技仿生人

人工智能 AI 智能化 ChatGPT New Bing

更安全更稳定,阿里云斩获多项云系统稳定安全运行优秀案例

阿里巴巴云原生

阿里云 云原生 安全

最佳实践 | 基于腾讯云MRCP-Server打造简单智能外呼系统

牵着蜗牛去散步

人工智能 腾讯云 腾讯 语音识别 智能外呼系统

解锁智能合约的力量:区块链入门教程

领创集团Advance Intelligence Group

区块链 智能合约 以太坊

Spring中Autowired注解到底怎么实现的

做梦都在改BUG

Java spring 框架

Easyrecovery16汉化版电脑数据恢复软件

茶色酒

EasyRecovery16

2022 IoTDB Summit:中国核电刘旭嘉《工业时序数据库 Apache IoTDB 在核电的应用实践》

Apache IoTDB

用户案例 数据库·

鲁班软件使用明道云优化项目管理的全过程

明道云

请你喝一杯 Corretto?谈一谈 JDK 的新选择

亚马逊云科技 (Amazon Web Services)

Java jdk

阿里云云原生每月动态 | 聚焦实战,面向开发者的系列课程全新上线

阿里巴巴云原生

阿里云 云原生

GitLab 专家分享|关于 DevSecOps ,你需要知道这几点

极狐GitLab

DevOps DevSecOps 极狐GitLab 研发运维 安全左移

IoT离线设备云端控制指令消息触达方案——实践类

阿里云AIoT

物联网 API 网络性能优化

APISIX 是怎么保护用户的敏感数据不被泄露的?

API7.ai 技术团队

安全 api 网关 APISIX 敏感数据

《数据治理行业实践白皮书》正式发布,开辟数据治理新范式(附下载)

袋鼠云数栈

数据治理

龙蜥LoongArch架构研发全揭秘,龙芯开辟龙腾计划技术合作新范式

OpenAnolis小助手

操作系统 龙蜥社区 龙腾计划 龙芯中科 LoongArch

跨境数据传输是日常业务中经常且至关重要的组成部分

镭速

时序数据库 CeresDB 1.0 正式发布

TRaaS

Log4j on Cloud 如何在云上看日志

纳速云

elasticsearch Serverless 日志 log4j java

玩转Angular系列:组件间各种通信方式详解

echeverra

angular

基于 eBPF 的 Serverless 多语言应用监控能力建设

阿里巴巴云原生

阿里云 Serverless 云原生

一文读懂PaddleSpeech中英混合语音识别技术

飞桨PaddlePaddle

语音识别 百度飞桨

前端已死?我看未必,但「低代码」已剑指前端程序员

引迈信息

面试 Vue 前端 低代码

kafka-再均衡原理

领创集团Advance Intelligence Group

kafka 3.X apache 社区 再均衡协议

深度访谈 Vland CTO:像乐高一样搭建元宇宙

万事ONES

元宇宙 访谈

再次飙升GitHub榜首!这份“保姆级”的SpringBoot笔记,不服不行

做梦都在改BUG

Java spring 微服务 Spring Boot 框架

借助阿里云 AHPA,苏打智能轻松实现降本增效

阿里巴巴云原生

阿里云 容器 云原生 AHPA

【技术干货】第1篇:有道实况OCR技术

有道技术团队

如何提高大数据传输的安全性

镭速

2022 IoTDB Summit:Dr.Feinauer《Apache IoTDB 在德国汽车生产线多级数据同步中的应用实践》

Apache IoTDB

数据库·

玩好 StarRocks,大厂 offer 接不完!|字节跳动、小红书、京东物流、唯品会、腾讯音乐要的就是你!

StarRocks

数据库

使用 ADMT 迁移本地 AD 用户到 AWS Microsoft AD_语言 & 开发_亚马逊云科技 (Amazon Web Services)_InfoQ精选文章