Blog de Amazon Web Services (AWS)
Automatice la recuperación ante desastres para su Active Directory autoadministrado en AWS
Introducción
La mayoría de las organizaciones corporativas utilizan Microsoft Active Directory para la administración de identidades en toda la organización. A menudo, los clientes están interesados en cómo pueden aprovechar AWS para implementar una estrategia de recuperación ante desastres para su infraestructura de AD autoadministrada. En primer lugar, si está utilizando AWS Directory Service para Microsoft Active Directory (AWS Managed Microsoft AD), el servicio se encarga de esto por usted. AWS Managed Microsoft AD toma instantáneas (snapshots) diarias automáticas de su directorio y, en caso de desastre, puede, con un solo clic de un botón, restaurar su directorio desde la copia de seguridad y restaurar las operaciones de su negocio. Para obtener más información, consulte snaphot o restore your directory en la documentación de AWS Managed Microsoft AD.
Si se está ejecutando AD autoadministrado en On-Premises o en Amazon Elastic Compute Cloud (Amazon EC2), te mostraré cómo aprovechar AWS como DR para tu AD. También estoy proporcionando una solución automatizada para ayudarle a ejecutar simulacros de DR periódicos de su infraestructura AD como parte de su estrategia de continuidad comercial más amplia.
Descripción general de la solución
Tomar copias de seguridad regulares es fundamental para implementar un plan de DR para AD. Esta solución propuesta aprovecha una combinación de volúmenes cifrados de Amazon Elastic Block Store (EBS) y el servicio AWS Backup para proporcionar una protección sólida para sus datos de backup de AD. Para comenzar, realice una copia de seguridad de los datos del estado del sistema (que contienen datos de AD) en un volumen cifrado secundario de Amazon EBS. A continuación, realice una copia de seguridad del volumen de Amazon EBS mediante AWS Backup, como se muestra en la Figura 1, para proteger aún más los datos de incidentes como la eliminación accidental. Y, en caso de desastre, o como parte de sus simulacros de DR habituales, restaure el volumen de Amazon EBS desde AWS Backup y, a continuación, restaure AD desde el volumen de Amazon EBS. Proporciono una plantilla de AWS CloudFormation de muestra para automatizar el proceso. Para utilizar esta solución para su AD local, debe extender su AD local a AWS, como se muestra en la Figura 1.
Consulte esta entrada de blog para conocer los pasos para extender su AD autoadministrado a AWS.
Figura 1: Arquitectura de la solución.
Paso a paso
Estos son los pasos de alto nivel para implementar la solución:
PROTEGER
La solución comienza con pasos para proteger sus datos de AD:
- Amplíe su AD local a AWS implementando al menos 2 controladores de dominio en diferentes zonas de disponibilidad en AWS, como se muestra en la Figura 1. Este paso no es necesario si su AD autoadministrado está alojado en Amazon EC2.
- Cree y adjunte un volumen cifrado de Amazon EBS) a cada controlador de dominio en Amazon EC2.
- Ejecute copias de seguridad diarias del estado del sistema en los volúmenes cifrados secundarios adjuntos.
- Configure AWS Backup para tomar instantáneas (snapshots) diarias de los volúmenes secundarios de Amazon EBS.
- Configure AWS Backup para realizar copias de seguridad de AMI regulares de la instancia del controlador de dominio. Configure la frecuencia para alinearse con su ventana de mantenimiento de parches de Windows existente.
RESTAURAR
A continuación, la solución proporciona los pasos necesarios para las ejecuciones en seco de recuperación ante desastres de AD autoadministradas en AWS.
- Cree un entorno aislado: nueva VPC de Amazon Virtual Private Cloud (Amazon VPC), subredes, puertas de enlace NAT, etc.
- Utilice la copia de seguridad de AMI del controlador de dominio para lanzar una instancia de Amazon EC2 en un entorno aislado.
- Restaure el volumen de Amazon EBS que contiene la copia de seguridad del estado del sistema desde AWS Backup.
- Adjunte el volumen de backup a la instancia de Amazon EC2.
- Restaure la copia de seguridad del estado del sistema desde el volumen de copia de seguridad.
- Realizar los pasos de recuperación de AD Forest.
Prerrequisitos
En las instrucciones de esta publicación se asume que entiende cómo crear instancias de Amazon EC2 y cómo usar Remote Desktop Protocol (RDP) para iniciar sesión en las instancias. Para los clientes que ejecutan AD en las instalaciones, estas instrucciones también suponen que ha extendido su AD local a Amazon EC2. Refiérase a este blog.
Configuración de protección para su AD
En esta sección, configurará copias de seguridad diarias de sus datos de AD en dos niveles. Primero, configurará una copia de seguridad diaria automatizada del estado del sistema en Amazon EBS. Una copia de seguridad del estado del sistema de un controlador de dominio incluye datos de AD. Para obtener más detalles, consulte la documentación de Microsoft.
A continuación, configurará una instantánea diaria automatizada del volumen de Amazon EBS que contiene la copia de seguridad del estado del sistema mediante AWS Backup. Esto es necesario para proteger el volumen de Amazon EBS. Piense en esto como una copia fuera del sitio de su copia de seguridad de AD.
A continuación, configurará copias de seguridad de AMI automatizadas de la propia instancia del controlador de dominio. La AMI garantiza que está restaurando a la misma instancia del sistema operativo durante la recuperación forestal, según lo recomendado por Microsoft. Puede alinear la frecuencia de copia de seguridad de AMI con su ventana mensual de mantenimiento de parches de Windows.
PASO 1: Configure la copia de seguridad diaria de AD en Amazon EBS.
Complete los siguientes pasos para configurar una copia de seguridad diaria automatizada del estado del sistema de AD en Amazon EBS.
- Crear un volumen cifrado de Amazon EBS.
- Adjuntar el volumen de Amazon EBS a uno de los controladores de dominio en Amazon EC2.
- Hacer que el volumen de Amazon EBS esté disponible para Windows.
- Siga los pasos de esta documentación para configurar una copia de seguridad automatizada del estado del sistema en el volumen de Amazon EBS. Alternativamente, puede configurar esto usando el script a continuación. Este script crea una tarea programada que ejecuta una copia de seguridad del estado del sistema en el volumen secundario de Amazon EBS a la 1:00 a.m. diariamente. En mi ejemplo, la letra de unidad del volumen de respaldo de Amazon EBS es “d:”. También crea una segunda tarea programada que se ejecuta al inicio y utiliza EC2Launch para fijar la ruta al servicio de metadatos EC2. Se requiere configurar correctamente la ruta a los metadatos EC2 cuando se utiliza una AMI de Windows personalizada para lanzar una instancia en una subnet/VPC diferente. Esto garantiza que cuando lanza una instancia desde la AMI personalizada del controlador de dominio durante el proceso de restauración, la instancia será administrada por AWS Systems Manager para la automatización. También establece los AmazonProvideDDNS como el reenviador para permitir la resolución de nombres propios.
Nota: Microsoft recomienda una copia de seguridad diaria de al menos dos controladores de dominio grabables en cada dominio de su infraestructura de AD.
PASO 2: Proteja el volumen de Amazon EBS y la instancia del controlador de dominio mediante AWS Backup
Para proteger el volumen que contiene los datos de AD que configuró en el paso 1, configure AWS Backup para tomar instantáneas (snapshots) de ese volumen a intervalos regulares. Este paso es fundamental para garantizar que tiene varias copias del volumen de backup. AWS Backup es un servicio completamente administrado que facilita la centralización y automatización de la protección de datos en todos los servicios de AWS, en la nube y en las instalaciones. A continuación, también creará copias de seguridad AMI de la propia instancia del controlador de dominio. Una copia de seguridad AMI de la instancia asegura que estamos restaurando a la misma instancia del sistema operativo al realizar la operación de restauración. Durante el proceso de restauración, primero lanzaremos una instancia de Amazon EC2 desde la copia de seguridad de AMI, ejecutaremos una restauración del estado del sistema y luego realizaremos operaciones adicionales de recuperación de AD.
Complete los siguientes pasos para programar instantáneas (snapshots) del volumen de Amazon EBS que contienen datos de estado del sistema y copia de seguridad de AMI de la instancia de controlador de dominio mediante AWS Backup:
- Vaya a la consola de AWS Backup y seleccione Backup Plans.
- Seleccione Create Backup Plan y seleccione Build a new plan, como se muestra en la Figura
- Ingrese un nombre cada uno para Nombre del Backup plan name y Backup rule name.
- Para Backup frequency, seleccione Daily y para Retention, seleccione un valor. Tenga en cuenta que el valor que seleccione no debe ser mayor que la vida útil de la lápida. Una copia de seguridad que es más antigua que la vida útil de la lápida no es válida y no se puede usar para restaurar AD. Consulte la documentación de Microsoft para obtener más detalles. Además, al establecer el tiempo de copia de seguridad, tenga en cuenta el tiempo diario de respaldo del estado del sistema que configuró en el paso 1. Desea que se complete la copia de seguridad del estado del sistema antes de que AWS Backup inicie la copia de seguridad instantánea del volumen de Amazon EBS. En mi ejemplo, he configurado la copia de seguridad del estado del sistema para que se produzca a la 1:00 a.m. y AWS Backup para que se ejecute a las 5:00 a.m.
- En Copy to Destination, seleccione la región de AWS que desee si desea crear copias entre regiones o cuentas cruzadas de sus puntos de recuperación.
- Haga clic en Create plan.
Figura 2: Crear un nuevo plan de copia de seguridad de AWS
7. Seleccione Backup plans y seleccione el plan que acaba de crear.
8. Seleccione Assign resources, proporcionar un nombre de asignación de recursos y seleccione Incluir tipos de recursos específicos
9. En Select specific resource types, seleccione EBS y, a continuación, seleccione el volumen de EBS que contiene los datos de estado del sistema.
10. Seleccione Asignar recursos.
11. A continuación, repita los pasos 1 a 6 anteriores para crear un segundo plan de respaldo de AWS para realizar copias de seguridad AMI de la instancia del controlador de dominio. Para la frecuencia, seleccione mensualmente y alinéelo con su horario existente para aplicar parches de Windows al controlador de dominio. Por ejemplo, si ya tiene un horario para instalar parches de Windows en sus controladores de dominio el 4º sábado de cada mes, puede especificar el 4º domingo de cada mes dentro de AWS Backup. Esto asegura que la AMI contenga los parches lanzados para ese mes. Sin embargo, si usa una AMI de respaldo de un mes anterior durante el proceso de restauración de AD o ejecución en seco, recuerde instalar los parches de Windows faltantes en la instancia según sea necesario.
12. Después de crear el plan AMI Backup, seleccione el plan, seleccione Asignar recursos, seleccione Incluir tipos de recursos específicos, seleccione Seleccionar tipos de recursos específicos, seleccione EC2 y luego seleccione la instancia EC2 del controlador de dominio.
Ya ha completado los pasos para hacer una copia de seguridad de sus datos de AD.
Ejecución de taladros DR para su AD.
Como parte de su estrategia de DR AD, debe realizar simulacros de DR regulares. Esto ayuda a verificar que las copias de seguridad son viables y asegura que esté preparado en caso de desastre. Esta sección recorre los pasos para restaurar AD desde la copia de seguridad.
PASO 1: Restaurar Amazon EBS que contiene datos de AD desde AWS Backup
En este paso, restaurará desde AWS Backup la instantánea de Amazon EBS que realizó anteriormente que contiene la copia de seguridad del estado del sistema. Cuando restaura una instantánea de Amazon EBS, AWS Backup crea un nuevo volumen de Amazon EBS que puede adjuntar a su instancia de Amazon EC2. Utilizará el volumen restaurado para recuperar AD para su taladro DR.
Complete los siguientes pasos para restaurar el volumen de Amazon EBS que contiene los datos del estado del sistema de AWS Backup:
- Abra la consola de AWS Backup y, en el panel de navegación, seleccione Protected Resources.
- Seleccione el ID de volumen, seleccione un ID de punto de recuperación y seleccione Restaurar
- En la página Restaurar copia de seguridad, seleccione una zona de disponibilidad y luego seleccione Restaurar copia de seguridad, como se muestra en la Figura 3. Toma nota de la zona de disponibilidad que seleccionaste, ya que la necesitarás en el siguiente paso. En mi ejemplo, he optado por restaurar el volumen a us-east-1a.
Figura 3: Restaurar volumen de EBS que contiene datos de AD de AWS Backup
PASO 2: Recuperar bosque AD en un ambiente aislado
Con el volumen de Amazon EBS restaurado desde AWS Backup, necesitará la AMI de copia de seguridad del controlador de dominio para utilizarla en el proceso de restauración. Siga estos pasos para localizar las copias de seguridad de AMI del controlador de dominio que configuró anteriormente mediante AWS Backup:
- Vaya a la consola de Amazon EC2 y seleccione AMI en la barra de navegación izquierda.
- Localice y tome nota de la AMI del controlador de dominio que desea utilizar para el procedimiento de restauración. <instanceID>El nombre de AMI de una AMI tomada por AWS Backup comienza con “AWSBackup_”.
Ahora, con el volumen de Amazon EBS que contiene datos de estado del sistema y la AMI de respaldo del controlador de dominio obtenida de AWS Backup, ya está listo para recuperar AD. Durante una perforación DR, restaure AD a un entorno aislado para que su entorno de producción no se vea afectado. Para restaurar AD de forma aislada, creará una nueva VPC, utilizará la AMI de respaldo para lanzar una nueva instancia de Amazon EC2 en la VPC, adjuntará el volumen restaurado de Amazon EBS a la instancia de Amazon EC2 y realizará la recuperación del estado del sistema desde el volumen adjunto a la instancia. Luego deberá realizar una serie de acciones de recuperación forestal AD para completar el proceso de recuperación de AD. Consulte la documentación de Microsoft para obtener más detalles. Este proceso puede llevar mucho tiempo, especialmente si va a realizar simulacros DR regulares para su entorno AD.
Para que esto sea más rápido y fácil, he proporcionado una plantilla de AWS CloudFormation que puede implementar bajo demanda para construir el entorno aislado, ejecutar la recuperación del estado del sistema y realizar las acciones de recuperación de bosques automáticamente.
La plantilla Cloudformation hace lo siguiente:
-
- Construye un entorno de red aislado: nueva VPC, subredes, puertas de enlace NAT, IGW, etc.
- Utiliza la AMI de backup especificada para lanzar una instancia en el entorno aislado
- Adjunta y restaura los datos del estado del sistema desde el volumen de respaldo de EBS especificado en la plantilla
- Realiza una restauración autorizada de SYSVOL. Para obtener más información, consulte la documentación de Microsoft.
- Se apodera de los roles del FSMO.
- Utiliza la herramienta de línea de comandos ntdsutil.exe para realizar la limpieza de metadatos de AD de todos los controladores de dominio en la base de datos de AD, excepto aquel en el que se ejecuta el comando.
- Elimina todos los registros DNS que contienen cualquiera de los otros controladores de dominio eliminados.
- Configura el servicio Windows Time.
Complete los siguientes pasos para implementar la plantilla de AWS CloudFormation para restaurar su AD en un entorno aislado:
- Descarga la plantilla CloudFormation.
- Navegue a la consola de AWS CloudFormation.
- En Crear Stack, seleccione Con nuevos recursos (estándar).
- En Fuente de plantilla, seleccione Cargar un archivo de plantilla. Seleccione Elegir archivo, seleccione la plantilla que descargó en el paso 1 y seleccione Siguiente.
- En la página Especificar detalles del Stack, la plantilla llena previamente la mayoría de las entradas. Introduzca el ID de volumen del volumen de Amazon EBS y la AMI de copia de seguridad del controlador de dominio que restauró desde AWS Backup. Al especificar una zona de disponibilidad para la subred 1, asegúrese de que coincida con la disponibilidad del volumen de Amazon EBS que anotó en la sección anterior, como se muestra en la figura 4. Esto garantiza que la instancia del controlador de dominio pueda montar el volumen de EBS restaurado. Completa los demás detalles y selecciona Next.
Nota: Hemos probado y recomendamos usar instancias basadas en el sistema AWS Nitro. Además, la automatización utiliza la última versión de backup del estado del sistema en el volumen de Amazon EBS adjunto. Para utilizar una versión de copia de seguridad de estado del sistema diferente, restaure una versión diferente de AWS Backup como se describe en el paso 1.
Figura 4: Parámetros de la plantilla de CloudFormation
6. En la página Configurar opciones de pila, seleccione Siguiente
7. En la página Revisar nombre de pila, marque la casilla junto a Reconozco que AWS CloudFormation podría crear recursos de IAM con nombres personalizados y seleccione Enviar.
8. Cuando se complete la creación de la pila de AWS CloudFormation, abra la consola de AWS Systems Manager Automation y espere a que la automatización complete la operación de restauración del estado del sistema.
9. Actualice el grupo de seguridad de la instancia Bastion Amazon EC2 para permitir su dirección IP e inicio de sesión con RDP. Desde la instancia de bastión, inicie sesión en la instancia del controlador de dominio restaurada usando RDP y abra el Visor de eventos.
10. Revise los registros de eventos de replicación DFS para el ID de evento 4602 que muestra que se ha inicializado la replicación SYSVOL. Debes revisar los otros registros y realizar pruebas adicionales para confirmar el estado de tu controlador de dominio restaurado. La Figura 5 muestra una captura de pantalla de los registros DFS en mi controlador de dominio restaurado. Para obtener más información, consulte AD Forest Recovery — Verify Replication.
Figura 5. Registro de replicación DFS que muestra la inicialización de SYSVOL en CC restaurada
Nota: Realizar comprobaciones adicionales para verificar el estado del Controlador de Dominio restaurado después de la restauración del bosque. Para obtener más información, consulte la documentación de Microsoft.
- A continuación, puede implementar nuevos controladores de dominio adicionales para su dominio según sea necesario.
Limpieza
Para eliminar los recursos creados por la plantilla de AWS CloudFormation, vaya a la consola de AWS CloudFormation. Seleccione la pila que creó y, a continuación, seleccione Eliminar.
Conclusión
Active Directory es cada vez más un objetivo para los ataques de ransomware y la implementación de una estrategia de recuperación ante desastres para su infraestructura de AD es fundamental más que nunca. En este blog, te hemos mostrado cómo puedes usar AWS para implementar una solución de DR para tu infraestructura de AD autogestionada. Y con la plantilla CloudFormation que te proporcioné, puedes ejecutar periódicamente simulacros para tu AD con poco esfuerzo y sin impacto en la producción.
En una nota final, puede reducir el trabajo pesado indiferenciado de administrar AD DR migrando a AWS Managed Microsoft AD. AWS Managed Microsoft AD le brinda una experiencia de servicios de directorio simple y completamente administrada para que pueda concentrarse en su negocio y en sus clientes.
Acerca de lo autor
Tekena Orugbani es un arquitecto sénior especialista en soluciones en Amazon Web Services con sede en Virginia. Tekena se unió a AWS en 2017 y se enfoca en ayudar a los clientes a diseñar, migrar y modernizar sus cargas de trabajo de Microsoft en la nube de AWS. Fuera del trabajo, Tekena disfruta pasar el rato con su familia y ver fútbol.
Traductor
Victor Jiménez es un arquitecto senior de soluciones de socios principales de AWS con sede en México. Cuenta con experiencia de 15 años en cargas de trabajo de Windows Server principalmente en roles de infraestructura, provisionamiento y automatización. Ha adquirido experiencia en los últimos 4 años en tecnologías en la nube. En AWS, lleva a cabo tareas de apoyo con los socios estratégicos para guiar a los clientes en la adopción de su viaje a la nube y modernización aprovechando las herramientas y servicios optimizados para su negocio.
Revisor
JuanMa Silva quien es arquitecto de soluciones con especialidad en Microsoft para México y MCO. Cuenta con 15 años de experiencia en la industria de IT, en posiciones de Sysadmin, consultor para ayudar a migrar clientes a la nube y modernización de aplicaciones, soporte aplicaciones de misión critica basados en tecnologia Microsoft.