Blog de Amazon Web Services (AWS)
Migración de Azure Active Directory a Microsoft AD administrado por AWS – Parte 1
Por: Caio Ribeiro César, Principal Microsoft Specialist Solutions Architect, LATAM
AWS Directory Service le permite ejecutar Microsoft Active Directory (AD) como un servicio administrado. AWS Directory Service para Microsoft Active Directory, también conocido como AWS Managed Microsoft AD, está habilitado por Windows Server 2012 R2. Cuando selecciona e inicia este tipo de directorio, se crea como un par de controladores de dominio de alta disponibilidad conectados a la nube privada virtual (VPC). Los controladores de dominio se ejecutan en diferentes zonas de disponibilidad en una región de su elección y tienen funcionalidad de varias regiones . AWS configura y administra automáticamente la supervisión y recuperación del host, la replicación de datos, las instantáneas y las actualizaciones de software.
En este blog, discutiremos cómo migrar de Azure Active Directory a AWS Managed Microsoft AD en diferentes escenarios. Separaremos las publicaciones en 3 partes:
- Parte 1) Conectividad (usted está aquí ?).
- Parte 2) Uso de Azure Active Directory (AD) cuando su entorno se integra con Servicios de dominio de Active Directory (AD DS) mediante la herramienta Azure AD Connect.
- Parte 3) Uso de Azure Active Directory Domain Services (AD DS), que proporciona el servicio de dominio administrado, integrándose con Azure AD.
Parte 1) Conectividad para ambos escenarios.
Antes de comenzar la migración de objetos, necesitamos establecer conectividad entre entornos (este paso es idéntico para ambos escenarios). En otras palabras, el entorno de Azure y AWS necesitan algún tipo de comunicación. A continuación, crearemos una VPN entre Amazon Virtual Private Cloud (VPC) y Azure Virtual Network (VNET).
Si ya tiene comunicación entre las nubes de AWS y Azure, proceda directamente a los escenarios de migración. Primeros pasos:
a. Cree un nuevo grupo de recursos en Azure o use uno existente.
b. Cree una red virtual (VNET) o utilice una existente (esta VNET debe tener 2 subredes, una para AD DS y otra para Virtual Network Gateway). En el momento de crear la Virtual Network Gateway, creará su propia subred, por lo que crearemos solo una en este paso.
c. Cree una Virtual Network Gateway, que será el endpoint VPN del lado de Azure para su VNET. Es necesario para una VPN entre Azure y AWS.
Copie el rango de direcciones de subred desde esta Virtual Network Gateway, que se utilizará en el futuro.
Más información sobre el SKU (stock-keeping unit) de este servicio: https://docs.microsoft.com/pt-br/azure/vpn-gateway/vpn-gateway-about-vpngateways
Después de la creación, copie la información de IP pública de esta Virtual Network Gateway haciendo clic en el recurso y seleccionando la opción Propiedades, ya que la utilizaremos en la configuración del lado de AWS.
d. Ahora, en la consola de AWS, crearemos una VPC de Amazon con al menos dos subredes privadas, porque más adelante tendremos que crear AWS Managed Microsoft AD Multi-AZ. Puede crear un nuevo Amazon VPC siguiendo el tutorial de documentación o utilizando uno existente.
Importante: las direcciones IP deben ser diferentes del entorno de Azure ( CIDR ) y el Internet Gateway debe especificarse en la tabla de enrutamiento.
e. Para obtener un tutorial detallado sobre la creación de Amazon VPC Internet Gateway (IGW), acceda a la documentación a través de este enlace.
f. En nuestro escenario, el servidor que ejecutará Active Directory Migration Tool (ADMT) necesita conectividad con AWS. Si utiliza esta VPN para otros fines, para subredes públicas, cree una ruta al Internat gateway con 0.0.0.0/0 o utilice una puerta de NAT Gateway que dirija las rutas a su IGW.
g. Ahora utilizaremos la información recopilada en el paso C para crear un Customer Gateway y a continuación, un Virtual Network Gateway.
Después de crear el Customer Gateway, su estado debe ser “available”.
h. Para Virtual Private Gateway, agregaremos una ruta a Azure CIDR.
Después de crear el Virtual Private Gateway, su estado debe ser “detached”.
i. Asocie su Virtual Private Gateway con su Amazon VPC creado anteriormente.
Después de asociar, el estado de Virtual Private Gateway debe estar “attached”.
j. En la tabla de ruta de subred privada, cree la ruta para el Virtual Private Gateway con Azure VNET CIDR.
k. Ahora crearemos la conexión VPN S2S (Conexiones VPN de sitio a sitio) agregando Azure VNET a nuestro prefijo.
l. Informe al CIDR de Azure VNET .
Espere hasta que la VPN esté en estado “available”.
m. Seleccione la VPN y haga clic en descargar configuración (Genérica) para descargar el archivo de configuración del Virtual Private Gateway e información de la clave precompartida, que se agregará en los siguientes pasos.
n. Al descargar, tenga en cuenta la IP de Virtual Private Gateway para la sesión Direcciones IP externas.
Archivo de ejemplo con configuración VPN.
Sesión de direcciones IP externas.
Sesión #1: Configuración de intercambio de claves de Internet (clave previamente compartida):
o. De regreso al portal de Azure, crearemos una Local Network Gateway con la información obtenida en el paso N.
p. Todavia en Azure, en Virtual Network Gateway, seleccione la opción “Connections” y luego haga clic en “Add”. Complete la información con los datos recopilados en el entorno de AWS descargando la configuración de VPN en el paso N.
Después de unos minutos de creación, el estado debe aparecer como “Connected”.
q. Después de completar los pasos del lado de Azure, vuelva a la consola de AWS y compruebe que el estado del túnel es “UP”.
r. Para probar la comunicación entre redes, simplemente ejecute una máquina virtual en Azure, una instancia de EC2 en AWS, y realice una prueba de red en un puerto disponible en el firewall. Recuerde configurar las reglas de entrada en el grupo de seguridad de Amazon VPC asociado a la instancia de prueba de Amazon EC2 en el lado de AWS. Lo mismo se aplica a las reglas de firewall del lado de Azure, para la instancia entrante que utilizará para probar. En nuestro ejemplo, publicamos puertos TCP y UDP para Azure VNET CIDR; y en Azure Domain Controllers, publiqué puertos TCP y UDP para AWS VPC CIDR.
Inbound de AWS:
Salida de AWS:
Salida de Azure:
Nota: Dado que la arquitectura de AWS se encuentra en un entorno Multi-AZ, tenemos dos túneles proporcionados por IPSec . Estos túneles ayudarán en factores importantes de alta disponibilidad, pero hay otros factores que también deben tenerse en cuenta (VPN de Azure).
Ahora estamos listos para la Parte 2, “Uso de Azure Active Directory (AD) cuando su entorno se integra con los Servicios de dominio de Active Directory (AD) mediante la herramienta Azure AD Connect”.
Para acceder a la parte 2, haga clic
Este artículo fue traducido del Blog de AWS en Portugués
Sobre o autor
Caio Ribeiro Cesar es Arquitecto de Soluciones Especialista en Microsoft en AWS Brasil.
Revisor
Daniel Maldonado es Arquitecto de Soluciones en AWS México.