我有一个小型本地 AD 环境,包含两个 Windows Server 2012 域控制器。它们运行 AD、DNS、DHCP、GP 等。
我想将其迁移到 AWS Managed Microsoft AD。
我读过的所有文章都表明两个 AD 环境需要位于不同的域中,并且您必须使用迁移工具,然后将所有用户 PC 重新添加到这个新域。
理想情况下我想做以下事情:
- 在与我的本地 AD 相同的域中配置 AWS Managed AD
- 将 AWS AD 服务器作为本地域的一部分,并将其提升为域控制器
- 所有用户开始使用 AWS AD 服务器
- 降级并拆除旧的本地 AD 服务器
这可能吗,还是我很愚蠢?
答案1
简短的回答是“不”。需要注意的一点是,AWS 中的托管 AD 具有特定的用例,并不意味着要替代您本地的 AD: https://docs.aws.amazon.com/directoryservice/latest/admin-guide/ms_ad_use_cases.html
您不能只进入托管 AD 并开始提升 DC 并扩展模式 - 您将没有这些权限。事实上,这就是它由 AWS 管理的原因,并且您有一个委托的特权帐户,您可以使用该帐户进行权限有限的工作。
我建议在 AWS 中设置托管 AD 并进行自我定位,这样您就会很快意识到您不能做什么和可以做什么。我的客户主要使用它在本地 AD 上创建单向信任,以便为工作区和其他服务(如 RDS)提供 SSO。
答案2
是的,我们有这样的配置。EC2 上的 DC 并通过 S2SVPN 连接到本地。只要您有稳定且有弹性的互联网连接,就没有问题。否则您会遇到问题。我们有 2 条租用线路,分别为主线路和备用线路。