ADMT를 이용하여 IDC -> AWS AD Migration 구성

ADMT를 사용한 AD Migration 구성

1. Migration 계획

Active Directory의 온 프레미스에서  AWS Managed Microsoft AD로 사용자와 사용자의 암호, 그룹 및 컴퓨터 개체를 마이그레이션하는 방법

SQL Express와 ADMT를 실행하는 관리 인스턴스를 만들었고 포리스트 트러스트를 만들어 ADT를 사용하여 사용자를 이동하고 ADMT와 PES 도구를 구성한 다음 ADMT를 사용하여 마이그레이션을 수행함.

우리가 한 Migration은 간단한 수준이고 실제로 더 복잡한 도메인 또는 포리스트를 보유한 대규모 고객은 단일 OU 구조에 매핑하는데 

좀 더 복잡한 과정이 필요하다. 수행하려는 작업에 따라 ADMT의 옵션이 달라진다.

 

세부단계 1. 마이그레이션될 컴퓨터에 MySQL Express 를 설치해야한다. 원본 및 대상 AD 도메인 모두에 사용 권한이 있는 관리 계정이 필요하다.

  (트러스트 관계를 맺어서 각각의 도메인에 관리계정을 추가해준다.)

세부단계 2. 마이그레이션될 컴퓨터에 ADMT를 설치하고 소스 컴퓨터에서 PES를 실행한다. 

세부단계 3. ADMT를 사용하여 사용자와 컴퓨터를 마이그레이션 한다.

 

*유의 사항*

 

AWS Directory service에서 자체 제공되는 콘솔창은 없으니 Instance를 생성해서 RDP로 접속 후, 도메인 가입을 해야 한다. 

(도메인 가입은 인스턴스 생성시 옵션에서 고를 수도 있고, 수동으로 가입해도된다)

 

조건부 전달자를 입력해줘서 서로 조회할 수 있게 해주고 트러스트 관계를 맺는다

(VPN을 사용했기 때문에 VPN IP로 연결)

 

CMD 창에서 암호화 키를 생성해준다.

 

PES를 설치 후 암호 마이그레이션 DLL 설정 창에서 만들어둔 암호화 키를 입력 후, 서비스 시작을 해준다.

 

사용자 및 그룹 마이그레이션을 실행해서 Target 과 source 도메인을 명확히 인지하고 입력해야한다.

 

1-1. 계획 구성도

ADMT(Active Directory Migration Tool)을 사용하여 Forest Migration을 한다.

 

1-2. AD Migration 간 VPN 연결

안전한 데이터 전송을 위해 Untangle의 IpSec과 AWS의 관리형 VPN 서비스를 이용한 터널링을 통해 데이터를 전송했다.

 

2. AWS AD - On-premise AD Migration

2-1. AWS Active Directory 정보

 

3-2. AWS AD 관리 인스턴스 생성

관리형 인스턴스를 생성하는 이유

AWS Active Directory Service에서 제공하는 AD는 관리형 서비스로 Web콘솔로 제어가 된다. Web콘솔에서는 따로 Migration에 관한 항목들이 없기 때문에 제어할 수 없다. 그렇기 때문에 EC2 자체 관리형 인스턴스로 원격 접속하여 Migration 한다.

 

1단계 - EC2 인스턴스 생성 

생성시 만들어둔 AWS AD Service에 가입해준다.

SSM을 사용해 자동으로 도메인에 인스턴스를 가입시킬 수 있다. IAM 역할을 SSM정책이 연결 되어있는 IAM 역할로 선택해준다.

 

2단계 - EC2 인스턴스 보안그룹 설정

RDS Service를 이용하여 원격접속해주기 위한 보안 그룹을 설정해준다. 

 

3단계 - EC2 인스턴스 원격 접속

AWS Active Directory에 admin 계정으로 접속한다.

 

3-3. AWS AD - On-premise AD간의 Trust 관계 형성

AWS DNS 조건 전달부 설정-------------------------------------On-premise 조건 전달부 설정

서로 다른 AD Domain 사이에 Trust 관계를 형성하려면 조회가 양방향으로 AD 조회가 가능해야 한다.

AWS AD - On-premise AD 의 DNS 조건부 전달자에 서로의 DNS를 추가해준다.

서로의 AD Domain 조회 확인

 

3-4. ADMT(AD Migration Tool)을 활용하여 사용자 계정 Migration

1단계 - ADMT를 사용하기 위해서 AWS - Onpremise AD 간 권한을 설정

서로의 Domain Admins 계정을 추가한다.

 

2단계 - ADMT 설치

ADMT는 Source Domain에서 Target Domain으로 AD 자원을 복제하는 기능을 제공한다. ADMT를 사용하기 위해선 SQLExpress로 내부 Database를 구축해야 한다. ADMT 설치 후 마이그레이션 시 Password 마이그레이션을 위해 ADMT Password Migration DLL을 설치해 주어야 한다. ADMT는 On-premise AD의 DC에 설치한다..

 

* ADMT 설치시 유의사항 *

ADMT 설치시 사용 데이터베이스를 SQLExpress로 입력한다.

 

* ADMT Password Migration DLL 설치시 유의 사항 *

admt key 명령어를 이용하여 암호키를 생성해야한다.

 

3단계 - ADMT 실행

ADMT를 켜서 User Account Migration Wizard를 실행 시켜준다.

Source의 Domain은 onpremise AD의 Domain으로 넣어주고 Target의 Domain은 AWS AD의 Domain으로 넣어준다.

 

마이그레이션할 사용자를 선택해주고 마이그레이션을 진행한다.

 

 

 

마이그레이션 될 계정이 Target DC에서 어떤 OU에 위치할지 선택한다.

접근 권한이 있는 OU는 netbios\이므로 netbios\Users OU를 선택한다.

 

Password migration source DC의 설정은 Target의 Domain으로 설정해준다.

 

설정을 확인해주고 마이그레이션을 진행 해준다.

 

4. 결과

마이그레이션이 됬음을 확인한다.