온프레미스의 AD를 같은 도메인 이름으로 AWS Managed AD로 마이그레션 하는 방법 소개 #2

#2에서는 ADMT를 활용하여 사용자 계정정보(패스워드)를 이관하는 방법을 소개하고 마이그레이션 AD와 AWS Managed AD간에 트러스트 맺는 방법을 소개하려고 합니다.

1. ADMT를 활용하여 사용자 계정 정보를 이관하는 방법입니다.

   1.1 시작(윈도우) 아이콘을 누른 후 Active Directory Migration Tool 을 실행합니다.

   

   1.2 Active Directory Migration Tool을 우클릭 후 User Account Migration Wizard 를 클릭합니다.

   

   1.3 Next를 눌러 마이그레이션 을 시작합니다.

   

   1.4 Source Domain에 aws.d.com 정보와 도메인 컨트롤러를 기입하고 Target Domain에 Test.migration.com과 도메인 컨트롤러 정보를 기입합니다.

   

   1.5 Select users from domain 을 선택합니다.

   

   1.6 마이그레이션 할 계정을 선택합니다.

   

   1.7 마이그레이션이 될 OU를 선택합니다.

   

   1.8 OU정보가 맞는지 확인합니다.

   

   1.9 Migrate Password 옵션을 선택하여 패스워드까지 마이그레이션합니다.

   

   1.10 Target same as source를 선택합니다. Migrate user SIDs to target domain 을 선택 시 User 의 SID까지 마이그레이션 가능합니다. 다만 이후 AWS Managed AD로는 권한 문제로 마이그레이션 할수 없습니다.

   

   1.11 Yes를 누르고 진행합니다.

   

   1.12 Yes를 누르고 진행합니다.

   

   1.13 소스 도메인의 관리자 계정의 ID와 패스워드를 입력합니다.

   

   1.14 Update user rights 와 Fix Users'group memberships를 선택합니다.

   

   1.15 Next 를 눌러 진행합니다.

   

   1.6 Do not migrate source object ~ 를 선택합니다.

   

   1.17 Finsh를 눌러 마이그레이션을 종료합니다.

   

   1.18 진행과정을 모니터링합니다.

   

   1.19 마이그레이션 과정 중 Error가 발생 시 View Log를 보고 에러발생원인을 추적합니다.

   

2. Test.migration.com 에서 이전에 선택한 OU에 마이그레이션이 잘 진행되었는지 확인합니다. 이후 User 정보를 확인 시 처음 로그온 시 패스워드 변경으로 옵션이 체크가 되어있음을 알수 있습니다. 아래의 명령어로 해당 옵션을 해제합니다. 관련된 상세 정보는 [+] 문서를 참고하시기 바랍니다.

DSQuery user “OU=Migration,DC=test,DC=migration,DC=com” –scope subtree -limit 0 | DSMod User –mustchpwd no 

[+]https://techcommunity.microsoft.com/blog/askds/migrated-users-get-prompted-to-change-password-at-first-logon-even-after-migrati/397710

그리고 Test.migration.com에도 ADMT를 설치하기 위하여 SQL EXPRESS를 설치해야 합니다. #1문서를 참조하여 SQL EXPRESS와 ADMT를 설치합니다.

3. Test.migration.com AD와 AWS Directory Service의 Managed AD 간에 트러스트를 맺기 위해 DNS Manager를 각각 실행합니다.

   3.1 Test.migration.com AD에서 DNS Manager를 실행합니다. 그후 조건부 전달자 또는 전달자에 의 AWS Directory Service의 Managed AD의 IP를 입력합니다.

4. Test.migration.com AD와 AWS Directory Service의 Managed AD 간에 트러스트 맺기

   4.1 Test.migration.com AD에서 Domain.msc를 실행 한후 새로운 트러스트를 구성합니다. aws.d.com 을 입력한 뒤 Next를 누릅니다.

   

   4.2 External trust를 선택합니다.

   

   4.3 Two-way 방식을 선택합니다.

   

   4.4 This domain only 방식을 선택합니다.

   

   4.5 Domain-wide authentication 를 선택합니다.

   

   4.6 트러스트 패스워드를 입력합니다.

   

   4.7 No, do not confirm the outgoing trust를 선택합니다.

   

   4.8 No, do not confirm the incoming trust를 선택합니다.

   

   4.9 AWS.d.com(AWS Managed AD)에서는 domain.msc 를 통해 트러스트를 맺을수 없습니다. 이는 도메인 관리자 권한을 사용자에게 부여하지 않기때문입니다. 따라서 AWS콘솔에서 디렉토리 서비스로 이동 한뒤 해당 디렉토리 서비스를 선택하여 트러스트를 맺을 수 있습니다. 보다 자세한 내용은 [+] 문서를 참고하시기 바랍니다. [+]https://docs.aws.amazon.com/directoryservice/latest/admin-guide/ms_ad_tutorial_setup_trust.html

   신뢰관계에서 신뢰관계 추가를 선택합니다.

   

   4.10 신뢰 관게 정보 에서 외부신뢰를 선택하고 test.migration.com 과 트러스트패스워드 정보를 입력합니다.

   

   4.11 신뢰방향은 양방향을 선택하고 test.migration.com의 IP를 조건부 전달자 IP로 넣어줍니다.

   

   4.12 신뢰 관계가 제대로 생성되는지 확인합니다.

   

5. 사용자 계정의 패스워드를 마이그레이션 하기 위해 PES를 설치합니다.
   설치 파일은 https://www.microsoft.com/en-us/download/details.aspx?id=1838 에서 다운로드 가능합니다.

   5.1 아래의 명령어를 CMD창에서 입력 후 .pes파일이 생성되는지 확인합니다. admt key /opt:create /sd:"test.migration.com" /keyfile:"C:\source.pes" /keypassword: 패스워드

   

   5.2 #1과 동일하게 PES를 설치하기 위해 Next를 누릅니다.

   

   5.3 Install 을 누른 뒤 정상적으로 설치가 되었는지 확인합니다.

   

트러스트를 맺은 후 #1에서와 같이 각각의 관리자를 Administrators에 넣어줘야 합니다. 다만 Managed AD에서는 admin계정을 사용하므로 해당 계정을 test.migration.com의 Administrators에 넣어주고 Managed AD에는 AWS Delegated Administrators에 test.migration.com의 관리자 계정을 넣어주시기 바랍니다.

#2에서는 ADMT를 활용하여 사용자 계정정보(패스워드)를 이관하는 방법과 마이그레이션 AD와 AWS Managed AD간에 트러스트 맺는 방법을 소개해 드렸습니다.

#3에서는 마이그레이션 AD에서 AWS Managed AD로 사용자 계정정보(패스워드)를 이관하는 방법을 소개해 드리겠습니다