AWS MGN でオンプレミスのドメイン参加しているサーバーを AWS へ移行した際に SID は引き継がれるか教えてください

AWS MGN でオンプレミスのドメイン参加しているサーバーを AWS へ移行した際に SID は引き継がれるか教えてください

#AWS
#AWS Application Migration Service
#EC2 Windows Instance
片方 裕人

片方 裕人

facebook logohatena logotwitter logo
Clock Icon2024.12.20

この記事は アノテーション株式会社 AWS Technical Support Advent Calendar 2024 | Advent Calendar 2024 - Qiita 20日目の記事です。

困っていること

AWS MGN を利用して、オンプレミスのドメイン参加している Windows サーバーを AWS へ移行の検討中です。
AWS 環境へ移行した際に SID は引き継がれるか教えてください。

どう対応すればいいの?

AWS Application Migration Service でオンプレミスのドメイン環境から AWS へ移行をした際は、SID は変更されず、引き継がれます。
そのため、テスト/カットオーバーインスタンスにおいて移行元と同一の Active Directory 環境に参加する場合等は移行元サーバーとの SID の重複を考慮してください。

例えば、ドメイン参加しているサーバーの移行に際しましては、移行元サーバーが起動している状態で、テストインスタンス/カットオーバーインスタンスがドメインコントローラーとの通信を行わないよう考慮する必要がございます。
また、移行元サーバーを停止した状態でカットオーバーを実行した場合、カットオーバー時にスナップショットの取得ができないため、それまでに取得されたスナップショットを元にカットオーバーインスタンスが作成されます。
そのため、以下のような手順での対応が想定されます。

  1. セキュリティグループやネットワーク ACL などの設定により、一旦ドメインコントローラーと通信できないようにした上で、テスト/カットオーバーインスタンスを起動する。
  2. テスト/カットオーバーインスタンスの起動を確認した後で、移行元サーバーを停止するなどして、移行元サーバーとドメインコントローラーとの通信を遮断する。
  3. セキュリティグループやネットワーク ACL などの設定を修正し、テスト/カットオーバーインスタンスからドメインコントローラーと通信できるようにする。

また、移行元サーバーを停止できない状況(移行元サーバーとドメインコントローラーとの通信を遮断できない状況)が発生した場合は、テスト/カットオーバーインスタンスがドメインコントローラーとの通信ができない状態とで、Sysprep を実行いただくことをご検討ください。
EC2Launch による Sysprep を実行いただいた上で、ドメインコントローラーとの疎通を確保いただきドメイン再参加いただくことで SID が重複せず、エラーが発生しないことが想定されます。

https://docs.aws.amazon.com/ja_jp/mgn/latest/ug/General-Questions-FAQ.html#What-Active-Directory

There are two main approaches when it comes to migrating Active Directory or domain controllers from a disaster:

  1. Replicating the entire environment, including the AD server(s) – in this approach it is recommended to launch the test or cutover AD servers first, wait until it's up and running, and then launch the other test or cutover instances, to make sure the AD servers are ready to authenticate them.

  2. Leaving the AD server(s) in the source environment – in this approach, the test or cutover instances will communicate back to the AD server in the source environment and will take the source server's place in the AD automatically.
    In this case, it is important to conduct any tests using an isolated subnet in the AWS cloud, so to avoid having the test or cutover instances communicate into the source AD server outside of a cutover.

参考資料

Share this article

facebook logohatena logotwitter logo

関連記事

[S3] フォルダ内のオブジェクトをすべて削除したらフォルダごと削除された

[S3] フォルダ内のオブジェクトをすべて削除したらフォルダごと削除された

การเข้าร่วม Session "Amazon Linux AL2023 and Beyond" และฟังบรรยายเกี่ยวกับอนาคตของ Amazon Linux

การเข้าร่วม Session "Amazon Linux AL2023 and Beyond" และฟังบรรยายเกี่ยวกับอนาคตของ Amazon Linux

ECR のクロスアカウントアクセスで暗黙的な拒否が発生する場合はリソース名も確認しよう

ECR のクロスアカウントアクセスで暗黙的な拒否が発生する場合はリソース名も確認しよう

User avatar
hato
2024.12.20
Amazon S3 Tables を AWS Glue 用いてNamespaceとテーブルの作成、データ追加・削除までやってみた #AWSreInvent

Amazon S3 Tables を AWS Glue 用いてNamespaceとテーブルの作成、データ追加・削除までやってみた #AWSreInvent

User avatar
石川覚
2024.12.19
Classmethod's white logo
Facebook's logo
X's logo
YouTube's logo

© Classmethod, Inc. All rights reserved.