Master Class: Active Directory Deep Dive – Installation, Konfiguration und Betrieb (SADDD-L0) Online

Kursinhalt

• Active Directory Überblick
• Active Directory Administration
• Powershell für Active Directory
• Active Directory Security Check und Health Check
• Active Directory Schemaerweiterung und Domainprep
• Domain Controller Locator
• Deployment von Active Directory Domain Controllern
• Read-Only Domain Controller (RODC)
• Active Directory und das Domain Name System (DNS)
• Advanced Site Management
• LDAP-Query
• Replication Internals
• Active Directory Forest Functional Level 2016
• Active Directory Backup und Restore

Schulungsumgebung:

In der Schulungsumgebung wird komplett mit Hyper-V gearbeitet. Für den proaktiven Aufbau der Schulungsumgebung nutzen wir ein Powershell-Skript, mit dem Sie in Sekunden neue virtuelle Maschinen erstellen können. Das Skript wurde von Ihrem Trainer eigenständig entwickelt und ermöglicht den Schulungsaufbau nach Wunsch des Kunden in extremer Schnelligkeit mit geringem Aufwand.

Hardware:

Jedem Teilnehmer steht ein dedizierter Server in einem Rechenzentrum mit insgesamt 1 Gbit-Anschluss ins Internet zur Verfügung. Jeder Teilnehmer-Server ist folgendermaßen ausgestattet:

• 256 GB RAM
• mind. 40 vCores
• 2 NVME-SSDs mit mind. 3.000 MB/s schreibend und mind. 2.000 MB/s lesend
• 1 Gbit ins Internet Gesamt-Bandbreite

Über die Master Class:

Die Advanced Master Class wurde von Andy Wendel entwickelt. Sie wird von ihm selbst oder von erfahrenen, von ihm autorisierten Trainer*innen durchgeführt.

Andy Wendel ist Senior Datacenter- und Cloud-Architekt sowie Certified Security Master Specialization Advanced Windows Security. Ausgebildet wurde und wird er von den international renommierten Sicherheitsexpert*innen Paula Januszkiewicz und Sami Laiho. Diese Zertifizierung wird jedes Jahr erneuert. Andy Wendel arbeitet seit Ende der 1990er Jahre als IT-Trainer und -Consultant und ist zudem zertifizierter Microsoft Learning Consultant (MCLC). Weltweit hat Microsoft nur 56 Certified Learning Consultants ausgezeichnet.

Voraussetzungen

Mindestens 2 Jahre Erfahrung mit Microsoft Servern und Client-Systemen

Zielgruppe

Dieser Kurs wendet sich an (angehende) System-Administratoren, Consultants und Active Directory-Designer. Nach diesem Seminar werden Sie in der Lage sein, Active Directory zu designen, zu implementieren, zu betreuen und zu beraten.

Detaillierter Kursinhalt

Active Directory Überblick

• Active Diretory Strukturen: logisch (Forest, Domäne und Organisationseinheit) und physisch (Active Directory Standorte, Subnetze und Standortverbindungen)
• Multimaster-Replikation der AD-Datenbank
• Vertrauensstellungen (Trust-Relationship) inkl. PIM-Trust
• Nameskontexte der AD-Datenbank
• Active Directory Objekte und deren Attribute
• Distinguished Names und GUIDs
• sAMAccountName und userPrincipalName
• Betriebsmaster / Flexible single master oparations (FSMO) und globaler Katalogserver
• Produkthistorie von Active Directory 2000 bis zu Active Directory 2022 (was kam wann dazu)
• Active Directory Limitierungen
• Windows Admin Center (WAC) mit Active Directory Extension

Active Directory Administration

• Überblick über administrative Grenzen und Delegationsmöglichkeiten
• SACL / DACL – Berechtigungen im Active Directory und deren Vererbung
• Extended rights / property sets / validated writes
• Delegation von administrativen Aufgaben im Active Directory
• Implementieren einer ESAE-Struktur (Enhanded Security Administrative Environment)
• Fine grainted password policies (FGPP)
• Active Directory Überwachung

Powershell für Active Directory

• Powershell-Versionen
• Powershell-Grundlagen (Get-Help / Get-Command / Get-Member)
• Keyboard-Shortcuts für die Powershell
• Powershell-Variablen, -Aliase und -Pipelining
• Powershell-Profile
• Active Directory Web Services
• Powershell-Scripting für Active Directory

Active Directory Security Check und Health Check

• Secure Channel Check (unicodepwd / ntpwdhistory)
• Maßnahmen gegen golden Tickets und silver Tickets
• RC4-Verschlüsselung bei Kerberos sicher und zuverlässig abschalten
• Tiering-Modell implementieren nach ESAE
• „LAPS“für Domain Controller per eigenem Powershell-Skript
• Missbrauch von Systemprozessen unterbinden
• Korrektur der Default-Privilegien
• Active Directory „Clean-up“
• Active Directory Replikation prüfen (repadmin.exe / dcdiag.exe)
• Dokumentation der Ist-Umgebung

Active Directory Schemaerweiterung und Domainprep

• Aufbau des Active Directory Schema
• Schemaobjekte, Objektklassen und Attribute
• Vererbung im Active Directory Schema
• Object Identifier (OID)
• Regel für Struktur und Inhalt
• Schema-Master
• Korrekte manuelle Schemaerweiterung mit eigenen Attributen und Klassen
• Schemaerweiterung für Active Directory 2022
• Domainprep für Active Directory 2022

Domain Controller Locator

• Domain Controller Locator Typen
• Domain Controller stickyness prevention
• Nearest Domain Controller
• DNS-Priorität vs. DNS-Gewichtung der SRV-Einträge
• Default Site Coverage vs. Manuelle Standortabdeckung (Hub/Spoke)
• Einflussnahme auf den Locator Service (entlasten, unattraktiv gestalten und verstecken von Domain Controllern)
• Netlogon-Debugging – warum landet mein Domain Member bei diesem Domain Controller

Deployment von Active Directory Domain Controllern

• Installation der Rolle (GUI und Windows Powershell)
• Promoten eines Domain Controllers unter Windows Server 2022 per GUI und als Server Core
• Untersuchen der vier möglichen Transitionswege
• Transitionsweg 1: Substituierende Migration (neuer Name + gleiche IP)
• Transitionsweg 2: Substituierende Migration (neuer Name + neue IP)
• Transitionsweg 3: Ablösende Migration (gleicher Name + gleiche IP)
• Transitionsweg 4: Konsolidierende Migration (RODCs anstelle von RWDCs)

Read-Only Domain Controller (RODC)

• Einsatzgebiete eines RODC
• Password replication policy
• Credentials caching
• RODC filtered attribute set
• Installation eines RODC (GUI + Windows Powershell)
• Zuweisen eines RODC zum Tier 1
• Domain Join over RODC (djoin.exe)
• RODC als DC-Reverse-Proxy (Schutz der RWDCs)

Active Directory und das Domain Name System (DNS)

• Überblick über das Zusammenspiel von ADS und DNS
• DNS-Namespace, DNS-Server und DNS-Clients (Resolver)
• Installation der DNS-Rolle per GUI und Windows Powershell
• Verwalten von DNS-Zonen
• Replikation von AD-integrierten Zonen
• DNS-Alterung einrichten im Zusammenspiel mit DHCP
• Global Query Block List, Global Name Zones und Query Resolution Policies

Advanced Site Management

• Architektur der Replikation
• Replikationstopologie
• Knowledge consistency checker (KCC)
• nTDSDSA und invocationID
• Urgent replication und immediately replication
• Intra-Site Replication vs. Inter-Site Replication
• Verkürzen der Replikationslatenz Intra-Site und Inter-Site

LDAP-Query

• Einführung in das LDAP-Protokoll
• ADSI / Suchen im ADS via TCP 389 / TCP 636
• Searchflags / Systemflags / SchemaFlagsEx
• List Object Mode (LOM)
• Domain Controller LDAP-Query-Policy
• Active Directory Web Services Config
• Tracking LDAP-Searches on Domain Controllers
• Hardening LDAP Channel Binding

Replication Internals

• Replication Meta Data
• nTDSDSA-GUID vs. InvocationID
• Up-to-dateness-vector und High-Watermark
• Replikationskonflikte
• Linked Value Replication
• SYSVOL-Replikation

Active Directory Forest Functional Level 2016

• Bewegen der Betriebsmaster inkl. Betriebsmasterausfall
• Optimieren der DNS-Server
• Ablösen der letzten alten Domain Controller
• 2016 Domain Functional Level
• 2016 Forest Functional Level
• Privilege Access Management Feature einrichten und verwenden

Active Directory Backup und Restore

• Voraussetzungen für das Backup – Installation der Rolle per GUI und Windows Powershell
• Sicherungsarten für Active Directory
• Richtlinien zur Sicherung von Active Directory
• Latenzintervalle bei der Sicherung von Active Directory (täglich vs. 89 Tage)
• Planen, einrichten und verteilen der Scheduled-Tasks für die Sicherung von Active Directory mit der Windows Powershell
• Sichern des Active Directory
• Wiederherstellen des Active Directory (BMR)
• Restore-Internals
• Restore-Prozess, wenn die Sicherung älter als 60 Tage ist
• Fragen der Teilnehmer