Kursüberblick

Das Active Directory ist immer noch DER Verzeichnisdienst, der weltweit am meisten genutzt wird. Trainings hierzu sind aufgrund der Cloud-Orientierung von Microsoft abgekündigt, aber nach wie vor essentiell wichtig für den Betrieb jeder Firma. Deswegen haben wir mit den besten Active-Directory-Trainern und Consultants diesen MasterClass-Workshop zusammengestellt.

In diesem Master-Class-Workshop erfahren Sie, wie Sie Active-Directory-Umgebungen implementieren, konfigurieren und betreiben. Der Kurs ist als DeepDive ausgelegt, was an den Inhalten zu erkennen ist. Es fließen die Erfahrungen von über 150+ Active-Directory-Konzepten ein, die der Trainer während seiner letzten 25 Jahren geschrieben hat – vom KMU bis zum Enterprise-Level mit 375.000 Benutzern. Wir versprechen: Unser Bestes KnowHow für Sie und Ihre tagtägliche Arbeit von unseren erfahrensten Trainern und Consultants.

Zielgruppe

Dieser Kurs wendet sich an (angehende) System-Administratoren, Consultants und Active Directory-Designer. Nach diesem Seminar werden Sie in der Lage sein, Active Directory zu designen, zu implementieren, zu betreuen und zu beraten.

Voraussetzungen

Mindestens 2 Jahre Erfahrung mit Microsoft Servern und Client-Systemen

Kursziel

In diesem Master-Class-Kurs wird das Thema Active Directory fokussiert.

Vom Einstieg, über die Geschichte bis hin zum Troubleshooting wird in diesem Kurs alles erlernt.

Die Umgebung wird durch jeden Teilnehmer live im Kurs eigenständig aufgebaut und läuft in einem hochsicheren Rechenzentrum in Helsinki auf eigener Hardware.

Sehr responsive Schulungsumgebungen gepaart mit den besten Trainern und Consultants, die es im Schengenraum gibt: DAS ist unsere MasterClass Active Directory

Das Active Directory bietet in Ihrem Unternehmen ein hohes potenzielles Ziel für Cyberangriffe, weshalb wir Ihnen mit diesem Training dabei helfen, diese Umgebung zu verstehen, zu pflegen und richtig zu administrieren.

Kursinhalte

Active Directory Überblick

• Active Diretory Strukturen: logisch (Forest, Domäne und Organisationseinheit) und physisch (Active Directory Standorte, Subnetze und Standortverbindungen)
• Multimaster-Replikation der AD-Datenbank
• Vertrauensstellungen (Trust-Relationship) inkl. PIM-Trust
• Nameskontexte der AD-Datenbank
• Active Directory Objekte und deren Attribute
• Distinguished Names und GUIDs
• sAMAccountName und userPrincipalName
• Betriebsmaster / Flexible single master oparations (FSMO) und globaler Katalogserver
• Produkthistorie von Active Directory 2000 bis zu Active Directory 2022 (was kam wann dazu)
• Active Directory Limitierungen
• Windows Admin Center (WAC) mit Active Directory Extension

Active Directory Administration

• Überblick über administrative Grenzen und Delegationsmöglichkeiten
• SACL / DACL – Berechtigungen im Active Directory und deren Vererbung
• Extended rights / property sets / validated writes
• Delegation von administrativen Aufgaben im Active Directory
• Implementieren einer ESAE-Struktur (Enhanded Security Administrative Environment)
• Fine grainted password policies (FGPP)
• Active Directory Überwachung

Powershell für Active Directory

• Powershell-Versionen
• Powershell-Grundlagen (Get-Help / Get-Command / Get-Member)
• Keyboard-Shortcuts für die Powershell
• Powershell-Variablen, -Aliase und -Pipelining
• Powershell-Profile
• Active Directory Web Services
• Powershell-Scripting für Active Directory

Active Directory Security Check und Health Check

• Secure Channel Check (unicodepwd / ntpwdhistory)
• Maßnahmen gegen golden Tickets und silver Tickets
• RC4-Verschlüsselung bei Kerberos sicher und zuverlässig abschalten
• Tiering-Modell implementieren nach ESAE
• „LAPS“für Domain Controller per eigenem Powershell-Skript
• Missbrauch von Systemprozessen unterbinden
• Korrektur der Default-Privilegien
• Active Directory „Clean-up“
• Active Directory Replikation prüfen (repadmin.exe / dcdiag.exe)
• Dokumentation der Ist-Umgebung

Active Directory Schemaerweiterung und Domainprep

• Aufbau des Active Directory Schema
• Schemaobjekte, Objektklassen und Attribute
• Vererbung im Active Directory Schema
• Object Identifier (OID)
• Regel für Struktur und Inhalt
• Schema-Master
• Korrekte manuelle Schemaerweiterung mit eigenen Attributen und Klassen
• Schemaerweiterung für Active Directory 2022
• Domainprep für Active Directory 2022

Domain Controller Locator

• Domain Controller Locator Typen
• Domain Controller stickyness prevention
• Nearest Domain Controller
• DNS-Priorität vs. DNS-Gewichtung der SRV-Einträge
• Default Site Coverage vs. Manuelle Standortabdeckung (Hub/Spoke)
• Einflussnahme auf den Locator Service (entlasten, unattraktiv gestalten und verstecken von Domain Controllern)
• Netlogon-Debugging – warum landet mein Domain Member bei diesem Domain Controller

Deployment von Active Directory Domain Controllern

• Installation der Rolle (GUI und Windows Powershell)
• Promoten eines Domain Controllers unter Windows Server 2022 per GUI und als Server Core
• Untersuchen der vier möglichen Transitionswege
• Transitionsweg 1: Substituierende Migration (neuer Name + gleiche IP)
• Transitionsweg 2: Substituierende Migration (neuer Name + neue IP)
• Transitionsweg 3: Ablösende Migration (gleicher Name + gleiche IP)
• Transitionsweg 4: Konsolidierende Migration (RODCs anstelle von RWDCs)

Read-Only Domain Controller (RODC)

• Einsatzgebiete eines RODC
• Password replication policy
• Credentials caching
• RODC filtered attribute set
• Installation eines RODC (GUI + Windows Powershell)
• Zuweisen eines RODC zum Tier 1
• Domain Join over RODC (djoin.exe)
• RODC als DC-Reverse-Proxy (Schutz der RWDCs)

Active Directory und das Domain Name System (DNS)

• Überblick über das Zusammenspiel von ADS und DNS
• DNS-Namespace, DNS-Server und DNS-Clients (Resolver)
• Installation der DNS-Rolle per GUI und Windows Powershell
• Verwalten von DNS-Zonen
• Replikation von AD-integrierten Zonen
• DNS-Alterung einrichten im Zusammenspiel mit DHCP
• Global Query Block List, Global Name Zones und Query Resolution Policies

Advanced Site Management

• Architektur der Replikation
• Replikationstopologie
• Knowledge consistency checker (KCC)
• nTDSDSA und invocationID
• Urgent replication und immediately replication
• Intra-Site Replication vs. Inter-Site Replication
• Verkürzen der Replikationslatenz Intra-Site und Inter-Site

LDAP-Query

• Einführung in das LDAP-Protokoll
• ADSI / Suchen im ADS via TCP 389 / TCP 636
• Searchflags / Systemflags / SchemaFlagsEx
• List Object Mode (LOM)
• Domain Controller LDAP-Query-Policy
• Active Directory Web Services Config
• Tracking LDAP-Searches on Domain Controllers
• Hardening LDAP Channel Binding

Replication Internals

• Replication Meta Data
• nTDSDSA-GUID vs. InvocationID
• Up-to-dateness-vector und High-Watermark
• Replikationskonflikte
• Linked Value Replication
• SYSVOL-Replikation

Active Directory Forest Functional Level 2016

• Bewegen der Betriebsmaster inkl. Betriebsmasterausfall
• Optimieren der DNS-Server
• Ablösen der letzten alten Domain Controller
• 2016 Domain Functional Level
• 2016 Forest Functional Level
• Privilege Access Management Feature einrichten und verwenden

Active Directory Backup und Restore

• Voraussetzungen für das Backup – Installation der Rolle per GUI und Windows Powershell
• Sicherungsarten für Active Directory
• Richtlinien zur Sicherung von Active Directory
• Latenzintervalle bei der Sicherung von Active Directory (täglich vs. 89 Tage)
• Planen, einrichten und verteilen der Scheduled-Tasks für die Sicherung von Active Directory mit der Windows Powershell
• Sichern des Active Directory
• Wiederherstellen des Active Directory (BMR)
• Restore-Internals
• Restore-Prozess, wenn die Sicherung älter als 60 Tage ist

Schulungsumgebung

In der Schulungsumgebung wird komplett mit Hyper-V gearbeitet. Für den proaktiven Aufbau der Schulungsumgebung nutzen wir ein Powershell-Skript, mit dem Sie in Sekunden neue virtuelle Maschinen erstellen können. Das Skript wurde von Ihrem Trainer eigenständig entwickelt und ermöglicht den Schulungsaufbau nach Wunsch des Kunden in extremer Schnelligkeit mit geringem Aufwand.

Hardware

Jedem Teilnehmer steht ein dedizierter Server in einem Rechenzentrum mit insgesamt 1 Gbit-Anschluss ins Internet zur Verfügung. Jeder Teilnehmer-Server ist folgendermaßen ausgestattet:

• 256 GB RAM
• mind. 40 vCores
• 2 NVME-SSDs mit mind. 3.000 MB/s schreibend und mind. 2.000 MB/s lesend
• 1 Gbit ins Internet Gesamt-Bandbreite

Ihr Trainer

Die Advanced Master Class wurde von Andy Wendel entwickelt und wird von ihm selbst und seinem erfahrenen Team durchgeführt.

Andy Wendel ist Senior Datacenter- und Cloud-Architekt sowie Certified Security Master Specialization Advanced Windows Security. Ausgebildet wurde und wird er von den international renommierten Sicherheitsexpert*innen Paula Januszkiewicz und Sami Laiho. Diese Zertifizierung wird jedes Jahr erneuert. Andy Wendel arbeitet seit Ende der 1990er Jahre als IT-Trainer und -Consultant und ist zudem zertifizierter Microsoft Learning Consultant (MCLC). Weltweit hat Microsoft nur 56 Certified Learning Consultants ausgezeichnet.