|
|
|
| Intensivkurs AdvADS |
Aktualisiert 12.12.2011 |
|
Advanced Administration ADS
Windows 2008 R2 SP1 / 2003
- inkl. Migration 2003 ADS -
|
|
SCHULUNGSZIEL
Dieser ziemlich komplexe Powerkurs gibt fortgeschrittenen Active Directory Administratoren einen sehr tiefen Einblick in die gesamte Forest-Verwaltung:
- Authentifizierung und Trusts (Kerberos, NTLM)
- Delegierung (ACL, Extended Rights, Property Sets)
- Finden des besten DCs (Netlogon, Domain Controller Locator, Site Coverage)
- DNS (Delegierung, Forwarding, Stub-Zones, Application Partitions, Global Query Block List, GlobalNameZones, Alterung)
- Replikation (High-Watermark, Up-To-Dateness Vector, USN, Change Notification, Urgent Password Replication)
- Schema (Class, Attribute, OID und Erweiterung )
- Windows 2008 ServerCore und RODC (Confidential Attributes, RODC Filter Set)
Die forestweite Delegierung administrativer Aufgaben haben i.d.R. mit Configuration-Objekten (Domain, DC, Sites, DHCP-Server etc...) zu tun. Enterprise
Administratoren müssen mit ACL, Vererbung sowie Extended Rights und Property Sets umgehen können.
Der NETLOGON und dahinter der Domänencontroller Locator Prozess von AD Clients in einem Forest mit mehreren Sites kann sehr komplex sein. Die automatische (Automatic
Site Coverage) bzw. gezielte Standortabdeckung der 2003 und 2008 DCs in einer Mixed-Umgebung mit 2008 RWDC und RODC sowie das Verhalten unterschiedlicher Clients
(XP, VISTA, 2003, 2008) beim Anmelden gilt es zu verstehen.
Die Authentifizierung im Forest mit Kerberos und evtl. NTLM ist recht komplex. Die Vergabe von TGTs (Ticket-Granting-Tickets) und Service Tickets sowie deren
Transportmechanismen (UDP, TCP) und Verschlüsselung wird unterrichtet --> Wir bieten auch einen 2-3 tägigen Spezial-Workshop zu diesem Thema an.
Mit ADSIEDIT und LDAP-Tools wie LDP kann ein beliebiges Objekt im Forest lokalisiert werden. Erweiterte LDAP-Controls
erlauben das Finden und Konfigurieren von Confidential-Attributen, RODC-Filter sowie Options für Site Links oder KCC bzw. ISTG. Auch gelöschte Objekte (Tombstones)
können mit Flags so konfiguriert werden, dass bestimmte Attribute erhalten bleiben und wiederhergestellt werden können. Der Aufbau des ADS Schemas sowie
die korrekte Schemaerweiterung mit registrierten OIDs ist ein weiterer Schwerpunkt des Kurses. LDAP-Policies schützen DC vor LDAP-Überbelastung und Angriff.
Im Advanced Administration Sites Modul werden mehrere AD Sites mit Site Links: RPC/IP oder SMTP verbunden. ForestDnsZones, DomainDnsZones, Conditional Forwarding
für Forward und Reverse Lookup Zonen sowie Stub-Zonen kommen zum Einsatz. Windows Server 2008 Domain Controller werden in verschiedenen Variationen im
Kurs eingesetzt: Server Core DC, RWDC (Read-Write) und RODC (Read-Only). Server Core als Domaincontroller bringt nicht nur Sicherheit, sondern braucht auch
weniger Ressourcen. RODC wird in "unsichere" AD Site platziert. Password Replication Policy (PRP) und RODC Filtered Attribut Set
(RODC FAS) sorgen dafür, dass Password-Hashes und andere "Confidential" Informationen NICHT zu einem RODC repliziert werden. Durch RODC wird die gesamte
Replikationstopologie von AD verändert, da auch "One Way" Replikation möglich ist.
Im Modul Replication (Internals) lernen wir wie Domain Controller die AD-Daten effektiv und konsistent miteinander replizieren. Objekt Meta-Daten sowie USN (Update Sequence
Number) werden durchleuchtet. Ziel-DC und Quell-DC nutzen Up-To-Dateness Vector und High-Watermark zur Replikationssteuerung.
Zum Kursinhalt gehört auch die Migration von 2003 in 2008 DC. Wenn die Domain im 2008 Modus ist, wird die SYSVOL-Replikation mit NtFRS zu DFSR migriert. Am Ende des
Kurses haben wir einen komplexen 2008 Forest mit unterschiedlichen 2008 DCs in mehreren Sites.
In diesem Kurs setzen wir auch SCOM 2007 (System Center Operations Manager) für die Überwachung ein. Als Mittel zum Zweck nutzen wir das "Know How" der
Microsoft AD Entwickler um Active überwachen.
Der Intensivkurs Advanced ADS baut auf dem erfolgreichen Intensivkurs ADS2008-R2 auf und wird u.a. durch folgende Kurse
ergänzt: PowerServer I und PowerServer II ergänzt.
Spezial-Workshop zum Thema Authentifizierung mit Kerberos bitte auf Anfrage.
Bemerkung: Dieser Kurs hat bei uns den 2. Rekord erreicht. Domain- und Enterprise Administratoren von ca. 650.000 Benutzern waren in einem Kurs zusammen.
Der 1. Rekord war in einem Advanced Exchange 2003 Kurs und lag bei ca. 850.000 Exchange Postfächern!
 |
|
| Mixed Forest 2003/2008 mit Server Core DC und Read Only Domain Controller (RODC) sowie SMTP-Site Link |
ZIELGRUPPE
Enterprise Administrator, Systemmanager, Netzwerkingenieure, Support-Ingenieure
KOMPLEXITÄTSGRAD
Sehr komplex (Stufe 5 von 5)
VORAUSSETZUNG
Mindestens 1 Jahr Erfahrung mit Active Directory bzw. sehr gute Kenntnisse in Windows 200x Netzwerk
TEILNEHMERURTEIL
Sie können sich durch die Teilnehmerurteile von unserer hohen Qualität überzeugen.
ZERTIFIKAT
Nach erfolgreicher Teilnahme erhalten die Kursteilnehmer ein Zertifikat von NT Systems.
DAUER - GEBÜHR - BUCHUNG
| Dauer: 5 Tage |
| Böblingen |
Vor-Ort-Schulung |
28.11. - 02.12.2011
27.02. - 02.03.2012
18.06. - 22.06.2012 |
Wegen der komplexen Hardwareausstattung wird dieser Kurs nur bei uns angeboten. |
|
| Preis: 3.150,- € zzgl. Mwst. |
inkl. Mittagessen (10,- € /Tag) |
|
|
INHALT
- Delegieren von Admin-Aufgaben im Forest
- AD-Berechtigung und Vererbung sowie Tools (ADSIEDIT, LDP, DSACLS).
- Referenzobjekt AdminSDHolder und der Prozess SDPROP (SD Propagator).
- Extended Rights und Property Sets sowie Security Descriptor.
- Delegieren zur Installation von Domänen (NTDSUTIL und CrossRef-Objekte)
- Delegieren zur Installation von Domänencontroller
- AD Quota.
- Extended Rights, Property Sets und Validated Writes
- Zusammenhang zwischen Extended Rights und den classSchema Objekten
- Zusammenhang zwischen Property Sets und den attributeSchema Objekten
- Arbeiten mit GUID Converter und LDP
|
 |
|
| Anlegen eines CrossRef-Objekts" |
|
 |
|
| Ermittlung des Property Set "Personal Information" mit LDAP |
- Netlogon und Domänencontroller-Locator
- Auffinden der Domänencontroller in der Gesamtstruktur; DNS- und NetBIOS-Locator.
- Vorgang bei einer Benutzeranmeldung und einem Computer-Neustart.
- Registrierte SRV-Einträge; Domänen-GUID und Dsa-GUID; Dynamische und Statische Site-Information (Client Site Cache)
- Automatische Standortabdeckung (Site Coverage).
- Optimierung durch gezielte Standortabdeckung.
- Steuern von Priority und Weight der SRV-Einträge.
- Troubleshooting NETLOGON
- Was können VISTA und 2008 besser?
|
 |
|
| SMB-Share IPC$ |
- Server Core (Windows 2008) als Domänencontroller
- Installation von Server Core
- Arbeiten mit WMI
- Remote Desktop und Remote Administration
- DCPROMO Unattended
|
 |
|
 |
|
| Server Core als DC |
- LDAP-Query
- Suchen von AD-Objekten und Attributen per LDAP-Browser; Filter und Suchbereiche; ClassSchema und AttributeSchema.
- Suchen nach gelöschten Objekten (Tombstones).
- Arbeiten mit LDAP Extended Controls
- systemFlags, Confidential Attributes
- Trace LDAP Searches (Windows 2008).
- Domänencontroller Default Query Policy; LDAP Query Parameter; Tuning der LDAP-Parameter.
|
 |
|
| LDAP-Trace eines 2008 DC |
- Application Partition
- Anlegen von Application Partitionen im ganzen Forest
- Eigene Replikationstopologie mit Application Partition
- Einsatz der Application Partition für z.B. DNS Reverse Lookup Zonen im Forest
- AD Replikation (Internals)
- Single- und Multi-Value Attribut; Linked-Value-Replikation (LVR)
- Forward (z.B. member) und Backward Links (z.B. memberOf)
- Replikation Meta-Daten
- 64-Bit USN; uSNCreated und uSNChanged; highestCommittedUSN
- Replication Request; High-Watermark und Up-To-Dateness Vector
|
 |
|
| Up-To-Dateness Vector der Domain-Partition |
|
 |
|
| HighestCommittedUSN (RootDSE) |
- Advanced Administration DNS
- DNS Root-Management _msdcs.<domain>; Delegation von Zonen; Sekundäre, Primäre, Active Directory Integrierte DNS.
- Umziehen der Active Directory Integrierte Zonen in ForestDnsZones bzw. DomainDnsZones.
- Alterung und Aufräumvorgang
- Global Query Block List
- GlobalNameZones (GNZ)
- Erweiterte Einstellungen von DNS-Server
- Zonensicherheit
- Monitoring & Diagnose DNS
|
 |
|
| 2008 DNS GlobalQueryBlockList |
- Kerberos Authentifizierung
- Kerberos SSP (Security Support Provider)
- Kerberos Transport UDP, TCP
- Kerberos TGT und Service Tickets
- Kerberos Privileges Attribute Certificate (PAC)
- Credential Cache
- Arbeiten mit Tools
- Trust Optimierung durch Cross-trust
- Kerberos Delegierung
|
 |
|
 |
|
| Kerberos Anmeldungsfehler - Evaluierung von Gruppentypen |
|
|
 |
- Projektarbeit - Umbau der Gesamtstruktur - Advanced Site Management
Gemeinsam wird die bestehende Struktur (1x Site und mehrere Domänen) in eine neue komplexere Struktur mit 4 Sites umgebaut.
- Fließender Umzug in 4 Sites und DNS-Umstellung im gesamten Forest.
- DNS-Delegierung für Forward und Reverse Lookup Zonen.
- DNS-Stubzones
- Nutzung der eigenen Replikationstopologie von Application Partition für DNS-Zones (kein Forest-, kein DomainDNSZones)
- Platzieren von DNS-Server und Global catalog Server
- Platzierung von Server Core und RODC in "unsichere" Site.
- Anpassen der Site Link Options: Kompression, Change Notification, Reziproke Replikation
- Intersite Topology Generator (ISTG)
- Migration SYSVOL-Replikation in DFSR
|
|
|
|
- Read Only Domain Controller (RODC)
- ADPREP /RODCPREP und Installieren von RODC in eine "unsichere" Site
- Delegierter Administrator für jeden RODC
- Konfigurieren von Password Replication Policy
- Password Cache Prepolulation
- Automatic Site Coverage in einer Mixed Umgebung 2003 und 2008 DC
- Authentifizierung mit einem RODC
- DNS und RODC
- Replikation von SYSVOL und AD mit einem RODC
|
 |
|
| Windows Server 2008 RODC und Kerberos Authentifizierung sowie DNS-Registrierung in einem Mixed AD Forest 2003/2008 |
- SMTP-Replikation (optional)
- Verbinden der ADS-Sites mit SMTP anstelle RPC over IP.
- Einsatz von Domänencontrollern in der DMZ.
- Einrichten von Zertifizierungsstelle für Domänencontroller-Zertifikat.
- Domänencontroller E-Mail Adresse ISM@xxxx und Publizieren von Zertifikat in AD.
- Verstehen und Erweitern ADS-Schema
- Schema-Betriebsmaster und Schema-Admins.
- Schema-Erweiterung mit neuen Objektklassen und Attributen; Erzeugen von OID.
- Schema-Erweiterung per Skripten und LDIFDE.
- Display Specifiers Management.
- Arbeiten mit Tools: AD Snapshot und Vergleich
- Monitoring AD und Domain Controller mit SCOM 2007(als Abschluß)
- Monitoring von 2003 / 2008 Domain Controller
- Unit, Aggregat und Dependency Monitor
- Health State und Health Service Watcher
- Alerts, Events, Warnings
- Performance
- Connection Objekte, Replication und Tolopogy View
- Empfehlungen für die Praxis.
|
 |
|
 |
|
| Überwachung von RODC mit SCOM 2007 SP1 |
|
|
|
|
| - Vertrauen Sie unserer Kompetenz - |
|
|
Tel +49 (0)
7031 23 09 32 - Fax +49 (0) 7031 2342 10
www.ntsystems.de