Active Directory 2012 - Dynamic Access Control (DAC)

Intensivkurs ADS2016

Aufbau & Management von Windows 2016 (2012 R2) Active Directory

- Transition von 2008 R2 & 2012 R2 AD - AD Health Check - LDAP Query - Site Management - Schema Erweiterung - Kerberos Sicherheitslücken - Hybrid AD -

Beginnend mit diesem neu konzipierten AD 2016 Kurs werden wir den Fokus nicht nur auf den Betrieb von AD richten, sondern verstärkt darauf achten, wie die Sicherheit von  AD  erhöht werden kann. Dieser AD2016 Kurs bildet die Grundlage für den neuen ASAI Kurs, der nur mit der AD Sicherheit nach dem MS ESAE Sicherheitsmodell befasst.
ASAI (4 Tage) Advanced Security AD Infrastructure (März/April 2017) - Bastion Forest, Account Forest, Resource Forest, MIM/PAM, PAW (Privileged Access Workstation)

ZIELGRUPPE
Dieses Seminar richtet sich an Systemmanager, Netzwerkmanager und Support-Ingenieure.
Für IT-Projektmanager mit fundiertem Fachwissen ist dieser Kurs auch zu empfehlen.

NIVEAU
★★★★☆ — ziemlich anspruchsvoll

DAUER
5 Tage

ORT
NT Systems Schulungszentrum Böblingen (Karte)

TERMINE

11.12. - 15.12.2017 noch Plätze frei
29.01. - 02.02.2018 noch Plätze frei
19.03. - 23.03.2018 noch Plätze frei
04.06. - 08.06.2018 noch Plätze frei

Zur Anmeldung

PREIS
3.450,- € zzgl. Mwst. – inkl. Mittagessen 14,- € / Tag

MINDEST-TEILNEHMERZAHL
Das Seminar findet ab einer Mindestzahl von drei Teilnehmern garantiert statt.

SCHULUNGSZEITEN
Am ersten Tag 10:00 - 17:30 Uhr
An Folgetagen 09:00 - 17:30 Uhr
Am letzten Tag (Freitag) 09:00 - 13:00 Uhr

ZERTIFIKAT
Nach erfolgreicher Teilnahme erhalten die Kursteilnehmer ein Zertifikat von NT Systems.


AUSFÜHRLICHE INFORMATIONEN

Im Folgenden finden besonders interessierte Leser ausführliche Informationen zu den im Kurs behandelten Themen.

Die Themen des neuen ADS 2016 Kurses sind wie folgt:

In diesem Kurs stehen der Aufbau eines 2016 AD Forests und die Migration von älteren Versionen (2012 R2/2008 R2) sowie die Verwaltung von Active Directory im Vordergrund.

Die aktuellen Sicherheitslücken von Kerberos und die dadurch entstandenen Gefahren durch Golden Ticket / Silver Ticket zwingen alle Administratoren dazu umzudenken und die neuen Sicherheitsfeatures von AD 2016 wie Bastion Forest, Privileged Access Management (PAM), Timebased Group Membership etc. einzusetzen. Clientseitig tragen neue Sicherheitsmassnahmen von Windows 10 Enterprise wie Virtualized Based Security mit Credential Guard und Device Guard massiv dazu bei, den unerlaubten Zugang zu den "Credentials" zu unterbinden. Um aber diese Sicherheitslücken von Kerberos in AD zu erkennen, zeigen wir im Kurs wie schnell ein Hacker Kerberos Golden Ticket und Silver Ticket mit falscher Identität erzeugen kann. Diese Sicherheitslücken können im Moment nur durch den Einsatz von neuen Windows 10 Enterprise und Windows Server 2016 Features wie Credential Guard, Shielded VMs, Host Guardian Services und Sicherheitsmassnahmen wie ESAE (Enhance Security Administration Environment) , PAW (Privileged Access Workstation) weitgehend verhindert werden. Die Realisierung dieser Sicherheitsmassnahmen erfordert viel Know How und Zeit, die wir ab 2. Quartal 2017 in folgenden 5-Tage Kurs anbieten werden:

» ASAI (Advanced Security AD Infrastructure) - Aufbau von Bastion Forest nach dem ESAE Modell (Tier 0, 1,2) und PAW (Privileged Access Workstation)

Oft wird immer noch massiv mit NTLM authentifiziert, wenn die Applikationen Kerberos nicht unterstützen oder nicht dafür konfiguriert sind (Exchange, SharePoint etc.). Die NTLM Authentifizierung belastet die DCs stark, weil NTLM und auch die Kerberos PAC Validation via NETLOGON den Secure Channel nutzen. Wir lernen im Kurs wie diese Belastung gemessen und gemindert werden kann.

Auch wenn das Thema Cloud bei vielen Firmen noch nicht aktuell ist, müssen "moderne" Administratoren jetzt auch lernen, wie ihr lokales On-Premise Active Directory beim Bedarf in Richtung Cloud Azure AD erweitert werden kann. In diesem Kurs zeigen wir, wie so eine Hybrid Cloud mit virtuellen DC und Fileserver (mit File Share Witness für einen Failover Cluster) in der Azure Cloud via Site-To-Site VPN Gateways durch die IPSec Tunnel aufgebaut werden kann.

Nach diesem Kurs sollten die Teilnehmer in der Lage sein, sowohl ein 2012 R2 AD als auch 2016 AD Forest verwalten zu können. Sie sind auch sensibilisiert auf die Sicherheitslücken von AD und sind nach dem Besuch weiterer Kurse ASAI und PAW in der Lage ihre AD Infrastrukru sicher zu gestalten.

Damit die vielen anschließenden Praxisübungen effizient abgewickelt werden können, ist gleich vorweg ein Kernmodul die Windows Powershell. Die Windows Powershell wird im Kurs in der Version 5.1 eingesetzt, um auch größere Strukturen programmatisch administrieren zu können.

Anhand des bestehenden Forests wird zuerst die Grundlage vermittelt und aufgefrischt. Dazu gehören die Aufgaben von Global Catalog Server, der 5x FSMO (Flexible Single Master Operation) im Forest, der Replikation von SYSVOL innerhalb der Domäne und DC-Replikation zwischen den verschiedenen AD Sites. Dabei wird versucht, wenn es möglich ist, immer PowerShell einzusetzen. Die Verwaltung von ADS 2012 R2 und 2016 hat weniger den Fokus auf dem Tagesgeschäft (Benutzer, Computer und Gruppen zu verwalten), sondern geht in die Tiefe des Verzeichnisdienstes. Sie lernen, welche Berechtigungen es im ADS gibt und wie man diese beeinflussen kann. Neben den Berechtigungen gilt es auch zu studieren, wie man effizient den Verzeichnisdienst per LDAP befragen kann, wie man eigene Abfragerichtlinien etabliert und - natürlich - prüft: Wer fragt meine DCs was und wie viel CPU-Zeit kostet das. Spezielle LDAP-Suche nach Objekten und Attributen wie z.B. Bitwise AND/OR , SearchFlags, systemFlags etc. werden praktiziert. Auch die sog. LDAP Query Policy kann die Performance und Sicherheit der DC beeinflussen. Mit dem LOM (List Object Mode) ist es möglich, AD-Objekte vor LDAP-Abfrage zu verstecken, sodass nur autorisierte Personen diese finden können.

Die Abrundung findet dieser Abschnitt mit den Replication Internals: Wie replizieren DCs und welche Einflussfaktoren gibt es dazu (insbesondere virtuelle DCs). Wenn das On-Premise AD später in Richtung Azure Cloud erweitert wird, muss die Replikation mit der Azure Site via VPN Gateway (IPSec) auch gut funktionieren.

Bevor die Migration auf neue DCs mit dem Betriebssystem 2016 (derzeit TP5) beginnen kann, müssen Vorkehrungen getroffen werden. Dazu gehört unter anderem das Verständnis für den Domain Controller Locator Prozess (wie finden Memberserver und -workstations einen Domain Controller). Ebenso sollte der Domain Functional Level (DFL) vor der Migration angehoben werden und die SYSVOL-Replikation auf DFS-R umgestellt werden. Abgeschlossen wird der zweite Block durch etwas Aufräumen im Verzeichnisdienst und dem Optimieren und Schützen des DNS-Dienstes zur Vorbereitung der Migration. Um die Installation von Server 2016 einzuleiten, müssen Veränderungen am Active Directory Schema und an den jeweiligen Domain Partition vorgenommen werden. Die Problematik liegt hierbei in der irreversiblen Veränderung (vgl. Schemaerweiterung) und in der Umkehrbarkeit des Domain Preps.

Bevor wir in Richtung Azure Cloud wandern, werden zum Abschluß der Transition die älteren DCs noch auf 2008 R2 oder 2012 R2 herabgestuft. Danach können, wenn gewünscht, die Domänen und dann der Gesamtforest auf das 2016 Functional Level (Domain und Forest) heraufgestuft werden. Wir gehen aber davon aus, dass die Zusammenarbeit von 2012 R2 und 2016 DC bei den Firmen noch einige Jahre dauern wird.

Active Directory Hybrid ist die Erweiterung vom lokalen bzw. On-Premise AD in Richtung Azure AD. Wir zeigen im Kurs, wie das Ganze aufgebaut werden kann. Zuerst wird eine Azure Subscription benötigt, um Azure Ressourcen nutzen zu können. Wir praktizieren im Kurs einen 2016 Failover Cluster, welcher sich in der Regel bei den Firmen auf zwei Data Center erstreckt. Das Quorum (Mehrheit) verlangt aber für die 100% Hochverfügbarkeit einen dritten Standort, um einen Witness zu platzieren. Ein 2016 Failover Cluster kann sich mit einem "einfachen" Cloud Witness in der Cloud begnügen. Ein 2012 R2 Cluster braucht dagegen einen File Share Witness, der als Freigabe auf einem virtuellem File Server oder File Server Cluster in der Azure Cloud liegt. In diesem Fall wird auch ein DC benötigt, der in der Azure Site via IPSec und Site-To-Site VPN Gateways mit den On-Premise DCs kommuniziert. Bevor der File Server und sein DC erstellt werden können, müssen vorher Virtual Subnets und DNS eingerichtet werden. Optional kann der gesamte Hybrid Cluster mit SCOM überwacht werden.

Hinweis: Bitte bringen Sie zum Kurs Ihre Evaluation DVD oder ISO mit der gewünschten Sprachversion mit. Wir dürfen keine Volume License für Kurse nutzen!

Zum Seitenanfang

- Vertrauen Sie unserer Kompetenz -