Active Directory 2012 - Dynamic Access Control (DAC)

Intensivkurs ADS2016

Aufbau & Management von Windows 2019 Active Directory (inkl. 2016 / 2012 R2 AD)

- Transition von 2008 R2 & 2012 R2 AD - AD Health Check - LDAP Query - Site Management - Schema Erweiterung - Kerberos Sicherheitslücken - Hybrid AD -

Beginnend mit diesem neu konzipierten AD 2019 Kurs werden wir den Fokus nicht nur auf den Betrieb von AD und die Transition auf AD 2019 richten, sondern verstärkt darauf achten, wie die Sicherheit von AD erhöht werden kann. Dieser AD 2019 Kurs bildet die Grundlage für den neuen ASAI Kurs (Advanced Security AD Infrastructure), das sich intensiv mit dem ESAE Sicherheitsmodell für AD befasst.
Auch wenn Azure Cloud für viele Firmen noch nicht in Frage kommt, zeigen wir am Ende des Kurs wie ein Hybrid AD aufgebaut werden kann.

ZIELGRUPPE
Dieses Seminar richtet sich an Systemmanager, Netzwerkmanager und Support-Ingenieure.
Für IT-Projektmanager mit fundiertem Fachwissen ist dieser Kurs auch zu empfehlen.

NIVEAU
★★★★☆ — ziemlich anspruchsvoll

DAUER
5 Tage

ORT
NT Systems Schulungszentrum Böblingen (Karte)

TERMINE

19.11. - 23.11.2018 ausgebucht
04.02. - 08.02.2019 noch Plätze frei
08.04. - 12.04.2019 noch Plätze frei
24.06. - 28.06.2019 noch Plätze frei

Zur Anmeldung

PREIS
3.450,- € zzgl. Mwst. – inkl. Mittagessen 14,- € / Tag

MINDEST-TEILNEHMERZAHL
Das Seminar findet ab einer Mindestzahl von drei Teilnehmern garantiert statt.

SCHULUNGSZEITEN
Am ersten Tag 09:00 - 17:00 Uhr
An Folgetagen 08:30 - 17:00 Uhr
Am letzten Tag (Freitag) 08:30 - 13:00 Uhr

ZERTIFIKAT
Nach erfolgreicher Teilnahme erhalten die Kursteilnehmer ein Zertifikat von NT Systems.


AUSFÜHRLICHE INFORMATIONEN

Im Folgenden finden besonders interessierte Leser ausführliche Informationen zu den im Kurs behandelten Themen.

Die Themen des neuen ADS 2019 Kurses sind wie folgt:

In diesem Kurs stehen der Aufbau eines 2019 AD Forests und die Migration von älteren Versionen (2012 R2/2008 R2) sowie die Verwaltung von Active Directory im Vordergrund. Nach diesem Kurs sollten die Teilnehmer in der Lage sein, sowohl ein 2012 R2 AD als auch 2019 AD Forest verwalten zu können. Sie sind auch sensibilisiert auf die Sicherheitslücken von AD und sind nach dem Besuch weiterer Kurse ASAI und PAW in der Lage, Ihre AD Infrastruktur sicher zu gestalten.

Gleich zum Kursbeginn geben wir Ihnen einen kleinen Überblick über die aktuellen Sicherheitslücken von Kerberos und die dadurch entstandenen Gefahren durch Golden Ticket / Silver Ticket. Diese Gefahr zwingt alle Administratoren dazu umzudenken und die neuen Sicherheitsfeatures ab Active Directory 2016 (Bastion Forest, Privileged Access Management (PAM), Timebased Group Membership) einzusetzen. Clientseitig tragen neue Sicherheitsmaßnahmen von Windows 10 Enterprise wie Virtualized Based Security mit Credential Guard und Device Guard massiv dazu bei, den unerlaubten Zugang zu den "Credentials" im LSA Cache zu unterbinden. Um aber diese Sicherheitslücken von Kerberos in AD zu erkennen, zeigen wir im Kurs wie schnell ein Hacker Kerberos Golden Ticket und Silver Ticket mit falscher Identität erzeugen kann. Diese Sicherheitslücken können im Moment nur durch den Einsatz von neuen Windows 10 Enterprise und Features ab Windows Server 2016 wie Credential Guard, Shielded VMs, Host Guardian Services und Sicherheitsmaßnahmen wie ESAE (Enhance Security Administration Environment) , PAW (Privileged Access Workstation) weitgehend verhindert werden. Die Realisierung dieser Sicherheitsmaßnahmen erfordert viel Know How und Zeit, die wir seit 2017 in dem Kurs ASAI (Advanced Security AD Infrastructure) anbieten. Domain Administratoren müssen spätestens jetzt lernen, dass ihre Konten gefährdet sind, wenn sie nicht streng nach dem ESAE 3-Tier Modell arbeiten.
Tier 0 Domain, Schema, Enterprise, PKI, ADFS Admins
Tier 1 Server Administratoren, Exchange Admins etc.
Tier 2 Desktop Administratoren

Anhand des bestehenden Forests wird zuerst die Grundlage vermittelt und aufgefrischt. Dazu gehören die Aufgaben von Global Catalog Server, der 5 x FSMO (Flexible Single Master Operation) im Forest, der Replikation von SYSVOL innerhalb der Domäne und DC-Replikation zwischen den verschiedenen AD Sites. Dabei wird versucht, wenn es möglich ist, immer PowerShell einzusetzen. Die Verwaltung von ADS 2012 R2, 2016 und 2019 hat weniger den Fokus auf dem Tagesgeschäft (Benutzer, Computer und Gruppen zu verwalten), sondern geht in die Tiefe des Verzeichnisdienstes. Sie lernen, welche Berechtigungen es im ADS gibt und wie man diese beeinflussen kann. Neben den Berechtigungen gilt es auch zu studieren, wie man effizient den Verzeichnisdienst per LDAP befragen kann, wie man eigene Abfragerichtlinien etabliert und - natürlich - prüft: Wer fragt meine DCs was und wie viel CPU-Zeit kostet das. Spezielle LDAP-Suche nach Objekten und Attributen wie z.B. Bitwise AND/OR , SearchFlags, systemFlags etc. werden praktiziert. Auch die sog. LDAP Query Policy kann die Performance und Sicherheit der DC beeinflussen. Mit dem LOM (List Object Mode) ist es möglich, AD-Objekte vor LDAP-Abfrage zu verstecken, sodass nur autorisierte Personen diese finden können.

Bevor die Migration auf neue DCs mit dem Betriebssystem 2016 beginnen kann, müssen Vorkehrungen getroffen werden. Dazu gehört unter anderem das Verständnis für den Domain Controller Locator Prozess (wie finden Memberserver und -workstations einen Domain Controller). Ebenso sollte der Domain Functional Level (DFL) vor der Migration angehoben werden und die SYSVOL-Replikation auf DFS-R umgestellt werden. Abgeschlossen wird der zweite Block durch etwas Aufräumen im Verzeichnisdienst und dem Optimieren und Schützen des DNS-Dienstes zur Vorbereitung der Migration. Um die Installation von Server 2019 einzuleiten, müssen Veränderungen am Active Directory Schema und an den jeweiligen Domain Partition vorgenommen werden. Die Problematik liegt hierbei in der irreversiblen Veränderung (vgl. Schemaerweiterung) und in der Umkehrbarkeit des Domain Preps. Ebenso wird der Einsatz von RODCs in einer ESAE-Konformen (T1) Umgebung durchgeführt.
Oft wird immer noch massiv mit NTLM authentifiziert, wenn die Applikationen Kerberos nicht unterstützen oder nicht dafür konfiguriert sind (Exchange, SharePoint etc.). Die NTLM Authentifizierung belastet die DCs stark, weil NTLM und auch die Kerberos PAC Validation via NETLOGON den Secure Channel nutzen. Wir lernen im Kurs wie diese Belastung gemessen und gemindert werden kann.

Damit die vielen anschließenden Praxisübungen effizient abgewickelt werden können, ist gleich vorweg ein Kernmodul die Windows Powershell. Die Windows Powershell wird im Kurs ab der Version 5.x eingesetzt, um auch größere Strukturen programmatisch administrieren zu können.

Der eigentlichen Migration des Active Directory von 2008 R2 über 2012 R2 auf 2019 werden alle möglichen Migrationsszenarien in praxisgerechten Übungen durchlebt:

In jedem der vier Szenarien wird viel Augenmerk und Energie in die Automatisierung über die Windows Powershell gelegt.
Bestandteil von den Active Directory Workshop sind eigens entwickelte Powershell-Skripte (die Sie selbstverständlich mitnehmen dürfen) welche Ihnen viele Routinearbeiten im Tagesgeschäft erleichtern.

Bevor wir in Richtung Azure Cloud wandern, werden zum Abschluß der Transition die älteren DCs noch auf 2008 R2 und 2012 R2 abgelöst. Danach können, wenn gewünscht, die Domänen und dann der Gesamtforest auf das 2016 Functional Level (Domain und Forest) heraufgestuft werden. Wir gehen aber davon aus, dass die Zusammenarbeit von 2012 R2 und 2016 / 2019 DC bei den Firmen noch einige Jahre dauern wird.

Auch wenn das Thema Cloud bei vielen Firmen noch nicht aktuell ist, müssen "moderne" Administratoren jetzt auch lernen, wie ihr lokales On-Premise Active Directory beim Bedarf in Richtung Cloud Azure AD erweitert werden kann. In diesem Kurs zeigen wir, wie so eine Hybrid Cloud mit virtuellen DC und Fileserver (mit File Share Witness für einen Failover Cluster) in der Azure Cloud via Site-To-Site VPN Gateways durch die IPSec Tunnel aufgebaut werden kann. Wir zeigen im Kurs einen 2016 Failover Cluster, welcher sich in der Regel bei den Firmen auf zwei Data Center erstreckt. Das Quorum (Mehrheit) verlangt aber für die 100% Hochverfügbarkeit einen dritten Standort, um einen Witness zu platzieren. Ein 2016 Failover Cluster kann sich mit einem "einfachen" Cloud Witness in der Cloud begnügen. Ein 2012 R2 Cluster braucht dagegen einen File Share Witness, der als Freigabe auf einem virtuellem File Server oder File Server Cluster in der Azure Cloud liegt. In diesem Fall wird auch ein DC benötigt, der in der Azure Site via IPSec und Site-To-Site VPN Gateways mit den On-Premise DCs kommuniziert. Bevor der File Server und sein DC erstellt werden können, müssen vorher Virtual Subnets und DNS eingerichtet werden. Optional kann der gesamte Hybrid Cluster mit SCOM überwacht werden.
Die Abrundung findet dieser Abschnitt mit den Replication Internals: Wie replizieren DCs und welche Einflussfaktoren gibt es dazu (insbesondere virtuelle DCs). Wenn das On-Premise AD später in Richtung Azure Cloud erweitert wird, muss die Replikation mit der Azure Site via VPN Gateway (IPSec) auch gut funktionieren.

Active Directory Transitionspfade
Active Directory Transitionspfade

Hinweis: Bitte bringen Sie zum Kurs Ihre Evaluation DVD oder ISO mit der gewünschten Sprachversion mit. Wir dürfen keine Volume License für Kurse nutzen!

Zum Seitenanfang

- Vertrauen Sie unserer Kompetenz -