Intensivkurs AZURE-ADMIN - Level 4
Azure für Administratoren
Aufbau Azure Hybrid - Azure AD Tenant - Management Groups - Subscriptions - ARM - RBAC - VMs - VNet - Azure Bastion - PowerShell AZ - Azure MonitorMit diesem 4-Tage Intensivkurs wollen wir erreichen, dass Teilnehmer danach in der Lage sind eine funktionierende Azure Hybrid Umgebung aufzubauen. Ausgehend von einem bestehenden On-Premises AD (1) wird ein Azure AD (2) Tenant par Azure Portal angelegt, Management Groups und Subscriptions konfiguriert. Die Objekte Users, Groups und Computer von (1) werden per AAD Connect zu Azure AD (2) synchronisiert, damit Azure Anwendungen (Intune, Office 365, Exchange Online, TEAMS etc.) und Azure AD Features (Conditional-Access etc) genutzt werden können. Die Authentifizierung (User Sign-In) in dieser Hybrid Umgebung erfolgt via ADFS (Federated) oder PTA (Pass-Through Authentication), wobei die Option PHS (Password-Hash Sync), abhängig von Szenarien aktiviert oder nicht aktiviert wird.
Es geht in diesem projektorientierten Kurs nicht nur darum in Azure AD einige VMs und VNet anzulegen, sondern auch dafür zu sorgen, dass u.a. der SMB-Zugriff auf die On-Premises und Azure Files Ressourcen weiterhin transparent funktioniert. D.h. die Windows-Integrated Authentication (WIA) via Kerberos bzw. NTLM muss nach wie vor gewährleistet sein, wenn mit Benutzeridentität auf eine Freigabe zugegriffen wird, und zwar egal On-Premises oder in Azure.
Azure File Sync sorgt dafür, dass On-Premises Daten "hoch" zu einer Azure File Share und auch zu anderen File Servern synchronisiert werden:
File Server 1 (On-Premises) > Server Endpoint 1 > Sync Group A >
File Server 2 (On-Premises) > Server Endpoint 2 > Sync Group A > Cloud Endpoint (A) > Azure File Share (A)
File Server 3 (Azure VM) > Server Endpoint 3 > Sync Group A >
Damit Benutzer mit seiner Identität überall auf die Ressourcen auf den File Servern 1, 2 oder 3 zugreifen können, muss dafür gesorgt werden, dass WIA möglich ist:
1) Durch Erweiterung von Azure AD (2) durch den Azure AD Directory Services (3).
AAD Connect synchronisierte Objekte (Users, Groups) von Azure AD werden zum Azure AD DS weiter gereicht (One-Way Sync).
2) Durch Erweiterung des On-Premises AD (1) in Azure via VPN Site-To-Site Gateway
Die AD Datenbank (Schema, Configuration, Domain Partition) wird durch die DC-Replikation zu den DCs in der Azure Site synchronisiert.
Nach dem Kurs sind die Teilnehmer in der Lage, selbst ein Tenant in Azure zu erstellen, Struktur für Management Groups aufzubauen und Subscriptions zu tätigen. Sie sind in der Lage VNET (Virtual Network) mit Subnetzen und VMs aufzubauen, zu verwalten und mit Azure Monitor zu überwachen. Im Kurs setzen wir nicht nur VPN Site-To-Site, sondern auch Azure Bastion und NSG (Network Security Group) ein, um die Azure VMs durch Private IPs und RDP Tunneling zu schützen, denn VMs mit Public IPs werden direkt per RDP over SSL verwaltet, sie sind nicht sicher genug!
Die Verwaltung des Tenants, der Subscriptions, der Azure Resourcen und Resource Groups werden mit Azure Portal und PowerShell AZ durchgeführt. Auch wird Azure RBAC unterrichtet, um die passende Rollen für die unterschiedliche Aufgaben zu konfigurieren. Teilnehmer lernen wie Azure Resource Manager (ARM) JSON Templates erstellt und wie mit ihnen der Aufbau einer Resource Group oder gar eines kompletten VM-Netzwerks automatisiert werden kann.
Ein sehr wichtiges Thema ist die Azure Cost, welches die höchste Priorität bekommen sollte, wenn man mit Azure arbeitet. Es sind viele versteckte Kosten. Man kann z.B. eine VM nach der Nutzung herunter fahren um Kosten zu minimieren, bleibt dennoch die Azure Storage Kosten aufrecht, da die VHDX weiterhin die Blob Storage belegt.
Optional: Die HTTPS-Verbindung zum Azure Portal und die SSO-Authentifizierung (Signl-Sign On) ist zusätzlich geschützt durch MFA (Multi-Factor
Authentication) mit Windows Hello for Business (Gesichtserkennung und TPM 2.0).
---
Hier sind sind wichtigsten Komponenten dieses Kurses:
- Azure Tenant und Subscriptions - MS365 E3 vs. E5
- Azure AD, Azure AD DS (Directory Services)
- Azure Portal und andere Portals
- Azure PowerShell AZ
- Azure Resource Manager (ARM), Managed Group, Resource Group, Resources
- Azure Resource Manager Templates (JSON)
- Azure RBAC
- Azure AD Joined Devices
- Azure VNET (Virtual Network), Subnet, VNET-Peering
- Load Balancer
- Azure VMs, High-Performance Features RDMA, SR-IOV
- Azure VM Scale Set
- Azure Bastion, NSG (Network Security Group)
- Azure Storage: Container (Blob), Files, Queue, Table
- Azure Files, File Shares & Azure File Sync
- Transparente SMB Zugriffe auf Azure Files und On-Premises Files
- Azure Web Apps
- Azure Backup
- Azure Monitor Logs (Logs Analytics)
- Azure MFA mit Windows Hello for Business (WHfB)
Weitere detailliertere Beschreibungen folgen.
Im Kurs arbeitet jeder Teilnehmer "live" mit einem unserer Tenants in Azure via Gbit-Glasfaserleitungen.
Empfehlung: besuchen Sie unseren 5-Tage AAD Hybrid Kurs um noch mehr Wissen für eine Enterprise Umgebung anzueignen.
ZIELGRUPPE
Das Seminar richtet an Azure Administratoren, die eine "pure" und evtl. später eine Hybrid Azure Umgebung aufbauen wollen.
NIVEAU
Level 4 — ziemlich anspruchsvoll
DAUER
4 Tage
ORT
NT Systems Schulungszentrum Böblingen (Karte)
TERMINE
|
|
✓ noch Plätze frei |
|
|
✓ noch Plätze frei |
PREIS
3.450,- € zzgl. Mwst. – inkl. Mittagessen 15,- € / Tag
MINDEST-TEILNEHMERZAHL
Das Seminar findet ab einer Mindestzahl von drei Teilnehmern garantiert statt.
SCHULUNGSZEITEN
Am ersten Tag 09:00 - 17:00 Uhr
An Folgetagen 08:30 - 17:00 Uhr
Am letzten Tag 08:30 - 13:00 Uhr
ZERTIFIKAT
Nach erfolgreicher Teilnahme erhalten die Kursteilnehmer ein Zertifikat von NT Systems.
Ausschnitt der Kursmodule
- Planung der Azure Infrastruktur
- Subscriptions
- Tenants
- Managements Groups
- Lizenzen
Anlegen einer untergeordneten Management Group
- Azure Resource Management (ARM)
- Azure RBAC und AAD Roles
- Azure AD Gruppen erstellen
- Anlegen und Zuweisung der Built-In Roles, Custom Roles
Hierarchie von Azure Scope (Quelle: Microsoft)
Scope „/“ verweist auf die Root Management Group
Berechtigung auf Management Group zuweisen
Hierarchie von Management Groups und Subscriptions unter Root (/)
- Aufbau von Azure Hybrid Umgebung
- AAD Connect
- Authentication Federated (ADFS) oder Cloud (PTA oder PHS)
Optionen von AAD Connect - Device / Group Write Back - Password Hash Sync
Auswahl der Authentication Methode - ADFS oder PTA (Pass-Through)
- Erweiterung von Azure Hybrid Umgebung durch Azure AD Domain Services (AAD DS)
- Notwendigkeit von Password Hash für die Kerberos Authentication in Azure
- Azure AD DS Domain Services
- VNet (Virtual Network) für AAD DS
Azure Active Directoty Domain Service
Verwaltung des Azure AD Services mit Active Directory Users and Computers
- Erstellen und verwalten von VMs in Azure
- VNet (Virtual Network) & Network Security Group (NSG) erstellen für VMs
- VMs erstellen & konfigurieren
- VMs Extension (PowerShell, DSC, Monitoring Agents, usw...)
File Server VM in Azure
Network Security Group in Azure
NAT Regeln für den Zugriff auf eine VM in Azure
- Erweiterung von On-Premises AD durch Site-to-Site VPN
- Aufbau VPN-Site-To-Site
- Aufbau und Konfiguration von DCs in der Azure Site
- Zugriff auf Azure VMs durch den VPN-Tunnel
- Zugriff auf Ressourcen
- Azure Ressources und Resource Templates
- Ressource Groups
- Storage Accounts
- Automation Accounts (Runbooks)
- Azure Resource Manager Templates Import/Export
JSON ARM Template
- Azure Administration
- Azure Policies
- Azure Applications (WebServer, SQL)
- Zugriff mit Conditional Access & MFA
- Azure Bastion
- Aufbau eines geschützten Azure VNET (Virtual Network) für VMs (Private IP) mit Azure Bastion Service
- AzureBastionSubnet und VM-Subnetze, NSG (Network Security Group)
- Bastion Connect zu VMs via RDP (getunnelt), AzRoleDefinition, AzRoleAssignment, Bastion User
- Monitor, BastionAuditLogs, Log Analytics, Cost Analysis, PowerShell AZ
NSG Inbound Security Rules
Zuweisung "Bastion User" mit READ für VM, NIC
- Azure File Sync
- Anlegen Storage Account - Resource Group, Storage Sync Services
- Installation / Registration Azure File Sync Agent auf File Server bzw. Cluster Nodes (On-Premises) und Azure VM File Server
- Azure File Sync Group mit Cloud Endpoint (Azure File Share) und Server Endpoints, Cloud Tiering für Server Endpoints
- SMB Zugriff auf die Shares
Sync Group - Cloud Endpoint (Azure File Share) und zwei Server Endpoints (NTFS Ordner)
Server Endpoint - File Server Cluster
DFS-N Namespace für UNC-Pfad (Server Endpoints)
Zugriff auf Homeverzeichnis über DFS-N
- Azure File Sync - Backup & Restore
- Anlegen Recovery Services Vault, Aktivieren von Backup
- Wiederherstellen von Azure FileShare-Datei und Ordner
- Verwalten von Azure FileShare Backups, PowerShell AZ
Backup eines Ordners in Azure FileShare
Wiederherstellen einer einzelnen Datei in Azure FileShare
- Azure Backup & Restore für Files & Folders
- Anlegen Recovery Services vault, Download, Installieren und Registrieren von MS Azure Recovery Services (MARS)-Agent
- Backup von Systems State, Ordner und Dateien
- Erstellen von Backup Retention Policy über MARS-Agent
- Wiederherstellen von Daten über Recovery Points
Konfiguration Backup Policy
- Azure Monitor
- Azure Scope und Platform Logs
- Log Analytics Workspace
- Azure Directory Logs, Azure Activity Log, Azure Resource Logs
- Application Insights
- Azure Solutions
- Manage Azure Monitor, Query und Alerts
- Cost Management & Limits
Weiterleitung der Resource Logs zum Log Analytics Workspace
Query nach Azure Bastion Events im Log Analytics Workspace
- Vertrauen Sie unserer Kompetenz -