Intensivkurs AZURE-ADMIN - Level 4

Azure für Administratoren

LIVE CLASS KURS (KATEGORIE 1)

Aufbau Azure Hybrid - Azure AD Tenant - Management Groups - Subscriptions - ARM - RBAC - VMs - VNet - Azure Bastion - PowerShell AZ - Azure Monitor

LIVE CLASS
Mit Microsoft TEAMS

Sehr geehrte Kunden!

Nach umfangreichen Tests bieten wir mit Microsoft TEAMS hochwertige interaktive Online Kurse während der CORONA Krisenzeit an.
Die Online Kurse werden gesondert als LIVE CLASS (LC) gekennzeichnet.
Die interaktiven LIVE CLASS Kurse befreien uns von den CORONA Schutzbestimmungen und können immer stattfinden!

LC Kategorie 1: Einige Azure Kurse werden zuerst nur als LC für Home Office (HOK) und Kursteilnehmer in Böblingen (BBK) angeboten.
LC Kategorie 2: On-Premises Kurse ohne Remote Desktop Gateway (RDG) werden als LC nur für BBK angeboten.
LC Kategorie 3: On-Premises Kurse mit Remote Desktop Gateway (RDG) werden als LC später auch zusätzlich für HOK angeboten.

HOK = Home Office Kursteilnehmer
BBK = Kursteilnehmer kommen zu uns nach Böblingen und sitzen verteilt in mehreren Schulungsräumen,
wenn die Landesbestimmung zu CORONA wieder einen Kursbesuch bei uns in Böblingen erlaubt!
RDG = Remote Desktop Gateway ermöglicht den Zugriff von Internet User (HOK) auf die Server in Böblingen

Erfahren Sie hier mehr zu LIVE CLASS und Teilnahmebedingungen.

WICHTIG!:
Sobald die CORONA Beschränkung aufgehoben wird, unterrichten wir anstelle LIVE CLASS wieder in unseren Räumen.
Bitte beachten Sie, dass auch ein Super LIVE CLASS Kurs niemals eine Vor-Ort Schulung ersetzen kann!

LIVE CLASS Inhalt

LIVE CLASS
Mit Microsoft TEAMS
Erläuterungen und Teilnahmebedingungen

Drei Szenarien für LIVE CLASS Kurse (während der CORONA Zeit)

Keine LC Kurse: On-Premises Kurse wie ASAI, ASAI-2, Exchange Hybrid, Windows Hello for Business können nicht als LC angeboten werden.

Wenn die Schutzbestimmung gelockert wird, können Sie gerne nach Böblingen kommen, auch wenn z.B. ein Azure Hybrid Kurs für HOK angeboten wird.
Eine Vor-Ort Schulung bietet auf jeden Fall einen direkten Kontakt mit den Trainern, was eine pure LIVE CLASS nicht kann.

Bitte beachten Sie, dass auch ein Super LIVE CLASS Kurs niemals eine Vor-Ort Schulung ersetzen kann!

LC Kategorie 1: LIVE CLASS via TEAMS ➔ für Azure Kurse
Zu Kategorie 1 gehören die Kurse: Azure für Administratoren, Azure Monitor, Azure SQL, Azure Hybrid, Azure Automation, TEAMS
2x Trainer (davon 1x TEAMS Unterstützer) sind im Schulungsraum in Böblingen.
Die Kursteilnehmer sind in Home Office (HOK) oder sie sitzen bei uns im Böblingen Office (BBK), aber verteilt in mehreren Räumen.
Wegen den CORONA Schutzbestimmungen und Mikrofon-Rückkopplung dürfen Kursteilnehmer nicht zusammen mit Trainern in einem Raum sitzen.

Netzwerkverbindungen:
1x HTTPS Internetverbindung zu Microsoft Azure TEAMS

LC Kategorie 2: LIVE CLASS via TEAMS + lokale Netzwerkverbindung ➔ für On-Premises Kurse (ohne RD Gateway)
Zu Kategorie 2 gehören die Kurse: ADS, Exchange, SQL, Cluster, Exchange Hybrid, Advanced Exchange, Group Policy, PKI, INTUNE, Windows Hello for Business
Wenn die Landesbestimmung zu CORONA wieder einen Kursbesuch bei uns in Böblingen erlaubt!
2x Trainer (davon 1x TEAMS Unterstützer) sind im Schulungsraum in Böblingen.
Kursteilnehmer sitzen bei uns im Böblingen Office (BBK), aber verteilt in mehreren Räumen.

Netzwerkverbindungen:
1x HTTPS Internetverbindung zu Microsoft Azure TEAMS
1x RPC Verbindung zum lokalen Servern in Böblingen

LC Kategorie 3: LIVE CLASS via TEAMS + lokale Netzwerkverbindung ➔ für On-Premises Kurse (mit RD Gateway noch im Test)
Zu Kategorie 3 gehören die Kurse: ADS, Exchange, SQL, Cluster, Exchange Hybrid, Advanced Exchange, Group Policy, PKI, INTUNE, Windows Hello for Business
Wenn die Landesbestimmung zu CORONA wieder einen Kursbesuch bei uns in Böblingen erlaubt!
2x Trainer (davon 1x TEAMS Unterstützer) sind im Schulungsraum in Böblingen.
Die Kursteilnehmer sind in Home Office (HOK) oder sie sitzen bei uns im Böblingen Office (BBK), aber verteilt in mehreren Räumen.

Netzwerkverbindungen:
Trainer und Kursteilnehmer in Böblingen
1x HTTPS Internetverbindung zu Microsoft Azure TEAMS
1x RPC Verbindung zum lokalen Servern in Böblingen
Home Office Kursteilnehmer
1x HTTPS Internetverbindung zu Microsoft Azure TEAMS
1x HTTPS Internetverbindung zu Remote Desktop Gateway in Böblingen

Empfehlungen zur Teilnahme als HOK (Home Office Kursteilnehmer)
- Webcam
- Hochwertiges MONO Headset (z.B. Jabra Envolve2 65)
- Zwei Bildschirme (1x für TEAMS und 1x für Übungen)
- Kabelanschluss direkt an Router/Switch anstatt WLAN
- Windows 10 mit TEAMS App ➔ https://www.microsoft.com/de-de/microsoft-365/microsoft-teams/download-app

Die Audio und Video Qualität der hoch interaktiven LIVE CLASS Schulung ist stark abhängig von o.g. Komponenten.
Wir nutzen in Böblingen zwei Glasfaser Standleitungen mit je 512 Mbit/s (jeder Zeit erweiterbar auf 1 GB/s bzw. 10 GB/s) für Internet.
Unser LAN ist 1 GBit/s und in der Regel 10 Gbit/s.
Zusätzliche Access Points von Unitymedia (Vodafone)

Teilnahme an LIVE CLASS in Böblingen Schulungszentrum
Sie haben z.B. den Azure Hybrid Kurs als LIVE CLASS gebucht, möchten aber unbedingt zu uns nach Böblingen kommen.
Für eine begrenzte Teilnehmerzahl können wir dies anbieten, sodass Sie trotz LIVE CLASS einen direkten Kontakt mit den Trainern bekommen.
Wir müssen Plätze für Sie außerhalb des Schulraums (Rückkopplung, Geräusche etc.) einrichten.
Sie können somit den Kurs interaktiv via TEAMS parallel zu den Home Office Teilnehmer mitverfolgen.
Ein Kursbesuch bei uns in Böblingen ist nur möglich, wenn die CORONA Schutzbestimmung, hoffentlich nach dem 3. Mai 2020 gelockert wird.

Dokumentation für LIVE CLASS und Vor-Ort Schulung

- LIVE CLASS Teilnehmer bekommen die Kurs-Dokumentation in Digital-Form (PDF bzw. docx) und auf Wunsch gegen Aufpreis von 350,- € zzgl. Mwst.
auch die gedruckte Version (A4-Ordner), die wir dann verschicken.

- Vor Ort Schulungsteilnehmer bekommen die Kurs-Dokumentation wie üblich in gedruckter Form (A4-Ordner) und auf Wunsch gegen Aufpreis von 350,- €
zzgl. Mwst.auch digital (PDF bzw. docx) am ersten Kurstag.

- Die Kursdoku sind geschützt und personalisiert.

Voraussetzung ist Vorkasse
- Wir nutzen Ihre Email-Adresse für Ihr Gast-Konto bei uns.
- Erst nach Zahlungseingang können die Zugangsdaten übermittelt werden.
- Ohne Vorkasse ist ein Besuch eines LIVE CLASS Kurses nicht möglich!
- Ohne Vorkasse ist ein Besuch eines anderen Kurses bei uns ab Mai 2020 nicht möglich!
- Dokumentation für LIVE CLASS kann nach der Authentifizierung in TEAMS herunter geladen werden.

Mit diesem 4-Tage Intensivkurs wollen wir erreichen, dass Teilnehmer danach in der Lage sind, eine funktionierende Azure Hybrid Umgebung aufzubauen. Ausgehend von einem bestehenden On-Premises AD (1) wird ein Azure AD (2) Tenant per Azure Portal angelegt, Management Groups und Subscriptions konfiguriert. Die Objekte Users, Groups und Computer von (1) werden per AAD Connect zu Azure AD (2) synchronisiert, damit Azure Anwendungen (Intune, Office 365, Exchange Online, TEAMS etc.) und Azure AD Features (Conditional-Access etc.) genutzt werden können. Die Authentifizierung (User Sign-In) in dieser Hybrid Umgebung erfolgt via ADFS (Federated) oder PTA (Pass-Through Authentication), wobei die Option PHS (Password-Hash Sync), abhängig von Szenarien aktiviert oder nicht aktiviert wird.

Es geht in diesem projektorientierten Kurs nicht nur darum in Azure AD einige VMs und VNet anzulegen, sondern auch dafür zu sorgen, dass u.a. der SMB-Zugriff auf die On-Premises und Azure Files Ressourcen weiterhin transparent funktioniert. Denn nur dann ist eine fliessende Migration von Daten möglich. Der Zugriff auf eine Azure File Share erfolgt entweder über SMB (445) oder HTTPS (443), wobei das für den Filezugriff mächtigere SMB-Protokoll die Kerberos bzw. NTLM-Authentifizierung erfordert, damit per Benutzeridentität auf eine NTFS-geschützte Datei zugegriffen werden kann. Azure AD unterstützt aber keine Kerberos und NTLM, sondern nur OAuth2 und OpenID.
1) Damit es dennoch mit Kerberos für SMB möglich ist, muss man bis Ende Februar 2020 das kostenpflichtige Azure AD Directory Service (3) bedienen
In diesem Kurs "Azure für Administratoren" werden wir in unserem AAD Verzeichnis AzureHybridDE.OnMicrosoft.com eine Instanz aadds nutzen. Im Kurs "Azure Hybrid" gehen wir noch tiefer in dieses Thema hinein. Neben den NTFS-Berechtigung wird die Share-Berechtigung für eine Azure File Share benötigt, die über die Azure RBAC Roles konfiguriert werden.

2) Seit Ende Februar 2020 ist es nun endlich möglich auch ohne AAD DS den SMB-Zugriff auf eine Azure File Share von einer On-Premises AD (1) Joined Windows Maschine oder von einer Azure AD (2) Joined VM aus mit der AD/AAD Benutzeridentität zuzugreifen. Der kostenpflichtige AAD DS wird dann nicht mehr benötigt.

Nach der Einrichtung von Azure AD DS und VPN-Site-To-Site Gateway können sowohl von einer Azure VM als auch On-Premises VM via SMB per Benutzeridentität auf eine Azure File Share zugegriffen werden.

Der HTTPS Zugriff auf eine Azure File Share und somit auf eine Azure File Storage setzt auf die REST API und erfordert den Azure Storage Access Token (Full Access) oder einen delegierten SAS (Share Access Signature).

Letzendlich müssen die On-Premises Daten irgendwie in die Azure File Shares gelangen. Eine Methode davon ist Azure File Sync. Azure File Sync sorgt dafür, dass On-Premises Daten "hoch" zu einer Azure File Share und auch zu anderen File Servern synchronisiert werden:

        File Server 1 (On-Premises)   > Server Endpoint 1 > Sync Group A >
        File Server 2 (On-Premises) > Server Endpoint 2 > Sync Group A > Cloud Endpoint (A) > Azure File Share (A)
        File Server 3 (Azure VM)        > Server Endpoint 3 > Sync Group A >

Azure Storage bietet neben dem Typ FILE weitere Datentypen BLOB, QUEUE und TABLE, die wir im Kurs Azure Hybrid näher eingehen.
Natürlich müssen wir vor den SMB-Übungen schon mit dem ARM (Azure Resource Manager), mit der RBAC Roles etc.. bereits VNET und VMs anlegen. Wir werden am Anfang graphisch mit dem Azure Portal arbeiten, später aber immer mehr uns mehr mit Azure AZ-PowerShell arbeiten. Das Anlegen von VM werden wir mit ARM Resource Template automatisieren. Dabei lernen wir wie ARM Resource wie eine VM in JSON Template exportiert, nach Änderung wieder importiert werden kann.

Nach dem Kurs sind die Teilnehmer in der Lage, selbst ein Tenant in Azure zu erstellen, Struktur für Management Groups aufzubauen und Subscriptions zu tätigen. Sie sind in der Lage VNET (Virtual Network) mit Subnetzen und VMs aufzubauen, zu verwalten und mit Azure Monitor zu überwachen. Im Kurs setzen wir nicht nur VPN Site-To-Site, sondern auch Azure Bastion (optional) und NSG (Network Security Group) ein, um die Azure VMs durch Private IPs und RDP Tunneling zu schützen, denn VMs mit Public IPs werden direkt per RDP over SSL verwaltet, sie sind nicht sicher genug.

Die Verwaltung des Tenants, der Subscriptions, der Azure Resourcen und Resource Groups werden mit Azure Portal und PowerShell AZ durchgeführt. Auch wird Azure RBAC oft genutzt, um die passende Rollen für die unterschiedliche Aufgaben zu konfigurieren. Beispielsweise muss ein On-Premises AD User , der in Azure AD repliziert ist, mindestens die RBA Role "Virtual Machine User Login" bekommen um überhaupt an einer Azure AD Vm anmelden zu können. RBAC vergibt nicht nur solche Privilegien, entspricht "Lokal Anmelden zulassen" (Allow Localy Logon), sondern u.a. auch Berechtigung wie z.b. die SMB Share Berechtigung.

Ein sehr wichtiges Thema ist die Azure Cost, welches die höchste Priorität bekommen sollte, wenn man mit Azure arbeitet. Es sind viele versteckte Kosten. Man kann z.B. eine VM nach der Nutzung herunter fahren um Kosten zu minimieren, bleibt dennoch die Azure Storage Kosten aufrecht, da die VHDX weiterhin die Blob Storage belegt.

Optional: Die HTTPS-Verbindung zum Azure Portal und die SSO-Authentifizierung (Signl-Sign On) ist zusätzlich geschützt durch MFA (Multi-Factor Authentication) mit Windows Hello for Business (Gesichtserkennung und TPM 2.0).
---

Hier sind sind wichtigsten Komponenten dieses Kurses:

- Azure Tenant und Subscriptions - MS365 E3 vs. E5
- Azure AD
- Azure AD DS (Directory Services) für SMB-Zugriff mit Kerberos Authentication
- Azure Portal und andere Portals
- Azure PowerShell AZ
- Azure Resource Manager (ARM), Managed Group, Resource Group, Resources
- Azure Resource Manager Templates (JSON)
- Azure RBAC
- Azure AD DS Joined VM
- Azure VNET (Virtual Network), Subnet, VNET-Peering
- VM Extensions
- Load Balancer
- Azure VMs, High-Performance Features RDMA, SR-IOV
- Azure Bastion, NSG (Network Security Group)
- Azure Storage: Container (Blob), Files, Queue, Table
- Azure Files, File Shares & Azure File Sync
- Zugriffe auf Azure Files und On-Premises Files via SMB (445) und HTTPS (443)
- Azure Web Apps
- Azure Backup
- Azure Monitor Logs (Logs Analytics)
- Azure MFA mit Windows Hello for Business (WHfB)

Weitere detailliertere Beschreibungen folgen.
Im Kurs arbeitet jeder Teilnehmer "live" mit einem unserer Tenants in Azure via Gbit-Glasfaserleitungen.
Empfehlung: besuchen Sie unseren 5-Tage Azure Hybrid Kurs um noch mehr Wissen für eine Enterprise Umgebung anzueignen.

ZIELGRUPPE
Das Seminar richtet an Azure Administratoren, die eine "pure" und evtl. später eine Hybrid Azure Umgebung aufbauen wollen.

NIVEAU
Level 4 — ziemlich anspruchsvoll

DAUER
4 Tage

ORT
- Dies ist ein LIVE CLASS Kurs -
NT Systems Schulungszentrum Böblingen (Karte)

TERMINE

06.04. - 09.04.2020	✓ "Corona!"
02.06. - 05.06.2020 ^(★)	✓ noch Plätze frei
21.07. - 24.07.2020	✓ noch Plätze frei
08.09. - 11.09.2020	✓ noch Plätze frei
27.10. - 30.10.2020	✓ noch Plätze frei
15.12. - 18.12.2020	✓ noch Plätze frei

(★) wird nur als LIVE CLASS angeboten.

Zur Anmeldung

PREIS
3.450,- € zzgl. Mwst.
Kursbesuch nur gegen Vorkasse möglich!

MINDEST-TEILNEHMERZAHL
Das Seminar findet ab einer Mindestzahl von drei Teilnehmern garantiert statt.

LIVE CLASS SCHULUNGSZEITEN
Jeden Tag 09:00 - 17:00 Uhr

ZERTIFIKAT
Nach erfolgreicher Teilnahme erhalten die Kursteilnehmer ein Zertifikat von NT Systems.

Azure Multi-Tenants Infrastructure

Azure Hybrid – Azure File Sync - Identity-Based SMB Zugriff auf Azure File Share

Azure Resource Scope Levels

Azure Storage-Authorizing Access
Azure Storage - Authorizing Access

Ausschnitt der Kursmodule

Planung der Azure Infrastruktur
- Subscriptions
- Tenants
- Managements Groups
- Lizenzen
Anlegen einer untergeordneten Management Group

Azure Resource Management (ARM)
- Azure RBAC und AAD Roles
- Azure AD Gruppen erstellen
- Anlegen und Zuweisung der Built-In Roles, Custom Roles
Hierarchie von Azure Scope (Quelle: Microsoft)

Scope „/“ verweist auf die Root Management Group

Berechtigung auf Management Group zuweisen

Hierarchie von Management Groups und Subscriptions unter Root (/)

Aufbau von Azure Hybrid Umgebung
- AAD Connect
- Authentication Federated (ADFS) oder Cloud (PTA oder PHS)
Optionen von AAD Connect - Device / Group Write Back - Password Hash Sync

Auswahl der Authentication Methode - ADFS oder PTA (Pass-Through)

Erweiterung von Azure Hybrid Umgebung durch Azure AD Domain Services (AAD DS)
- Notwendigkeit von Password Hash für die Kerberos Authentication in Azure
- Azure AD DS Domain Services
- VNet (Virtual Network) für AAD DS
Azure Active Directoty Domain Service

Verwaltung des Azure AD Services mit Active Directory Users and Computers

Erstellen und verwalten von VMs in Azure
- VNet (Virtual Network) & Network Security Group (NSG) erstellen für VMs
- VMs erstellen & konfigurieren
- VMs Extension (PowerShell, DSC, Monitoring Agents, usw...)
File Server VM in Azure

Network Security Group in Azure

NAT Regeln für den Zugriff auf eine VM in Azure

Erweiterung von On-Premises AD durch Site-to-Site VPN
- Aufbau eines Site-To-Site VPN
- Aufbau und Konfiguration von DCs in der Azure Site
- Zugriff auf Azure VMs durch den VPN-Tunnel
- Zugriff auf Ressourcen
Site-to-Site VPN Gateway

SMB-Zugriff mit Benutzeridentität auf Azure File Share
- Azure AD Domain Services
- Berechtigung NTFS und SMB-Share durch Azure RBAC Roles
- Verbinden von einer VM eine Azure File Share via SMB
- Zugriff von Azure VM und On-Premise VM durch einen Site-To-Site VPN
Azure AD Domain Services Instanz

AADDS Service Administrators Group

Storage File Data SMB Share Roles

Azure File Share via SMB von einer VM

Azure Ressources und Resource Templates
- Ressource Groups
- Storage Accounts
- Automation Accounts (Runbooks)
- Azure Resource Manager Templates Import/Export
JSON ARM Template

Azure Administration
- Azure Policies
- Azure Applications (WebServer, SQL)
- Zugriff mit Conditional Access & MFA

Azure Bastion
- Aufbau eines geschützten Azure VNET (Virtual Network) für VMs (Private IP) mit Azure Bastion Service
- AzureBastionSubnet und VM-Subnetze, NSG (Network Security Group)
- Bastion Connect zu VMs via RDP (getunnelt), AzRoleDefinition, AzRoleAssignment, Bastion User
- Monitor, BastionAuditLogs, Log Analytics, Cost Analysis, PowerShell AZ
NSG Inbound Security Rules

Zuweisung "Bastion User" mit READ für VM, NIC

Azure File Sync
- Anlegen Storage Account - Resource Group, Storage Sync Services
- Installation / Registration Azure File Sync Agent auf File Server bzw. Cluster Nodes (On-Premises) und Azure VM File Server
- Azure File Sync Group mit Cloud Endpoint (Azure File Share) und Server Endpoints, Cloud Tiering für Server Endpoints
- SMB Zugriff auf die Shares
Sync Group - Cloud Endpoint (Azure File Share) und zwei Server Endpoints (NTFS Ordner)

Server Endpoint - File Server Cluster

DFS-N Namespace für UNC-Pfad (Server Endpoints)

Zugriff auf Homeverzeichnis über DFS-N

Azure File Sync - Backup & Restore
- Anlegen Recovery Services Vault, Aktivieren von Backup
- Wiederherstellen von Azure FileShare-Datei und Ordner
- Verwalten von Azure FileShare Backups, PowerShell AZ
Backup eines Ordners in Azure FileShare

Wiederherstellen einer einzelnen Datei in Azure FileShare

Azure Backup & Restore für Files & Folders
- Anlegen Recovery Services vault, Download, Installieren und Registrieren von MS Azure Recovery Services (MARS)-Agent
- Backup von Systems State, Ordner und Dateien
- Erstellen von Backup Retention Policy über MARS-Agent
- Wiederherstellen von Daten über Recovery Points
Konfiguration Backup Policy

Azure Monitor
- Azure Scope und Platform Logs
- Log Analytics Workspace
- Azure Directory Logs, Azure Activity Log, Azure Resource Logs
- Application Insights
- Azure Solutions
- Manage Azure Monitor, Query und Alerts
- Cost Management & Limits
Weiterleitung der Resource Logs zum Log Analytics Workspace

Query nach Azure Bastion Events im Log Analytics Workspace

Azure Cost Management
- Überwachung der Kosten: Subscriptions, Resource Group etc.
- Budget Begrenzung
- Kostenwarnung
- E-Mail-Benachrichtigung
Kostenwarnung bei Überschreitung von 50% Budget

E-Mail Warnungsbenachrichtigung

- Vertrauen Sie unserer Kompetenz -