Master Class: Active Directory Deep Dive – Installation, Configuration and OperationSADDD-L0MTMaster ClassMT-SADDD-L01.0<p>In diesem Master-Class-Kurs wird das Thema Active Directory fokussiert.</p>
<p>Vom Einstieg, über die Geschichte bis hin zum Troubleshooting wird in diesem Kurs alles erlernt.</p>
<p>Die Umgebung wird durch jeden Teilnehmer live im Kurs eigenständig aufgebaut und läuft in einem hochsicheren Rechenzentrum in Helsinki auf eigener Hardware.</p>
<p>Sehr responsive Schulungsumgebungen gepaart mit den besten Trainern und Consultants, die es im Schengenraum gibt: DAS ist unsere MasterClass Active Directory</p>
<p>Das Active Directory bietet in Ihrem Unternehmen ein hohes potenzielles Ziel für Cyberangriffe, weshalb wir Ihnen mit diesem Training dabei helfen, diese Umgebung zu verstehen, zu pflegen und richtig zu administrieren.</p><p>Mindestens 2 <em><strong>Jahre</strong></em> Erfahrung mit Microsoft Servern <u><strong>und</strong></u> Client-Systemen</p><p>Dieser Kurs wendet sich an (angehende) System-Administratoren, Consultants und Active Directory-Designer. Nach diesem Seminar werden Sie in der Lage sein, Active Directory zu designen, zu implementieren, zu betreuen und zu beraten.</p><ul>
<li>Active Directory Überblick</li><li>Active Directory Administration</li><li>Powershell für Active Directory</li><li>Active Directory Security Check und Health Check</li><li>Active Directory Schemaerweiterung und Domainprep</li><li>Domain Controller Locator</li><li>Deployment von Active Directory Domain Controllern</li><li>Read-Only Domain Controller (RODC)</li><li>Active Directory und das Domain Name System (DNS)</li><li>Advanced Site Management</li><li>LDAP-Query</li><li>Replication Internals</li><li>Active Directory Forest Functional Level 2016</li><li>Active Directory Backup und Restore</li></ul><h4>Schulungsumgebung:</h4><p>In der Schulungsumgebung wird komplett mit Hyper-V gearbeitet. Für den proaktiven Aufbau der Schulungsumgebung nutzen wir ein Powershell-Skript, mit dem Sie in Sekunden neue virtuelle Maschinen erstellen können. Das Skript wurde von Ihrem Trainer eigenständig entwickelt und ermöglicht den Schulungsaufbau nach Wunsch des Kunden in extremer Schnelligkeit mit geringem Aufwand.</p>
<h4>Hardware:</h4><p>Jedem Teilnehmer steht ein dedizierter Server in einem Rechenzentrum mit insgesamt 1 Gbit-Anschluss ins Internet zur Verfügung. Jeder Teilnehmer-Server ist folgendermassen ausgestattet:</p>
<ul>
<li>256 GB RAM</li><li>mind. 40 vCores</li><li>2 NVME-SSDs mit mind. 3.000 MB/s schreibend und mind. 2.000 MB/s lesend</li><li>1 Gbit ins Internet Gesamt-Bandbreite</li></ul><h4>Über die Master Class:</h4><p>Die Advanced Master Class wurde von Andy Wendel entwickelt. Sie wird von ihm selbst oder von erfahrenen, von ihm autorisierten Trainer*innen durchgeführt.</p>
<p>Andy Wendel ist Senior Datacenter- und Cloud-Architekt sowie Certified Security Master Specialization Advanced Windows Security. Ausgebildet wurde und wird er von den international renommierten Sicherheitsexpert*innen <a class="cms-href-ext" href="http://cqure.pl/paula-januszkiewicz/" data-cms-evt-click="Outbound Links;click;http://cqure.pl/paula-januszkiewicz/">Paula Januszkiewicz</a> und <a class="cms-href-ext" href="https://www.samilaiho.com/?/" data-cms-evt-click="Outbound Links;click;https://www.samilaiho.com/?/">Sami Laiho</a>. Diese Zertifizierung wird jedes Jahr erneuert. Andy Wendel arbeitet seit Ende der 1990er Jahre als IT-Trainer und -Consultant und ist zudem zertifizierter Microsoft Learning Consultant (MCLC). Weltweit hat Microsoft nur 56 Certified Learning Consultants ausgezeichnet.</p><h5>Active Directory Überblick</h5><ul>
<li>Active Diretory Strukturen: logisch (Forest, Domäne und Organisationseinheit) und physisch (Active Directory Standorte, Subnetze und Standortverbindungen)</li><li>Multimaster-Replikation der AD-Datenbank</li><li>Vertrauensstellungen (Trust-Relationship) inkl. PIM-Trust</li><li>Nameskontexte der AD-Datenbank</li><li>Active Directory Objekte und deren Attribute</li><li>Distinguished Names und GUIDs</li><li>sAMAccountName und userPrincipalName</li><li>Betriebsmaster / Flexible single master oparations (FSMO) und globaler Katalogserver</li><li>Produkthistorie von Active Directory 2000 bis zu Active Directory 2022 (was kam wann dazu)</li><li>Active Directory Limitierungen</li><li>Windows Admin Center (WAC) mit Active Directory Extension</li></ul><h5>Active Directory Administration</h5><ul>
<li>Überblick über administrative Grenzen und Delegationsmöglichkeiten</li><li>SACL / DACL – Berechtigungen im Active Directory und deren Vererbung</li><li>Extended rights / property sets / validated writes</li><li>Delegation von administrativen Aufgaben im Active Directory</li><li>Implementieren einer ESAE-Struktur (Enhanded Security Administrative Environment)</li><li>Fine grainted password policies (FGPP)</li><li>Active Directory Überwachung</li></ul><h5>Powershell für Active Directory</h5><ul>
<li>Powershell-Versionen</li><li>Powershell-Grundlagen (Get-Help / Get-Command / Get-Member)</li><li>Keyboard-Shortcuts für die Powershell</li><li>Powershell-Variablen, -Aliase und -Pipelining</li><li>Powershell-Profile</li><li>Active Directory Web Services</li><li>Powershell-Scripting für Active Directory</li></ul><h5>Active Directory Security Check und Health Check</h5><ul>
<li>Secure Channel Check (unicodepwd / ntpwdhistory)</li><li>Massnahmen gegen golden Tickets und silver Tickets</li><li>RC4-Verschlüsselung bei Kerberos sicher und zuverlässig abschalten</li><li>Tiering-Modell implementieren nach ESAE</li><li>„LAPS“für Domain Controller per eigenem Powershell-Skript</li><li>Missbrauch von Systemprozessen unterbinden</li><li>Korrektur der Default-Privilegien</li><li>Active Directory „Clean-up“</li><li>Active Directory Replikation prüfen (repadmin.exe / dcdiag.exe)</li><li>Dokumentation der Ist-Umgebung</li></ul><h5>Active Directory Schemaerweiterung und Domainprep</h5><ul>
<li>Aufbau des Active Directory Schema</li><li>Schemaobjekte, Objektklassen und Attribute</li><li>Vererbung im Active Directory Schema</li><li>Object Identifier (OID)</li><li>Regel für Struktur und Inhalt</li><li>Schema-Master</li><li>Korrekte manuelle Schemaerweiterung mit eigenen Attributen und Klassen</li><li>Schemaerweiterung für Active Directory 2022</li><li>Domainprep für Active Directory 2022</li></ul><h5>Domain Controller Locator</h5><ul>
<li>Domain Controller Locator Typen</li><li>Domain Controller stickyness prevention</li><li>Nearest Domain Controller</li><li>DNS-Priorität vs. DNS-Gewichtung der SRV-Einträge</li><li>Default Site Coverage vs. Manuelle Standortabdeckung (Hub/Spoke)</li><li>Einflussnahme auf den Locator Service (entlasten, unattraktiv gestalten und verstecken von Domain Controllern)</li><li>Netlogon-Debugging – warum landet mein Domain Member bei diesem Domain Controller</li></ul><h5>Deployment von Active Directory Domain Controllern</h5><ul>
<li>Installation der Rolle (GUI und Windows Powershell)</li><li>Promoten eines Domain Controllers unter Windows Server 2022 per GUI und als Server Core</li><li>Untersuchen der vier möglichen Transitionswege</li><li>Transitionsweg 1: Substituierende Migration (neuer Name + gleiche IP)</li><li>Transitionsweg 2: Substituierende Migration (neuer Name + neue IP)</li><li>Transitionsweg 3: Ablösende Migration (gleicher Name + gleiche IP)</li><li>Transitionsweg 4: Konsolidierende Migration (RODCs anstelle von RWDCs)</li></ul><h5>Read-Only Domain Controller (RODC)</h5><ul>
<li>Einsatzgebiete eines RODC</li><li>Password replication policy</li><li>Credentials caching</li><li>RODC filtered attribute set</li><li>Installation eines RODC (GUI + Windows Powershell)</li><li>Zuweisen eines RODC zum Tier 1</li><li>Domain Join over RODC (djoin.exe)</li><li>RODC als DC-Reverse-Proxy (Schutz der RWDCs)</li></ul><h5>Active Directory und das Domain Name System (DNS)</h5><ul>
<li>Überblick über das Zusammenspiel von ADS und DNS</li><li>DNS-Namespace, DNS-Server und DNS-Clients (Resolver)</li><li>Installation der DNS-Rolle per GUI und Windows Powershell</li><li>Verwalten von DNS-Zonen</li><li>Replikation von AD-integrierten Zonen</li><li>DNS-Alterung einrichten im Zusammenspiel mit DHCP</li><li>Global Query Block List, Global Name Zones und Query Resolution Policies</li></ul><h5>Advanced Site Management</h5><ul>
<li>Architektur der Replikation</li><li>Replikationstopologie</li><li>Knowledge consistency checker (KCC)</li><li>nTDSDSA und invocationID</li><li>Urgent replication und immediately replication</li><li>Intra-Site Replication vs. Inter-Site Replication</li><li>Verkürzen der Replikationslatenz Intra-Site und Inter-Site</li></ul><h5>LDAP-Query</h5><ul>
<li>Einführung in das LDAP-Protokoll</li><li>ADSI / Suchen im ADS via TCP 389 / TCP 636</li><li>Searchflags / Systemflags / SchemaFlagsEx</li><li>List Object Mode (LOM)</li><li>Domain Controller LDAP-Query-Policy</li><li>Active Directory Web Services Config</li><li>Tracking LDAP-Searches on Domain Controllers</li><li>Hardening LDAP Channel Binding</li></ul><h5>Replication Internals</h5><ul>
<li>Replication Meta Data</li><li>nTDSDSA-GUID vs. InvocationID</li><li>Up-to-dateness-vector und High-Watermark</li><li>Replikationskonflikte</li><li>Linked Value Replication</li><li>SYSVOL-Replikation</li></ul><h5>Active Directory Forest Functional Level 2016</h5><ul>
<li>Bewegen der Betriebsmaster inkl. Betriebsmasterausfall</li><li>Optimieren der DNS-Server</li><li>Ablösen der letzten alten Domain Controller</li><li>2016 Domain Functional Level</li><li>2016 Forest Functional Level</li><li>Privilege Access Management Feature einrichten und verwenden</li></ul><h5>Active Directory Backup und Restore</h5><ul>
<li>Voraussetzungen für das Backup – Installation der Rolle per GUI und Windows Powershell</li><li>Sicherungsarten für Active Directory</li><li>Richtlinien zur Sicherung von Active Directory</li><li>Latenzintervalle bei der Sicherung von Active Directory (täglich vs. 89 Tage)</li><li>Planen, einrichten und verteilen der Scheduled-Tasks für die Sicherung von Active Directory mit der Windows Powershell</li><li>Sichern des Active Directory</li><li>Wiederherstellen des Active Directory (BMR)</li><li>Restore-Internals</li><li>Restore-Prozess, wenn die Sicherung älter als 60 Tage ist</li><li>Fragen der Teilnehmer</li></ul>In diesem Master-Class-Kurs wird das Thema Active Directory fokussiert.
Vom Einstieg, über die Geschichte bis hin zum Troubleshooting wird in diesem Kurs alles erlernt.
Die Umgebung wird durch jeden Teilnehmer live im Kurs eigenständig aufgebaut und läuft in einem hochsicheren Rechenzentrum in Helsinki auf eigener Hardware.
Sehr responsive Schulungsumgebungen gepaart mit den besten Trainern und Consultants, die es im Schengenraum gibt: DAS ist unsere MasterClass Active Directory
Das Active Directory bietet in Ihrem Unternehmen ein hohes potenzielles Ziel für Cyberangriffe, weshalb wir Ihnen mit diesem Training dabei helfen, diese Umgebung zu verstehen, zu pflegen und richtig zu administrieren.Mindestens 2 Jahre Erfahrung mit Microsoft Servern und Client-SystemenDieser Kurs wendet sich an (angehende) System-Administratoren, Consultants und Active Directory-Designer. Nach diesem Seminar werden Sie in der Lage sein, Active Directory zu designen, zu implementieren, zu betreuen und zu beraten.- Active Directory Überblick
- Active Directory Administration
- Powershell für Active Directory
- Active Directory Security Check und Health Check
- Active Directory Schemaerweiterung und Domainprep
- Domain Controller Locator
- Deployment von Active Directory Domain Controllern
- Read-Only Domain Controller (RODC)
- Active Directory und das Domain Name System (DNS)
- Advanced Site Management
- LDAP-Query
- Replication Internals
- Active Directory Forest Functional Level 2016
- Active Directory Backup und Restore
Schulungsumgebung:
In der Schulungsumgebung wird komplett mit Hyper-V gearbeitet. Für den proaktiven Aufbau der Schulungsumgebung nutzen wir ein Powershell-Skript, mit dem Sie in Sekunden neue virtuelle Maschinen erstellen können. Das Skript wurde von Ihrem Trainer eigenständig entwickelt und ermöglicht den Schulungsaufbau nach Wunsch des Kunden in extremer Schnelligkeit mit geringem Aufwand.
Hardware:
Jedem Teilnehmer steht ein dedizierter Server in einem Rechenzentrum mit insgesamt 1 Gbit-Anschluss ins Internet zur Verfügung. Jeder Teilnehmer-Server ist folgendermassen ausgestattet:
- 256 GB RAM
- mind. 40 vCores
- 2 NVME-SSDs mit mind. 3.000 MB/s schreibend und mind. 2.000 MB/s lesend
- 1 Gbit ins Internet Gesamt-Bandbreite
Über die Master Class:
Die Advanced Master Class wurde von Andy Wendel entwickelt. Sie wird von ihm selbst oder von erfahrenen, von ihm autorisierten Trainer*innen durchgeführt.
Andy Wendel ist Senior Datacenter- und Cloud-Architekt sowie Certified Security Master Specialization Advanced Windows Security. Ausgebildet wurde und wird er von den international renommierten Sicherheitsexpert*innen Paula Januszkiewicz (http://cqure.pl/paula-januszkiewicz/) und Sami Laiho (https://www.samilaiho.com/?/). Diese Zertifizierung wird jedes Jahr erneuert. Andy Wendel arbeitet seit Ende der 1990er Jahre als IT-Trainer und -Consultant und ist zudem zertifizierter Microsoft Learning Consultant (MCLC). Weltweit hat Microsoft nur 56 Certified Learning Consultants ausgezeichnet.Active Directory Überblick
- Active Diretory Strukturen: logisch (Forest, Domäne und Organisationseinheit) und physisch (Active Directory Standorte, Subnetze und Standortverbindungen)
- Multimaster-Replikation der AD-Datenbank
- Vertrauensstellungen (Trust-Relationship) inkl. PIM-Trust
- Nameskontexte der AD-Datenbank
- Active Directory Objekte und deren Attribute
- Distinguished Names und GUIDs
- sAMAccountName und userPrincipalName
- Betriebsmaster / Flexible single master oparations (FSMO) und globaler Katalogserver
- Produkthistorie von Active Directory 2000 bis zu Active Directory 2022 (was kam wann dazu)
- Active Directory Limitierungen
- Windows Admin Center (WAC) mit Active Directory Extension
Active Directory Administration
- Überblick über administrative Grenzen und Delegationsmöglichkeiten
- SACL / DACL – Berechtigungen im Active Directory und deren Vererbung
- Extended rights / property sets / validated writes
- Delegation von administrativen Aufgaben im Active Directory
- Implementieren einer ESAE-Struktur (Enhanded Security Administrative Environment)
- Fine grainted password policies (FGPP)
- Active Directory Überwachung
Powershell für Active Directory
- Powershell-Versionen
- Powershell-Grundlagen (Get-Help / Get-Command / Get-Member)
- Keyboard-Shortcuts für die Powershell
- Powershell-Variablen, -Aliase und -Pipelining
- Powershell-Profile
- Active Directory Web Services
- Powershell-Scripting für Active Directory
Active Directory Security Check und Health Check
- Secure Channel Check (unicodepwd / ntpwdhistory)
- Massnahmen gegen golden Tickets und silver Tickets
- RC4-Verschlüsselung bei Kerberos sicher und zuverlässig abschalten
- Tiering-Modell implementieren nach ESAE
- „LAPS“für Domain Controller per eigenem Powershell-Skript
- Missbrauch von Systemprozessen unterbinden
- Korrektur der Default-Privilegien
- Active Directory „Clean-up“
- Active Directory Replikation prüfen (repadmin.exe / dcdiag.exe)
- Dokumentation der Ist-Umgebung
Active Directory Schemaerweiterung und Domainprep
- Aufbau des Active Directory Schema
- Schemaobjekte, Objektklassen und Attribute
- Vererbung im Active Directory Schema
- Object Identifier (OID)
- Regel für Struktur und Inhalt
- Schema-Master
- Korrekte manuelle Schemaerweiterung mit eigenen Attributen und Klassen
- Schemaerweiterung für Active Directory 2022
- Domainprep für Active Directory 2022
Domain Controller Locator
- Domain Controller Locator Typen
- Domain Controller stickyness prevention
- Nearest Domain Controller
- DNS-Priorität vs. DNS-Gewichtung der SRV-Einträge
- Default Site Coverage vs. Manuelle Standortabdeckung (Hub/Spoke)
- Einflussnahme auf den Locator Service (entlasten, unattraktiv gestalten und verstecken von Domain Controllern)
- Netlogon-Debugging – warum landet mein Domain Member bei diesem Domain Controller
Deployment von Active Directory Domain Controllern
- Installation der Rolle (GUI und Windows Powershell)
- Promoten eines Domain Controllers unter Windows Server 2022 per GUI und als Server Core
- Untersuchen der vier möglichen Transitionswege
- Transitionsweg 1: Substituierende Migration (neuer Name + gleiche IP)
- Transitionsweg 2: Substituierende Migration (neuer Name + neue IP)
- Transitionsweg 3: Ablösende Migration (gleicher Name + gleiche IP)
- Transitionsweg 4: Konsolidierende Migration (RODCs anstelle von RWDCs)
Read-Only Domain Controller (RODC)
- Einsatzgebiete eines RODC
- Password replication policy
- Credentials caching
- RODC filtered attribute set
- Installation eines RODC (GUI + Windows Powershell)
- Zuweisen eines RODC zum Tier 1
- Domain Join over RODC (djoin.exe)
- RODC als DC-Reverse-Proxy (Schutz der RWDCs)
Active Directory und das Domain Name System (DNS)
- Überblick über das Zusammenspiel von ADS und DNS
- DNS-Namespace, DNS-Server und DNS-Clients (Resolver)
- Installation der DNS-Rolle per GUI und Windows Powershell
- Verwalten von DNS-Zonen
- Replikation von AD-integrierten Zonen
- DNS-Alterung einrichten im Zusammenspiel mit DHCP
- Global Query Block List, Global Name Zones und Query Resolution Policies
Advanced Site Management
- Architektur der Replikation
- Replikationstopologie
- Knowledge consistency checker (KCC)
- nTDSDSA und invocationID
- Urgent replication und immediately replication
- Intra-Site Replication vs. Inter-Site Replication
- Verkürzen der Replikationslatenz Intra-Site und Inter-Site
LDAP-Query
- Einführung in das LDAP-Protokoll
- ADSI / Suchen im ADS via TCP 389 / TCP 636
- Searchflags / Systemflags / SchemaFlagsEx
- List Object Mode (LOM)
- Domain Controller LDAP-Query-Policy
- Active Directory Web Services Config
- Tracking LDAP-Searches on Domain Controllers
- Hardening LDAP Channel Binding
Replication Internals
- Replication Meta Data
- nTDSDSA-GUID vs. InvocationID
- Up-to-dateness-vector und High-Watermark
- Replikationskonflikte
- Linked Value Replication
- SYSVOL-Replikation
Active Directory Forest Functional Level 2016
- Bewegen der Betriebsmaster inkl. Betriebsmasterausfall
- Optimieren der DNS-Server
- Ablösen der letzten alten Domain Controller
- 2016 Domain Functional Level
- 2016 Forest Functional Level
- Privilege Access Management Feature einrichten und verwenden
Active Directory Backup und Restore
- Voraussetzungen für das Backup – Installation der Rolle per GUI und Windows Powershell
- Sicherungsarten für Active Directory
- Richtlinien zur Sicherung von Active Directory
- Latenzintervalle bei der Sicherung von Active Directory (täglich vs. 89 Tage)
- Planen, einrichten und verteilen der Scheduled-Tasks für die Sicherung von Active Directory mit der Windows Powershell
- Sichern des Active Directory
- Wiederherstellen des Active Directory (BMR)
- Restore-Internals
- Restore-Prozess, wenn die Sicherung älter als 60 Tage ist
- Fragen der Teilnehmer5 Tage5800.005800.005800.006310.006429.848710.005030.005900.005900.005900.005900.005900.00