Weiterbildungen für On-Premises-Produkte
Zielgruppe
- Systemmanager
- Netzwerkmanager
- Support-Ingenieure
Dauer
Die Kursdauer beträgt 5 Tage.
Level
Dieses Seminar hat eine hohe Komplexität. Erste Erfahrungen in Active Directory werden vorausgesetzt
Inklusiv
Teilnahme bei uns vor Ort in Ulm: Mittagessen, Getränke, Gebäck, Übernahme der Parkengebühren
Generell (persönlich übergeben oder per Paketdienst): Schreibblock, Kugelschreiber, Tasche und IQunit Zertifikat
Buchung
Telefonisch: +49 731 1848699-0 oder
E-Mail: info@iqunit.com oder
Buchung Online
Preis
3.990,00€ exkl.MwSt.
Per Rechnung nach Kurs
Termine
+ KW 50: 09.12.2024 – 13.12.2024 (geschlossen)
+ KW 05: 27.01.2025 – 31.01.2025
+ KW 12: 17.03.2025 – 21.03.2025
+ KW 23: 02.06.2025 – 06.06.2025
An den Terminen ist die Teilnahme in Präsenz (in unserem Schulungsraum in Ulm) oder online möglich
Sprache
Dieser Kurs (Präsentation und Unterlagen) ist auf Deutsch und auf Englisch verfügbar.
Details hierzu gerne bei Anfrage, sprechen Sie uns an!
INHALT DEr Schulung ESSENTIAL ACTIVE DIRECTORY 2025
Das Augenmerk des Kurses Active Directory 2025 liegt in der Härtung, Bereinigung, Optimierung und Transition eines historisch gewachsenen Active Directory auf Domain Controller mit dem Betriebssystem Windows Server 2025. Das Bereinigen umfasst die Implementierung eines ESAE (Enhanced Security Administrative Environment)-konformen Betriebs des Active Directory, das Schützen wertvoller und sensibler Ressourcen vor neugierigen Augen, sowie das Entfernen obsoleter Altstrukturen.
Durch die Optimierung des Active Directory werden veraltete Verschlüsselungsprotokolle sicher entfernt und die Latenz für den Datenabgleich zwischen den Domain Controllern auf ein zeitgemäßes Niveau verkürzt. Mit der Transition werden alle vier Möglichkeiten beleuchtet die veralteten Domain Controller durch neue Domain Controller abzulösen, wobei sowohl Read-Write Domain Controller wie auch Read-Only Domain Controller eingesetzt werden. Der praxisnahe Einsatz von einem ESAE-konformen Active Directory im Zusammenspiel mit einem belastbaren Szenario für Backup und Restore bieten verlässliche reaktive Maßnahmen im Falle einer Konfrontation mit Ransomware.
Ein bereinigtes, gehärtetes, aufgeräumtes und sauber überführtes Active Directory bietet dann eine gute Position den sicheren Weiterbetrieb des Active Directory zu gewährleisten. Ein solch vorbereitetes Active Directory ist der perfekte Grundstein die Identitäten in Richtung EntraID durch eine Hybridstellung zu bewegen.
DER EXPERTENKURS BEHANDELT FOLGENDE THEMEN:
Agenda
- Active Directory Überblick
- Active Directory Administration
- Powershell für Active Directory
- Active Directory Security Check und Health Check
- Active Directory Schemaerweiterung und Domainprep
- Domain Controller Locator
- Deployment von Active Directory Domain Controllern
- Read-Only Domain Controller (RODC)
- Active Directory und das Domain Name System (DNS)
- Advanced Site Management
- LDAP-Query
- Replication Internals
- Active Directory Forest Functional Level 2025
- Active Directory Backup und Restore
Die Themen des Active Directory 2025 Kurses sind wie folgt:
- Überblick über die Active Directory Familie (Active Directory DOMAIN SERVICES, Active Directory LIGHTWEIGHT DOMAIN SERVICES, Active Directory FEDERATION SERVICES, Active Directory CERTIFICATE SERVICES) und deren historische Entwicklung
- Active Directory Administration – Delegation von administrativen Aufgaben
- Windows Powershell für Active Directory (Automatisierung von Routineaufgaben)
- Active Directory Healthcheck und Bestandsaufnahme des bestehenden Active Directory: Bereinigung, Absichern und Vorbereitung zur Transition auf Active Directory mit Server 2025
- Manuelle Schemaerweiterung und die Schemaerweiterung für Active Directory 2025
- Domain Controller Locator – Einfluss und Steuerung wie ein DC von Windows Clients gefunden wird.
- Installation von Read-Write Domain Controllern (RWDC) unter Server 2025 (mit grafischer Oberfläche oder wahlweise auch als Core)
- Installation von Read-Only Domain Controllern (RODC) unter Server 2025 (mit grafischer Oberfläche oder wahlweise auch als Core)
- Active Directory integriertes DNS – Replikation und Berechtigungen, sowie der Einfluss von DHCP auf das DNS
- Advanced Site Management – Mechanismen der Replikation und wie man die Replikationsgeschwindigkeit steigert.
- LDAP- und ADWS-Schnittstelle, LDAP- und ADWS-Abfragen, Limitierungen und Debugging
- DC Replication Internals – wie genau werden die Datenbank und das SYSVOL abgeglichen?
- Active Directory Domain und Forest Functional Levels – finales Erreichen von Domain Functional Level 2025 und Forest Functional Level 2025.
- Backup und Restore von Active Directory – wann und wie oft sichern? Wann ein AD-Restore?
In diesem Kurs stehen der Weiterbetrieb eines historisch gewachsenen Active Directory Forests und die Migration von älteren Versionen (Server 2016 und Server 2019) sowie die Verwaltung von Active Directory im Vordergrund. Nach diesem Kurs sollten die Teilnehmer in der Lage sein, sowohl ein organisch entwickeltes Konvolut an Active Directory Forests verwalten zu können. Sie sind auch sensibilisiert auf die Sicherheitslücken von Active Directory und können grundlegende Sicherheitsmaßnahmen treffen, diesen Sicherheitslücken professionell zu begegenen.
Gleich zum Kursbeginn (Healthcheck) geben wir Ihnen einen tiefen Einblick in die aktuellen Sicherheitslücken von Active Directory und Kerberos im speziellen und die dadurch entstandenen Gefahren durch Golden Ticket / Silver Ticket. Diese Gefahr zwingt alle Administratoren dazu umzudenken und die neuen Sicherheitsfeatures ab Active Directory 2016 (Bastion Forest, Privileged Access Management (PAM), Timebased Group Membership) einzusetzen. Clientseitig tragen Sicherheitsmaßnahmen ab Windows 10 Enterprise wie Virtualized Based Security (VBS) mit Credential Guard und Device Guard massiv dazu bei, den unerlaubten Zugang zu den “Credentials” im LSA (Local Security Authority) Cache zu unterbinden. Die Angriffsvektoren auf die verschiedenen Sicherheitslücken können durch vielfälltige Ansätze abgeschwächt werden. Ein gut geplanten Tiering-Modell, der List Object Mode (LOM) der Einsatz der Gruppe Protected Users und der Einsatz von Read-Only Domain Controllern tragen die Hauptlast im Bereich der Gefahrenabwehr.
Die Realisierung dieser Sicherheitsmaßnahmen erfordert die Einführung eines ESAE-konformen Betrieb des Active Directory, wird unterstützt durch rollierende Kennwörter von den krbtgt-Konten und dem Abschalten von schwachen Authentifizierungsverfahren wie LM und NTLMv1. Ebenso wird im Kurs die sichere und zuverlässige Abschaltung der RC4-Verschlüsselung im Protokoll Kerberos V5 realisiert.
Mit dem Kapitel Advanced Site Management wird der Fokus etwas von der Sicherheit weg genommen und mehr in Richtung Belastbarkeit des Active Directory gelegt. Die im Kurs verwendet Sturktur ist, wie so häufig bei den historisch gewachsenen Active Directory Gesamtstrukturen, sehr langsam. Wir starten mit einer Replikationslatenz von über einer Stunde (60 Minuten oder 3600 Sekunden) und reduzieren diese, ohne die Struktur umzubauen, auf unter 20 Sekunden (0,005 Stunden / 0,33 Minuten).
Anhand des bestehenden 2016 Forests wird zuerst die Grundlage vermittelt und aufgefrischt. Dazu gehören die Aufgaben von Global Catalog Server, der 5 x FSMO (Flexible Single Master Operation) im Forest, der Replikation von SYSVOL innerhalb der Domäne und die DC-Replikation zwischen den verschiedenen Active Directory Sites. Dabei wird versucht, wenn es möglich ist, immer PowerShell einzusetzen. Die Verwaltung von Active Directory hier im Kurs hat weniger den Fokus auf dem Tagesgeschäft (Benutzer, Computer und Gruppen zu verwalten), sondern geht in die Tiefe des Verzeichnisdienstes.
Sie lernen, welche Berechtigungen es im Active Directory gibt und wie man diese beeinflussen kann. Neben den Berechtigungen gilt es auch zu untersuchen, wie man effizient den Verzeichnisdienst per LDAP befragen kann, wie man eigene Abfragerichtlinien etabliert und – natürlich – prüft: Wer fragt meine DCs was und wie viel CPU-Zeit kostet das. Spezielle LDAP-Suche nach Objekten und Attributen wie z. B. Bitwise AND/OR, SearchFlags, systemFlags etc. werden praktiziert. Auch die sog. LDAP Query Policy kann die Performance und Sicherheit der DC beeinflussen. Mit dem LOM (List Object Mode) ist es möglich, AD-Objekte vor LDAP-Abfrage zu verstecken, sodass nur autorisierte Personen diese finden können.
Vor der Migration auf neue DCs müssen Vorkehrungen getroffen werden. Dazu gehört unter anderem das Verständnis für den Domain Controller Locator Prozess (wie finden Memberserver und -workstations einen Domain Controller). Abgeschlossen wird der zweite Block durch etwas Aufräumen im Verzeichnisdienst und dem Optimieren und Schützen des DNS-Dienstes zur Vorbereitung der Migration. Um die Installation von Windows Server 2025 einzuleiten, müssen Veränderungen am Active Directory Schema und an den jeweiligen Domain Partition vorgenommen werden. Die Problematik liegt hierbei in der irreversiblen Veränderung (vgl. Schemaerweiterung) und in der Umkehrbarkeit des Domain Preps. Ebenso wird der Einsatz von RODCs in einer ESAE-Konformen (T1) Umgebung durchgeführt.
Damit die vielen anschließenden Praxisübungen effizient abgewickelt werden können, ist gleich vorweg ein Kernmodul die Windows Powershell. Die Windows Powershell wird im Kurs ab der Version 5.x eingesetzt, um auch größere Strukturen programmatisch administrieren zu können. Besondere Aufmerksamkeit wird in diesem Kapitel auf das Erstellen von eigenen PowerShell-Skripten und PowerShell-Modulen mit Visual Studio Code gelegt.
Der eigentlichen Migration des Active Directory auf Domain Controller mit dem Betriebssystem 2025 werden alle möglichen Migrationsszenarien in praxisgerechten Übungen durchlebt:
- Substituierende Migration (neue DC-Namen + gleiche IPv4-Adressen)
- Substituierende Migration (neue DC-Name + neue IPv4-Adressen)
- Ablösende Migration (gleiche DC-Namen + gleiche IPv4-Adressen)
- Konsolidierende Migration (Abbau von RWDCs und Aufbau von RODCs)
In jedem der vier Szenarien wird die Umsetzung ausschließlich über die Windows PowerShell abgewickelt. Sobald der Mechanik der DC-Installation per grafischer Oberfläche und per Windows PowerShell verinnerlicht wurde, erfolgt die Konzentration auf das Design der neuen Struktur.
Bestandteil von den Active Directory Workshop sind eigens entwickelte PowerShell-Skripte (derzeit über 60 Skripte – die Sie selbstverständlich mitnehmen dürfen – zum Beispiel ein vollautomatisiertes Deployment von Domain Controllern aus einem SYSPREP-Images heraus), welche Ihnen viele Routinearbeiten im Tagesgeschäft erleichtern.
Die Sicherung von Active Directory wie auch der Restore-Prozess sind natürlich Bestandteil des Kurses. Hier erlernen Sie, wie Sie effizient das Active Directory sichern können, welche Intervalle zu wählen sind und wie viele Domain Controller gesichert werden müssen. Die Restore-Prozesse umfassen die Nicht-Autorisierende und die Autorisierende Wiederherstellung (sollten ganze Strukturen im Active Directory versehentlich gelöscht worden sein). Besonderes Augenmerk wird zusätzlich auf den Domain Controller Secure Channel gesetzt und wie man dieses bei Domain Controllern reparieren kann.
Termine:
+ KW 50: 09.12.2024 – 13.12.2024 (geschlossen)
+ KW 05: 27.01.2025 – 31.01.2025
+ KW 12: 17.03.2025 – 21.03.2025
+ KW 23: 02.06.2025 – 06.06.2025
– jetzt buchen
Für Buchung zu Rabattpreisen, wenden Sie sich bitte an uns per E-Mail oder telefonisch.