Münchner Straße 15, 89073 Ulm

IT Consulting – On Prem Beratung

Active Directory

AUFBAU UND MANAGEMENT EINER AD INFRASTRUKTUR
ANALYSE DES IST-ZUSTANDES DES BESTEHENDEN ACTIVE DIRECTORY

  • Analyse und Bereinigung des AD
  • Analyse der bestehenden Rollenmodelle
  • Detaillierte Dokumentation des Ist-Zustandes
  • Abschwächung der Gefahren von Golden und Silver-Tickets
  • Analyse zum Einsatz von RODC (Read-Only Domain Controllers) und Separation der RWDC (Read-Write Domain Controller)
  • Vorbereitung der Umsetzung von ESAE (Enhanced Security Administrative Environment)
  • Vorbereitung der Umsetzung eines Bastion- / Privileged-Forest
Active Directory Beratung

TRANSITION DES BESTEHENDEN AD AUF WINDOWS SERVER 1903

  • Migration des SYSVOL auf DFS-Replication
  • Abstellen der RC4-Verschlüsselung von Kerberos und Überführung auf AES-Verschlüsselung
  • Ermittlung der mindestens notwendigen Anzahl an Domain Controllern; Abwägung von Verfügbarkeit und notwendiger zusätzlich Investition
  • Installation der neuen Domain Controller und Deinstallation der alten Domain Controller (mitten im Regelbetrieb möglich)
  • Implementierung zur Sicherheit bei den Anmeldeprozessen von Clients und Servern ab Server 2008 und Windows Vista (in der Regel Server 2012 R2 und Windows 7)
  • Verbesserung der Domain Controller Redundanz bei Replikation und Anmeldeprozessen
  • Detaillierte Dokumentation des erreichten Transistionszustandes

Active Directory gehört heute weltweit zu einer der am meisten eingesetzten Server-Dienste von Microsoft. Unternehmen unterschiedlichster Grösse vertrauen bereits seit Jahrzehnten auf das Domänen-Vertrauensmodell von Microsoft Verzeichnisdienst. Der Dienst wird über Microsoft eigenes Server-Produkt Windows Server angeboten und liegt mittlerweile in neuester Version in Windows Server 2022 vor.

Mit Active Directory ist es möglich Windows-Rechner sowie Benutzer und Gruppen anzulegen und zu verwalten. Diesen Objekten können in einer Verzeichnisstruktur angelegt werden und somit die Hierarchie eines Unternehmens sowie Zuständigkeiten und Zugangsberechtigungen sehr gut abbilden. Die hierarchische Anordnung erfolgt durch OUs (Organisationseinheiten), auch Konzepte wie Gruppen oder andere Systeme wie Drucker oder Server können in Azure AD abgebildet werden.

Das zentrale Element einer Active Directory Domäne ist dabei ein sogenannter Domain Controller. Dieser enthält alle Informationen der Active Directory Gesamtstruktur (auch Forest genannt). Active Directory bietet durch das Multi-Master-Modell eine enorm hohe Resilienz gegenüber Ausfällen und Datenverlust da jeder Domain Controller alle Informationen über ein Verzeichnis enthält und somit auch bei Verlust aller Domain Controller ausser einem die Datenkonsistenz sichergestellt ist.

Die IQunit betreut bereits seit Windows Server 2000 AD-Umgebungen unterschiedlichster Grösse. Unsere Erfahrung in diesem Bereich über dutzende Projekte kommt Ihnen als Kunde zugute.

Active Directory Securitiy

Da Active Directory in den meisten Firmen ein zentrales Element für die Benutzer-, Rechte- und Computerverwaltung ist, hat die Absicherung eines Active Directory höchste Priorität. Zur Absicherung der Anmeldeinformationen verwendet Active Directory ausgiebig das Kerberos-Protokoll, ein am MIT entwickeltes Authentifizierungsprotokoll zur Verwendung in offenen Computernetzen.

In Anlehnung an den Namen des Höllenhundes Cerberus mit 3 Köpfen sind die wichtigsten Funktionen in Kerberos ebenfalls in 3 Rollen aufgeteilt: Der Kerberos-Server (KDC), der Member Server und der Client. Die Autorisierung erfolgt mithilfe von sogenannten Kerberos-Tickets mit begrenzter Lebenszeit.

Heute existieren viele bekannte Design-Schwachstellen in Active Directory sowie in Kerberos, grösstenteils bedingt durch das hohe Alter (teilweise über 30 Jahre) der zugrunde liegenden Technologien. Auch sind viele Active Directories in Firmen heute nicht mehr DSGVO-konform ausgelegt.
Wir von der IQunit analysieren, bewerten und geben Empfehlungen zur Verbesserung der Sicherheit Ihrer Active Directory-Umgebung. Empfindliche Schwachstellen wie Golden und Silver Tickets oder Kerberoasting können durch das Abschalten der anfälligen RC4-Verschlüsselung und das Entziehen lokaler Admin-Debug-Priviliegien gemindert werden. Wir analysieren die Nutzung von RC4 und anderen unsicheren Authentifizierungsmethoden in Ihrem AD und geben konkrete Maßnahmen zur Verringerung der Angriffsfläche.

Auch bestehende übermäßig erlaubende Berechtigungsstrukturen können ein potentielles Sicherheitsrisiko für grosse AD-Umgebungen sein. Hierbei setzen wir auch auf offizielle Microsoft Best-Practices wie Extended Security Admin Environment (ESAE) sowie dessen Nachfolger Rapid Modernization Plan (RAMP).

Group Policy

AUFBAU UND MANAGEMENT EINER GROUP POLICY INFRASTRUKTUR

Analyse des ist-Zustandes der bestehenden Group Policies (GPO)

  • Analyse der einzelnen Group Policies
  • Analyse der Abarbeitungszeit durch die bestehenden Group Policies
  • Erfassung von Synergieeffekten durch Konsolidierung der bestehenden Group Policies
  • Analyse der Sicherheitsrisiken durch bestehende Group Policies
  • Analyse der Replikationsgeschwindigkeit und von Replikationsproblemen der bestehenden Group Policies

Umsetzung der Analyseergebnisse der bestehenden Gruppenrichtlinien

  • Inhaltlich sinnvolles Konsolidieren der bestehenden Group Policies
  • Fehlerbehebung der bestehenden Group Policies aus der vorausgehenden Analyse
  • Ermittlung von alternativen Konzepten durch DSC (Desired State Configuration) und/oder Intunes
  • Anpassen der bestehenden Group Policies an Windows 10
  • Anpassen der bestehenden Group Policies an die DSGVO

Windows Power Server

On Prem Beratung

Microsoft Exchange

AUFBAU & MANAGEMENT EINER MICROSOFT EXCHANGE ORGANISATION

  • Transition zu Exchange 2016/2019
  • Planung und Konfiguration einer DAG
  • Archivierung und Compliance
  • Public Folder Management
  • Backup und Restore
  • Troubleshooting

RECOVERY VON DB UND SERVER

  • Recovery DB
  • Move DB new Exchange Organisation
  • Merge Logs/DBs
  • Restore Server Single/DAG + Restore delete Exchange Server AD account
  • Hilfe bei korrupter Datenbank, die nicht mehr gemountet werden kann
  • Single Item Recovery + Litigation Hold Best Practise
  • Abtrennen von Mailboxen ohne Zusatztool bei Unternehmen Spaltungen
  • Tipps und Trick Backup und Restore
  • Support, auch wenn die DB in einer DAG sich nicht mehr bereitstellen lässt
  • Support bei Index Fehler: Ab 2019 ist der Index in der DB, nicht mehr separat
Microsoft Exchange Server ist eines der am meisten genutzten Microsoft-Server-Produkte und einer der meistgenutzten E-Mail-Server überhaupt. Wie auch Active Directory existiert Microsoft Exchange Server bereits seit vielen Jahren und hatte seinen initialen Release im Jahre 1996. Seitdem hat sich das Produkt Microsoft Exchange stetig weiterentwickelt und liegt mittlerweile in der Version Exchange Server 2019 (15.2) vor.
Microsoft Exchange Server stellt dabei für Benutzer Postfächer für die gemeinsame Kommunikation über E-Mails bereit sowie Terminmanagement über Kalender und Einladungen, sowie Kontakte- und Aufgabenverwaltung. Exchange Server zeichnet sich vor allem durch Ihre grosse Skalierbarkeit aus, auch mehrere Zehntausende Postfächer sind für Exchange kein Problem. Die Exchange-Infrastruktur kann jederzeit durch das Hinzufügen weiterer Exchange Server oder durch die Erstellung einer DAG (Database Availability Group) erweitert und hochverfügbar gemacht werden.
Wir von der IQunit arbeiten bereits seit der Version 5.5 mit Exchange Server und haben daher umfassende Erfahrung im Aufbau, Betrieb und Management von Exchange Server. Enterprise-Themen wie Disaster Recovery der Exchange Datenbank, Autoreseed oder Federation mit anderen Organisationen sind uns daher bestens bekannt.

Microsoft SQL Server

X
X