Detaillierter Kursinhalt
Active Directory Überblick
- Active Diretory Strukturen: logisch (Forest, Domäne und Organisationseinheit) und physisch (Active Directory Standorte, Subnetze und Standortverbindungen)
- Multimaster-Replikation der AD-Datenbank
- Vertrauensstellungen (Trust-Relationship) inkl. PIM-Trust
- Nameskontexte der AD-Datenbank
- Active Directory Objekte und deren Attribute
- Distinguished Names und GUIDs
- sAMAccountName und userPrincipalName
- Betriebsmaster / Flexible single master oparations (FSMO) und globaler Katalogserver
- Produkthistorie von Active Directory 2000 bis zu Active Directory 2022 (was kam wann dazu)
- Active Directory Limitierungen
- Windows Admin Center (WAC) mit Active Directory Extension
Active Directory Administration
- Überblick über administrative Grenzen und Delegationsmöglichkeiten
- SACL / DACL – Berechtigungen im Active Directory und deren Vererbung
- Extended rights / property sets / validated writes
- Delegation von administrativen Aufgaben im Active Directory
- Implementieren einer ESAE-Struktur (Enhanded Security Administrative Environment)
- Fine grainted password policies (FGPP)
- Active Directory Überwachung
Powershell für Active Directory
- Powershell-Versionen
- Powershell-Grundlagen (Get-Help / Get-Command / Get-Member)
- Keyboard-Shortcuts für die Powershell
- Powershell-Variablen, -Aliase und -Pipelining
- Powershell-Profile
- Active Directory Web Services
- Powershell-Scripting für Active Directory
Active Directory Security Check und Health Check
- Secure Channel Check (unicodepwd / ntpwdhistory)
- Massnahmen gegen golden Tickets und silver Tickets
- RC4-Verschlüsselung bei Kerberos sicher und zuverlässig abschalten
- Tiering-Modell implementieren nach ESAE
- „LAPS“für Domain Controller per eigenem Powershell-Skript
- Missbrauch von Systemprozessen unterbinden
- Korrektur der Default-Privilegien
- Active Directory „Clean-up“
- Active Directory Replikation prüfen (repadmin.exe / dcdiag.exe)
- Dokumentation der Ist-Umgebung
Active Directory Schemaerweiterung und Domainprep
- Aufbau des Active Directory Schema
- Schemaobjekte, Objektklassen und Attribute
- Vererbung im Active Directory Schema
- Object Identifier (OID)
- Regel für Struktur und Inhalt
- Schema-Master
- Korrekte manuelle Schemaerweiterung mit eigenen Attributen und Klassen
- Schemaerweiterung für Active Directory 2022
- Domainprep für Active Directory 2022
Domain Controller Locator
- Domain Controller Locator Typen
- Domain Controller stickyness prevention
- Nearest Domain Controller
- DNS-Priorität vs. DNS-Gewichtung der SRV-Einträge
- Default Site Coverage vs. Manuelle Standortabdeckung (Hub/Spoke)
- Einflussnahme auf den Locator Service (entlasten, unattraktiv gestalten und verstecken von Domain Controllern)
- Netlogon-Debugging – warum landet mein Domain Member bei diesem Domain Controller
Deployment von Active Directory Domain Controllern
- Installation der Rolle (GUI und Windows Powershell)
- Promoten eines Domain Controllers unter Windows Server 2022 per GUI und als Server Core
- Untersuchen der vier möglichen Transitionswege
- Transitionsweg 1: Substituierende Migration (neuer Name + gleiche IP)
- Transitionsweg 2: Substituierende Migration (neuer Name + neue IP)
- Transitionsweg 3: Ablösende Migration (gleicher Name + gleiche IP)
- Transitionsweg 4: Konsolidierende Migration (RODCs anstelle von RWDCs)
Read-Only Domain Controller (RODC)
- Einsatzgebiete eines RODC
- Password replication policy
- Credentials caching
- RODC filtered attribute set
- Installation eines RODC (GUI + Windows Powershell)
- Zuweisen eines RODC zum Tier 1
- Domain Join over RODC (djoin.exe)
- RODC als DC-Reverse-Proxy (Schutz der RWDCs)
Active Directory und das Domain Name System (DNS)
- Überblick über das Zusammenspiel von ADS und DNS
- DNS-Namespace, DNS-Server und DNS-Clients (Resolver)
- Installation der DNS-Rolle per GUI und Windows Powershell
- Verwalten von DNS-Zonen
- Replikation von AD-integrierten Zonen
- DNS-Alterung einrichten im Zusammenspiel mit DHCP
- Global Query Block List, Global Name Zones und Query Resolution Policies
Advanced Site Management
- Architektur der Replikation
- Replikationstopologie
- Knowledge consistency checker (KCC)
- nTDSDSA und invocationID
- Urgent replication und immediately replication
- Intra-Site Replication vs. Inter-Site Replication
- Verkürzen der Replikationslatenz Intra-Site und Inter-Site
LDAP-Query
- Einführung in das LDAP-Protokoll
- ADSI / Suchen im ADS via TCP 389 / TCP 636
- Searchflags / Systemflags / SchemaFlagsEx
- List Object Mode (LOM)
- Domain Controller LDAP-Query-Policy
- Active Directory Web Services Config
- Tracking LDAP-Searches on Domain Controllers
- Hardening LDAP Channel Binding
Replication Internals
- Replication Meta Data
- nTDSDSA-GUID vs. InvocationID
- Up-to-dateness-vector und High-Watermark
- Replikationskonflikte
- Linked Value Replication
- SYSVOL-Replikation
Active Directory Forest Functional Level 2016
- Bewegen der Betriebsmaster inkl. Betriebsmasterausfall
- Optimieren der DNS-Server
- Ablösen der letzten alten Domain Controller
- 2016 Domain Functional Level
- 2016 Forest Functional Level
- Privilege Access Management Feature einrichten und verwenden
Active Directory Backup und Restore
- Voraussetzungen für das Backup – Installation der Rolle per GUI und Windows Powershell
- Sicherungsarten für Active Directory
- Richtlinien zur Sicherung von Active Directory
- Latenzintervalle bei der Sicherung von Active Directory (täglich vs. 89 Tage)
- Planen, einrichten und verteilen der Scheduled-Tasks für die Sicherung von Active Directory mit der Windows Powershell
- Sichern des Active Directory
- Wiederherstellen des Active Directory (BMR)
- Restore-Internals
- Restore-Prozess, wenn die Sicherung älter als 60 Tage ist
- Fragen der Teilnehmer