Master Class: Active Directory Deep Dive – Installation, Configuration and Operation (SADDD-L0) – Details

Detaillierter Kursinhalt

Active Directory Überblick
  • Active Diretory Strukturen: logisch (Forest, Domäne und Organisationseinheit) und physisch (Active Directory Standorte, Subnetze und Standortverbindungen)
  • Multimaster-Replikation der AD-Datenbank
  • Vertrauensstellungen (Trust-Relationship) inkl. PIM-Trust
  • Nameskontexte der AD-Datenbank
  • Active Directory Objekte und deren Attribute
  • Distinguished Names und GUIDs
  • sAMAccountName und userPrincipalName
  • Betriebsmaster / Flexible single master oparations (FSMO) und globaler Katalogserver
  • Produkthistorie von Active Directory 2000 bis zu Active Directory 2022 (was kam wann dazu)
  • Active Directory Limitierungen
  • Windows Admin Center (WAC) mit Active Directory Extension
Active Directory Administration
  • Überblick über administrative Grenzen und Delegationsmöglichkeiten
  • SACL / DACL – Berechtigungen im Active Directory und deren Vererbung
  • Extended rights / property sets / validated writes
  • Delegation von administrativen Aufgaben im Active Directory
  • Implementieren einer ESAE-Struktur (Enhanded Security Administrative Environment)
  • Fine grainted password policies (FGPP)
  • Active Directory Überwachung
Powershell für Active Directory
  • Powershell-Versionen
  • Powershell-Grundlagen (Get-Help / Get-Command / Get-Member)
  • Keyboard-Shortcuts für die Powershell
  • Powershell-Variablen, -Aliase und -Pipelining
  • Powershell-Profile
  • Active Directory Web Services
  • Powershell-Scripting für Active Directory
Active Directory Security Check und Health Check
  • Secure Channel Check (unicodepwd / ntpwdhistory)
  • Maßnahmen gegen golden Tickets und silver Tickets
  • RC4-Verschlüsselung bei Kerberos sicher und zuverlässig abschalten
  • Tiering-Modell implementieren nach ESAE
  • „LAPS“für Domain Controller per eigenem Powershell-Skript
  • Missbrauch von Systemprozessen unterbinden
  • Korrektur der Default-Privilegien
  • Active Directory „Clean-up“
  • Active Directory Replikation prüfen (repadmin.exe / dcdiag.exe)
  • Dokumentation der Ist-Umgebung
Active Directory Schemaerweiterung und Domainprep
  • Aufbau des Active Directory Schema
  • Schemaobjekte, Objektklassen und Attribute
  • Vererbung im Active Directory Schema
  • Object Identifier (OID)
  • Regel für Struktur und Inhalt
  • Schema-Master
  • Korrekte manuelle Schemaerweiterung mit eigenen Attributen und Klassen
  • Schemaerweiterung für Active Directory 2022
  • Domainprep für Active Directory 2022
Domain Controller Locator
  • Domain Controller Locator Typen
  • Domain Controller stickyness prevention
  • Nearest Domain Controller
  • DNS-Priorität vs. DNS-Gewichtung der SRV-Einträge
  • Default Site Coverage vs. Manuelle Standortabdeckung (Hub/Spoke)
  • Einflussnahme auf den Locator Service (entlasten, unattraktiv gestalten und verstecken von Domain Controllern)
  • Netlogon-Debugging – warum landet mein Domain Member bei diesem Domain Controller
Deployment von Active Directory Domain Controllern
  • Installation der Rolle (GUI und Windows Powershell)
  • Promoten eines Domain Controllers unter Windows Server 2022 per GUI und als Server Core
  • Untersuchen der vier möglichen Transitionswege
  • Transitionsweg 1: Substituierende Migration (neuer Name + gleiche IP)
  • Transitionsweg 2: Substituierende Migration (neuer Name + neue IP)
  • Transitionsweg 3: Ablösende Migration (gleicher Name + gleiche IP)
  • Transitionsweg 4: Konsolidierende Migration (RODCs anstelle von RWDCs)
Read-Only Domain Controller (RODC)
  • Einsatzgebiete eines RODC
  • Password replication policy
  • Credentials caching
  • RODC filtered attribute set
  • Installation eines RODC (GUI + Windows Powershell)
  • Zuweisen eines RODC zum Tier 1
  • Domain Join over RODC (djoin.exe)
  • RODC als DC-Reverse-Proxy (Schutz der RWDCs)
Active Directory und das Domain Name System (DNS)
  • Überblick über das Zusammenspiel von ADS und DNS
  • DNS-Namespace, DNS-Server und DNS-Clients (Resolver)
  • Installation der DNS-Rolle per GUI und Windows Powershell
  • Verwalten von DNS-Zonen
  • Replikation von AD-integrierten Zonen
  • DNS-Alterung einrichten im Zusammenspiel mit DHCP
  • Global Query Block List, Global Name Zones und Query Resolution Policies
Advanced Site Management
  • Architektur der Replikation
  • Replikationstopologie
  • Knowledge consistency checker (KCC)
  • nTDSDSA und invocationID
  • Urgent replication und immediately replication
  • Intra-Site Replication vs. Inter-Site Replication
  • Verkürzen der Replikationslatenz Intra-Site und Inter-Site
LDAP-Query
  • Einführung in das LDAP-Protokoll
  • ADSI / Suchen im ADS via TCP 389 / TCP 636
  • Searchflags / Systemflags / SchemaFlagsEx
  • List Object Mode (LOM)
  • Domain Controller LDAP-Query-Policy
  • Active Directory Web Services Config
  • Tracking LDAP-Searches on Domain Controllers
  • Hardening LDAP Channel Binding
Replication Internals
  • Replication Meta Data
  • nTDSDSA-GUID vs. InvocationID
  • Up-to-dateness-vector und High-Watermark
  • Replikationskonflikte
  • Linked Value Replication
  • SYSVOL-Replikation
Active Directory Forest Functional Level 2016
  • Bewegen der Betriebsmaster inkl. Betriebsmasterausfall
  • Optimieren der DNS-Server
  • Ablösen der letzten alten Domain Controller
  • 2016 Domain Functional Level
  • 2016 Forest Functional Level
  • Privilege Access Management Feature einrichten und verwenden
Active Directory Backup und Restore
  • Voraussetzungen für das Backup – Installation der Rolle per GUI und Windows Powershell
  • Sicherungsarten für Active Directory
  • Richtlinien zur Sicherung von Active Directory
  • Latenzintervalle bei der Sicherung von Active Directory (täglich vs. 89 Tage)
  • Planen, einrichten und verteilen der Scheduled-Tasks für die Sicherung von Active Directory mit der Windows Powershell
  • Sichern des Active Directory
  • Wiederherstellen des Active Directory (BMR)
  • Restore-Internals
  • Restore-Prozess, wenn die Sicherung älter als 60 Tage ist
  • Fragen der Teilnehmer