Master Class: Active Directory Deep Dive – Installation, Konfiguration und Betrieb Seminar

Active Directory Überblick

• Active Diretory Strukturen: logisch (Forest, Domäne und Organisationseinheit) und physisch (Active Directory Standorte, Subnetze und Standortverbindungen)
• Multimaster-Replikation der AD-Datenbank
• Vertrauensstellungen (Trust-Relationship) inkl. PIM-Trust
• Nameskontexte der AD-Datenbank
• Active Directory Objekte und deren Attribute
• Distinguished Names und GUIDs
• sAMAccountName und userPrincipalName
• Betriebsmaster / Flexible single master oparations (FSMO) und globaler Katalogserver
• Produkthistorie von Active Directory 2000 bis zu Active Directory 2022 (was kam wann dazu)
• Active Directory Limitierungen
• Windows Admin Center (WAC) mit Active Directory Extension

Active Directory Administration

• Überblick über administrative Grenzen und Delegationsmöglichkeiten
• SACL / DACL – Berechtigungen im Active Directory und deren Vererbung
• Extended rights / property sets / validated writes
• Delegation von administrativen Aufgaben im Active Directory
• Implementieren einer ESAE-Struktur (Enhanded Security Administrative Environment)
• Fine grainted password policies (FGPP)
• Active Directory Überwachung

Powershell für Active Directory

• Powershell-Versionen
• Powershell-Grundlagen (Get-Help / Get-Command / Get-Member)
• Keyboard-Shortcuts für die Powershell
• Powershell-Variablen, -Aliase und -Pipelining
• Powershell-Profile
• Active Directory Web Services
• Powershell-Scripting für Active Directory

Active Directory Security Check und Health Check

• Secure Channel Check (unicodepwd / ntpwdhistory)
• Maßnahmen gegen golden Tickets und silver Tickets
• RC4-Verschlüsselung bei Kerberos sicher und zuverlässig abschalten
• Tiering-Modell implementieren nach ESAE
• „LAPS“für Domain Controller per eigenem Powershell-Skript
• Missbrauch von Systemprozessen unterbinden
• Korrektur der Default-Privilegien
• Active Directory „Clean-up“
• Active Directory Replikation prüfen (repadmin.exe / dcdiag.exe)
• Dokumentation der Ist-Umgebung

Active Directory Schemaerweiterung und Domainprep

• Aufbau des Active Directory Schema
• Schemaobjekte, Objektklassen und Attribute
• Vererbung im Active Directory Schema
• Object Identifier (OID)
• Regel für Struktur und Inhalt
• Schema-Master
• Korrekte manuelle Schemaerweiterung mit eigenen Attributen und Klassen
• Schemaerweiterung für Active Directory 2022
• Domainprep für Active Directory 2022

Domain Controller Locator

• Domain Controller Locator Typen
• Domain Controller stickyness prevention
• Nearest Domain Controller
• DNS-Priorität vs. DNS-Gewichtung der SRV-Einträge
• Default Site Coverage vs. Manuelle Standortabdeckung (Hub/Spoke)
• Einflussnahme auf den Locator Service (entlasten, unattraktiv gestalten und verstecken von Domain Controllern)
• Netlogon-Debugging – warum landet mein Domain Member bei diesem Domain Controller

Deployment von Active Directory Domain Controllern

• Installation der Rolle (GUI und Windows Powershell)
• Promoten eines Domain Controllers unter Windows Server 2022 per GUI und als Server Core
• Untersuchen der vier möglichen Transitionswege
• Transitionsweg 1: Substituierende Migration (neuer Name + gleiche IP)
• Transitionsweg 2: Substituierende Migration (neuer Name + neue IP)
• Transitionsweg 3: Ablösende Migration (gleicher Name + gleiche IP)
• Transitionsweg 4: Konsolidierende Migration (RODCs anstelle von RWDCs)

Read-Only Domain Controller (RODC)

• Einsatzgebiete eines RODC
• Password replication policy
• Credentials caching
• RODC filtered attribute set
• Installation eines RODC (GUI + Windows Powershell)
• Zuweisen eines RODC zum Tier 1
• Domain Join over RODC (djoin.exe)
• RODC als DC-Reverse-Proxy (Schutz der RWDCs)

Active Directory und das Domain Name System (DNS)

• Überblick über das Zusammenspiel von ADS und DNS
• DNS-Namespace, DNS-Server und DNS-Clients (Resolver)
• Installation der DNS-Rolle per GUI und Windows Powershell
• Verwalten von DNS-Zonen
• Replikation von AD-integrierten Zonen
• DNS-Alterung einrichten im Zusammenspiel mit DHCP
• Global Query Block List, Global Name Zones und Query Resolution Policies

Advanced Site Management

• Architektur der Replikation
• Replikationstopologie
• Knowledge consistency checker (KCC)
• nTDSDSA und invocationID
• Urgent replication und immediately replication
• Intra-Site Replication vs. Inter-Site Replication
• Verkürzen der Replikationslatenz Intra-Site und Inter-Site

LDAP-Query

• Einführung in das LDAP-Protokoll
• ADSI / Suchen im ADS via TCP 389 / TCP 636
• Searchflags / Systemflags / SchemaFlagsEx
• List Object Mode (LOM)
• Domain Controller LDAP-Query-Policy
• Active Directory Web Services Config
• Tracking LDAP-Searches on Domain Controllers
• Hardening LDAP Channel Binding

Replication Internals

• Replication Meta Data
• nTDSDSA-GUID vs. InvocationID
• Up-to-dateness-vector und High-Watermark
• Replikationskonflikte
• Linked Value Replication
• SYSVOL-Replikation

Active Directory Forest Functional Level 2016

• Bewegen der Betriebsmaster inkl. Betriebsmasterausfall
• Optimieren der DNS-Server
• Ablösen der letzten alten Domain Controller
• 2016 Domain Functional Level
• 2016 Forest Functional Level
• Privilege Access Management Feature einrichten und verwenden

Active Directory Backup und Restore

• Voraussetzungen für das Backup – Installation der Rolle per GUI und Windows Powershell
• Sicherungsarten für Active Directory
• Richtlinien zur Sicherung von Active Directory
• Latenzintervalle bei der Sicherung von Active Directory (täglich vs. 89 Tage)
• Planen, einrichten und verteilen der Scheduled-Tasks für die Sicherung von Active Directory mit der Windows Powershell
• Sichern des Active Directory
• Wiederherstellen des Active Directory (BMR)
• Restore-Internals
• Restore-Prozess, wenn die Sicherung älter als 60 Tage ist
• Fragen der Teilnehmer