N E T Z W E R K E F Ü R

D A S 3 . J A H R T A U S E N D

I P A D D R E S S M A N A G E M E N T

P R I V I L E G E M A N A G E M E N T

A C T I V E D I R E C T O R Y M A N A G E M E N T

Ulf B. Simon-WeidnerMicrosoft Most Valuable Professional

Windows Server | Directory Services | Enterprise Mobilty & Security Suite

© 2017 Ulf B. Simon-Weidner 5

U L F B . S I M O N - W E I DN ER

14x Microsoft Most Valuable Professional (2004 – heute)

Microsoft Certified Trainer (1999 – 2014), MCITP, MCSA

Computacenter: Trainee Principal Consultant Solution Manager Cloud Integration & Moderne Infrastrukturdienste (1998 – heute)

Fachautor: IT-Administrator, Microsoft Press, Microsoft Official Courseware

Fachkonferenzen: Global Azure Bootcamp 2016, Microsoft TechEd EU und USA, CIM Lingen,

Windows Server 2012 Launch Road-Show, Windows Server 2008 Launch, Directory ExpertsConference, The Experts Conference, Systems, CeBit, ..

© 2017 Ulf B. Simon-Weidner 6

A G EN DA

Microsoft Cloud-Dienste – Möglichkeiten und Szenarien

Die Grundlagen: Anbindung an die Cloud

Advanced: Verschiedene Szenarien

Global betrachtet

© 2017 Ulf B. Simon-Weidner 7

A C TI V E D I R EC TO RY F R Ü H ER U N D H EU TE

September / Oktober 2017

Die Vision des Active Directories:

DAS Unternehmensverzeichnis

Alle Anwendungen sind Integriert

Die „Architektur“ des ADs wird genutzt

Sinnvolle Forest- / Domänenmodelle

Bei Migrationen wird aufgeräumt

Lifecycle Management findet statt (inkl. Re-Zertifizierung)

Die Realität:

Viele Verzeichnisse

Teilweise neue ADs für bestimmte Anwendungen

NLBs vor Domänencontrollern

Forest- / Domänenmodel: Historisch gewachsen

Aufräumen oder Lifecycle-Management: Wenn‘s sein muss

September / Oktober 2017

D i e M i c r o s o f t C l o u d - D i e n s t eM ö g l i c h k e i t e n u n d S z e n a r i e n

September / Oktober 2017

„What is

Azure?”„The color of the sky …

„What is

Azure?”„The color of the sky …

… when there are

no Clouds!”

On-Premises

Office 365

On-Premises

SQL als Virtuelle Maschine(Stored

Procedures)

Azure SQL Datenbanken

Web-Applikation

Mobile

App

Client-Applikation Web-Applikation

On-Premises

Private Cloud(Virtualisierung

& Prozesse)

VMs

On-Premises

Azure AD Connect

AD FS Domain

controller

© 2017 Ulf B. Simon-Weidner 13

Cloud-Szenarien

© 2017 Ulf B. Simon-Weidner 14

KO M PO N EN TEN

D i e G r u n d l a g e nA n b i n d u n g a n d i e C l o u d

September / Oktober 2017

• Speicherort für „Cloud Identities“• Azure AD als zentraler Dienst

• Einsetzbar für viele andere Cloud Services

• Management von „Cloud Identities“• Synchronisation des eigenen AD mit dem Azure AD (Synchronisation)

• Lebenszyklus von „Cloud Identities“• Provisionierung und Enablement von AD-Konten (lokal, Federation)

• Berechtigungsverwaltung für „Cloud Identities“• Provisionierung von AD-Gruppen und Public Cloud Service Rechtegruppen

• Abhängig von Cloud Service Anbieter

• Rollenmodell, Policy Modell, automatisierte Workflows

© 2017 Ulf B. Simon-Weidner 16

TECHNOLOGIE – IDENTITY MANAGEMENT

Grundlage – was brauche ich immer?

Wenn eine volle Netzwerkverbindung benötigt wird

Also nicht für O365, AAD-WebAppProxy,..

Transparenz für den Anwender

Typen:

Peering

Point-to-Site:sichere VPN-Verbindung von einem lokalen Client aus (eher für Entwickler)

Site-to-Site:sichere Verbindung zwischen einem On-Premises Router und Azure Virtuellen Netzwerken

Multi-Site:ähnlich zu S2S, aber es werden mehrere On-Premises Netzwerke geroutet

VNET to VNET:verschiedene Virtuelle Netzwerke in Azure werden verbunden

© 2017 Ulf B. Simon-Weidner 17

VPNs in Azure

© 2017 Ulf B. Simon-Weidner 18

V PN S I N A Z U R E

Point-to-Site

18

Site-to-Site

© 2017 Ulf B. Simon-Weidner 19

V PN S I N A Z U R E

Multisite-to-Site

19

VNET-to-VNET

Verbindet:

Regionen

Abonnements

Unterschiedliche Deployment Modelle

© 2017 Ulf B. Simon-Weidner 20

V PN TO A Z U R E

September / Oktober 2017

B e n ö t i g t e R e s s o u r c e n

Virtuelle

Maschine

Storage

Account

Network

InterfaceRunbook

13.79.156.161

Public

IP

Virtual

NetworkVirtual

Network

Gateway

Local

Network

Gateway

Connection

© 2017 Ulf B. Simon-Weidner 21

A Z U R E A D U N D C LO U D

Cloudidentitäten

In der Cloud erstellt und verwaltet („Cloud-only“)

Synchronisierte Identitäten

Von On-Premises AD synchronisiert

Mit Passwort-Hash

Anmeldung in der Cloud möglich, auch wenn On-Premises nicht erreichbar

(kein SSO, aber single Credentials)

Federated Identities (Verbundidenditäten)

Synchroniert, aber üblicherweise ohne Passwort

Verifizieren des Passwortes über Federation Services On-Premises gegen „eigenes“ AD

O f f i c e 3 6 5 - I d e n t i t ä t e n u n d A z u r e A c t i v e D i r e c t o r y

© 2017 Ulf B. Simon-Weidner 22

A Z U R E A D U N D C LO U DM i c r o s o f t - S y n c h r o n i s a t i o n s w e r k z e u g e

• Azure Active Directory Synchronization Tool (DirSync)

• Azure Active Directory Sync (AADSync)

• Azure Active Directory Connect (Azure AD Connect)

• Forefront Identity Manager (FIM) 2012 R2

• Microsoft Identity Manger (MIM) 2016

© 2017 Ulf B. Simon-Weidner 23

A Z U R E A D U N D C LO U DM i c r o s o f t - S y n c r o n i s a t i o n s w e r k z e u g e

23

© 2017 Ulf B. Simon-Weidner 24

S I G N O N - O PTI O N EN

September / Oktober 2017

Password SyncPasswort Hashes werden synchronisiert, User melden sich in der Cloud mit den

gleichen Credentials an

Pass-through

Authentication (PTA)

Die Passwörter werden nicht synchronisiert, sondern von den On-Premises DCs

verifiziert

Federation (ADFS) User werden über eine Federation Infrastruktur (ADFS) authentifiziert

Nicht Konfigurieren Die Authentifizierung ist bereits eingerichtet

Enable Single Sign on

Single Sign On für diverse Browser (EDGE, IE, Chrome, Firefox, Safari)

- Computer müssen oder werden Azure-AD-joined sein (auch <Win10)

- Intranet-Zone muss nach bestimmten Azure-URLs erweitert werden

- Nutzt Kerberos für die Cloud

© 2017 Ulf B. Simon-Weidner 25

A A D C O N N EC TK e n n w o r t s y n c h r o n i s i e r u n g

© Computacenter 2016 25

© 2017 Ulf B. Simon-Weidner 26

A Z U R E A D U N D C LO U DM i c r o s o f t - S y n c r o n i s a t i o n s w e r k z e u g e – A A D - P a s s t h r o u g h - A u t h

26

© 2017 Ulf B. Simon-Weidner 27

A Z U R E A D U N D C LO U DM i c r o s o f t - S y n c r o n i s a t i o n s w e r k z e u g e – A A D - P a s s t h r o u g h - A u t h

27

© 2017 Ulf B. Simon-Weidner 28

VEREINFACHT

Active Directory Federation Services

September / Oktober 2017

September / Oktober 2017 © 2017 Ulf B. Simon-Weidner 29

DER „CLAIM“

Active Directory Federation Services

© 2017 Ulf B. Simon-Weidner 30

A C TI V E D I R EC TO RY F EDER ATI O N S ERV I CES

ADFS 1.0: Windows Server 2003 R2

ADFS 1.1: WS2008 (R2)

ADFS 2.0: separater Download

ADFS 2.1: WS2012

ADFS 3.0: WS2012 R2

ADFS-Proxy ist jetzt Web Application Proxy (WAP)

V e r s i o n e n u n d To p o l o g i e n

30

ADFS Hochverfügbar auslegen?

Welche Datenbank wird verwendet?

Windows Internal Database (WID)

Microsoft SQL-Server

Deployment: Proxies (WAP)

Schema, Domänen, Gesamtstruktur

Diensteaccount

https://technet.microsoft.com/en-us/libary/dn554241.aspx

A d v a n c e dV e r s c h i e d e n e S z e n a r i e n

September / Oktober 2017

AAD-CONNECTIVITY AUS DER CLOUD HERAUS

Kundenszenario 1

Active Directory AD FSAAD Connect

Perimeter

AD FS-P

WAG

sts.company.com

Azure

Active

Directory

AAD

Connect Sync

AD

Au

the

nti

cati

on

© 2017 Ulf B. Simon-Weidner

34

EXTRANET, UNTERNEHMENSÜBERGREIFEND, PROZESSE ZUM IDENTITY LIFECYCLE

Kundenszenario 2

Active Directory / ggf. ADFS

© 2017 Ulf B. Simon-Weidner

© 2017 Ulf B. Simon-Weidner 36

A Z U R E A D D O M A I N S ERV I CES

Feature Azure AD Domain Services 'Do-it-yourself' AD in Azure VMs

Managed service ✓ ✕

Secure deployments ✓ diy

DNS server ✓ (managed service) ✓

Domain or Enterprise administrator privileges ✕ ✓

Domain join ✓ ✓

Domain authentication using NTLM and Kerberos ✓ ✓

Kerberos constrained delegation resource-based resource-based & account-based

Custom OU structure ✓ ✓

Schema extensions ✕ ✓

AD domain/forest trusts ✕ ✓

LDAP read ✓ ✓

Secure LDAP (LDAPS) ✓ ✓

LDAP write ✕ ✓

Group Policy ✓ ✓

Geo-distributed deployments ✕ ✓

F u n k t i o n e n

36

© 2017 Ulf B. Simon-Weidner 37

D EL EG ATI O N B I S I N DI E C LO U D

September / Oktober 2017

Erwartung: in der Cloud sollen die gleichen, granularen Möglichkeiten existieren wie On-Premises

Tatsächlich:

Vordefinierte Rollen

Delegation mag möglich sein, aber die Admin-Tools verstehen es nicht

Multi-Cloud und externe Konten: gut konzipieren

„Neu“:

Mit Azure Resource Model / RBAC ist vieles möglich

Templates für Azure Szenarien

Cloud

SaaSAzure

Office 365Publiccloud

On-Prem Active Directory

Ulf B. Simon-WeidnerMicrosoft Most Valuable Professional

Windows Server | Directory Services | Enterprise Mobilty & Security Suite

www.msmvps.com/ulfbsimon-weidner

@dsgeek