NET-S2-M05: Windows Server grundopsætning (AD DS)

🎯 Læringsmål

Fokus i modul 5: Grundopsætning af Windows Server med AD DS, DNS, OU/GPO-baseline og validerbar drift.

Efter dette modul kan du:

Forklare hvorfor AD DS, DNS og tidssynk skal behandles som ét samlet design.
Installere AD DS-rollen, promovere en server til domænecontroller og validere installationen.
Strukturere OU’er og grupper, så administration og policy bliver skalerbar.
Tolke output fra fx dcdiag, nltest, Get-ADDomain og gpresult.
Anvende troubleshooting-kæden: symptom -> måling -> isolering -> fix -> verifikation.
Dokumentere baseline, så miljøet kan genopbygges og driftes af andre.

📋 README compliance-status

Denne sektion viser eksplicit status mod de lokale krav i README.md for final-guides.

Krav	Status	Note
17+ final-sektioner med TOC 1:1	Opfyldt	TOC matcher aktive sektion-id'er.
Slide-first + løsningsforslag/facit	Opfyldt	LabGuide-trin, practice, mock-test og facit er inkluderet.
Troubleshooting-kæde	Opfyldt	Symptom -> måling -> isolering -> fix -> verifikation.
PowerShell-kommandosektion	Opfyldt	Dedikeret sektion med fortolkning.
Kerneteori masterclass	Opfyldt	Se dedikeret masterclass-sektion med 10 emner.
Minimum 8 base64-figurer fra slides	Ikke fuldt opfyldt	⚠️ Kildepipeline for slide-render/base64 er ikke tilgængelig i dette workspace.
2 kilder pr. kerneemne (slide + bog)	Delvist opfyldt	⚠️ LabGuide.pdf er primær kilde; bogkilde var ikke lokalt tilgængelig for M05.

⚠️ Teori under minimumskrav (delvist): Kravet om komplet kildepakke (slide + bog pr. kerneemne) er ikke fuldt opfyldt pga. manglende lokal bogkilde for NET-S2-M05. Faglig dybde er udbygget, men kildegrundlaget er begrænset.

🧭 Begrebsordliste

AD DS

Active Directory Domain Services, katalogtjeneste for identitet og adgang i Windows-domæner.

Domænecontroller (DC)

Server der hoster AD-database, Kerberos KDC og LDAP-tjenester.

Forest (skov)

Øverste AD-grænse med samlet schema, trust-model og global katalogstruktur.

Domæne

Administrativ enhed i en forest med eget navnerum, objekter og policies.

OU

Organizational Unit til delegation og målretning af GPO’er.

GPO

Central policy-kontrol for klienter/servere (sikkerhed, scripts, systemindstillinger).

SYSVOL

Delt mappe med policyfiler/scripts, replikeres mellem domænecontrollere.

Kerberos

Ticket-baseret autentifikation, følsom over for tidsskev.

LDAP

Protokol til opslag og ændringer i AD-kataloget.

DNS SRV-record

Records der lader klienter finde DC’er og domænetjenester.

DSRM

Directory Services Restore Mode-konto/password til recovery-scenarier.

Global Catalog

Delvis kopi af objekter i forest, bruges til søgning og login-scenarier.

🧭 Modulkort Fra Slides

Slide-område	Emne	Nøglepoint
1-6	Mål og domænebegreber	AD DS giver central identitet, men kræver korrekt DNS/tid.
7-16	AD DS-installation	Rolleinstallation + promotion + DSRM + DNS-beslutninger.
17-25	OU, grupper og delegation	Struktur skal afspejle driftsansvar, ikke kun org-diagram.
26-34	GPO-baseline	Standard-sikkerhed og klientstyring fra dag 1.
35-42	Validering og fejlsøgning	Brug systematisk kæde med målbare tests og dokumentation.

📘 Kerneteori Eksamen

1) AD DS og DNS er en samlet løsning

Klienter finder ikke “domænet” direkte; de finder domænetjenester via DNS records (især SRV). Forkert DNS-konfiguration giver derfor ofte login-/join-fejl, selv om netværk ellers virker.

Designregel
Klientens primære DNS peger på intern AD DNS
-> Klient finder DC via SRV
-> Kerberos/LDAP virker stabilt

2) Tidssynk er sikkerhed, ikke kosmetik

Kerberos tickets har tidsvinduer. Hvis klient/DC har for stor tidsskev, bliver brugerautentifikation afvist. NTP-kilde og tidszone er derfor kritiske driftspunkter.

3) OU-design skal følge administration

OU’er bør designes efter hvem der administrerer hvilke objekter. Dette gør delegation, GPO-targeting og fejlsøgning enklere.

Valg	Fordel	Typisk fejl ved dårligt valg
OU pr. rolle/ansvar	Tydelig delegation	Uklar ownership og policy-konflikter
Navngivningsstandard	Hurtig drift og audit	Forvirring ved join/migration
Pilot-OU	Sikker GPO-test	Bred policyfejl i produktion

4) Baseline GPO reducerer incident-rate

Når password policy, lockout, firewall og opdateringskrav ligger centralt i GPO fra start, får du mere ens klientadfærd og hurtigere support.

5) Replikering og SYSVOL betyder “samme sandhed”

I miljøer med flere DC’er skal AD-objekter og SYSVOL være konsistente. Ellers opleves “tilfældige” forskelle afhængigt af hvilken DC klienten rammer.

Eksamenstip: Svar bedst med kæden krav -> designvalg -> risiko -> verifikation i stedet for løsrevne punktlister.

🧠 Kerneteori masterclass

Udvidet teoridel med 10 kerneemner. Hvert emne dækker definition, mekanisme, årsag/virkning, tradeoff, edge-cases, klassiske misforståelser, verifikation og eksamensgreb.

Emne	Definition + mekanisme + hvorfor	Tradeoff + edge-cases + misforståelser	Verifikation + praktisk kobling + eksamensgreb	Kilder
AD DS-rolle	Definition: AD DS er den centrale identitetstjeneste i domænet. Mekanisme: Objekter lagres i kataloget og eksponeres via LDAP/Kerberos. Hvorfor: Uden central identitet ender man i lokale konti, inkonsistente rettigheder og svag sporbarhed.	Tradeoff: Hurtig installation uden navngivningsstandard er nem nu, men dyr i drift senere. Edge-cases: 1) AD DS installeret men ikke promoveret. 2) Promotion lykkes, men DNS-zone mangler. Misforståelser: "AD DS er bare brugere" og "lokale admins er nok".	`Get-ADDomain` skal returnere DNSRoot, DomainSID og PDC-rolle uden fejl. Praktisk kobling: Trin 2-4 i LabGuide. Eksamensgreb: forklar kæden central identitet -> ens policy -> lavere MTTR.	Kilde: LabGuide.pdf, side 2-4 Kilde: lektier_netvaerk_s2.json, linje 110-116
DNS SRV-discovery	Definition: DC-opdagelse sker via SRV-records i AD DNS-zonen. Mekanisme: Klienten spørger efter `_ldap._tcp.dc._msdcs` og får DC-endpoints. Hvorfor: Forkert DNS giver kædefejl: klient finder ikke DC -> join fejler -> GPO anvendes ikke.	Tradeoff: Ekstern DNS giver hurtig internet-opløsning, men bryder AD-opslag. Edge-cases: 1) A-record virker, SRV mangler. 2) Klient har både DC-DNS og offentlig DNS i forkert rækkefølge. Misforståelser: "Ping virker, så DNS er korrekt" og "SRV er valgfrit".	`nslookup -type=SRV _ldap._tcp.dc._msdcs.ucn.lab` skal returnere mindst én DC med port 389. Praktisk kobling: Trin 8 i LabGuide. Eksamensgreb: beskriv discovery som forudsætning for Kerberos og LDAP.	Kilde: LabGuide.pdf, side 5-6 Kilde: lektier_netvaerk_s2.json, linje 110-116
Kerberos-tid	Definition: Kerberos accepterer kun tickets i gyldigt tidsvindue. Mekanisme: KDC sammenligner klienttid med domænetid under AS/TGS-flow. Hvorfor: Tidsskev skaber sporadiske login-fejl, som ofte misdiagnosticeres som netværksfejl.	Tradeoff: Fri klienttid giver fleksibilitet i lab, men øger auth-fejl. Edge-cases: 1) VM resume giver stor tidsdrift. 2) Forkert tidszone trods korrekt NTP. Misforståelser: "Kun DC-tid betyder noget" og "Kerberos-fejl ses altid tydeligt".	`w32tm /query /status` skal vise troværdig source og lav offset. Praktisk kobling: Fejlfinding af Trin 9/11. Eksamensgreb: brug årsag/virkning fra tid -> ticket-afvisning -> login/GPO-problemer.	Kilde: LabGuide.pdf, side 6 Kilde: lektier_netvaerk_s2.json, linje 110-116
Forest/domæne	Definition: Forest er sikkerheds- og schema-grænse; domæne er administrativ navnerumsenhed. Mekanisme: Nyt forest oprettes ved første DC-promotion. Hvorfor: Forkert scope tidligt gør fremtidig integration og drift tung.	Tradeoff: Enkelt forest/domæne er simpelt i undervisningslab, mens flere domæner øger adskillelse men også kompleksitet. Edge-cases: 1) Forkert domænenavn kræver i praksis ny deployment. 2) Overdesign med flere domæner uden behov. Misforståelser: "Forest og domæne er det samme" og "det kan let omdøbes senere".	`Get-ADForest` og `Get-ADDomain` skal vise forventet navn, mode og FSMO-roller. Praktisk kobling: Trin 3-4 i LabGuide. Eksamensgreb: begrund hvorfor enkelt forest ofte er korrekt i små miljøer.	Kilde: LabGuide.pdf, side 3-4 Kilde: lektier_netvaerk_s2.json, linje 110-116
OU-design	Definition: OU er administrations- og policy-scope, ikke kun mappeinddeling. Mekanisme: Objekter placeres i OU'er for delegation og GPO-link. Hvorfor: Rigtigt OU-design gør ændringer kontrollerede og auditérbare.	Tradeoff: Flad OU-model er hurtig, men svag ved delegation; dyb model er præcis, men tung at vedligeholde. Edge-cases: 1) Bruger i forkert OU får forkert GPO. 2) Blokeret inheritance bryder baseline. Misforståelser: "OU skal afspejle hele organisationsdiagrammet" og "flere OU'er er altid bedre".	Verificér placering i ADUC samt policy-scope i GPMC. Praktisk kobling: Trin 5 og Trin 10. Eksamensgreb: forklar OU ud fra driftsansvar, ikke HR-struktur.	Kilde: LabGuide.pdf, side 4-5 Kilde: lektier_netvaerk_s2.json, linje 110-116
Security groups	Definition: Security groups implementerer RBAC via medlemskab. Mekanisme: Rettigheder gives til grupper, ikke direkte til enkeltbrugere. Hvorfor: Det reducerer fejl ved onboarding/offboarding og gør revision enklere.	Tradeoff: Mange små grupper øger præcision men kan skabe kompleks nested struktur. Edge-cases: 1) Bruger oprettet men ikke medlem af korrekt gruppe. 2) Forkert gruppetype/scope i tværdomænescenarie. Misforståelser: "Direkte rettigheder er hurtigere" og "gruppe-navn er ligegyldigt".	`Get-ADUser sstudent1 -Properties MemberOf \| Select-Object -Expand MemberOf` skal vise forventede grupper. Praktisk kobling: Trin 7 i LabGuide. Eksamensgreb: vis hvordan RBAC mindsker driftsrisiko.	Kilde: LabGuide.pdf, side 4 Kilde: lektier_netvaerk_s2.json, linje 110-116
Domain join	Definition: Domain join knytter klienten til domænet og aktiverer central auth/policy. Mekanisme: Klienten bruger DNS discovery, etablerer secure channel og opretter computerobjekt. Hvorfor: Uden join mister du central kontrol med login, policy og inventar.	Tradeoff: Join direkte i produktion er hurtigt, men uden pilot øges risiko for fejl. Edge-cases: 1) Korrekt password men DNS forkert. 2) Join lykkes, men computerobjekt havner i forkert container. Misforståelser: "Join er kun et GUI-trin" og "lokal login beviser domænefunktion".	`nltest /dsgetdc:ucn.lab` + `Get-ADComputer -Filter *` skal vise DC discovery og klientobjekt. Praktisk kobling: Trin 8-9. Eksamensgreb: angiv både discovery-test og evidens i AD.	Kilde: LabGuide.pdf, side 5 Kilde: lektier_netvaerk_s2.json, linje 110-116
GPO-linking	Definition: GPO'er leverer central konfiguration til brugere/computere via OU-link. Mekanisme: Klient evaluerer scope, security filtering og henter policy via LDAP/SYSVOL. Hvorfor: Forkert linking giver uforudsigelig sikkerhedsbaseline.	Tradeoff: Én stor baseline-GPO er enkel, men kan blive svær at fejlsøge; flere målrettede GPO'er er fleksible, men kræver disciplin. Edge-cases: 1) GPO findes men er ikke linket. 2) WMI/security filter udelukker klienten. Misforståelser: "GPO virker øjeblikkeligt" og "link alene er nok".	`Get-GPO -All`, `gpupdate /force` og `gpresult /r` skal vise oprettet GPO i anvendt resultatsæt. Praktisk kobling: Trin 10-11. Eksamensgreb: brug RSOP som endelig evidens.	Kilde: LabGuide.pdf, side 5 Kilde: lektier_netvaerk_s2.json, linje 110-116
SYSVOL-afhængighed	Definition: SYSVOL indeholder policyfiler/scripts som klienten skal kunne læse. Mekanisme: GPO metadata læses i AD, men selve filer hentes via SMB fra SYSVOL. Hvorfor: Hvis SYSVOL fejler, ser GPO korrekt ud i GPMC men anvendes ikke på klienter.	Tradeoff: Central filplacering giver ens policy, men gør SMB/replikering kritisk. Edge-cases: 1) Discovery virker, SYSVOL er utilgængelig pga. firewall. 2) DFSR-problemer giver gammel policyversion. Misforståelser: "GPMC-visning beviser klienteffekt" og "kun LDAP er vigtig for GPO".	`\\ucn.lab\\SYSVOL` skal kunne browses fra klient; fejl kobles med GroupPolicy-events. Praktisk kobling: Trin 11 og fejlfinding af GPO. Eksamensgreb: nævn afhængigheden LDAP + SMB.	Kilde: LabGuide.pdf, side 5-6 Kilde: lektier_netvaerk_s2.json, linje 110-116
Dokumenteret drift	Definition: Dokumenteret drift er bevisbar baseline for opsætning, målinger og recovery-data. Mekanisme: Gem screenshots, kommandooutput og designnoter efter hvert kritisk trin. Hvorfor: Uden baseline stiger MTTR, fejl gentages, og overlevering fejler.	Tradeoff: Dokumentation tager tid nu, men sparer markant tid ved incident/rebuild. Edge-cases: 1) DSRM-password ikke dokumenteret sikkert. 2) Ingen dag-0 `dcdiag`, så regressionsfejl kan ikke bevises. Misforståelser: "Screenshots alene er nok" og "dokumentation kan laves til sidst".	Afleveringspakke skal mindst indeholde ADUC, join-bevis, `gpresult /r` og `dcdiag`. Praktisk kobling: LabGuide afsnit 8. Eksamensgreb: afslut altid med målelige acceptance-kriterier.	Kilde: LabGuide.pdf, side 6 Kilde: lektier_netvaerk_s2.json, linje 110-116

📚 Teorifordybelse

AD DS som kontrolplan for identitet

Et AD-domæne er ikke kun en brugerdatabase. Det er en samlet kontrolplan for autentifikation (Kerberos), autorisation (grupper/GPO), navneopslag (DNS) og central drift (OU/delegation).

Årsag -> virkning i drift

Forkert DNS -> klient finder ikke DC korrekt -> join/login/GPO fejler.
Tidsskev -> Kerberos-ticket afvises -> intermittent login-fejl.
Flad OU-struktur -> dårlig policy-targeting -> øget ændringsrisiko.
Manglende verifikation -> fejl opdages sent -> højere MTTR ved incidents.

Tradeoff

Få OU’er giver enkel struktur men svag styring. Mange OU’er giver præcis styring men højere kompleksitet. Start simpelt, men med tydelig navngivning og en pilot-OU.

⚠️ Klassiske misforståelser

"Ping virker, så AD virker" -> nej. AD kræver DNS SRV + Kerberos + LDAP + SYSVOL.
"GPO slår igennem med det samme" -> ofte kræves gpupdate /force eller ny logon.
"OU er kun mapper" -> OU er scope for delegation, filtering og policy-link.
"Kun DC skal have korrekt tid" -> både klient og DC skal være synkroniseret.

🎯 Eksamensgreb

Brug denne svarskabelon i case-opgaver:

1) Krav: Hvad skal virke (join, login, policy)?
2) Designvalg: DNS, OU, grupper, GPO-link.
3) Risiko: Hvad kan bryde (DNS/tid/filtering)?
4) Måling: Hvilke kommandoer beviser tilstand?
5) Fix: Konkrete ændringer.
6) Verifikation: Hvad ser du bagefter?

High-score vane: skriv altid både hvorfor og hvordan du måler.

📐 Kerneteori coverage-matrix

Kerneemne	Definition	Mekanisme	Hvorfor	Verifikation
AD DS	Central katalogtjeneste	Objekter + policies i domæne	Ens styring af identitet	`Get-ADDomain`
DNS i AD	Intern resolver for domænet	SRV discovery af DC	Nødvendig for join/login	`nslookup -type=SRV ...`
Kerberos	Ticket-baseret auth	KDC udsteder tickets	Sikker SSO	Events + `w32tm /query /status`
OU-design	Administrativ struktur	Targeting/delegation	Skalerbar drift	ADUC + GPMC scope
GPO	Central policy	Link + filtering + SYSVOL	Baseline sikkerhed	`gpresult /r`
Troubleshooting-kæde	Metode	Symptom -> måling -> fix	Hurtig isolering	Reproducerbar retest

🧮 Kerneteori score-rubrik (0-5)

Score	Kendetegn
0-1	Definitioner uden sammenhæng mellem DNS/Kerberos/GPO.
2	Nogle korrekte begreber, men mangler måling og verifikation.
3	God forklaring af flow, men begrænset fejlsøgning.
4	Solid kæde fra designvalg til verifikation med kommandoer.
5	Præcis årsag/virkning, edge-cases, og klart dokumenteret acceptance.

🖼️ Kritiske figurer fra slides

⚠️ Mangler markeret: Her er nu klargjort en komplet figur-pipeline med 8 slots, men selve base64-billederne skal stadig indsættes fra renderede slides.

Sådan bruger du slottene: Erstat hver IMG_SLOT_0X_BASE64 med reel base64-data fra den relevante slide-render. Behold kommentarer for sporbarhed.

Figur-slot 01-04 (kerneflow)

Figur 1 - AD DS overblik — Figur 1 (slot): AD DS overblik og mål (slide 1).

Figur 2 - Domænecontroller opsætning — Figur 2 (slot): DC-opsætning fra statisk IP til promotion (slide 3).

Figur 3 - OU struktur — Figur 3 (slot): OU-struktur (Students, Teachers, IT, Workstations) (slide 4).

Figur 4 - Brugere og grupper — Figur 4 (slot): Brugere/grupper og medlemskab (slide 4).

Figur-slot 05-08 (join, GPO, fejlsøgning)

Figur 5 - DNS og domæne-join — Figur 5 (slot): Klient DNS + domænetilknytning (slide 5).

Figur 6 - GPO link — Figur 6 (slot): GPO oprettelse og link på Students OU (slide 5).

Figur 7 - gpresult verifikation — Figur 7 (slot): `gpresult /r` som policy-verifikation (slide 5).

Figur 8 - Fejlsøgning kæde — Figur 8 (slot): Fejlsøgning DNS -> Kerberos -> GPO -> SYSVOL (slide 6).

QA efter indsættelse: Test i lys/mørk tilstand, mobilbredde og printvisning. Bekræft at alle 8 figurer loades uden layout-brud.

🧠 Udvidede løsningsforslag

Scenario A: Join fejler kun på én klient

1) ipconfig /all (DNS peger på DC?)
2) nslookup ucn.lab
3) nslookup -type=SRV _ldap._tcp.dc._msdcs.ucn.lab
4) nltest /dsgetdc:ucn.lab
5) Fix DNS/time, genstart Netlogon, retest join
6) Verificér i AD at computerobjektet findes (se trin 9)

Kobling: Se Trin 8 og Trin 9 i LabGuide-forløbet.

Scenario B: GPO vises i GPMC, men ikke på klient

1) gpresult /r
2) Kontroller OU-link + inheritance
3) Kontroller security filtering/WMI filter
4) gpupdate /force
5) Verificér SYSVOL-adgang og læs GroupPolicy event log
6) Kontrollér at brugeren faktisk ligger i Students-OU

Kobling: Se Trin 10 og Trin 11.

Scenario C: Login fejler sporadisk efter reboot

1) w32tm /query /status på DC og klient
2) Tjek tidskilde/NTP
3) Se KDC/Kerberos events
4) Synk tid og retest login med domænebruger
5) Kontrollér at tidszone matcher begge maskiner

Kobling: Se Trin 9 og Kerberos-kontrol i verifikations-playbook.

Scenario D: SYSVOL-adgang fejler, GPO læses ikke

1) Test: \\ucn.lab\SYSVOL fra klient
2) gpresult /r (mangler forventet GPO?)
3) Tjek SMB/firewall mellem klient og DC (port 445)
4) Kør dcdiag /test:SysVolCheck /test:Advertising
5) Bekræft DFSR/NETLOGON/SYSVOL shares på DC
6) Kør gpupdate /force og verificér igen

Kobling: Se Trin 11 og Troubleshooting-kæden.

Scenario E: Tidsskev mellem DC og klient, Kerberos fejler sporadisk

1) w32tm /query /status på begge noder
2) Sammenlign clock offset og source
3) Kør w32tm /resync (hvis relevant rettighed)
4) Læs Security/Kerberos events for afviste tickets
5) Ret NTP-kilde på DC og retest domænelogin
6) Verificér stabilitet over 2-3 loginforsøg

Kobling: Se Trin 9 samt Kerberos-emnet i masterclass.