2012年11月16日金曜日

70-640 TS (R2 対応版): Windows Server 2008 Active Directory, Configuring

MCST 問題1 / 30   REF:70-640V2.23717


あなたの会社には、intranet.crammedia.com という単独の Active Directory ドメインがあります。すべてのドメインコントローラーが Windows Server 2008 R2 を実行しています。ドメインの機能レベルはWindows 2000 ネイティブで、フォレストの機能レベルはWindows 2000 です。

あなたは crammedia.com のUPN サフィックスをすべてのユーザーアカウントで使用できるようにする必要があります。

最初にどうすればよいですか。









解説:

Active Directory ドメインと信頼関係を使用して、既存のユーザー アカウントにユーザー プリンシパル名 (UPN) サフィックスを追加することができます。ユーザー アカウントの既定の UPN サフィックスは、そのユーザー アカウントが含まれるドメインのドメイン ネーム システム (DNS) のドメイン名です。代わりの UPN サフィックスを追加すると、すべてのユーザーに単一の UPN サフィックスが提供されるため、管理やユーザーのログオン プロセスが簡素化できます。UPN サフィックスは、Active Directory のフォレスト内でのみ使用されるため、有効な DNS ドメイン名である必要はありません。


参考資料: 「ユーザー プリンシパル名サフィックスを追加する」
http://technet.microsoft.com/ja-jp/library/cc772007(WS.10).aspx
MCST 問題2 / 30   REF:70-640V2.23720


あなたの会社には単独の Active Directory ドメインがあります。ドメインコントローラーはいずれも Windows Server 2003 を実行しています。あなたはあるサーバーにWindows Server 2008 R2 をインストールしました。あなたはこの新しいサーバーをドメインコントローラーとしてドメインに追加する必要があります。最初にどうすればよいですか。









解説:

既存の Windows 2000 Server または Windows Server 2003 ドメインに新しい Windows Server 2008 ドメイン コントローラをインストールする場合は、次の考慮事項に注意してください。

・このドメイン コントローラがフォレスト内で最初の Windows Server 2008 ドメイン コントローラである場合、スキーマ操作マスタ上でのスキーマの拡張 (adprep /forestprep) をまだ実行していなければ、これを実行してフォレストを Windows Server 2008 用に準備する必要があります。

・このドメイン コントローラが Windows 2000 Server ドメイン内で最初の Windows Server 2008 ドメイン コントローラである場合は、先にインフラストラクチャ マスタ上で adprep /domainprep /gpprep を実行してドメインを準備する必要があります。

・このドメイン コントローラが Windows Server 2003 ドメイン内で最初の Windows Server 2008 ドメイン コントローラである場合は、インフラストラクチャ マスタ上で adprep /domainprep を実行してドメインを準備する必要があります。

・RODC を Windows 2000 Server または Windows Server 2003 のフォレストにインストールする前に、adprep /rodcprep を実行してフォレストを準備する必要があります。adprep /rodcprep はフォレスト内の任意のコンピュータで実行できます。また、必要に応じて複数回実行してもかまいません。この操作が、RODC のインストールを可能にするために更新が必要なすべてのアプリケーション パーティションに到達できない場合、更新されなかったアプリケーション パーティションがあることを示すメッセージが表示されます。その場合は adprep /rodcprep を再度実行してください。

・既存の Windows 2000 Server または Windows Server 2003 ドメインにおける最初の Windows Server 2008 ドメイン コントローラは、RODC として作成することはできません。ドメイン内に Windows Server 2008 ドメイン コントローラが既に存在する場合、追加の Windows Server 2008 ドメイン コントローラを RODC として作成できます。

フォレストおよびドメインの準備ができた後は、AD DS をインストールして新しい Windows Server 2008 ドメイン コントローラを作成できます。


参考資料: 「既存の Windows 2000 Server または Windows Server 2003 ドメインに新しい Windows Server 2008 ドメイン コントローラをインストールする」
http://technet.microsoft.com/ja-jp/library/cc771433(WS.10).aspx#BKMK_NewDCScenario
MCST 問題3 / 30   REF:70-640V2.23721


あなたの会社には 2 つの Active Directory フォレストがあり、次の表のように設定されています。

フォレスト名

フォレストの機能レベル

ドメイン

crammedia.com

Windows Server 2008

crammedia.com

suzuki.com

Windows Server 2008

suzuki.com

eng.suzuki.com

これらのフォレストは双方向フォレストの信頼により接続されています。それぞれの信頼の方向にはフォレスト全体の認証が設定されています。会社の新しいセキュリティポリシーでは、eng.suzuki.com ドメインのユーザーがcrammedia.com ドメインのリソースにアクセスすることが禁止されています。

あなたはフォレストの信頼が新しいセキュリティポリシーの要件を満たすよう設定しなければなりません。

どうすればよいですか。









解説:

Active Directory ドメインと信頼関係スナップインを使用して、名前サフィックスのルーティング状態を表示し変更することができます。

名前サフィックスのルーティングは、フォレスト信頼によって連結された複数の Windows Server 2008 または Windows Server 2008 R2 フォレスト間で認証要求がルーティングされる方法を管理するためのメカニズムです。認証要求の管理を簡素化するため、フォレスト信頼を作成すると、すべての固有の名前サフィックスが既定でルーティングされます。固有の名前サフィックスは、フォレスト内の名前サフィックスです。たとえば、ユーザー プリンシパル名 (UPN) サフィックス、サービス プリンシパル名 (SPN) サフィックス、またはドメイン ネーム システム (DNS) フォレストやドメイン ツリー名のうち他の名前サフィックスに従属しないものなどです。

名前サフィックスのルーティング状態を変更するには、以下の手順を実行します。

1. Active Directory ドメインと信頼関係を開きます。Active Directory ドメインと信頼関係を開くには、[スタート] ボタンをクリックし、[管理ツール] をポイントして、[Active Directory ドメインと信頼関係] をクリックします。

2. コンソール ツリーで、管理するドメインのノードを右クリックし、[プロパティ] をクリックします。

3. [信頼] タブの [このドメインに信頼されるドメイン (出力方向の信頼)] または [このドメインを信頼するドメイン (入力方向の信頼)] で、管理するフォレスト信頼をクリックし、[プロパティ] をクリックします。

4. [名前サフィックス ルーティング] タブの [x.x フォレストにある名前サフィックス] で、ルーティング状態を変更するサフィックスをクリックし、[編集] をクリックします。

5. [x.x にある既存のサフィックス] で、変更するサフィックスをクリックし、[有効] または [無効] をクリックします。


参考資料: 「名前サフィックスのルーティング状態を変更する」
http://technet.microsoft.com/ja-jp/library/cc754857(WS.10).aspx
MCST 問題4 / 30   REF:70-640V2.23722


あなたは Site1 という既存の Active Directory サイトを管理しています。 あなたは新しい Active Directory サイトを作成し、Site2 という名前を付けました。

あなたは Site1 とSite2 の間でのActive Directory レプリケーションを設定する必要があります。あなたは新しいドメインコントローラーをインストールしました。あなたはSite1 とSite2 の間にサイトリンクを作成しました。

次にどうすればよいですか。









解説:

Active Directory サイトとサービス スナップインを使用すると、サイト間レプリケーション トポロジを実装するサイト固有のオブジェクトを管理できます。これらのオブジェクトは、Active Directory ドメイン サービス (AD DS) のサイト コンテナーに格納されます。

AD DS では、サイト オブジェクトによって、ドメイン コントローラー間のディレクトリ データのレプリケーションを管理できるという物理サイトの特性が表されます。Active Directory サイトとサービスを使用すると、サイトおよびサイトに常駐するサーバーを表すオブジェクトを管理することができます。

新たにActive Directory サイトを追加し、既存のサイトとのレプリケーションを構成する場合、まず、2つのサイト間にサイトリンクを作成します。その後、新しいサイトにIPサブネットを割り当て、ドメインコントローラオブジェクトを新しいサイトに移動します。


参考資料: 「Active Directory サイトとサービスの概要」
http://technet.microsoft.com/ja-jp/library/cc731907.aspx#BKMK_SiteManagement
MCST 問題5 / 30   REF:70-640V2.23723


あなたが管理しているネットワークは単独のActive Directory ドメインで構成されています。ドメインコントローラーはいずれもWindows Server 2003 を実行しています。

あなたはすべてのドメイン コントローラーを Windows Server 2008 R2 にアップグレードしました。

あなたは DFS-R (DFS レプリケーション) を使用してSysvol 共有がレプリケートされるようにしなければなりません。

どうすればよいですか。









解説:

SYSVOL 複製に DFSR を利用するには、ドメインの機能レベルが Windows Server 2008 以上である必要があります。
MCST 問題6 / 30   REF:70-640V2.23724


あなたの会社には別の Active Directory サイトとして設定されている支店があります。この支店にはActive Directory ドメインコントローラーがあります。

この Active Directory サイトでは、新しいアプリケーションを使用するためにローカルのグローバルカタログサーバーが必要です。

あなたはドメイン コントローラーをグローバルカタログサーバーとして設定する必要があります。

次のうちどのツールを使用すればよいですか。











解説:

グローバル カタログとは、Active Directory ドメイン サービス (AD DS) フォレスト内にあるすべてのオブジェクトのセットです。グローバル カタログ サーバーはドメイン コントローラーです。ここには、そのホスト ドメインのディレクトリ内にあるすべてのオブジェクトの完全なコピー、およびフォレスト内にある他のすべてのドメインに関するすべてのオブジェクトの読み取り専用の部分的なコピーが格納されます。グローバル カタログ サーバーは、グローバル カタログのクエリに応答します。

グローバル カタログの追加や削除では、Active Directory サイトとサービス スナップインの同じユーザー インターフェイス (UI) を使用します。


参考資料: 「グローバル カタログとは」
http://technet.microsoft.com/ja-jp/library/cc730749(WS.10).aspx
MCST 問題7 / 30   REF:70-640V2.23725


あなたの会社には本社と 10 か所の支店があります。 各支店には、1 つのドメインコントローラーがあるActive Directory サイトがあります。本社のドメインコントローラーだけがグローバルカタログサーバーとして設定されています。

あなたは支店のドメイン コントローラーの [ユニバーサル グループ メンバーシップのキャッシュ] オプションを無効にする必要があります。

どのレベルで [ユニバーサル グループ メンバーシップのキャッシュ] オプションを無効にする必要がありますか。









解説:

ユニバーサル グループ メンバーシップをローカルにキャッシュすると、グローバル カタログ サーバーを経由しなくても、任意のドメイン コントローラーがログオン要求をローカルで解決できるようになります。その結果、ログオンが迅速に行われるようになり、ドメイン コントローラーがログオン要求の処理に特定のサーバーを必要としていないので、サーバー障害が管理しやすくなります。ユニバーサル グループ メンバーシップのキャッシュを有効にすると、レプリケーションのトラフィックを削減できます。キャッシュを有効にすると、グローバル カタログ全体をネットワーク経由で定期的にレプリケートするのではなく、キャッシュにあるユニバーサル グループ メンバーシップの情報のみが更新されます。

ユニバーサル グループ メンバーシップのキャッシュはサイト固有のものです。Windows Server を実行しているドメイン コントローラーとドメイン コントローラーで参照しているグローバル カタログは、同じサイト内に存在している必要があります。複数のサイトがある場合は、サイトごとにローカル キャッシュを構成する必要があります。また、サイト内のユーザーは、Windows Server 2003 以上の機能レベルで実行している Windows ドメインのメンバーでなければなりません。


参考資料: 「ヒント: Active Directory でユニバーサル グループ メンバーシップのキャッシュを構成する」
http://technet.microsoft.com/ja-jp/activedirectory/gg749876
MCST 問題8 / 30   REF:70-640V2.23726


あなたの会社には Active Directory フォレストがあります。 フォレストのドメイン コントローラーの一部はグローバルカタログサーバーとして設定されていません。ドメイン構造には1 つのルートドメインと1 つの子ドメインがあります。

あなたは子ドメインにあるファイル サーバーのひとつでフォルダーのアクセス許可を変更しました。あなたは、一部のアクセス制御エントリが「S-1-5-21」から始まっていて、アカウント名が記録されていないことに気がつきました。

あなたはアカウント名を記録する必要があります。

どうすればよいですか。









解説:

インフラストラクチャ マスタは、自分の属するドメインのグループに追加された他のドメインのセキュリティ プリンシパルの名前を更新します。たとえば、あるドメインに属するユーザーが別のドメイン内のグループのメンバであり、ユーザーの名前が最初のドメインで変更された場合、ユーザーの名前がグループのメンバシップの一覧で更新する必要があることは別のドメインには通知されません。あるドメインのドメイン コントローラは別のドメインのドメイン コントローラにセキュリティ プリンシパルをレプリケートしないため、インフラストラクチャ マスタがない場合、別のドメイン コントローラが変更を認識することはありません。

インフラストラクチャ マスタはグループ メンバシップを常時監視し、他のドメインのセキュリティ プリンシパルを探します。他のドメインのセキュリティ プリンシパルが見つかると、情報が更新されているかどうかを確認するためにそのセキュリティ プリンシパルのドメインをチェックします。情報が最新でない場合、インフラストラクチャ マスタは更新を実行した後、変更を自分の属するドメイン内の他のドメイン コントローラにレプリケートします。

この規則には 2 つの例外があります。まず、すべてのドメイン コントローラがグローバル カタログ サーバーの場合、グローバル カタログは属するドメインにかかわりなく更新された情報をレプリケートするため、インフラストラクチャ マスタの役割をホストするドメイン コントローラは重要ではありません。次に、フォレストに 1 つのドメインだけがある場合、他のドメインのセキュリティ プリンシパルは存在しないため、インフラストラクチャ マスタの役割をホストするドメイン コントローラは重要ではありません。

グローバル カタログ サーバーを兼ねるドメイン コントローラ上にインフラストラクチャ マスタを配置しないでください。インフラストラクチャ マスタとグローバル カタログを同じドメイン コントローラに配置した場合、インフラストラクチャ マスタは機能しません。インフラストラクチャ マスタは最新でないデータを検索しないため、ドメイン内の他のドメイン コントローラに対する変更をレプリケートしません。


参考資料: 「インフラストラクチャ マスタの配置の要件」
http://technet.microsoft.com/ja-jp/library/cc754889(WS.10).aspx
MCST 問題9 / 30   REF:70-640V2.23729


あなたの会社には Active Directory ドメインがあります。 この会社には DC1 および DC2 という 2 つのドメイン コントローラーがあります。DC1 にはスキーマ マスターの役割があります。DC1 で障害が発生しました。 あなたは管理者アカウントを使用してActive Directory にログオンしました。しかしスキーママスターの役割を転送できませんでした。

あなたは DC2 がスキーママスターの役割を持つようにする必要があります。

どうすればよいですか。









解説:

現在のスキーママスタで、その役割が転送できない場合、新しく役割を割り当てるドメインコントローラでスキーママスタの役割を強制する必要があります。
これは役割の転送とは異なります。スキーマ マスターの役割の強制移動は重大な操作であり、役割を転送できない場合にのみ実行してください。
MCST 問題10 / 30   REF:70-640V2.23730


あなたは、すべてのフォレスト全体の操作マスターの役割を持つドメインコントローラーを使用停止しようとしています。あなたはすべてのフォレスト全体の操作マスターの役割を他のドメインコントローラーに転送する必要があります。

どの役割を転送すればよいですか。 (正解はいずれも解決方法の一部となります。 当てはまるものを 2 つ選択してください。)











解説:

Active Directory ドメイン サービス (AD DS) では、ディレクトリ データのマルチマスタ レプリケーションがサポートされています。つまり、任意のドメイン コントローラがディレクトリの変更を受け取って、その変更を他のすべてのドメイン コントローラにレプリケートできます。ただし、スキーマの修正などの特定の変更については、マルチマスタ方式で実行するのは実用的ではありません。この理由から、操作マスタと呼ばれる特定のドメイン コントローラが、ある特定の変更に対する要求を受け取ることを担当する役割を保持します。

次の 3 種類の操作マスタの役割 (フレキシブル シングル マスタ操作または FSMO とも呼ばれます) が各ドメインに存在します。

・プライマリ ドメイン コントローラ (PDC) エミュレータの操作マスタは、すべてのパスワードの更新を処理します。

・相対 ID (RID) 操作マスタは、ドメインのグローバル RID プールを維持し、すべてのドメイン コントローラに対してローカル RID プールを割り当てます。これにより、ドメイン内で作成されるすべてのセキュリティ プリンシパルが一意の識別子を持つことが保証されます。

・ある特定のドメインに対するインフラストラクチャ操作マスタは、そのドメイン内のグループのメンバである他のドメインに属するセキュリティ プリンシパルの一覧を維持します。

これら 3 種類のドメイン レベルの操作マスタの役割に加えて、各フォレストには次の 2 種類の操作マスタの役割が存在します。

・スキーマ操作マスタは、スキーマに対する変更を管理します。

・ドメイン名前付け操作マスタは、ドメインや他のディレクトリ パーティション (ドメイン ネーム システム (DNS) のアプリケーション パーティションなど) をフォレストに追加したり、フォレストから削除したりします。

参考資料: 「操作マスタの役割の配置を計画する」
http://technet.microsoft.com/ja-jp/library/cc754889(WS.10).aspx
MCST 問題11 / 30   REF:70-640V2.23737


あなたの会社の支店のユーザーが、コンピューターをドメインに追加しようとしましたが、失敗しました。

あなたはこのユーザーがコンピューターをドメインに追加できるようにする必要があります。また、この作業を行うために必要な権限以外の権限がこのユーザーに対して許可されないようにする必要があります。

どうすればよいですか。









解説:

コンピュータ アカウントのプレステージとは、Active Directory ディレクトリ サービス内に有効なコンピュータ アカウント オブジェクトを作成するプロセスです。
これにより、ユーザーに必要以上の権限を与えることなく、ドメインにコンピュータを追加することができるようになります。
MCST 問題12 / 30   REF:70-640V2.23738


あなたの会社のセキュリティ ポリシーでは、パスワードを複雑にすることが求められています。

あなたは import.csv というカンマ区切りのファイルを保有しています。このファイルにはユーザーアカウント情報が記録されています。あなたはこのimport.csv ファイルを使用してドメインのユーザーアカウントを作成する必要があります。

また、新しいユーザー アカウントは既定のパスワードを使用するよう設定し、さらに無効にする必要があります。

どうすればよいですか。









解説:

CSVDEコマンドを使用すると、Active Directoryドメインコントローラが管理するオブジェクト情報(ユーザー、コンピュータ、OUなど)を、CSV形式のテキストファイルにエクスポートまたはインポートすることができます。

ただし、オブジェクト内容の一部を置き換えたり削除したりすることはできません。

オプションの説明は以下のとおりです。

-i CSVファイルを読み込むインポート・モードで動作させる。

-f CSVファイル名 エクスポートまたはインポートするCSVファイル名を指定する。

-k インポート時の固有エラーを無視して作業を続行する。ただし、すべてのエラーを回避するわけではない。

したがって、userAccountControl 属性を無効にした後、CSVDEコマンドをを使用してユーザー情報を一括登録し、その後、オブジェクトのプロパティを変更するためのコマンドであるDSMODで、ユーザーアカウントにデフォルトのパスワードを設定します。
MCST 問題13 / 30   REF:70-640V2.23806


あなたが管理しているネットワークには crammedia.com という Active Directory ドメインがあります。 すべてのドメイン コントローラーが Windows Server 2008 R2 を実行しています。ドメインの機能レベルはWindows Server 2008 R2 です。

フォレストの機能レベルは Windows Server 2008 です。あなたは、Windows Server 2008 を実行している Server1 というメンバーサーバーを管理しています。あなたはServer1 をドメインコントローラーとしてcrammedia.com に追加できるようにする必要があります。

Server1 を昇格できるようにするには、次のうちどれを実行すればよいですか。









解説: Server1 をドメインコントローラーとしてcrammedia.com に追加するには、Active Directory ドメインのドメイン機能レベルを設定する「Set-ADDomainMode」コマンドを使い、 「-DomainMode Windows2008Domain」によりドメインコントローラーとして指定する必要があります。
MCST 問題14 / 30   REF:70-640V2.23807


あなたが管理しているネットワークには Active Directory フォレストがあります。このフォレストには1 つのドメインがあります。あなたは別のフォレストにあるドメインのリソースにアクセスしようとしています。

あなたは、あなたのフォレストのドメインともう一方のフォレストのドメインの間に信頼を設定する必要があります。

あなたのフォレストにおいて、次のうち、どれを作成すればよいですか。









解説:

この問題では、フォレスト間の信頼関係を作成するのではなく、異なるフォレスト内のドメインのリソースにアクセスできるための信頼関係を構成することを要求しています。 外部の信頼を作成して、フォレスト外のドメインと、一方向または双方向の非推移的な信頼を形成することができます。ユーザーがアクセスする必要のあるリソースがフォレスト信頼に加えられていない別のフォレスト内のドメインにある場合、外部の信頼を作成することで要件を満たすことができます。


参考資料 : 「信頼の種類とは」
http://technet.microsoft.com/ja-jp/library/cc731404.aspx

参考資料 : 「外部の信頼を作成する場合」
http://technet.microsoft.com/ja-jp/library/cc732859.aspx
MCST 問題15 / 30   REF:70-640V2.23808


あなたが管理しているネットワークには 2 つの Active Directory フォレストがあります。 一方のフォレストには crammedia.com とna.crammedia.com という2 つのドメインがあります。もう一方のフォレストにはcramventure.com というドメインがあります。2 つのフォレストの間にはフォレストの信頼が設定されています。

na.crammedia.com ドメインには User1 というユーザーがいます。User1 から、NA\User1 というユーザー名を使用してcramventure.com ドメインのコンピューターにログオンすることができないという報告が寄せられました。

na.crammedia.com の他のユーザーは cramventure.com ドメインのコンピューターにログオンできます。

あなたは User1 がcramventure.com ドメインのコンピューターにログオンできるようにする必要があります。

どうすればよいですか。









解説:

フォレスト間の信頼関係を作成することで、2 つのフォレスト間でユーザー プリンシパル名 (UPN) 認証を使用出来ます。


参考資料 : 「異なるフォレストのリソースにアクセスする」
http://technet.microsoft.com/ja-jp/library/cc772808(WS.10).aspx
MCST 問題16 / 30   REF:70-640V2.23809


あなたの会社には本社と 1 か所の支店があります。 本社には 2 つのドメイン コントローラーがあります。

あなたは BranchOfficeSite という名前のActive Directory サイトを作成しました。あなたは本社にドメインコントローラーを展開し、このドメインコントローラーをBranchOfficeSite サイトに追加しました。

あなたは、支店のユーザーに対する認証を行うドメインコントローラーが、ランダムに支店のドメインコントローラーになったり本社のドメインコントローラーになったりすることに気がつきました。

あなたは、支店のユーザーがまず最初に支店のドメインコントローラーでの認証を試行するよう設定する必要があります。

どうすればよいですか。









解説:

クライアントがドメイン コントローラーを要求するとき、ドメイン コントローラーのサイト名が DNS に提供されます。DNS では、提供されたサイト名を使用してそのサイト (またはクライアントに 2 番目に近いサイト) でドメイン コントローラーを検索します。その後、ドメイン コントローラーに接続するために、DNS によってドメイン コントローラーの IP アドレスがクライアントに提供されます。このため、ドメイン コントローラーに割り当てる IP アドレスが、各サーバー オブジェクトのサイトに関連付けられるサブネットに確実にマップされることが重要です。確実にマップされないと、クライアントがドメイン コントローラーを要求したときに、離れているサイトのドメイン コントローラーの IP アドレスが返される場合があります。クライアントが離れているサイトに接続すると、パフォーマンスが低下し、コストが高い WAN リンクを経由する不要なトラフィックが発生してしまいます。

参考資料 : 「サイト、サブネット、およびサイト リンクとは」
http://technet.microsoft.com/ja-jp/library/cc754697.aspx
MCST 問題17 / 30   REF:70-640V2.23810


あなたの会社には本社と 50 か所の支店があります。 各事業所には複数のサブネットがあります。

あなたは、Active Directory サブネットオブジェクトの作成を自動化する必要があります。

何を使用すればよいですか。









解説:

New-ADObject コマンドレットは、ユーザーアカウントやOU、サブネットなどの Active Directory オブジェクトを新規に作成できます。 管理者は、このコマンドレットを利用することであらゆる種類の Active Directory オブジェクトの作成を自動化することができます。 

参考資料 : 「New-ADObject」
http://technet.microsoft.com/en-us/library/ee617260.aspx
MCST 問題18 / 30   REF:70-640V2.23811


あなたが管理しているネットワークには Active Directory フォレストがあります。 このフォレストには複数のサイトがあります。

あなたは、サイトのユニバーサル グループ メンバーシップのキャッシュを有効にする必要があります。

どうすればよいですか。









解説:

ユニバーサル グループ メンバシップをキャッシュするには、

・[Active Directory サイトとサービス] を開きます。
・コンソール ツリーで、ユニバーサル グループ メンバシップのキャッシュを有効にするサイトをクリックします。
・詳細ペインで、[NTDS Site Settings] を右クリックし、[プロパティ] をクリックします。
・[ユニバーサル グループ メンバシップのキャッシュを有効にする] チェック ボックスをオンにします。
・ [次のサイトからキャッシュを更新する] で、このサイトのキャッシュを更新する元となるサイトをクリックします。または、グローバル カタログを持つ最も近いサイトからキャッシュを更新するには、[<既定>] をそのまま使用します。

参考資料 : 「ユニバーサル グループ メンバシップをキャッシュする」
http://technet.microsoft.com/ja-jp/library/cc775528(WS.10).aspx
MCST 問題19 / 30   REF:70-640V2.23812


あなたは、ドメイン コントローラーのレプリケートが隣接するサイトのドメインコントローラー間でのみ行われるようにする必要があります。

Active Directory サイトとサービスでどのような設定を行えばよいですか。









解説:

IP トランスポートおよび SMTP トランスポートでは、既定ですべてのサイト リンクのブリッジ処理を行います。複製接続の確立を隣接したサイトのドメイン コントローラ間に限定したい場合は、サイト リンク ブリッジ処理を無効にできます 。無効にするには、[Active Directory サイトとサービス] で、[Sites] を展開してサイト リンクのトランスポート コンテナ ([IP] または [SMTP]) を右クリックし、[プロパティ] ダイアログ ボックスを開いて、[サイト リンクをすべてブリッジ] チェック ボックスをオフにします。ただし、サイト リンク ブリッジ処理を無効にした場合、推移性のサイト リンクが必要な場所にサイト リンク ブリッジを手動で構築する必要があります。

参考資料 : 「複製を考慮したサイト トポロジの設計」
http://technet.microsoft.com/ja-jp/library/dd143145.aspx
MCST 問題20 / 30   REF:70-640V2.23814


あなたが管理しているネットワークには Active Directory ドメインがあります。ドメインは、下表のように設定されています。

Active Directory サイト

ドメイン コントローラー

Main

DC1 および DC2

Branch1

DC3

Branch2

なし

Branch2 のユーザーが Branch1 のドメインコントローラーで認証されることがあります。

あなたは、Branch2 のユーザーが Main のドメインコントローラーで認証されるようにする必要があります。

どうすればよいですか。









解説:

クライアントが、最も近くにある利用可能なサイトのドメイン コントローラを発見できるようにするため、ドメイン コントローラは自身の DNS サービス ロケーション (SRV) のリソース レコードを登録しようとします。このリソース レコードは、メンバとなっているドメイン用のドメイン コントローラを持たないサイトに関連するものです。この機能を一般的に "自動サイト カバレージ" と呼びます。

自動サイト カバレージでは、ドメイン コントローラを持たないサイトのサイト リンクに関連するコストが計算に組み込まれます。このコストは、どのドメイン コントローラが自身の SRV リソース レコードをそのサイトに登録するかを決めるのに役立ちます。SRV リソース レコードは、サイト リンクと、ドメイン コントローラを持たないサイトのうち、最もコストの低いサイトからドメイン コントローラによって登録されます。これにより、ドメイン コントローラを持たないサイト内のクライアントは、最も安いネットワーク接続を使用して、別のサイトのドメイン コントローラと通信できます。

自動サイト カバレージを無効にするには、[AutoSiteCoverage] レジストリ エントリの値に「0」を設定します。

参考資料 : 「Windows Server 2003 を実行するドメイン コントローラが、RODC を含むサイトで自動サイト カバレージを実行する」
http://technet.microsoft.com/ja-jp/library/cc732322(WS.10).aspx
MCST 問題21 / 30   REF:70-640V2.23815


あなたが管理しているネットワークには 1 つの Active Directory ドメインがあり、このドメインにはSite1 とSite2 という2 つのサイトがあります。Site1 にはDC1 およびDC2 という2 つのドメインコントローラーがあります。Site2 にはDC3 およびDC4 という2 つのドメインコントローラーがあります。DC3 で障害が発生しました。

あなたはサイト間のレプリケーションがその後実行されていないことに気がつきました。あなたはDC4 とSite1 のドメインコントローラーとの間の接続を確認しました。あなたはDC4 でrepadmin.exe /kcc を実行しました。

サイト間のレプリケーションは失敗しました。

あなたはサイト間で Active Directory データをレプリケートできるようにする必要があります。

どうすればよいですか。









解説: repadmin.exe /kccによりレプリケーションが失敗したことから、「Active Directory サイトとサービス」を実行し、DC4のレプリケーションの設定を変更する必要があると考えられます。
MCST 問題22 / 30   REF:70-640V2.23816


あなたが管理しているネットワークには Active Directory ドメインがあります。ドメインの機能レベルは Windows Server 2003 です。このドメインには、Windows Server 2008 を実行しているドメインコントローラーが5 つ、Windows Server 2008 R2 を実行しているドメインコントローラーが5 つあります。

あなたは、SYSVOL がDFSR (分散ファイルシステムレプリケーション) を使用してレプリケートされるようにする必要があります。

最初にどうすればよいですか。









解説:

DFS (分散ファイル システム) レプリケーションは、ドメインの機能レベルがWindows Server 2008 のすべてのドメインコントローラーにSYSVOL をレプリケートするためのレプリケーションサービスです。DFS レプリケーションは Windows Server 2003 R2 で導入されました。しかし、Windows Server 2003 R2 を実行しているドメインコントローラーでは、SYSVOL のレプリケーションはFRS (ファイルレプリケーションサービス) により実行されます。

参考資料 : 「DFS レプリケーションの概要」
http://technet.microsoft.com/ja-jp/library/cc771058(WS.10).aspx
MCST 問題23 / 30   REF:70-640V2.23817


あなたが管理しているネットワークには Active Directory フォレストがあります。このフォレストにはcrammedia.com とshinseibank.com という2 つのドメインがあります。

あなたは Active Directory でAttribute1 というカスタム属性を作成しました。Attribute1 はUser オブジェクトに関連付けられています。

あなたは Attribute1 がグローバルカタログにレプリケートされるようにする必要があります。

どうすればよいですか。









解説:

グローバル カタログとは、Active Directory ドメイン サービス (AD DS) フォレスト内にあるすべてのオブジェクトのセットです。グローバル カタログ サーバーはドメイン コントローラーです。ここには、そのホスト ドメインのディレクトリ内にあるすべてのオブジェクトの完全なコピー、およびフォレスト内にある他のすべてのドメインに関するすべてのオブジェクトの読み取り専用の部分的なコピーが格納されます。グローバル カタログ サーバーは、グローバル カタログのクエリに応答します。


グローバル カタログにレプリケートする属性

グローバル カタログを構成するオブジェクトの読み取り専用の部分的なコピーには、限定された一連の属性 (スキーマで必要となる属性、およびユーザーの検索操作で最も一般的に使用される属性) が含まれるため、このようなコピーは "部分的" として表されます。これらの属性は、部分的な属性セット (PAS) に含まれるようにスキーマ定義の一部としてマークされます。最もよく検索されるすべてのドメイン オブジェクトの属性をグローバル カタログに格納することで、ユーザーは効率的に検索を実行できます。この検索では、ドメイン コントローラーへの不要な紹介によるネットワーク パフォーマンスへの影響が発生せず、グローバル カタログ サーバーに大量の不要なデータが格納されることもありません。

グローバル カタログに属性を追加するには

[Active Directory スキーマ] スナップインを開きます。

コンソール ツリーで [属性] をクリックします。

詳細ペインで、グローバル カタログに追加する属性を右クリックし、[プロパティ] をクリックします。

[グローバル カタログにこの属性をレプリケートする] チェック ボックスをオンにします。



参考資料 : 「グローバル カタログとは」

http://technet.microsoft.com/ja-jp/library/cc730749.aspx

参考資料 : 「グローバル カタログに属性を追加する」

http://technet.microsoft.com/ja-jp/library/cc737521(WS.10).aspx
MCST 問題24 / 30   REF:70-640V2.23818


あなたが管理しているネットワークには Active Directory ドメインがあります。 このドメインには 3 個のドメイン コントローラーがあります。

ドメインコントローラーのひとつで障害が発生しました。

7 日後、ヘルプデスクからユーザー アカウントが作成できないという報告が寄せられました。 あなたはヘルプデスクが新しいユーザー アカウントを作成できるようにする必要があります。

どの操作マスターの役割を強制すればよいですか。











解説:

相対 ID (RID) 操作マスタは、ドメインのグローバル RID プールを維持し、すべてのドメイン コントローラに対してローカル RID プールを割り当てます。これにより、ドメイン内で作成されるすべてのセキュリティ プリンシパルが一意の識別子を持つことが保証されます。

RID マスタの役割を転送できる場合には、この役割を強制しません。RID マスタの強制は非常に重大な操作なので、この問題の状況のように、現在の操作マスタを再び利用できない場合にだけ考慮しなければなりません。

参考資料 : 「RID マスタの役割を強制する」
http://technet.microsoft.com/ja-jp/library/cc784077(WS.10).aspx
MCST 問題25 / 30   REF:70-640V2.23901


あなたが管理しているネットワークには、crammedia.com とcramventure.com という名前の 2 つの Active Directory フォレストがあります。 crammedia.com と cramventure.com の間には双方向フォレストの信頼があります。 このフォレストの信頼は認証の選択を使用するよう設定されています。 crammedia.com には Server1 というサーバーがあります。Server1 にはMarketing という共有フォルダーがあります。

cramventure.com には G_Marketing というグローバルグループがあります。G_Marketing グループには、Marketing フォルダーに対する[変更] 共有アクセス許可と[変更] NTFS アクセス許可が割り当てられています。G_Marketing のメンバーから、Marketing フォルダーにアクセスできないという報告が寄せられました。あなたはG_Marketing のメンバーがこのフォルダーにネットワークからアクセスできるようにする必要があります。

どうすればよいですか。









解説:

フォレストの信頼を介して認証を受けるユーザーの認証のスコープでは、 [フォレスト全体の認証] または [認証の選択] のいずれかを選択します。

フォレストの信頼で [認証の選択] を選択する場合は、他方のフォレストのユーザーにアクセスを許可するローカル フォレスト内のドメインおよびリソースに対して、手動でアクセス許可を有効にする必要があります。

参考資料 : 「ユーザーの認証のスコープを選択する」
http://technet.microsoft.com/ja-jp/library/cc771399.aspx
MCST 問題26 / 30   REF:70-640V2.23906


あなたが管理しているネットワークには crammedia.com という Active Directory ドメインがあります。 crammedia.com には2 つのドメインコントローラーがあります。ドメインコントローラーは、下表のように設定されています。

サーバー   サーバーのIP アドレス      サーバーがあるサイト

-------------------------------------------------------------------------

DC1      10.1.1.1/16      Default-First-Site-Name

DC2      10.1.1.2/16      Default-First-Site-Name

クライアント コンピューターの IP アドレスはいずれも 10.1.2.1 から 10.1.2.240 の範囲です。あなたはDC2 に送信するクライアント認証要求の数を最小限に抑える必要があります。どうすればよいですか。









解説:

AD DS のサイトは、ネットワークの物理構造、つまりトポロジを表します。AD DS では、サイト オブジェクト、サブネット オブジェクト、およびサイト リンク オブジェクトとしてディレクトリに格納されているネットワーク トポロジ情報を使用して、最も効率的なレプリケーション トポロジを構築します。

サイト情報を使用すると、認証をより速く効率的に行うことができます。クライアントはドメインにログオンするとき、まず、認証に必要なローカル サイト内のドメイン コントローラーを要求します。複数のサイトを確立した場合、クライアントは最も近いドメイン コントローラーで認証を行うことができるため、認証の遅延を減らし、ワイド エリア ネットワーク (WAN) 接続のトラフィックを軽減することができます。

AD DS のサブネット オブジェクトにより、隣接する複数のコンピューターがグループ化されます。これは、隣接する複数の郵便の宛先が郵便番号によってグループ化されるのと類似しています。1 つ以上のサブネットをサイトに関連付けることによって、一連の IP アドレスをサイトに割り当てることができます。

参考資料 : 「サイト、サブネット、およびサイト リンクとは」
http://technet.microsoft.com/ja-jp/library/cc754697.aspx
MCST 問題27 / 30   REF:70-640V2.23908


あなたが管理しているネットワークには、Forest1、Forest2、Forest3 という 3 つの Active Directory フォレストがあります。 各フォレストには 3 つのドメインがあります。

Forest1 とForest2 の間には双方向フォレストの信頼があります。Forest2 とForest3 の間には双方向フォレストの信頼があります。

あなたは、次の要件をみたすようにフォレストを設定する必要があります。

- Forest3 のユーザーは Forest1 のリソースにアクセスできる。

- Forest1 のユーザーは Forest3 のリソースにアクセスできる。

- 信頼の数は最小限に抑える。

どうすればよいですか。











解説:

2 つのフォレスト間に双方向のフォレストの信頼を構築すると、両方のフォレストのメンバーがお互いのフォレストにあるリソースを使用できるようになります。また、各フォレスト内のドメインも他方のフォレスト内のドメインを暗黙的に信頼します。たとえば、フォレスト A とフォレスト B の間に双方向のフォレストの信頼を構築すると、フォレスト A のメンバーはフォレスト B のリソースにアクセスでき、その同じ信頼を使ってフォレスト B のメンバーもフォレスト A のリソースにアクセスできます。

参考資料 : 「フォレストの信頼を作成する場合」
http://technet.microsoft.com/ja-jp/library/cc771397.aspx
MCST 問題28 / 30   REF:70-640V2.23913


あなたが管理しているネットワークには Active Directory ドメインがあります。ドメインコントローラーはいずれもWindows Server 2003 を実行しています。

あなたはすべてのドメイン コントローラーを、Windows Server 2008 R2 を実行するドメインコントローラーと交換しました。

あなたはドメインの機能レベルを Windows Server 2008 R2 に上げました。

あなたは、ネットワーク上の SYSVOL レプリケーショントラフィックの量を最小限に抑える必要があります。

どうすればよいですか。









解説:

Windows Server 2008 には dfsrmig.exe というコマンドラインツールがあり、管理者はSYSVOL 共有のレプリケーションをFRS からDFS レプリケーションサービスに移行するための作業を制御できます。



参考資料 : 「付録 C: Dfsrmig コマンド リファレンス」

http://technet.microsoft.com/ja-jp/library/dd641227(WS.10).aspx
MCST 問題29 / 30   REF:70-640V2.23918


あなたが管理しているネットワークには crammedia.com という Active Directory ドメインがあります。 crammedia.com には Site1 と Site2 という 2 つのサイトがあります。Site1 にはDC1 というドメインコントローラーがあります。

あなたは Site1 にDC2 という新しいドメインコントローラーをインストールしました。

あなたは、Site2 の一部のユーザーの認証がDC1 に対して実行されることに気がつきました。

あなたは Site2 のユーザーの認証がまずDC2 に対して実行されるように設定する必要があります。

どうすればよいですか。









解説:

Active Directory サイトとサービスは、WindowsServer2008R2 オペレーティング システムの Microsoft 管理コンソール (MMC) スナップインです。このスナップインを使用すると、ActiveDirectory ドメイン サービス (ADDS) フォレストで、すべてのサイト間のディレクトリ データのレプリケーションを管理できます。

ActiveDirectory サイトとサービスでは、サイト/サブネット/サーバー等のオブジェクトを管理できます。

サーバー オブジェクトは、ActiveDirectory ドメイン サービスのサーバーの役割を追加すると、自動的に作成されます。サーバーは、レプリケーション トポロジ内のドメイン コントローラーを表します。
サーバー オブジェクトを使用すると、次のタスクを実行できます。

・ 優先ブリッジヘッド サーバーとして機能するドメイン コントローラーを識別する。優先ブリッジヘッド サーバーを使用すると、サイト間レプリケーションを制御できるため、サイト間レプリケーション トラフィックの処理が低下する可能性のあるドメイン コントローラー間ではなく、指定した優先ブリッジヘッド サーバーのドメイン コントローラー間だけでサイト間レプリケーションが実行されるようになります。

・ サイト間のサーバーを移動する。 新しいサイトを作成し、新しいサイトにマップする IP アドレスでドメイン コントローラーを既にインストールしている場合には、そのドメイン コントローラーを新しいサイトに移動できます。

この問題では、DC2 を Site2 に移動する必要があるため、ActiveDirectory サイトとサービスを使用してこれを行います。

参考資料 : 「Active Directory サイトとサービスの概要」
http://technet.microsoft.com/ja-jp/library/cc731907.aspx
MCST 問題30 / 30   REF:70-640V2.23919


あなたの会社には、本社と 4 か所の支店があります。

各事業所には Active Directory サイトがあります。 各サイトにはそれぞれ 1 つのドメイン コントローラーがあります。各支店には本社のサイトへのサイトリンクがあります。

あなたは、支店のドメイン コントローラーがときどき支店間で直接レプリケートしていることに気がつきました。

あなたは、支店のドメイン コントローラーのレプリケート先が本社のドメインコントローラーのみとなるよう設定する必要があります。

どうすればよいですか。









解説:

既定では、すべてのサイト リンクは推移的です。 [サイト リンクをすべてブリッジ] (既定で有効) の値は変更せず、推移性を有効なままにしておくことが推奨されています。 ただし、次の場合には、[サイト リンクをすべてブリッジ] を無効にして、サイト リンク ブリッジの設計を完了する必要があります。


  • 対象の IP ネットワークが完全にはルーティングされていない。[サイト リンクをすべてブリッジ] を無効すると、すべてのサイト リンクは非推移的と見なされるため、サイト リンク ブリッジ オブジェクトを作成および構成して、対象のネットワークにおける実際のルーティング動作をモデル化できます。
· ActiveDirectory ドメイン サービス (ADDS) に対して加えられた変更のレプリケーション フローを制御する必要がある。サイト リンクの IP トランスポートに対して、[サイト リンクをすべてブリッジ] を無効にしてサイト リンク ブリッジを構成することで、サイト リンク ブリッジが実質的に切り離されたネットワークとなります。サイト リンク ブリッジ内のすべてのサイト リンクが推移的にルーティングできますが、サイト リンク ブリッジ外にはルーティングしません。

この問題では、2つ目のケースに当たるため、[サイト リンクをすべてブリッジ] を無効にしてサイト リンク ブリッジを手動で構成する必要があります。

参考資料 : 「サイト リンク ブリッジの設計を作成する」
http://technet.microsoft.com/ja-jp/library/cc753638(WS.10).aspx
投稿者 時刻: 0 件のコメント:
ラベル: , ,

70-642 TS (R2 対応版): Windows Server 2008 Network Infrastructure, Configuring

MCTS 問題1 / 30   REF:70-642V2.15393


企業ネットワークに対して、ネットワーク アクセス保護が設定されています。会社のポリシーは、クライアント コンピュータとサーバーとの間でデータを送信する場合、機密性を確保するよう要求しています。ユーザーは個人のポータブル コンピュータを会社のネットワークに接続し、ネットワーク リソースにアクセスします。あなたは、会社のポリシーの要件を満たさないコンピュータが、ネットワーク リソースにアクセスすることを防止しなければなりません。このためには、どのような操作を行いますか?









解説:

IPSec 強制は、ネットワーク通信を互換性を持つコンピュータ同士に限定し、ネットワーク接続を通してではなく、端末相互間におけるネットワーク トラフィックを保護します。IPSec 強制を利用すると、IPSec と設定の柔軟性を活用し、IP アドレスごと、または TCP や UDP ポート番号ごとの互換性のあるクライアントとの通信を安全に保つための要件を定義することができます。
MCTS 問題2 / 30   REF:70-642V2.15397


会社には単独の Active Directory ドメインがあり、、ファイアウォールとして ISA 2006を実行しています。あなたは Point-to-Point トンネリング プロトコル (PPTP) を使い、ユーザーが仮想プライベートネットワーク (VPN) サービスを通して接続できるよう、アクセスを設定しました。しかし、ユーザーが VPN サーバーに接続しようとすると、次のようなエラー メッセージが表示されます。 "Error 721:リモート コンピュータが応答しません。"

あなたは、ユーザーが正常に VPN 接続を確立できるよう、保証しなければなりません。このためには、どのような操作を行いますか?









解説:

ネットワーク ファイアウォールの TCP ポート1723を開き、John が VPN 接続を確立できるようにします。PPTP ベースの VPN 接続は、VPN サーバーとの接続を確立するために TCP ポート1723を使用します。この TCP ポートは、通常ネットワーク ファイアウォールによりブロックされ、VPN 接続の確立を妨げます。PPTP ベースの VPN 接続は、VPN 接続がファイアウォールをバイパスしにくくなる2つのネットワーク セション、Web プロキシまたは NAT ルータを使用します。このため、John が正常に VPN 接続を確立できるようにするには、ネットワーク ファイアウォールで TCP ポート 1723を開き、またトンネル データのプロトコル ID 47を許可します。
MCTS 問題3 / 30   REF:70-642V2.15584


あなたは会社のネットワーク管理者です。 ネットワークは、verigon.com ドメインに Windows Vista と Windows Server 2008 コンピュータを含みます。 複数の DNS サーバーがネットワークに存在します。 DNS サーバーの1 つであるDNS3が、Windows Server 2008 Server Core インストールを実行しています。

あなたは、実装される予定の新しい顧客サブネットの使用に備え、DNS3customers.local という名前の新しいプライマリ ゾーンを作成するように求められました。

どのコマンドを使用しますか?









解説:

発行するコマンドは、dnscmd dns3.verigon.com /zoneadd customers.local /primary /file customers_local です。 /zoneadd パラメータは、DNS サーバーに新しいゾーンの作成に使用しますが、新しいゾーンの名前を含める必要があります。 /primary パラメータは、プライマリ ゾーンが作成されることを指定します。 /file パラメータは、 /primary パラメータと共に含める必要があります。 /file パラメータは、プライマリ ゾーンを保存するために使用される実際のファイル名を提供します。

dnscmd dns3.verigon.com /zoneadd customers.local /dsprimary コマンドは使用しません。 /dsprimary パラメータは、Active Directory統合ゾーンがを作成することを示します。

dnscmd dns3.verigon.com /zonereload customers.local コマンドは、使用しません。 このコマンドは、ゾーン情報をリロードします。 ゾーンが Active Directory統合ゾーンの場合、ゾーンは Active Directory からリロードします。 ゾーンがプライマリ ゾーンの場合、ゾーンはファイルからリロードされます。

dnscmd dns3.verigon.com /zoneresume customers.local コマンドは使用しません。 このコマンドは、一時停止されたゾーンを再開するために使用します。

参考資料:

Dnscmd 構文、http://technet2.microsoft.com/WindowsServer/en/Library/d652a163-279f-4047-b3e0-0c468a4d69f31033.mspx?mfr=true
MCTS 問題4 / 30   REF:70-642V2.21074


CramMedia の社内ネットワークは、Windows Server 2008 の単一の Active Directory ドメインにより構成されています。このドメイン内のサーバーはすべて Windows Server 2008 を実行しています。CramMedia3 というドメイン サーバーは、 NAT サーバーとして機能しています。 管理者が、リモート デスクトップ プロトコル (RDP) を使用して CramMedia 7 というサーバーにアクセスできるようにする必要があります。CramMedia 3 で CramMedia 7 へのポート転送をどのように構成すればいいですか?











解説:

管理者が、リモート デスクトップ プロトコル (RDP) を使って CramMedia 7 というサーバーにアクセスできることを保証するには、CramMedia 3 がポート 3389 をCramMedia 7 に転送するように構成します。リモート デスクトップ プロトコルは、TCP ポート 3389 で作業をするように設計されています。ファイアウォールの後方にあるリモート コンピュータに接続したいという場合、トラフィックが TCP ポート 3389 を通過することをファイアウォールが許可する必要があります。
MCTS 問題5 / 30   REF:70-642V2.21075


あなたは、CramMedia のエンタープライズ管理者です。 同社は、本社のほかに 15 の支店があります。 同社の社内ネットワークは単一の Active Directory ドメインにより構成され、ドメイン内のサーバーはすべて Windows Server 2008 を実行しています。支店のコンピュータは VPN 接続を利用して本社のコンピュータに接続しています。 セキュリティ確保のため、VPN 接続でエンド ツー エンド暗号化を利用して本社と支店間のデータを暗号化させたいと考えています。 但し、VPN 接続はコンピュータ レベルの認証を使用するように構成し、ユーザー名やパスワードを認証に使用してはいけません。 このタスクを達成するには、どうすればいいですか?









解説:

本社と支店間の VPN 接続が提示された要件に適合することを保証するには、L2TP/IPsec 接続が EAP-TLS 認証を使用するように構成します。 L2TP は、IP トラフィックをカプセル化させて暗号化するために PPP ユーザー認証と IPSec 暗号化を活用します。 この組合せは L2TP/IPSec として知られ、PPP ベースのユーザー認証に加え、ユーザー証明書ベースのコンピュータ ID 認証を使用して IPSec セッションを作成します。 これにより、エンド ツー エンド 暗号化を使用してすべてのデータが暗号化され、VPN 接続がコンピ ュータ レベルの認証を使用することが保証されます。 ユーザー名とパスワードが認証で使用されないことを保証するには、EAP-TLS 認証を使用します。 EAP-TLS では、VPN クライアントがユーザー証明書を認証用に送信し、VPN サーバーがコンピュータ証明書を認証用に送信します。 これは、パスワードに依存しないという性質により最も強力な認証形式になっています。
MCTS 問題6 / 30   REF:70-642V2.21080


CramMedia の社内ネットワークを構成するサーバーは、Active Directory証明書サービス (AD CS) とネットワーク アクセス保護 (NAP) を展開しています。 数名のモバイルユーザーは、ワイヤレスでネットワークに接続します。 こうしたユーザーに対して、あなたは NAP ポリシーを構成しました。 ワイヤレス接続を利用してネットワークにアクセスするポータブル コンピュータに、NAP ポリシーを強制することを保証する必要があります。 どうすればいい ですか?











解説:

ワイヤレス接続を利用するポータブル コンピュータのネットワーク アクセスでNAP ポリシーを強制するには、すべてのアクセス ポイントが 802.1X 認証を使用するように構成します。 802.1X 強制は、コンピュータが 802.1X で認証されたネットワーク接続を試行する度に、正常性ポリシーの要件を強制します。 802.1X 強制はまた、接続された NAP クライアントの正常性を積極的に監視し、クライアントが不適合な状態になると、接続に対して制限付きアクセス プロファイルを適用します。
MCTS 問題7 / 30   REF:70-642V2.21081


CramMedia の社内ネットワークには、ネットワーク ポリシー サーバー (NPS) サービスの役割をインストールした Windows Server 2008 を実行するサーバーがあります。 VPN アクセスによるネットワーク アクセスを、CramMedia Staff というグローバル グループに限定して許可するには、どうすればいいですか?











解説:

CramMedia Staff VPN のメンバだけにネットワークへのアクセスを許可するには、CramMedia Staff に対して、新しいネットワーク ポリシーを作成してグループベースの条件を定義し、その後にアクセス許可を [アクセスを許可する] に設定し、ポリシーの処理順序を 1 に設定します。役割、部署、地域その他の条件をもとに、ユーザーに対して異なる適合基準を作成することができ、これらを元にネットワーク ポリシーを作成できます。 同じ理由で、CramMedia Staff VPN のグループのポリシーを作成して、ポリシーの処理順序を1に設定することもできます。 これは、ポリシーは上から下の順に評価され、ポリシー規則が適合したときに処理が停止するためです。 1 つ目は、 Compliant-Full-Access ポリシーです。このポリシーは、すべての SHV チェックに合格するコンピュータに無制限のネットワーク アクセスが許可されることを意味し、一覧の最初に置かれます このポリシーを一覧の最初に置くことで、NPS の処理負荷と時間を軽減します。 次に使われるポリシーは、Noncompliant-Restricted です。2番目には非遵守または制限付きのマシンに対するポリシーを置いて、3番目には、コンピュータの下位互換性に対するポリシーを置きます。

参考資料: セキュリティ ウォッチ ネットワーク アクセス保護http://technet.microsoft.com/ja-jp/magazine/2007.05.securitywatch.aspx
MCTS 問題8 / 30   REF:70-642V2.21082


CramMedia の社内ネットワークでは、ネットワーク アクセス ポリシー (NAP) が構成されています。 あなたは、ワイヤレスアクセスの安全性を確保するため、社内ネットワークへのアクセスで使用されるすべてのアクセスポイントに対して 802.1x 認証を構成しました。 社内ネットワークにアクセスを試みるすべてのクライアント コンピュータが NAP によって評価されることを保証するには、どうすればいいですか?











解説:

社内ネットワークにアクセスを試みるすべてのクライアント コンピュータが NAP によって評価されることを保証するには、EAP-TLS を唯一の認証方法として指定する接続要求ポリシーを作成します。 Windows Server 2008 の既定では、EAP メソッドとして、PEAP-MS-CHAP v2、トランスポート層セキュリティ (TLS) を使用した EAP (EAP-TLS)、および PEAP-TLS がサポートされます。 接続要求ポリシーは、接続条件を課すことができます。 例えば 802.1X および VPNの強制方法の場合、接続要求ポリシーは Protected Extensible Authentication Protocol (PEAP) 認証を使用することを要求します。 接続を試みるクライアントが PEAP を使用していない場合、接続要求は拒否されます。

参考資料: The Cable Guy NAP 強制のトラブル シューティングを行う / 正常性要件ポリシー
http://technet.microsoft.com/ja-jp/magazine/2008.04.cableguy.aspx

参考資料: 変更点 / 802.1X で認証されたワイヤード アクセスおよびワイヤレス アクセス
http://technet.microsoft.com/ja-jp/library/cc730878(WS.10).aspx
MCTS 問題9 / 30   REF:70-642V2.21098


Crammedia.com の社内ネットワークは、CramMedia 2 という Windows Server 2008 サーバーにより構成されています。このサーバーには DHCP サーバーの役割がインストールされています。 CramMedia 101 というコンピュータを使用しているネットワーク ユーザーから、DHCP サーバーからの IP 構成を取得できないと苦情が寄せられました。 問題を調べるため、あなたは CramMedia 2 の Microsoft Network Monitor 3.0 を開き、[P-mode] を有効にして、CramMedia 2 と CramMedia 101 間の DHCP サーバー関連トラフィックだけをキャプチャすることにしました。2 台のコンピュータのネットワーク インターフェイス構成は、提示の通りです。

Computer/ServerMacAddressIP Address
CramMedia 2 00-41-A3-6E-49-E2169.253.98.22
CramMedia 101 00-10-3A-4D-54-23192.168.1.109

CramMedia 2 と CramMedia 101 間の DHCP トラフィックをキャプチャするために Network Monitor アプリケーションでフィルタを作成するには、次のどのフィルタを使用すればいいですか?











解説:

CramMedia 2 と CramMedia 101 間の DHCP トラフィックをキャプチャするために Network Monitor アプリケーションでフィルタを作成するには、IPv4.Address == 169.253.98.22 && DHCP を使用します。 フィルタを定義する際は、次の順で指定します。すなわち、IPv4、ピリオド、ソースアドレス、等号記号(2回)、そしてIPアドレス (ソース) の順です。 特定のフィルタを微調整する場合は、AND (&&) や OR (||) のような論理演算子を使用して特定のフィルタで複数の条件を組合せます。 この質問では、169.253.98.22 から発信される DHCP 関 連トラフィックを探す必要があります。 このため、169.253.98.22 && DHCP を使用します。
MCTS 問題10 / 30   REF:70-642V2.21100


あなたは、CramMedia のエンタープライズ管理者です。 CramMedia の社内ネットワークは、Windows Server 2008 を稼動する DHCP サーバーにより構成されています。DHCP データベースのサイズを圧縮するには、どうすればいいですか?









解説:

DHCP データベースのサイズを圧縮するには、 jetpack dhcp.mdb temp.mdb コマンドを使用します。 (ファイル temp.mdb は圧縮処理の際に、一時データベースとして使用します。) データベースの圧縮が完了すると、「Jetpack は正常に完了しました」というメッセージが表示されます。

参考資料: セクション B: 管理サーバーにスコープと設定を移行する/現在の DHCP サーバーの環境を準備して、その DHCP サーバーの構成をエクスポートする
http://technet.microsoft.com/ja-jp/library/cc463365(WS.10).aspx
MCTS 問題11 / 30   REF:70-642V2.21103


あなたは、Crammedia.com のエンタープライズ管理者です。同社の社内ネットワークは、単一のActive Directory ドメインにより構成されています。 すべてのコンピュータが、Active Directory ドメインのメンバです。 社内ネットワーク上のサーバーはすべて Windows Server 2008 を実行しています。ネットワークには、LAN1 と LAN2 という 2 つのネットワーク接続を有する CramMedia DHCP1 という DHCP サーバーがあります。 CramMedia DHCP1 がDHCP クライアントによる LAN2 へのリクエストを受け付けず、非DHCP クライアントによる LAN2 へのリクエストには応答するように構成するには、どうすればいいですか?









解説:

CramMedia DHCP1 が DHCP クライアントによる LAN2 へのリクエストを受け付けず、非DHCP クライアントによる LAN2 へのリクエストには応答するように構成するには、DHCP スナップインで DHCP サービスに LAN1 だけが結合するようにバインディングを変更します。DHCP スナップインの [サーバー接続の結合の変更] オプションによって、DHCP サーバーが何の接続を使ってアドレスを提供しているのかを確認することができます。 DHCP サーバー内に複数のネットワーク アダプタを持つ場合、選択したインターフェイスだけを DHCP に使用するように構成できます。 [結合] ボタンをクリックすると、コンピュータのバインディングを表示して、構成することできます。
MCTS 問題12 / 30   REF:70-642V2.21105


CramMedia 社には、IPV6 ネットワークがあります。 IPV6 ネットワークには 25 のセグメントがあります。 あなたは新しいWindows Server 2008 を IPV6 ネットワークに展開しました。 サーバーが IPV6 ネットワークのすべてのセグメント上のシステムと通信できることを保証するには、どうすればいいですか?











解説:

サーバーが IPV6 ネットワークのすべてのセグメント上のシステムと通信できることを保証するには、IPV6 アドレスを fd00::2b0:d0ff:fee9:4143/8 として構成します。これは、このアドレス タイプがローカル ユニキャスト でインターネット上にはルートされないためです。 一般に着信時にフィルタ処理されます。
MCTS 問題13 / 30   REF:70-642V2.21109


CramMedia は、パブリック ネットワークを設計中で、131.107.40.0/22 の Ipv4 アドレス範囲を使用する予定です。 ネットワークのセグメントに対してサブネットを構成する必要があります。 すべてのセグメントでコンピュータをサポートするには、どのネットワーク アドレスを使用すればいいですか?












解説:

構成したソリューションが、各セグメントに於いてすべてのコンピュータをサポートすることを保証するには、セグメントA: 131.107.40.0/23, セグメント B: 131.107.42.0/24, セグメント C: 131.107.43.0/25, セグメント D: 131.107.43.128/27 を使用します。

セグメント A:131.107.40.0/23 は、512 台のコンピュータをサポートでき、280台のコンピュータをカバーします。
セグメント B: 131.107.42.0/24 は、254台のコンピュータをサポートでき、130台のコンピュータをカバーします。
セグメント C: 131.107.43.0/25 は、128 台のコンピュータをサポートでき、75 台のコンピュータをカバーします。
セグメント D: 131.107.43.128/27 は、32台のコンピュータをサポートでき、20の台のコンピュータをカバーできます。

参考資料: "サブネットワーク " http://en.wikipedia.org/wiki/Subnetwork
MCTS 問題14 / 30   REF:70-642V2.21111


あなたは、CramMedia のエンタープライズ管理者です。 同社の社内ネットワークは、IPv4 Ethernet ネットワークによる単一の Active Directory により構成されています。 R1 (IP アドレス 10.128.64.10) というルーターが、あなたのセグメントをインターネットに接続しています。 R2 というルーターが、Private1 というセグメントを使って、同じサブネットに加入しました。 Private1 セグメントのネットワーク アドレスは 、10.128.4.0/26 です。CramMedia 1 というコンピュータが、Private1 ネットワークへのアクセスを必要としています。 しかし、CramMedia 1 は現在の構成を使用して Private1 ネットワークに接続することができません。 Private1 ネットワークへの継続的なルートを追加するため、CramMedia 1のルーティング テーブルにどのコマンドを使用しますか?









解説:

Private1 ネットワークへの継続的なルートを CramMedia 1のルーティング テーブルに追加するには、Route add -p 10.128.4.0/26 10.128.64.10 というコマンドを追加します。 10.128.4.0/26 は接続を希望する IP サブネットで、10.128.64.10 は第2 のサブネットへの IP ゲートウェイです。
MCTS 問題15 / 30   REF:70-642V2.21137


あなたは、CramMedia のエンタープライズ管理者です。 同社の社内ネットワークは、Active Directory ドメインで Windows Server 2008 を実行するサーバー 10 台と、Windows Vista を実行する数台のクライアント コンピュータにより構成されています。 サーバーはすべて Remote Desktop (RDP) が有効で、サーバー管理に対して既定のセキュリティ設定が構成されています。 Windows Server 2008 サーバーと Windows Vista クライアント コンピュータ間の RDP 接続のセキュリティをできるだけ高く構成する必要があります。どうすればいいですか?











解説:

より安全性の高い RDP 接続を構成するには、まず内部証明機関からユーザー証明書を取得してから、ネットワーク レベル認証を使用するリモート デスクトップ クライアント コンピュータだけに接続を許可するように各サーバーを構成します。 Windows Server 2008以前のターミナル サーバーでは、サーバーの名前を入力してから接続が初期化され、ログオン画面が表示されていました。 そして、そのログオン画面で認証の試行が行われていました。 しかし、セキュリティの観点からすると、これは良い方法ではありません。 このような方法の場合、認証の前にセーバーへのアクセスを実現していることになります。取得しようとしているアクセスは、そのサーバー上のセッションのための権限です。これは良いセキュリティ プラクティスとは言えま せん。 NLA、すなわちネットワーク レベル認証は、クライアントが接続するために試みる際の順番を逆向きにします。 新しい RDC 6.0 クライアントは、ログオン画面に導く前にユーザー名とパスワードを要求します。 Windows Server 2008 以前のサーバーに接続する場合、初期ログオンで失敗すると旧式のログオン方法にフェールバックします。NLA が構成された Windows Vista コンピュータや Windows Server 2008サーバーに接続 する場合のその優れた点は、認証のフェールバックが全く起きないように阻止することです。これにより、悪意のあるユーザーが正しい認証を獲得していない状態でサーバーへのアクセスを取得することを阻止できます。
MCTS 問題16 / 30   REF:70-642V2.21358


あなたは、CramMedia のエンタープライズ管理者です。 CramMedia の社内ネットワークは、Crammedia.com という Active Directory ドメインにより構成されています。ドメインのサーバーはすべて Windows Server 2008 を実行し、クライアント コンピュータはすべてWindows Vista を実行しています。 社内ネットワークは、ネットワークに接続するクライアント コンピュータに対してポリシーを強制するためにネットワーク アクセス保護 (NAP) を使用しています。 会社のポリシーにより、クライアント コンピュータは「緊急」または「重要」という深刻度に指定された更新プログラムがインストールされている場合に限り、ネットワーク リソースへのアクセスを提供します。 WSUS から更新プログラムを取得するため、クライアント コンピュータはグループポリシーを使用して構成されています。

クライアント コンピュータが会社のポリシーの要件を満たすことを保証するには、どうすればいいですか?











解説:

クライアント コンピュータが会社ポリシーの要件を満たすことを保証するには、利用可能なセキュリティ更新プログラムをすべてインストールしていないクライアントに対して検疫を行います。 NAP クライアントの構成ツールを使用して、リモートでアクセスするクライアントに対して別個の強制ポリシーを構成することができます。 管理者は、組織のプライベートネットワークに接続するすべてのコンピュータに対して、接続方法を問わず、NAP を使って正常性要件を強制することができます。 NAP では、ユーザーがプライベート ネットワークに接続する前に、接続を試みるコンピュータに最新の更新プログラムがインストールされていることを保証するため、プライベートネットワークのセキュリティを改善できます。 クライアント コンピュータが正常性要件に準拠しない場合には、コンピュータがプライベート ネットワークに接続することを防止することができます。 リモート アクセスに対して NAP を強制するには、[NAPクライアントの構成] ツールを開き、[リモート アクセス検疫強制クライアント] をダブルクリックして、[この実施クライアントを有効にする] のチェックボックスをオンにします。
MCTS 問題17 / 30   REF:70-642V2.21369


あなたは、CramMedia のエンタープライズ管理者です。 同社は、本社のほかに 2つの 支店があります。 同社の社内ネットワークは、 Crammedia.com という単一の Active Directory ドメインにより構成されています。支店にあるコンピュータは、IPv4 プロトコルと IPv6 プロトコルを使用しています。 各支店は "対称型の (Symmetric)" NAT を実行するファイアウォールにより保護されています。全支店間でピア・ツー・ピア通信を有効にするには、どうすればいいですか?









解説:

各拠点が"対称型の (Symmetric)" NAT を実行するファイアウォールにより保護されている全支店間でピア・ツー・ピア通信を実現するには、ファイアウォールが Toredo の使用を許可するように構成します。 Teredo は、IPv6 ホストや IPv4 ホストが 1 つまたは複数の IPv4 ネットワーク アドレス変換器 (NAT) の内側に配置されている場合に、ユニキャスト IPv6 トラフィックに対してアドレスの割り当てとホスト間の自動トンネリングを行う IPv6 移行テクノロジです。 Windows Vista および Windows Server "Longhorn" の Teredo は、1 つの Teredo クライアントだけが対称型 NAT の内側に配置されている場合で、別のクライアントが cone NAT または制限付き NAT の内側に置かれている場合に機能します。

参考資料: Microsoft IPv6 - Teredo の概要
http://technet.microsoft.com/ja-jp/library/bb457011.aspx
MCTS 問題18 / 30   REF:70-642V2.21370


あなたは、CramMedia のエンタープライズ管理者です。 CramMedia の社内ネットワークは、IPv6 アドレス指定を使用するように構成された Windows Server 2008 コンピュータにより構成され、IP アドレス 172.16.45.9/21 が割り当てられています。IPアドレス 172.16.40.18/21 を持つサーバーへの IPV6 通信をテストする場合、次のどのコマンド プロンプトを使用すればいいですか?









解説:

サーバーへの IPV6 通信をテストするには、ping と入力した後にサーバーのリンク ローカル アドレスを入力します。 リンク ローカル アドレスは、ローカルの データリンク層ネットワーク内だけでの使用を対象とするネットワークアドレスで、ネットワーク範囲外へのルーティング用ではありません。 リンク ローカル アドレスは、ネットワーク アドレス指定情報に関する外部ソースを利用できないネットワーク アドレスの自動構成にしばしば使用されます。 Windows Vista、Windows Server 2008、Windows XP SP1 以降、そしてWindows Server 2003 にはIPv6 が有効なバージョンの Ping.exe ツールがあります。

参考資料: ping コマンドを使って IPv6 構成をテストする
http://technet.microsoft.com/ja-jp/library/cc780986(WS.10).aspx
MCTS 問題19 / 30   REF:70-642V2.22656


あなたは Crammedia.com のエンタープライズ管理者です。Crammedia.com のネットワークには Active Directory ドメインが 1 つあり、Crammedia.com という名前です。Crammedia.com のネットワーク上のすべてのサーバーで Windows Server 2008 が実行されています。

Crammedia.com には、WSUS がインストールされているサーバーがあります。あなたはネットワーク上のシステムのグループ化を行いました。あなたは、更新のタイミングをずらすため、これらのシステムを複数のグループのメンバーにしようと考えています。あなたは CIO から、コンピューターに対してコンピューター グループを設定するよう指示を受けました。

どうすればよいですか。(当てはまるものをすべて選択してください)









解説:

[クライアント側のターゲットを有効にする] 設定を有効にすると、GPO のすべてのコンピューターが特定のコンピューター グループに配置されます。また、[サービスの更新] コンソールでコンピューターを右クリックして [メンバシップの変更] を選択すると、そのコンピューターをコンピューター グループに配置できます。
MCTS 問題20 / 30   REF:70-642V2.22694


あなたは Crammedia.com のエンタープライズ管理者です。Crammedia.com のネットワークには Active Directory ドメインが 1 つあり、Crammedia.com という名前です。Crammedia.com のネットワーク上のすべてのサーバーで Windows Server 2008 が実行されています。

あなたは CRAMMEDIA-SR24 という Windows Server 2008 サーバーを管理しています。CRAMMEDIA-SR24 には、機密情報が保存されています。通常の監視作業中に、あなたは CRAMMEDIA-SR24 が何回にもわたり攻撃を受けていることに気がつきました。ネットワークのセキュリティを保護するため、あなたは CRAMMEDIA-SR24 での着信接続をすべて無効にすることにしました。

どうすればよいですか。











解説:

サーバーへのすべての着信接続を直ちに無効にするには、Windows ファイアウォールのドメイン プロファイルで [すべての接続をブロック] オプションを有効にします。

着信接続を [すべての接続をブロック] に設定するには、Windows ファイアウォールでファイアウォールのプロパティを設定します。ドメイン プロファイルで [すべての接続をブロック] が設定されると、セキュリティが強化された Windows ファイアウォールはすべての受信規則を無視し、ドメインへの着信接続をすべてブロックします。

参考資料:ファイアウォールのプロパティの構成 http://technet.microsoft.com/ja-jp/library/cc754962(WS.10).aspx
MCTS 問題21 / 30   REF:70-642V2.23276


あなたは CramMedia.com のエンタープライズ管理者です。 CramMedia.com のネットワークには Active Directory ドメインが 1 つあり、CramMedia.com という名前です。 CramMedia.com はマイアミに本社があり、トロントに支店があります。 CramMedia.com のネットワークサーバーは Microsoft Windows Server 2008 を実行しており、クライアント コンピューターは Microsoft Windows Vista を実行しています。 CramMedia.com は両方の事業所で IPv4 アドレスを使用することにしました。 ある日、あなたは CramMedia.com から、トロント支店に行き CRAMMEDIA-SR02 という追加サーバーを展開するよう指示を受けました。このサーバーは、ルーティングとリモート アクセスができるよう設定する必要があります。 どうすればよいですか。 (2 つ選択してください。)









解説: 支店のサーバーでルーティングを構成するには、最初にサーバーでルーティングとリモート アクセスの役割をサーバーにインストールし、次に [IPv4 ルーター] ルーティングとリモート アクセス オプションを有効にします。
MCTS 問題22 / 30   REF:70-642V2.23289


あなたは CramMedia.com のネットワーク管理者です。 CramMedia.com のネットワークには Active Directory フォレストが 1 つあり、CramMedia.com という名前です。 CramMedia.com フォレストには、 4 つのドメインがあります。 CramMedia.com フォレストの DNS サーバーは、Windows Server 2008 を実行するよう設定されています。 あなたは CIO から、パブリック DNS クエリが 1 台のキャッシュ専用 DNS サーバー経由でチャネルされるようにするよう指示を受けました。 どうすればよいですか。 (当てはまるものをすべて選択してください)









解説: このシナリオでは、フォワーダーを設定するか、キャッシュ専用 DNS サーバーでルートヒントを設定するのが最も適切です。 これにより、パブリック DNS クエリが 1 台のキャッシュ専用 DNS サーバー経由でチャネルされます。 キャッシュ専用 DNS サーバーを使用すると、発信 DNS トラフィックが少なくなり、名前解決が速くなります。 キャッシュ専用 DNS サーバーはクライアントからクエリを受信し、他のネーム サーバーに対してクエリを実行し、結果をキャッシュしてから、その結果をクライアントに返します。 キャッシュ専用サーバーを設定するには、DNS サービスに 1 つ以上のフォワーダーを設定します。フォワーダーは、ローカル DNS サーバーによるクエリの転送先となるアップストリーム DNS サーバーです (実質的には、 DNS クライアントとして機能します)。 構成によっては、DNS サーバーにルート ヒントがあり、DNS ルート サーバーにクエリを送信できるようになっていることがあります。 それ以外の構成では、サーバーは回答できないすべてのクエリを他のサーバーに転送します。 転送とルート ヒントはいずれも、DNS サーバーが、解決する権限を持たないクエリを解決するための方法です。 参考資料: Configure a caching-only DNS forwarder in Windows 2000 Server http://articles.techrepublic.com.com/5100-10878_11-5819265.html 参考資料: DNS の概念を確認する http://technet.microsoft.com/ja-jp/library/cc731879(WS.10).aspx
MCTS 問題23 / 30   REF:70-642V2.23290


あなたは CramMedia.com のネットワーク管理者です。 CramMedia.com のネットワークは、Active Directory 統合 DNS で構成されています。 CramMedia.com のネットワークにあるサーバーはいずれも Windows Server 2008 を実行するよう設定されています。 あなたはネットワーク キャプチャを実行中に、DNS サーバーが DNS 名前解決クエリを crammedia.root-servers.net というサーバーに送信していることに気がつきました。 あなたは CIO から、DNS サーバーが crammedia.root-servers.net にクエリを送信することを禁止するよう指示を受けました。 また、あなたは DNS サーバーがインターネット ホストの名前を解決できるようにする必要があります。 どうすればよいですか。 (当てはまるものをすべて選択してください)









解説: DNS サーバーが crammedia.root-servers.net にクエリを送信することを禁止するには、DNS サーバーでルート ヒントを無効にする必要があります。 ルート ヒントは、どの DNS サーバーでも DNS ルート サーバーを検索できるようにするために使用します。 ルート ヒントが有効になっていたため、DNS サーバーはすべてのクエリを crammedia.root-servers.net に送信していました。 次に、インターネット ホストの名前を解決するには、会社の ISP の DNS サーバーへの転送を有効にする必要があります。 転送を使用すると、ルート ヒントを使用する代わりに、特定のサーバーを介して名前を解決できるようになります。 参考資料: DNS の概念を確認する/再帰的な名前解決 http://technet.microsoft.com/ja-jp/library/cc731879(WS.10).aspx
MCTS 問題24 / 30   REF:70-642V2.23350


あなたは CramMedia.com のネットワーク管理者です。 CramMedia.com のネットワークには Active Directory ドメインが 1 つあり、CramMedia.com という名前です。 CramMedia.com のネットワークにあるすべてのサーバーで Windows Server 2008 が実行され、すべてのクライアント コンピューターで Windows Vista が実行されています。 CramMedia.com のネットワークには、CRAMMEDIA-SR01 という名前のサーバーがあります。 CRAMMEDIA-SR01 は、\\CramMedia.com\dfs という名前のドメインベースの DFS 名前空間をホストするよう設定されています。 CramMedia.com のユーザーは、自分のデータを DFS 名前空間内のサブ フォルダーに保存しています。 あなたは CIO から、\\CramMedia.com\dfs 共有のルートに新しいフォルダーやファイルを作成できるユーザーを、管理者に限定するよう指示を受けました。 どうすればよいですか。









解説: 管理者以外のどのユーザーも \\CramMedia.com\dfs 共有のルートで新しいフォルダーやファイルを作成できないようにするには、\\CRAMMEDIA-SR01\dfs 共有フォルダーのアクセス許可として、Authenticated Users グループを [閲覧者] に設定し、Administrators グループを [共同所有者] に設定します。 閲覧者は、ファイルとフォルダーの表示のみができます。共有所有者は、すべてのファイルの表示、追加、変更、削除ができます。 参考資料: Managing Files and Folders in Windows Vista (英語) http://www.informit.com/articles/article.aspx?p=698129&seqNum=29
MCTS 問題25 / 30   REF:70-642V2.23370


あなたは CramMedia.com のエンタープライズ管理者です。 CramMedia.com のネットワークには Active Directory ドメインが 1 つあり、CramMedia.com という名前です。 CramMedia.com のネットワーク上のすべてのサーバーで、Windows Server 2008 が実行されています。 CramMedia.com は本社と 1 か所の支店で構成されています。 TesCMig.com の支店には CRAMMEDIA-SR11、CRAMMEDIA-SR12、CRAMMEDIA-SR13 という 3 台のサーバーがあります。 あなたは CRAMMEDIA-SR12 と CRAMMEDIA-SR13 を監視するため、CRAMMEDIA-SR11 でイベント ログのサブスクリプションを設定しています。 しかし、あなたは CRAMMEDIA-SR11 でサブスクリプションを作成できないことに気が付きました。 どうすればよいですか。 (当てはまるものをすべて選択してください)









解説: : CRAMMEDIA-SR11 でサブスクリプションを構成するには、最初にイベント コレクター サブスクリプション構成ファイルを作成して、subscription.xml という名前を付けます。 その後、CRAMMEDIA-SR11 で wecutil cs subscription.xml コマンドを実行する必要があります。 このコマンドを使うと、WS-Management プロトコルをサポートしているリモート コンピュータから転送されるイベントのサブスクリプションの作成と管理ができるようになります。 wecutil cs subscription.xml コマンドは、CramMedia.com のリモート コンピューターの Windows Vista アプリケーション イベント ログから ForwardedEvents ログへイベントを転送するサブスクリプションを作成します。 参考資料: Wecutil http://technet2.microsoft.com/windowsserver2008/en/library/0c82a6cb-d652-429c-9c3d0f568c78d54b1033.mspx?mfr=true
MCTS 問題26 / 30   REF:70-642V2.23937


あなたの会社はネットワークを設計しています。ネットワークで、IPv6 プレフィックス 2001:DB8:BBCC:0000::/53 を使用します。>

2000 サブネットをサポートする IPv6 アドレッシング設定を行う必要があります。

次のうちどのネットワーク マスクを使用すればよいですか。









解説:

2000 サブネットをサポートする必要があると述べていますので、11ビット(2^11=2048)が必要となります。 割り当てられている /53 から、11ビットをサブネット用に確保するので、正解は /64 となります。
MCTS 問題27 / 30   REF:70-642V2.23938


あなたの会社では、DHCP を使用して本社のコンピューターに IPv4 アドレスをリースしています。WAN リンクで本社と支店を接続しています。支店のすべてのコンピューターは静的 IP アドレスで構成されています。支店では、DHCP を使用せず、異なるサブネットを使用しています。ポータブル コンピューターを本社および支店のネットワーク リソースに接続できるようにする必要があります。

ポータブル コンピューターをどのように構成すればよいですか。









解説:

IPv4 のプロパティ⇒ [代替の構成] タブ内の [ユーザー構成] では、DHCP サーバーが見つからない場合に IPv4 が手動で指定された構成を使用することを指定します。この代替構成は、コンピューターが複数のネットワーク上で使用され、少なくともそのうち 1 つのネットワークに DHCP サーバーがなく、APIPA による構成が使用できない場合に役立ちます。その好例は、オフィスや家庭で使用されるポータブル コンピューターです。会社では、ラップトップは DHCP によって割り当てられた TCP/IP 構成を使用します。家庭には DHCP サーバーはありませんが、ポータブル コンピューターは自動的に代替構成を使用するので、ホーム ネットワーク デバイスやインターネットに簡単にアクセスできます。これにより、IP を手動で構成しなくても、ポータブル コンピューターがどちらのネットワーク上でもシームレスに動作します。

参考イメージ:



参考資料: 「IPv4 の [代替の構成] タブ」

http://technet.microsoft.com/ja-jp/library/cc725638.aspx
MCTS 問題28 / 30   REF:70-642V2.23976


あなたの会社には、Windows Server 2008 R2 を実行している SRV1 というサーバーがあります。既定の印刷サービス サーバーの役割が SRV1 上にインストールされています。>

会社は UNIX と Windows 両方のユーザーのために印刷を SRV1 に一元化したいと考えています。SRV1 で印刷を行う UNIX ユーザーにサポートを提供する必要があります。この目的を達成する方法として考えられるのは次のうちどれですか。(正解はそれぞれ単独で解決方法となります。当てはまるものを 2 つ選択してください。)









解説:

ライン プリンター デーモン (LPD) サービスによって、TCP/IP Print Server (LPDSVC) サービスがインストールされ、起動されます。これにより、UNIX ベースのコンピューターまたはライン プリンター リモート (LPR) サービスを使用しているその他のコンピューターから、このサーバーの共有プリンターに印刷できるようになります。

また、Windows Server 2008 R2 のインターネット印刷役割サービスでは、インターネット インフォメーション サービス (IIS) によってホストされる Web サイトを作成します。ユーザーは、Web ブラウザーでインターネット印刷プロトコル (IPP) を使用して、このサーバー上の共有プリンターに接続して印刷する (ユーザーはインターネット印刷クライアントをインストールする必要があります)。

参考資料: 「印刷の管理の概要」

http://technet.microsoft.com/ja-jp/library/cc731857.aspx
MCTS 問題29 / 30   REF:70-642V2.23997


あなたのネットワークに、下図のように構成された DHCP サーバーがあります。



DHCP サーバーが DHCP クライアントに応答できるようにする必要があります。

何を行えばよいですか。









解説:

問題中の図から、DHCP サーバーのサービスが停止していることがわかります。
Windows Server 2008 では、DHCP サーバーのサービスを Active Directory に統合することによって、DHCP サーバーの承認が行われます。ネットワーク上に存在する承認されていない DHCP サーバーが誤ったアドレスや構成オプションを割り当てると、ネットワーク操作に混乱が生じるおそれがあります。ドメイン コントローラーまたは Active Directory ドメインのメンバーである DHCP サーバーは、承認されたサーバー (IP アドレスによって識別される) の一覧を Active Directory に照会します。承認された DHCP サーバーの一覧に自身の IP アドレスが含まれていない場合、DHCP サーバーのサービスは起動シーケンスを中断し、自動的にシャットダウンします。

参考資料: 「AD DS で DHCP サーバーを承認する方法の詳細」

http://technet.microsoft.com/ja-jp/library/cc754493(WS.10).aspx
MCTS 問題30 / 30   REF:70-642V2.24000


ネットワークには、ルーティングの役割サービスがインストールされた Server1 というサーバーがあります。Server1 には 2 つのネットワーク接続があります。一方のネットワーク接続は内部ネットワークに接続しています。もう一方のネットワーク接続はインターネットに接続しています。

内部ネットワークに接続するネットワーク接続は、すべてプライベート IP アドレスを使用しています。あなたは Web1 という Web サーバーをインストールしました。Web1 は TCP ポート 8281 上のセキュリティで保護された Web サイトのみをホストします。Web1 は 内部ネットワーク接続しています。インターネットからセキュリティで保護されたネットワークにアクセスできるようにする必要があります。 [ルーティングとリモート アクセス] コンソールで何を行えばよいですか。









解説:

ネットワーク アドレス変換 (NAT) を使用すると、単一のパブリック IP アドレスで単一のインターフェイスを経由して、パブリック インターネットへの接続を共有できます。プライベート ネットワーク上のコンピューターは、ルーティング不可能なプライベート アドレスを使用します。NAT は、プライベート アドレスをパブリック アドレスにマッピングします。

参考資料: 「NAT を有効にして構成する」

http://technet.microsoft.com/ja-jp/library/dd469812.aspx
投稿者 時刻: 0 件のコメント:
ラベル: , ,
登録: 投稿 (Atom)