Microsoft 70-649 Exam Exam Name: TS: Upgrading Your … · Configuring Network Access 2. ... (Network Policy Server, ... setzt einen Windows Server 2008 Computer mit installiertem

Microsoft 70-649 Exam

Number: 70-649Passing Score: 700Time Limit: 120 minFile Version: 18.7

http://www.gratisexam.com/

Microsoft 70-649 Exam

Exam Name: TS: Upgrading Your MCSE on Windows Serve r 2003 to Windows Server2008, Technology Specialist

For Full Set of Questions please visit: http://www. visualexams.com/70-649.htm

Sections1. Configuring Network Access2. Configuring Terminal Services3. Configuring a Web Services Infrastructure4. Configuring Security for Web Services5. Deploying and Monitoring Servers6. Configuring Server Roles7. Maintaining the Active Directory Environment8. Configuring the Active Directory Infrastructure

Exam A

QUESTION 1Sie sind als Netzwerkadministrator für das Unternehmen CertBase tätig. Das Unternehmenhat eine große Anzahl neuer tragbarer Computer für den Einsatz im Firmennetzwerkvorbereitet. Die tragbaren Computer sollen über eine drahtlose Verbindung mit demNetzwerk kommunizieren.

Sie erstellen ein neues Gruppenrichtlinienobjekt (GPO) und konfigurieren eineDrahtlosrichtlinie mit Profilen auf Basis der vorhandenen Netzwerknamen in IhremUnternehmen. Anschließend verknüpfen Sie das Gruppenrichtlinienobjekt (GPO) mit derOrganisationseinheit (OU) Notebooks.

Die Benutzer der neuen Computer berichten, dass sie keine Verbindungen mit demDrahtlosnetzwerk herstellen können.

Sie müssen sicherstellen, dass die Einstellungen der Drahtlosrichtlinie auf die tragbarenComputer angewendet werden.

Wie gehen Sie vor?

A. Führen Sie den Befehl gpupdate /boot auf den tragbaren Computern aus.B. Führen Sie den Befehl gpupdate /target:computer auf den tragbaren Computern aus.C. Verbinden Sie die tragbaren Computer mit dem drahtgebundenen Netzwerk. Starten Sie

die Geräte und melden Sie sich an. Schalten Sie die Geräte anschließend wieder ab.D. Starten Sie den Assistenten Verbindung mit einem Netzwerk herstellen auf den

tragbaren Computern. Lassen Sie das Textfeld für den Service Set Identifier (SSID) frei.

Correct Answer: CSection: Configuring Network AccessExplanation

Explanation/Reference:Erläuterungen:Um die neue Drahtlosrichtlinie auf die tragbaren Computer anzuwenden, muss zunächsteine Verbindung mit dem Netzwerk hergestellt werden. Der einfachste Weg ist es, dieGeräte kurzzeitig mit dem drahtgebundenen Netzwerk zu verbinden.

QUESTION 2Sie sind als Netzwerkadministrator für das Unternehmen CertBase tätig. DasFirmennetzwerk besteht aus einer einzelnen Active Directory Domäne. Auf allenServercomputern ist das Betriebssystem Windows Server 2008 installiert.

Das Unternehmen plant die Eröffnung einer neuen Zweigstelle. Die Mitarbeiter derForschungsabteilung sollen sich in das Firmennetzwerk der Hauptgeschäftsstelleeinwählen, wenn sie in der neuen Zweigstelle tätig sind.

Sie erstellen ein Benutzerkonto als Vorlage für neue Mitarbeiter der Forschungsabteilung.

Sie müssen sicherstellen, dass alle neuen Benutzerkonten, die auf Basis der neuen Vorlage

erstellt werden, über die erforderlichen Einwählberechtigungen verfügen.

Wie gehen Sie vor?

A. Konfigurieren Sie die Gruppenmitgliedschaften für das Vorlagenkonto und erstellen Sieeine Netzwerkrichtlinie, in der die entsprechende Gruppe verwendet wird.

B. Konfigurieren Sie die Gruppenmitgliedschaften für das Vorlagenkonto und erstellen Sieein Gruppenrichtlinienobjekt (GPO), das der verwendeten Gruppe die erforderlichenBerechtigungen für die lokale Anmeldung erteilt.

C. Konfigurieren Sie die Anmeldezeiten für das Vorlagenkonto. Lassen Sie Anmeldungenvon Montag bis Freitag in der Zeit von 06:00 Uhr bis 18:00 Uhr zu.

D. Verwenden Sie die Konsole Active Directory-Schema und bearbeiten Sie dieEigenschaften des Attributs groupMembership . Aktivieren Sie die Option DiesesAttribut indizieren .

Correct Answer: ASection: Configuring Network AccessExplanation

Explanation/Reference:Erläuterungen:Bei Netzwerkrichtlinien handelt es sich um Bedingungen, Einschränkungen undEinstellungen, mit deren Hilfe Sie festlegen, welche Benutzer unter welchen Umständeneine Verbindung mit dem Netzwerk herstellen dürfen. Wenn Sie den Netzwerkzugriffsschutz(Network Access Protection, NAP) bereitstellen, werden der Netzwerkrichtlinien-Konfiguration Integritätsrichtlinien hinzugefügt, damit der Netzwerkrichtlinienserver (NetworkPolicy Server, NPS) während des Autorisierungsvorgangs Clientintegritätsprüfungenausführt.

Bei der Verarbeitung von Verbindungsanforderungen als RADIUS-Server führt NPS dieAuthentifizierung und Autorisierung für die Verbindungsanforderung aus. Während desAuthentifizierungsvorgangs überprüft NPS die Identität des Benutzers oder Computers, dereine Verbindung mit dem Netzwerk herstellt. Während des Autorisierungsvorgangsbestimmt NPS, ob der Benutzer oder Computer auf das Netzwerk zugreifen darf.

Dabei verwendet NPS Netzwerkrichtlinien, die im NPS-MMC-Snap-In konfiguriert sind. NPSüberprüft außerdem die Einwähleigenschaften des Benutzerkontos in Active Directory-Domänendienste (Active Directory Domain Services, AD DS) zur Ausführung derAutorisierung.

Im Internetauthentifizierungsdienst (Internet Authentication Service, IAS) derBetriebssysteme der Windows Server 2003-Produktfamilie wurden Netzwerkrichtlinien alsRAS-Richtlinien bezeichnet.

Netzwerkrichtlinien können als Regeln betrachtet werden. Jede Regel weist eine Reihe vonBedingungen und Einstellungen auf. NPS vergleicht die Bedingungen der Regel mit denEigenschaften von Verbindungsanforderungen. Wenn eine Übereinstimmung zwischen derRegel und der Verbindungsanforderung vorliegt, werden die in der Regel definiertenEinstellungen auf die Verbindung angewendet.

Wenn in NPS mehrere Netzwerkrichtlinien konfiguriert sind, handelt es sich um einengeordneten Regelsatz. NPS überprüft jede Verbindungsanforderung mit der ersten Regel inder Liste, dann mit der zweiten Regel usw., bis eine Übereinstimmung gefunden wird.

Jede Netzwerkrichtlinie weist die Einstellung Richtlinienstatus auf, mit der Sie die Richtlinieaktivieren bzw. deaktivieren können. Wenn Sie eine Netzwerkrichtlinie deaktivieren, wird dieRichtlinie beim Autorisieren von Verbindungsanforderungen von NPS nicht ausgewertet.

QUESTION 3Sie sind als Netzwerkadministrator für das Unternehmen CertBase tätig. Das Unternehmensetzt einen Windows Server 2008 Computer mit installiertem Routing und RAS (RRAS)Dienst ein, um Remotebenutzern Zugriff auf das Netzwerk zu ermöglichen. Die Computerder Remotebenutzer sind nicht Mitglied der Active Directory Domäne.

Sie stellen fest, dass die Computer der Remotebenutzer die Quelle für einen Virus aufinternen Mitgliedsservern sind.

Sie müssen das Unternehmensnetzwerk vor Viren schützen, die von den Computern derRemotebenutzer übertragen werden.

Wie gehen Sie vor?

A. Installieren Sie eine dateibasierte Antivirensoftware auf dem Routing und RAS Server.Konfigurieren Sie automatische Aktualisierungen für die Antivirensoftware.

B. Konfigurieren Sie eine Systemintegritätsprüfung. Legen Sie fest, dass eineAntivirusanwendung aktiviert und aktuell sein muss.

C. Konfigurieren Sie eine Systemintegritätsprüfung. Legen Sie fest, dass eineAntispywareanwendung aktiviert und aktuell sein muss.

D. Erstellen Sie eine Organisationseinheit für die Computer der Remotebenutzer.Verwenden Sie ein Gruppenrichtlinienobjekt, um eine Antivirensoftware an die Computerzu verteilen.

Correct Answer: BSection: Configuring Network AccessExplanation

Explanation/Reference:Erläuterungen:Systemintegritätsprüfungen (System Health Validators, SHVs) sind dasServersoftwaregegenstück zu Systemintegritäts-Agents (System Health Agents, SHAs). Fürjeden SHA auf dem Client gibt es eine entsprechende SHV im Netzwerkrichtlinienserver(Network Policy Server, NPS). NPS überprüft mithilfe von SHVs das SoH (Statement ofHealth), das vom entsprechenden SHA auf dem Clientcomputer erstellt wird.

SHVs enthalten die Details der erforderlichen Konfigurationseinstellungen aufClientcomputern. Beispielsweise ist die Windows-Sicherheitsintegritätsprüfung (WindowsSecurity Health Validator, WSHV) das Gegenstück zum Windows-Sicherheitsintegritäts-Agent (Windows Security Health Agent, WSHA) auf Clientcomputern. Mit WSHV könnenSie eine Richtlinie dafür erstellen, wie Einstellungen auf NAP-fähigen Clientcomputernkonfiguriert werden müssen. Falls die Einstellungen auf dem Clientcomputer gemäß des

Berichts im SoH nicht mit den Einstellungen in der SHV auf dem Netzwerkrichtlinienserverübereinstimmen, ist der Clientcomputer nicht mit der Integritätsrichtlinie konform.

QUESTION 4Sie sind als Netzwerkadministrator für das Unternehmen CertBase tätig. CertBase hat denNetzwerkzugriffsschutz (Network Access Protection, NAP) mit den Standardeinstellungenfür das Firmennetzwerk konfiguriert.

Sie verteilen eine Anwendung an Clientcomputer, auf denen Windows Vista ausgeführtwird. Die Anwendung stellt eine Verbindung mit einem entfernten Datenbankserver her. DerStart der neuen Anwendung schlägt fehl. Sie stellen fest, dass die Antispyware Software aufden Clientcomputern nicht mit der neuen Anwendung kompatibel ist.

Sie deaktivieren die Antispyware Software auf den Clientcomputern. Die neue Anwendungkann jedoch nach wie vor nicht gestartet werden.

Sie müssen sicherstellen, dass die neue Anwendung auf allen Clientcomputern verwendetwerden kann.

Wie gehen Sie vor?

A. Deaktivieren Sie im Dialogfenster Windows-Sicherheitsintegritätsprüfung die OptionAntispywareanwendung ist aktiviert .

B. Deaktivieren Sie im Dialogfenster Windows-Sicherheitsintegritätsprüfung die OptionAntispywareanwendung ist aktuell .

C. Konfigurieren Sie in den Eigenschaften der Windows-Sicherheitsintegritätsverifizierungdie Fehlercodeauflösung für die Option SHA reagiert nicht auf NAP-Client mit demWert Kompatibel .

D. Legen Sie den Starttyp für den Dienst Windows-Defender auf den Clientcomputern mitManuell fest. Führen Sie anschließend einen Neustart des Dienstes Windows-Defenderdurch.


Explanation/Reference:Erläuterungen:Der Netzwerkzugriffsschutz führt eine fortlaufende Kontrolle der Clientcomputer durch undstellt sicher, dass die Antispywareanwendung automatisch wieder eingeschaltet wird, wennSie durch einen Administrator manuell deaktiviert wird. Wenn dies nicht möglich ist, erhältder Clientcomputer standardmäßig nur noch eingeschränkten Zugriff auf das Netzwerk.

Systemintegritätsprüfungen (System Health Validators, SHVs) sind dasServersoftwaregegenstück zu Systemintegritäts-Agents (System Health Agents, SHAs). Fürjeden SHA auf dem Client gibt es eine entsprechende SHV im Netzwerkrichtlinienserver(Network Policy Server, NPS). NPS überprüft mithilfe von SHVs das SoH (Statement ofHealth), das vom entsprechenden SHA auf dem Clientcomputer erstellt wird.

SHVs enthalten die Details der erforderlichen Konfigurationseinstellungen auf

Clientcomputern. Beispielsweise ist die Windows-Sicherheitsintegritätsprüfung (WindowsSecurity Health Validator, WSHV) das Gegenstück zum Windows-Sicherheitsintegritäts-Agent (Windows Security Health Agent, WSHA) auf Clientcomputern. Mit WSHV könnenSie eine Richtlinie dafür erstellen, wie Einstellungen auf NAP-fähigen Clientcomputernkonfiguriert werden müssen. Falls die Einstellungen auf dem Clientcomputer gemäß desBerichts im SoH nicht mit den Einstellungen in der SHV auf dem Netzwerkrichtlinienserverübereinstimmen, ist der Clientcomputer nicht mit der Integritätsrichtlinie konform.

QUESTION 5Sie sind als Netzwerkadministrator für das Unternehmen CertBase tätig. Das Unternehmenbetreibt ein IPv6 Netzwerk mit 25 Segmenten. Sie installieren Windows Server 2008 aufeinem neuen Computer mit dem Namen Server1.

Sie müssen sicherstellen, dass Server1 mit allen Systemen in allen Segmenten des IPv6Netzwerks kommunizieren kann.

Wie gehen Sie vor?

A. Konfigurieren Sie Server1 mit der IPv6 Adresse fd00::2b0:d0ff:fee9:4143/8 .B. Konfigurieren Sie Server1 mit der IPv6 Adresse fe80::2b0:doff:fee9:4143/64 .C. Konfigurieren Sie Server1 mit der IPv6 Adresse ff80::2b0:d0ff:fee9:4143/64 .D. Konfigurieren Sie Server1 mit der IPv6 Adresse 0000::2b0:d0ff:fee9:4143/64 .


Explanation/Reference:Erläuterungen:Standardmäßig bilden die ersten 64Bit einer IPv6 Adresse die NetzwerkID. Die letzten 64Bitder Adresse stehen für die Adressierung der Hosts zur Verfügung. Aus dem Aufgabentextgeht hervor, dass das Netzwerk in mehrere Segmente (Subnetze) unterteilt ist. Die IPv6Adresse aus Antwort A weicht von der Standard-Subnetzpräfixlänge ab und ermöglichtdamit die Konfiguration von Subnetzen.

Es gibt verschiedene IPv6-Adressen mit Sonderaufgaben und unterschiedlichenEigenschaften. Diese werden durch die ersten Bits der Adresse, das Präfix, signalisiert:::/128 (128 0-Bits) ist die undefinierte Adresse, ähnlich der 0.0.0.0 in IPv4 ::1/128 (127 0-Bits, 1 1-Bit) ist die Adresse des eigenen Standortes (localhost , loopback ). fe80::/10 (fe80… bis febf… ) sind so genannte linklokale Adressen (link local unicastaddresses ) Diese sollen von Routern nicht weitergeleitet werden und sind daher nur im gleichenTeilnetz erreichbar. Interessant werden sie bei der Autokonfiguration. fec0::/10 (fec0… bis feff… ) waren die Nachfolger der privaten IP-Adressen (beispielsweise192.168.x.x). Sie durften nur innerhalb der gleichen Organisation geroutet werden. Man nannte sie auch site-local (standortlokal). Diese Adressen sind nach RFC 3879 inzwischen veraltet (engl.deprecated ) und werden aus zukünftigen Standards möglicherweise verschwinden. NeueImplementationen müssen diesen Adressbereich als Global-Unicast-Adressen behandeln. Die Nachfolger sind wohl die Unique Local Addresses RFC 4193 mit dem Präfix fc00::/7 ,

mehr dazu siehe unten. ff00::/8 (ff… ) stehen für Multicast-Adressen. Nach dem Multicast-Präfix folgen 4 Bits für Flags und 4 Bits für den Gültigkeitsbereich(Scope). Für die Flags sind zurzeit folgende Kombinationen gültig: 0: Permanent definierte wohlbekannte Multicast-Adressen 1: (T-Bit gesetzt) Transient (vorübergehend) oder dynamisch zugewiesene Multicast-Adressen 3: (P-Bit gesetzt, erzwingt das T-Bit) Unicast-Prefix-based Multicast-Adressen (RFC 3306) 7: (R-Bit gesetzt, erzwingt P- und T-Bit) Multicast-Adressen, welche die Adresse desRendezvous Point enthalten (RFC 3956) Die folgenden Gültigkeitsbereiche sind definiert: 1: interfacelokal, diese Pakete verlassen die Schnittstelle nie. (Loopback) 2: linklokal, werden von Routern grundsätzlich nie weitergeleitet und können deshalb dasTeilnetz nicht verlassen. 4: adminlokal, der kleinste Bereich, dessen Abgrenzung in den Routern spezielladministriert werden muss 5: sitelokal, dürfen zwar geroutet werden, jedoch nicht von Border-Routern. 8: organisationslokal, die Pakete dürfen auch von Border-Routern weitergeleitet werden,bleiben jedoch „in der Firma“ (hierzu müssen seitens des Routing-Protokolls entsprechendeVorkehrungen getroffen werden). e: globaler Multicast, der überall hin geroutet werden darf. 0, 3, f: reservierte Bereiche die restlichen Bereiche sind nicht zugewiesen und dürfen von Administratoren benutztwerden, um weitere Multicast-Regionen zu definieren [2]. Beispiele für wohlbekannte Multicast-Adressen ff01::1 , ff02::1 : All Nodes Adressen. Entspricht dem Broadcast. ff01::2 , ff02::2 , ff05::2 : All Routers Adressen, adressiert alle Router in einem Bereich. Alle anderen Adressen gelten als Global Unicast Adressen. Von diesen sind jedoch bishernur die folgenden Bereiche zugewiesen:::/96 (96 0-Bits) stand für IPv4-Kompatibilitätsadressen, welche in den letzten 32 Bits dieIPv4-Adresse enthielten (dies galt nur für globale IPv4 Unicast-Adressen). Diese waren fürden Übergang definiert, jedoch im RFC 4291 vom Februar 2006 für veraltet (engl. deprecated ) erklärt. 0:0:0:0:0:FFFF::/96 (80 0-Bits, gefolgt von 16 1-Bits) steht für IPv4 mapped (abgebildete)IPv6 Adressen. Die letzten 32 Bits enthalten die IPv4-Adresse. Ein geeigneter Router kanndiese Pakete zwischen IPv4 und IPv6 konvertieren und so die neue mit der alten Weltverbinden. 2000::/3 (Bitfolge 001…, auch 2… und 3…) stehen für die von der IANA vergebenenglobalen Unicast-Adressen, also routbare und weltweit einzigartige Adressen. 2001-Adressen werden an Provider vergeben, die diese dann wieder an ihre Kundenverteilen. 2002-Präfixe deuten auf Adressen des Tunnelmechanismus 6to4 hin. 3ffe:0000 -Adressen wurden für das Testnetzwerk 6Bone benutzt. fc00::/7 (fc… und fd… ) sind Unique Local Adressen (RFC 4193).

QUESTION 6Sie sind als Netzwerkadministrator für das Unternehmen CertBase tätig. DasFirmennetzwerk besteht aus einer einzelnen Active Directory Domäne mit dem Namencertbase.de. Auf allen Servercomputern ist das Betriebssystem Windows Server 2008

installiert.

Das Unternehmen verwendet eine Unternehmenszertifizierungsstelle (CA). DieFirmensicherheitsrichtlinien erfordern, dass Informationen über gesperrte Zertifikatebereitgestellt werden.

Sie müssen eine hochverfügbare Lösung für die Bereitstellung von Informationen übergesperrte Zertifikate implementieren.

Wie gehen Sie vor?

A. Implementieren Sie einen Online-Responder für die OCSP (Online CertificateStatusprotokoll) Gültigkeitsprüfung und Sperrüberprüfung in einem Cluster für denNetzwerklastenausgleich (NLB).

B. Veröffentlichen Sie einen Online-Responder für die OCSP (Online CertificateStatusprotokoll) Gültigkeitsprüfung und Sperrüberprüfung über ein Internet Security andAcceleration (ISA) Server Array.

C. Verwenden Sie ein Gruppenrichtlinienobjekt (GPO) und veröffentlichen Sie eine Liste dervertrauenswürdigen Zertifizierungsstellen in der Domäne.

D. Erstellen Sie ein neues Gruppenrichtlinienobjekt (GPO), dass es den Benutzernermöglicht, Stammzertifikaten von anderen Organisationen zu vertrauen. Verknüpfen Siedas GPO mit der Domäne.

Correct Answer: ASection: Configuring Server RolesExplanation

Explanation/Reference:Erläuterungen:Ein Online-Responder ist ein vertrauenswürdiger Server, der einzelne Clientanforderungennach Informationen über den Status eines Zertifikats empfängt und beantwortet.

Die Verwendung von Online-Respondern stellt eine von zwei gängigen Methoden dar, umInformationen zur Gültigkeit von Zertifikaten bereitzustellen. Anders als beiZertifikatsperrlisten (Certificate Revocation Lists, CRLs), die regelmäßig verteilt werden undInformationen zu allen Zertifikaten enthalten, die gesperrt oder ausgesetzt wurden, werdenvon einem Online-Responder ausschließlich einzelne Clientanforderungen nachInformationen zum Status eines Zertifikats empfangen und beantwortet. Die proAnforderung abgerufene Datenmenge bleibt unabhängig von der Anzahl der gesperrtenZertifikate stets konstant.

Oft können mit Online-Respondern Zertifikatstatusanforderungen effizienter verarbeitetwerden als mit Zertifikatsperrlisten. Beispiel:

Clients, die von einem Remotestandort ausgehend eine Verbindung mit dem Netzwerkherstellen und die erforderliche Hochgeschwindigkeitsverbindung zum Herunterladen vongroßen Zertifikatsperrlisten nicht benötigen oder zur Verfügung haben. Ein Netzwerk muss mit Spitzenaktivitäten bei der Überprüfung der Sperrlisten umgehen,z. B. wenn sich eine große Anzahl von Benutzern gleichzeitig anmeldet oder signierte E-Mails sendet.

Eine Organisation benötigt ein effizientes Mittel, um Sperrdaten für Zertifikate zuverteilen, die von einer Zertifizierungsstelle eines Drittanbieters ausgestellt wurden. Eine Organisation möchte nur die Sperrüberprüfungsdaten bereitstellen, die für dieÜberprüfung einzelner Zertifikatstatusanforderungen benötigt werden, und nichtInformationen zu allen gesperrten oder ausgesetzten Zertifikaten.

QUESTION 7Sie sind als Netzwerkadministrator für das Unternehmen CertBase tätig. DasFirmennetzwerk besteht aus einer einzelnen Active Directory Domäne mit dem Namencertbase.de. Auf allen Servercomputern ist das Betriebssystem Windows Server 2008installiert.

Auf einem Domänencontroller mit dem Namen DC12 werden unternehmenskritischeDienste ausgeführt.

Sie führen eine Neustrukturierung der Organisationseinheiten (OU) durch und entfernenzahlreiche überflüssige Objekte aus dem Active Directory. Sie wollen nun eineOfflinedefragmentierung der Active Directory Datenbank auf DC12 durchführen. Sie müssenjedoch sicherstellen, dass die kritischen Dienste auf DC12 online verfügbar bleiben.


Wie gehen Sie vor?

A. Starten Sie den Domänencontroller im Verzeichnisdienste-Wiederherstellungsmodus.Verwenden Sie das Programm Defragmentierung .

B. Starten Sie den Domänencontroller im Verzeichnisdienste-Wiederherstellungsmodus.Verwenden Sie das Befehlszeilenprogramm Ntdsutil .

C. Beenden Sie den Dienst Active Directory-Domänendienste mit Hilfe der MicrosoftManagement Konsole (MMC) Dienste . Verwenden Sie das ProgrammDefragmentierung .

D. Beenden Sie den Dienst Active Directory-Domänendienste mit Hilfe der MicrosoftManagement Konsole (MMC) Dienste . Verwenden Sie das BefehlszeilenprogrammNtdsutil .

Correct Answer: DSection: Maintaining the Active Directory Environme ntExplanation

Explanation/Reference:Erläuterungen:Durch die Neustartmöglichkeit von AD DS können Sie AD DS anhalten und neu starten,ohne den Domänencontroller selbst neu zu starten. Offlinevorgänge, beispielsweise dieOfflinedefragmentierung, können schneller ausgeführt werden, da der Domänencontrollernicht im Verzeichnisdienste-Wiederherstellungsmodus neu gestartet werden muss.

QUESTION 8Sie sind als Netzwerkadministrator für das Unternehmen CertBase tätig. DasFirmennetzwerk besteht aus einer einzelnen Active Directory Domäne mit dem Namencertbase.de.

Das Netzwerk enthält einen Windows Server 2008 Domänencontroller. Der Server wirdregelmäßig über das Netzwerk von einem dedizierten Windows Server 2003Sicherungsserver gesichert.

Ihr Vorgesetzter bittet Sie für die Notfallwiederherstellung eine zusätzliche Sicherung aufdem Domänencontroller einzurichten, die unabhängig von der regelmäßigen Sicherungausgeführt wird.

Sie versuchen die Systemstatusdateien auf dem Domänencontroller zu sichern. Es ist Ihnenjedoch nicht möglich, das Sicherungsprogramm zu starten.

Sie müssen die Systemstatusdateien auf dem Windows Server 2008 Domänencontrollersichern.

Wie gehen Sie vor?

A. Nehmen Sie Ihr Benutzerkonto in die Sicherheitsgruppe Sicherungs-Operatoren auf.B. Verwenden Sie den Server-Manager, um die Windows Server-Sicherungsfeatures zu

installieren.C. Verwenden Sie den Server-Manager, um das Feature Wechselmedien-Manager zu

installieren.D. Deaktivieren Sie den Sicherungsauftrag für die Sicherung des Windows Server 2008

Domänencontrollers auf dem Windows Server 2003 Sicherungsserver.

Correct Answer: BSection: Maintaining the Active Directory Environme ntExplanation

Explanation/Reference:Erläuterungen:Das Feature Windows Server-Sicherung in Windows Server 2008 besteht aus einem MMC-Snap-In (Microsoft Management Console) sowie Befehlszeilentools, die zusammen einevollständige Lösung für tägliche Sicherungs- und Wiederherstellungsaufgaben darstellen.Sie werden von vier Assistenten durch die Ausführung der Sicherungen undWiederherstellungen geleitet. Mit der Windows Server-Sicherung können Sie einenvollständigen Server (alle Volumes), ausgewählte Volumes oder den Systemstatus sichern.Sie können Volumes, Ordner, Dateien, bestimmte Anwendungen und den Systemstatuswiederherstellen. In Notfällen, z. B. bei Festplattenausfall, können Sie zudem eineSystemwiederherstellung ausführen, mit der das gesamte System auf einer neuenFestplatte wiederhergestellt wird. Dazu werden eine vollständige Serversicherung und dieWindows-Wiederherstellungsumgebung verwendet.

Mit der Windows Server-Sicherung können Sie Sicherungen für den lokalen Computer odereinen Remotecomputer erstellen und verwalten. Außerdem können Sie die automatischeAusführung von Sicherungen planen.

QUESTION 9Sie sind als Netzwerkadministrator für das Unternehmen CertBase tätig. DasFirmennetzwerk besteht aus einer einzelnen Active Directory Domäne mit dem Namencertbase.de. Sie installieren Windows Server 2008 Core Edition mit denStandardeinstellungen auf einem neuen Servercomputer im Netzwerk.

Sie wollen nun den Namen des Servers ändern und ihn in die Domäne aufnehmen.

Welches Befehlszeilenprogramm werden Sie verwenden?

A. Netsh.exeB. Netdom.exeC. Ocsetup.exeD. Oclist.exe

Correct Answer: BSection: Deploying and Monitoring ServersExplanation

Explanation/Reference:Erläuterungen:Mit dem Befehlszeilenprogramm Netdom.exe ist es sowohl möglich den Servernamen zuändern als auch den Computer in eine Domäne aufzunehmen.

Umbenennen eines Computers: netdom renamecomputer AlterName /newname:NeuerName

Hinzufügen zu einer Active Directory Domäne: netdom join Computername /domain:certbase.de /userD:administrator /passwordD:*

Falsche Antworten:A:

Das Befehlszeilenprogramm Netsh kann für die Konfiguration vonNetzwerkeinstellungen, wie beispielsweise das Ändern der IP-Adresse, verwendetwerden.

C:

Das Programm dient zur Installation von Serverrollen.

D:

Oclist zeigt die installierten Serverrollen an.

QUESTION 10Sie sind als Netzwerkadministrator für das Unternehmen CertBase tätig. DasFirmennetzwerk besteht aus einer einzelnen Active Directory Gesamtstruktur. Auf allenServercomputern ist das Betriebssystem Windows Server 2008 installiert.

Sie planen die Installation einer Active Directory Unternehmenszertifizierungsstelle (CA) aufeinem alleinstehenden Server.

Bei dem Versuch die Rolle Active Directory-Zertifikatdienste (AD CS) zu installieren,

stellen Sie fest, dass der Setuptyp Unternehmen nicht verfügbar ist.

Sie müssen auf dem Server eine Active Directory Unternehmenszertifizierungsstelle (CA)installieren.

Wie gehen Sie vor?

A. Aktivieren Sie die Rolle DNS-ServerB. Aktivieren Sie die Rolle Active Directory-Domänendienste (AD DS) .C. Aktivieren Sie die Rolle Active Directory Lightweight Directory Services (AD LDS).D. Aktivieren Sie die Rollen Webserver (IIS) und Active Directory-Zertifikatdienste (AD

CS).

Correct Answer: BSection: Configuring Server RolesExplanation

Explanation/Reference:Erläuterungen:Voraussetzung für den Installationstyp Unternehmen ist, das der Server Mitglied einerDomäne ist oder selber über eine Kopie des Active Directory verfügt. EineUnternehmenszertifizierungsstelle verwendet den Verzeichnisdienst für das Ausstellen undVerwalten von Zertifikaten.

QUESTION 11Sie sind als Netzwerkadministrator für das Unternehmen CertBase tätig. Die Firma hat 4regionale Standorte. Sie installieren die Windows-Bereitstellungsdienste (WDS) auf einemWindows Server 2008 Computer im Netzwerk.

Das Unternehmen hat insgesamt 16 verschiedene Abbilder, die für Standardinstallationenvon Clientcomputern verwendet werden. Sie stellen die Abbilder auf dem Server mit denWindows-Bereitstellungsdiensten ein.

Eine Administratorin aus einer der Zweigstellen berichtet Ihnen, dass beim Start einesWDS-Clientcomputers nicht alle Abbilder für ihren Standort im Bootmenü angezeigtwerden.

Sie müssen sicherstellen, dass alle Administratoren alle Abbilder für ihren jeweiligenregionalen Standort auswählen können.

Wie gehen Sie vor?

A. Erstellen Sie für jeden Standort eine Abbildgruppe mit den erforderlichen Abbildern undgewähren Sie nur dem entsprechenden Standort die erforderlichen Zugriffsrechte für dieAuswahl der Abbilder.

B. Erstellen Sie für jeden regionalen Standort eine globale Sicherheitsgruppe und ordnenSie die Computerkonten der entsprechenden Gruppe zu.

C. Erstellen Sie für jeden regionalen Standort eine Organisationseinheit (OU) und ordnenSie die Computerkonten der entsprechenden OU zu.

D. Stellen Sie alle Clientcomputer mit Hilfe des individuellen Global Unique Identifiers(GUID) vorab bereit (Pre-Staging), um den zugehörigen regionalen Standort zuidentifizieren.

Correct Answer: ASection: Deploying and Monitoring ServersExplanation

Explanation/Reference:Erläuterungen:Die Liste der Einträge im Bootmenü ist auf maximal 13 Einträge beschränkt. Wir können fürjeden Standort eine Abbildgruppe erstellen und die Anzeige durch die Sicherheitsfilterungfür jeden Standort auf die entsprechende Abbildgruppe beschränken.

Eine Abbildgruppe ist eine Sammlung von WIM-Dateien mit gemeinsamen Dateiressourcenund gemeinsamer Sicherheit. Für das Bearbeiten eines Abbilds innerhalb einerAbbildgruppe (beispielsweise zum Anwenden eines Hotfixes oder eines Service Packs oderzum Aktualisieren von Dateien) ist exklusiver Zugriff auf die gesamte Abbildgruppeerforderlich. Dateiressourcen sind innerhalb der Abbildgruppe freigegeben (Einzelinstanz),obwohl die Metadaten jedes Abbilds sich in einer separaten physikalischen WIM-Dateibefinden.

QUESTION 12Sie sind als Netzwerkadministrator für das Unternehmen CertBase tätig. Sie installieren dieWindows-Bereitstellungsdienste (WDS) auf einem Windows Server 2008 Computer mit demNamen Server1.

Bei dem Versuch ein mehrteiliges Image auf den WDS-Server zu laden, erhalten Sie eineFehlermeldung. Das Hinzufügen des Abbildes schlägt fehl.

Sie müssen sicherstellen, dass das Abbild auf den Windows-Bereitstellungsserver geladenwerden kann.


Wie gehen Sie vor?

A. Führen Sie das mehrteilige Abbild in einer neuen .wim Datei zusammen.B. Erteilen Sie der Gruppe Authentifizierte Benutzer die Berechtigung Vollzugriff –

Zulassen für das Verzeichnis RemoteInstall .C. Führen Sie den Befehl WDSUTIL /Convert aus.D. Führen Sie für jede Datei des mehrteiligen Abbildes den Befehl WDSUTIL /Add-Image /

Imagefile:\\Server\Freigabe\Sources\Install.wim /Im ageType:Install aus.

Correct Answer: ASection: Deploying and Monitoring Servers

Explanation

Explanation/Reference:Erläuterungen:Bei einem mehrteiligen Abbild (spanned Image) handelt es sich um Abbild, das bei derErstellung mit dem Befehl Imagex /split in mehrere Dateien aufgeteilt wurde. Wir könnendie Teile in einer neuen .wim Datei zusammenführen. Hierzu kann der Befehl

ImageX /export source.wim 2 destination.wim "Neues Image"

verwendet werden.

QUESTION 13Sie sind als Netzwerkadministrator für das Unternehmen CertBase tätig. DasFirmennetzwerk enthält einen Windows Server 2008 Computer mit dem Namen VS1. AufVS1 wird Microsoft Virtual Server 2005 R2 ausgeführt. Der Server hostet 10 virtuelleServersysteme.

Einer der virtuellen Server hat den Namen WinNT und führt eine Datenbankanwendungaus. Der Server wird ausschließlich von einem bestimmten Administrator betreut. DerAdministrator verwendet ein Benutzerkonto mit dem Namen WinNT_Admin.

Sie planen, dem Benutzerkonto WinNT_Admin Zugriff für die Virtual Server-Standardtoolsauf VS1 zu ermöglichen. Sie möchten jedoch sicherstellen, dass das administrative Kontoausschließlich den virtuellen Server WinNT einsehen und verwalten kann.

Sie müssen VS1 entsprechend Ihrer Planung konfigurieren.

Welche zwei Schritte werden Sie durchführen? (Jede korrekte Antwort stellt einen Teil derLösung dar. Wählen Sie zwei Antworten.)

A. Öffnen Sie die Virtual Server-Verwaltungswebsite und stellen Sie eine Verbindung mitVS1 her. Konfigurieren Sie den virtuellen Server WinNT, so dass er imSicherheitskontext des Kontos WinNT_Admin ausgeführt wird.

B. Öffnen Sie die Virtual Server-Verwaltungswebsite und stellen Sie eine Verbindung mitVS1 her. Konfigurieren Sie die Virtual Server-Sicherheitseigenschaften und verweigernSie dem Benutzerkonto WinNT_Admin die Berechtigung Ändern .

C. Öffnen Sie die Virtual Server-Verwaltungswebsite und stellen Sie eine Verbindung mitVS1 her. Konfigurieren Sie die Virtual Server-Sicherheitseigenschaften und erteilen Siedem Benutzerkonto WinNT_Admin die Berechtigungen Anzeigen und Ändern .

D. Konfigurieren Sie für alle Virtual Server-Konfigurationsdateien, außer für dieKonfigurationsdatei des virtuellen Server WinNT, die Berechtigung Lesen – Verweigernfür das Benutzerkonto WinNT_Admin.

E. Konfigurieren Sie für alle Dateien der virtuellen Festplatten, außer für die virtuelleFestplatte des virtuellen Server WinNT, die Berechtigung Lesen – Verweigern für dasBenutzerkonto WinNT_Admin.

Correct Answer: CDSection: Deploying and Monitoring ServersExplanation

Explanation/Reference:Erläuterungen:Auf der Seite Virtual Server-Sicherheitseigenschaften der Virtual Server-Verwaltungswebsite können Sie Berechtigungen für das Verwalten von Virtual Serverkonfigurieren. Sie können einen Berechtigungseintrag für ein Benutzerkonto oder eineGruppe hinzufügen und entsprechende Berechtigungen konfigurieren. Außerdem könnenSie die für einen bestehenden Berechtigungseintrag festgelegten Berechtigungen ändernoder einen Berechtigungseintrag entfernen.

Über das Konfigurieren der Einstellungen auf dieser Seite können Sie Benutzern Zugriff aufbestimmte Funktionen von Virtual Server erteilen. Standardmäßig haben beispielsweise alleMitglieder der Administratorengruppe Vollzugriff auf Virtual Server. Sie können jedochzulassen, dass ein Mitglied der Administratorengruppe Konfigurationseinstellungenanzeigen und ändern, aber keine Berechtigungseinträge hinzufügen oder entfernen kann.Sie können dazu einen Berechtigungseintrag für das Benutzerkonto der entsprechendenPerson hinzufügen und diesem dann die Berechtigung zum Ändern von Berechtigungenverweigern. Das Benutzerkonto behält dann alle Berechtigungen, die für die Administratorengruppe zugelassen sind, mit Ausnahme der Berechtigung zum Ändernvon Berechtigungen.

Für jeden Berechtigungseintrag können Sie die in der folgenden Tabelle beschriebenenBerechtigungen konfigurieren.

Element Beschreibung

Vollständig

Aktivieren Sie das Kontrollkästchen fürdiese Berechtigung, um automatisch alleanderen Berechtigungen auszuwählen.

Ändern

Hinzufügen virtueller Computer undvirtueller Netzwerke zu Virtual Serversowie Vornehmen von Änderungen anden folgenden Seiten: Virtual Machine-Remotesteuerung(VMRC) Servereigenschaften Virtual Server-Skripteinstellungen Virtual Server-Suchpfade

Anzeigen

Lesen der Virtual Server-Konfigurationsinformationen und desVirtual Server-Ereignisprotokolls sowieder Konfigurationsinformationen fürvirtuelle Computer, für die Benutzer imentsprechenden DateisystemLeseberechtigungen besitzen. Benutzerdürfen auch virtuelle Computer, für die siedie entsprechenden Berechtigungenbesitzen, mit VMRC verwalten.

Entfernen

Entfernen des virtuellen Computers undder virtuellen Netzwerkkonfigurationenvon Virtual Server.

Berechtigungen ändern

Ändern von Berechtigungen auf derSeite Virtual Server-Sicherheitseigenschaften .

Steuerelement

Zugreifen auf die COM-Schnittstellen(Component Object Model). Dadurchkönnen Benutzer Virtual Server mithilfeder COM-Schnittstelle oder derVerwaltungswebsite verwalten. DieseBerechtigung ist für Benutzerkonten oderGruppen erforderlich, die administrativenZugriff auf Virtual Server haben sollen.Ohne diese Berechtigung sindVerwaltungswebsite und COM-Schnittstelle nicht verfügbar. Wurdeeinem Benutzerkonto oder einer GruppeBerechtigungen für die VMC-Datei(Virtual Machine Configuration,Konfiguration des virtuellen Computers)erteilt, kann das Benutzerkonto bzw. dieGruppe den virtuellen Computer mithilfedes VMRC-Clients und nicht über dieVerwaltungswebsite verwalten.

Sonderberechtigungen

Gibt an, ob für den Virtual Server-Ordnerspezielle Berechtigungen konfiguriertwurden. Sie können diesesKontrollkästchen nicht aktivieren oderdeaktivieren.

Durch die von Ihnen auf dieser Seite konfigurierten Berechtigungen wird die freigegebeneZugriffssteuerungsliste (Discretionary Access Control List, DACL) für den Virtual Server-Ordner geändert. Dieser befindet sich standardmäßig in C:\Dokumente und Einstellungen\Alle Benutzer\Anwendungsdaten\Microsoft . Sie können diese Berechtigungen zwardurch das Ändern der DACL direkt im Dateisystem konfigurieren, sollten dazu aber dieseSeite verwenden. Wenn Sie die DACL direkt konfigurieren, müssen Sie den Virtual Server-Dienst nämlich neu starten, damit die Einstellungen wirksam werden. Dies gilt jedoch nichtfür das Konfigurieren von Berechtigungen für virtuelle Computer, virtuelle Netzwerke undvirtuelle Disketten. Für diese Dateien können Sie DACLs direkt im Dateisystemkonfigurieren.

Die Berechtigungen, die Sie auf dieser Seite konfigurieren, gelten für den Virtual Server-Ordner sowie die darin enthaltenen Unterordner und Dateien. Darüber hinaus gelten dieseBerechtigungen auch für den Standardkonfigurationsordner des virtuellen Computers, auchwenn dieser nicht im Virtual Server-Ordner enthalten ist. Der Ordner ist auf der Seite Virtual

Server-Suchpfade der Verwaltungswebsite angegeben. Auf dieser Seite werden nurBerechtigungen für Benutzerkonten und Gruppen angezeigt. Es werden keineBerechtigungen für Systemkonten, wie dem lokalen Systemkonto, angezeigt. Auf dieseWeise wird verhindert, dass Benutzer der Seite versehentlich Berechtigungen fürSystemkonten löschen oder ändern, die für das einwandfreie Ausführen von Virtual Serverwichtig sind. In den meisten Fällen ist es nicht notwendig, die Standardberechtigungen fürSystemkonten zu ändern. Sollte es doch erforderlich sein, sollten Sie diese durch dasKonfigurieren der DACL im Dateisystem ändern.

QUESTION 14Sie sind als Netzwerkadministrator für das Unternehmen CertBase tätig. DasFirmennetzwerk besteht aus einer Active Directory Gesamtstruktur mit sechs Domänen und15 Standorten. Auf allen Servercomputern ist das Betriebssystem Windows Server 2008installiert.

Das Unternehmen möchte eine neue verteilte Anwendung einsetzen, die eine eigeneAnwendungsverzeichnispartition mit dem Namen ResData für die Datenreplikationverwendet. Die Anwendung wird in fünf Standorten jeweils auf einem Mitgliedsserverinstalliert.

Sie müssen die fünf Mitgliedsserver konfigurieren und sicherstellen, dass dieAnwendungsverzeichnispartition ResData auf diese Server repliziert wird.

Wie gehen Sie vor?

A. Führen Sie auf den fünf Mitgliedsservern den Assistenten zum Installieren von ActiveDirectory-Domänendienste (Dcpromo) aus.

B. Führen Sie auf den fünf Mitgliedsservern den Befehl Regsvr32 aus.C. Führen Sie auf den fünf Mitgliedsservern den Befehl Wbadmin aus.D. Führen Sie auf den fünf Mitgliedsservern das Utility RacAgent aus.

Correct Answer: ASection: Maintaining the Active Directory Environme ntExplanation

Explanation/Reference:Erläuterungen:In Active Directory Lightweight Directory Services (AD LDS) werden Verzeichnisdaten ineinem hierarchischen, dateibasierten Verzeichnisspeicher gespeichert. Standardmäßigbefindet sich der Verzeichnisspeicher für eine bestimmte AD LDS-Instanz in der folgendenDatei:

% ProgramFiles%\Microsoft ADAM\Instanzname\data\adamntds.dit

Jede AD LDS-Instanz verfügt über einen separaten Verzeichnisspeicher. Bei jedem in ADLDS ausgeführten Datenvorgang, z. B. bei Such- und Lesevorgängen, Importen, Exporten,Indizierung, Replikation, Sicherungen und Wiederherstellungen, wird der AD LDS-Verzeichnisspeicher verwendet. Der Verzeichnisspeicher ist in logischeVerzeichnispartitionen unterteilt, die als Namenskontexte bezeichnet werden.

Anwendungsverzeichnispartitionen enthalten die Daten, die von den Anwendungenverwendet werden. Sie können eine Anwendungsverzeichnispartition in AD LDS-Setup oderjederzeit nach der Installation erstellen. Abhängig von der Anwendung können Sie dasSchema manuell erweitern oder automatisch durch die Anwendung erweitern lassen. In derRegel verwalten Sie die Daten in einer bestimmten Anwendungsverzeichnispartition durchdie Anwendung. Nach dem Erstellen der Anwendungsverzeichnispartition sind dieVerweisobjekte für die Anwendungspartition in AD LDS in CN=Partitions,CN=Configurationenthalten.

Der Replikationsbereich einer Verzeichnispartition kann mit den BefehlszeilenprogrammenDnscmd und Ntdsutil festgelegt und erweitert werden.

Falsche Antworten:B:

Das Hilfsprogramm Regsvr32 (Regsvr32.exe) kann verwendte werden, um OLE-Steuerelemente (OLE = Object Linking and Embedding), wie zum Beispielselbstregistrierende DLL-Dateien oder ActiveX-Steuerelementdateien (OCX), zuregistrieren oder aus der Registrierung zu entfernen.

C:

Wbadmin verwaltet Datensicherungen und führt Backups durch.

D:

RacAgent stellt den Dienst für die Zuverlässigkeitsüberwachung dar. DieZuverlässigkeitsüberwachung erstellt Berichte über Systemstabilität. Sie zeigtdetaillierte Informationen über Anwendungsinstallationen,Anwendungsdeinstallationen, Betriebssystem-, Anwendungs- und Hardwarefehlersowie Systemzeitänderungen an.

QUESTION 15Sie sind als Netzwerkadministrator für das Unternehmen CertBase tätig. DasFirmennetzwerk enthält 200 Servercomputer und 5000 Clientcomputer. UmHochverfügbarkeit für den DHCP-Serverdienst zu gewährleisten, wurde der DHCP-Serverdienst auf einem zwei-Knoten Microsoft Failover Cluster mit dem Namen CBCL1installiert. Die Namen der beiden Knoten lauten CBCLN1 und CBCLN2.

Der Cluster verfügt über einen physikalische Datenträger mit einer Kapazität von 320 GB fürdie gemeinsame Nutzung. Der Datenträger ist derzeit mit einem 100 GB Volumekonfiguriert.

Das Unternehmen hat sich entschieden Microsoft Windows Internet Name Service (WINS)ebenfalls über den Cluster CBCL1 bereitzustellen. Der DHCP-Serverdienst und der WINS-Dienst sollen auf verschiedenen Knoten gehostet werden.

Sie starten den Assistenten für hohe Verfügbarkeit, um den WINS-Dienst über den ClusterCBCL1 bereitzustellen. Der Assistent kann aufgrund eines Fehlers nicht abgeschlossenwerden. Das entsprechende Dialogfeld wird in der Abbildung gezeigt (klicken Sie auf dieSchaltfläche Zeichnung).

Sie müssen einen Speicher auf CBCL1 konfigurieren, um die Installation des geclustertenDienstes abzuschließen.

Wie gehen Sie vor?

Exhibit:

A. Verwenden Sie den freien Speicherplatz auf dem gemeinsam verwendeten Datenträgerund erstellen Sie ein neues Volume.

B. Erweitern Sie den Cluster CBCL1 um einen zusätzlichen physikalischen Datenträger fürdie gemeinsame Nutzung. Erstellen Sie ein neues Volume auf dem Datenträger.

C. Erweitern Sie den Knoten CBCLN1 um einen zusätzlichen physikalischen Datenträgerund erstellen Sie ein neues Volume auf dem Datenträger. Erweitern Sie den KnotenCBCLN2 um einen zusätzlichen physikalischen Datenträger und erstellen Sie ein neuesVolume auf dem Datenträger.

D. Sichern Sie alle Daten auf dem vorhandenen Datenträger für die gemeinsame Nutzung.Konvertieren Sie den vorhandenen physikalischen Datenträger in einen GPT-Datenträger und erstellen Sie zwei separate Volumes. Schreiben Sie die gesichertenDaten auf eines der beiden Volumes zurück.


Explanation/Reference:Erläuterungen:Ein Cluster besteht aus unabhängigen Computern, die miteinander interagieren und somitdie Verfügbarkeit von Diensten und Anwendungen erhöhen. Die gruppierten Server (so

genannte Knoten) sind durch physische Kabel und durch Software vernetzt. Wenn einer derKnoten ausfällt, werden seine Aufgaben durch einen als Failover bezeichneten Prozesssofort auf einen anderen Knoten übertragen.

Mithilfe des MMC-Snap-Ins (Microsoft Management Console) Failover-Clusterverwaltungkönnen Sie Failoverclusterkonfigurationen überprüfen, Failovercluster erstellen undverwalten und bestimmte Einstellungen aus einem Cluster unter Windows Server 2003 zueinem Cluster unter dem Betriebssystem Windows Server 2008 migrieren.

Unter Windows Server 2008 zielen die Verbesserungen an Failoverclustern (früher alsServercluster bezeichnet) auf die Vereinfachung von Clustern ab. Sie werden dadurchsicherer, und die Clusterstabilität wird verbessert. Die Clustereinrichtung und -verwaltung istsomit einfacher. Die Sicherheit und die Netzwerke in Clustern wurden ebenso wie dieKommunikation eines Failoverclusters mit dem Speicher verbessert.

Das Feature Failover-Clusterunterstützung ist im Umfang von Windows Server 2008Enterprise und Windows Server 2008 Datacenter enthalten. Im Umfang von WindowsServer 2008 Standard oder Windows Web Server 2008 ist es nicht enthalten.

Exam B

QUESTION 1Sie sind als Netzwerkadministrator für das Unternehmen CertBase tätig. DasFirmennetzwerk besteht aus einer einzelnen Active Directory Domäne mit dem Namencertbase.de. Sie installieren und konfigurieren die Rolle Webserver (IIS) auf einemWindows Server 2008 Servercomputer.

Sie wollen Ihre Konfigurationsänderungen auf dem Internetinformationsdienste (IIS) Serversichern.

Wie gehen Sie vor?

A. Führen Sie das Verwaltungsskript Adsutil.vbs mit der Option create C:\mainbackup aufdem IIS Server aus.

B. Führen Sie den Befehl Appcmd add site „MainBackup“ auf dem IIS Server aus.C. Führen Sie den Befehl Appcmd add backup „MainBackup“ auf dem IIS Server aus.D. Verwenden Sie die Microsoft Windows PowerShell und führen Sie den Befehl Add-

Member Method Mainbackup auf dem IIS Server aus.

Correct Answer: CSection: Configuring a Web Services InfrastructureExplanation

Explanation/Reference:Erläuterungen:Beim IIS 7 gibt es ein neues Kommandozeilenprogramm mit dem Namen Appcmd.exe, dassich im Verzeichnis %windows%\system32\inetsrv befindet und nur mit administrativenRechten ausgeführt werden kann. Mit diesem Tool erzeugen und konfigurieren SieWebsites, Web-Anwendungen, Application Pools, Konfigurationssicherungen und virtuelleVerzeichnisse. Ebenso dient es dazu, Sites zu starten und anzuhalten oder ApplicationPools zu starten, anzuhalten und wiederzuverwenden. Zudem zeigt es Informationen überdie Worker Prozesse und Anfragen an den Webserver an. Die Hilfe von appcmd funktioniertso ähnlich wie die vom Befehl Net: AppCmd /? liefert eine erste kleine Übersicht, Details zuden einzelnen Befehlen erhalten Sie, indem Sie zusätzliche Parameter angeben. Hilfe zumParameter Request liefert beispielsweise die Eingabe von: AppCmd Request /?

QUESTION 2Sie sind als Netzwerkadministrator für das Unternehmen CertBase tätig. Das Unternehmenhostet Websites für 22 Kunden. Auf allen Servercomputern ist das Betriebssystem WindowsServer 2008 installiert.

Das Unternehmen hat für jede Website einen dedizierten SMTP Server. Sie haben die RolleWebserver (IIS) und das Feature SMTP-Server auf einem Windows Server 2008 Computermit dem Namen Web4 installiert.

Das Unternehmen hat einen neuen Kunden akquiriert. Sie erstellen eine neue Website undeinen SMTP-Server für den neuen Kunden. Der SMTP-Server startet jedoch nicht.

Sie müssen den neuen SMTP-Server auf Web4 so konfigurieren, dass er gestartet werden

kann.

Welche zwei Möglichkeiten stehen Ihnen für das Erreichen Ihres Ziels zur Verfügung? (Jedekorrekte Antwort stellt eine vollständige Lösung dar. Wählen Sie zwei Antworten.)

A. Führen Sie den Befehl iisreset auf Web4 aus.B. Führen Sie den Befehl iisreset /Enable SMTP auf Web4 aus.C. Konfigurieren Sie für den neuen SMTP-Server einen Smarthost.D. Konfigurieren Sie für den neuen SMTP-Server einen anderen TCP-Port.E. Konfigurieren Sie für den neuen SMTP-Server eine andere IP-Adresse.

Correct Answer: DESection: Configuring a Web Services InfrastructureExplanation

Explanation/Reference:Erläuterungen:Auf Web4 wurde bereits ein SMTP-Server installiert. Wenn ein zweiter virtueller SMTP-Server auf demselben physikalischen Servercomputer betrieben werden soll, muss derneue SMTP-Serverdienst entweder einen anderen TCP-Anschluss oder eine andere IP-Adresse verwenden. Es ist nicht möglich zwei SMTP-Server auf derselben IP-Adresse überdenselben TCP-Port zu betreiben. Der zweite SMTP-Server kann bei dieser Konfigurationnicht gestartet werden.


Der Befehl führt einen Neustart der Internetinformationsdienste (IIS) durch.

B:

Der Befehl aktiviert den automatischen Neustart für den IIS-Verwaltungsdienst , denWWW-Dienst und den SMTP-Dienst für den Fall, dass einer der Diensteaußerplanmäßig beendet wird. Diese Option ist standardmäßig aktiviert.

C:

Sie können alle ausgehenden Nachrichten für Remotedomänen über einenSmarthost routen, anstatt sie direkt an die Domäne zu senden. Auf diese Weisekönnen Nachrichten über eine Verbindung geroutet werden, die entweder schnelleroder kostengünstiger ist als andere Routen.

QUESTION 3Sie sind als Netzwerkadministrator für das Unternehmen CertBase tätig. Sie administriereneinen Windows Server 2008 Computer mit dem Namen FTP1.

Die Firmensicherheitsrichtlinien schreiben vor, dass der FTP-Serverdienst nur verfügbar ist,wenn er von autorisierten Projekten benötigt wird.

Sie müssen sicherstellen, dass der FTP-Serverdienst auf FTP1 nach einem Neustart desServers nicht verfügbar ist.

Wie gehen Sie vor?

A. Führen Sie auf FTP1 den Befehl iisreset aus.

B. Führen Sie auf FTP1 den Befehl net stop msftpsvc aus.C. Führen Sie auf FTP1 den Befehl cscript lisftp /stop aus.D. Führen Sie auf FTP1 den Befehl WMIC /Node:FTP1 Service Where Caption=“FTP-

Publishingdienst“ Call ChangeStartMode „Disabled“ aus.

Correct Answer: DSection: Configuring a Web Services InfrastructureExplanation

Explanation/Reference:Erläuterungen:Um sicherzustellen, dass der FTP-Publishingdienst nach einem Neustart des Server nichtautomatisch gestartet wird, müssen wir den Starttyp des Dienstes mit deaktiviert festlegen.Wir können zu diesem Zweck die Konsole Dienste verwenden oder die Befehlszeile ausAntwort D. Alternativ kann auch der der nachstehende Befehl verwendet werden:

Sc config msftpsvc start= disabled

QUESTION 4Sie sind als Netzwerkadministrator für das Unternehmen CertBase tätig. DasFirmennetzwerk besteht aus einer einzelnen Active Directory Gesamtstruktur. Auf allenServercomputern ist das Betriebssystem Windows Server 2008 installiert.

Ein Administrator hat versehentlich eine Organisationseinheit (OU) aus dem ActiveDirectory gelöscht, die 2000 Computer und Benutzerobjekte enthielt.

Sie verwenden das Sicherungsprogramm eines Drittanbieters und sichern dieSystemstatusdateien auf regelmäßiger Basis. Sie starten einen der Domänencontroller derbetroffenen Domäne im Verzeichnisdienstwiederherstellungsmodus (Directory ServicesRestore Mode, DSRM).

Sie müssen eine autorisierende Wiederherstellung der gelöschten Organisationseinheit(OU) durchführen und den Domänencontroller wieder in den normalen Betriebsmodusversetzen.

Welche drei Schritte werden Sie in Reihenfolge ausführen?

Select and Place:

Correct Answer:

Section: Maintaining the Active Directory Environme ntExplanation

Explanation/Reference:Erläuterungen:Um die Active Directory-Daten maßgebend wiederherzustellen, führen Sie nach demWiederherstellen der Systemstatusdaten (jedoch noch vor dem Neustart des Servers) dasBefehlszeilenprogramm Ntdsutil aus. Mit dem Befehlszeilenprogramm Ntdsutil können SieActive Directory-Objekte für die maßgebende Wiederherstellung kennzeichnen. Bei einemObjekt, das für die maßgebende Wiederherstellung gekennzeichnet ist, wird dieSequenznummer für die Aktualisierung (USN) erhöht, bis die Nummer größer ist als die

anderen Aktualisierungssequenznummern im Replikationssystem Active Directory. Aufdiese Weise stellen Sie sicher, dass die wiederhergestellten replizierten oder verteiltenDaten fehlerfrei im gesamten Unternehmen repliziert bzw. verteilt werden.

Sie haben beispielsweise versehentlich Objekte im Verzeichnisdienst Active Directorygelöscht oder geändert, und diese Objekte werden auf andere Server repliziert oder andiese verteilt. In diesem Fall müssen Sie die betreffenden Objekte mit der maßgebendenWiederherstellung bearbeiten, so dass sie erneut repliziert oder verteilt werden. Wenn Siekeine maßgebende Wiederherstellung der Objekte durchführen, werden sie nicht auf denanderen Servern repliziert und nicht an die Server verteilt, da diese Objekte scheinbar ältersind als die derzeit auf den anderen Servern vorliegenden Objekte. Kennzeichnen Sie dieObjekte mit dem Befehlszeilenprogramm Ntdsutil für die maßgebende Wiederherstellung,um sicherzustellen, dass die wiederherzustellenden Daten im gesamten Unternehmenrepliziert oder verteilt werden.

Zu den neuen Funktionen von Windows Server 2008 gehört es, dass die Active Directory-Domänendienste über einen Dienst abgebildet werden. Der Wechsel vom normalenBetriebsmodus in den Verzeichnisdienstwiederherstellungsmodus kann nun durch Startenund Beenden dieses Dienstes vollzogen werden.

QUESTION 5Sie sind als Netzwerkadministrator für das Unternehmen CertBase tätig. DasFirmennetzwerk besteht aus einer einzelnen Active Directory Gesamtstruktur. Auf allenServercomputern ist das Betriebssystem Windows Server 2008 installiert. DieDomänenstruktur wird in der Abbildung gezeigt (klicken Sie auf die SchaltflächeZeichnung).

Jede Domäne enthält 10 Domänencontroller. Sie verwenden die Remotedesktop-Clientsoftware auf Ihrem Arbeitscomputer für die Verwaltung der Domänencontroller. IhrComputer ist Mitglied der Domäne ma.corp.certbase.de.

Sie modifizieren die Verzeichnisberechtigungen auf einem Dateiserver mit dem Namen FS1innerhalb der Domäne ca.corp.certbase.de. Sie öffnen die Sicherheitseinstellungen einesVerzeichnisses und stellen fest, dass einige Einträge mit der Zeichenfolge S-1-5-21beginnen und kein Kontoname angezeigt wird.

Sie müssen sicherstellen, dass die Kontennamen auf dem Register Sicherheit in denEigenschaften der Verzeichnisse angezeigt werden.

Wie gehen Sie vor?

Exhibit:

A. Konfigurieren Sie FS1 als Server für den globalen Katalog (GC).B. Bearbeiten Sie das Schema und aktivieren Sie die Option Attribut in den globalen

Katalog replizieren für das Attribut Friendly-Nmes .C. Verschieben Sie die Betriebsmasterrolle (FSMO) RID-Master der Domäne

ma.corp.certbase.de auf einen Domänencontroller, der nicht als globaler Katalogserverkonfiguriert ist.

D. Verschieben Sie die Betriebsmasterrolle (FSMO) Infrastruktur-Master der Domänema.corp.certbase.de auf einen Domänencontroller, der nicht als globaler Katalogserverkonfiguriert ist.

Correct Answer: DSection: Maintaining the Active Directory Environme ntExplanation

Explanation/Reference:Erläuterungen:Die Aufgabe des Infrastruktur-Masters besteht darin, Objekte der eigenen Domäne mitObjekten anderer Domänen derselben Gesamtstruktur zu vergleichen und möglicheUnterschiede (insbesondere domänenübergreifende Gruppenmitgliedschaften) zukorrigieren. Wenn nun der Server, der die Infrastrukturmaster-Rolle hält, gleichzeitigGlobaler Katalog ist, wird er keine Unterschiede feststellen, weil er bereits über eineTeilkopie jedes Objekts der gesamten Struktur verfügt. Daher wird der IM in diesem Fall inseiner eigenen Domäne niemals eine Änderung an solchen Objekten durchführen.

Wenn allerdings jeder DC innerhalb der Domäne auch GC ist, hat der IM schlicht nichts zutun, denn jeder GC kennt ohnehin alle Objekte der anderen Domänen. DerInfrastrukturmaster kann demnach auf einem GC betrieben werden, wenn es sich um einEinzeldomänen-Netzwerk handelt (denn dann gibt es keine anderen Domänen, von denenObjekte repliziert werden) oder wenn die Gesamtstruktur aus mehreren Domänen besteht,aber jeder DC auch als GC konfiguriert ist.

In einer Gesamtstruktur mit mehreren Domänen sollte der Infrastrukturmastermaster nichtauf einem globalen Katalogserver betrieben werden, wenn nicht alle Domänencontroller als

globale Katalogserver konfiguriert sind.

QUESTION 6Sie sind als Netzwerkadministrator für das Unternehmen CertBase tätig. DasFirmennetzwerk besteht aus einer einzelnen Active Directory Gesamtstruktur mit 12Domänen. Das Unternehmen hat 24 Standorte. Auf allen Servercomputern ist dasBetriebssystem Windows Server 2008 installiert.

An einer der Zweigstellen sind 40 Benutzer beschäftigt. Die Benutzer sind Mitglied eineruniversellen Gruppe, die ihnen Zugriff auf Ressourcen in allen 24 Standorten ermöglicht.

Die Zweigstelle verfügt über einen Domänencontroller mit dem Namen DC17. Der Standortist über eine 128 Kbps WAN-Verbindung mit dem Unternehmensnetzwerk verbunden. DieWAN-Verbindung ist nur während der Geschäftszeiten verfügbar. Die Benutzer berichten,dass sie sich außerhalb der Geschäftszeiten nicht am Netzwerk anmelden können.


Sie müssen den Benutzern die Anmeldung am Netzwerk zu jeder Tageszeit ermöglichen.

Wie gehen Sie vor?

A. Konfigurieren Sie DC17 als Bridgeheadserver für den Standort der Zweigstelle.B. Aktivieren Sie das Zwischenspeichern der universellen Gruppenmitgliedschaft für den

Standort der Zweigstelle.C. Verringern Sie das Replikationsintervall für die Standortverbindung, die die Zweigstelle

mit dem Firmennetzwerk verbindet.D. Erhöhen Sie das Replikationsintervall für die Standortverbindung, die die Zweigstelle mit

dem Firmennetzwerk verbindet.E. Positionieren Sie in der Zweigstelle einen schreibgeschützten Domänencontroller

(RODC).

Correct Answer: BSection: Maintaining the Active Directory Environme ntExplanation

Explanation/Reference:Erläuterungen:Das Zwischenspeichern der universellen Gruppenmitgliedschaft erübrigt die Notwendigkeit,dass der Domänencontroller der Zweigstelle einen globalen Katalogserver an einemanderen Standort kontaktiert, um die universelle Gruppenmitgliedschaft während derDomänenanmeldungen zu überprüfen.

QUESTION 7Sie sind als Netzwerkadministrator für das Unternehmen CertBase tätig. DasFirmennetzwerk enthält einen Windows Server 2008 Computer mit dem Namen Server1.

Auf Server1 werden die Microsoft Windows Server Update Services (WSUS) ausgeführt.

Die Windows Server Update Services (WSUS) wurden für die Standardwebsite installiert.Sie konfigurieren den Updatedienst und den Statistikserver für die Verwendung von SecureSocket Layer (SSL).

Sie wollen nun ein Gruppenrichtlinienobjekt (GPO) konfigurieren und den internen Pfad fürden Microsoft Updatedienst angeben.

Welche URLs werden Sie verwenden?

A. Interner Updatedienst: http://server1 Intranetserver für die Statistik: http://server1

B. Interner Updatedienst: http://server1:8080 Intranetserver für die Statistik: http://server1:8080

C. Interner Updatedienst: https://server1 Intranetserver für die Statistik: https://server1

D. Interner Updatedienst: https://server1:8080 Intranetserver für die Statistik: https://server1:8080


Explanation/Reference:Erläuterungen:Die Standardwebsite ist für das Abhören auf Port 80 konfiguriert. Aus dem Aufgabentextgeht hervor, dass der sichere Kanal für diese Website erfordert wurde. Der korrekte URL fürden Updatedienst und den Statistikserver lautet daher https://server1.

Richtlinie: Internen Pfad für den Microsoft Updated ienst angebenGibt einen Intranetserver an, der als Host für die Updates von Microsoft Update fungiert. Mitdiesem Updatedienst können Computer im Netzwerk automatisch aktualisiert werden.

Mit dieser Einstellung können Sie einen Server im Netzwerk als Host für einen internenUpdatedienst bestimmen. Der "Automatische Updates"-Client durchsucht diesen Dienstnach Updates, die auf die Computer im Netzwerk angewendet werden können.

Sie müssen zwei Servernamenwerte festlegen, um diese Einstellung verwenden zu können:Einen Server, von dem der "Automatische Updates"-Client Updates ermittelt undherunterlädt, und einen Server, auf dem die Statistik der aktualisierten Arbeitsstationenhochgeladen werden. Sie können für beide Werte den gleichen Server festlegen.

Wenn der Status auf "Aktiviert" festgelegt ist, stellt der "Automatische Updates"-Client eineVerbindung mit dem angegebenen Microsoft Updatedienst im Intranet und nicht mitWindows Update her, um nach Downloads zu suchen und diese zu installieren. DurchAktivieren dieser Einstellung müssen Benutzer in Ihrer Organisation die Updates nicht übereine Firewall herunterladen. Außerdem können Sie auf diese Weise die Updates vor derBereitstellung testen.

Wenn der Status auf "Deaktiviert" oder "Nicht konfiguriert" festgelegt ist und "AutomatischeUpdates" nicht durch eine Richtlinie oder benutzerdefinierte Einstellung deaktiviert ist, stelltder "Automatische Updates"-Client direkt eine Verbindung mit der Windows Update-Website im Internet her.

QUESTION 8Sie sind als Netzwerkadministrator für das Unternehmen CertBase tätig. Das Unternehmenhat eine Hauptgeschäftsstelle und 250 Zweigstellen. Auf allen Servercomputern wird dasBetriebssystem Windows Server 2008 ausgeführt.

Das Unternehmen verwendet eine verteilte Anwendung, um Daten zwischen derHauptgeschäftsstelle und allen Zweigstellen zu synchronisieren. Zu den Komponenten derAnwendung zählt auch der Dienst Distributed Transaction Coordinator (DTC).

In der Hauptgeschäftsstelle ist der Distributed Transaction Coordinator Dienst auf einemMicrosoft Failovercluster mit drei Knoten installiert. Die Namen der drei Knoten lautenDTCNODE1, DTCNODE2 und DTCNODE3. Der Cluster ist mit einer dediziertenRessourcengruppe mit dem Namen DTC_Service für den Distributed TransactionCoordinator Dienst konfiguriert.

Sie testen das Failover für die Ressourcengruppe DTC_Service. Sie stellen fest, dass dasFailover von DTCNODE1 und DTCNODE2 auf DTCNODE3 nicht funktioniert. Das Failovervon DTCNODE1 auf DTCNODE2 funktioniert ohne Fehler. Weitere Tests zeigen, dass einFailover von DTCNODE1 und DTCNODE2 auf DTCNODE3 für andere Ressourcengruppeneinwandfrei funktioniert.

Sie müssen die Ressourcengruppe DTC_Service so konfigurieren, dass das Failover füralle Knoten unterstützt wird.

Wie gehen Sie vor?

A. Lassen Sie das Failback für die Ressourcengruppe DTC_Service zu.B. Konfigurieren Sie DTCNODE3 als bevorzugten Besitzer für die Ressourcengruppe

DTC_Service.C. Entfernen Sie DTCNODE3 aus der Liste der möglichen Besitzer für die

Ressourcengruppe DTC_Service.D. Konfigurieren Sie DTCNODE3 als möglichen Besitzer für die Ressourcengruppe

DTC_Service.

Correct Answer: DSection: Configuring Server RolesExplanation

Explanation/Reference:Erläuterungen:Ein Cluster besteht aus unabhängigen Computern, die miteinander interagieren und somitdie Verfügbarkeit von Diensten und Anwendungen erhöhen. Die gruppierten Server (sogenannte Knoten) sind durch physische Kabel und durch Software vernetzt. Wenn einer derKnoten ausfällt, werden seine Aufgaben durch einen als Failover bezeichneten Prozesssofort auf einen anderen Knoten übertragen.

Die Liste möglicher Besitzer in der Clusterverwaltung bestimmt, welche Clusterknoten dieAusführung ausgefallener Anwendungen übernehmen können.


Sie installieren die Rolle Webserver (IIS) auf einem Servercomputer mit dem NamenServer1. Anschließend installieren Sie die Rolle Dateidienste auf einem Servercomputer mitdem Namen Server2.

Der Datenträger von Server1, auf dem die Daten für das virtuelle Verzeichnis CertBase/Anwendungen gespeichert sind, verfügt nicht mehr über ausreichend freien Speicherplatz.Sie verschieben die Daten in ein neues freigegebenes Verzeichnis mit dem NamenWebApp auf Server2.

Sie müssen nun das virtuelle Verzeichnis Anwendungen für die Verwendung der FreigabeWebApp konfigurieren.

Wie gehen Sie vor?

A. Führen Sie den Befehl Appcmd set vdir /vdir.name:Server2/Anwendungen /physicalPath:C:\WebApp auf Server2 aus.

B. Führen Sie den Befehl Appcmd set vdir /vdir.name:CertBase/Anwendungen /physicalPath:C:\WebApp auf Server2 aus.

C. Führen Sie den Befehl Appcmd set vdir /vdir.name:WebApp/Anwendungen /physicalPath:\\Server2\WebApp auf Server1 aus.

D. Führen Sie den Befehl Appcmd set vdir /vdir.name:CertBase/Anwendungen /physicalPath:\\Server2\WebApp auf Server1 aus.


Explanation/Reference:Erläuterungen:Um den physikalischen Pfad für den Inhalt eines virtuellen Verzeichnisses zu ändern kannder Befehl Appcmd mit folgender Syntax verwendet werden:

Appcmd set vdir /vdir.name:string /physicalPath:string

Die Variable vdir.name:string gibt den virtuellen Pfad des virtuellen Verzeichnisses an,dessen physikalischer Pfad geändert werden soll.

Die Variable physicalPath:string gibt den physikalischen Pfad zu den Inhaltsdateien derAnwendung an.

QUESTION 10Sie sind als Netzwerkadministrator für das Unternehmen CertBase tätig. Sie administriereneinen Windows Server 2008 Computer mit dem Namen Web1. Auf Web1 ist die ServerrolleWebserver (IIS) installiert.

Web1 hostet eine Website für das Intranet des Unternehmens. Für die Website istausschließlich die Authentifizierungsmethode Windows-Authentifizierung aktiviert.

Sie erstellen ein neues virtuelles Verzeichnis mit dem Namen /hr/. Auf den Inhalt des neuenVerzeichnisses sollen ausschließlich Mitglieder der globalen SicherheitsgruppePersonalabteilung Zugriff erhalten.

Sie müssen die Website so konfigurieren, dass ausschließlich Mitglieder der globalenSicherheitsgruppe Personalabteilung Zugriff auf das virtuelle Verzeichnis /hr/ erhalten.

Wie gehen Sie vor?

A. Entfernen Sie die Standard-Zulassungsregel für das virtuelle Verzeichnis /hr/.B. Bearbeiten Sie die Standard-Zulassungsregel für das virtuelle Verzeichnis /hr/. Wählen

Sie die Einstellung Bestimmte Rollen oder Benutzergruppen und tragen Sie denGruppennamen Personalabteilung ein.

C. Erstellen Sie eine neue Ablehnungsregel für das virtuelle Verzeichnis /hr/, die auf alleanonymen Benutzer angewendet wird. Entfernen Sie die Standard-Zulassungsregel fürdas virtuelle Verzeichnis /hr/.

D. Bearbeiten Sie die Standard-Zulassungsregel für das virtuelle Verzeichnis /hr/. WählenSie die Einstellung Bestimmte Rollen oder Benutzergruppen und tragen Sie denGruppennamen Personalabteilung ein. Erstellen Sie eine neue Ablehnungsregel für dasvirtuelle Verzeichnis /hr/, die auf alle Benutzer angewendet wird.

Correct Answer: BSection: Configuring Security for Web ServicesExplanation

Explanation/Reference:Erläuterungen:Auf der Seite Autorisierungsregeln können Sie die Liste der Zulassungs- undAblehnungsregeln verwalten, mit denen der Zugriff auf Inhalte gesteuert wird. DieStandardregel gestattet allen Benutzern den Zugriff. Über die Aktion Bearbeiten, kann dieZulassungsregel modifiziert und der Zugriff auf eine oder mehrere Gruppen oder Personeneingeschränkt werden.

QUESTION 11Sie sind als Netzwerkadministrator für das Unternehmen CertBase tätig. Das Unternehmenbietet Webhosting-Dienste für Firmen und Privatkunden. Sie administrieren einen WindowsServer 2008 Computer mit dem Namen Web1. Auf Web1 ist die Serverrolle Webserver (IIS)installiert.

Web1 hostet Websites für 10 Partnerunternehmen. Sie konfigurieren auf demInternetinformationsdienste (IIS) Server eine neue Website für das Unternehmen TrainCert.Anschließend speichern Sie die Inhalte für die neue Website auf dem Server.

Die HTML-Dokumente für ein virtuelles Verzeichnis der Website speichern Sie in einerFreigabe mit dem Namen TrainCert_Vdir auf einem Remoteserver mit dem Namen FS3.Auf FS3 wird ebenfalls Windows Server 2008 ausgeführt. Sie erteilen einem Benutzerkontomit mit dem Namen Traincert_GUY die erforderlichen Freigabe- und NTFS-Berechtigungenfür das Verzeichnis auf FS3.

Den Benutzern ist es nicht möglich auf die Inhalte des virtuellen Verzeichnisseszuzugreifen. Der Zugriff auf Stammwebsite erfolgt ohne Probleme.

Sie müssen den Benutzern den Zugriff auf die Inhalte des virtuellen Verzeichnissesermöglichen.

Wie gehen Sie vor?

A. Nehmen Sie das Benutzerkonto Traincert_GUY in die globale Sicherheitsgruppe Domänen-Admins auf.

B. Nehmen Sie das Benutzerkonto Traincert_GUY in die domänenlokale Sicherheitsgruppe Windows-Autorisierungszugriffsgruppe auf.

C. Konfigurieren Sie die Option Verbinden als in den Grundeinstellungen des virtuellenVerzeichnisses und legen Sie das Konto Traincert_GUY als Benutzer fest.

D. Verwenden Sie die Aktion Berechtigungen bearbeiten für das virtuelle Verzeichnis.Legen Sie die Option Diesen Ordnertyp als Vorlage verwenden auf dem RegisterAnpassen mit Dokumente fest.

Correct Answer: CSection: Configuring Security for Web ServicesExplanation

Explanation/Reference:Erläuterungen:In den Grundeinstellungen des virtuellen Verzeichnisses kann der physikalische Pfad derInhaltsdateien und der Sicherheitsprinzipal für den Zugriff auf die Dateien festgelegtwerden. Standardmäßig ist Anwendungsbenutzer (Pass-Through-Authentifizierung)ausgewählt.

QUESTION 12Sie sind als Netzwerkadministrator für das Unternehmen CertBase tätig. Sie installieren dieServerrolle Webserver (IIS) auf einem Windows Server 2008 Computer. Anschließendkonfigurieren Sie eine neue Website und ein virtuelles Verzeichnis mit dem Namen App1.Das virtuelle Verzeichnis enthält eine geprüfte Common Gateway Interface (CGI)Anwendung.

Beim Testen der Website stellen Sie fest, dass die CGI Anwendung nicht gestartet werdenkann.

Die Firmensicherheitsrichtlinien schreiben vor, dass Berechtigungen nur erteilt werdendürfen, wenn Sie für das Erreichen der Unternehmensziele unerlässlich sind.

Sie müssen den Betrieb der CGI Anwendung unter Einhaltung der

Firmensicherheitsrichtlinien sicherstellen.

Wie werden Sie die Featureberechtigungen der Handlerzuordnungen konfigurieren?

A. Aktivieren Sie die Option Ausführen für die Website.B. Aktivieren Sie die Option Skript für die Website.C. Aktivieren Sie die Option Ausführen für das virtuelle Verzeichnis.D. Aktivieren Sie nur die Option Lesen für das virtuelle Verzeichnis.


Explanation/Reference:Erläuterungen:Mithilfe des Dialogfelds Featureberechtigungen bearbeiten kann die Zugriffsrichtliniekonfiguriert werden, die den Typ der Featurerechte angibt, der für Handler auf Webserver-,Site-, Anwendungs-, Verzeichnis- oder Dateiebene in IIS zulässig ist. FolgendeFeaturerechte können Sie in der Zugriffsrichtlinie aktivieren bzw. deaktivieren: Lesen,Skripts und Ausführen. Die Zugriffsrichtlinie bestimmt zusammen mit der erforderlichenZugriffseinstellung eines Handlers, ob ein Handler ausgeführt werden kann. Wenn für einenHandler ein Featurerechtetyp erforderlich ist, der in der Zugriffsrichtlinie nicht aktiviert ist,wird der Handler deaktiviert und alle von diesem Handler verarbeitete Anforderungen (aufGrundlage der Handlerzuordnung) schlagen fehl, sofern nicht ein anderer Handler dieAnforderung verarbeiten kann.

Wenn Sie eine Option im Dialogfeld Featureberechtigungen bearbeiten auswählen, wird aufder Seite Handlerzuordnungen in der Spalte Zustand für die durch die Auswahl aktiviertenHandler der Eintrag Aktiviert angezeigt. Entsprechend wird beim Deaktivieren einer Auswahlim Dialogfeld Featureberechtigungen bearbeiten auf der Seite Handlerzuordnungen in derSpalte Zustand der Eintrag Deaktiviert für die durch die Auswahl deaktivierten Handlerangezeigt. Sie können eine Vorschau der aktivierten bzw. deaktivierten Handler anzeigen,indem Sie die Seite Handlerzuordnungen anzeigen und dann auf OK klicken, um dasDialogfeld Featureberechtigungen bearbeiten zu schließen. Wenn Sie nicht auf OK,sondern auf Abbrechen klicken, werden die im Dialogfeld vorgenommenen Änderungennicht gespeichert.

Sie könnten beispielsweise Lesen und Skripts auf Webserverebene aktivieren, Skriptsjedoch für eine spezielle Site deaktivieren, die nur statischen Inhalt bereitstellt. Damit wirdverhindert, dass der Server für diese Site Skripts ausführt, wenn ein Benutzer eineHandlerzuordnung für ein Skript oder eine ausführbare Datei auf Siteebene hinzufügt.

Liste der Benutzeroberflächenelemente

Elementname

Beschreibung

LesenAktivieren Sie das Kontrollkästchen Lesen, um Handler zu aktivieren, dieLeserechte für ein virtuelles Verzeichnis benötigen. Deaktivieren Sie das

Kontrollkästchen Lesen, um Handler zu deaktivieren, die Leserechte für einvirtuelles Verzeichnis benötigen. Sie sollten Lesen in einer Zugriffsrichtlinieaktivieren, wenn Sie statische Inhalte bereitstellen oder Standarddokumente unddas Durchsuchen von Verzeichnissen konfigurieren möchten. Standardmäßigsind Leseberechtigungen aktiviert.

Skripts

Aktivieren Sie das Kontrollkästchen Skripts, um Handler zu aktivieren, dieSkriptrechte für ein virtuelles Verzeichnis benötigen. Deaktivieren Sie dasKontrollkästchen Skripts, um Handler zu deaktivieren, die Leserechte für einvirtuelles Verzeichnis benötigen.

Ausführen

Aktivieren Sie das Kontrollkästchen Ausführen, um Handler zu aktivieren, dieAusführungsrechte für ein virtuelles Verzeichnis benötigen. Deaktivieren Sie dasKontrollkästchen Ausführen, um Handler zu deaktivieren, die Ausführungsrechtefür ein virtuelles Verzeichnis benötigen. Das Kontrollkästchen Ausführen wird nuraktiviert, wenn das Kontrollkästchen Skripts ausgewählt wird. Sie solltenAusführen in einer Zugriffsrichtlinie aktivieren, wenn Sie zusätzlich zu Skripts dieAusführung ausführbarer Dateien aktivieren möchten, z. B. EXE-, DLL- undCOM-Dateien.

QUESTION 13Sie sind als Netzwerkadministrator für das Unternehmen CertBase tätig. DasFirmennetzwerk besteht aus einer einzelnen Active Directory Domäne mit dem Namencertbase.de. Sie administrieren einen Windows Server 2008 Computer mit dem NamenServer8. Auf dem Server ist die Rolle Webserver (IIS) installiert.

Der Webserver hostet die Intranet Website Ihres Unternehmens. DieAuthentifizierungseinstellungen der Website werden in der Abbildung gezeigt (klicken Sieauf die Schaltfläche Zeichnung).

Die Mitarbeiter einer Zweigstelle verbinden sich mit der Website über einen Proxyserver.Alle Clientcomputer verwenden den Microsoft Internet Explorer.

Den Mitarbeitern der Zweigstelle ist es nicht möglich sich gegenüber der Website zuauthentifizieren. Die Benutzer in der Hauptgeschäftsstelle haben keine Probleme bei derAuthentifizierung und dem Zugriff auf die Website.

Aus Gründen der Performance kann nur der Authentifizierungsprozess auf dem IIS Serververschlüsselt werden.

Sie müssen die Website so konfigurieren, dass sich sowohl die Mitarbeiter der Zweigstelleals auch die Mitarbeiter der Hauptgeschäftsstelle gegenüber der Website authentifizierenkönnen.

Wie gehen Sie vor?

Exhibit:

A. Installieren Sie den Rollendienst Digestauthentifizierung auf dem Webserver undaktivieren Sie die Authentifizierungsmethode Digestauthentifizierung.

B. Installieren Sie den Rollendienst Host Credential Authorization Protocol (HCAP) aufdem Webserver und aktivieren Sie die Authentifizierungsmethode Host CredentialAuthorization Protocol.

C. Aktivieren Sie die Standardauthentifizierung und deaktivieren Sie die Windows-Authentifizerung. Konfigurieren Sie die Website, so dass die SSL-Verschlüsselungerfordert wird.

D. Konfigurieren Sie die erweiterten Internetoptionen auf allen Computern der Zweigstelleund deaktivieren Sie die Option Integrierte Windows-Authentifizierung aktivieren .

Correct Answer: ASection: Configuring Security for Web ServicesExplanation

Explanation/Reference:Erläuterungen:Hier kommen nur die Standardauthentifizierung und die Digestauthentifizierung alsMethoden für die Benutzer der Zweigstelle in Betracht. Da die Digestauthentifizierungebenso wie die Windows-Authentifizierung eine Verschlüsselung der Kontoinformationenbietet, sollte diese den Vorzug erhalten.

DigestauthentifizierungBei der Digestauthentifizierung werden Benutzer mithilfe eines Windows-Domänencontrollers authentifiziert, wenn sie Zugriff auf den Inhalt Ihres Servers anfordern.Verwenden Sie die Digestauthentifizierung, wenn Sie eine höhere Sicherheit als bei derStandardauthentifizierung benötigen.

QUESTION 14Sie sind als Netzwerkadministrator für das Unternehmen CertBase tätig. Sie installieren dieServerrolle Terminalserver auf einem neuen Windows Server 2008 Mitgliedsserver mit demNamen TS01.

Die Benutzerprofile der Terminalserverprofile werden auf TS01 in einem Verzeichnis mitdem Namen TSProfiles gespeichert. Die Basisverzeichnisse der Benutzer werden aufeinem Dateiserver mit dem Namen FS03 gespeichert.

Bei einer Routinekontrolle von TS01 stellen Sie fest, das auf dem Datenträger, der dieProfile der Terminalbenutzer enthält, lediglich noch 5 Prozent freier Speicherplatz zurVerfügung stehen. Ferner ermitteln Sie, dass die Benutzer Daten in ihren Profilen anstelleder Basisverzeichnisse speichern.

Sie müssen das Datenvolumen, das in einem Benutzerprofil gespeichert werden kann, aufmaximal 100 MB limitieren.

Wie gehen Sie vor?

A. Erstellen Sie ein neues Gruppenrichtlinienobjekt (GPO), das auf den Terminalserverangewendet wird. Legen Sie das Standarddatenträgerkontingent in der Richtlinie Standarddatenträgerkontingent und Warnstufe mit 100 MB fest.

B. Erstellen Sie ein neues Gruppenrichtlinienobjekt (GPO), das auf alleTerminalserverbenutzer angewendet wird. Konfigurieren Sie die Ordnerumleitung, sodass das Verzeichnis Dokumente auf FS03 umgeleitet wird.

C. Aktivieren Sie Datenträgerkontingente für das Volume auf dem das VerzeichnisTSProfiles gespeichert ist. Konfigurieren Sie die Kontingentierung, so dass Benutzern beiÜberschreitung von 100 MB weiterer Speicherplatz verweigert wird.

D. Konfigurieren Sie das Attribut Profilpfad in den Eigenschaften der Active Directory-Benutzerkonten, so dass Terminaldienstprofile in einer Freigabe auf FS03 gespeichertwerden.

Correct Answer: CSection: Configuring Terminal ServicesExplanation

Explanation/Reference:Erläuterungen:Datenträgerkontingente sind eine Methode, um die Menge an Speicherplatz zukontrollieren, die einem Benutzer auf einem Fileserver zur Verfügung steht. Sie können mitDatenträgerkontingenten auch nachsehen, wie viel Speicherplatz Ihre Benutzer blockieren.

Kontingente können auf zwei verschiedene Arten konfiguriert werden: zur Überwachung, sodass der Administrator den Speicherbedarf je Nutzer verfolgen kann, oder als Tool, um zuverhindern, dass ein Benutzer Dateien auf Festplatte ablegen kann, wenn ein bestimmtesLimit erreicht wurde.

Exam C

QUESTION 1Sie sind als Netzwerkadministrator für das Unternehmen CertBase tätig. Auf einemMitgliedsserver mit dem Namen Server1 ist die Serverrolle Terminaldienste installiert. DerRollendienst Terminaldienstelizenzierung ist auf einem neuen Testserver mit dem NamenServer10 installiert. Server10 ist Mitglied einer Arbeitsgruppe.

Es ist Ihnen nicht möglich, den Terminaldienste-Lizenzierungsmodus Pro Benutzer aufServer10 zu aktivieren.

Sie müssen sicherstellen, dass der Lizenzierungsmodus Pro Benutzer auf Server10verwendet werden kann.

Wie gehen Sie vor?

A. Nehmen Sie Server10 in die Active Directory Domäne auf.B. Beziehen Sie Terminaldienste-Clientzugriffslizenzen von Microsoft Clearinghouse.

Installieren Sie die Terminaldienste-Clientzugriffslizenzen auf dem Lizenzserver.C. Konfigurieren Sie Server1, so dass Server10 als Lizenzserver verwendet wird. Legen Sie

anschließend auf Server10 den Lizenzierungsmodus Pro Benutzer fest.D. Installieren Sie den Rollendienst Terminaldienstegateway auf Server1. Konfigurieren Sie

ein Gruppenrichtlinienobjekt (GPO), so dass Server10 auf Server1 als Lizenzserverfestgelegt wird. Wenden Sie das GPO auf Server1 an.

Correct Answer: ASection: Configuring Terminal ServicesExplanation

Explanation/Reference:Erläuterungen:Es gibt zwei Arten von Terminaldienste-Clientzugriffslizenzen (TS CALs):

Terminaldienste-Clientzugriffslizenzen (pro Gerät) Terminaldienste-Clientzugriffslizenzen (pro Benutzer)

Wenn der Lizenzierungsmodus Pro Gerät verwendet wird und ein Clientcomputer oder einGerät zum ersten Mal eine Verbindung mit einem Terminalserver herstellt, wirdstandardmäßig eine temporäre Lizenz für den Clientcomputer oder das Gerät ausgestellt.Wenn der Clientcomputer oder das Gerät dann zum zweiten Mal eine Verbindung mit einemTerminalserver herstellt und der Lizenzserver aktiviert ist und genügend Terminaldienste-Clientzugriffslizenzen (pro Gerät) verfügbar sind, stellt der Lizenzserver eine dauerhafteTerminaldienste-Clientzugriffslizenz (pro Gerät) für den Clientcomputer oder das Gerät aus.

Eine Terminaldienste-Clientzugriffslizenz (pro Benutzer) gewährt einem Benutzer dasZugriffsrecht für einen Terminalserver von einer unbegrenzten Anzahl von Clientcomputernoder Geräten aus. Terminaldienste-Clientzugriffslizenzen (pro Benutzer) werden von derTerminaldienstelizenzierung nicht erzwungen. Daher können Clientverbindungenunabhängig von der Anzahl der auf dem Lizenzserver installierten Terminaldienste-Clientzugriffslizenzen (pro Benutzer), hergestellt werden. Dies bedeutet jedoch nicht, dass

Administratoren die Anforderung der Microsoft-Software-Lizenzbedingungen, dass für jedenBenutzer eine gültige Terminaldienste-Clientzugriffslizenz (pro Benutzer) vorhanden seinmuss, nicht einhalten müssen. Wenn der Lizenzierungsmodus Pro Benutzer verwendet wirdund nicht für jeden Benutzer eine gültige Terminaldienste-Clientzugriffslizenz (pro Benutzer)vorhanden ist, bedeutet dies einen Verstoß gegen die Lizenzbedingungen.

Wenn Sie den Terminaldienstelizenzierungs-Rollendienst installieren, müssen Sie einenSuchbereich angeben, der bestimmt, wie der Terminaldienste-Lizenzserver vonTerminalservern automatisch ermittelt werden kann.

Es gibt drei Suchbereiche:

Arbeitsgruppe Domäne Gesamtstruktur

Der empfohlene Suchbereich für einen Lizenzserver lautet Gesamtstruktur.

Wenn der Terminaldienstelizenzierungs-Rollendienst auf demselben Computer installiertwird wie der Terminalserver, kann der Terminalserver automatisch den Lizenzserverermitteln (kontaktieren), unabhängig davon, welcher Suchbereich für den Lizenzserverkonfiguriert ist.

Der Suchbereich Arbeitsgruppe ist nur verfügbar, wenn der Computer, auf dem Sie denTerminaldienstelizenzierungs-Rollendienst installieren, kein Mitglied einer Domäne ist.Wenn Sie den Suchbereich Arbeitsgruppe konfigurieren, können Terminalserver ohnezusätzliche Konfiguration automatisch einen Lizenzserver in derselben Arbeitsgruppeermitteln.

Die Suchbereiche Domäne und Gesamtstruktur sind nur verfügbar, wenn der Computer, aufdem Sie den Terminaldienstelizenzierungs-Rollendienst installieren, Mitglied einer Domäneist. .

Wenn Sie den Suchbereich Domänen konfigurieren, können Terminalserver ohnezusätzliche Konfiguration einen Lizenzserver in derselben Domäne nur dann automatischermitteln, wenn der Lizenzserver auf einem Domänencontroller installiert ist. Sie könnenden Terminaldienstelizenzierungs-Rollendienst auch auf einem Nicht-Domänencontrollerinstallieren. Dann kann der Lizenzserver jedoch nicht automatisch von den Terminalservernin der Domäne ermittelt werden. Zum Konfigurieren des Suchbereichs Domänen müssenSie als Domänenadministrator bei der Domäne angemeldet sein, in der der LizenzserverMitglied ist.

QUESTION 2Sie sind als Netzwerkadministrator für das Unternehmen CertBase tätig. DasFirmennetzwerk besteht aus einer einzelnen Active Directory Domäne mit dem Namencertbase.de. Auf allen Clientcomputern ist das Betriebssystem Windows Vista installiert.

Das Unternehmen setzt die Windows Server 2008 Terminaldienste ein.

Sie müssen sicherstellen, dass die Benutzer während der Terminalserversitzungen

Windows Media Player 11 verwenden können.

Wie gehen Sie vor?

A. Installieren Sie das Feature Desktopdarstellung auf dem Terminalserver.B. Installieren Sie das Feature Verbessertes Windows-Audio / Video-Streaming auf dem

Terminalserver.C. Erstellen Sie ein neues Gruppenrichtlinienobjekt (GPO) und aktivieren Sie in der Vorlage

Desktopfenster-Manager die Richtlinie Desktopgestaltung nicht zulassen . WendenSie das GPO auf alle Clientcomputer der Domäne an.

D. Erstellen Sie ein neues Gruppenrichtlinienobjekt (GPO) und konfigurieren Sie dierichtlinienbasierten QOS Optionen. Legen Sie den Differentiated Services Code Point(DSCP) für die ausführbare Datei von Windows Media Player 11 mit 10 fest. Wenden Siedas GPO auf den Terminalserver an.

Correct Answer: ASection: Configuring Terminal ServicesExplanation

Explanation/Reference:Erläuterungen:Das Feature Desktopdarstellung umfasst Windows Vista-Features, wie z.B. Windows MediaPlayer, Desktopdesigns und Fotoverwaltung. Das Feature Desktoptopdarstellung aktiviertdiese Funktionen jedoch nicht automatisch. Die Features müssen manuell aktiviert werden.

QUESTION 3Sie sind als Netzwerkadministrator für das Unternehmen CertBase tätig. Sie administriereneinen Windows Server 2008 Computer mit dem Namen Server2. Auf Server2 ist dieServerrolle Terminaldienste installiert.

Sie planen die Installation einer neuen Terminalserveranwendung auf Server2. DerHersteller der Software hat Ihnen bestätigt, dass die Anwendung in einerTerminalserverumgebung verwendet werden kann.

Die Anwendung verwendet kein Microsoft Windows Installer Paket für die Installation undnimmt während der Installation Änderungen im Registrierungspfad CurrentUser vor.

Sie installieren die Anwendung auf Server2. Die Benutzer berichten anschließend, dass dieAnwendung während der Nutzung plötzlich nicht mehr reagiert.

Sie müssen sicherstellen, dass die Anwendung in mehreren Sitzungen verwendet werdenkann.

Wie gehen Sie vor?

A. Führen Sie auf Ihrem Clientcomputer den Befehl mstsc /v:Server2 /console aus.Melden Sie sich an Server2 an und installieren Sie die Anwendung.

B. Führen Sie auf Server2 den Befehl chgusr /execute aus. Installieren Sie die Anwendungund führen Sie anschließend den Befehl chgusr /install auf Server2 aus.

C. Führen Sie auf Server2 den Befehl chgusr /install aus. Installieren Sie die Anwendungund führen Sie anschließend den Befehl chgusr /execute auf Server2 aus.

D. Führen Sie auf Server2 den Befehl chglogon /disable aus. Installieren Sie dieAnwendung und führen Sie anschließend den Befehl chglogon /enable auf Server2aus.


Explanation/Reference:Erläuterungen:Der Terminalserver-Rollendienst sollte auf dem Computer installiert werden, bevor SieProgramme installieren, die für Benutzer verfügbar sein sollen. Wenn Sie denTerminalserver-Rollendienst auf einem Computer installieren, auf dem bereits Programmeinstalliert sind, können einige der vorhandenen Programme möglicherweise in einerMehrbenutzerumgebung nicht ordnungsgemäß ausgeführt werden. Durch Deinstallierenund anschließendes erneutes Installieren der entsprechenden Programme können dieseProbleme möglicherweise behoben werden.

Zum Sicherstellen der ordnungsgemäßen Installation einer Anwendung für die Verwendungin einer Mehrbenutzerumgebung muss der Terminalserver in einen speziellenInstallationsmodus versetzt werden, bevor die Anwendung auf dem Terminalserverinstalliert wird. Mit diesem besonderen Installationsmodus wird sichergestellt, dass die fürdie Ausführung der Anwendung in einer Mehrbenutzerumgebung erforderlichen richtigenRegistrierungseinträge und INI-Dateien während des Installationsvorgangs erstellt werden.

Sie können einen Terminalserver mithilfe einer der folgenden Möglichkeiten in diesenbesonderen Installationsmodus versetzen:

Mithilfe des Tools Anwendung auf dem Terminalserver installieren in der Systemsteuerungunter Programme: Mit diesem Tool wird ein Assistent ausgeführt, der bei der Installation derAnwendung behilflich ist. Mithilfe des Befehls Change user /install an der Eingabeaufforderung: Die Installation derAnwendung muss manuell gestartet werden.

Nachdem die Anwendung installiert ist, müssen Sie den Terminalserver in denAusführungsmodus versetzen, bevor Remotebenutzer die Anwendung verwenden. Mit demTool Anwendung auf dem Terminalserver installieren wird der Terminalserver nach derAusführung automatisch in den Ausführungsmodus versetzt. Verwenden Sie den Befehlchange user /execute, um den Terminalserver von der Eingabeaufforderung aus in denAusführungsmodus zu versetzen.


Der Rollendienst Terminaldienstegateway ist auf einem Server mit dem Namen Server1

installiert. Die Serverrolle Terminaldienste ist auf einem Server mit dem Namen Server2installiert.

Alle Drucker im Netzwerk unterstützen ausschließlich das PostScript Protokoll. DieDomänenbenutzer müssen in der Lage sein, Drucker zu verwenden, die nicht durch diestandardmäßig installierten Treiber unterstützt werden.

Wie gehen Sie vor?

A. Installieren Sie auf Server2 einen Drucker, der den PostScript Treiber verwendet.Konfigurieren Sie die Clientcomputer, so dass der neue Drucker auf Server2 verwendetwird.

B. Installieren Sie auf Server2 einen Drucker, der den PostScript Treiber verwendet.Erstellen Sie ein neues Gruppenrichtlinienobjekt (GPO), das den Drucker für alleClientcomputer veröffentlicht. Wenden Sie das GPO auf alle Clientcomputer an.

C. Erstellen Sie ein neues Gruppenrichtlinienobjekt (GPO) und konfigurieren Sie dieRichtlinie Verhalten des Terminalserver-Fallbackdruckertreiber s angeben mit demWert PS verwenden, wenn kein Treiber gefunden wird . Wenden Sie das GPO aufServer2 an.

D. Erstellen Sie ein neues Gruppenrichtlinienobjekt (GPO) und konfigurieren Sie dieRichtlinie Verhalten des Terminalserver-Fallbackdruckertreiber s angeben mit demWert PS verwenden, wenn kein Treiber gefunden wird . Wenden Sie das GPO auf alleClientcomputer der Domäne an.


Explanation/Reference:Erläuterungen:Mit der Richtlinieneinstellung Verhalten des Terminalserver-Fallbackdruckertreiber sangeben können Sie das Verhalten des Terminalserver-Fallbackdruckertreibers festlegen.

Der Terminalserver-Fallbackdruckertreiber ist standardmäßig deaktiviert. Wenn auf demTerminalserver kein dem Drucker des Clients entsprechender Druckertreiber vorhanden ist,ist für die Terminalserversitzung kein Drucker verfügbar.

Wenn Sie diese Richtlinieneinstellung aktivieren, ist der Fallbackdruckertreiber aktiviert, undder Terminalserver sucht standardmäßig nach einem geeigneten Druckertreiber. Wird keingeeigneter Druckertreiber gefunden, ist der Drucker des Clients nicht verfügbar. DiesesStandardverhalten kann geändert werden. Folgende Optionen sind verfügbar:

"Keine Aktion durchführen, wenn kein Treiber gefunden wurde" - Wenn die Druckertreibernicht übereinstimmen, versucht der Server, einen geeigneten Treiber zu finden. Wird keinpassender Treiber gefunden, ist der Drucker des Clients nicht verfügbar. Dies ist dasStandardverhalten.

"PCL verwenden, wenn kein Treiber gefunden wird" - Wenn kein geeigneter Druckertreibergefunden wird, wird der PCL-Fallbackdruckertreiber (PCL = Printer Control Language)

verwendet.

"PS verwenden, wenn kein Treiber gefunden wird" - Wenn kein geeigneter Druckertreibergefunden wird, wird der PS-Fallbackdruckertreiber (PS = PostScript) verwendet.

"PCL und PS anzeigen, wenn kein Treiber gefunden wurde" - Wenn kein geeigneter Treibergefunden wird, werden sowohl PS- als auch PCL-basierte Fallbackdruckertreiberangezeigt.

Wenn Sie diese Richtlinieneinstellung deaktivieren, ist der Terminalserver-Fallbacktreiberdeaktiviert, und der Terminalserver versucht nicht, den Fallbackdruckertreiber zuverwenden.

Wenn Sie diese Richtlinieneinstellung nicht konfigurieren, ist das Verhalten desFallbackdruckertreibers standardmäßig deaktiviert.

Hinweis: Wenn die Einstellung "Clientdruckerumleitung nicht zulassen" aktiviert ist, wirddiese Richtlinieneinstellung ignoriert, und der Fallbackdruckertreiber ist deaktiviert.

QUESTION 5Sie sind als Netzwerkadministrator für das Unternehmen CertBase tätig. DasFirmennetzwerk besteht aus einer einzelnen Active Directory Domäne mit dem Namencertbase.de. Auf allen Firmencomputern ist das Betriebssystem Windows Server 2008installiert.

Das Unternehmen hat die Serverrollen Active Directory-Zertifikatdienste (AD CS) undNetzwerkrichtlinien- und Zugriffsdienste (NAP) im Netzwerk implementiert.

Sie müssen sicherstellen, dass die Netzwerkzugriffsschutzrichtlinien auf alle tragbarenComputer angewendet werden, die eine drahtlose Verbindung mit dem Netzwerkherstellen.

Wie gehen Sie vor?

A. Konfigurieren Sie alle Drahtloszugriffspunkte für die 802.1x Authentifizierung.B. Konfigurieren Sie alle tragbaren Clientcomputer für die Verwendung der MS-CHAPv2

Authentifizierung.C. Verwenden Sie die Konsole Gruppenrichtlinienverwaltung (GPMC) und erstellen Sie eine

Drahtlosrichtlinie für die Domäne. Aktivieren Sie die Option Verbindungen mit Ad-hoc-Netzwerken verhindern .

D. Verwenden Sie die Konsole Gruppenrichtlinienverwaltung (GPMC) und erstellen Sie eineDrahtlosrichtlinie für die Domäne. Aktivieren Sie die Option Verbindungen mitInfrastrukturnetzwerken verhindern .


Explanation/Reference:Erläuterungen:

Die Erzwingung des Netzwerkzugriffsschutzes (Network Access Protection, NAP) für dieportbasierte 802.1X-Netzwerkzugriffssteuerung erfolgt mithilfe eines Servers, auf dem derNetzwerkrichtlinienserver (Network Policy Server, NPS) ausgeführt wird, und einer EAP-Erzwingungsclientkomponente. Bei der portbasierten 802.1X-Erzwingung weist derNetzwerkrichtlinienserver einen 802.1X-Authentifizierungsswitch oder einen 802.1X-kompatiblen Drahtloszugriffspunkt an, nicht kompatible 802.1X-Clients in einWartungsnetzwerk zu platzieren. Der Netzwerkrichtlinienserver beschränkt denNetzwerkzugriff des Clients auf das Wartungsnetzwerk, indem IP-Filter oder der Bezeichnereines virtuellen LAN auf die Verbindung angewendet werden. Die 802.1X-Erzwingungermöglicht einen stark eingeschränkten Netzwerkzugriff für alle Computer, die über 802.1X-fähige Netzwerkzugriffsserver auf das Netzwerk zugreifen.

Anforderungen für 802.1X-KabelverbindungenZum Bereitstellen von NAP mit 802.1X-Kabelverbindung müssen Sie Folgendeskonfigurieren:

Konfigurieren Sie in NPS eine Verbindungsanforderungsrichtlinie, eine Netzwerkrichtlinieund eine NAP-Integritätsrichtlinie. Sie können diese Richtlinien einzeln über die NPS-Konsole oder mithilfe des Assistenten für den Netzwerkzugriffsschutz konfigurieren. Installieren und konfigurieren Sie 802.1X-Authentifizierungsswitches. Aktivieren Sie den NAP-EAP-Erzwingungsclient und den NAP-Dienst auf NAP-fähigenClientcomputern. Konfigurieren Sie die Windows-Sicherheitsintegritätsprüfung (Windows Security HealthValidator, WSHV), oder installieren und konfigurieren Sie andere Systemintegritäts-Agents (System Health Agents, SHAs) und Systemintegritätsprüfungen (System HealthValidators, SHVs) entsprechend der NAP-Bereitstellung. Stellen Sie eine Public Key-Infrastruktur (Public Key Infrastructure, PKI) mit ActiveDirectory-Zertifikatsdiensten (Active Directory Certificate Services, AD CS) bereit, wennSie PEAP-TLS oder EAP-TLS mit Smartcards oder Zertifikaten verwenden. Bei Verwendung von PEAP-MS-CHAP v2 stellen Sie Serverzertifikate mit AD CS aus,oder erwerben Sie Serverzertifikate von einer anderen vertrauenswürdigenStammzertifizierungsstelle.

Anforderungen für 802.1X-DrahtlosverbindungenZum Bereitstellen von NAP mit 802.1X-Drahtlosverbindung müssen Sie Folgendeskonfigurieren:

Konfigurieren Sie in NPS eine Verbindungsanforderungsrichtlinie, eine Netzwerkrichtlinieund eine NAP-Integritätsrichtlinie. Sie können diese Richtlinien einzeln über die NPS-Konsole oder mithilfe des Assistenten für den Netzwerkzugriffsschutz konfigurieren.Installieren und konfigurieren Sie 802.1X-Drahtloszugriffspunkte.Aktivieren Sie den NAP-EAP-Erzwingungsclient und den NAP-Dienst auf NAP-fähigenClientcomputern.Konfigurieren Sie WSHV, oder installieren und konfigurieren Sie andere SHAs und SHVsentsprechend Ihrer NAP-Bereitstellung.

QUESTION 6Sie sind als Netzwerkadministrator für das Unternehmen CertBase tätig. DasFirmennetzwerk enthält 10 Servercomputer auf denen das Betriebssystem Windows Server2008 installiert ist.

Auf den Servercomputern wurde der Remotedesktop für die Fernadministration aktiviert.Die Sicherheitseinstellungen des RDP-TCP Verbindungsobjektes sind mit denStandardeinstellungen konfiguriert.

Auf den Computern der Administratoren wird das Betriebssystem Windows Vistaausgeführt.

Sie müssen die höchstmögliche Sicherheit für die RDP-Verbindungen sicherstellen.


A. Legen Sie die Sicherheitsstufe in den Eigenschaften des RDP-TCP Verbindungsobjektesauf allen 10 Servercomputern mit RDP-Sicherheitsstufe fest.

B. Konfigurieren Sie die Windows-Firewall auf allen 10 Servercomputern, so dass Port 3389blockiert wird.

C. Beziehen Sie Benutzerzertifikate von der internen Zertifizierungsstelle desUnternehmens.

D. Konfigurieren Sie die Server, so dass Verbindungen nur von Computern zugelassenwerden, die Remotedesktop mit Authentifizierung auf Netzwerkebene verwenden.

Correct Answer: CDSection: Configuring Terminal ServicesExplanation

Explanation/Reference:Erläuterungen:Sie können die Terminalserversicherheit erhöhen, indem Sie die Benutzerauthentifizierungbeim Verbindungsvorgang früher zur Verfügung stellen, d. h., wenn ein Client eineVerbindung mit einem Terminalserver herstellt. Diese frühe Benutzerauthentifizierung wirdals Authentifizierung auf Netzwerkebene bezeichnet.

Die Authentifizierung auf Netzwerkebene ist eine neue Authentifizierungsmethode, die dieBenutzerauthentifizierung abschließt, bevor eine Remotedesktopverbindung hergestelltwurde und der Anmeldebildschirm angezeigt wird. Diese Authentifizierungsmethode istsicherer und schützt den Remotecomputer vor böswilligen Benutzern und bösartigerSoftware. Die Authentifizierung auf Netzwerkebene bietet folgende Vorteile:

Anfänglich werden weniger Ressourcen auf dem Remotecomputer benötigt. Vor demAuthentifizieren des Benutzers verwendet der Remotebenutzer eine begrenzte Anzahlvon Ressourcen, anstatt eine vollständige Remotedesktopverbindung wie in früherenVersionen herzustellen. Dies kann die Sicherheit erhöhen, indem das Risiko durch Dienstverweigerungsangriffevermindert wird.

Wenn Sie die Authentifizierung auf Netzwerkebene verwenden möchten, müssen dazu alleder folgenden Anforderungen erfüllt sein:

Auf dem Clientcomputer muss mindestens Remotedesktopverbindung 6.0 installiert

sein. Auf dem Clientcomputer muss ein Betriebssystem wie Windows Vista installiert sein, dasdas Credential Security Support Provider-Protokoll (CredSSP) unterstützt. Auf dem Terminalserver muss Windows Server 2008 installiert sein.

QUESTION 7Sie sind als Netzwerkadministrator für das Unternehmen CertBase tätig. DasFirmennetzwerk enthält einen Windows Server 2008 Computer auf dem die ServerrolleNetzwerkrichtlinien- und Zugriffsdienste (NAP) installiert ist.

Sie wollen ausschließlich den Mitgliedern einer globalen Sicherheitsgruppe mit dem NamenGruppe1 VPN-Zugriff auf das Firmennetzwerk ermöglichen.

Wie gehen Sie vor?

A. Nehmen Sie Gruppe1 in die Sicherheitsgruppe RAS- und IAS-Server auf.B. Nehmen Sie Gruppe1 in die Sicherheitsgruppe Netzwerkkonfigurations-Operatoren

auf.C. Erstellen Sie eine neue Netzwerkrichtlinie und konfigurieren Sie eine gruppenbasierte

Bedingung für Gruppe1. Legen Sie die Zugriffsberechtigung der Richtlinie mit Zugriffgewährt und die Verarbeitungsreihenfolge der Richtlinie mit 1 fest.

D. Erstellen Sie eine neue Netzwerkrichtlinie und konfigurieren Sie eine gruppenbasierteBedingung für Gruppe1. Legen Sie die Zugriffsberechtigung der Richtlinie mit Zugriffgewährt und die Verarbeitungsreihenfolge der Richtlinie mit 3 fest.


Explanation/Reference:Erläuterungen:Bei Netzwerkrichtlinien handelt es sich um Bedingungen, Einschränkungen undEinstellungen, mit deren Hilfe Sie festlegen, welche Benutzer unter welchenUmständen eine Verbindung mit dem Netzwerk herstellen dürfen. Wenn Sie denNetzwerkzugriffsschutz (Network Access Protection, NAP) bereitstellen, werden derNetzwerkrichtlinien-Konfiguration Integritätsrichtlinien hinzugefügt, damit derNetzwerkrichtlinienserver (Network Policy Server, NPS) während desAutorisierungsvorgangs Clientintegritätsprüfungen ausführt.

Bei der Verarbeitung von Verbindungsanforderungen als RADIUS-Server führt NPS dieAuthentifizierung und Autorisierung für die Verbindungsanforderung aus. Während desAuthentifizierungsvorgangs überprüft NPS die Identität des Benutzers oder Computers,der eine Verbindung mit dem Netzwerk herstellt. Während des Autorisierungsvorgangsbestimmt NPS, ob der Benutzer oder Computer auf das Netzwerk zugreifen darf.

Dabei verwendet NPS Netzwerkrichtlinien, die im NPS-MMC-Snap-In konfiguriert sind.NPS überprüft außerdem die Einwähleigenschaften des Benutzerkontos in ActiveDirectory-Domänendienste (Active Directory Domain Services, AD DS) zur Ausführungder Autorisierung.

Im Internetauthentifizierungsdienst (Internet Authentication Service, IAS) derBetriebssysteme der Windows Server 2003-Produktfamilie wurden Netzwerkrichtlinienals RAS-Richtlinien bezeichnet.

Netzwerkrichtlinien können als Regeln betrachtet werden. Jede Regel weist eine Reihevon Bedingungen und Einstellungen auf. NPS vergleicht die Bedingungen der Regelmit den Eigenschaften von Verbindungsanforderungen. Wenn eine Übereinstimmungzwischen der Regel und der Verbindungsanforderung vorliegt, werden die in der Regeldefinierten Einstellungen auf die Verbindung angewendet.

Wenn in NPS mehrere Netzwerkrichtlinien konfiguriert sind, handelt es sich um einengeordneten Regelsatz. NPS überprüft jede Verbindungsanforderung mit der erstenRegel in der Liste, dann mit der zweiten Regel usw., bis eine Übereinstimmunggefunden wird.

Jede Netzwerkrichtlinie weist die Einstellung Richtlinienstatus auf, mit der Sie dieRichtlinie aktivieren bzw. deaktivieren können. Wenn Sie eine Netzwerkrichtliniedeaktivieren, wird die Richtlinie beim Autorisieren von Verbindungsanforderungen vonNPS nicht ausgewertet.


Server in dieser Gruppe können auf die RAS-Eigenschaften von Benutzern zugreifen.

B:

Mitglieder dieser Gruppe verfügen über einige Administratorrechte zum Verwalten derKonfiguration von Netzwerkfunktionen.

D:

Die Standardrichtlinie Verbindungen mit Microsoft-Routing- und Remotezugriffsserverhat eine höhere Verarbeitungsreihenfolge und verweigert den Verbindungsaufbau füralle Benutzer.

QUESTION 8Sie sind als Netzwerkadministrator für das Unternehmen CertBase tätig. DasFirmennetzwerk enthält einen Windows Server 2008 Computer mit dem Namen Server1.

Sie müssen verhindern, dass Server1 Verbindungen mit anderen Computern über Port 25TCP herstellt.

Wie gehen Sie vor?

A. Ergänzen Sie eine Ausnahme in der Windows-Firewall.B. Aktivieren Sie die Option Alle eingehenden Verbindungen blocken in der Windows-

Firewall.C. Verwenden Sie die Konsole Windows-Firewall mit erweiterter Sicherheit und erstellen Sie

eine eingehende Regel.D. Verwenden Sie die Konsole Windows-Firewall mit erweiterter Sicherheit und erstellen Sie

eine ausgehende Regel.

Correct Answer: DSection: Configuring Network AccessExplanation

Explanation/Reference:Erläuterungen:Sie können Firewallregeln erstellen, um diesem Computer das Senden oder Empfangendes Datenverkehrs von Programmen, Systemdiensten, Computern und Benutzern zuerlauben. Firewallregeln führen eine von drei möglichen Aktionen für alle Verbindungen aus,die mit ihren Kriterien übereinstimmen: Zulassen der Verbindung, Zulassen nur solcherVerbindungen, die mithilfe von IPsec (Internet Procotol Security) gesichert ist, undausdrückliches Blockieren der Verbindung.

Regeln lassen sich jeweils für den ein- und den ausgehenden Datenverkehr erstellen. DieRegel kann konfiguriert werden, um die Computer oder Benutzer, Programme, Dienste oderden Port und das Protokoll anzugeben. Sie können angeben, auf welche Art vonNetzwerkadapter die Regel angewendet werden soll: LAN (lokales Netzwerk), drahtlos,Remotezugriff – z. B. ein virtuelles privates Netzwerk (VPN) – oder alle Typen. Sie könnendie Regel auch so einrichten, dass sie bei der Verwendung eines bestimmten Profils oderaber bei jedem beliebigen Profil angewendet wird.

Wenn sich Ihre IT-Umgebung ändert, können Sie auch die Regeln ändern, neu erstellen,deaktivieren oder löschen.

Firewallregeln werden nach folgender Rangfolge angewendet:

Authentifizierte Umgehung (d.h. Regeln, die Regeln zum Blocken außer Kraft setzen) Verbindung blocken Verbindung zulassen Standardprofilverhalten (Verbindung nach der Angabe auf der Registerkarte Profil desDialgofelds Eigenschaften der Windows-Firewall mit erweiterter Sicherheit zulassen bzw.blocken)

Eingehende RegelnEingehende Regeln lassen Datenverkehr, der mit ihren Kriterien übereinstimmt,ausdrücklich zu oder blockieren ihn. Sie können z. B. eine Regel erstellen, die ausdrücklichgesicherten Datenverkehr für den Remotedesktop durch die Firewall zulässt, wenn er mitIPsec gesichert ist, ihn aber anderenfalls blockiert. Bei der Installation von Windows wirdder gesamte eingehende Datenverkehr blockiert; zum Zulassen des Datenverkehrs müssenSie eine eingehende Regel erstellen. Sie können auch die Aktion konfigurieren, dieWindows-Firewall mit erweiterter Sicherheit ausführt (also das Zulassen oder Blockierenvon Verbindungen), wenn keine eingehende Regel angewendet wird.

Ausgehende RegelnAusgehende Regeln lassen von dem Computer ausgehenden Datenverkehr, der mit ihrenKriterien übereinstimmt, ausdrücklich zu oder blockieren ihn. So können Sie z. B. eineRegel erstellen, die ausgehenden Datenverkehr durch die Firewall blockiert, wenn er aneinen bestimmten Computer gerichtet ist, ihn aber für andere Computer zulassen.Ausgehender Datenverkehr wird standardmäßig zugelassen, sodass Sie eine ausgehendeRegel erstellen müssen, um ihn zu blockieren.

Die Standardaktion, also das Zulassen oder Blockieren von Verbindungen, kann konfiguriertwerden.

Zusammenhang zwischen Firewallregeln und Verbindung ssicherheitFirewallregeln lassen den Datenverkehr durch die Firewall zu, sichern ihn aber nicht. Umden Datenverkehr mit IPsec zu sichern, können Sie Verbindungssicherheitsregeln erstellen.Durch Verbindungssicherheitsregeln wird der Datenverkehr durch die Firewall aber nichtzugelassen. Dazu müssen Sie eine Firewallregel erstellen, falls der Datenverkehr nichtschon durch das Standardverhalten der Firewall zugelassen ist.Verbindungssicherheitsregeln werden nicht auf Programme und Dienste angewendet,sondern auf die Kommunikation zwischen den Computern, die die beiden Endpunktebilden.


Die Domäne enthält eine Unternehmensstammzertifizierungsstelle. Das Unternehmen plantden Einsatz des Netzwerkzugriffsschutzes, um VPN-Verbindungen zu schützen.

Sie installieren zwei Server mit den Namen NPS1 und VPN1. Die Rollen und Funktionender Server werden in der Abbildung gezeigt (klicken Sie auf die Schaltfläche Zeichnung).

Sie müssen sicherstellen, dass die Systemintegritätsrichtlinie auf alle Clientcomputerangewendet wird, die eine VPN-Verbindung mit VPN1 herstellen.

Wie gehen Sie vor?

Exhibit:

A. Konfigurieren Sie NPS1 als RADIUS-Client.B. Konfigurieren Sie VPN1 als RADIUS-Client.C. Installieren Sie die Serverrolle Netzwerkrichtlinien- und Zugriffsdienste (NAP) auf einem

Domänencontroller.D. Installieren Sie die Serverrolle Netzwerkrichtlinien- und Zugriffsdienste (NAP) auf einem

Server, der die Zertifizierungsstelle des Unternehmens ausführt.


Explanation/Reference:Erläuterungen:Ein Netzwerkzugriffsserver (Network Access Server, NAS) ist ein Gerät, das einemgrößeren Netzwerk eine bestimmte Zugriffsebene ermöglicht. Ein Netzwerkzugriffsserver,

der eine RADIUS-Infrastruktur verwendet, ist auch ein RADIUS-Client, derVerbindungsanforderungen und Kontoführungsnachrichten für die Authentifizierung,Autorisierung und Kontoführung an einen RADIUS-Server sendet. .

Clientcomputer wie drahtlose Laptops und andere Computer, auf denenClientbetriebssysteme ausgeführt werden, sind keine RADIUS-Clients. RADIUS-Clients sindNetzwerkzugriffsserver (drahtlose Zugriffspunkte, 802.1X-Switchs zur Authentifizierung,VPN-Server (Virtual Private Network) und DFÜ-Server), da sie über das RADIUS-Protokollmit RADIUS-Servern wie NPS-Servern (Network Policy Server) kommunizieren. .

Um Netzwerkrichtlinienserver (Network Policy Server, NPS) als RADIUS-Server, RADIUS-Proxy oder NAP-Richtlinienserver (Network Access Protection, Netzwerkzugriffschutz)bereitzustellen, müssen Sie RADIUS-Clients in NPS konfigurieren.

Es folgen Beispiele für Netzwerkzugriffsserver:

Netzwerkzugriffsserver, die RAS-Konnektivität für das Netzwerk einer Organisation oderfür das Internet ermöglichen. Ein Beispiel hierfür wäre ein Computer unter WindowsServer 2008, auf dem der Routing- und RAS-Dienst ausgeführt wird und der dem Intraneteiner Organisation traditionelle DFÜ- oder VPN-Remotezugriffsdienste zur Verfügungstellt. Drahtloszugriffspunkte, die auf physischer Ebene mithilfe drahtloser Sende- undEmpfangstechnologien den Zugriff auf das Netzwerk einer Organisation ermöglichen. Switches, die auf physischer Ebene mithilfe traditioneller LAN-Technologien (z. B.Ethernet) den Zugriff auf das Netzwerk einer Organisation ermöglichen. RADIUS-Proxys, die Verbindungsanforderungen an RADIUS-Server weiterleiten, dieMitglied einer Remote-RADIUS-Servergruppe sind, die für den RADIUS-Proxykonfiguriert ist.


Sie implementieren einen Windows Server 2008 VPN-Server hinter einer Firewall.Remotebenutzer sollen den Server verwenden, um mit ihren tragbaren ComputernVerbindungen mit dem Firmennetzwerk herzustellen. Auf den tragbaren Computern derRemotebenutzer ist das Betriebssystem Windows Vista mit dem aktuellstem Service Packinstalliert.

Die Firewall ist so konfiguriert, dass ausschließlich sichere Webkommunikation (HTTPS)zugelassen wird.

Sie müssen den Remotebenutzern Verbindungen mit dem VPN-Server ermöglichen. Siewollen Ihr Ziel erreichen, ohne zusätzliche Ports auf der Firewall zu öffnen.

Wie gehen Sie vor?

A. Erstellen Sie einen IPSec Tunnel.

B. Erstellen Sie eine SSTP VPN-Verbindung.C. Erstellen Sie eine PPTP VPN-Verbindung.D. Erstellen Sie eine L2TP VPN-Verbindung.


Explanation/Reference:Erläuterungen:Tunnelprotokolle ermöglichen die Kapselung eines Pakets eines Protokolltyps innerhalb desDatagramms eines anderen Protokolls. Beispielsweise wird PPTP von VPN zur Kapselungvon IP-Paketen in einem öffentlichen Netzwerk wie dem Internet verwendet. Sie könneneine VPN-Lösung konfigurieren, die auf PPTP (Point-to-Point Tunneling Protocol), L2TP(Layer Two Tunneling Protocol) oder SSTP (Secure Socket Tunneling Protocol) basiert.

PPTP, L2TP und SSTP sind unbedingt von den Features abhängig, die ursprünglich für dasPoint-to-Point-Protokoll (PPP) festgelegt wurden. PPP wurde für das Senden von Datenüber DFÜ- oder dedizierte Punkt-zu-Punkt-Verbindungen entwickelt. Für IP werden vonPPP IP-Pakete innerhalb von PPP-Rahmen gekapselt und dann die gekapselten PPP-Pakete über eine Punkt-zu-Punkt-Verbindung übertragen. PPP war ursprünglich alsProtokoll für den Einsatz zwischen einem DFÜ-Client und einem Netzwerkzugriffservergedacht.

SSTPSSTP (Secure Socket Tunneling Protocol) ist ein neues Tunnelprotokoll, das das HTTPS-Protokoll über den TCP-Port 443 für Datenverkehr durch Firewalls und Webproxiesverwendet, die den PPTP- und L2TP/IPsec-Datenverkehr blockieren könnten. SSTP bieteteinen Mechanismus zur Kapselung von PPP-Datenverkehr über den SSL-Kanal (SecureSockets Layer) des HTTPS-Protokolls. Die Verwendung von PPP ermöglicht dieUnterstützung starker Authentifizierungsmethoden wie EAP-TLS. SSL bietet TLS (TransportLevel Security) mit verbesserter Schlüsselaushandlung, Verschlüsselung undIntegritätsprüfung.

Wenn ein Client versucht, eine SSTP-basierte VPN-Verbindung herzustellen, wird vonSSTP zuerst eine bidirektionale HTTPS-Ebene zum SSTP-Server erstellt. Über dieseHTTPS-Ebene werden diese Protokollpakete als Dateninhalt versendet.

KapselungVon SSTP werden PPP-Rahmen in IP-Datagrammen für die Übertragung über dasNetzwerk gekapselt. Von SSTP wird eine TCP-Verbindung (über Port 443) für dieTunnelverwaltung sowie für PPP-Datenrahmen verwendet.

VerschlüsselungDie SSTP-Nachricht wird mit dem SSL-Kanal des HTTPS-Protokolls verschlüsselt.

Wenn Sie zwischen den RAS-VPN-Lösungen mit PPTP, L2TP/IPsec oder SSTP eineAuswahl treffen, sollten Sie Folgendes beachten:

PPTP kann für eine Vielzahl von Microsoft-Clients, einschließlich Microsoft Windows

2000, Windows XP, Windows Vista und Windows Server 2008, eingesetzt werden. ImGegensatz zu L2TP/IPsec erfordert PPTP nicht die Verwendung einer Infrastruktur mitöffentlichem Schlüssel (Public Key Infrastructure, PKI). PPTP-basierte VPN-Verbindungen sorgen durch Verschlüsselung für die Vertraulichkeit der Daten(abgefangene Pakete können ohne den Verschlüsselungsschlüssel nicht interpretiertwerden). PPTP-basierte VPN-Verbindungen bieten jedoch keine Datenintegrität(Nachweis, dass die Daten bei der Übertragung nicht verändert wurden) oderDatenursprungsauthentifizierung (Nachweis, dass die Daten vom autorisierten Benutzerstammen).L2TP kann nur für Clientcomputer unter Windows 2000, Windows XP oder WindowsVista verwendet werden. L2TP unterstützt entweder Computerzertifikate oder einenvorinstallierten Schlüssel als Authentifizierungsmethode für IPsec. DieComputerzertifikatauthentifizierung, die empfohlene Authentifizierungsmethode, erforderteine PKI zur Ausstellung von Computerzertifikaten für den VPN-Servercomputer und alleVPN-Clientcomputer. Durch die Verwendung von IPsec bieten L2TP/IPsec-VPN-Verbindungen Datenvertraulichkeit, Datenintegrität und Datenauthentifizierung. ImGegensatz zu PPTP und SSTP ermöglicht L2TP/IPsec die Computerauthentifizierung aufIPsec-Ebene und die Benutzerebenenauthentifizierung auf PPP-Ebene.SSTP kann nur für Clientcomputer unter Windows Vista Service Pack 1 (SP1) oderWindows Server 2008 verwendet werden. Durch die Verwendung von SSL bieten SSTP-VPN-Verbindungen Datenvertraulichkeit, Datenintegrität und Datenauthentifizierung. Alle drei Tunneltypen verwenden PPP-Rahmen über dem Netzwerkprotokollstapel.Daher sind die allgemeinen Features von PPP wie Authentifizierungsschemas, IPv4- undIPv6-Aushandlung und Netzwerkzugriffsschutz (Network Access Protection, NAP) beiallen drei Tunneltypen identisch.

QUESTION 11Sie sind als Netzwerkadministrator für das Unternehmen CertBase tätig. Das Unternehmensetzt den Netzwerkzugriffsschutz (NAP) für die Absicherung des Netzwerks ein.

Die Benutzer haben die Möglichkeit sich remote mit dem Firmennetzwerk zu verbinden.

Sie müssen sicherstellen, dass die Datenübertragung zwischen den Remotecomputern unddem Firmennetzwerk so sicher wie möglich ist.

Wie gehen Sie vor?

A. Konfigurieren Sie die NAP-Erzwingung für die IPSec-Kommunikation.B. Konfigurieren Sie die NAP-Erzwingung für 802.1x Drahtlosverbindungen.C. Konfigurieren Sie die VPN-Verbindungen, so dass das Authentifizierungsprotokoll MS-

CHAP v2 verwendet wird.D. Konfigurieren Sie die NAP-Erzwingung für Dynamic Host Configuration Protocol (DHCP)

Clients.



Die Erzwingung des Netzwerkzugriffsschutzes (Network Access Protection, NAP) für IPsec-Richtlinien (Internet Protocol security, Internetprotokollsicherheit) für Windows-Firewall wirdüber einen Integritätszertifikatserver, einen Integritätsregistrierungsstellen-Server (HealthRegistration Authority, HRA), einen Netzwerkrichtlinienserver (Network Policy Server, NPS)und einen IPsec-Erzwingungsclient bereitgestellt. Der Integritätszertifikatserver stellt X.509-Zertifikate für NAP-Clients aus, wenn sie als konform eingestuft werden. Mithilfe dieserZertifikate werden dann NAP-Clients authentifiziert, wenn sie eine IPsec-Kommunikation mitanderen NAP-Clients in einem Intranet starten.

Die IPsec-Erzwingung beschränkt die Kommunikation im Netzwerk auf kompatible Clientsund bietet die sicherste Implementierung von NAP. Da bei dieser ErzwingungsmethodeIPsec verwendet wird, können Sie Anforderungen für eine sichere Kommunikation auf derBasis von IP-Adressen oder TCP/UDP-Portnummern definieren.


Das Netzwerk enthält einen Servercomputer mit dem Namen NAT1. NAT1 dient als Serverfür die Netzwerkadressübersetzung (Network Adress Translation, NAT).

Sie müssen sicherstellen, dass Administratoren Remotedesktopverbindungen mit einemServer namens RDP1 herstellen können.

Wie gehen Sie vor?

A. Konfigurieren Sie NAT1, so dass Port 389 TCP an RDP1 weitergeleitet wird.B. Konfigurieren Sie NAT1, so dass Port 1432 TCP an RDP1 weitergeleitet wird.C. Konfigurieren Sie NAT1, so dass Port 3339 TCP an RDP1 weitergeleitet wird.D. Konfigurieren Sie NAT1, so dass Port 3389 TCP an RDP1 weitergeleitet wird.

Correct Answer: DSection: Configuring Network AccessExplanation

Explanation/Reference:Erläuterungen:Sie können die Terminaldienstekonfiguration auf einem Computer verwenden, selbst wennder Terminalserver-Rollendienst nicht auf diesem Computer installiert ist. Wenn derTerminalserver-Rollendienst nicht installiert ist, wird in der Terminaldienstekonfigurationangezeigt, dass der Computer für Remotedesktop für Verwaltung konfiguriert ist.

Im Folgenden sind Einschränkungen von Remotedesktop für Verwaltung aufgelistet:

Die Standardverbindung (RDP-Tcp) lässt maximal nur zwei gleichzeitigeRemoteverbindungen zu. Lizenzierungseinstellungen können nicht konfiguriert werden. Einstellungen für den TS-Sitzungsbroker können nicht konfiguriert werden.

Der Benutzeranmeldemodus kann nicht konfiguriert werden.

Standardmäßig erwarten Remotedesktop, Terminalserver und RemoteunterstützungVerbindungsanfragen auf Port 3389 TCP.

QUESTION 13Sie sind als Netzwerkadministrator für das Unternehmen CertBase tätig. DasFirmennetzwerk besteht aus einer einzelnen Active Directory Domäne mit dem Namencertbase.de. Die Domäne enthält zwei Windows Server 2008 Computer mit den NamenDC1 und DC2.

Sie planen die Ereignisweiterleitung von DC2 an DC1. Sie konfigurieren das erforderlicheAbonnement. Sie aktivieren die Option Normal für die Einstellung Event DeliveryOptimization und wählen das Protokoll HTTP.

Später stellen Sie fest, dass keines der Abonnements funktioniert.

Sie müssen sicherstellen, dass die Server die Ereignisweiterleitung unterstützen und dasAbonnement auf DC2 erfolgreich aktualisiert werden kann.

Welche drei Schritte werden Sie durchführen? (Jede korrekte Antwort stellt einen Teil derLösung dar. Wählen Sie drei Antworten.)

A. Führen Sie den Befehl wecutil qc auf DC1 aus.B. Führen Sie den Befehl wecutil qc auf DC2 aus.C. Führen Sie den Befehl winrm quickconfig auf DC1 aus.D. Führen Sie den Befehl winrm quickconfig auf DC2 aus.E. Nehmen Sie das Computerkonto von DC2 in die Administratorengruppe auf DC1 auf.F. Nehmen Sie das Computerkonto von DC1 in die Administratorengruppe auf DC2 auf.

Correct Answer: ADFSection: Deploying and Monitoring ServersExplanation

Explanation/Reference:Erläuterungen:Mit der Ereignisanzeige können Sie Ereignisse auf einem einzelnen Computer betrachten.Bei der Problembehandlung kann es jedoch erforderlich sein, eine Reihe von Ereignissenzu untersuchen, die in verschiedenen Protokollen auf verschiedenen Computerngespeichert sind.

Windows Server 2008 bietet die Möglichkeit, Kopien der Ereignisse von mehrerenRemotecomputern zu sammeln und lokal zu speichern. Um anzugeben, welche Ereignissegesammelt werden sollen, erstellen Sie ein Ereignisabonnement. Neben anderenEinzelheiten gibt das Abonnement genau an, welche Ereignisse gesammelt und in welchemProtokoll sie lokal gespeichert werden. Sobald ein Abonnement aktiv ist und die Ereignissegesammelt werden, können Sie diese weitergeleiteten Ereignisse wie lokal gespeicherteEreignisse betrachten und bearbeiten.

Um die Ereignissammlungsfunktion verwenden zu können, müssen Sie sowohl dieweiterleitenden (Quellcomputer) als auch die sammelnden (Sammlungscomputer)Computer konfigurieren. Diese Funktionalität stützt sich auf den Windows-Remoteverwaltungsdienst (WinRM) und den Windows-Ereignissammlungsdienst (Wecsvc).Beide Dienste müssen auf den Computern ausgeführt werden, die an diesemWeiterleitungs- und Sammlungsprozess teilnehmen.

QUESTION 14Sie sind als Netzwerkadministrator für das Unternehmen CertBase tätig. DasFirmennetzwerk enthält 100 Servercomputer.

Sie installieren Windows Server 2008 mit der Serverrolle Webserver (IIS) auf einem neuenServercomputer. Später stellen Sie fest, dass die Zuverlässigkeitsüberwachung keine Datenenthält und das Systemstabilitätsdiagramm noch nie aktualisiert wurde.

Sie müssen den Server so konfigurieren, dass die erforderlichen Daten für dieZuverlässigkeitsüberwachung gesammelt werden.

Wie gehen Sie vor?

A. Führen Sie den Befehl perfmon.exe /sys auf dem Server aus.B. Konfigurieren Sie den Dienst Aufgabenplanung so dass er automatisch gestartet wird.C. Konfigurieren Sie den Dienst Remoteregistrierung so dass er automatisch gestartet

wird.D. Konfigurieren Sie den Dienst Sekundäre Anmeldung so dass er automatisch gestartet

wird.


Explanation/Reference:Erläuterungen:Die Windows-Zuverlässigkeits- und Leistungsüberwachung ist ein MMC-Snap-In (MicrosoftManagement Console), das Tools zur Analyse der Systemleistung bereitstellt. Von einerzentralen Konsole aus können Sie die Anwendungs- und Hardwareleistung in Echtzeitüberwachen, festlegen, welche Daten Sie in Protokollen erfassen möchten, Schwellenwertefür Warnungen und automatische Aktionen definieren, Berichte erstellen und ältereLeistungsdaten auf verschiedene Weise anzeigen.

Die Windows-Zuverlässigkeits- und Leistungsüberwachung kombiniert die Funktionalität derfrüheren eigenständigen Tools Leistungsprotokolle und -warnungen, Server PerformanceAdvisor und Systemmonitor. Sie enthält eine grafische Benutzeroberfläche zur Anpassungvon Sammlungssätzen und Ereignisablaufverfolgungssitzungen.

Die Zuverlässigkeitsüberwachung zeigt einen Überblick über die Systemstabilität und eineTrendanalyse mit ausführlichen Informationen über einzelne Ereignisse, die dieGesamtstabilität des Systems beeinflussen, z.B. Softwareinstallationen, Aktualisierungendes Betriebssystems und Hardwarefehler. Sie beginnt zum Zeitpunkt der Systeminstallationmit dem Erfassen von Daten. Die Erhebung der Daten ist abhängig von der

Aufgabenplanung.


Der Befehl öffnet den Systemmonitor.

C:

Ermöglicht Remotebenutzern, Registrierungseinstellungen dieses Computers zuverändern. Wenn dieser Dienst beendet wird, kann die Registrierung nur von lokalenBenutzern dieses Computers verändert werden. Falls dieser Dienst deaktiviert wird,können die Dienste, die von diesem Dienst ausschließlich abhängig sind, nicht mehrgestartet werden.

D:

Aktiviert das Starten von Prozessen mit verschiedenen Anmeldeinformationen. Wenndieser Dienst beendet wird, wird dieser Typ von Anmeldezugriff nicht mehr verfügbarsein. Wenn dieser Dienst deaktiviert wird, können alle Dienste, die explizit vondiesem Dienst abhängen, nicht mehr gestartet werden.

QUESTION 15Sie sind als Netzwerkadministrator für das Unternehmen CertBase tätig. DasFirmennetzwerk besteht aus einer einzelnen Active Directory Domäne mit dem Namencertbase.de. Die Domäne enthält zwei Domänencontroller mit den Namen DC1 und DC2.

Sie konfigurieren beide Server für die Unterstützung der Ereignisweiterleitung.Anschließend erstellen Sie auf DC1 ein neues Abonnement für DC2.

Sie müssen die Systemereignisse von DC2 einsehen.

Welches Ereignisprotokoll werden Sie öffnen?

A. Das Protokoll System auf DC1.B. Das Protokoll Anwendung auf DC2.C. Das Protokoll Weitergeleitete Ereignisse auf DC1.D. Das Protokoll Weitergeleitete Ereignisse auf DC2.

Correct Answer: CSection: Deploying and Monitoring ServersExplanation

Explanation/Reference:Erläuterungen:Weitergeleitete Ereignisse werden auf dem Sammlungscomputer im Protokollweitergeleitete Ereignisse gespeichert.


Ein Server mit dem Namen Server1 stellt freigegebene Dokumente für die Benutzer bereit.Die Benutzer berichten über extrem lange Antwortzeiten beim Zugriff auf die freigegebenen

Dokumente.

Sie melden sich an Server1 an. Sie beobachten die Echtzeitdaten des Systems und stellenfest, dass der Prozessor zu 100 Prozent ausgelastet ist.

Sie müssen zusätzliche Daten erheben, um die Ursache des Problems zu ermitteln.

Wie gehen Sie vor?

A. Verwenden Sie die Konsole Zuverlässigkeits- und Leistungsüberwachung. Erstellen Sieein Leistungsindikatorenprotokoll, um die Auslastung des Prozessors aufzuzeichnen.

B. Verwenden Sie die Konsole Ereignisanzeige und durchsuchen Sie das ProtokollAnwendung nach Ereignissen, die in Zusammenhang mit der Systemleistung stehen.

C. Verwenden Sie die Konsole Zuverlässigkeits- und Leistungsüberwachung. VerwendenSie die Ressourcenübersicht, um den prozentualen Anteil der Prozessornutzung für jedeAnwendung einzusehen.

D. Verwenden Sie die Konsole Zuverlässigkeits- und Leistungsüberwachung. Erstellen Sieeine Warnung, die ausgelöst wird, wenn die Prozessorauslastung 80 Prozent für mehrals 5 Minuten übersteigt.


Explanation/Reference:Erläuterungen:Mit Hilfe der Ressourcenübersicht kann die Ressourcenverwendung detailiert analysiertwerden. Vier Diagramme mit Bildlaufleisten im Bereich Ressourcenübersicht zeigen dieEchtzeitverwendung der CPU, der Festplatte, des Netzwerks und des Arbeitsspeichers aufdem lokalen Computer an. Vier erweiterbare Abschnitte unterhalb der Diagramme enthaltenEinzelheiten auf Prozessebene zu den einzelnen Ressourcen.

QUESTION 17Sie sind als Netzwerkadministrator für das Unternehmen CertBase tätig. DasFirmennetzwerk enthält zwei Windows Server 2008 Computer mit den Namen Server1 undServer2.

Sie installieren die Windows Update Services (WSUS) auf beiden Servercomputern. Siewollen die Windows Update Services auf Server1 so konfigurieren, dass die Updates undPatches von Server2 geladen werden.

Welche Aktion werden Sie auf Server1 durchführen?

A. Konfigurieren Sie einen Proxyserver.B. Konfigurieren Sie einen Upstreamserver.C. Erstellen Sie eine neue Replikationsgruppe.D. Erstellen Sie eine neue Computergruppe.

Correct Answer: BSection: Deploying and Monitoring Servers

Explanation

Explanation/Reference:Erläuterungen:Der Einsatz mehrerer Windows Server Update Services (WSUS) Computer in einerOrganisation erlaubt eine flexible Skalierung des Dienstes. Einer der Server muss in diesemSzenario die Updates von Microsoft Update synchronisieren. Dieser Server wird alsUpstreamserver bezeichnet. Die verbleibenden Server können Updates mit demUpstreamserver synchronisieren und werden als Downstreamserver bezeichnet.

QUESTION 18Sie sind als Netzwerkadministrator für das Unternehmen CertBase tätig. DasFirmennetzwerk enthält 10 alleinstehende Windows Server 2008 Computer.

Sie installieren die Windows Server Update Services (WSUS) auf einem Servercomputermit dem Namen Server1. Sie wollen nun alle verbliebenen Server so konfigurieren, dass sieihre Updates von Server1 beziehen.

Wie gehen Sie vor?

A. Konfigurieren Sie auf allen Servercomputern die Einstellungen für Windows Update.Verwenden Sie die Systemsteuerung.

B. Führen Sie auf allen Servercomputern den Befehl wuauclt.exe /detectnow aus.C. Führen Sie auf allen Servercomputern den Befehl wuauclt.exe /resetauthorization aus.D. Konfigurieren Sie auf allen Servercomputern die Einstellungen für Windows Update.

Verwenden Sie das lokale Gruppenrichtlinienobjekt (GPO).

Correct Answer: DSection: Deploying and Monitoring ServersExplanation

Explanation/Reference:Erläuterungen:Über die Richtlinie Internen Pfad für den Microsoft Updatedienst angebe n kann derWindows Update Clientdienst so konfiguriert werden, dass Updates von einem internenWindows Update Services (WSUS) Server bezogen werden. Die Richtlinie befindet sich imAbschnitt Computerkonfiguration – Administrative Vorlagen – Windows-Komponenten –Windows Update.


Über die Option Windows Update der Systemsteuerung kann kein interner Server fürUpdates festgelegt werden.

B:

Leitet den Download der erforderlichen Updates ein und dient zur Überprüfung derKonfiguration.

C:

WSUS verwendet Cookies auf dem Client-Computer um verschiedene Arten derInformationen, einschließlich Gruppenmitgliedschaft zu speichern. Das Cookie wirdautomatisch eine Stunde nach erfolgreichem Update vom WSUS gelöscht. Wenn sieClientgruppierungen verwenden kombinieren sie die Funktion mit /detectnow damitdas Cookie abläuft, eine neue Abfrage eingeleitet wird und WSUS die

Gruppenmitgliedschaft aktualisiert.

QUESTION 19Sie sind als Netzwerkadministrator für das Unternehmen CertBase tätig. DasUnternehmen hat eine Hauptgeschäftsstelle und eine Zweigstelle. Das Firmennetzwerkbesteht aus einer einzelnen Active Directory Gesamtstruktur, die sich über beideStandorte erstreckt. Die Gesamtstruktur wird im Modus Windows Server 2003betrieben.

Die Hauptgeschäftsstelle verfügt über 4 Windows Server 2003 Domänencontroller.

Sie müssen sicherstellen, dass Sie einen schreibgeschützten Domänencontroller(RODC) in der Zweigstelle aufstellen können.

Welche zwei Schritte werden Sie durchführen? (Jede korrekte Antwort stellt einen Teilder Lösung dar. Wählen Sie zwei Antworten.)

A. Führen Sie den Befehl adprep /rodcprep aus.B. Stufen Sie die Funktionsebene der Gesamtstruktur (FFL) auf Windows Server 2008

herauf.C. Stufen Sie die Funktionsebene der Domäne (DFL) auf Windows Server 2008 herauf.D. Installieren Sie einen Windows Server 2008 Domänencontroller in der

Hauptgeschäftsstelle.

Correct Answer: ADSection: Configuring Server RolesExplanation

Explanation/Reference:Erläuterungen:Sie müssen folgende Punkte sicherstellen, um einen schreibgeschützten Windows Server2008 Domänencontroller in einer vorhandenen Windows Server 2003 Gesamtstruktur zuinstallieren:

Die Gesamtstrukturfunktionsebene (FFL) muss mindestens Windows Server 2003 oderhöher sein. Sie müssen den Befehl adprep /rodcprep ausführen. Der Befehl aktualisiert dieBerechtigungen für alle DNS-Verzeichnispartitionen der Gesamtstruktur. Sie müssen einen beschreibbaren Windows Server 2008 Domänencontroller installieren

Exam D

QUESTION 1Sie sind als Netzwerkadministrator für das Unternehmen CertBase tätig. Das Unternehmenhat eine Hauptgeschäftsstelle und 10 Zweigstellen. Alle Bürostandorte sind als separateActive Directory Standorte konfiguriert. Jeder Standort hat einen schreibgeschütztenDomänencontroller (RODC).

Die Benutzer in den Zweigstellen können sich nicht mit Ihren Benutzerkonten anmelden.

Sie müssen sicherstellen, dass die zwischengespeicherten Zugangsdaten derBenutzerkonten ausschließlich auf den schreibgeschützten Domänencontroller am Standortder jeweiligen Benutzer gespeichert werden.

Wie gehen Sie vor?

A. Erstellen Sie in den Eigenschaften der Computerkonten der schreibgeschütztenDomänencontroller (RODC) jeweils eine separate Kennwortreplikationsrichtlinie.

B. Nehmen Sie die Benutzerkonten in die Sicherheitsgruppe Zulässige RODC-Kennwortreplikationsgruppe der Domäne auf.

C. Konfigurieren Sie die Eigenschaften der Computerkonten der schreibgeschütztenDomänencontroller (RODC). Erteilen Sie den gewünschten Benutzerkonten auf demRegister Sicherheit die Berechtigung Empfangen als – Zulassen zu.

D. Erstellen Sie für jeden Standort eine separate Sicherheitsgruppe und nehmen Sie dieBenutzerkonten in die entsprechende Gruppe auf. Nehmen Sie die Gruppenkonten in dieSicherheitsgruppe Zulässige RODC-Kennwortreplikationsgruppe der Domäne auf.


Explanation/Reference:Erläuterungen:Sie müssen bei der ersten Bereitstellung eines schreibgeschützten Domänencontrollersdie Kennwortreplikationsrichtlinie auf dem beschreibbaren Domänencontrollerkonfigurieren, der als Replikationspartner des RODC verwendet wird. DieKennwortreplikationsrichtlinie fungiert als Zugriffssteuerungsliste (Access Control List,ACL). Mit ihr wird bestimmt, ob ein Kennwort von einem RODC zwischengespeichertwerden darf. Wenn ein RODC eine Anmeldeanforderung eines authentifiziertenBenutzers oder Computers erhält, bestimmt er mit Bezug auf dieKennwortreplikationsrichtlinie, ob das Kennwort für das Konto zwischengespeichertwerden soll. Nachfolgende Anmeldungen durch dasselbe Konto können danneffizienter ausgeführt werden.

QUESTION 2Sie sind als Netzwerkadministrator für das Unternehmen CertBase tätig. DasFirmennetzwerk enthält einen Windows Server 2008 Servercomputer mit dem NamenServer1. Auf Server1 wird eine Instanz der Active Directory Lightweight Directory Services(AD LDS) ausgeführt.

Sie müssen die AD LDS Instanz auf einen Testcomputer im Netzwerk replizieren.

Wie gehen Sie vor?

A. Führen Sie den Befehl Repadmin.exe /kcc „Servername“ auf dem Testcomputer aus.B. Verwenden Sie den Befehl Dsmgmt.exe , um einen Namenskontext auf dem

Testcomputer zu erstellen.C. Verwenden Sie den Befehl Dsmgmt.exe , um eine neue Verzeichnispartition auf dem

Testcomputer zu erstellen.D. Verwenden Sie den Setup-Assistenten für die Active Directory Lightweight Directory

Services auf dem Testcomputer, um ein Replikat der AD LDS-Instanz zu erstellen.


Explanation/Reference:Erläuterungen:Auf der Seite Setup-Optionen des Setup-Assistenten für Active Directory LightweightDirectory Services können Sie auswählen, ob Sie eine eindeutige AD LDS-Instanz (ActiveDirectory Lightweight Directory Services) installieren oder einem vorhandenenKonfigurationssatz eine neue Instanz zuordnen möchten.

Eine eindeutige Instanz installierenWenn Sie sich für das Installieren einer eindeutigen AD LDS-Instanz entscheiden, wird dieinstallierte Instanz keinem vorhandenen Konfigurationssatz zugeordnet und verfügt nichtüber Replikationspartner. Vom Assistenten werden neue Standardkopien derKonfigurations- und Schemaverzeichnispartitionen für die neue AD LDS-Instanz erstellt.Schemaerweiterungen, die Sie möglicherweise anderen AD LDS-Instanzen hinzugefügthaben, sind in dieser neuen AD LDS-Instanz nicht verfügbar.

Ein Replikat einer vorhandenen Instanz installierenWenn Sie sich für das Installieren eines Replikats einer vorhandenen AD LDS-Instanzentscheiden, enthält die installierte AD LDS-Instanz replizierte Kopien der Konfigurations-und Schemaverzeichnispartitionen (ggf. einschließlich Schemaerweiterungen) der Instanz,die Sie replizieren. Darüber hinaus bietet der Assistent die Möglichkeit, ausgewählteAnwendungsverzeichnispartitionen aus dem Quellkonfigurationssatz zu replizieren. Siemüssen eine gerade ausgeführte AD LDS-Instanz als Quelle für die Replikation angeben.Zur Beschleunigung des Replikationsvorgangs für die neue Instanz können Sie einewiederhergestellte Kopie einer zuvor gesicherten AD LDS-Instanz als Datenquelleverwenden.

Eine AD LDS-Instanz besteht aus einer einzelnen Kopie des AD LDS-Verzeichnisdienstszusammen mit dem dazugehörigen Verzeichnisspeicher, den zugewiesenen LDAP-(Lightweight Directory Access-Protokoll) und SSL-Ports (Secure Sockets Layer) sowie demAnwendungsereignisprotokoll. Sie können mehrere AD LDS-Instanzen gleichzeitig aufeinem Computer ausführen.

Das Zuordnen einer AD LDS-Instanz zu einem Konfigurationssatz ist nur während der ADLDS-Installation möglich.


Auf einem Windows Server 2008 Mitgliedsserver ist die Serverrolle Active Directory-Verbunddienste (AD FS) installiert.

Sie müssen die Active Directory-Verbunddienste konfigurieren und sicherstellen, dass dieausgestellten Sicherheitstoken Informationen der Active Directory Domäne enthalten.

Wie gehen Sie vor?

A. Erstellen und konfigurieren Sie einen neuen Kontospeicher .B. Erstellen und konfigurieren Sie einen neuen Kontopartner .C. Erstellen und konfigurieren Sie einen neuen Ressourcenpartner .D. Erstellen und konfigurieren Sie eine Ansprüche unterstützende Anwendung .


Explanation/Reference:Erläuterungen:AD FS ist eine Komponente von Windows Server 2003 R2 und Windows Server 2008, dieWeb-SSO-Technologien (Single-Sign-On, einmalige Webanmeldung) bereitstellt, mit derenHilfe ein Benutzer während einer Onlinesitzung bei mehreren Webanwendungenauthentifiziert werden kann. AD FS realisiert dies durch die sichere gemeinsame Nutzungder digitalen Identität und von Anspruchsberechtigungen über Sicherheits- undUnternehmensgrenzen. AD FS unterstützt WS-Verbund-PRP (Passive Requestor Profile).

Die Active Directory-Verbunddienste (Active Directory Federation Services, AD FS)verwenden Kontospeicher, um Benutzer anzumelden und Sicherheitsansprüche für dieseBenutzer zu extrahieren. Sie können für einen Verbunddienst mehrere Kontospeicherkonfigurieren. Sie können auch deren Priorität definieren. Der Verbunddienst verwendetLDAP (Lightweight Directory Access Protocol) für die Kommunikation mit Kontospeichern.Die folgenden beiden Kontospeicher werden von AD FS unterstützt:

Active Directory-Domänendienste (AD DS)Active Directory Lightweight Directory Services (AD LDS)

AD FS eignet sich für unternehmensweite Bereitstellungen oder Instanzen von AD LDS. Beider Verwendung mit AD DS kann AD FS zudem die sicheren Authentifizierungstechnologienin AD DS nutzen (z. B. Kerberos, digitale X.509-Zertifikate und Smartcards). Bei derVerwendung mit AD LDS authentifiziert AD FS Benutzer mithilfe von LDAP-Bindungen(Lightweight Directory Access Protocol).

Falsche Antworten:B:

Dies ist ein Verbundpartner, dem der Verbunddienst vertraut und der den Benutzern(d. h. Benutzern in der Kontopartnerorganisation) Sicherheitstokens bereitstellenkann, damit sie auf webbasierte Anwendungen im Ressourcenpartner zugreifenkönnen.

C:

Dies ist ein Verbundpartner, der dem Verbunddienst vertraut und deranspruchbasierte Sicherheitstokens für webbasierte Anwendungen (d. h.Anwendungen in der Ressourcenpartnerorganisation) ausstellen kann, auf dieBenutzer im Partnerkonto zugreifen können.

D:

Ansprüche sind Aussagen (z. B. Name, Identität, Schlüssel, Gruppe, Berechtigungoder Funktion), die über Benutzer getroffen werden (und von beiden Partnern ineinem Active Directory-Verbunddienstverbund (Active Directory Federation Services,AD FS) verstanden werden) und für die Autorisierung durch eine Anwendungverwendet werden. Eine Ansprüche unterstützende Anwendung ist eine MicrosoftASP.NET-Anwendung, die mit der AD FS-Klassenbibliothek erstellt wurde. DieserAnwendungstyp kann AD FS-Ansprüche verwenden, umAutorisierungsentscheidungen direkt zu treffen. Eine Ansprüche unterstützendeAnwendung akzeptiert vom Verbunddienst in AD FS-Sicherheitstokens gesendeteAnsprüche.

QUESTION 4Sie sind als Netzwerkadministrator für das Unternehmen CertBase tätig. DasFirmennetzwerk enthält einen Windows Server 2008 Computer auf dem eine Instanz derActive Directory Lightweight Directory Services (AD LDS) ausgeführt wird.

Sie müssen neue Organisationseinheiten (OUs) in der AD LDSAnwendungsverzeichnispartition erstellen.

Wie gehen Sie vor?

A. Verwenden Sie das Snap-In Active Directory-Benutzer und -Computer, umOrganisationseinheiten in der AD LDS Anwendungsverzeichnispartition zu erstellen.

B. Verwenden Sie das Snap-In ADSI-Editor, um Organisationseinheiten in der AD LDSAnwendungsverzeichnispartition zu erstellen.

C. Verwenden Sie den Befehl Dsadd OU „DN der Organisationseinheit“ , um dieOrganisationseinheiten zu erstellen.

D. Verwenden Sie den Befehl Dsmod OU „DN der Organisationseinheit“ , um dieOrganisationseinheiten zu erstellen.

Correct Answer: BSection: Configuring Server RolesExplanation

Explanation/Reference:Erläuterungen:Der Active Directory-Dienstschnittstellen-Editor (ADSI Edit) ist ein LDAP-Editor (LightweightDirectory Access Protocol), mit dem Sie Objekte und Attribute in den Active Directory-Domänendiensten (Active Directory Domain Services, AD DS) und anderen LDAP-basiertenVerzeichnissen verwalten können.

Mit ADSI Edit (adsiedit.msc) wird eine Ansicht der einzelnen Objekte und Attribute in einerActive Directory-Gesamtstruktur bereitgestellt. Mithilfe von ADSI Edit können Sie dieAttribute anfragen, anzeigen und bearbeiten, die nicht über andere AD DS-MMC-Snap-Ins(Microsoft Management Console) angezeigt werden: Active Directory-Benutzer und -Computer, Active Directory-Standorte und -Dienste, Active Directory-Domänen und -Vertrauensstellungen sowie Active Directory-Schema.

QUESTION 5Sie sind als Netzwerkadministrator für das Unternehmen CertBase tätig. Das Unternehmenhat eine Hauptgeschäftsstelle und eine Zweigstelle.

Sie stellen einen schreibgeschützten Windows Server 2008 Domänencontroller (RODC) inder Zweigstelle auf.

Sie müssen sicherstellen, dass die Benutzer den schreibgeschützten Domänencontroller fürdie Anmeldung an der Domäne verwenden können.

Wie gehen Sie vor?

A. Installieren Sie einen zweiten schreibgeschützten Domänencontroller für die Zweigstelle.B. Konfigurieren Sie einen neuen Bridgeheadserver in der Hauptgeschäftsstelle.C. Konfigurieren Sie eine neue Kennwortreplikationsrichtlinie für den schreibgeschützten

Domänencontroller (RODC).D. Verwenden Sie die Konsole Active Directory-Standorte und –Dienste und verringern Sie

das Replikationsintervall für alle Verbindungsobjekte.

Correct Answer: CSection: Configuring Server RolesExplanation

Explanation/Reference:Erläuterungen:Sie müssen bei der ersten Bereitstellung eines schreibgeschützten Domänencontrollers dieKennwortreplikationsrichtlinie auf dem beschreibbaren Domänencontroller konfigurieren,der als Replikationspartner des RODC verwendet wird. Die Kennwortreplikationsrichtliniefungiert als Zugriffssteuerungsliste (Access Control List, ACL). Mit ihr wird bestimmt, ob einKennwort von einem RODC zwischengespeichert werden darf. Wenn ein RODC eineAnmeldeanforderung eines authentifizierten Benutzers oder Computers erhält, bestimmt ermit Bezug auf die Kennwortreplikationsrichtlinie, ob das Kennwort für das Kontozwischengespeichert werden soll. Nachfolgende Anmeldungen durch dasselbe Kontokönnen dann effizienter ausgeführt werden.

QUESTION 6Sie sind als Netzwerkadministrator für das Unternehmen CertBase tätig. Das Unternehmenhat eine Hauptgeschäftsstelle und 40 Zweigstellen. Alle Unternehmensstandorte sind alsseparate Active Directory-Standorte konfiguriert.

Jede Zweigstelle verfügt über einen dedizierten schreibgeschützten Domänencontroller(RODC). In einer der Zweigstellen ist der schreibgeschützte Domänencontroller gestohlen

worden.

Sie müssen die Benutzerkonten identifizieren, die auf dem gestohlenen schreibgeschütztenDomänencontroller zwischengespeichert waren.

Welches Utility werden Sie verwenden?

A. Dsmod.exeB. Ntdsutil.exeC. Active Directory-Standorte und -DiensteD. Active Directory-Benutzer und -Computer


Explanation/Reference:Erläuterungen:Die zwischengespeicherten Benutzerkonten werden über dieKennwortreplikationsrichtlinie des schreibgeschützten Domänencontrollers definiert. DieKennwortreplikationsrichtlinie kann über die Eigenschaften des Computerkontos desRODCs eingesehen werden.


Auf einem Servercomputer mit dem Namen Server1 sind die Rolle Terminaldienste und derRollendienst Terminaldienste-Webzugriff installiert. Auf einem zweiten Server mit demNamen Server2 wird Internet Security and Acceleration (ISA) Sever 2006 ausgeführt.

Das Unternehmen plant den Einsatz eines Terminaldienstegateways auf einem neuenServer mit dem Namen Server3 und möchte den ISA Server als SSL-Endpunkt fürTerminalserververbindungen verwenden.

Sie müssen die Rolle Terminaldienstegateway für die Verwendung des ISA Servers aufServer2 konfigurieren.

Wie gehen Sie vor?

A. Konfigurieren Sie das Terminaldienstegateway für die Verwendung von HTTPS-HTTP-Bridging.

B. Konfigurieren Sie den Speicher für Verbindungsautorisierungsrichtlinien auf Server3 fürdie Verwendung von Server2 als zentralen Netzwerkrichtlinienserver.

C. Exportieren Sie das SSL-Zertifikat auf Server2 und installieren Sie es anschließend aufServer3. Konfigurieren Sie das Terminaldienstegateway für die Verwendung des SSL-Zertifikats von Server2.

D. Exportieren Sie ein selbst signiertes SSL-Zertifikat auf Server3 und installieren Sie esanschließend auf Server2. Konfigurieren Sie den ISA Server auf Server2 für dieVerwendung des SSL-Zertifikats von Server3.


Explanation/Reference:Erläuterungen:Zur Erhöhung der Sicherheit für einen TS-Gatewayserver können Sie ISA Server (MicrosoftInternet Security and Acceleration) oder ein Produkt eines Drittanbieters als SSL-Bridging-Produkt konfigurieren. Ein SSL-Bridging-Produkt kann die Sicherheit durch das Beendenvon SSL-Sitzungen, das Überprüfen von Paketen und das Wiederherstellen von SSL-Sitzungen erhöhen.

Die ISA Server-Kommunikation mit dem TS-Gatewayserver kann wie folgt konfiguriertwerden:

HTTPS-HTTPS-Bridging. Bei dieser Konfiguration initiiert der TS-Gatewayclient eineSSL-Anforderung (HTTPS) an das SSL-Bridging-Produkt. Daraufhin initiiert das SSL-Bridging-Produkt eine neue HTTPS-Anforderung an den TS-Gatewayserver, umgrößtmögliche Sicherheit zu gewährleisten. HTTPS-HTTP-Bridging. Bei dieser Konfiguration initiiert der TS-Gatewayclient eine SSL-Anforderung (HTTPS) an das SSL-Bridging-Produkt. Daraufhin initiiert das SSL-Bridging-Produkt eine neue HTTP-Anforderung an den TS-Gatewayserver.

QUESTION 8Sie sind als Netzwerkadministrator für das Unternehmen CertBase tätig. Auf einemWindows Server 2008 Computer mit dem Namen Server1 ist die Rolle Terminaldiensteinstalliert. Sie stellen eine neue Anwendung über den Server bereit.

Die Anwendung erzeugt Dateien mit der Endung .xyz.

Sie müssen sicherstellen, dass die Benutzer die Remoteanwendung durch einenDoppelklick auf Dateien mit der Endung .xyz starten können.

Wie gehen Sie vor?

A. Konfigurieren Sie den Remotedesktopclient auf den Computern der Benutzer mit einerVerbindung zu Server1.

B. Veröffentlichen Sie die Remoteanwendung über eine Remotedesktop Programm (.rdp)Datei.

C. Veröffentlichen Sie die Remoteanwendung mit Hilfe eines Windows Installer Paketes(.msi).

D. Veröffentlichen Sie die Remoteanwendung über den Terminaldienste-Webzugriff.


Explanation/Reference:Erläuterungen:Sowohl bei der Veröffentlichung aus auch bei der Zuweisung eines Windows InstallerPaketes über die Softwareinstallation im Rahmen eines Gruppenrichtlinienobjektes (GPO)können Dateierweiterungen für bestimmte Anwendung definiert werden.

QUESTION 9Sie sind als Netzwerkadministrator für das Unternehmen CertBase tätig. Sie administrierenvier Windows Server 2008 Terminalserver. Die Namen der vier Server lauten Server1,Server2, Server3 und Server4.

Sie installieren den Rollendienst Terminaldienste-Sitzungsbroker auf Server1. Nun wollenSie den Lastenausgleich für die vier Terminalserver konfigurieren.

Sie müssen sicherstellen, dass Server2 als bevorzugter Server für Terminalserversitzungendient.

Welches Utility werden Sie verwenden?

A. GruppenrichtlinienverwaltungB. TerminaldienstekonfigurationC. TerminaldiensteverwaltungD. Terminaldienstegateway-Manager

Correct Answer: BSection: Configuring Terminal ServicesExplanation

Explanation/Reference:Erläuterungen:Der TS-Sitzungsbroker ist ein Rollendienst, der folgende Funktionen bietet:

Er ermöglicht es einem Benutzer, eine Verbindung mit seiner vorhandenen Sitzung ineiner Terminalserverfarm mit Lastenausgleich wiederherzustellen. Er ermöglicht Ihnen die gleichmäßige Verteilung der Sitzungslast zwischen Servern ineiner Terminalserverfarm mit Lastenausgleich.

Der TS-Sitzungsbroker speichert Sitzungsstatusinformationen, d. h., Sitzungs-IDs, ihrezugeordneten Benutzernamen sowie den Namen des Servers, auf dem sich die einzelnenSitzungen befinden.

Wenn ein Benutzer die Verbindung mit einer Sitzung trennt (absichtlich oder aufgrund einesNetzwerkfehlers), werden die entsprechenden Anwendungen weiterhin ausgeführt. Wennein Benutzer eine Verbindung wiederherstellt, wird der TS-Sitzungsbroker abgefragt, um zubestimmen, ob dieser Benutzer über eine vorhandene Sitzung verfügt und wenn ja, aufwelchem Server in der Farm. Gibt es eine vorhandene Sitzung, leitet der TS-Sitzungsbrokerden Client auf den Terminalserver um, auf dem sich die entsprechende Sitzung befindet.

Beim Lastenausgleich des TS-Sitzungsbrokers wird der Benutzer auf den Terminalserver

mit den wenigsten Sitzungen umgeleitet, wenn der Benutzer ohne vorhandene Sitzung eineVerbindung mit einem Terminalserver in der Farm mit Lastenausgleich herstellt. (Wenn Siedie Sitzungslast zwischen leistungsstarken und weniger leistungsstarken Servern in derFarm verteilen möchten, können Sie einem Server einen relativen Sitzungslastwertzuweisen.) Wenn ein Benutzer mit einer vorhandenen Sitzung eine Verbindungwiederherstellt, wird dieser auf den Terminalserver umgeleitet, auf dem sich dieentsprechende Sitzung befindet.

Die Verwaltung des Terminaldienste-Sitzungsbrokers erfolgt über dieTerminaldienstekonfiguration.

QUESTION 10Sie sind als Netzwerkadministrator für das Unternehmen CertBase tätig. DasFirmennetzwerk besteht aus einer einzelnen Windows Server 2003 Active DirectoryDomäne mit dem Namen certbase.de.

Die Domäne enthält einen Windows Server 2008 Computer mit dem Namen Server1 undeinen Windows Server 2003 Computer mit dem Namen Server2. Auf Server1 wurde dieRolle Terminaldienste installiert. Auf Server2 wird die Terminaldienstelizenzierungausgeführt. Sie wollen den Terminaldienste-Lizenzierungsmodus pro Benutzer so konfigurieren, dassSie Berichte über die ausgestellten Lizenzen generieren können.

Wie gehen Sie vor?

A. Benennen Sie Server1 um, so dass der Computername mit dem Namen der Domäneübereinstimmt und nehmen Sie Server1 in eine Arbeitsgruppe auf.

B. Konfigurieren Sie Server1, so dass er durch die Windows Server 2003Terminaldienstelizenzierung verwaltet wird.

C. Deinstallieren Sie die Terminaldienstelizenzierung auf Server2 und installieren Sie dieentsprechende Rolle auf Server1. Konfigurieren Sie die CAL-Verwendungsberichterstellung (pro Benutzer) auf Server1.

D. Aktivieren Sie den Terminaldienstelizenzserver auf Server2.


Explanation/Reference:Erläuterungen:Unter Windows Server 2008 können Sie das Tool Terminaldienstelizenzierungs-Managerverwenden, um Berichte zu erstellen (zu generieren), mit denen Sie die Terminaldienste-Clientzugriffslizenzen (pro Benutzer) nachverfolgen können, die von einem Terminaldienste-Lizenzserver ausgestellt wurden. Windows Server 2003 pro Benutzer Zugriffslizenzenkönnen nicht nachverfolgt werden.

Im Folgenden finden Sie wichtige Überlegungen zur Nachverfolgung von undBerichterstattung zu Terminaldienste-Clientzugriffslizenzen (pro Benutzer) unter WindowsServer 2008:

Die Nachverfolgung von und Berichterstattung zu Terminaldienste-Clientzugriffslizenzen(pro Benutzer) wird nur in Szenarien mit Domänenmitgliedschaft unterstützt. Dasbedeutet, dass der Terminalserver und der Lizenzserver Mitglieder einer Domäne seinmüssen. Die Nachverfolgung von und Berichterstattung zu Terminaldienste-Clientzugriffslizenzen(pro Benutzer) wird im Arbeitsgruppenmodus nicht unterstützt. Für die Nachverfolgung von und Berichterstattung zu Terminaldienste-Clientzugriffslizenzen (pro Benutzer) werden die Active Directory-Domänendienste(Active Directory Domain Services, AD DS) verwendet. Die Informationen zurTerminaldienste-Clientzugriffslizenz (pro Benutzer), die für einen Benutzer ausgestelltwurde, werden als Teil des Benutzerkontos in AD DS gespeichert. AD DS kann auf Windows Server 2008 oder Windows Server 2003 basieren.Das Computerkonto für den Lizenzserver muss Mitglied der Gruppe Terminalserver-Lizenzserver in der Domäne sein. Wenn der Lizenzserver auf einem Domänencontrollerinstalliert ist, muss das Netzwerkdienstkonto ebenfalls Mitglied der GruppeTerminalserver-Lizenzserver sein.

QUESTION 11Sie sind als Netzwerkadministrator für das Unternehmen CertBase tätig. Das Unternehmensetzt die Terminaldienste ein.

Sie planen die Installation eines Updates für eine Anwendung mit dem Namen Lobapp.exe,die über einen Terminalserver bereitgestellt wird. Sie finden auf dem Terminalservermehrere Instanzen des Prozesses Lobapp.exe, die von Benutzern hinterlassen wurden, dieihre Sitzung mit dem Server getrennt haben.

Sie müssen alle Instanzen des Prozesses Lobapp.exe terminieren, um die Aktualisierungder Anwendung durchführen zu können.

Welche zwei Möglichkeiten stehen Ihnen zur Verfügung? (Jede korrekte Antwort stellt einevollständige Lösung dar. Wählen Sie zwei Antworten.)

A. Verwenden Sie das Commandlet Get-Process auf dem Terminalserver.B. Führen Sie den Befehl Tskill lobapp /a auf dem Terminalserver aus.C. Verwenden Sie die Terminaldiensteverwaltung und beenden Sie alle Instanzen von

Lobapp.exe.D. Führen Sie den Befehl Tasklist /fi „IMAGENAME eq lobapp.exe“ auf dem

Terminalserver aus.

Correct Answer: BCSection: Configuring Terminal ServicesExplanation

Explanation/Reference:Erläuterungen:Sie können einen Prozess beenden, der in einer Benutzersitzung ausgeführt wird, indemSie in Terminaldiensteverwaltung die Aktion Prozess beenden verwenden. Alternativkönnen Sie das Befehlszeilentool TSKill.exe verwenden, um einen in einer Benutzersitzungausgeführten Prozess zu beenden.

Falsche Antworten:A: Das Powershell Commandlet Get-Process listet die aktuell ausgeführten Prozesse

auf. D:Das Befehlszeilenprogramm Tasklist listet die laufenden Anwendungen und

Prozesse auf.

QUESTION 12Sie sind als Netzwerkadministrator für das Unternehmen CertBase tätig. DasFirmennetzwerk besteht aus einer einzelnen Active Directory Domäne mit dem Namencertbase.de. Das Unternehmen setzt die Terminaldienste ein.

Sie konfigurieren den Drucker der Hauptgeschäftsstelle auf dem Terminalserver alsStandarddrucker.

Die IT-Richtlinien des Unternehmens schreiben vor, dass alle Clientcomputer den folgendenAnforderungen entsprechen müssen:

Der Drucker der Hauptgeschäftsstelle muss auf allen Clientcomputern alsStandarddrucker festgelegt sein. Die Benutzer müssen während der Terminalserversitzungen in der Lage sein, auf ihrenlokalen Drucker zuzugreifen.

Sie müssen ein neues Gruppenrichtlinienobjekt (GPO) erstellen und die Richtlinien imAbschnitt Druckerumleitung des Knotens Terminaldienste konfigurieren, um die Vorgabenumzusetzen.

Wie gehen Sie vor?

A. Deaktivieren Sie die Richtlinie Zuerst Easy Print-Druckertreiber der Terminaldienst everwenden . Wenden Sie das GPO auf den Terminalserver an.

B. Deaktivieren Sie die Richtlinie Zuerst Easy Print-Druckertreiber der Terminaldienst everwenden . Wenden Sie das GPO auf alle Clientcomputer an.

C. Aktivieren Sie die Richtlinie Standardclientdrucker nicht als Standarddrucker in einerSitzung festlegen . Wenden Sie das GPO auf den Terminalserver an.

D. Aktivieren Sie die Richtlinie Standardclientdrucker nicht als Standarddrucker in einerSitzung festlegen . Wenden Sie das GPO auf alle Clientcomputer an.


Explanation/Reference:Erläuterungen:Mit Hilfe der Richtlinie Standardclientdrucker nicht als Standarddrucker in einerSitzung festlegen können Sie festlegen, ob während einer Terminaldienstesitzung derStandarddrucker des Clients automatisch als Standarddrucker der Sitzung genommen wird.

Standardmäßig legen die Terminaldienste den Standarddrucker des Clients alsStandarddrucker einer Terminaldienstesitzung fest. Sie können diese Richtlinieneinstellungverwenden, um dieses Verhalten außer Kraft zu setzen.

Wenn Sie die Richtlinieneinstellung aktivieren, wird der auf dem Remotecomputerangegebene Drucker zum Standarddrucker.

Wenn Sie diese Richtlinieneinstellung deaktivieren, ordnet der Terminalserver denStandarddrucker des Clients automatisch zu und legt ihn bei Verbindungsherstellung alsStandarddrucker fest.

Falls Sie diese Richtlinieneinstellung nicht konfigurieren, ist der Standarddrucker aufGruppenrichtlinienebene nicht festgelegt. Ein Administrator kann jedoch denStandarddrucker für die Clientsitzungen mit dem Terminaldienste-Konfigurationsprogrammfestlegen.

Mit der Richtlinie Zuerst Easy Print-Druckertreiber der Terminaldienst e verwendenkönnen Sie angeben, ob zuerst der Easy Print-Druckertreiber der Terminaldiensteverwendet wird, um alle Clientdrucker zu installieren.

Wenn Sie diese Richtlinieneinstellung aktivieren oder nicht konfigurieren, versucht derTerminalserver zuerst, den Easy Print-Druckertreiber der Terminaldienste zu verwenden,um alle Clientdrucker zu installieren. Falls der Easy Print-Druckertreiber der Terminaldiensteaus einem bestimmten Grund nicht verwendet werden kann, wird ein Druckertreiber desTerminalservers verwendet, der für den jeweiligen Clientdrucker geeignet ist. Wenn derTerminalserver keinen Druckertreiber aufweist, der für den Clientdrucker geeignet ist, ist derClientdrucker für die Terminaldienstesitzung nicht verfügbar.

Wenn Sie diese Richtlinieneinstellung deaktivieren, versucht der Terminalserver, einengeeigneten Druckertreiber für die Installation des Clientdruckers zu finden. Wenn derTerminalserver keinen Druckertreiber aufweist, der für den Clientdrucker geeignet ist,versucht der Server, den Easy Print-Druckertreiber der Terminaldienste zum Installieren desClientdruckers zu verwenden. Wenn der Easy Print-Druckertreiber der Terminaldienste auseinem bestimmten Grund nicht verwendet werden kann, ist der Clientdrucker für dieTerminaldienstesitzung nicht verfügbar.

Hinweis: Wenn die Richtlinieneinstellung "Clientdruckerumleitung nicht zulassen" aktiviertist, wird die Richtlinieneinstellung "Zuerst Easy Print-Druckertreiber der Terminaldiensteverwenden" ignoriert.

QUESTION 13Sie sind als Netzwerkadministrator für das Unternehmen CertBase tätig. Sie installieren dieServerrolle Windows-Bereitstellungsdienste (WDS) auf einem Windows Server 2008Servercomputer.

Bei dem Versuch mehrteilige Abbilddateien auf den Bereitstellungsdiensteserver zu laden,erhalten Sie eine Fehlermeldung.

Sie müssen sicherstellen, dass die Abbilddateien erfolgreich auf den Server geladenwerden können.

Wie gehen Sie vor?

A. Erteilen Sie der Gruppe Authentifizierte Benutzer Vollzugriff auf das VerzeichnisREMINST.

B. Führen Sie an der Eingabeaufforderung des Servers mit den Windows-Bereitstellungsdiensten den Befehl wdsutil /convert aus.

C. Führen Sie an der Eingabeaufforderung des Servers mit den Windows-Bereitstellungsdiensten den Befehl ImageX /export aus.

D. Führen Sie an der Eingabeaufforderung des Servers mit den Windows-Bereitstellungsdiensten für jede Komponentendatei individuell den Befehl wdsutil /add-image /imagefile:\\Server\Freigabe\Sources\install. wim /image type:install aus.


Explanation/Reference:Erläuterungen:Bei einem mehrteiligen Abbild (spanned Image) handelt es sich um Abbild, das bei derErstellung mit dem Befehl Imagex /split in mehrere Dateien aufgeteilt wurde. Wir können dieTeile in einer neuen .wim Datei zusammenführen. Hierzu kann der Befehl ImageX /exportsource.wim 2 destination.wim "Neues Image" verwendet werden.

QUESTION 14Sie sind als Netzwerkadministrator für das Unternehmen CertBase tätig. Sie administrierenzwei Servercomputer mit den Namen FC1 und FC2. Auf beiden Servern wird dasBetriebssystem Windows Server 2008 Enterprise Edition ausgeführt.

Sie installieren auf beiden Servern das Feature Failover-Clusterunterstützung undkonfigurieren einen zwei-Knoten Cluster.

Der Cluster stellt eine Anwendung mit dem Namen App1 bereit. Die Geschäftszeiten desUnternehmens sind täglich von 09:00 bis 17:00 Uhr. Die Anwendung App1 muss währenddieser Zeiten zur Verfügung stehen.

Sie konfigurieren FC1 als bevorzugten Besitzer von App1 und müssen das Failbackwährend der Geschäftszeiten verhindern.

Wie gehen Sie vor?

A. Bearbeiten Sie die Failover-Einstellungen und legen Sie den Failover-Zeitraum mit 8Stunden fest.

B. Konfigurieren Sie die Option Failback zulassen , so dass das Failback zwischen 17:00und 09:00 Uhr zugelassen wird.

C. Bearbeiten Sie die Failover-Einstellungen und deaktivieren Sie die Option Failbackzulassen .

D. Bearbeiten Sie die Failover-Einstellungen und legen Sie die Option Maximal zulässigeFehler im angegebenen Zeitraum mit 0 fest.

Correct Answer: BSection: Deploying and Monitoring Servers

Explanation

Explanation/Reference:Erläuterungen:Sie können die Failover- und Failbackeinstellungen oder die Einstellungen für bevorzugteBesitzer anpassen, um die Reaktion des Clusters auf einen Ausfall einer bestimmtenAnwendung bzw. eines bestimmten Diensts zu steuern. Der Failback auf den bevorzugtenBesitzer kann auf einen konfigurierbaren Zeitraum eingeschränkt werden.

QUESTION 15Sie sind als Netzwerkadministrator für das Unternehmen CertBase tätig. Das Netzwerkenthält einen Servercomputer auf dem Windows Server 2008 und Microsoft Hyper-Vausgeführt wird.

Sie administrieren zwei virtuelle Microsoft Windows Server 2003 Computer. Sie müssen dievirtuellen Maschinen so konfigurieren, dass Sie zu einem vorherigen Status zurückkehrenkönnen.

Wie gehen Sie vor?

A. Führen Sie jeweils eine Sicherung aller Volumes der beiden virtuellen Maschinen durch. B. Führen Sie jeweils eine Sicherung der Systemstatusdateien auf den beiden virtuellen

Maschinen durch. C. Kopieren Sie die .vmc Dateien der beiden virtuellen Maschinen in ein

Sicherungsverzeichnis.D. Verwenden Sie die Konsole Hyper-V Manager und erstellen Sie jeweils einen Snapshot

der beiden virtuellen Maschinen.


Explanation/Reference:Erläuterungen:Snapshots sind als Funktionalität in Hyper-V für alle Gastsysteme verfügbar. Im Unterschiedzu Virtual Server werden Snapshots im laufenden Betrieb erstellt - das Gastsystem ist ohneUnterbrechung verfügbar.

QUESTION 16Sie sind als Netzwerkadministrator für das Unternehmen CertBase tätig. DasFirmennetzwerk enthält einen Windows Server 2008 Computer mit der Rolle Webserver(IIS). Das Unternehmen hostet eine öffentliche Website.

Sie stellen einen ungewöhnlich hohen Datenverkehr für die Website fest. Sie müssen dieQuelle für den Datenverkehr ermitteln.

Wie gehen Sie vor?

A. Aktivieren Sie die Featureberechtigung Skript in den Handlerzuordnungen.B. Führen Sie den Befehl Netstat -an auf dem Server aus.

C. Erstellen Sie in der Ereignisanzeige eine benutzerdefinierte Ansicht, um das ProtokollSicherheit nach den gewünschten Informationen zu filtern.

D. Verwenden Sie den Internetinformationsdienste-Manager und aktivieren Sie dieProtokollierung für die Website. Filtern Sie die Protokolldateien nach der Quell-IP-Adresse.


Explanation/Reference:Erläuterungen:Der Befehl Netstat –an listet alle Verbindungen und abhörenden Ports auf. Die Option –nstellt sicher, dass die Adressen in nummerischer Notation angezeigt werden und keinzeitaufwändiges DNS-Reverse-Lookup durchgeführt wird. In der Ausgabe des Befehlskönnen das Protokoll, die lokale Adresse, die Remoteadresse und der Status derVerbindung eingesehen werden.

QUESTION 17Sie sind als Netzwerkadministrator für das Unternehmen CertBase tätig. Sie installieren dieServerrolle Webserver (IIS) und das Feature SMTP-Server auf einem Windows Server 2008Computer.

Sie müssen den SMTP-Server für die Weiterleitung von E-Mail Nachrichten an denMailserver Ihres Internet Service Providers (ISP) konfigurieren.

Wie gehen Sie vor?

A. Konfigurieren Sie die Einstellung Smarthost und legen Sie die Verwendung des lokalenComputers fest.

B. Konfigurieren Sie die Einstellung Smarthost und legen Sie die Verwendung desMailservers Ihres ISP fest.

C. Führen Sie den Befehl Appcmd /delivery method:PickupDirectoryFromIis aus.D. Konfigurieren Sie die Übermittlungsoptionen des SMTP-Servers und aktivieren Sie die

Option Direkte Übermittlung versuchen, bevor zum Smarthost gesendet wird .

Correct Answer: BSection: Configuring a Web Services InfrastructureExplanation

Explanation/Reference:Erläuterungen:Sie können alle ausgehenden Nachrichten für Remotedomänen über einen Smarthostrouten, anstatt sie direkt an die Domäne zu senden. Auf diese Weise können Nachrichtenüber eine Verbindung geroutet werden, die entweder schneller oder kostengünstiger ist alsandere Routen. Der Smarthost ähnelt der Option Routingdomäne für Remotedomänen. DerUnterschied besteht darin, dass alle ausgehenden Nachrichten an diesen Server geroutetwerden, nachdem ein Smarthost definiert wurde. Bei Routingdomänen werden nurNachrichten für die Remotedomäne an einen bestimmten Server geroutet.

Vergewissern Sie sich, dass der angegebene Smarthost für Sicherheit optimiert wurde undvon einer vertrauenswürdigen Stelle verwaltet wird, besonders, wenn vertraulicheInformationen weitergeleitet werden.

Wenn Sie einen Smarthost einrichten, können Sie auch weiterhin eine andere Route füreine Remotedomäne festlegen. Die Einstellung für die Routingdomäne überschreibt dieSmarthosteinstellung.

Geben Sie einen vollständig qualifizierten Domänennamen oder eine IP-Adresse ein, umden Smarthost zu bezeichnen. Wenn Sie eine IP-Adresse verwenden, schließen Sie diesein eckige Klammern [ ] ein, um die Systemleistung zu verbessern. Der SMTP-Dienst suchtzuerst nach einem Namen und dann nach einer IP-Adresse. Die Klammern identifizierenden Wert als eine IP-Adresse. Daher wird das DNS-Lookup übergangen.

QUESTION 18Sie sind als Netzwerkadministrator für das Unternehmen CertBase tätig. Sie installieren denRollendienst FTP-Server auf einem Windows Server 2008 Computer.

Die Benutzer erhalten bei dem Versuch Dateien auf die FTP-Site zu laden eineFehlermeldung.

Sie müssen es authentifizierten Benutzern ermöglichen, Dateien auf die FTP-Site zu laden.

Wie gehen Sie vor?

A. Führen Sie den Befehl ftp –a 192.168.1.200 auf dem Windows Server 2008 Computeraus.

B. Führen Sie den Befehl appcmd unlock config auf dem Windows Server 2008Computer aus.

C. Konfigurieren Sie Schreibrechte für die FTP-Site. Konfigurieren Sie die NTFS-Berechtigungen für das Basisverzeichnis der FTP-Site und erteilen Sie der Gruppeauthentifizierte Benutzer die Berechtigung Ändern – Zulassen .

D. Konfigurieren Sie Schreibrechte für die FTP-Site. Konfigurieren Sie die NTFS-Berechtigungen für das Basisverzeichnis der FTP-Site und erteilen Sie der Gruppeauthentifizierte Benutzer die Berechtigung Attribute schreiben – Zulassen .

Correct Answer: CSection: Configuring a Web Services InfrastructureExplanation

Explanation/Reference:Erläuterungen:In den Eigenschaften der FTP-Site müssen zunächst die allgemeinen Berechtigungenkonfiguriert werden. Auf dem Register Basisverzeichnis stehen folgende Optionen zurVerfügung:

LesenWählen Sie diese Option aus, um den Benutzern das Lesen oder den Download vonDateien zu ermöglichen, die in einem Basisverzeichnis oder einem virtuellen Verzeichnisgespeichert sind.

SchreibenWählen Sie diese Option aus, um Benutzern das Hochladen von Dateien in dasentsprechende Verzeichnis auf dem Server zu ermöglichen. Sie solltenSchreibberechtigungen nur für Verzeichnisse aktivieren, in die das Übertragen von Dateiendurch Benutzer möglich sein soll.

Besuche protokollierenWählen Sie diese Option aus, um Zugriffe auf dieses Verzeichnis in einer Protokolldateiaufzuzeichnen. Die Besuche werden nur protokolliert, wenn die Protokollierung für die FTP-Site aktiviert ist. Die Protokollierung ist standardmäßig aktiviert.

Im Anschluss müssen die NTFS-Berechtigungen für das Basisverzeichnis der FTP-Sitekonfiguriert werden, um einzelnen Benutzern oder Gruppen den Zugriff zu erteilen.

Exam E

QUESTION 1Sie sind als Netzwerkadministrator für das Unternehmen CertBase tätig. Sie administriereneinen Windows Server 2008 Computer auf dem die Serverrolle Webserver (IIS) installiertist.

Der Server hostet eine Website, die ausschließlich für die Führungskräfte desUnternehmens freigegeben ist. Die Firmensicherheitsrichtlinien sehen vor, dass dieFührungskräfte Benutzerzertifikate für den Zugriff auf die Website verwenden müssen.

Sie müssen sicherstellen, dass die Führungskräfte ausschließlich unter Verwendung ihrerinstallierten Zertifikate Zugriff auf die sichere Website erhalten können.

Wie gehen Sie vor?

A. Konfigurieren Sie die SSL-Einstellungen der Website und aktivieren Sie die Option 128-Bit-SSL erforderlich .

B. Konfigurieren Sie die Option Clientzertifikate in den SSL-Einstellungen der Website undlegen Sie die Einstellung Akzeptieren fest.

C. Konfigurieren Sie die Option Clientzertifikate in den SSL-Einstellungen der Website undlegen Sie die Einstellung Erforderlich fest.

D. Konfigurieren Sie eine Zertifikatsvertrauensliste und schließen Sie das Zertifikat derZertifizierungsstelle (CA) ein, über die die Benutzerzertifikate der Führungskräfteausgestellt wurden.


Explanation/Reference:Erläuterungen:Sie können die Seite SSL-Einstellungen verwenden, um die Datenverschlüsselung fürÜbertragungen zwischen dem Server und den Clients zu verwalten. Sie können außerdemdurch Auswahl von Ignorieren, Akzeptieren oder Erforderlich für Zertifikate festlegen, dassein Client identifiziert werden muss, bevor der Zugriff auf Inhalte gewährt wird.

Wählen Sie die Option Erforderlich für Clientzertifikate aus, um festzulegen, dassZertifikate die Clientidentität überprüfen müssen, bevor dem Client der Zugriff auf dieInhalte gewährt wird.

QUESTION 2Sie sind als Netzwerkadministrator für das Unternehmen CertBase tätig. DasFirmennetzwerk besteht aus einer einzelnen Active Directory Domäne mit dem Namencertbase.de. Auf allen Servercomputern wird das Betriebssystem Windows Server 2008ausgeführt.

Das Netzwerk enthält einen Webserver mit dem Namen Web1. Die Domänenbenutzerverwenden den URL http://web1, um auf den Server zuzugreifen.

Sie konfigurieren ein selbstsigniertes Zertifikat für Web1 und aktivieren die SSLVerschlüsselung. Die Benutzer berichten anschließend, dass sie eine Warnung erhalten,wenn sie den URL https://web1 verwenden, um eine Verbindung mit dem Webserverherzustellen.

Sie müssen sicherstellen, dass die Benutzer Verbindungen mit Web1 herstellen können,ohne eine Warnung zu erhalten.

Wie gehen Sie vor?

A. Nehmen Sie den URL https://web1 auf allen Computern der Domäne in die Liste dervertrauenswürdigen Sites auf.

B. Öffnen Sie die Konsole Zertifikate auf Web1. Exportieren Sie das selbstsignierteZertifikat in eine .cer Datei und installieren Sie das Zertifikat auf allen Computern derDomäne.

C. Nehmen Sie Web1 in die Active Directory Domäne auf und stellen Sie ein neuesselbstsigniertes Zertifikat aus. Weisen Sie die Benutzer an, den URL https://web1.certbase.de für Verbindungen mit Web1 zu verwenden.

D. Erstellen Sie in der DNS Zone certbase.de einen Host (A) Eintrag für Web1. Stellen Sieein neues selbstsigniertes Zertifikat aus. Weisen Sie die Benutzer an, den URL https://web1.certbase.de für Verbindungen mit Web1 zu verwenden.

Correct Answer: BSection: Configuring Security for Web ServicesExplanation

Explanation/Reference:Erläuterungen:Im Dialogfeld Selbstsigniertes Zertifikat erstellen des Internetinformationsdienste-Managerskönnen Sie Zertifikate für Testumgebungen von Servern und für die Problembehandlung beiZertifikaten von Drittanbietern erstellen. Die mit diesem Feature erstellten Zertifikatestammen nicht von einer vertrauenswürdigen Zertifizierungsstelle (CA) und solltengrundsätzlich nur verwendet werden, um die Datenübertragung zwischen dem Server undden Clients in einer Testumgebung zu sichern. Um Warnungsmeldungen auf denClientcomputern zu vermeiden, muss das Zertifikat auf den Clientcomputern in denSpeicher vertrauenswürdige Stammzertifizierungsstellen importiert werden.

QUESTION 3Sie sind als Netzwerkadministrator für das Unternehmen CertBase tätig. Sie administriereneinen Windows Server 2008 Computer auf dem die Serverrolle Webserver (IIS) installiertist.

Der Server hostet mehrere Websites.

Sie müssen eine der Websites so konfigurieren, dass nicht mehr benötigter Speicherautomatisch freigegeben wird. Sie wollen Ihr Ziel erreichen, ohne die anderen Websites zubeeinflussen.

Wie gehen Sie vor?

A. Erstellen Sie eine neue Website und bearbeiten Sie die Bindungen der Website.B. Erstellen Sie einen neuen Anwendungspool und verbinden Sie die Website mit dem

Anwendungspool.C. Erstellen Sie in neues virtuelles Verzeichnis und bearbeiten Sie die hinterlegten

Zugangsdaten für den physikalischen Pfad des virtuellen Verzeichnisses.D. Bearbeiten Sie die Anwendungspoolstandardwerte und bearbeiten Sie die Optionen für

die Wiederverwendung.


Explanation/Reference:Erläuterungen:Wir können die Optionen für die Wiederverwendung eines Anwendungspools bearbeiten,um die automatische Freigabe von Speicher bei überschreiten eines Grenzwertes zukonfigurieren. Um die anderen Website nicht zu beeinflussen, darf der Anwendungspool nurvon der einen Website verwendet werden.

QUESTION 4Sie sind als Netzwerkadministrator für das Unternehmen CertBase tätig. Sie administriereneinen Windows Server 2008 Computer mit dem Namen Server1. Auf Server1 ist dieServerrolle Webserver (IIS) installiert.

Das Netzwerk enthält ein SMTP-Gateway, das mit dem Internet verbunden ist. Die interneFirewall blockiert Verbindungen über Port 25 TCP für alle Computer des Netzwerks, außerfür das SMTP-Gateway.

Sie konfigurieren das SMTP-Gateway für die Weiterleitung (Relay) von E-Mail Nachrichtenvon Server1. Sie müssen eine Website auf Server1 so konfigurieren, dass E-MailNachrichten an Internetnutzer versendet werden können.

Wie gehen Sie vor?

A. Installieren Sie auf Server1 das Feature SMTP-Server.B. Konfigurieren Sie auf Server1 das Feature SMTP-E-Mail der Website.C. Erstellen Sie auf einem internen DNS-Server einen Mail Exchange (MX) Eintrag für

Server1.D. Erstellen Sie auf einem internen DNS-Server einen Mail Exchange (MX) Eintrag für das

SMTP-Gateway.


Explanation/Reference:Erläuterungen:Auf der Featureseite SMTP E-mail können Sie die Übermittlung von E-Mail-Nachrichten ausAnwendungen konfigurieren, die die System.Net.Mail-API verwenden. Sie können dieAbsender-E-Mail-Adresse für ausgehende E-Mail-Nachrichten festlegen und entscheiden,

ob diese direkt an einen Online-SMTP-Server gesendet oder auf dem Datenträgergespeichert werden, von wo aus sie für die spätere Übermittlung abgerufen werden können.In unserem Fall muss das SMTP-Gateway als Online-SMTP-Server konfiguriert werden.

QUESTION 5Sie sind als Netzwerkadministrator für das Unternehmen CertBase tätig. Sie administriereneinen Windows Server 2008 Computer mit dem Namen FTPSrv1.

Die Firmensicherheitsrichtlinien erfordern, dass der FTP-Serverdienst nur dann verfügbarist, wenn er von autorisierten Projekten benötigt wird.

Sie müssen sicherstellen, dass der FTP-Serverdienst nach einem Neustart desServercomputers nicht verfügbar ist.

Wie gehen Sie vor?

A. Führen Sie auf FTPSrv1 den Befehl iisreset.exe aus.B. Führen Sie auf FTPSrv1 den Befehl net stop msftpsvc aus.C. Führen Sie auf FTPSrv1 das Powershell Commandlet suspend-service msftpsvc aus.D. Führen Sie auf FTPSrv1 den Befehl wmic /node:FTPSrv1 Service Where

Caption=“FTP-Publishingdienst“ CALL ChangeStartMode Disabled aus.


Explanation/Reference:Erläuterungen:Um sicherzustellen, dass der FTP-Serverdienst nach einem Neustart des Computers nichtzur Verfügung steht, müssen wir den FTP-Publishingdienst deaktivieren. Antwort D zeigt diekorrekte Syntax, um den Dienst über das Windows Management InstrumentationCommandline (WMIC) Tool zu deaktivieren.

QUESTION 6Sie sind als Netzwerkadministrator für das Unternehmen CertBase tätig. DasFirmennetzwerk enthält einen Windows Server 2008 Computer auf dem die ServerrolleWebserver (IIS) installiert ist.

Sie müssen die Secure Socket Layer (SSL) Verschlüsselung für die Default Websiteaktivieren.


A. Beziehen und importieren Sie ein Serverzertifikat mit Hilfe der KonsoleInternetinformationsdienste-Manager.

B. Verwenden Sie die Aktion Schlüssel generieren im Dialog Computerschlüssel derDefault Website.

C. Verwenden Sie die Konsole Internetinformationsdienste-Manager und konfigurieren SieBindungen an das HTTPS Protokoll für die Default Website.

D. Verwenden Sie den Server-Manager und installieren Sie den DienstDigestauthentifizierung der Rolle Webserver (IIS).

Correct Answer: ACSection: Configuring Security for Web ServicesExplanation

Explanation/Reference:Erläuterungen:Aktivieren Sie SSL (Secure Sockets Layer), um zwischen einem Webserver und einemClient gesendete Daten zu verschlüsseln. Für die Aktivierung von SSL müssen Sie eingültiges Serverzertifikat anfordern und installieren. Sie können ein Serverzertifikat von einerZertifizierungsstelle (Certification Authority, CA) erhalten, bei der es sich um eine interneWindows-Domänenzertifizierungsstelle oder um eine vertrauenswürdige öffentlicheDrittanbieterzertifizierungsstelle handeln kann. Sie können zur Problembehandlung, zumTesten oder zur Anwendungsentwicklung auch ein selbstsigniertes Serverzertifikat erstellen.Nachdem Sie das Serverzertifikat erhalten haben, müssen Sie es installieren und dasHTTPS-Protokoll an die Website binden.

QUESTION 7Sie sind als Netzwerkadministrator für das Unternehmen CertBase tätig. Sie installieren dieServerrolle Webserver (IIS) auf einem Windows Server 2008 Computer. Sie konfiguriereneine Website mit dem Namen certbase.de und eine Anwendung mit dem Namen Acctg aufdem Webserver.

Die Kapazität des Datenträgers, auf dem die Anwendungsdateien gespeichert sind, istnahezu erschöpft. Sie verschieben die Dateien der Anwendung Acctg auf einen anderenDatenträger des Webservers. Die aktuelle Konfiguration der Anwendung wird in der Tabellegezeigt (klicken Sie auf die Schaltfläche Zeichnung).

Die Benutzer berichten, dass ihnen der Zugriff auf die Anwendung nicht mehr möglich ist.Sie müssen sicherstellen, dass die Benutzer die Anwendung verwenden können.

Welchen Befehl werden Sie auf dem Server ausführen?

Exhibit:

A. Appcmd add app /site.name: certbase /path:/Acctg /physicalPath:d:\AcctgB. Appcmd add app /site.name: certbase /path:/Acctg /physicalPath:f:\AcctgC. Appcmd set app /site.name: certbase /path:/Acctg /physicalPath:d:\AcctgD. Appcmd set app /site.name: certbase /path:/Acctg /physicalPath:f:\Acctg



Durch das Verschieben der Inhaltsdateien hat sich der physikalische Pfad der Anwendunggeändert. Antwort D zeigt die korrekte Syntax, um den physikalischen Pfad derbestehenden Anwendung mit Hilfe des Befehlszeilenprogramms Appcmd.exe anzupassen.

QUESTION 8Sie sind als Netzwerkadministrator für das Unternehmen CertBase tätig. DasFirmennetzwerk besteht aus einer einzelnen Active Directory Domäne mit dem Namencertbase.de. Auf allen Clientcomputern ist das Betriebssystem Windows XP ProfessionalService Pack 2 (SP2) installiert. Das Netzwerk enthält einen Windows Server 2008 Computer mit dem Namen Server1. AufServer1 sind die Serverrolle Terminaldienste und der Rollendienst Terminaldienste-Webzugriff installiert.

Sie installieren und veröffentlichen eine Anwendung mit dem Namen TimeReport aufServer1. Der Rollendienst Terminaldienste-Webzugriff verwendet die Active Directory-Domänendienste (AD DS) und ist für die Authentifizierung auf Netzwerkebene aktiviert.

Sie müssen sicherstellen, dass die Benutzer die neue Anwendung TimeReport über dieWebseite Terminaldienste-Webzugriff öffnen können.

Wie gehen Sie vor?

A. Deaktivieren Sie die Veröffentlichung der Remoteanwendung TimeReport im ActiveDirectory.

B. Installieren Sie die Remotedesktop-Clientsoftware in der Version 6.1 auf allenClientcomputern.

C. Veröffentlichen Sie die Anwendung TimeReport auf Server1 als Windows Installer Paketund verteilen Sie das Windows Installer Paket an die Benutzer.

D. Installieren Sie auf Server1 den Rollendienst Terminaldienstegateway und passen Siedie Konfiguration der veröffentlichten Remoteanwendung an die geänderte Infrastrukturan.


Explanation/Reference:Erläuterungen:TS Web Access ist ein Rollendienst, der den Benutzern über einen Webbrowser den Zugriffauf RemoteApp-Programme und auf einen Link zum Terminalserverdesktop ermöglicht.Darüber hinaus umfasst TS Web Access das Feature Remotedesktop-Webverbindung, dasden Benutzern das Herstellen einer Remoteverbindung mit dem Desktop jedes Computersermöglicht, auf dem sie über Remotedesktopzugriff verfügen.

Mit TS Web Access können Benutzer eine Website besuchen (entweder über das Internetoder über das Intranet), um auf eine Liste verfügbarer RemoteApp-Programme zuzugreifen.Zum Starten eines RemoteApp-Programms müssen Sie einfach auf das Programmsymbolklicken.

Wenn ein RemoteApp-Programm gestartet wird, wird auf dem Terminalserver, der das

RemoteApp-Programm hostet, eine Terminaldienstesitzung gestartet.

Für die Unterstützung von Remoteanwendungen und Authentifizierung auf Netzwerkebeneist der Remotedesktopverbindungsclient in der Version 6.1 erforderlich.

QUESTION 9Sie sind als Netzwerkadministrator für das Unternehmen CertBase tätig. DasFirmennetzwerk besteht aus einer einzelnen Active Directory Domäne. Auf allenServercomputern ist das Betriebssystem Windows Server 2008 installiert.

Auf einem Servercomputer mit dem Namen Server1 ist der RollendienstTerminaldienstegateway (TS Gateway) installiert. Die Rolle Terminalserver ist auf zweiServern mit den Namen Server2 und Server3 installiert. Server2 und Server3 sind in einerTerminalserverfarm mit dem Namen TSLoad für den Netzwerklastenausgleich konfiguriert.

Sie installieren den Terminaldienste-Sitzungsbroker auf einem neuen Servercomputer mitdem Namen Server4.

Sie müssen Server2 und Server3 für die Verwendung von Server4 als Sitzungsbrokerkonfigurieren.

Wie gehen Sie vor?

A. Konfigurieren Sie Server2 und Server3, so dass der RollendienstTerminaldienstegateway verwendet wird, um eine Verbindung mit dem Terminaldienste-Sitzungsbroker herzustellen.

B. Erstellen Sie ein neues Gruppenrichtlinienobjekt (GPO), dass Server4 als Sitzungsbrokerfür Server2 und Server3 zuweist. Wenden Sie das GPO auf Server2 und Server3 an.

C. Konfigurieren Sie ein Gruppenrichtlinienobjekt (GPO) und legen Sie die Adresse desTerminaldienstegatways mit Server1 fest. Wenden Sie das GPO auf alle Clientcomputeran.

D. Konfigurieren Sie ein Gruppenrichtlinienobjekt (GPO) und deaktivieren Sie die Richtlinie Sichere RPC-Kommunikation anfordern im Abschnitt Sicherheit des KnotensTerminalserver. Wenden Sie das GPO auf Server2 und Server3 an.


Explanation/Reference:Erläuterungen:Der TS-Sitzungsbroker ist ein Rollendienst, der folgende Funktionen bietet:

Er ermöglicht es einem Benutzer, eine Verbindung mit seiner vorhandenen Sitzung ineiner Terminalserverfarm mit Lastenausgleich wiederherzustellen. Er ermöglicht Ihnen die gleichmäßige Verteilung der Sitzungslast zwischen Servern ineiner Terminalserverfarm mit Lastenausgleich.

Der TS-Sitzungsbroker speichert Sitzungsstatusinformationen, d. h., Sitzungs-IDs, ihrezugeordneten Benutzernamen sowie den Namen des Servers, auf dem sich die einzelnen

Sitzungen befinden.

Wenn ein Benutzer die Verbindung mit einer Sitzung trennt (absichtlich oder aufgrund einesNetzwerkfehlers), werden die entsprechenden Anwendungen weiterhin ausgeführt. Wennein Benutzer eine Verbindung wiederherstellt, wird der TS-Sitzungsbroker abgefragt, um zubestimmen, ob dieser Benutzer über eine vorhandene Sitzung verfügt und wenn ja, aufwelchem Server in der Farm. Gibt es eine vorhandene Sitzung, leitet der TS-Sitzungsbrokerden Client auf den Terminalserver um, auf dem sich die entsprechende Sitzung befindet.

Beim Lastenausgleich des TS-Sitzungsbrokers wird der Benutzer auf den Terminalservermit den wenigsten Sitzungen umgeleitet, wenn der Benutzer ohne vorhandene Sitzung eineVerbindung mit einem Terminalserver in der Farm mit Lastenausgleich herstellt. (Wenn Siedie Sitzungslast zwischen leistungsstarken und weniger leistungsstarken Servern in derFarm verteilen möchten, können Sie einem Server einen relativen Sitzungslastwertzuweisen.) Wenn ein Benutzer mit einer vorhandenen Sitzung eine Verbindungwiederherstellt, wird dieser auf den Terminalserver umgeleitet, auf dem sich dieentsprechende Sitzung befindet.


Das Unternehmen setzt die Windows Server 2008 Terminaldienste ein. AlleTerminaldienstekonten sind so konfiguriert, dass Sitzungen ohne weitere Berechtigungenvom Benutzer übernommen werden können.

Ein Benutzer verwendet ein Benutzerkonto mit dem Namen Tom, um eineTerminalserversitzung mit Server2 herzustellen. Die ID der Sitzung lautet 1337.

Sie müssen die Sitzung des Benutzers übernehmen.

Welchen Befehl werden Sie ausführen?

A. Zunächst Chgusr 1337 /disable und anschließend Tscon 1337 .B. Zunächst Takeown /U Tom 1337 und anschließend Tscon 1337 .C. Zunächst Tsdiscon 1337 und anschließend Chgport /U Tom 1337 .D. Zunächst Tsdiscon 1337 und anschließend Tscon 1337 .

Correct Answer: DSection: Configuring Terminal ServicesExplanation

Explanation/Reference:Erläuterungen:Um die Sitzung des Benutzers zu übernehmen, müssen wir die Sitzung zunächst trennen(Tsdiscon) und anschließend übernehmen bzw. eine Verbindung mit der verwaisten Sitzungherstellen (Tscon). Alternativ zu den Befehlszeilenprogrammen kann auch die KonsoleTerminaldiensteverwaltung verwendet werden, um Sitzungen zu trennen, zu beenden oderzu übernehmen.

QUESTION 11Sie sind als Netzwerkadministrator für das Unternehmen CertBase tätig. Sie administriereneinen Windows Server 2008 Computer mit dem Namen Server1. Auf Server1 ist derRollendienst Terminaldienstegateway installiert.

Sie müssen einer Sicherheitsgruppe Zugriff auf den Terminaldienstegateway-Serverermöglichen.

Wie gehen Sie vor?

A. Nehmen Sie die Sicherheitsgruppe in die Gruppe Remotedesktopbenutzer auf.B. Nehmen Sie die Sicherheitsgruppe in die Gruppe Terminaldienste-Webzugriffscomputer

auf.C. Erstellen und konfigurieren Sie eine Terminaldienste-Ressourcenautorisierungsregel (TS

RAP).D. Erstellen und konfigurieren Sie eine Terminaldienste-Verbindungsautorisierungsrichtlinie

(TS CAP).

Correct Answer: DSection: Configuring Terminal ServicesExplanation

Explanation/Reference:Erläuterungen:Mithilfe von Terminaldienste-Verbindungsautorisierungsrichtlinien (TS CAPs) können Sieangeben, wer eine Verbindung mit einem TS-Gatewayserver herstellen kann. Sie könneneine Benutzergruppe angeben, die auf dem lokalen TS-Gatewayserver oder in den ActiveDirectory-Domänendiensten vorhanden ist. Darüber hinaus können Sie andereBedingungen angeben, die Benutzer für den Zugriff auf einen TS-Gatewayserver erfüllenmüssen. In jeder TS CAP können Sie bestimmte Bedingungen auflisten. Beispielsweisekönnen Sie festlegen, dass eine Gruppe von Benutzern eine Smartcard verwenden muss,um über TS-Gateway eine Verbindung herzustellen.


Mitglieder dieser Gruppe haben die Berechtigung, sich remote anzumelden.

B:

Mitglieder dieser Gruppe können die Liste der RemoteApp-Programme abfragen, dieauf diesem Terminalserver verfügbar sind.

C:

TS RAPs ermöglichen Ihnen das Angeben der internen Netzwerkressourcen, mitdenen Remotebenutzer über einen TS-Gatewayserver eine Verbindung herstellenkönnen. Wenn Sie eine TS RAP erstellen, können Sie eine Computergruppe erstellen(eine Liste der Computer im internen Netzwerk, mit denen die RemotebenutzerVerbindungen herstellen können) und diese der TS RAP zuordnen.

QUESTION 12Sie sind als Netzwerkadministrator für das Unternehmen CertBase tätig. DasFirmennetzwerk besteht aus einer einzelnen Active Directory Domäne mit dem Namencertbase.de. Das Unternehmen setzt die Windows Server 2008 Terminaldienste (TS) ein.

Die Konten der Standardbenutzer, die sich mit einem Terminalserver verbinden, befindensich einer Organisationseinheit (OU) mit dem Namen TSBenutzer. Die Konten vonBenutzern mit administrativen Privilegien befinden sich in einer OU mit dem NamenTSAdmins. Andere Benutzer können keine Verbindungen mit den Terminalservernherstellen.

Sie müssen sicherstellen, dass ausschließlich Benutzer, deren Konto sich in der OUTSAdmins befindet, Remotedesktopprotokolldateien (.rdp) ausführen können.

Wie gehen Sie vor?

A. Erstellen Sie ein neues Gruppenrichtlinienobjekt (GPO) und deaktivieren Sie dieRichtlinie RDP-Dateien von unbekannten Herausgebern zulassen imVorlagenverzeichnis Remotedesktopverbindungs-Client. Wenden Sie das GPO auf dieOrganisationseinheit (OU) TSBenutzer an.

B. Erstellen Sie ein neues Gruppenrichtlinienobjekt (GPO) und deaktivieren Sie dieRichtlinie RDP-Dateien von gültigen Herausgebern und standardm äßige RDP-Einstellungen des Benutzers zulassen im VorlagenverzeichnisRemotedesktopverbindungs-Client. Wenden Sie das GPO auf die Organisationseinheit(OU) TSBenutzer an.

C. Erstellen Sie ein neues Gruppenrichtlinienobjekt (GPO) und aktivieren Sie die Richtlinie RDP-Dateien von gültigen Herausgebern und standardm äßige RDP-Einstellungendes Benutzers zulassen im Vorlagenverzeichnis Remotedesktopverbindungs-Client.Wenden Sie das GPO auf die Organisationseinheit (OU) TSAdmins an.

D. Erstellen Sie ein neues Gruppenrichtlinienobjekt (GPO) und aktivieren Sie die Richtlinie SHA1-Fingerabdrücke von Zertifikaten angeben, die v ertrauenswürdige RDP-Herausgeber darstellen im Vorlagenverzeichnis Remotedesktopverbindungs-Client.Wenden Sie das GPO auf die Organisationseinheit (OU) TSAdmins an.


Explanation/Reference:Erläuterungen:Mit der Richtlinie RDP-Dateien von gültigen Herausgebern und standardm äßige RDP-Einstellungen des Benutzers zulassen können Sie festlegen, ob Benutzer RDP-Dateien(Remotedesktopprotokoll) von einem Herausgeber, der die Datei mit einem gültigenZertifikat signiert hat, ausführen können. Ein Zertifikat ist gültig, wenn es von einerZertifizierungsstelle ausgestellt wurde, die vom Client erkannt wird, z. B. von einem derAussteller im Zertifikatspeicher "Stammzertifizierungsstellen von Drittanbietern" des Clients.Mit dieser Richtlinieneinstellung wird auch gesteuert, ob der Benutzer eine RDP-Sitzungmithilfe der standardmäßigen RDP-Einstellungen starten kann (z. B. wenn ein Benutzer denRDC-Client ohne Angabe einer RDP-Datei öffnet).

Wenn Sie diese Richtlinieneinstellung aktivieren oder nicht konfigurieren, können BenutzerRDP-Dateien ausführen, die mit einem gültigen Zertifikat signiert wurden. Benutzer könnenauch eine RDP-Sitzung mit standardmäßigen RDP-Einstellungen starten, indem Sie den

RDC-Client direkt öffnen. Wenn ein Benutzer eine RDP-Sitzung startet, wird er aufgefordert,die Verbindungsherstellung zu bestätigen.

Wenn Sie diese Richtlinieneinstellung deaktivieren, können Benutzer keine RDP-Dateienausführen, die mit einem gültigen Zertifikat signiert wurden. Zudem können Benutzer eineRDP-Sitzung nicht direkt starten, indem Sie den RDC-Client öffnen und denRemotecomputernamen angeben. Wenn ein Benutzer versucht, eine RDP-Sitzung zustarten, wird der Benutzer mit einer Meldung darüber informiert, dass der Herausgeberblockiert wurde.

Hinweis: Sie können diese Richtlinieneinstellung im Knoten "Computerkonfiguration" oderim Knoten "Benutzerkonfiguration" definieren. Wenn Sie diese Richtlinieneinstellung für denComputer konfigurieren, sind alle Benutzer auf dem Computer betroffen.

QUESTION 13Sie sind als Netzwerkadministrator für das Unternehmen CertBase tätig. Sie administriereneinen Windows Server 2008 Computer mit dem Namen Server1. Auf Server1 ist dieServerrolle Windows Server-Virtualisierung (Hyper-V) installiert.

Sie erstellen eine neue virtuelle Maschine und führen eine Installation von Windows Server2008 in der virtuellen Umgebung durch. Sie konfigurieren die virtuelle Maschine für dieVerwendung der physikalischen Netzwerkschnittstelle des Hostservers.

Sie stellen fest, dass Sie aus der virtuellen Umgebung keinen Zugriff auf Ressourcen imNetzwerk erhalten.

Sie müssen sicherstellen, dass die virtuelle Maschine Verbindungen mit dem physikalischenNetzwerk herstellen kann.

Wie gehen Sie vor?

A. Installieren Sie den Microsoft Loopbackadapter auf dem Hostserver.B. Installieren Sie das Feature Multipfad-E/A auf dem Hostserver.C. Installieren Sie den Microsoft Loopbackadapter in der virtuellen Maschine.D. Installieren Sie die Windows Server virtualization Guest Integration Components in der

virtuellen Maschine.


Explanation/Reference:Erläuterungen:Die „Integration Components“ implementieren den VMBus und ermöglichen damit dieVerwendung des neuen, generischen Treibermodells von Windows Server-Virtualisierung.Die volle Performanz für Virtualisierungs-Gastsysteme erhalten Sie nur, wenn dieIntegration Components installiert sind.

QUESTION 14Sie sind als Netzwerkadministrator für das Unternehmen CertBase tätig. Das

Firmennetzwerk besteht aus einer einzelnen Active Directory Domäne mit dem Namencertbase.de. Auf allen Servercomputern ist das Betriebssystem Windows Server 2008installiert.

Sie installieren ein iSCSI Storage Area Network (SAN) für eine Gruppe von Dateiservern.Die Firmensicherheitsrichtlinien erfordern, dass die Datenkommunikation mit dem iSCSISAN so sicher wie möglich sein muss.

Sie müssen die höchstmögliche Sicherheit für die Datenkommunikation mit dem iSCSI SANimplementieren.

Wie gehen Sie vor?

A. Erstellen Sie ein Gruppenrichtlinienobjekt (GPO) und aktivieren Sie dieSicherheitsoption Systemobjekte: Standardberechtigungen interner Syst emobjekteverstärken .

B. Erstellen Sie ein Gruppenrichtlinienobjekt (GPO) und aktivieren Sie dieSicherheitsoption Systemkryptografie: FIPS-konformen Algorithmus fürVerschlüsselung, Hashing und Signatur verwenden .

C. Implementieren Sie die IP-Sicherheit (IPSec) in den Eigenschaften des iSCSI-Initiators.Erstellen Sie eingehende und ausgehende Sicherheitsregeln in der Windows-Firewall.

D. Implementieren Sie die gegenseitige Microsoft Challenge Handshake AuthenticationProtocol (MS-CHAPv2) Authentifizierung in den Eigenschaften des iSCSI-Initiators.Erstellen Sie eingehende und ausgehende Sicherheitsregeln in der Windows-Firewall.

Correct Answer: CSection: Configuring the Active Directory Infrastru ctureExplanation

Explanation/Reference:Erläuterungen:Für die Interaktion zwischen Internet Storage Name Service (iSNS) Servern und iSNS-Clients wird das iSNS-Protokoll (Internet Storage Name Service) verwendet. iSNS-Clientssind Computer (auch als Initiatoren bezeichnet), die in Ethernetnetzwerken Speichergeräte(auch als Ziele bezeichnet) suchen. iSNS erleichtert die automatisierte Erkennung,Verwaltung und Konfiguration von iSCSI- und Fibre Channel-Geräten (über iFCP-Gateways)in TCP/IP-Netzwerken.

Der iSNS-Server bietet intelligente Speichersuch- und Verwaltungsdienste, die mit denen inFibre Channel-Netzwerken vergleichbar sind. Sie ermöglichen den Betrieb einesCommodity-IP-Netzwerks mit ähnlicher Funktion wie ein Storage Area Network. iSNSermöglicht eine nahtlose Integration von IP-Netzwerken und die Verwaltung von iSCSI-Geräten. So erhöht iSNS den Wert jedes Speichernetzwerks, das aus iSCSI-Gerätenbesteht.

Features des iSNS-Servers

Der iSNS-Server ist ein Repository derzeit aktiver iSCSI-Knoten und deren zugeordneterPortale, Entitäten usw.

Knoten können Initiatoren, Ziele oder Verwaltungsknoten darstellen. Meist werden Initiatoren und Ziele beim iSNS-Server registriert, und die Initiatoren fragenden iSNS-Server nach der Liste der verfügbaren Ziele ab. Eine dynamische Datenbank der iSCSI-Geräte und zugehörige Informationen, die derzeitim Netzwerk verfügbar sind: Die Datenbank stellt iSCSI-Zielerkennungsfunktionen für dieiSCSI-Initiatoren im Netzwerk bereit. Die Datenbank bleibt durch Verwendung der iSNS-Features Registrierungsperiode und Entitätsstatusabfrage dynamisch. Mithilfe derRegistrierungsperiode kann der Server veraltete Einträge automatisch aus derRegistrierung entfernen. Die Entitätsstatusabfrage bietet dem Server eine dem Befehlping ähnliche Funktion zum Ermitteln, ob im Netzwerk noch registrierte Clientsvorhanden sind, und ermöglicht es dem Server, die Registrierung nicht mehrvorhandener Clients automatisch aufzuheben. Benachrichtigungsdienst für Statusänderungen: Hiermit können registrierte Clients überÄnderungen an der Datenbank auf dem iSNS-Server benachrichtigt werden. Erermöglicht es den Clients, ein dynamisches Abbild der im Netzwerk verfügbaren iSCSI-Geräte beizubehalten. Discovery-Domänendienst: Hiermit können Administratoren iSCSI-Knoten und -Portaleeiner oder mehreren Gruppen zuweisen, die als Discovery-Domänen bezeichnet werden.Discovery-Domänen bieten eine Zonenfunktionalität, mit deren Hilfe ein iSCSI-Initiatornur solche iSCSI-Ziele suchen kann, mit denen dieser mindestens eine Discovery-Domäne teilt.

QUESTION 15Sie sind als Netzwerkadministrator für das Unternehmen CertBase tätig. Sie installieren dieServerrolle Windows-Bereitstellungsdienste (Windows Deployment Services, WDS) aufeinem Windows Server 2008 Computer.

Sie planen die Installation von Windows Vista auf einem Computer ohne Preboot ExecutionEnvironment (PXE) Unterstützung. Sie verfügen über ein Windows Vista Image, das aufdem Windows-Bereitstellungsdienste Server gespeichert ist.

Sie müssen den neuen Computer starten und das Windows Vista Image installieren.

Was werden Sie erstellen?

A. Ein Aufzeichnungsabbild.B. Eine CD-Rom mit PXE Treibern.C. Ein Suchabbild.D. Ein Installationsabbild.


Explanation/Reference:Erläuterungen:Suchabbilder Suchabbilder sind Startabbilder, mit denen erzwungen wird, dass Setup.exeim Windows-Bereitstellungsdienstemodus gestartet wird. Anschließend wird ein Windows-Bereitstellungsdiensteserver gesucht. Diese Abbilder werden in der Regel verwendet, umAbbilder für Computer bereitzustellen, die für PXE nicht eingerichtet sind oder die sich in

Netzwerken befinden, in denen PXE nicht zugelassen ist.

Wenn Sie ein Suchabbild erstellen und es auf dem Medium (beispielsweise CD, DVD oderUSB-Laufwerk) speichern, können Sie anschließend einen Computer mit dem Mediumstarten. Mit dem Suchabbild auf dem Medium wird der Windows-Bereitstellungsdiensteserver gesucht. Das Installationsabbild wird vom Server für denComputer bereitgestellt.


Aufzeichnungsabbilder sind Startabbilder, mit denen das Dienstprogramm zumAufzeichnen der Windows-Bereitstellungsdienste anstelle des Setups gestartet wird.

B:

PXE bezeichnet die Eigenschaft eines Computers über die Netzwerkkarte zu startenund einen Bootloader aus dem Netzwerk zu laden.

D:

Installationsabbilder sind die von Ihnen für den Clientcomputer bereitgestelltenBetriebssystemabbilder.

QUESTION 16Sie sind als Netzwerkadministrator für das Unternehmen CertBase tätig. Sie administriereneinen Windows Server 2008 Computer mit dem Namen VS1. Auf VS1 ist die ServerrolleWindows Server-Virtualisierung (Hyper-V) installiert.

VS1 hostet 10 virtuelle Server. Ein virtueller Server mit dem Namen VS-DB verfügt übereine virtuelle Festplatte mit einer statischen Größe von 64 GB. Der Name der virtuellenFestplattendatei (Virtual Hard Disk, VHD) lautet disk1.vhd.

Sie stellen fest, dass die Festplatte von VS-DB nur zu einem geringen Teil genutzt wird undwollen den ungenutzten Speicherplatz für den physikalischen Server zurückgewinnen.


Sie müssen VS-DB konfigurieren und die virtuelle Festplattendatei disk1.vhd so klein wiemöglich machen.

Wie gehen Sie vor?

Select and Place:

Correct Answer:

Section: (none)Explanation

Explanation/Reference:Erläuterungen:Zu den wichtigsten Dateitypen mit denen die verschiedenen Aspekte eines Gastsystemsabgebildet werden zählen:

*.vhd - Dies ist die virtuelle Festplatte, die unser Gastsystem enthält. *.vmc - Gibt es in Hyper-V nicht mehr. In Virtual Server befand sich hier die Hardware-Konfiguration des Gastsystems. In Hyper-V gibt es hierfür eine XML-Datei.

*.bin + *.vsv - Diese beiden Dateien zusammen enthalten den Status einesGastsystems. *.avhd - Ist eine 'Differencing Disk', die ihrerseits wieder auf eine *.vhd-Datei zeigt. DasGastsystem schreibt alle Änderungen dort hinein, was den kuriosen Effekt hat, dass diebeiden Dateien zusammen nur größer werden können - selbst wenn Sie Daten von derFestplatte löschen, ist es eine Änderung, die notiert werden muss.

QUESTION 17Sie sind als Netzwerkadministrator für das Unternehmen CertBase tätig. Sie führen einSicherheitsaudit auf einem Servercomputer mit dem Namen Server1 durch. Sie installierenMicrosoft Netzwerkmonitor 3.0 auf Server1.

Sie stellen fest, dass nur für einige der gesammelten Rahmen mnemonic Namen(Pseudocodes) in den Spalten Source und Destination angezeigt werden. Für alle anderenRahmen werden IP-Adressen angezeigt.

Sie wollen für alle gesammelten Rahmen mnemonic Hostnamen anstelle der IP-Adressenanzeigen lassen.

Wie gehen Sie vor?

A. Erstellen Sie einen neuen Display Filter und wenden Sie den Filter auf die gesammeltenDaten an.

B. Erstellen Sie einen neuen Capture Filter und wenden Sie den Filter auf die gesammeltenDaten an.

C. Erstellen Sie Einträge in der Aliastabelle und wenden Sie die Aliase auf die gesammeltenDaten an.

D. Aktivieren Sie die Option Enable Conversations (consumes more memory) undzeichnen Sie die Daten erneut auf.


Explanation/Reference:Erläuterungen:Über die Aliastabelle in Network Monitor 3.x können Sie IPv4 und IPv6 Adressen in derÜbersicht der gesammelten Rahmen durch frei konfigurierbare Pseudocodes (mnemonicNamen) ersetzen und so eine bessere Lesbarkeit erzielen.

QUESTION 18Sie sind als Netzwerkadministrator für das Unternehmen CertBase tätig. Sie führen einSicherheitsaudit auf einem Servercomputer mit dem Namen DC1 durch. Sie installierenMicrosoft Netzwerkmonitor 3.0 auf DC1.

Sie planen, den gesamten LDAP bezogenen Datenverkehr des nächsten Tages von und zuDC1 zwischen 20:00 Uhr und 07:00 Uhr aufzuzeichnen und in die Datei E:\Data.cap zuspeichern.

Sie erstellen eine geplante Aufgabe und nehmen die Aktion Programm starten in den Task

auf. Sie müssen den Anwendungsnamen und die Argumente für die neue Aktion ergänzen.

Wie gehen Sie vor?

A. Konfigurieren Sie den Anwendungsnamen nmcap.exe . Legen Sie /networks * /captureLDAP /file e:\Data.cap /stopwhen /timeafter 11hours als Argument fest.

B. Konfigurieren Sie den Anwendungsnamen netmon.exe . Legen Sie /networks * /captureLDAP /file e:\Data.cap /stopwhen /timeafter 11hours als Argument fest.

C. Konfigurieren Sie den Anwendungsnamen nmcap.exe . Legen Sie /networks * /capture!LDAP /file e:\Data.cap /stopwhen /timeafter 11hour s als Argument fest.

D. Konfigurieren Sie den Anwendungsnamen nmconfig.exe . Legen Sie /networks * /capture &LDAP /file e:\Data.cap /stopwhen /timeafte r 11hours als Argument fest.

Correct Answer: ASection: Deploying and Monitoring ServersExplanation

Explanation/Reference:Erläuterungen:Sie können das Befehlszeilenprogramm Nmcap.exe verwenden, um Rahmen ohne diegrafische Benutzeroberfläche (GUI) des Netzwerkmonitors zu sammeln. DasBefehlszeilenprogramm Nmcap.exe befindet sich im Installationsverzeichnis von MicrosoftNetwork Monitor V3.x. Über die Eingabe von Nmcap.exe /? Erhalten Sie eine Übersicht derverfügbaren Parameter.

QUESTION 19Sie sind als Netzwerkadministrator für das Unternehmen CertBase tätig. Auf einemWindows Server 2008 Computer mit dem Namen Server1 werden die Windows ServerUpdate Services (WSUS) ausgeführt. Server1 befindet sich im Intranet des Unternehmens.

Sie konfigurieren die Secure Socket Layer (SSL) Verschlüsselung für die Windows ServerUpdate Services (WSUS) Website und wollen nun ein Gruppenrichtlinienobjekt (GPO)konfigurieren, um den Pfad für den internen Updatedienst auf den Clientcomputernfestzulegen.

Welchen Uniform Ressource Locator (URL) werden Sie verwenden?

A. http://Server1B. http://Server1:8080C. https://Server1D. https://Server1:8080


Explanation/Reference:Erläuterungen:Über die Richtlinie Computerkonfiguration – Administrative Vorlagen – Windows-Komponenten – Windows Update – Internen Pfad für den Microsoft Updatedienst angeben

kann ein Intranetserver konfiguriert werden, der als Host für die Updates von MicrosoftUpdate fungiert. Mit diesem Updatedienst können Computer im Netzwerk automatischaktualisiert werden. Da die SSL Verschlüsselung für die Windows Update Serviceskonfiguriert wurde, muss das HTTPS Protokoll verwendet werden. Die Website wirdstandardmäßig auf Port 80 TCP ausgeführt.

QUESTION 20Sie sind als Netzwerkadministrator für das Unternehmen CertBase tätig. Einige Mitarbeiterstellen Remoteverbindungen mit dem Firmennetzwerk über einen Windows Server 2008VPN Server her.

Sie müssen sicherstellen, dass die Mitarbeiter zwischen 22:00 Uhr und 05:00 Uhr keineVPN-Verbindungen herstellen können.

Wie gehen Sie vor?

A. Erstellen Sie eine neue Netzwerkrichtlinie für Remotezugriffsserver und konfigurieren SieTag- und Uhrzeiteinschränkungen.

B. Erstellen Sie eine neue Netzwerkrichtlinie für Remotezugriffsserver und konfigurieren SieIP-Filter, um den Zugriff auf das Firmennetzwerk einzuschränken.

C. Bearbeiten Sie die Anmeldezeiten für alle Benutzerobjekte und konfigurieren Sie dieListe der Anmeldearbeitsstationen, so dass nur der VPN-Server enthalten ist.

D. Bearbeiten Sie die Default Domain Policy (DDP) und aktivieren Sie die Sicherheitsoption Netzwerksicherheit: Abmeldung nach Ablauf der Anmel dezeit erzwingen .


Explanation/Reference:Erläuterungen:Bei Netzwerkrichtlinien handelt es sich um Bedingungen, Einschränkungen undEinstellungen, mit deren Hilfe Sie festlegen, welche Benutzer unter welchenUmständen eine Verbindung mit dem Netzwerk herstellen dürfen. Wenn Sie denNetzwerkzugriffsschutz (Network Access Protection, NAP) bereitstellen, werden derNetzwerkrichtlinien-Konfiguration Integritätsrichtlinien hinzugefügt, damit derNetzwerkrichtlinienserver (Network Policy Server, NPS) während desAutorisierungsvorgangs Clientintegritätsprüfungen ausführt. Bei der Verarbeitung vonVerbindungsanforderungen als RADIUS-Server führt NPS die Authentifizierung undAutorisierung für die Verbindungsanforderung aus. Während desAuthentifizierungsvorgangs überprüft NPS die Identität des Benutzers oder Computers,der eine Verbindung mit dem Netzwerk herstellt. Während des Autorisierungsvorgangsbestimmt NPS, ob der Benutzer oder Computer auf das Netzwerk zugreifen darf.

Dabei verwendet NPS Netzwerkrichtlinien, die im NPS-MMC-Snap-In konfiguriert sind.NPS überprüft außerdem die Einwähleigenschaften des Benutzerkontos in ActiveDirectory-Domänendienste (Active Directory Domain Services, AD DS) zur Ausführungder Autorisierung.

Im Internetauthentifizierungsdienst (Internet Authentication Service, IAS) der

Betriebssysteme der Windows Server 2003-Produktfamilie wurden Netzwerkrichtlinienals RAS-Richtlinien bezeichnet.

Netzwerkrichtlinien können als Regeln betrachtet werden. Jede Regel weist eine Reihevon Bedingungen und Einstellungen auf. NPS vergleicht die Bedingungen der Regel mitden Eigenschaften von Verbindungsanforderungen. Wenn eine Übereinstimmungzwischen der Regel und der Verbindungsanforderung vorliegt, werden die in der Regeldefinierten Einstellungen auf die Verbindung angewendet.

Wenn in NPS mehrere Netzwerkrichtlinien konfiguriert sind, handelt es sich um einengeordneten Regelsatz. NPS überprüft jede Verbindungsanforderung mit der erstenRegel in der Liste, dann mit der zweiten Regel usw., bis eine Übereinstimmunggefunden wird.

Jede Netzwerkrichtlinie weist die Einstellung Richtlinienstatus auf, mit der Sie dieRichtlinie aktivieren bzw. deaktivieren können. Wenn Sie eine Netzwerkrichtliniedeaktivieren, wird die Richtlinie beim Autorisieren von Verbindungsanforderungen vonNPS nicht ausgewertet.

QUESTION 21Sie sind als Netzwerkadministrator für das Unternehmen CertBase tätig. DasFirmennetzwerk enthält einen Windows Server 2008 Mitgliedsserver mit dem NamenRAS1.

Sie konfigurieren Routing und RAS (RRAS) auf RAS1. Die Remotezugriffsrichtlinien desUnternehmens erlauben den Mitgliedern der Gruppe Domänen-Benutzer die Einwahl in dasFirmennetzwerk über RAS1.

Das Unternehmen stellt Smartcards für alle Mitarbeiter aus. Sie müssen sicherstellen, dassdie Benutzer Smartcards für die Einwahl auf RAS1 verwenden können.

Wie gehen Sie vor?

A. Installieren Sie den Netzwerkrichtlinienserver (Network Policy Server, NPS) auf RAS1.B. Erstellen Sie eine Netzwerkrichtlinie für Remotezugriffsserver und erfordern Sie die

Benutzerauthentifizierung über das Protokoll SPAP.C. Erstellen Sie eine Netzwerkrichtlinie für Remotezugriffsserver und erfordern Sie die

Benutzerauthentifizierung über das Protokoll EAP-TLS.D. Erstellen Sie eine Netzwerkrichtlinie für Remotezugriffsserver und erfordern Sie die

Benutzerauthentifizierung über das Protokoll MS-CHAP-v2.


Explanation/Reference:Erläuterungen:Bei Netzwerkrichtlinien handelt es sich um Bedingungen, Einschränkungen undEinstellungen, mit deren Hilfe Sie festlegen, welche Benutzer unter welchen Umständen

eine Verbindung mit dem Netzwerk herstellen dürfen. Wenn Sie den Netzwerkzugriffsschutz(Network Access Protection, NAP) bereitstellen, werden der Netzwerkrichtlinien-Konfiguration Integritätsrichtlinien hinzugefügt, damit der Netzwerkrichtlinienserver (NetworkPolicy Server, NPS) während des Autorisierungsvorgangs Clientintegritätsprüfungenausführt.

Zertifikate sind digitale Dokumente, die von Zertifizierungsstellen (Certification Authorities,CAs) wie z. B. Active Directory®-Zertifikatsdienste (Active Directory Certificate Services, ADCS) oder der öffentlichen Zertifizierungsstelle VeriSign ausgestellt werden. Zertifikatekönnen vielseitig eingesetzt werden, beispielsweise für Codesignaturen oder zum Schützender E-Mail-Kommunikation, aber mit dem Netzwerkrichtlinienserver (Network Policy Server,NPS) werden Zertifikate für die Authentifizierung des Netzwerkzugriffs verwendet. .

Mit Zertifikaten wird der Netzwerkzugriff authentifiziert, da sie ein hohes Maß an Sicherheitfür die Authentifizierung von Benutzern und Computern bieten und weniger sicherekennwortbasierte Authentifizierungsmethoden ersetzen.

Sie können die folgenden beiden Authentifizierungsmethoden verwenden, wennzertifikatbasierte Authentifizierungstypen konfiguriert werden, Zertifikate: EAP und PEAP.Mit EAP können Sie den Authentifizierungstyp TLS (EAP-TLS) und mit PEAP dieAuthentifizierungstypen TLS (PEAP-TLS) und MS-CHAP v2 (PEAP-MS-CHAP v2)konfigurieren. Mit diesen Authentifizierungsmethoden werden stets Zertifikate für dieServerauthentifizierung verwendet. In Abhängigkeit von dem für dieAuthentifizierungsmethode verwendeten Authentifizierungstyp können Zertifikate auch fürdie Authentifizierung von Benutzern und Clientcomputern verwendet werden. .

Die Verwendung von Zertifikaten für die Authentifizierung von VPN-Verbindungen stelltunter Windows Server 2008 die stärkste Form der Authentifizierung dar. Sie müssen diezertifikatbasierte Authentifizierung für VPN-Verbindungen verwenden, die auf L2TP/IPsec(Layer Two Tunneling-Protokoll mit Internet Protocol Security) basieren. PPTP-Verbindungen (Point-to-Point-Tunneling-Protokoll) erfordern zwar keine Zertifikate, aber Siekönnen für diese Verbindungen dennoch Zertifikate für die Computerauthentifizierungverwenden, wenn Sie EAP-TLS als Authentifizierungsmethode verwenden. FürDrahtlosclients wird PEAP mit EAP-TLS und Smartcards oder Zertifikaten alsAuthentifizierungsmethode empfohlen.

QUESTION 22Sie sind als Netzwerkadministrator für das Unternehmen CertBase tätig. Das Unternehmensetzt die Active Directory-Zertifikatsdienste (AD CS) und die Netzwerkrichtlinien- undZugriffsdienste (NPS) ein.

Sie müssen das Drahtlosnetzwerk so konfigurieren, dass Smartcards verwendet werdenkönnen.

Wie gehen Sie vor?

A. Konfigurieren Sie das Drahtlosnetzwerk, so dass WPA2, PEAP und MSCHAPv2unterstützt werden.

B. Konfigurieren Sie das Drahtlosnetzwerk, so dass WPA2, 802.1x Authentifizierung und

EAP-TLS unterstützt werden.C. Konfigurieren Sie das Drahtlosnetzwerk, so dass WPA2, 802.1x Authentifizierung, PEAP

und MSCHAPv2 unterstützt werden.D. Konfigurieren Sie das Drahtlosnetzwerk, so dass WPA2, PEAP und MSCHAPv2

unterstützt werden. Erfordern Sie zusätzlich komplexe Benutzerkennwörter.


Explanation/Reference:Erläuterungen:Die Erzwingung des Netzwerkzugriffsschutzes (Network Access Protection, NAP) für dieportbasierte 802.1X-Netzwerkzugriffssteuerung erfolgt mithilfe eines Servers, auf dem derNetzwerkrichtlinienserver (Network Policy Server, NPS) ausgeführt wird, und einer EAP-Erzwingungsclientkomponente. Bei der portbasierten 802.1X-Erzwingung weist derNetzwerkrichtlinienserver einen 802.1X-Authentifizierungsswitch oder einen 802.1X-kompatiblen Drahtloszugriffspunkt an, nicht kompatible 802.1X-Clients in einWartungsnetzwerk zu platzieren. Der Netzwerkrichtlinienserver beschränkt denNetzwerkzugriff des Clients auf das Wartungsnetzwerk, indem IP-Filter oder der Bezeichnereines virtuellen LAN auf die Verbindung angewendet werden. Die 802.1X-Erzwingungermöglicht einen stark eingeschränkten Netzwerkzugriff für alle Computer, die über 802.1X-fähige Netzwerkzugriffsserver auf das Netzwerk zugreifen.

Stellen Sie eine Public Key-Infrastruktur (Public Key Infrastructure, PKI) mit ActiveDirectory-Zertifikatsdiensten (Active Directory Certificate Services, AD CS) bereit, wenn SiePEAP-TLS oder EAP-TLS mit Smartcards oder Zertifikaten verwenden.

QUESTION 23Sie sind als Netzwerkadministrator für das Unternehmen CertBase tätig. DasFirmennetzwerk besteht aus einer einzelnen Active Directory Domäne mit dem Namencertbase.de. Die Domäne enthält einen Windows Server 2008 Mitgliedsserver mit demNamen Server1.

Auf Server1 ist der Routing und RAS Dienst installiert. Sie implementieren dieNetzwerkrichtlinien- und Zugriffsdienste (NAP) für die Domäne.

Sie müssen eine Authentifizierungsmethode für Point-to-Point Protokoll (PPP)Verbidnungen konfigurieren.

Welche Authentifizierungsmethode werden Sie verwenden?

A. Challenge Handshake Authentication Protocol (CHAP).B. Extensible Authentication Protocol (EAP).C. Microsoft Challenge Handshake Authentication Protocol Version 2 (MS-CHAP-v2).D. Password Authentication Protocol (PAP).


Explanation/Reference:Erläuterungen:Bei Verwendung des Extensible-Authentication-Protokolls (EAP) wird eine RAS-Verbindungdurch einen zufälligen Authentifizierungsmechanismus authentifiziert. Das genaueAuthentifizierungsschema, das verwendet werden soll, wird vom RAS-Client und demAuthentifikator (entweder ein RAS-Server oder ein RADIUS-Server) ausgehandelt. InRouting und RAS wird EAP-TLS standardmäßig unterstützt. Auf dem Server, auf demRouting und RAS ausgeführt wird, können andere EAP-Module als Plug-In verwendetwerden, um weitere EAP-Methoden bereitzustellen. EAP ermöglicht eine erweiterbareKommunikation zwischen dem RAS-Client und dem Authentifikator. Diese Kommunikationumfasst Authentifizierungsinformationsanforderungen des Authentifikators sowie dieAntworten des RAS-Clients. Wenn EAP beispielsweise in Verbindung mitSicherheitstokenkarten verwendet wird, kann der Authentifikator vom RAS-Client einzelneinen Namen, eine PIN-Nummer und einen Kartentokenwert anfordern. Durch dieBeantwortung der einzelnen Anforderungen durchläuft der RAS-Client verschiedeneAuthentifizierungsstufen. Wenn alle Fragen zufriedenstellend beantwortet wurden, gilt derRAS-Client als authentifiziert. Ein EAP-Authentifizierungsschema wird als EAP-Typbezeichnet. Der RAS-Client und der Authentifikator müssen denselben EAP-Typunterstützen, damit eine Authentifizierung erfolgen kann.

Aktivieren von EAPZum Aktivieren der EAP-basierten Authentifizierung müssen Sie die folgenden Schritteausführen:

1. Aktivieren Sie EAP als Authentifizierungsprotokoll auf dem RAS-Server. 2. Aktivieren Sie EAP, und konfigurieren Sie ggf. den EAP-Typ in der entsprechenden

Netzwerkrichtlinie. 3. Aktivieren und konfigurieren Sie EAP auf dem RAS-Client.

QUESTION 24Sie sind als Netzwerkadministrator für das Unternehmen CertBase tätig. Das Unternehmenhat den Netzwerkzugriffsschutz (NAP) im Firmennetzwerk implementiert. Die Benutzerverwenden tragbare Computer, um sich mit dem Firmennetzwerk zu verbinden

Die Firmensicherheitsrichtlinien erfordern die Vertraulichkeit der Daten während derÜbertragung zwischen den tragbaren Computern der Benutzer und den Servercomputern.

Sie müssen sicherstellen, dass die Benutzer ausschließlich Computer für den Zugriff aufNetzwerkressourcen verwenden können, die den Anforderungen derFirmensicherheitsrichtlinien entsprechen.

Wie gehen Sie vor?

A. Konfigurieren Sie die NAP-Erzwingung für die IPsec-KommunikationB. Konfigurieren Sie die NAP-Erzwingung für die 802.1x-Netzwerkzugriffssteuerung.C. Erstellen Sie eine Richtlinie für verkabelte Netzwerke (IEEE 802.3).D. Erstellen Sie eine Netzwerkrichtline für die Verwendung der Extensible Authentication

Protocol (EAP) Authentifizierung.


Explanation/Reference:Erläuterungen:Die Erzwingung des Netzwerkzugriffsschutzes (Network Access Protection, NAP) für IPsec-Richtlinien (Internet Protocol security, Internetprotokollsicherheit) für Windows-Firewall wirdüber einen Integritätszertifikatserver, einen Integritätsregistrierungsstellen-Server (HealthRegistration Authority, HRA), einen Netzwerkrichtlinienserver (Network Policy Server, NPS)und einen IPsec-Erzwingungsclient bereitgestellt. Der Integritätszertifikatserver stellt X.509-Zertifikate für NAP-Clients aus, wenn sie als konform eingestuft werden. Mithilfe dieserZertifikate werden dann NAP-Clients authentifiziert, wenn sie eine IPsec-Kommunikation mitanderen NAP-Clients in einem Intranet starten.

Die IPsec-Erzwingung beschränkt die Kommunikation im Netzwerk auf kompatible Clientsund bietet die sicherste Implementierung von NAP. Da bei dieser ErzwingungsmethodeIPsec verwendet wird, können Sie Anforderungen für eine sichere Kommunikation auf derBasis von IP-Adressen oder TCP/UDP-Portnummern definieren.


Documents

Microsoft 70-649 Exam Exam Name: TS: Upgrading Your … · Configuring Network Access 2. ... (Network Policy Server, ... setzt einen Windows Server 2008 Computer mit installiertem