Der Völk für Windows Server 2003

Transcrição

DER VÖLK
Michael Völk
Dr. David Street
für Microsoft Examen 70-292
Verwalten und Warten einer Microsoft
Windows 2003 Server Umgebung
für einen MCSA auf Windows 2000
2. aktualisierte, überarbeitete Auﬂage
M. Völk Systems
IMPRESSUM
Impressum
Bibliografische Information der Deutschen Bibliothek - CIP
Einheitsaufnahme
Die Deutsche Bibliothek verzeichnet diese Publikation in der Deutschen
Nationalbibliografie; detaillierte bibliografische Daten sind im Internet
über http://dnb.ddb.de abrufbar.
ISBN (10stellig) 3-938077-12-3
ISBN (13stellig) 978-3-938077-12-2
Version 1.0
1. Auflage 2008
© 2008 MVS Press Michael Völk Systems, Puchheim
Text: Michael Völk, Dr. David Street
Grafiken: Michael Völk, Kerstin Völk
Fachlektorat: Andreas Hengge
Sprachlektorat: Dr. Bernd Wollner, Küps, [email protected]
Geschützte Warennamen (Warenzeichen) werden nicht immer kenntlich
gemacht. Aus dem Fehlen eines solchen Hinweises kann nicht geschlossen
werden, dass es sich um einen freien Warennamen handelt.
Alle Rechte, insbesondere das Recht zur Vervielfältigung und Verbreitung
sowie der Übersetzung, vorbehalten.
Kein Teil des Werkes darf in irgendeiner Form (durch Fotokopie, Mikrofilm
oder ein anderes Verfahren) ohne schriftliche Genehmigung des Verlages
reproduziert werden.
Der Verlag übernimmt keine Gewähr für die Funktion einzelner
beschriebener Vorgänge oder von Teilen derselben. Insbesondere
übernimmt er keinerlei Haftung für eventuelle, aus dem Gebrauch
resultierende Folgeschäden.
INHALTSVERZEICHNIS
Inhaltsverzeichnis
Impressum................................................................................. - 1 Inhaltsverzeichnis ....................................................................... - 2 Vorwort ..................................................................................... - 3 Liebe Leserin, lieber Leser, ........................................................ - 3 Wie ist dieses Buch aufgebaut? .................................................. - 4 Wie sollten Sie dieses Buch nutzen?............................................ - 5 Danksagung ............................................................................ - 6 Kapitel 1 .................................................................................... - 7 Prüfungsfragen für Examen 70-292 ............................................ - 7 Kapitel 2 .................................................................................- 268 Lösungen und Begründungen für Examen 70-292 ......................- 268 -
zur Onlinetestdatenbank - klick hier!
VORWORT
Vorwort
Liebe Leserin, lieber Leser,
willkommen bei der zweiten Auflage von MVSPress „Der Völk für Windows
Server 2003 – Prüfungsvorbereitung für das Examen 70-292“.
Dieses E-Book spiegelt den derzeitigen Stand des Examens wieder und
versuchen dieses E-Book so aktuell wie möglich zu halten.
Aufgrund der Tatsache, dass wir das Buch als E-Book anbieten, können
wir deutlich schneller auf Veränderungen und Modifizierungen reagieren.
Sie als Käufer erhalten einen zeitlich unbegrenzten Zugriff auf die aktuelle
Version.
Einmal kaufen und immer wieder die neueste Version im Zugriff haben!
Sobald eine neue Version bereitsteht, werden Sie hierüber per E-Mail
informiert.
In dieses Buch haben wir deshalb die Erfahrungen aller im Rahmen dieser
Prüfungsvorbereitungen Beteiligten einfließen lassen. Damit erreichen wir
einen direkten Bezug zur Prüfung, der sich allein schon in der
Fragestellung widerspiegelt. Zudem haben wir uns um eine größtmögliche
Aktualität bemüht. Sie finden daher in diesem Buch Fragen zum Examen,
die Sie vermutlich in ähnlicher Form erst wieder in der Prüfung zu Gesicht
bekommen.
„Der Völk für Windows Server 2003“ kann die Praxis und Erfahrung rund
um Windows Server 2003 nicht ersetzen. Auch wenn in der Vergangenheit
manche Leser unsere Bücher auswendig gelernt und dadurch die einzelnen
Examen bestanden haben, so ist dies nicht der richtige Weg. Setzen Sie
sich mit der Thematik ausführlich auseinander und bringen Sie dieses
erworbene Wissen in die Lektüre dieses Buchs mit ein. Dieses Buch ist
ausschließlich zur Prüfungsvorbereitung gedacht und ersetzt kein
Fachbuch, keine Schulung oder gar die Erfahrung mit dem Produkt.
-3-
VORWORT
Wie ist dieses Buch aufgebaut?
Die Kapitel 1 und 2 dienen der individuellen Vorbereitung auf die Prüfung.
Das Kapitel 1 dient der Vorbereitung auf das Examen und enthält nur die
Fragen und Lösungsvorschläge. Im Kapitel 2 finden Sie die gleichen
Fragen und Lösungsvorschläge wieder. Neben der bloßen Angabe der
richtigen Lösung/en erhalten Sie darüber hinaus eine Begründung,
weshalb diese angegebene/n Lösung/en die richtige/re/n ist/sind, sowie
Verweise auf die Original-Microsoft-Trainings („grüne Bücher“) und auf die
Hilfe. Diese Hilfe wird oft unterschätzt; sie stellt jedoch eine
Informationsquelle dar, die nicht nur kostenlos ist, sondern auch wirklich
als Nachschlagewerk dienen kann.
Wir geben im Kapitel 2 immer nur „MS-Training“ als Verweis an. Dieser
Verweis bezieht sich auf das folgende Buch:
Herausgeber: Microsoft Press Deutschland
Titel: Zertifizierungs-Upgrade auf Microsoft Windows Server 2003
ISBN: 3-86063-965-X
Wir stellen Ihnen auf unserer Homepage http://www.mvspress.de
zusätzliche Informationen bereit. Neben einer Übersicht der
unterschiedlichen Fragentypen finden Sie dort Informationen rund um die
Microsoft Zertifizierungen. Dort können Sie auch online Ihr Wissen testen
und, fast wie bei der richtigen Prüfung, Ihr Wissen unter Beweis stellen.
-4-
VORWORT
Wie sollten Sie dieses Buch nutzen?
Arbeiten Sie bitte zuerst das Kapitel 1 durch und nutzen Sie alle Ihnen
zugänglichen Informationsmedien, um die Fragen zu beantworten.
Versuchen Sie bei jeder Frage, sich selbst zu erklären, warum z. B. der
Lösungsvorschlag C besser ist als der Lösungsvorschlag A. Es heißt nicht
umsonst:
Wer lehrt, der lernt!
Uns bleibt zu guter Letzt nur, Ihnen viel Erfolg und auch ein wenig Spaß
beim erfolgreichen Durcharbeiten dieses Buches und viel Glück beim
Examen 70-292 »Verwalten und Warten einer Microsoft Windows 2003
Server Umgebung für einen MCSA auf Windows 2000« zu wünschen.
Weiteren Support (per Mail oder auch per Telefon) zu diesem Buch stellen
wir nicht bereit, da in der Vergangenheit diese Möglichkeit von manchen
Lesern zum persönlichen Training missbraucht wurde.
Lassen Sie andere von Ihren Erfahrungen mit profitieren und mailen Sie
Anregungen an [email protected].
Vielen Dank schon jetzt für Ihren Beitrag.
-5-
VORWORT
Danksagung
Wir möchten an dieser Stelle all denjenigen ein herzliches Dankeschön
aussprechen, die an der Entwicklung dieses Buches mitgewirkt haben,
insbesondere unseren Mitarbeitern, Freunden und Kollegen und natürlich
auch unseren Teilnehmern. Ohne ihr Engagement und auch die
konstruktive Kritik wäre dieses Buch nicht entstanden. Besonderen Dank
möchten wir folgenden Freunden und Mitarbeitern für ihre konstruktive
Mitarbeit aussprechen:
Andreas Hengge und Kerstin Völk.
Auch unsere Familien mussten Ihren Tribut für das Entstehen dieses
Buches zollen, ein Dankeschön an unsere Ehefrauen und Kinder, die ihre
Männer und Väter oft entbehren mussten.
Zu guter Letzt möchten wir noch einen Hinweis auf das Cover geben. Wir
haben als Hintergrund Detailaufnahmen von versteinertem Holz gewählt,
weil ja im Englischen immer wieder vom „Forest(s)“ oder „Tree(s)“
gesprochen wird.
Puchheim, im März 2008
Michael Völk, Dr. David Street
-6-
PRÜFUNGSFRAGEN FÜR EXAMEN 70-292
Kapitel 1
Prüfungsfragen für Examen 70-292
-7-
Frage 1
Sie sind der Netzwerkadministrator der Firma MVS M. Völk Systems. Das
Netzwerk besteht aus einem einzigen Verzeichnisdienst mit der
Bezeichnung MVSNET.DE und umfasst derzeit 500 Benutzer. Auf allen
Servern im Netzwerk läuft Windows Server 2003, auf den Workstations
Windows XP Professional.
Sie installieren den Terminaldienst auf drei Servern mit den
Bezeichnungen »MVSTERM1«, »MVSTERM2« und »MVSTERM3«. Anfangs
können sich alle Benutzer mit Hilfe einer Remotedesktopverbindung
erfolgreich mit allen drei Terminalservern verbinden. Einige Monate später
berichten die Benutzer, dass sie nicht mehr in der Lage sind, sich mit dem
Remotedesktop auf die Terminalserver zu verbinden.
Wie lösen Sie dieses Problem?
A
{
Sie ändern den Lizenzierungsmodus auf allen
Terminalservern von Je Server in Je Arbeitsplatz.
B
{
Sie fügen dem Lizenzserver der Domäne zusätzliche
Microsoft Windows-Lizenzen hinzu.
C
{
Sie konfigurieren und aktivieren einen Enterprise
Lizenzserver.
D
{
Terminalservern von Je Gerät in Je Benutzer.
-8-
Frage 2
Bezeichnung MVSNET.DE. Auf allen Servern im Netzwerk läuft Windows
Server 2003, auf den Workstations Windows XP Professional. Der
Terminaldienst ist auf dem Mitgliedsserver »MVSTERM1« mit den
Standardeinstellungen installiert.
Die Benutzer der Supportabteilung sind Mitglieder der Gruppe Supporter.
Wenn diese Benutzer versuchen, eine Terminaldienstverbindung mit
»MVSTERM1« herzustellen, erhalten sie die folgende Fehlermeldung:
Sie müssen die Mitglieder der Gruppe Supporter berechtigen, um eine
Terminaldienstsitzung auf dem Server »MVSTERM1« einzurichten.
A
{
Sie berechtigen die entsprechenden Benutzer, sich
remote mit dem Server »MVSTERM1« zu verbinden.
Hierzu ändern Sie die Option Lokale Geräte.
B
{
Sie fügen die Gruppe Supporter der
Remotedesktopbenutzer-Gruppe des Servers
»MVSTERM1« hinzu.
C
{
Sie konfigurieren die RDP-Tcp-Verbindungseigenschaften
auf »MVSTERM1«, um den berechtigten Benutzern der
Gruppe Supporter den Vollzugriff zuzuweisen.
D
{
Remotedesktopbenutzer-Gruppe im Active Directory
hinzu.
-9-
Frage 3
Server 2003, auf den meisten Workstations Windows XP Professional und
auf den übrigen Workstations Windows NT 4.0 Workstation. Den
Netzwerkbenutzern stehen zwei Terminalserver zur Verfügung.
Sie installieren eine neue Applikation auf beiden Terminalservern. Jeder,
der das neue Programm verwendet, um Dateien zu erstellen, muss diese
Dateien direkt in einem Ordner auf der lokalen Festplatte speichern. Sie
müssen sicherstellen, dass die Clientlaufwerke immer verfügbar sind,
wenn sich ein Mitarbeiter mit einem der Terminalserver verbindet.
Welche Aktionen sollten Sie ausführen, um das Ziel zu erreichen?
A

Sie erstellen ein Clientverbindungsobjekt mit den
Standardeinstellungen und machen dieses Objekt auf
jedem Terminalserver verfügbar.
B

Sie verändern die RDP-Tcp-Einstellungen, indem Sie die
Laufwerke des verbindenden Clients bei den Lokale
Ressourcen-Optionen auswählen.
C

Sie installieren Netmeeting auf den Clientcomputern und
konfigurieren die Remotedesktopverbindungsfreigabe.
D

Sie installieren die Standard Windows 2000 Terminal
Server Clientsoftware auf den Windows NT 4.0
Workstations.
E

Sie installieren die Remotedesktopverbindung auf den
Windows NT 4.0 Workstations.
- 10 -
Frage 4
Server 2003, auf den meisten der Clientcomputer Windows XP
Professional, auf einigen jedoch auch Windows NT 4.0 Workstation.
Sie installieren den Terminaldienst auf fünf Mitgliedsservern mit der
Bezeichnung »MVSTERM1« bis »MVSTERM5«. Sie fassen diese
Terminalserver in einer Organisationseinheit mit dem Namen Terminal
Server zusammen und verbinden eine Gruppenrichtlinie mit der Terminal
Server-Organisationseinheit. Zwei Tage später teilen Ihnen die Benutzer
mit, dass die Performance des Servers »MVSTERM4« inakzeptabel
langsam ist.
Sie stellen fest, dass der Server »MVSTERM4« 70 getrennte Sitzungen
besitzt. Sie benötigen die Einstellung, dass alle fünf Terminalserver
getrennte Sitzungen nach einer Inaktivität von 16 Minuten beenden. Sie
wollen dieses Ziel mit möglichst geringem administrativem Aufwand
erreichen.
Wie gehen Sie vor?
A
{
Sie melden sich auf der Konsole jedes Terminalservers
an und setzten in den RDP-TcpVerbindungseigenschaften die Zeit für die Beendigung
von getrennten Sitzungen auf 15 Minuten.
B
{
Sie ändern die Gruppenrichtlinie so ab, dass das Limit
für getrennte Sitzungen auf 15 Minuten gesetzt ist.
C
{
Sie lassen auf dem Server »MVSTERM1« den tsdisconBefehl laufen, um alle 75 Benutzer vom Server
»MVSTERM4« zu trennen.
D
{
Sie setzen unter Active Directory-Benutzer und Computer die Beendigungszeit von getrennten
Sitzungen aller Domänen auf 15 Minuten.
- 11 -
Frage 5
Netzwerk besteht aus zwei Verzeichnisdiensten: MVSNET.DE und
MVSPRESS.DE. Auf allen Clientcomputern läuft Windows XP Professional.
In beiden Domänen existieren je zwei Domänencontroller mit den
Bezeichnungen »MVSDC101« und »MVSDC102« für die Domäne
MVSNET.DE und »MVSDC201« und »MVSDC202« für die Domäne
MVSPRESS.DE. Die Domäne MVSNET.DE ist eine Windows 2000-Domäne
mit Windows 2000 Domänencontrollern, die Domäne MVSPRESS.DE eine
Windows Server 2003-Domäne.
Daniel Völk soll in beiden Domänen Benutzer anlegen können. Auf seinem
Client sind die administrativen Verwaltungstools von Windows Server
2003 installiert. Nach einiger Zeit meldet sich Daniel Völk bei Ihnen und
berichtet, dass er auf die zwei Domänencontroller in der Domäne
MVSNET.DE nicht mehr zugreifen kann. Auf alle anderen Ressourcen in
den beiden Domänen hat er noch Zugriff.
A
{
Sie verwenden den Registrierungseditor auf Daniels
Computer, um das Signieren und die Verschlüsselung
des LDAP-Verkehrs abzuschalten.
B
{
Sie verwenden den Registrierungseditor auf
»MVSDC101« und »MVSDC102«, um den Wert des
LDAP-Portes auf 380 zu ändern.
C
{
Sie installieren auf den Servern »MVSDC101« und
»MVSDC102« die administrativen Verwaltungstools von
der Windows Server 2003 CD-ROM.
D
{
Sie ändern auf Daniels Computer die
Domänenmitgliedschaft von MVSPRESS.DE auf
MVSNET.DE.
- 12 -
Frage 6
Server 2003. Die Applikationen im Unternehmen sind zumeist MSApplikationen. Alle Server, abgesehen von »MVSDC001«, sind
Mitgliedsserver. Das Unternehmen besitzt 2500 Clientcomputer. Auf allen
diesen Computern läuft Windows XP Professional und Microsoft Office
2003.
Auf der Microsoft Windows Update-Webseite sind zwei Updates
erschienen. Das Update Nummer 1 ist ein *.msi-File, das Office 2003
verwendet. Das Update Nummer 2 ist ein wichtiges Sicherheitsupdate für
Windows XP Professional. Sie müssen die passenden Server konfigurieren,
um die Updates einzusetzen.
Was machen Sie?
- 13 -
Frage 7
Server 2003. Auf dem Mitgliedsserver mit der Bezeichnung »MVSIIS04«
läuft IIS; er enthält alle Inhalte der Firmenwebseiten.
Eine Webseite wurde überarbeitet. Wenn Sie die überarbeitete Seite
anwählen und auf einen Hyperlink klicken, erhalten Sie die folgende
Fehlermeldung:
HTTP Error 404 – File or directory not found. (HTTP-Fehler 404 –
Datei oder Verzeichnis wurde nicht gefunden.)
Sie stellen fest, dass die benötigte Datei auf dem Server »MVSIIS04«
fehlt. Sie müssen herausfinden, ob die gleiche Fehlermeldung auch bei
einer anderen Webserveranfrage ausgegeben wurde.
Was müssen Sie tun?
A
{
Sie öffnen die aktuellste Datei unter
C:\windows\system32\intesrv\History und suchen nach
Fehlermeldungen mit der Nummer 404.
B
{
C:\Windows\system32\LogFiles\W3SVC1 und suchen
nach Fehlermeldungen mit der Nummer 404.
C
{
Sie öffnen die Ereignisanzeige und verbinden sich mit
dem Server »MVSISS04«. Anschließend filtern Sie die
Protokolldateien des Systemprotokolls und lassen sich
die Ereignisse mit der Quelle IISLOG und der Ereignis-ID
404 anzeigen.
D
{
dem Server »MVSIIS04«. Anschließend filtern Sie die
Protokolldateien des Anwendungsprotokolls und lassen
sich die Ereignisse mit der Quelle WebClient und der
Ereignis-ID 404 anzeigen.
- 14 -
Frage 8
Windows XP Professional. Der Server »MVSSUS02« ist als SUS-Server
konfiguriert und verwendet die Standardeinstellungen. Sie konfigurieren
die Clientcomputer so, dass sie auf die Dienste der Server »MVSSRV01«
und »MVSSRV02« zugreifen.
Drei Monate später gibt Microsoft ein kritisches Sicherheitsupdate für
Windows XP Professional heraus. Von einem Testclientcomputer aus
verwenden Sie Windows Update zum Herunterladen des Updates. Sie
testen es und erhalten keine Fehlermeldungen. Nun wollen Sie das Update
auf allen Clientcomputern so schnell wie möglich einsetzen. Sie müssen
sicherstellen, dass das Update auf keinem der Server eingesetzt wird.
Welche Aktionen sollten Sie ausführen?
A

Sie ändern die Standarddomänenrichtlinie auf dem
Server »MVSSRV01« so ab, dass er das
Sicherheitsupdate verteilt.
B

Sie führen auf »MVSSRV01« die Replikation durch.
C

Sie führen auf »MVSSUS02« die Synchronisation durch.
D

Sie nehmen das Sicherheitsupdate auf dem Server
»MVSSUS02« an.
- 15 -
Frage 9
Servern im Netzwerk läuft Windows Server 2003, auf den 200
Workstations Windows XP Professional. Auf dem Server mit der
Bezeichnung »MVSSUS05« ist der Software Update Service (SUS) mit den
Sie stellen fest, dass das kritische Sicherheitsupdate für den Internet
Explorer auf keinem der Clientcomputer installiert ist. Sie wissen, dass das
Update vom Internet auf den Server »MVSSUS05« heruntergeladen wurde
und außerdem, dass das neuste Sicherheitsupdate installiert ist. Sie
müssen überprüfen, was die Ursache für dieses Problem ist. Dafür
verwenden Sie die SUS-Administrator-Webseite auf »MVSSUS05«.
Welche Daten sollten Sie überprüfen?
A
{
Das Sicherheitsupdate im Synchronisationsprotokoll.
B
{
Das Sicherheitsupdate im Aktivierungsprotokoll.
C
{
Den Status des Internet Explorers 5.5x im Fenster des
Servermonitors.
D
{
Den Status des Internet Explorers 6.x im Fenster des
Servermonitors.
- 16 -
Frage 10
Server 2003, auf den Workstations Windows XP Professional. Alle
Clientcomputerobjekte sind in der Organisationseinheit Client gespeichert.
Die Clientcomputer erhalten kritische Sicherheitsfixes von Microsoft
Servern.
Auf dem Server mit der Bezeichnung »MVSSUS01« läuft der Software
Update Dienst (SUS). Sie berechtigen »MVSSUS01«, Sicherheitsfixes für
die Verteilung auf dem internen Netzwerk zu beschaffen und zu speichern.
Nun müssen Sie dafür sorgen, dass alle Clientcomputer in Zukunft nur
noch Sicherheitsfixes von »MVSSUS01« erhalten. Sie öffnen die
Gruppenrichtlinien der Organisationseinheit Client.
Welche Einstellungen sollten Sie vornehmen?
A
{
Computerkonfiguration\Softwareeinstellungen\So
ftware Installation.
B
{
Benutzerkonfiguration\Softwareeinstellungen\Sof
tware Installation.
C
{
Computerkonfiguration\Administrative
Vorlagen\Windows-Komponenten\Windows
Installer.
D
{
Benutzerkonfiguration\Administrative
Installer.
E
{
Update.
F
{
Update.
- 17 -
Frage 11
Server 2003. Alle Server sind Mitglieder der Domäne. Auf allen
Workstations im Netz läuft Windows XP Professional. Fünf Webserver
stellen den Inhalt für das interne Netzwerk bereit. Auf allen Server läuft
IIS, und alle haben die Remotedesktopverbindung aktiviert.
Sie müssen dafür sorgen, dass die Webentwickler die
Remotedesktopverbindung nutzen können, damit Webdokumente, die auf
den Clients der Webentwickler liegen, auf die fünf Webserver transportiert
werden können.
Wie gehen Sie vor?
A
{
Sie installieren den Terminalserverdienst auf allen fünf
Webservern und verwenden den TerminalserverKonfigurationsmanager, um die Einstellungen zu
verändern.
B
{
Webservern und verwenden den TerminalserverKonfigurationsmanager, um eine neue Microsoft RDP
5.2-Verbindung herzustellen.
C
{
Sie aktivieren auf allen Clients der Webentwickler die
Lokale Geräte – Laufwerke-Checkbox bei den
Remotedesktopverbindungseigenschaften.
D
{
Einstellung: Benutzern erlauben, eine
Remotedesktopverbindung herzustellen.
- 18 -
Frage 12
Server 2003.
Ihre neue Assistentin Sarah will grundlegende administrative Tasks auf
der Serverkonsole des Servers »MVSSRV01« ausführen. Sarah berichtet
Ihnen, dass sie bei dem Versuch, den Remotedesktop zu verwenden, eine
Fehlermeldung erhält.
Sie müssen dafür sorgen, dass sich Sarah mit Hilfe des Remotedesktops
auf dem Server »MVSSRV01« anmelden kann.
A
{
Sie fügen das Konto von Sarah der Gruppe der
Remotedesktopbenutzer hinzu.
B
{
Sie binden das Konto von Sarah in die lokale Gruppe der
Remotedesktopbenutzer auf dem Server »MVSSRV01«
ein.
C
{
Sie wählen auf dem Reiter Remoteüberwachung von
Sarahs Domänenkonto die Remoteüberwachung
aktivieren-Option aus.
D
{
Sie lassen sich in der Konsole Active DirectoryBenutzer und –Computer die erweiterten Funktionen
anzeigen, fügen den Reiter Sicherheit von Sarahs
Domänenkonto der Remotedesktopbenutzer-Gruppe
hinzu und weisen der Gruppe Vollzugriff zu.
- 19 -
Frage 13
Sie sind der Netzwerkadministrator der Firma MVS M. Völk Systems. Auf
allen Servern im Netzwerk läuft Windows Server 2003, auf den
Workstations Windows XP Professional. Das Netzwerk besteht aus zwei
Gesamtstrukturen mit den Bezeichnungen MVSPRESS.DE und MVSNET.DE.
Zwischen den beiden Gesamtstrukturen besteht eine externe
Vertrauensstellung.
Sie erstellen ein zusätzliches Benutzer-UPN-Suffix für MVSPRESS.DE. Das
neue Suffix lautet wie folgt: mx.mvspress.de. David Street, ein Benutzer
von MVSPRESS.DE, berichtet, dass er sich von MVSNET.DE aus nicht auf
mvspress.de anmelden kann.
Die Einstellungen von David Streets Benutzerkonto sind in der Abbildung
dargestellt:
- 20 -
Sie sollen gewährleisten, dass sich David Street auf dieser Domäne von
MVSNET.DE aus anmelden kann.
Welche zwei Möglichkeiten gibt es, dieses Ziel zu erreichen?
A

Sie ändern David Streets Benutzeranmeldenamen, damit
dieser mit seinem prä-Windows 2000
Benutzeranmeldenamen übereinstimmt.
B

Sie deaktivieren die Option Benutzer kann das
Passwort nicht ändern in der Einstellungs-Dialogbox
von David Street.
C

Sie weisen David Street an, sich mit Hilfe seines präWindows 2000 Benutzernamens anzumelden.
D

Sie ändern das UPN-Suffix von David Street in
MVSNET.DE.
E

Sie erstellen ein neues Computerkonto für David Street
in der Domäne MVSNET.DE.
F

Sie löschen David Streets Konto und erstellen es in der
Domäne MVSNET.DE neu.
- 21 -
Frage 14
Server 2003.
Ein Benutzer mit dem Namen Andreas ist für die Verwaltung der Gruppen
in der Domäne zuständig. Im Active Directory weisen Sie ihm die
Berechtigungen zum Erstellen, Löschen und Verwalten von Gruppen zu.
Versucht sich Andreas an einem Domänencontroller anzumelden, erhält er
folgende Fehlermeldung:
Sie müssen dafür sorgen, dass Andreas schnellstens in der Lage ist,
Gruppen zu verwalten.
A

Sie verändern die Standardsicherheitsrichtlinien aller
Domänen und aktualisieren sie, indem Sie secedit.exe
verwenden.
B

Sie verändern die Standardsicherheitsrichtlinien der
Domäne und aktualisieren sie, indem Sie gpupdate.exe
verwenden.
C

Sie verändern die Standardsicherheitsrichtlinien für die
Organisationseinheit der Domänencontroller und
aktualisieren die Richtlinien, indem Sie secedit.exe
verwenden.
D

Sie installieren die Windows Server 2003Verwaltungstools auf dem Computer von Andreas und
weisen ihn an, dsa.msc von seinem Computer aus zu
starten.
E

Sie geben dsa.msc von einem Computer, auf dem
Windows Server 2003 läuft, aus frei und weisen Andreas
an, auf seinem Computer dsa.msc auszuführen.
- 22 -
Frage 15
Clientcomputerkonten der Vertriebsabteilung sind in der
Organisationseinheit Vertrieb enthalten.
Eine Mitarbeiterin mit dem Namen Sarah verwendet einen Client mit dem
Namen »MVSCL001«. Ihr Computer ist ein Mitglied der Domäne
MVSNET.DE. Trotzdem teilt Sarah Ihnen mit, dass sie sich an der Domäne
nicht anmelden kann.
Sie stellen sicher, dass ein Computerkonto für den Rechner »MVSCL001«
in der Organisationseinheit existiert, melden sich als lokaler Administrator
am Rechner »MVSCL001« an und überprüfen die Ereignisanzeige. Sie
finden mehrere Einträge mit der Ereignis-ID 3210. Sie müssen dafür
sorgen, dass sich Sarah an der Domäne anmelden kann.
Wie gehen Sie vor?
A
{
Sie verschieben das Konto von »MVSCL001« in die
Organisationseinheit Computer.
B
{
Sie setzten das Passwort des Benutzerkontos von Sarah
zurück.
C
{
Sie setzen das Konto von »MVSCL001« zurück.
D
{
Sie verändern die Eigenschaften des Kontos von
»MVSCL001« so, dass dieser vom Benutzerkonto Sarahs
gesteuert wird.
- 23 -
Frage 16
Bezeichnung MVSNET.DE. Die Domänenfunktionsebene ist Windows
Server 2003.
Bei einigen Domänenbenutzerkonten ist das Kennwort abgelaufen. Sie
sollen herausfinden, bei welchen Benutzerkonten das Kennwort nicht
abgelaufen ist. Anschließend müssen Sie die Kennworteigenschaften so
abändern, dass die Kennwörter der Konten ablaufen können. Sie müssen
dieses Problem mit minimalem administrativem Aufwand lösen. Als erstes
erstellen Sie eine Abfrage, um eine Liste aller Benutzerkonten zu erhalten,
bei denen das Kennwort nicht abgelaufen ist.
Wie gehen Sie weiter vor?
A
{
Sie exportieren das Abfrageergebnis in eine *.csv-Datei.
Dann verwenden Sie das csvde-Skript, um die
Kennworteigenschaften aller Konten zu verändern.
B
{
Sie markieren alle Benutzerkonten des
Abfrageergebnisses und ändern gleichzeitig die
Kennworteigenschaften.
C
{
Sie erstellen eine *.csv-Datei und verwenden das
csvde-Skript, um die Kennworteigenschaften aller
Konten zu verändern.
D
{
Abfrageergebnisses und ändern nacheinander die
Kennworteigenschaften der Konten.
- 24 -
Frage 17
Netzwerk besteht aus drei Verzeichnisdiensten in einer Gesamtstruktur, in
der Sie keine administrativen Rechte haben. Auf allen
Domänencontrollern im Netzwerk läuft Windows Server 2003. Das
Zwischenspeichern von universellen Gruppenmitgliedschaften ist aktiviert.
Die Firma MVS M. Völk Systems unterhält insgesamt fünf Büros:
Puchheim, München, Kronach, Dresden und Cottbus. Jedes der Büros ist
als Active Directory-Standort konfiguriert. Jeder Standort verfügt über drei
Domänencontroller, je ein Controller pro Domäne.
Ein neuer Mitarbeiter mit dem Namen Andreas wird im Münchner Büro
eingestellt. Sie erstellen ein neues Benutzerkonto für ihn auf einem
Münchner Controller. Trotzdem berichtet Andreas, dass er sich an seiner
Domäne nicht anmelden kann. Andere Benutzer in München haben mit der
Anmeldung keine Probleme. Sie müssen dafür sorgen, dass sich Andreas
erfolgreich anmelden kann.
Wie gehen Sie vor?
A
{
Sie löschen das Benutzerkonto in München und erstellen
eine neues in Puchheim.
B
{
Sie überprüfen die Verzeichnisreplikation zwischen allen
Domänen in München.
C
{
Sie weisen Andreas an, seinen UPN-Namen zu
verwenden, wenn er sich zum ersten Mal anmeldet.
D
{
Sie stellen die Netzwerkverbindung zwischen den
Domänencontrollern in München und in Puchheim wieder
her.
- 25 -
Frage 18
allen Domänencontrollern im Netzwerk läuft Windows Server 2003. Der
Mitgliedsserver »MVSDTA01« ist so konfiguriert, dass für Schattenkopien
kein Speicherlimit festgelegt ist.
Volume
Festplatte
Kapazität
Inhalt
Freier
Speicher-platz
in %
System
0
100 GB
Systemdateien
70 %
Anwendung01
1
200 GB
Benutzerdaten,
Schattenkopien
5%
Datenbank
2
100 GB
Datenbanken
30 %
Sicherung
3
200 GB
backup.bkf
90 %
Sie müssen zusätzlichen freien Speicherplatz auf dem Server
»MVSDTA01« freigeben. Sie müssen außerdem seine Performance
verbessern und sicherstellen, dass der in Zukunft verwendete Platz für die
Schattenkopien ausreichend ist.
Welche zwei Schritte nehmen Sie vor?
A

Sie löschen die Schattenkopien von »MVSDTA01«.
B

Sie löschen backup.bkf vom zweiten Datenträger des
Servers »MVSDTA01«.
C

Sie verlegen in den Einstellungen von »MVSDTA01« die
Schattenkopien auf den zweiten Datenträger.
D

Sie löschen den gesamten zweiten Datenträger von
»MVSDTA01« und vergrößern die Partition des ersten
Datenträgers.
- 26 -
Frage 19
Server 2003, auf allen Workstations Windows XP Professional.
Sie erstellen auf dem Mitgliedsserver mit der Bezeichnung »MVSSRV03«
einen freigegebenen Ordner mit dem Namen Dokumente. Hier sollen
Projektdokumente gespeichert werden. Sie müssen gewährleisten, dass
Benutzer auf die vorherigen Versionen der Dokumente im Ordner
Dokumente zugreifen können.
Wie gehen Sie vor?
A
{
Sie verändern die Offlineeinstellungsoptionen für den
Ordner Dokumente, um alle Dokumente offline verfügbar
zu machen.
B
{
Sie konfigurieren Schattenkopien, die das Volumen von
Dokumente haben.
C
{
Sie erstellen mit Hilfe des Assistenten für geplante Tasks
eine Task, die das copy-Kommando verwendet und
jeden Tag die geänderten Dokumente in einen anderen
Ordner speichert.
D
{
Sie verwenden ntbackup, um jede Stunde eine
Sicherung von allen geänderten Dokumenten
durchzuführen.
- 27 -
Frage 20
allen Servern im Netzwerk läuft Windows Server 2003. Die Bürozeiten sind
Montag bis Freitag von 9:00 Uhr bis 17:00 Uhr. Benutzer können die
Netzwerkserver außerhalb der Bürozeiten nicht erreichen. Das Netzwerk
beinhaltet einen Mitgliedsserver mit der Bezeichnung »MVSSRV01«.
Auf dem Laufwerk F:\ dieses Servers sind Ordner für die Benutzer der
Firma freigegeben. Zurzeit umfasst das Laufwerk F:\ 10 GB Daten, seine
Gesamtkapazität ist 80 GB. Sie müssen sicherstellen, dass die
Schattenkopien der Dateien auf F:\ jeden Tag erstellt werden. Maximal
dürfen die Daten von vier Stunden verloren gehen. Benutzer müssen in
der Lage sein, auf alle vorherigen Versionen der Dateien, die in den letzen
30 Tagen erstellt wurden, zugreifen zu können.
Wann soll die Speicherung der Schattenkopien stattfinden?
A
{
Nur um 5:00 Uhr.
B
{
Um 9:00 Uhr und um 17:00 Uhr.
C
{
D
{
Um 5:00 Uhr, 13:00 Uhr und um 17:00 Uhr.
- 28 -
Frage 21
Bezeichnung MVSNET.DE. Auf dem Mitgliedsserver »MVSSRV01« läuft
Windows Server 2003. Sie müssen das Sicherungsprogramm
konfigurieren, um alle Daten auf dem Server »MVSSRV01« dreimal täglich
zu sichern. Dateien, die gerade von einer Applikation geöffnet sind, dürfen
nicht gesichert werden.
A
{
Sie konfigurieren einen Sicherungsauftrag, indem Sie
eine Differenzsicherung oder eine inkrementelle
Sicherung verwenden.
B
{
Sie deaktivieren die Verwendung von
Volumeschattenkopien.
C
{
Sie schließen einzelne Dateien aus dem
Sicherungsvorgang aus.
D
{
Sie konfigurieren die Wiederherstellungsoptionen, um
geöffnete Dateien bei der Wiederherstellung nicht zu
überschreiben.
- 29 -
Frage 22
Bezeichnung MVSNET.DE. Auf allen Netzwerkservern läuft Windows Server
2003. Der Mitgliedsserver mit der Bezeichnung »MVSSRV23« hat ein
lokales Bandlaufwerk.
Sie müssen alle Daten von »MVSSRV23« mindestens einmal wöchentlich
sichern. Täglich müssen Sie alle Daten sichern, die nach der letzen
Sicherung geändert wurden. Sie sollen die Menge der Daten, die täglich
gesichert werden, reduzieren.
Welchen Sicherungstyp sollten Sie verwenden?
A

Sie sichern die Daten einmal in der Woche durch eine
inkrementelle Sicherung.
B

normale Sicherung.
C

Sie führen einmal am Tag eine normale Sicherung durch.
D

Sie führen einmal am Tag eine inkrementelle Sicherung
durch.
- 30 -
Frage 23
2003, auf allen Domänencontrollern ist die Wiederherstellungskonsole
installiert. Die Festplattenkonfigurationen für die einzelnen
Domänencontroller sind in der folgenden Tabelle abgebildet:
Volumen
Laufwerk
Inhalte
System
C:\
Systemdateien, SYSVOL, eigenständige
Zertifizierungsstelle
AD
D:\
ntds.dit
Daten
E:\
Active Directory-Logdateien. LogdateienZertifizierungsstelle, Benutzerprofile und BenutzerHomelaufwerke
Das Volumen System ist sowohl mit der System- also auch mit der BootPartition konfiguriert. Jeden Freitag um 18:00 Uhr lassen Sie die
Automatische Systemwiederherstellung (ASR) in Verbindung mit den
verschiebbaren Speichermedien laufen.
Immer um Mitternacht verwenden Sie eine Drittanbieter-Software, um
eine vollständige Sicherung aller Benutzerprofile und Benutzerdaten auf
Sicherungsbändern durchzuführen. An einem Freitag um 20:00 Uhr
berichtet ein Administrator, dass die Zertifikatsdatenbank auf dem
Domänencontroller mit der Bezeichnung »MVSDC003« beschädigt ist. Sie
müssen die Daten so schnell wie möglich wiederherstellen.
Welche zwei Aktionen müssen Sie durchführen?
A

Sie starten »MVSDC003« neu und wählen die Option
Verzeichniswiederherstellung aus.
B

Sie starten »MVSDC003« neu, indem Sie die
Installations-CD verwenden.
C

Sie führen eine nicht autorisierende Wiederherstellung
des Active Directory durch.
D

Sie führen eine autorisierende Wiederherstellung des
Active Directory durch.
E

Sie verwenden die ASR-Diskette, um den Inhalt der
ASR-Sicherungsdatei wiederherzustellen.
- 31 -
Frage 24
Das Netzwerk beinhaltet einen Mitgliedsserver mit der Bezeichnung
»MVSSRV04«. Sie müssen einen freigegebenen Ordner auf diesem Server
erstellen, in dem Projektdokumente gespeichert werden können und dabei
folgende Vorgaben beachten:
• Die Benutzer müssen in der Lage sein, auf eine frühere Version der
Dokumente im freigegebenen Ordner zuzugreifen.
• Kopien der Dokumente müssen während der Bürozeiten jede Stunde
bereit gehalten werden.
• Eine History der letzten zehn Versionen muss für jedes Dokument
vorhanden sein.
• Dokumente, die nicht in dem freigegebenen Ordner enthalten sind,
dürfen nicht gesichert werden.
Welche zwei Aktionen führen Sie durch?
A

Sie erstellen einen freigegebenen Ordner in der Root der
Systempartition des Servers »MVSSRV04«.
B

Sie erstellen eine neue Partition auf dem Server
»MVSSRV04« und den freigegebenen Ordner in der
neuen Partition.
C

Sie aktivieren die Option Offline Datei, um den
freigegebenen Ordner offline verfügbar zu machen.
D

freigegebenen Ordner automatisch offline verfügbar zu
machen.
E

Sie verwenden die Datenträgerverwaltung, um
Schattenkopien von der Partition, die den freigegebenen
Ordner enthält, zu konfigurieren.
- 32 -
Frage 25
allen Servern im Netzwerk läuft Windows Server 2003, und sie wurden so
konfiguriert, dass auf allen eine normale Sicherung läuft. Auf einem
Datenbankserver mit dem Namen »MVSSQL01« läuft Microsoft SQL Server
7.0.
Sie entdecken, dass einige Datenbankdateien von »MVSSQL01« während
der automatisierten Sicherung nicht gesichert wurden. Sie müssen die
Einstellungen der automatisierten Sicherungen so verändern, dass
sichergestellt ist, dass alle Datenbankdateien gesichert werden, auch
wenn diese gerade von Benutzern verwendet werden.
A
{
Sie aktivieren Schattenkopien.
B
{
Sie aktivieren den Schalter /V beim
Sicherungskommando.
C
{
Sie konfigurieren eine wöchentliche Sicherung.
D
{
Sie konfigurieren eine tägliche Sicherung.
- 33 -
Frage 26
Sie sind der Netzwerkadministrator der Firma Merk. Das Netzwerk besteht
aus einem einzigen Verzeichnisdienst mit der Bezeichnung MERK.DE. Die
Firma MVS M. Völk Systems hat vor kurzem die Firma Merk erworben. Das
Netzwerk der Firma MVS M. Völk Systems besteht aus einer
Gesamtstruktur und zwei Verzeichnisdiensten mit den Bezeichnungen
MVSNET.DE und KC.MVSNET.DE.
Die Domäne MERK.DE hat zur Domäne MVSNET.DE eine ISDN-Verbindung
über die IP-Adresse 192.168.1.1 und eine T1-Standleitung zur Domäne
KC.MVSNET.DE über die IP-Adresse 192.168.0.12. Je Domäne existieren
zwei Domänencontroller. Diese übernehmen auch die Funktion des DNSServers in den jeweiligen Domänen. Der DNS-Server von MERK.DE soll
Namesauflösungsanfragen an die Domäne MVSNET.DE weiterleiten, wenn
er die Anfragen nicht selbst durchführen kann.
Wie müssen Sie die DNS-Forward-IP-Adresse auf dem DNS-Server von
MERK.DE konfigurieren?
A
{
Sie müssen keine Aktion ausführen, da sich alle DNSServer automatisch gegenseitig befragen.
B
{
Sie verwenden die IP-Adressen der DNS-Server aus dem
Subnetz 192.168.1.*.
C
{
Subnetz 192.168.0.*.
D
{
Sie verwenden als IP-Adressen der DNS-Server
192.168.1.1 und 192.168.0.12.
- 34 -
Frage 27
Bezeichnung MVSNET.DE. Zurzeit ist ein Windows Server 2003 Server mit
der Bezeichnung »MVSDC001« der einzige Domänencontroller für
MVSNET.DE.
»MVSDC001« ist außerdem der DNS-Server für die Active Directoryintegrierte Zone mit der Bezeichnung MVSNET.DE. Sie konfigurieren einen
neuen Windows Server 2003 Server mit der Bezeichnung »MVSDC002«
und starten ihn neu. Sie müssen dafür sorgen, dass der SRV-Eintrag auf
»MVSDC001« vollständig ist.
Wie gehen Sie vor?
A
{
Sie starten den netlogon-Dienst auf »MVSDC001« neu.
B
{
C
{
Sie lassen das ipconfig /registerdns-Kommando auf
»MVSDC001« laufen.
D
{
- 35 -
Frage 28
Netzwerk besteht aus einer einzigen Gesamtstruktur mit drei Domänen
mit den Bezeichnungen MVSNET.DE, KC.MVSNET.DE und CB.MVSNET.DE.
Die Firma MVS M. Völk Systems unterhält Büros in mehreren Städten. Alle
Domänencontroller sind als DNS-Server und die Zonenreplikation für jede
DNS-Zone so konfiguriert, dass sie zwischen den einzelnen
Domänencontrollern der Domänen stattfindet. Die Konfiguration der
Domänencontroller zeigt folgende Tabelle:
Domänencontroller
Standort
Zone
»MVSDC001«
Puchheim
MVSNET.DE
»MVSDC002«
Puchheim
MVSNET.DE
»MVSDC003«
Cottbus
CB.MVSNET.DE
»MVSDC004«
Dresden
CB.MVSNET.DE
»MVSDC005«
Hoyerswerda
CB.MVSNET.DE
»MVSDC006«
Kronach
KC.MVSNET.DE
»MVSDC007«
Kronach
KC.MVSNET.DE
Sie müssen sicherstellen, dass bei DNS-Abfragen, die an den Server
»MVSDC001« gerichtet werden, die Zoneneinträge der anderen
Domänencontroller und DNS-Server schnellstmöglich zur Verfügung
stehen. Außerdem wollen Sie neue Domänencontroller, die in der Zone
CB.MVSNET.DE hinzugefügt werden, automatisch in die Suchliste auf dem
Domänencontroller »MVSDC001« mit aufnehmen.
Wie gehen Sie vor?
A
{
Sie erstellen auf »MVSDC001« eine Stubzone für
CB.MVSNET.DE.
B
{
Sie erstellen auf »MVSDC001« eine sekundäre Zone für
CB.MVSNET.DE.
C
{
Sie konfigurieren auf »MVSDC005« CB.MVSNET.DE so,
dass diese Zone auf alle anderen DNS-Server in der
Gesamtstruktur repliziert wird.
D
{
Sie konfigurieren CB.MVSNET.DE auf »MVSDC001« so,
dass diese Zone auf alle anderen DNS-Server der
Domäne repliziert wird.
- 36 -
Frage 29
Netzwerk besteht aus einem Verzeichnisdienst mit dem Namen
MVSNET.DE und beinhaltet Windows Server 2003 und Windows XP
Professional Computer.
MVS M. Völk Systems hat eine Tochtergesellschaft erworben. Sie erhalten
eine Textdatei (*.csv) mit den Namen aller Mitarbeiter und den
dazugehörenden Benutzerkonten. Sie müssen diese neuen Benutzer in
Ihre Domäne importieren.
Welches Kommando sollten Sie benutzen?
A
{
Sie verwenden das Kommando ldifde.
B
{
Sie verwenden das Kommando csvde.
C
{
Sie verwenden das Kommando ntdsutil mit
autorisierender Wiederherstellungsoption.
D
{
Sie verwenden das Kommando dsadd user.
- 37 -
Frage 30
Server 2003, auf den Workstations Windows XP Professional. Auf dem
Mitgliedsserver »MVSSRV01« läuft der XML-Webdienst für das interne
Netzwerk. Dieser Dienst ist mit den Standardeinstellungen konfiguriert.
Sie sind ein Mitglied der lokalen Administratorengruppe von »MVSSRV01«
und benötigen die Fähigkeit, »MVSSRV01« remote zu verwalten. Sie
haben bis zum nächsten Geschäftsjahr kein Budget, um zusätzliche
Lizenzen für das Netzwerk zu kaufen.
Wie müssen Sie »MVSSRV01« konfigurieren?
A
{
Sie aktivieren den Remotedesktop in der Dialogbox der
Systemeigenschaften.
B
{
Sie fügen Ihr Benutzerkonto zu der lokalen Gruppe der
C
{
Sie aktivieren die Remoteunterstützung in den
D
{
Sie installieren den Terminalserverdienst, indem Sie
Hinzufügen oder Entfernen von Programmen
verwenden.
- 38 -
Frage 31
Server 2003. Die Domäne enthält einen Mitgliedsserver mit der
Bezeichnung »MVSSRV01«, der Mitglied der Organisationseinheit Server
ist.
»MVSSRV01« wird von einem Applikationsadministrator mit dem Namen
Andreas verwaltet. Dessen Domänenkonto ist Mitglied der Lokalen
Administratoren auf dem Server. Nur Benutzer, die das Recht haben, sich
lokal auf diesem Server anzumelden, sind Mitglieder dieser Gruppe. Die
vorgegebenen Sicherheitsrichtlinien der Firma schreiben vor, dass sich nur
einzelne, autorisierte Personen auf »MVSSRV01« anmelden können.
Sie entdecken, dass die Helpdesktechniker die
Remotedesktopverbindungsfreigabe benutzen, um ihre
Serveranmeldesitzungen mit nicht autorisierten Personen zu teilen. Sie
müssen »MVSSRV01« nun so konfigurieren, dass die
Remotedesktopverbindungsfreigabevon den Helpdeskmitarbeitern nicht
aktiviert oder verwendet werden kann. Trotzdem soll Andreas die
Möglichkeit haben, diese Features zu verwenden und zu aktivieren.
A
{
Sie deaktivieren in der Dialogbox der
Systemeigenschaften die Option Benutzern erlauben,
eine Remotedesktopverbindung herzustellen und
aktivieren die Option Ermöglicht das Senden von
Remoteunterstützungsangeboten.
B
{
Sie schalten in der Dialogbox der Systemeigenschaften
die Benutzern erlauben, eine
Remotedesktopverbindung herzustellen-Option aus.
C
{
Sie verändern die Gruppenrichtlinien für die ServerOrganisationseinheit dahingehend, dass Sie die Option
Ermöglicht das Senden von
Remoteunterstützungsangeboten ausschalten.
D
{
Um Remoteunterstützung bitten ausschalten.
- 39 -
Frage 32
allen Servern im Netzwerk läuft Windows Server 2003. Sie installieren den
Software Update Dienst (SUS) auf einem Server. Sie nehmen folgende
Einstellungen vor:
• Für den Internetzugriff keinen Proxyserver verwenden.
• Direkt vom Microsoft Windows Update Server aus synchronisieren.
• Automatisches Genehmigen von neuen Versionen der kürzlich
genehmigten Updates.
• Sichern der Updates in lokalen Ordnern.
Sie führen eine manuelle Synchronisation durch. Nun müssen Sie die
kritischen Informationen sichern, die im Zusammenhang mit Ihrer
Installation des SUS stehen.
Wie gehen Sie vor?
A
{
Sie verwenden als erstes die Sicherungsutilities, um die
Systemstatusdaten zu sichern und anschließend das IISAdministrations-Tool, um die Standardwebseiten zu
sichern.
B
{
Sie verwenden zuerst das IIS-Administrations-Tool, um
die Standardwebseiten und die IIS-Metabasis zu sichern,
und dann die Sicherungsutilities, um die Daten zu
sichern.
C
{
die IIS-Metabasis zu sichern, und dann die
Sicherungsutilities, um die IIS-Metabasisdateien zu
sichern.
D
{
die IIS-Metabasisdateien und die Standardwebseiten zu
sichern, und anschließend das IIS-Administrations-Tool,
um die IIS-Metabasis zu sichern.
- 40 -
Frage 33
Netzwerk besteht aus einer Hauptstelle und fünf Filialen. An allen
Standorten sind Netzwerkserver installiert. Auf allen Servern des
Netzwerkes läuft Windows Server 2003. Das technische Supportpersonal
ist in der Hauptstelle untergebracht. Die Benutzer der Filialen haben nicht
das Recht, sich lokal auf den Servern der eigenen Filiale anzumelden. Die
Server der Filialen sammeln Überwachungsinformationen.
Sie benötigen die Möglichkeit, diese Überwachungsinformationen, die auf
den jeweiligen Server der Filialen liegen, zu überprüfen, obwohl Sie in der
Hauptstelle arbeiten. Außerdem müssen Sie die
Überwachungsinformationen auf der Festplatte von jedem Filialenserver
speichern können.
Welche Aktionen führen Sie durch?
A

Sie sichern über das Sicherheitskonfigurations-SnapIn die Ereigniseinträge der Überwachungsinformationen
und die jeweiligen *.inf-Dateien auf der lokalen
Festplatte des jeweiligen Servers.
B

Sie verbinden sich über die Computerverwaltung des
Domänencontrollers zu den einzelnen Servern und
speichern die Überwachungsinformationen lokal auf den
jeweiligen Servern ab.
C

Sie starten die Computerverwaltung, öffnen die
Ereignisanzeige und speichern die jeweiligen
Protokolldateien mit der Dateiendung *.evt oder *.txt
auf der lokalen Festplatte des jeweiligen Servers ab.
D

Sie starten secedit.exe, um die Informationen
auszuwerten und im Anschluss daran abspeichern zu
können.
E

Sie richten eine Remotedesktopsitzung mit jedem
Filialserver ein.
- 41 -
Frage 34
Server 2003, auf dem Server »MVSIIS05« IIS. Dieser Server stellt alle
Webseiten der Firma MVS M. Völk Systems bereit.
Sie erstellen zwei neue Webseiten, Buecher und Unterlagen und den
passenden CNAME-Eintrag auf dem DNS-Server. Sie testen beide
Webseiten offline und können erfolgreich zugreifen. Wenn Sie die
Webseiten online testen, können Sie auf keine der beiden Seiten
zugreifen. Sie werden auf Standardwebseiten weitergeleitet. Sie öffnen
den IIS-Manager und stellen fest, dass die beiden neuen Webseiten
gestoppt sind. Sie müssen sicherstellen, dass Sie alle Webseiten auf
»MVSIIS05« starten können.
Was können Sie tun, um das Problem effektiv und praxisgerecht zu lösen?
A

Sie geben Buecher.MVSNET.DE und
Unterlagen.MVSNET.DE als den Host Header-Namen für
die beiden Webseiten an.
B

Sie erstellen für jede neue Webseite eine Datei im
Directorypfad mit dem Namen default.html.
C

Sie geben für jede neue Webseite einen einmaligen TCPPort an und stellen sicher, dass jeder Clientcomputer
den passenden Port verwendet, um sich mit der
Webseite zu verbinden.
D

Sie erstellen für jede Webseite einen http-Header.
E

Sie geben für jede Webseite eine eindeutige IP-Adresse
an und ändern die passenden Hosteinträge auf dem
DNS-Server.
F

Sie schalten den Anonymen Zugriff für jede Webseite
ab.
- 42 -
Frage 35
Netzwerk betreibt eine Hauptstelle und zwei Filialen und besteht aus
einem einzigen Verzeichnisdienst mit der Bezeichnung MVSNET.DE. Auf
Workstations Windows XP Professional.
Ein Server mit der Bezeichnung »MVSSRV01« steht in einer der Filialen.
Der Server befindet sich in der Arbeitsgruppe IISDMZ. »MVSSRV01« ist
mit den Standardbetriebssystemeigenschaften konfiguriert. Der
Remotedesktop und die Remoteunterstützung sind aktiviert und der
Windows Nachrichtendienst installiert. Die Intranetseite der Firma wird
von diesem Server bereitgestellt.
Daniel ist der lokale Administrator, der die Intranetseite verwaltet. Er
bittet Sie, ihm bei der Installation einer Applikation auf dem Server
»MVSSRV01« zu helfen. Dazu benötigen Sie die Möglichkeit, während der
Installation den Desktop von Daniel zu sehen.
A
{
Sie öffnen von Ihrem Computer aus eine
Remotedesktopverbindung mit »MVSSRV01«.
B
{
Sie weisen Daniel an, eine Einladung für die
Remoteunterstützung von »MVSSRV01« zu erstellen und
Ihnen zu senden.
C
{
Sie bieten Daniel die Remoteunterstützung von Ihrem
Computer aus an.
D
{
Sie weisen Daniel an, die Applikationsfreigabe des
Windows Nachrichtendienstes zu aktivieren.
- 43 -
Frage 36
Server 2003, auf den Workstations Windows 2000 Professional.
Sie installieren Windows Server 2003 auf einem neuen Computer mit der
Bezeichnung »MVSSRV01« sowie mehrere Drucker und geben diese frei.
Sie weisen alle Benutzer an, sich mit diesen Druckern über die Adresse
http://MVSSRV01.MVSNET.DE/printer/mvsppt01 zu verbinden.
Benutzer berichten, dass sie sich mit dieser Adresse nicht verbinden
können. Sie müssen dafür sorgen, dass sich alle Benutzer unter der
Verwendung der http-Adresse die Drucker anbinden können.
Welche zwei Aktionen sollten Sie durchführen?
A

Sie veröffentlichen alle freigegebenen Drucker, die auf
»MVSSRV01« installiert sind, im Active Directory.
B

Sie erstellen auf »MVSSRV01« einen virtuellen Ordner
mit der Bezeichnung Drucker.
C

Sie installieren auf »MVSSRV01« IIS mit den
Standardeinstellungen.
D

Sie leiten die Freigaben aller Drucker auf »MVSSRV01«
um.
E

Sie installieren die Internetdruckerkomponenten von IIS.
F

Sie geben net stat W3SVS in einer *.cmd ein.
- 44 -
Frage 37
Bezeichnung MVSNET.DE.
Die Firma MVS M. Völk Systems eröffnet eine neue Filiale. Das Netzwerk
der neuen Filiale ist eine untergeordnete Domäne mit der Bezeichnung
KC.MVSNET.DE. Die beiden Domänen sind mit einer VPN-Verbindung
verbunden. Ein Windows XP Professional Computer mit der Bezeichnung
»MVSCL023« steht innerhalb der Domäne KC.MVSNET.DE.
Die Benutzer melden, dass sie sich von »MVSCL023« aus nicht mit dem
Server »MVSSRV01« verbinden können. Sie müssen dafür sorgen, dass
die Clientcomputer in der MVSNET.DE-Domäne Hostnamen aus der
untergeordneten Domäne KC.MVSNET.DE auflösen können.
Welche zwei Wege sind möglich, um das Problem zu lösen?
A

Sie fügen auf dem Server »MVSSRV02« einen
Hosteintrag (A) für »MVSSRV01« hinzu.
B

Sie fügen auf dem Server »MVSSRV01« eine
Delegierung für KC.MVSNET.DE hinzu.
C

Zeigereintrag (PTR) für »MVSSRV01.MVSNET.DE« hinzu.
D

E

Sie fügen auf dem Server »MVSSRV01« eine sekundäre
DNS-Zone für KC.MVSNET.DE hinzu.
- 45 -
Frage 38
Server 2003, auf den Workstations Windows XP Professional. Auf einem
Mitgliedsserver mit der Bezeichnung »MVSSRV01« läuft der Software
Update Service (SUS).
»MVSSRV01« ist so konfiguriert, dass er sich täglich direkt mit dem
Microsoft Update Server synchronisiert. Alle Clientcomputer sind so
konfiguriert, dass sie die automatische Update Clientsoftware verwenden,
um Updates von »MVSSRV01« zu beziehen. Alle Clientcomputer sind in
einer Organisationseinheit mit der Bezeichnung Client enthalten.
Microsoft gibt ein kritisches Sicherheitsupdate für Windows XP Professional
Computer frei. Die Clientcomputer in Ihrem Netzwerk erhalten dieses
Update nicht, andere Updates dagegen ohne Probleme. Sie müssen dafür
sorgen, dass alle Clients das kritische Sicherheitsupdate erhalten.
A
{
Sie aktivieren in der Dialogbox der Systemeigenschaften
jedes Clientcomputers die Meinen Computer auf dem
neusten Stand halten-Option.
B
{
Sie verändern die Einstellungen der Gruppenrichtlinien in
der Client-Organisationseinheit.
C
{
Sie öffnen den SUS-Inhaltsverzeichnis-Ordner auf dem
Server »MVSSRV01«, wählen die Datei aus, die das
kritische Sicherheitsupdate beinhaltet und vergeben das
Leserecht für diese Datei an alle Clientcomputer.
D
{
Sie verwenden den Internet Explorer, um sich mit der
SUS-Administrationsseite zu verbinden und genehmigen
das Sicherheitsupdate.
- 46 -
Frage 39
Netzwerk beinhaltete ursprüngliche eine einzige Windows NT 4.0-Domäne.
Sie aktualisieren diese Domäne zu einem auf Windows Server 2003
basierenden Verzeichnisdienst. Nun läuft auf allen Servern im Netzwerk
Windows Server 2003, auf den Workstations Windows XP Professional. Sie
verwenden eine Drittanbieter-Software, um Ihren Mitarbeitern die
Änderung ihrer Kennwörter bei Verlust oder Ablauf selbständig über eine
Weboberfläche zu ermöglichen.
Ihre Mitarbeiter leisten den technischen Support für das Netzwerk und
stellen häufig eine Remotedesktopverbindung mit einem
Domänencontroller mit der Bezeichnung »MVSDC001« her. Sie engagieren
25 neue Supportspezialisten für Ihr Team. Sie verwenden csvde.exe, um
die Benutzerkonten für alle 25 Benutzer zu erstellen.
Ein neuer Supportspezialist mit dem Namen Daniel berichtet Ihnen, dass
er nicht in der Lage ist, eine Remotedesktopverbindung mit »MVSDC001«
herzustellen. Er bekommt eine Fehlermeldung mit dem Verweis, dass der
Benutzername bzw. das Kennwort falsch sind. Sie öffnen gpedit.msc auf
»MVSDC001«.
Ein Ausschnitt der Sicherheitsoptionen ist unten dargestellt. Zusätzlich
überprüfen Sie die Einstellungen des Kontos und stellen fest, dass der
Benutzer sein Kennwort noch nicht geändert hat.
Sie sollen sicherstellen, dass Daniel in der Lage ist, eine
Remotedesktopverbindung mit »MVSDC001« herzustellen.
- 47 -
A
{
Sie weisen Daniel an, eine VPN-Verbindung zu
»MVSDC001« herzustellen, bevor er die
Remotedesktopverbindung startet.
B
{
Sie weisen Daniel an, ein Passwort für sein
Benutzerkonto zu setzen, bevor er die
C
{
Sie setzen das Kennwort vom Benutzerkonto Daniels
zurück und weisen ihn an, sein Kennwort zu ändern.
D
{
Sie aktivieren in den lokalen Sicherheitseinstellungen
von »MVSDC001« die Einstellung Änderungen von
Computerkontenkennwörtern verweigern.
- 48 -
Frage 40
allen Netzwerkservern läuft entweder Windows 2000 Server oder Windows
Server 2003, auf allen Clientcomputern Windows XP Professional. Auf dem
Server mit der Bezeichnung »MVSSRV03« läuft Windows Server 2003,
außerdem ist IIS 6.0 mit seinen Grundeinstellungen installiert.
Sie möchten WebDAV als sichere Alternative zum bisherigen unsicheren
FTP verwenden.
Was sollten Sie tun?
A
{
Sie starten den WWW Publishing-Dienst auf
»MVSSRV03« neu.
B
{
Sie erlauben den anonymen Zugriff auf den Webordner.
C
{
Sie verändern die Berechtigungen auf dem IIS-Server,
um auf die Webordner Zugriff zu bekommen.
D
{
Sie aktivieren WebDAV und erstellen eine
Ordnerstruktur, die gleich der Ordnerstruktur des FTPServers ist.
- 49 -
Frage 41
Sie sind der Netzwerkadministrator der Firma MVS M. Völk Systems. Ein
DHCP-Server im lokalen Subnetz ist dafür konfiguriert, Clientcomputern
IP-Adressen aus dem Bereich 10.10.22.20 bis 10.10.22.254 zuzuweisen.
Alle Clientcomputer verbinden sich mit dem Internet, indem sie einen
Server mit der Bezeichnung »MVSNAT01« verwenden.
»MVSNAT01« ist ein Windows Server 2003 Server, der als RRAS-Server
im Netzwerk fungiert. Auf dem Server »MVSNAT01« ist das NAT/Basic
Firewall Routing-Protokoll erlaubt. Die interne Schnittstelle ist verbunden
mit Ethernet1 10.10.22.10 LAN und Ethernet2 131.107.100.202 Internet.
Die Clientcomputer sind nicht in der Lage, sich mit dem Internet zu
verbinden. Sie lassen das ping-Kommando von einer
Kommandoeingabeaufforderung auf einem Windows XP Professional
Computer aus dem lokalen Netzwerk laufen und erhalten folgende
Meldung:
Sie müssen dafür sorgen, dass die Clientcomputer in der Lage sind, sich
mit dem Internet zu verbinden.
Welche zwei Aktionen führen Sie aus, um dieses Problem zu lösen?
A

Sie konfigurieren den DCHP-Server so, dass er den
Clientcomputern die Standardgatewayadresse
131.107.100.202 zuweist.
B

131.107.100.201 zuweist.
- 50 -
C

Sie konfigurieren den NAT/Basic FirewallSchnittstellentyp für Ethernet1 so, dass es eine private
Schnittstelle ist.
D

Sie konfigurieren den NAT/Basic FirewallSchnittstellentyp für Ethernet2 so, dass es eine
öffentliche Schnittstelle ist.
E

Sie konfigurieren den ausgehenden Portfilter von
Ethernet1 so, dass alle Netzwerkprotokolle erlaubt
werden.
F

werden.
- 51 -
Frage 42
Bezeichnung MVSNET.DE und hat 15 Windows Server 2003 Computer, die
als Intranetwebserver fungieren.
Sie installieren den Windows Server 2003 Computer »MVSSRV07« mit
Routing- und Remotezugriff. »MVSSRV07« verwendet die interne LAN-IPAdresse 10.10.1.1 und hat die Internetverbindungsfreigabe aktiviert. Die
15 Intranetwebserver verwenden den DNS-Server »MVSDNS01« für die
Auflösung von lokalen Hostnamen. Jeder der 15 Intranetwebserver
verwendet statische IP-Adressen. Die Konfiguration eines der
Intranetwebserver ist wie folgt dargestellt:
Die Webserver benötigen ebenfalls Internetzugriff, um den Inhalt
bestimmter öffentlicher Webseiten über XML oder RSS innerhalb der
- 52 -
Intranetwebseite darzustellen. Sie versuchen, auf öffentliche Webseiten
über einen der Intranetwebserver zuzugreifen und stellen fest, dass dies
nicht funktioniert. Sie müssen sicherstellen, dass alle 15 Intranetserver
auf den Inhalt von öffentlichen Webseiten zugreifen können.
Wie gehen Sie vor?
A
{
Sie erstellen auf dem DHCP-Server eine
Clientreservierung für jeden der Webserver.
B
{
Sie verwenden in den Internet Explorer LANEinstellungen einen Proxyserver mit der Adresse
10.10.1.1 und dem Port 8080.
C
{
Sie wählen in den Internet Explorer LAN-Einstellungen
automatisch die Standardeinstellungen.
D
{
Sie konfigurieren die Internet Explorer LAN-Einstellungen
so, dass automatisch ein konfiguriertes Skript verwendet
wird, das auf
http://MVSSRV07:8080/arrat.dll?Get.Routing.Scri
pt zeigt.
E
{
Sie konfigurieren die TCP/IP-Einstellungen jedes
Webservers so, dass dieser 10.10.1.1 als
Standardgatewayadresse verwendet.
- 53 -
Frage 43
Server 2003.
Sie installieren den Terminaldienst auf allen Domänencontrollern. Die
Mitarbeiter des technischen Supports berichten Ihnen, dass sie sich mit
Hilfe des Terminaldienstes auf keinen der Domänencontroller verbinden
können.
Wie kann man dieses Problem lösen?
A
{
Sie installieren den Remotedesktop für die Gruppe
Administratoren.
B
{
Sie fordern die Spezialisten auf, eine Konsolensitzung für
die Verbindung auf die Terminalserver zu verwenden.
C
{
Sie fügen die Gruppe Remoteadministratoren zu der
Gruppe Konten Operatoren hinzu.
D
{
Sie fügen die Mitarbeiter des technischen Supports zu
der Gruppe Remotedesktopbenutzer hinzu.
E
{
Sie verändern die
Standarddomänencontrollergruppenrichtlinie so, dass Sie
den Mitarbeitern des technischen Supports das Recht zur
lokalen Anmeldung geben.
- 54 -
Frage 44
Server 2003, auf den Workstations Windows XP Professional.
Sie installieren den Terminalserver auf den drei Mitgliedsservern
»MVSSRV01«, »MVSSRV02« und »MVSSRV03« und fügen eine
Domänengruppe mit der Bezeichnung Autoren zu der Gruppe
Remotedesktopbenutzer auf allen drei Terminalservern hinzu.
Eine Woche später stellen Sie fest, dass Dateien auf »MVSSRV01« und
»MVSSRV02« von einer Benutzerin mit dem Namen Sarah gelöscht
wurden. Sarah ist ein Mitglied der Gruppe Autoren. Sie müssen Sarah
daran hindern, sich mit einem der Terminalserver zu verbinden.
A
{
Sie ändern auf allen drei Terminalservern die RDP-TcpVerbindungsberechtigungen, indem Sie den Benutzerund Gastzugriff verweigern.
B
{
Sie ändern auf allen drei Terminalservern die RDP-TcpVerbindungsberechtigungen, erlauben den Gastzugriff
und setzen diese Berechtigung auch für das
Benutzerkonto von Sarah.
C
{
Sie verbieten in den Eigenschaften von Sarahs
Benutzerkonto das Anmelden an Terminalservern.
D
{
Sie ändern auf allen drei Terminalservern die RDP-TcpVerbindungsberechtigungen. In den Eigenschaften von
Sarahs Benutzerkonto erlauben Sie die
Verbindungstrennungsoption.
- 55 -
Frage 45
Server 2003. Ein einziger Server, auf dem der Terminalserver läuft, ist für
Remotebenutzer verfügbar.
Ihre Helpdeskmitarbeiter sind dafür zuständig, die Aktivitäten von
Benutzern auf dem Terminalserver zu überwachen und Nachrichten über
neue Programme oder Veränderungen am Terminalserver an die Benutzer
zu senden.
Ein Firmenentwickler schreibt ein Skript, das die relevanten
Benutzerinformationen in eine Datei schreiben und Meldungen versenden
soll, sofern dies nötig ist. Sie müssen dafür sorgen, dass das Skript immer
dann läuft, wenn sich ein Benutzer auf dem Terminalserver anmeldet.
Wie gehen Sie vor?
A
{
Sie erstellen ein Clientverbindungsobjekt für die Gruppe
Remotedesktopbenutzer und konfigurieren es so, dass es
das Skript ausführt.
B
{
Sie konfigurieren auf dem Terminalserver die RDP-TcpEigenschaften mit dem Namen des Skriptes. Sie
überschreiben alle anderen Einstellungen.
C
{
Sie wählen in der Standarddomänengruppenrichtlinie die
Option Starten eines Programms beim Anmelden
aus und geben den Namen des Skriptes an.
D
{
Sie konfigurieren auf dem Terminalserver die RDP-TcpEigenschaften mit dem Namen des Skriptes.
- 56 -
Frage 46
Netzwerk besteht aus einer einzigen Gesamtstruktur. Diese
Gesamtstruktur enthält eine Domäne mit der Bezeichnung MVSNET.DE.
Das Netzwerk besteht aus zwei Subnetzen mit den Namen Subnetz-A und
Subnetz-B. Die beiden Subnetze sind über einen Router miteinander
verbunden. Das Netzwerk besteht außerdem aus vier Windows Server
2003, 300 Windows 2000 Professional und 25 Windows NT Server 4.0
Computern. Drei der Server sind so wie in der Tabelle zu sehen
konfiguriert:
Server
Serverrolle
Installierte
Anwendungen und
Dienste
Betriebssystem
Sub
netz
»MVSSRV1«
Domänencontroller
Active Directory, DNS
ServerZertifizierungsstelle
Windows
Server 2003
A
»MVSSRV2«
Mailserver
Microsoft ExchangeServer
Windows NT
Server
A
»MVSSRV3«
Datei und
Druckdienste
WINS, DHCP,
sekundäre DNS
Windows
2000 Server
B
Die DNS-Zone führt gegenwärtig nur Einträge für Windows 2000
Professional Computer auf. Jeder Clientcomputer ist so konfiguriert, dass
er Namensauflösungsanfragen an »MVSSRV1« und »MVSSRV3« sendet.
Die Benutzer sind in der Lage, auf alle Ressourcen im Netzwerk
zuzugreifen.
Sie denken darüber nach, die TCP/IP-Einstellungen für jeden
Clientcomputer so zu ändern, dass Sie den Verweis auf »MVSSRV2«
entfernen. Sie müssen gleichzeitig sicherstellen, dass die Clientcomputer
weiterhin auf E-Mails zugreifen können.
A
{
Sie aktivieren in den erweiterten TCP/IP-Einstellungen
NetBios über TCP/IP.
B
{
Lmhost Abfrage aktivieren.
C
{
Sie fügen in den Eigenschaften von MVSNET.DE einen
Namensservereintrag für »MVSSRV3« hinzu.
D
{
Sie erlauben in den Eigenschaften von MVSNET.DE
WINS-Forward-Lookup.
- 57 -
Frage 47
Netzwerk besteht aus zwei Verzeichnisdiensten. Jede Abteilung hat ihre
eigene Organisationseinheit für ihre Benutzerkonten, jede
Organisationseinheit separate Gruppenrichtlinien.
Ein einziger Terminalserver mit der Bezeichnung »MVSTRM01« ist für
Remotebenutzer reserviert. Zusätzlich haben einige Abteilungen ihre
eigenen Terminalserver für den Abteilungsgebrauch.
Ihr Helpdesk berichtet, dass auf dem Server »MVSTRM01« Sitzungen
bestehen bleiben, auch wenn diese für Tage inaktiv sind. Benutzer aus der
Buchhaltungsabteilung berichten von langen Reaktionszeiten ihrer
Terminalserver.
Sie sollen dafür sorgen, dass Benutzer von »MVSTRM01« automatisch
abgemeldet werden, wenn die Sitzung für mehr als zwei Stunden inaktiv
ist. Ihre Lösung soll die Benutzer der anderen Terminalserver nicht
beeinträchtigen.
A
{
Sie ändern die Sitzungslimiteinstellung für die Benutzer
der Buchhaltung.
B
{
Sie verwenden auf dem Server »MVSTRM01« das
Terminalserver-Konfigurationstool, um die
Sitzungslimiteinstellung zu ändern.
C
{
Sie verändern die Gruppenrichtlinien, die mit der
Organisationseinheit Buchhaltung verbunden sind, indem
Sie die Sitzungslimiteinstellung bei den Benutzern
ändern.
D
{
Sie die Sitzungslimiteinstellung bei den
Computereinstellungen ändern.
- 58 -
Frage 48
Ihre Firma ist in vier Abteilungen aufgeteilt. Jede Abteilung entspricht
einer eigenen Organisationseinheit, in der die Computerkonten liegen.
Domänenbenutzer berichten, dass ihre Konten nach drei erfolglosen
Anmeldeversuchen gesperrt sind. Sie müssen Ihre Einstellung für das
Sperren von Konten auf fünf erfolglose Anmeldeversuche erhöhen.
Wie gehen Sie vor?
A
{
Sie modifizieren in der Gruppenrichtlinie aller
Organisationseinheiten die Anzahl erfolgloser
Anmeldeversuche und setzen den Wert auf fünf herauf.
B
{
Sie modifizieren die Domänengruppenrichtlinie und
setzen die Anzahl erfolgloser Anmeldeversuche auf fünf
herauf.
C
{
Sie setzen bei allen Benutzerkonten die Option, dass das
Kennwort nicht abläuft.
D
{
Sie modifizieren bei den Eigenschaften der Benutzer die
Option Sperren eines Benutzerkontos nach x
Anmeldeversuchen.
- 59 -
Frage 49
Sie sind der Netzwerkadministrator der Firma MVS M. Völk Systems. Ihre
Buchhaltungsabteilung hat einen neuen Windows Server 2003 Computer
mit der Bezeichnung »MVSSRV01«.
Dieser Computer stellt eine sichere Applikation bereit, die von einigen
Benutzern der Buchhaltungsabteilung verwendet wird. Alle Benutzer der
Applikation sollen in der Lage sein, sich lokal auf »MVSSRV01«
anzumelden. Sie haben sich entschieden, Verknüpfungen zu erstellen, die
auf die Applikation zeigen. Diese Verknüpfungen müssen nur für neue
Benutzer von »MVSSRV01« verfügbar sein.
In welchen Ordner müssen Sie die Verknüpfungen einfügen?
A
{
C:\Dokumente und Einstellungen\All Users.
B
{
C:\Dokumente und Einstellungen\Default User.
C
{
C:\Dokumente und Einstellungen\Administrator.
D
{
C:\Dokumente und Einstellungen\dmze1650.
E
{
C:\Dokumente und Einstellungen\Terminal User.
- 60 -
Frage 50
Bezeichnung MVSNET.DE. Auf allen fünf Domänencontrollern läuft
Windows Server 2003, auf den Workstations Windows XP Professional.
Die Domänenüberwachungsrichtlinien sorgen dafür, dass alle
Kontenanmeldungsereignisse protokolliert werden. Der Zeitarbeiter Daniel
verwendet einen Clientcomputer mit der Bezeichnung »MCSCL034«. Nun
müssen Sie feststellen, wann sich Daniel an der Domäne angemeldet hat.
Sie müssen dieses Ziel mit möglichst geringem administrativem Aufwand
erreichen.
Wie gehen Sie vor?
A
{
Sie melden sich als lokaler Administrator auf dem Client
»MCSCL034« an und verwenden die Ereignisanzeige, um
die lokalen Sicherheitsprotokolle anzuschauen. Dann
verwenden Sie die Option Suchen, damit nur die
Ereignisse von Daniels Benutzerkonto angezeigt werden.
B
{
verwenden Sie die Option Suchen, um nur die
Ereignisse des Computerkontos von »MCSCL034«
anzuzeigen.
C
{
Sie verwenden die Ereignisanzeige, um die
Sicherheitsprotokolle jedes Domänencontrollers
anzuschauen. Sie setzen einen Filter, um nur die
Ereignisse von Daniels Benutzerkonto anzuzeigen.
D
{
Ereignisse des Computerkontos von»MCSCL034«
anzuzeigen.
- 61 -
Frage 51
Windows Server 2003. Die Benutzerprofile sind in einem Ordner mit dem
Namen Profilehome gespeichert, dieser Ordner befindet sich auf einem
Mitgliedsserver mit der Bezeichnung »MVSSRV01«.
Der Ordner Profilehome ist als Profiles freigegeben. Eine Änderung in den
Firmenregeln erfordert es, dass Sie eine Benutzerobjektvorlage für die
Benutzer in der Technikerabteilung erstellen. Alle Benutzerkonten, die mit
dieser Benutzerobjektvorlage erstellt wurden, werden servergespeicherte
Benutzerprofile verwenden. Jeder Profilname wird auf dem Namen des
Benutzers basieren. Alle Profile müssen an einem zentralen Ort
gespeichert werden. Sie erstellen die Benutzerobjektvorlage und nennen
sie Techniker. Nun müssen Sie alle Informationen über die Profile zu
Techniker hinzufügen.
Wie gehen Sie vor?
A
{
\\MVSSRV01\profiles\Techniker.
B
{
C:\profilehome\%username%.
C
{
\\MVSSRV01\profiles\%username%.
D
{
\\MVSSRV01\profilehome\Techniker.
- 62 -
Frage 52
Firmennetzwerk besteht aus einem Verzeichnisdienst. Alle Server im
Netzwerk werden mit Windows Server 2003 betrieben. Als
Clientbetriebssystem wird sowohl Windows XP Professional als auch
Windows 2000 Professional eingesetzt.
Sie müssen sicherstellen, dass alle Anmeldungen der Domänenbenutzer
überwacht und mitprotokolliert werden. Um dies zu realisieren, bearbeiten
Sie die Standarddomänenrichtlinie.
Was müssen Sie einstellen?
(Ziehen Sie zur Beantwortung der Frage die entsprechenden
Richtlinieneinstellungen auf die richtigen Richtlinien.)
Keine
Überwachung
Erfolgreich
Fehlgeschlagen
Erfolgreich,
Fehlgeschlagen
- 63 -
Frage 53
Bezeichnung MVSNET.DE. Die Domänenfunktionsebene ist auf Windows
2000 gemischt gesetzt. Auf einem der Netzwerkserver läuft Windows 2000
Server, auf den anderen Windows Server 2003.
Alle Benutzer in der Buchhaltungsabteilung sind Mitglieder einer
existierenden globalen Verteilergruppe mit der Bezeichnung MVSBuchhaltung-C-G. Sie erstellen eine neue Netzwerkfreigabe für die
Benutzer der Buchhaltung. Sie müssen den Mitgliedern der Gruppe MVSBuchhaltung-C-G den Zugriff auf die neu erstellte Freigabe gewähren.
A
{
Sie stellen die Domänenfunktionsebene der Domäne auf
Windows Server 2003.
B
{
Sie ändern den Gruppentyp der Gruppe MVSBuchhaltung-C-G auf Sicherheit.
C
{
Sie ändern den Gruppenbereich/-typ von MVSBuchhaltung-C-G auf universell.
D
{
Sie stellen die Domänenfunktionsebene der
Domänengesamtstruktur auf Windows Server 2003.
- 64 -
Frage 54
allen Servern des Netzwerkes läuft Windows Server 2003. Die Bürozeiten
sind Montag bis Freitag von 9:00 Uhr bis 17:00 Uhr.
Der Server »MVSSRV01« ist für die Verwendung von Schattenkopien
konfiguriert. Diese werden immer um 00:00 Uhr erstellt. Im Ordner
mvsnetordners liegen die Dateien Subskribenten.mdb und
Subskribenten_cash.mdb.
Für einige Monate müssen Benutzer häufig auf die beiden
Datenbankdateien in mvsnetordners zugreifen. An einem Montagmorgen
teilt Ihnen eine Benutzerin mit, dass sie die Datei Subskribenten.mdb
verändern muss, allerdings muss sie die Version verändern, die letzen
Donnerstag um 17 Uhr existierte. Sie müssen »MVSSRV01« so verändern,
dass die nötigen Änderungen erlaubt sind. Sie müssen außerdem dafür
sorgen, dass die anderen Benutzer weiterhin auf die aktuellen Daten ohne
Unterbrechungen zugreifen können. Als erstes verbinden Sie das Laufwerk
\\MVSSRV01\mvsnetordners.
Welche weitere/n zusätzliche/n Aktion/en müssen Sie durchführen?
A

Sie greifen auf die Eigenschaften von
\\MVSSRV01\mvsnetordners zu.
B

\\MVSSRV01\mvsnetordners\Subskribenten.mdb zu.
C

Sie stellen die Freitagsversion von Subskribenten.mdb
wieder her.
D

Sie stellen die Donnerstagsversion von
Subskribenten.mdb wieder her.
E

Sie kopieren die Freitagsversion von
Subskribenten.mdb.
F

Sie kopieren die Donnerstagsversion von
Subskribenten.mdb.
- 65 -
Frage 55
Netzwerk beinhaltet einen Dateiserver mit der Bezeichnung »MVSSRV48«,
auf dem Windows Server 2003 läuft. Sie erstellen eine automatische
Systemwiederherstellungsdiskette für »MVSSRV48« und sichern die
Systemstatusdaten auf dem Sicherungsserver.
Drei Wochen später werden die Daten auf dem Systemlaufwerk von
»MVSSRV48« von einem Virus beschädigt. Wenn Sie den Server
»MVSSRV48« neu starten, können Sie nicht auf das Bootmenü zugreifen.
Sie müssen eine Wiederherstellung auf »MVSSRV48« starten.
Welche drei Aktionen führen Sie aus?
Arbeiten
Arbeitsschritte
Sie bearbeiten im Bios des
Rechners die Bootreihenfolge und
legen fest, dass zuerst auf der
Festplatte gesucht wird. Im
Anschluss führen Sie einen
Neustart des Rechners durch.
1 Hier einfügen
.
Sie legen die Original Windows
Server 2003 Installations-CD ein
und führen einen Neustart des
Servers durch.
2 Hier einfügen
.
Sie legen die Notfalldiskette ins
Laufwerk A ein.
3 Hier einfügen
.
Sie legen die Diskette für die
automatische
Systemwiederherstellung in
Laufwerk A ein.
Sie drücke die Taste DELETE beim
Hochfahren des Rechners.
Sie drücken die F2-Taste beim
- 66 -
Frage 56
Netzwerk besteht aus acht DNS-Servern. Sie verwenden den DNSNamensraum MVSNET.DE im Netzwerk. Alle acht DNS-Server müssen so
konfiguriert werden, dass sie die Erlaubnis haben, Hostnamen im
Namensraum MVSNET.DE aufzulösen.
Die folgende Abbildung zeigt, wie die einzelnen Server konfiguriert
werden, damit sie den MVSNET.DE-Namensraum unterstützen:
Servername
MVSNET.DE
»MVSDNS01«
Primäre, im Active Directory integrierte Zone
»MVSDNS02«
»MVSDNS03«
Sekundäre Zone
»MVSDNS04«
Sekundäre Zone
»MVSDNS05«
Stubzone
»MVSDNS06«
Stubzone
»MVSDNS07«
Bedingte Weiterleitung auf mvsdns01
»MVSDNS08«
Zurzeit gibt es einige falsche Namensservereinträge in der Zone
MVSNET.DE. Sie löschen alle existierenden Einträge und müssen nun
wieder alle Namensservereinträge der Server hinzufügen, die für die Zone
MVSNET.DE zuständig sind.
Welche/r Server sollte/n als Namensserver zur MVSNET.DE-Zone
hinzugefügt werden?
A
{
Sie wählen die DNS-Server »MVSDNS01«,
»MVSDNS02«, »MVSDNS03«, »MVSDNS04«,
»MVSDNS05«, »MVSDNS06«, »MVSDNS07« und
»MVSDNS08« aus und tragen diese Server als
Namensservereintrag bei den Eigenschaften der Zone
MVSNET.DE ein.
B
{
Sie wählen den DNS-Server »MVSDNS01« aus und
tragen diesen Server als Namensservereintrag bei den
Eigenschaften der Zone MVSNET.DE ein.
- 67 -
C
{
»MVSDNS06«, »MVSDNS07« und »MVSDNS08« aus und
tragen diese Server als Namensservereintrag bei den
D
{
E
{
- 68 -
Frage 57
Sie verwenden das Sicherungsprogramm, um jede Nacht eine komplette
Sicherung von »MVSDC001« durchzuführen. Sie stellen sicher, dass das
Active Directory auch gesichert wird. Eine Woche später akzeptiert
»MVSDC001« keine Anmeldeanfragen mehr. Bei Nachforschungen stellen
Sie fest, dass die Active Directory-Konfiguration beschädigt ist. Sie
müssen »MVSDC001« als Inhaber der Betriebsmasterrolle
schnellstmöglich wiederherstellen.
Welche Schritte führen Sie aus, um das Problem zu lösen?
A

Sie starten »MVSDC001« im Modus
Verzeichnisdienstwiederstellung neu.
B

Sie stufen »MVSDC001« zu einem Mitgliedsserver
zurück.
C

Sie lassen das Kommando ntbackup systemstate auf
D

Sie lassen das Sicherungsprogramm laufen, um die
Option für das Wiederherstellen der
Systemstatusdaten auszuwählen.
E

Sie lassen das Kommando ntdsutil auf »MVSDC001«
laufen.
- 69 -
Frage 58
Der Benutzer Daniel verwendet einen Clientcomputer mit der Bezeichnung
»MVSCL034«. Dieser Computer hat ein lokal hinzugefügtes Bandlaufwerk.
Sie geben Daniel die notwendigen Berechtigungen, so dass dieser eine
Sicherung des Mitgliedservers »MVSSRV02« durchführen kann. Daniel
lässt das Sicherungsprogramm auf dem Server »MVSSRV02« laufen und
sichert alle lokalen Dateien.
Sie müssen Ihren Clientcomputer (»MVSCL089«) verwenden, um die
letzten Sicherungsprotokolle für den Server »MVSSRV02« einzusehen. Auf
diesem Rechner sind die Windows Server 2003-Verwaltungstools
installiert.
Wie gehen Sie vor?
A
{
Sie verwenden einen Editor, um den Inhalt der
Sicherungsreporte auf »MVSSRV02« anzusehen.
B
{
Sie verbinden sich zum Client »MVSCL034« und
verwenden einen Editor, um den Inhalt der
Sicherungsreporte auf »MVSCL034« anzusehen.
C
{
Sie verwenden die Ereignisanzeige, um den Inhalt der
Anwendungsprotokolldatei von »MVSSRV02« anzusehen.
D
{
- 70 -
Frage 59
Das Netzwerk beinhaltet fünf Domänencontroller und fünf Mitgliedsserver.
Der Mitgliedsserver »MVSSRV03« hat ein lokal hinzugefügtes
Bandlaufwerk. Sie haben insgesamt fünf Sicherungsbänder, die Sie für
»MVSSRV03« verwenden können. Sie müssen jede Woche alle Daten auf
»MVSSRV03« sichern, jedoch nicht jeden Tag. Sie müssen aber die
Möglichkeit haben, »MVSSRV03« auf den Stand des Vortages
zurückzusetzen, dabei sollen Sie jedoch maximal zwei Bänder verwenden.
A
{
Jede Woche eine normale Sicherung und jeden Tag eine
Differenzsicherung.
B
{
C
{
Jede Woche eine normale Sicherung und jeden zweiten
Tag eine Differenzsicherung, am dritten Tag dann eine
D
{
Jeden Tag eine normale Sicherung.
- 71 -
Frage 60
Server 2003, auf den Workstations Windows XP Professional. Ein
Dateiserver mit der Bezeichnung »MVSFL002« ist als Server für das
verteilte Dateisystem konfiguriert.
Die Laufwerkskonfiguration von »MVSFL002« ist in der folgenden Tabelle
dargestellt:
Festplatte
Volume
Inhalt
0
System
Systemdaten
1
Daten
Datenbankdaten
1
Benutzer
Benutzerdaten
Das Volume Benutzer hat einen freigegebenen Ordner mit der
Bezeichnung Buecher. Sie verwenden die Gruppenrichtlinien, um die
Schattenkopieclientsoftware auf alle Clientcomputer zu verteilen.
Trotzdem berichten Benutzer, dass sie auf keine der letzten Versionen der
Daten von Buecher zugreifen können. Sie öffnen von Ihrem
Clientcomputer aus die Eigenschaften von Buecher und sehen, dass die
Gruppe Jeder Vollzugriff auf diese Daten besitzt. Sie müssen allen
Benutzern erlauben, auf die vorherigen Versionen der Dateien auf Buecher
zuzugreifen. Sie wollen »MVSFL002« verändern, um dieses Ziel zu
erreichen.
Wie gehen Sie vor?
A
{
Sie deaktivieren die Verwendung des verteilten
Dateisystems auf dem Rechner.
B
{
Sie erstellen einen DFS-Link zu Buecher.
C
{
Sie erlauben das Erstellen von Schattenkopien von
Buecher.
D
{
Sie schalten das Quota Management auf Buecher aus.
- 72 -
Frage 61
allen Servern des Netzwerkes läuft Windows Server 2003. Auf dem
Dateiserver mit der Bezeichnung »MVSSRV03« sind Schattenkopien
konfiguriert.
Dieser Server hat unter anderem einen freigegebene Ordner Namens
mvsdocs mit der Datei mvsmailaccounts.xls als Inhalt. Während Sie
eine ältere Version von mvsdocs einsehen, öffnen und verändern Sie die
Datei mvsmailaccounts.xls. Wenn Sie versuchen, diese veränderte Datei
zu speichern, bekommen Sie die folgende Fehlermeldung:
Sie müssen die Änderungen an der vorherigen Version von
mvsmailaccounts.xls speichern. Außerdem müssen Sie dafür sorgen,
dass andere Benutzer ohne Unterbrechungen weiterhin auf die aktuelle
Version von mvsmailaccounts.xls zugreifen können.
A
{
Sie kopieren die frühere Version von mvsdocs an eine
andere Stelle.
B
{
Sie stellen die frühere Version von mvsdocs am jetzigen
Speicherort wieder her.
C
{
Sie speichern mvsmailaccounts.xls an einem anderen
Ort, indem Sie Microsoft Excel verwenden.
D
{
Sie weisen in den Sicherheitseinstellungen von
mvsmailaccounts.xls der Gruppe Jeder die
Berechtigung Ändern zu.
- 73 -
Frage 62
Auf dem Mitgliedsserver »MVSSRV06« erstellen Sie einen Ordner mit der
Bezeichnung MVSDokumente und geben diesen frei. Auf diesem Ordner
werden Projektdokumente gespeichert. Sie konfigurieren Schattenkopien
für das Volume, das die Freigabe MVSDokumente beinhaltet. Sie müssen
den Clientcomputern erlauben, auf die vorherigen Versionen der
Dokumente zuzugreifen.
Wie gehen Sie vor?
A
{
Sie erstellen eine Gruppenrichtlinie, um Offlinedateien
auf allen Clientcomputern zu erlauben.
B
{
Sie erstellen eine Gruppenrichtlinie, die die Software des
Schattenkopieclient auf allen Clientcomputern installiert.
C
{
Sie erlauben den Vollzugriff auf MVSDokumente für alle
Benutzer.
D
{
Sie installieren auf jedem Clientcomputer das
Sicherungsprogramm und lassen eine tägliche Sicherung
laufen.
- 74 -
Frage 63
Server 2003. Jeder Domänencontroller besteht aus einem Laufwerk, das
sowohl als System- als auch als Bootpartition konfiguriert ist.
Sie verwenden die Sicherungssoftware, um jeden Tag eine Sicherung von
allen Benutzerprofilen und Benutzerdaten durchzuführen. Die
Sicherungssoftware ist mit einer bootfähigen Diskette versehen, die die
Treiber für die Sicherungsmedien beinhaltet. Jeden Samstag lassen Sie
den Automatischen Systemwiederherstellungsassistenten in Verbindung
mit dem entfernbaren Sicherungsmedium auf Ihren Domänencontrollern
laufen. Die Daten werden in einer Datei mit der Bezeichnung
backup1.bkf gesichert. Am Montagmorgen installieren Sie eine neue
Applikation auf dem Domänencontroller »MVSDC001«. Wenn Sie
»MVSDC001« neu starten, erhalten Sie folgende Fehlermeldung:
NTLDR ist nicht vorhanden. Drücken Sie eine beliebige Taste, um
den Computer neu zu starten.
Sie müssen »MVSDC001« so schnell wie möglich wieder online bringen.
A
{
Installations-CD verwenden, installieren das
Betriebssystem neu und stellen den Inhalt der letzten
Vollsicherung mit dem Wiederherstellungsassistenten
wieder her. Dann starten Sie »MVSDC001« neu.
B
{
Installations-CD verwenden und stellen den Inhalt von
backup1.bkf wieder her, indem Sie das ASR-Laufwerk
verwenden. Sie starten dann »MVSDC001« neu.
C
{
Sie starten »MVSDC001« neu, indem Sie das bootfähige
Diskettenlaufwerk verwenden und kopieren den Inhalt
von backup1.bkf vom Sicherungsmedium auf C:\winnt.
Anschließend starten Sie den Server »MVSDC001« neu.
D
{
des ASR-Laufwerkes auf C:\. Anschließend starten Sie
»MVSDC001« neu.
- 75 -
Frage 64
Server 2003.
Sie sind dafür verantwortlich, den Prozess für die Sicherung und
Wiederherstellung für alle Server zu definieren. Um die Sicherheit zu
steigern, verteilt die IT-Abteilung Zertifikate an alle Netzwerkbenutzer.
Smartcards werden für die Anmeldung an der Domäne erforderlich sein.
Der Domänencontroller »MVSDC001« ist als Zertifikatsserver konfiguriert.
Sie müssen einen Sicherungsplan für »MVSDC001« erstellen. Die
Sicherung soll nur das Minimum der Daten enthalten, die benötigt werden,
um das Active Directory und den Zertifikatsserver wiederherzustellen.
Welche Aktion/Aktionen führen Sie aus?
A

Sie sichern die Systemstatusdaten.
B

Sie sichern C:\windows\ntds.
C

Sie sichern C:\windows\sysvol.
D

Sie sichern C:\windows\system32\certsrv.
- 76 -
Frage 65
Bezeichnung MVSNET.DE. Die Domäne beinhaltet Windows Server 2003
und Windows XP Professional Computer. Die Standarddomänenrichtlinien
wurden durch das Importieren von Sicherheitsvorlagen verändert, die
Vorlagen beinhalten einige Sicherheitseinstellungen.
Auf dem Server mit der Bezeichnung »MVSSRV01« soll ein Programm
eventuelle Veränderungen auswerten. Sie müssen herausfinden, ob
zusätzliche Sicherheitseinstellungen in den lokalen Sicherheitsrichtlinien
auf »MVSSRV01«hinzugefügt worden sind. Um diesen Fehler zu beheben,
wollen Sie ein Tool verwenden, das die aktuellen Sicherheitseinstellungen
von »MVSSRV01« mit der Sicherheitsvorlagendatei vergleicht, um
festzustellen, ob irgendwelche Einstellungen zu den lokalen
Sicherheitsrichtlinien hinzugefügt wurden.
Welches Tool sollten Sie auf »MVSSRV01« laufen lassen?
A
{
Microsoft Baseline Sicherheits-Analyse (MBSA).
B
{
Sicherheitskonfigurations- und Analyse-Konsole.
C
{
gpresult.exe.
D
{
gpupdate.exe.
- 77 -
Frage 66
Bezeichnung MVSNET.DE. Das Netzwerk in Ihrem Büro besteht aus 20
Windows XP Professional Computern, die Domäne aus einer
Organisationseinheit mit dem Namen Kroniche_Housenkuh.
Sie müssen die Computer in Ihrem Büro daran hindern, nicht autorisierte
Skripte, die in der Microsoft Visual Basic, Scripting Editon (VBScript)Sprache geschrieben wurden, auszuführen. Sie wollen aber trotzdem in
der Lage sein, VBScripts-Dateien als Startskripte auf allen Computern in
Ihrem Büro zu verwenden. Sie müssen eine Lösung einführen, die keine
anderen Applikationen betreffen wird. Sie planen Softwarebe-/einschränkungsrichtlinien mit der Verwendung einer Gruppenrichtlinie auf
die Organisationseinheit Kroniche_Housenkuh anzuwenden. Sie setzen
den Standardsicherheitslevel auf Uneingeschränkt.
Welche Aktionen müssen Sie ausführen, um die
Softwareeinschränkungsrichtlinien zu konfigurieren?
A

Sie erstellen eine neue Zertifikatsregel und setzen das
Sicherheitslevel der Regel auf Uneingeschränkt. Sie
markieren digital alle *.vbs-Dateien, die Sie verwenden
wollen.
B

Sicherheitslevel der Regel auf Eingeschränkt. Sie
wollen.
C

Sie erstellen eine neue Pfadregel, setzen das
Sicherheitslevel der Regel auf Uneingeschränkt und
den Pfad auf *.vbs.
D

Sicherheitslevel der Regel auf Eingeschränkt und den
Pfad auf *.vbs.
E

Sie erstellen eine neue Internetzonenregel, setzen das
Sicherheitslevel der Regel auf Uneingeschränkt die
Internetzone auf Lokale Computer.
F

Sicherheitslevel der Regel auf Eingeschränkt und die
- 78 -
Frage 67
Netzwerk besteht aus einer einzigen Gesamtstruktur mit zwei Domänen
mit den Bezeichnungen MVSNET.DE und KC.MVSNET.DE und aus 15
Subnetzen. Die Domänencontroller sind wie in der nachstehenden Tabelle
dargestellt konfiguriert:
Domänencontroller
Domäne
Zone
Zonentyp
Stub Zone
»MVSDNS01«
MVSNET.DE
MVSNET.DE
ADintegriert
KC.MVSNET.DE
»MVSDNS02«
MVSNET.DE
MVSNET.DE
ADintegriert
KC.MVSNET.DE
»MVSDNS03«
KC.MVSNET.DE
KC.MVSNET.DE
ADintegriert
MVSNET.DE
»MVSDNS04«
KC.MVSNET.DE
KC.MVSNET.DE
ADintegriert
MVSNET.DE
Die Domänencontroller »MVSDNS01« und »MVSDNS02« sind in der
Domäne MVSNET.DE registriert, alle anderen Server in der Domäne
KC.MVSNET.DE. Sie erstellen Reverse-Lookup-Einträge für alle Subnetze.
Innerhalb der Domänen versehen etliche Windows NT 4.0 Server ihren
Dienst als Datei- und Druckserver, unter anderen auch der Server
»MVSSRV05«. Sie setzen für den Server »MVSSRV05« eine statische IPAdresse. Sie müssen sicherstellen, dass der Server »MVSSRV05« im DNS
registriert wird.
Welche Ressourceeinträge sollten Sie verändern?
A

Den Zeigereintrag (PTR) in der KC.MVSNET.DE-Zone.
B

Den Hosteintrag (A) in der KC.MVSNET.DE-Zone.
C

Den Aliaseintrag (CNAME) in der KC.MVSNET.DE-Zone.
D

Den Zeigereintrag (PTR) in der Stubzone.
E

Den Hosteintrag (A) in der Stubzone.
F

Den Aliaseintrag (CNAME) in der Stubzone.
- 79 -
Frage 68
Domänencontroller, Windows Server 2003 Mitgliedsserver und Windows
XP Professional Computer.
Alle Firmennetzwerkadministratoren müssen die administrativen
Verwaltungstools auf jedem Computer, an dem sie sich anmelden, zur
Verfügung haben. Alle Netzwerkadministratoren sind Mitglieder der
Gruppe Domänen-Administratoren. Die Konten der
Netzwerkadministratoren sind auf mehrere Organisationseinheiten verteilt.
Sie müssen dafür sorgen, dass die administrativen Verwaltungstools den
Netzwerkadministratoren zu Verfügung stehen. Außerdem müssen Sie
dafür sorgen, dass diese administrativen Verwaltungstools nur auf
Computern installiert werden, die mindestens 100 MB freien Speicherplatz
haben.
A

Sie erstellen eine Gruppenrichtlinie, die das
adminpak.msi auf der Domänenebene anwendet.
B

adminpak.msi mit der Organisationseinheit
Domänencontroller verknüpft.
C

Sie stellen sicher, dass nur die Gruppe DomänenAdministratoren das Leserecht und die Berechtigung zum
Anwenden von Gruppenrichtlinien hat.
D

Sie verweigern der Gruppe Domänenbenutzer die
Leseberechtigung und das Anwenden von
Gruppenrichtlinien für die neue Gruppenrichtlinie.
E

Sie erstellen einen WMI-Filter der Sucherabfrage für das
Win32_logicalDisk-Objekt für mehr als 100 MB freien
Speicherplatz.
F

Win32_logicalDisk-Objekt für weniger als 100 MB freien
Speicherplatz.
- 80 -
Frage 69
Netzwerk besteht aus einem einzelnen Verzeichnisdienst mit der
XP Professional Computer. Die definierten Sicherheitsrichtlinien erlauben
es den Benutzern, das verschlüsselnde Dateisystem (EFS) auf tragbaren
Computern zu verwenden. Alle tragbaren Computer sind in einer eigenen
Organisationseinheit mit dem Namen Clients zusammengefasst.
Der Netzwerksicherheitsadministrator erstellt ein separates
Domänenkonto als Datenwiederherstellungsagent (DRA). Die
Standarddomänenrichtlinien beinhalten die Internet Explorer
Sicherheitseinstellungen; diese sind auf allen Computern der Domäne
erforderlich. Benutzer sind momentan in der Lage, EFS auf allen
Computern, die EFS unterstützen, anzuwenden.
Sie müssen eine neue Gruppenrichtlinie erstellen, um die Einhaltung der
Sicherheitsrichtlinien der Firma sicherzustellen. Um dieses Ziel zu
erreichen, wollen Sie nur eine minimale Anzahl an Gruppenrichtlinien
verlinken. Alle anderen Domänengruppenrichtlinien sollen bestehen
bleiben.
Wie müssen Sie die Gruppenrichtlinien konfigurieren, um sicherzustellen,
dass die Benutzer EFS nur auf tragbaren Computern verwenden können?
Die Objekte haben folgende Distinguished Names:
Server: ou=Server,dc=mvsnet,dc=de
Domäne: dc=mvsnet,dc=de
Desktop: ou=desktop,ou=clients,dc=mvsnet,dc=de
Clients: ou=clients,dc=mvsnet,dc=de
Tragbare Computer: ou=tragbarecomputer,ou=clients, dc=mvsnet,dc=de
- 81 -
A
{
Server = Erlaube den Benutzern das Benutzen von EFS
Domäne = Erlaube den Benutzern das Benutzen von EFS
Desktop = Erstelle einen
Datenwiederherstellungsagenten
Clients = Füge einen Datenwiederherstellungsagenten
hinzu
Tragbare Computer = Erstelle einen
Datenwiederherstellungsagenten.
B
{
Server = Erstelle einen Datenwiederherstellungsagenten
Domäne = Erlaube den Benutzern nicht das Benutzen
von EFS
Desktop = Erlaube den Benutzern nicht das Benutzen
von EFS
Clients = Erstelle einen Datenwiederherstellungsagenten
Tragbare Computer = Verhindere die Vererbung der
Richtlinie.
C
{
Server = Die Richtlinienvererbung blockieren
Domäne = Füge einen Datenwiederherstellungsagenten
hinzu
Desktop = Füge einen Datenwiederherstellungsagenten
hinzu
Clients = Erlaube den Benutzern nicht das Benutzen von
EFS
Tragbare Computer = Erlaube den Benutzern nicht das
Benutzen von EFS.
D
{
Domäne = Die Richtlinienvererbung blockieren
Desktop = Erlaube den Benutzern das Benutzen von EFS
Clients = Die Richtlinienvererbung blockieren
Tragbare Computer = Erlaube den Benutzern das
Benutzen von EFS.
- 82 -
Frage 70
Bezeichnung MVSNET.DE. Das Puchheimer Büro enthält momentan einen
Windows Server 2003 Dateiserver mit der Bezeichnung »MVSFP001«. Alle
Dateiserver des Puchheimer Standortes sind in einer Organisationseinheit
mit dem Namen Server_PUC zusammengefasst. Sie haben die
Berechtigung zugewiesen, Berechtigungen für die Gruppenrichtlinie mit
der Bezeichnung PUCServerGPO zu ändern; diese ist mit der
Organisationseinheit Server_PUC verlinkt.
Die definierten Firmensicherheitsrichtlinien sagen aus, dass neue Server
mit speziellen vordefinierten Sicherheitseinstellungen konfiguriert werden
müssen, wenn diese der Domäne beitreten. Diese Einstellungen
unterscheiden sich leicht von denen der anderen Firmenbüros.
Sie planen Windows Server 2003 auf 15 neuen Computern zu installieren,
die als Dateiserver fungieren sollen. Sie müssen die speziellen
Sicherheitseinstellungen auf den neuen Dateiservern konfigurieren und
sicherstellen, dass die Sicherheitskonfiguration der neuen Dateiserver mit
denen des Servers »MVSFP001« konform geht. Sie exportieren eine Kopie
der lokalen Sicherheitsrichtlinie in eine Kopiervorlage. Nun wollen Sie die
Sicherheitseinstellungen der neuen Server konfigurieren. Dabei sollen Sie
mit minimalem administrativem Aufwand arbeiten.
A
{
Sie verwenden das Sicherheitskonfigurations- und
Analyse-Tool auf einem der neuen Server, um die
Kopiervorlage zu importieren.
B
{
Sie verwenden die
Standarddomänensicherheitsrichtlinienkonsole auf einem
der neuen Server und importieren die Kopiervorlage.
C
{
Sie verwenden die Gruppenrichtlinieneditorkonsole, um
die PUCServerGPO zu öffnen und die Kopiervorlage zu
importieren.
D
{
Sie verwenden die Standardsicherheitsrichtlinienkonsole
auf einem der neuen Server, um die Kopiervorlage zu
importieren.
- 83 -
Frage 71
Bezeichnung MVSNET.DE. Die Domäne enthält Windows Server 2003 und
Windows XP Professional Computer. Alle vertraulichen Firmendaten
werden auf einem Dateiserver mit dem Namen »MVSFO001« gespeichert.
Die Sicherheitsrichtlinien geben vor, dass alle vertraulichen Daten auf eine
sichere Art gespeichert und versendet werden müssen.
Um mit den Sicherheitsrichtlinien überein zu stimmen, erlauben Sie die
Verwendung des verschlüsselnden Dateisystems (EFS) auf die
vertraulichen Daten. Sie fügen das EFS-Zertifikat dem Beschreibungsfeld
der vertraulichen Daten der Benutzer, die auf diese Daten zugreifen
müssen, hinzu.
Während Sie die Netzwerküberwachung ausführen, stellen Sie fest, dass
die vertraulichen Daten, die auf »MVSFP001« gespeichert sind, über das
Netzwerk unverschlüsselt übertragen werden. Sie müssen dafür sorgen,
dass die Verschlüsselung immer verwendet wird, wenn vertrauliche Daten,
die auf »MVSFP001« gespeichert sind, über das Netzwerk versendet
werden.
Welche zwei Möglichkeiten gibt es, dieses Problem zu lösen?
A

Sie erlauben die Verwendung von Offlinedateien für die
vertraulichen Daten, die auf »MVSFP001« gespeichert
sind, und wählen die Verschlüsselung aus.
B

Sie verwenden die IPSec-Verschlüsselung zwischen
»MVSFP001« und den Clientcomputern der Benutzer, die
auf die vertraulichen Dateien zugreifen müssen.
C

Sie verwenden die Server Message Block-Signierung
(SMB) zwischen »MVSFP001« und den Clientcomputern
der Benutzer, die auf die vertraulichen Daten zugreifen
müssen.
D

Sie verbieten alle LM- und NTLMAuthentifizierungsmethoden auf »MVSFP001«.
E

Sie verwenden IIS, um die vertraulichen Daten bekannt
zu machen. Sie erlauben SSL auf dem IIS-Server und
öffnen die Dateien als Webordner.
- 84 -
Frage 72
Sie sind Administrator der Firma MVSPress Ltd. und verwalten ein auf
Windows Server 2003 basierendes Netzwerk. In der Münchner
Geschäftsstelle konfigurieren Sie einen Server mit der Bezeichnung
»MVSFP003.MUC.MVSPRESS.DE«, der als Druckserver eingesetzt wird.
Sie erstellen auf dem Server eine Reihe von Druckern und geben diese für
die Mitarbeiter der Domäne MUC.MVSPRESS.DE frei. Während Sie an
einem Windows XP Professional Clientcomputer arbeiten, möchten Sie die
auf dem Server »MVSFP003.MUC.MVSPRESS.DE« konfigurierten
Eigenschaften aller freigegebenen Drucker in der Münchner
Geschäftsstelle überprüfen.
Wie realisieren Sie das?
A
{
Sie stellen mit Ihrem Webbrowser eine Verbindung zu
http://mvsfp003.muc.mvspress.de/printers/ her.
B
{
http://mvsfp003.mvspress.de/printers/ her.
C
{
Sie führen den Befehl net view \\MVSFP003 aus.
D
{
Sie führen den Befehl net view
\\MVSFP003.MUC.MVSPRESS.DE aus.
- 85 -
Frage 73
Sie sind der Netzwerkadministrator der Firma MVS M. Völk Systems. Die
Firma unterhält Büros in drei Ländern. Im Netzwerk befinden sich
Windows Server 2003 und Windows XP Professional Computer. Das
Netzwerk ist wie in der Abbildung dargestellt konfiguriert:
Der Software Update Service (SUS) ist auf jeweils einem Server der
einzelnen Büros installiert. Jeder SUS-Server ist so konfiguriert, dass er
zum Synchronisieren die Standardeinstellungen verwendet. Da die
Bandbreite in jedem Büro begrenzt ist, wollen Sie sicherstellen, dass das
Aktualisieren nur einen minimalen Zeitaufwand in Anspruch nimmt.
Wie gehen Sie vor?
A
{
Sie synchronisieren die Updates mit einem SUS-Server
der anderen Büros.
B
{
Sie wählen nur die Standorte aus, die benötigt werden.
- 86 -
C
{
Sie konfigurieren den Background Intelligent Transfer
Service (BITS), um die Größe des Datenverkehrs auf 9
MB zu begrenzen.
D
{
Service (BITS), um unvollständige Jobs alle 20 Minuten
zu löschen.
- 87 -
Frage 74
Sie sind der lokale Netzwerkadministrator für die Filiale der Firma MVS M.
Völk Systems in Puchheim. Das Netzwerk besteht aus einem einzigen
Verzeichnisdienst mit der Bezeichnung MVSNET.DE. Auf allen Computern
in Puchheim läuft Windows XP Professional. Die Domäne enthält eine
Organisationseinheit mit dem Namen PUCClientOU, die alle
Computerobjekte des Puchheimer Büros enthält.
Eine Gruppenrichtlinie mit der Bezeichnung PClientGPO ist mit der
Puchheimer Clientorganisationseinheit verknüpft. Sie haben das Recht
erhalten, die Gruppenrichtlinien zu verändern. PClientGPO enthält eine
Softwarebeschränkungsrichtlinie, die verhindert, dass Dateien die eine
*.vbs-Erweiterung haben, ausgeführt werden. Alle anderen Applikationen
dürfen ausgeführt werden.
Sie wollen ein Skript mit der Bezeichnung Abgleich.vbs verwenden.
Dieses soll jede Nacht auf allen Computer des Puchheimer Büros
ausgeführt werden. Die Datei Abgleich.vbs ist auf einem freigegebenen
Skriptordner auf dem Server »MVSSRV03« gespeichert. Der Inhalt von
Abgleich.vbs wird aufgrund des Abgleichprogramms, das Sie verwenden
möchten, häufig geändert. Sie müssen die Richtlinie für
Softwareeinschränkung so ändern, dass diese verhindert, dass
unautorisierte .vbs-Skripts auf den Computern des Büros in Puchheim
laufen; das Skript Abgleich.vbs hingegen soll laufen. Sie müssen
außerdem sicherstellen, dass keine andere Applikation von dieser
Veränderung/Lösung beeinträchtigt wird. Sie wollen eine Lösung
einsetzen, die sie einmal konfigurieren und anschließend keinen weiteren
administrativen Aufwand mehr haben, auch wenn sich Abgleich.vbs
ändert.
Wie gehen Sie vor?
A
{
Sie besorgen ein digitales Zertifikat und erstellen eine
neue Zertifikatsregel. Dann setzen Sie den
signieren die Datei Abgleich.vbs.
B
{
Sie erstellen eine neue Pfadregel, setzen den
den Pfad auf \\MVSSRV03\Scripts\*.vbs.
C
{
den Pfad auf \\MVSSRV03\Scripts\Abgleich.vbs.
D
{
Sie erstellen eine neue Hashregel, setzen den
erstellen eine Hashdatei von Abgleich.vbs.
- 88 -
Frage 75
Völk Systems in Cottbus. Das Netzwerk besteht aus einem einzigen
Verzeichnisdienst mit der Bezeichnung MVSNET.DE. Das Netzwerk enthält
35 Windows Server 2003, 3000 Windows XP Professional und 2200
Windows 2000 Professional Computer.
Die Sicherheitsrichtlinien der Firma geben vor, dass alle Computer in der
Domäne regelmäßig hinsichtlich folgender Punkte überprüft werden
müssen:
• Sind die Sicherheitsupdates und –fixes auf dem neuesten Stand?
• Existieren lokale Benutzer mit leeren Kennwörtern?
• Sind freigegebene Ordner vorhanden?
Sie müssen alle Computer überprüfen und die vorgegebenen
Sicherheitsrichtlinien einhalten.
Wie gehen Sie vor?
A
{
Sie öffnen die Standarddomänengruppenrichtlinie und
erlauben die Automatische Update-Funktion beim
Software Update Service.
B
{
aktivieren die Überwachungsrichtlinien.
C
{
Sie installieren auf einem Server mbsacil.exe und
lassen es mit den geeigneten Konfigurationsschaltern
laufen.
D
{
Sie installieren auf einem Server hfnetchk.exe und
laufen.
- 89 -
Frage 76
Sie ersetzen einen UNIX-Server durch einen Windows Server 2003
Computer mit der Bezeichnung »MVSDNS01«. Ein UNIX-Server mit der
Bezeichnung »MVSMX002« wurde als Mailserver für MVSNET.DE
eingerichtet. Sie erhalten Meldungen, dass externe Benutzer und Kunden
keine E-Mails mehr an MVSNET.DE senden können. Sie müssen dafür
sorgen, dass sie E-Mails an die Domäne MVSNET.DE senden können.
Wie gehen Sie vor?
A
{
Sie fügen einen SRV-DNS-Eintrag für »MVSMX002«
hinzu.
B
{
Sie fügen einen MX-DNS-Eintrag für »MVSMX002« hinzu.
C
{
Sie fügen einen Alias-Eintrag (CNAME) für
MAIL.MVSNET.DE hinzu.
D
{
Sie erlauben SMTP auf »MVSDNS01«.
- 90 -
Frage 77
Sie sind der Netzwerkadministrator der Firma MVS Press. Die Zentrale
befindet sich in Puchheim, über ganz Deutschland sind Filialen und
Zweigstellen verteilt. Das Netzwerk besteht aus Windows Server 2003
Servern und Windows XP Arbeitsstationen.
Eine Mitarbeiterin in einer der Filialen, Lisa, berichtet Ihnen, dass sie mit
ihrem Computer keine Verbindung zu einem VPN-Server herstellen kann.
Sie vermuten, dass auf Lisas Computer das letzte Sicherheitsfix nicht
installiert wurde.
Was sollten Sie unternehmen?
A
{
Sie starten in der Eingabeaufforderung update.exe.
B
{
Sie starten in der Eingabeaufforderung wmic qfe.
C
{
Sie überprüfen die History der Datei synch.xml.
D
{
Sie überprüfen die History der Datei apprive.xml.
- 91 -
Frage 78
Sie sind der Netzwerkadministrator für die Firma MVS M. Völk Systems.
Das Netzwerk besteht aus einem einzigen Verzeichnisdienst mit dem
Namen MVSNET.DE und beinhaltet 100 Windows 2000 und drei Windows
Server 2003 Computer.
Informationen über die drei Server entnehmen Sie der folgenden Tabelle:
Name
Betriebssystem
Beschreibung
»MVSSRV01«
Windows Server 2003
Domänencontroller,
primärer DNS-Server
»MVSSRV02«
Windows Server 2003
Domänencontroller, WINSServer
»MVSSRV03«
Windows 2000 Advanced Server
Mitgliedsserver, DHCPServer
Sie installieren in diesem Netzwerk einen Netzwerkdrucker mit dem
Namen »MVSPT001«. »MVSPT001« ist noch nicht im DNS registriert.
Der relevante Teil des Netzwerkes ist wie folgt dargestellt:
Stellen Sie sicher, dass die Clientcomputer über die Namensauflösung eine
Verbindung mit dem Netzwerkdrucker »MVSPT001« herstellen können.
- 92 -
A
{
Aliaseintrag (CNAME) für »MVSPT001« hinzu.
B
{
Sie fügen auf dem Server »MVSSRV03« in der Hostdatei
einen Eintrag für »MVSPT001« hinzu.
C
{
Serviceeintrag (SRV) für »MVSPT001« hinzu.
D
{
Hosteintrag (A) für »MVSPT001« hinzu.
E
{
- 93 -
Frage 79
Sie sind der Netzwerkadministrator der Firma EISSNER-EDV International
Ltd. Die deutsche Firma MVS M. Völk Systems hat das Unternehmen und
dessen Tochterfirma Merk Ltd übernommen.
Ihr Team ist verantwortlich für die Netzwerkverbindungen zwischen den
Unternehmen. Jedes der drei Unternehmen hat seine eigene
Gesamtstruktur. Den relevanten Teil des Netzwerkes sehen Sie in der
folgenden Darstellung:
Auf »MERSRV01«, »EISSRV033« und »MVSSRV05« ist Windows Server
2003 installiert. Auf jedem dieser Server ist der DNS-Dienst für die
jeweilige Domäne konfiguriert. Alle drei Server lösen Internetnamen auf.
Die sekundäre Zone für MVSNET.DE und MERK.de ist auf dem Server
»EISSRV033« konfiguriert.
Sie müssen »MVSSRV05« so konfigurieren, dass er Hostnamen für
MERK.DE und EISSNER-EDV.DE so schnell wie möglich auflöst, ohne das
Hinzufügen neuer Zonen.
- 94 -
(Jeder Lösungsvorschlag ist ein Teil der Lösung. Wählen Sie zwei
Aktionen.)
A

Weiterleiten der Anfragen für EISSNER-EDV.DE zu
131.107.1.2.
B

131.107.3.2.
C

131.107.10.2.
D

Weiterleiten der Anfragen für MERK.DE zu 131.107.1.2.
E

F

- 95 -
Frage 80
Netzwerk besteht aus Windows XP Professional Clients und Windows
Server 2003 Servern. Auf dem Windows Server 2003 Server »MVSSUS01«
läuft der Software Update Service (SUS) von Microsoft.
Der Server ist für eine tägliche Synchronisation mit dem primären
Microsoft Server konfiguriert. Alle Clientcomputer nutzen den
Automatischen Software Update Service, um über »MVSSUS01« neue
Updates zu empfangen. Die Clientcomputer befinden sich alle in der
Organisationseinheit Clients.
Microsoft stellt ein neues, kritisches Sicherheitsupdate für Windows XP
Professional zur Verfügung. Sie stellen das neue Sicherheitsupdate zur
Installation bereit. Der Netzwerkserver »MVSAP001« installiert das Update
problemlos. Aber die Clientcomputer im Firmennetzwerk beginnen nicht
mit der Installation, andere Updates werden aber weiterhin darauf
installiert. Sie müssen sicherstellen, dass das Sicherheitsupdate auf allen
Clientcomputern installiert werden kann.
Wie gehen Sie vor?
A
{
Sie schalten bei jedem Clientcomputer in der
Systemsteuerung die Automatische Update-Funktion
ein.
B
{
Sie bearbeiten die Gruppenrichtlinie der Clientcomputer
und aktivieren das Nachinstallieren nicht
ausgeführter automatischer Updates.
C
{
Sie setzen auf »MVSSUS01« Leserechte für alle
Benutzerkonten im lokalen Updateverzeichnis des SUSDienstes.
D
{
Sie verbinden sich über den Internet Explorer mit der
SUS-Administrationswebseite und genehmigen das
Sicherheitsupdate für Clientcomputer.
- 96 -
Frage 81
Sie sind der Administrator der Firma MVS Press. Alle Server im Netzwerk
werden mit Windows Server 2003 betrieben, und Windows XP Professional
wird auf den Clientcomputern eingesetzt. Die Wiederherstellungskonsole
ist auf jedem Domänencontroller installiert. Auf dem Standarddatenträger
befinden sich sowohl die System- als auch die Bootdateien.
Jeden Freitag um 18:00 Uhr starten Sie den Assistenten zur
Automatischen Systemwiederherstellung. Alle ASR-Daten werden auf
einem Bandlaufwerk gesichert. Jeden Tag, um 04:00 Uhr, wird ein
automatischer Sicherungsauftrag durchgeführt. Bei dieser Sicherung
werden alle Benutzerprofile sowie auch die persönlichen Daten aller
Benutzer auf einem Bandlaufwerk gesichert.
An einem Freitagabend um 20:00 Uhr berichtet Ihnen ein
Netzwerkadministrator, dass die Zertifizierungsstelle auf dem
Domänencontroller »MVSDC007« beschädigt ist. Sie müssen den
Domänencontroller schnellstmöglich wieder auf den letzten
funktionierenden Stand zurückbringen.
Welche zwei Aktionen müssen Sie durchführen, damit der
Domänencontroller wieder funktionstüchtig ist?
(Wählen Sie zwei Antworten.)
A

Sie führen eine autorisierende, primäre
Wiederherstellung des Active Directory durch.
B

Sie starten »MVSDC007« mit Hilfe der Installations-CD
neu.
C

Sie verwenden den ASR-Datenträger und führen eine
Wiederherstellung der ASR-Sicherungsdatei durch.
D

Sie starten »MVSDC007« im VerzeichnisdiensteWiederherstellungsmodus neu.
E

Sie führen eine nicht autorisierende, normale
- 97 -
Frage 82
Christian ist der Administrator des Firmennetzwerkes. Er installiert auf
dem Rechner »MVSCL035« Windows XP Professional. Die ganze letzte
Woche konnte Christian auf Ressourcen zugreifen, die im Netzwerk vom
Windows Server 2003 Computer »MVSSRV03« bereitgestellt werden.
Heute kann Christian keine Verbindung zum Server herstellen. Andere
Benutzer im Netzwerk haben dieses Problem nicht.
Was ist die wahrscheinlichste Ursache des Problems?
(Klicken Sie zur Beantwortung der Frage auf das Netzwerkgerät, das die
Problemquelle darstellt.)
- 98 -
Frage 83
Sie sind der Netzwerkadministrator der Firma MVS Press. Das Netzwerk
besteht aus einem einzelnen Verzeichnisdienst. Alle
Domänenmitgliedsserver werden mit Windows Server 2003 betrieben. Die
Profile der Domänenbenutzer werden alle auf dem Server »MVSPFS01« in
der Netzwerkfreigabe Profile gespeichert.
Sie müssen aufgrund einer Änderung in der Unternehmensrichtlinie eine
Vorlage für die Benutzerkonten der Entwicklungsabteilung erstellen. Alle
Benutzerkonten, die mit Hilfe der Profilvorlage erstellt werden, sollen
servergespeicherte Profile verwenden. Alle Profile sollen an einem
einheitlichen Ort gespeichert werden.
Sie erstellen die Vorlage und benennen sie T-Entwicklung. Nun müssen
Sie die Einstellungen für die servergespeicherten Profile vornehmen.
Wie gehen Sie vor?
(Ziehen Sie zur Beantwortung der Frage die Einstellungen auf die
entsprechenden Felder.)
\\MVSPFS01\Profile\%userna
me%
C:\Profile\%username%
\\MVSPFS01\Profile\TEntwicklung
C:\Profile\T-Entwicklung
- 99 -
Frage 84
Sie sind der Administrator eines Windows Server 2003-Netzwerkes, das
insgesamt über 300 Windows XP Professional Clients und fünf Windows
Server 2003 Server verfügt.
Thomas aus der Buchhaltung informiert Sie, dass er sich nicht von seinem
Computer aus an der Stammdomäne anmelden kann. Er erhält die
Fehlermeldung, dass sein Benutzerkonto deaktiviert wurde. Sie müssen
sicherstellen, dass Thomas sich anmelden kann.
Wie gehen Sie vor?
A
{
Sie verwenden das Kommando net user
CN=Thomas.CN=Users.DC=mvsnet,DC=dedisabled no.
B
{
Sie verwenden das Kommando dsmod user
C
{
Sie verwenden das Kommando net accounts
D
{
Sie fügen Thomas der globalen Domänengruppe Users
hinzu.
E
{
Sie entfernen Thomas aus der lokalen Gruppe Gäste.
- 100 -
Frage 85
Sie sind der Administrator eines Windows Server 2003-Netzwerkes. Ihr
Netzwerk besteht aus fünf Subnetzen, die über einen Router miteinander
verbunden sind. Auf diesem ist BOOTP-Relay aktiviert. Im Netzwerk
befinden sich 100 Windows Server 2003 und 800 Windows XP Professional
Clientcomputer. Diese Rechner sind gleichmäßig über die Subnetze
verteilt. Zusätzlich befinden sich im Netz zwölf UNIX-Server und 120
DHCP-aktivierte Netzwerkdrucker.
Sie sollen das Netzwerk optimieren, um folgende Ziele zu erreichen:
• Die korrekte Zuordnung von IP-Adressen an alle Clients in den
Subnetzen soll automatisiert werden.
• Adresskonflikte zwischen Servern und Clients sollen verhindert
werden.
• Es sollen korrekte Bereichsoptionen für alle Clients in den Subnetzen
verwendet werden.
• Inaktive Clients sollen IP-Adressen nicht länger als drei Tage
behalten.
• Jeder Netzwerkdrucker soll immer die gleiche IP-Adresse erhalten.
Sie führen folgende Schritte durch:
• Sie konfigurieren einen der Windows Server 2003 Computer als
DHCP-Server.
• Sie erstellen fünf Bereiche. Jeder dieser Bereiche enthält den
Adressbereich für ein bestimmtes Subnetz.
• Sie legen in der DHCP-Konsole im Container Bereichsoptionen für
jeden Adressbereich optionale Clientkonfigurationen fest.
• Sie schließen den von den Servern verwendeten Adressbereich aus.
• Sie schließen den von den Netzwerkdruckern verwendeten
Adressbereich aus.
Welches Ergebnis bzw. welche Ergebnisse werden durch Ihre Maßnahmen
erzeugt?
(Wählen Sie alle zutreffenden Antworten aus.)
- 101 -
A

Die korrekte Zuordnung der IP-Adressen an alle Clients
in allen Subnetzen wird automatisiert.
B

Adresskonflikte aufgrund doppelt vorhandener IPAdressen zwischen den Clients und den Servern werden
verhindert.
C

Korrekte Bereichsoptionen werden für alle Clients in den
Subnetzen verwendet.
D

Inaktive Clients können eine IP-Adresse maximal drei
Tage beanspruchen.
E

Jeder der Netzwerkdrucker erhält immer die gleiche IPAdresse.
- 102 -
Frage 86
Sie sind der Netzwerkadministrator in einem Windows Server 2003Netzwerk. Alle Netzwerkserver werden mit Windows Server 2003
betrieben, auf allen Clientcomputern im Netzwerk läuft Windows XP
Professional.
Einige Benutzer beschweren sich bei Ihnen, dass sie sich nicht am
Anwendungsserver »MVSAPS01« anmelden können. Bei der Überprüfung
des Servers im Active Directory stellen Sie fest, dass sein Computerkonto
deaktiviert ist. Sie löschen es und legen ein neues Konto mit demselben
Namen an. Sie bitten die Benutzer, es noch einmal zu versuchen. Diese
berichten Ihnen, dass sich an der Situation nichts geändert hat.
Wie lösen Sie das Problem?
A
{
Sie melden sich lokal an »MVSAPS01« an und treten
erneut in die Domäne ein.
B
{
Sie setzen das neue Computerkonto von »MVSAPS01«
zurück.
C
{
Sie löschen »MVSAPS01« aus der Domäne und erstellen
das Computerkonto mithilfe der Kommandozeile erneut.
D
{
Sie deaktivieren das neue Computerkonto von
»MVSAPS01«.
- 103 -
Frage 87
Sie sind der Netzwerkadministrator der Firma MVS Press Ltd. Das
Netzwerk besteht aus einem einzigen Verzeichnisdienst, der im Windows
Server 2003-Modus betrieben wird.
Alle Benutzer des Entwicklungslabors sind Mitglieder in der Gruppe MVSPMC-01. Sie erstellen eine neue Gruppe für die Auszubildenden der
Abteilung und müssen sicherstellen, dass die Benutzer auf die
Netzwerkfreigabe der Abteilung zugreifen können.
Bei dem Versuch, die neu angelegte Gruppe MVS-LAB-GL auf die
Netzwerkfreigabe zu berechtigen, finden Sie die Gruppe nicht im Active
Directory. Bei der Überprüfung der Gruppe stellen Sie fest, dass der
Gruppentyp auf Verteilung steht.
Wie gehen Sie vor, damit die Auszubildenden Zugriff auf die
Netzwerkfreigabe haben?
A

Sie ändern den Gruppentyp der Gruppe MVS-LAB-GL von
Verteilung auf Sicherheit.
B

Sie ändern den Gruppentyp der Gruppe MVS-PMC-01
von Verteilung auf Sicherheit.
C

Sie ändern den Gruppenbereich der Gruppe MVS-LAB-GL
von global auf universell.
D

Sie berechtigen die Gruppe MVS-PMC-01 erneut auf die
Netzwerkfreigabe.
E

Sie berechtigen die Gruppe MVS-LAB-GL erneut auf die
Netzwerkfreigabe.
- 104 -
Frage 88
Sie sind der Netzwerkadministrator Ihrer Firma. Sie müssen sicherstellen,
dass Mitglieder der Organisationseinheit Support keinen Zugriff auf die
Netzwerkumgebung haben.
Für die Organisationseinheit Support konfigurieren Sie eine
Gruppenrichtlinie, mit der verhindert wird, dass die Benutzer auf die
Netzwerkumgebung zugreifen oder in der Systemsteuerung das
Dienstprogramm System ausführen können. Der Gruppe der Trainer der
lokalen Domäne soll zwar der Zugriff auf die Netzwerkumgebung
ermöglicht, das Ausführen des Dienstprogramms System aus der
Systemsteuerung soll dieser Gruppe jedoch nicht erlaubt werden.
A
{
Sie fügen die Gruppe Trainer der Zugriffssteuerungsliste
des Gruppenrichtlinienobjekts hinzu und deaktivieren für
diese Gruppe die Berechtigung, die Gruppenrichtlinie zu
lesen und zu übernehmen.
B
{
des Gruppenrichtlinienobjekts hinzu und verweigern
dieser Gruppe die Berechtigung, die Gruppenrichtlinie zu
C
{
Sie erstellen in der Organisationseinheit ein zweites
Gruppenrichtlinienobjekt, fügen die Gruppe Trainer der
Zugriffssteuerungsliste hinzu und erlauben ihr, die
Gruppenrichtlinie zu übernehmen. Sie verweigern
daraufhin der Gruppe Authentifizierte Benutzer die
Berechtigung, die Gruppenrichtlinie zu lesen oder zu
übernehmen, konfigurieren das neue
Gruppenrichtlinienobjekt, um das Ausführen des
Dienstprogramms System aus der Systemsteuerung zu
verhindern, und weisen dem ursprünglichen
Gruppenrichtlinienobjekt eine höhere Priorität zu als dem
neuen.
- 105 -
D
{
Gruppenrichtlinie zu übernehmen. Sie deaktivieren
daraufhin für die Gruppe Authentifizierte Benutzer die
Gruppenrichtlinienobjekt, um den Zugriff auf die
Netzwerkumgebung zu ermöglichen, und weisen dem
neuen Gruppenrichtlinienobjekt eine höhere Priorität zu
als dem ursprünglichen Gruppenrichtlinienobjekt.
- 106 -
Frage 89
Netzwerk besteht aus einem Verzeichnisdienst mit der Bezeichnung
MVSPRESS.DE. Alle Domänencontroller werden mit Windows Server 2003
betrieben.
Domänenbenutzerkonten, deren Kennwort öfter als zweimal am Tag falsch
eingeben wird, müssen gesperrt werden.
Wie konfigurieren Sie die Gruppenrichtlinie, um die Kontensperrung nach
zwei fehlerhaften Anmeldeversuchen durchzuführen?
(Jede richtige Antwort ist Teil der Lösung, wählen Sie zwei.)
A

Sie setzen das maximale Kennwortalter auf einen Tag.
B

Sie setzen das minimale Kennwortalter auf einen Tag.
C

Sie erzwingen eine Kennwortchronik von drei
Kennwörtern.
D

Sie setzen die Kontosperrdauer auf 1440 Minuten.
E

Sie setzen die Kontosperrungsschwelle auf zwei
ungültige Anmeldeversuche.
F

Sie setzen die Zurücksetzungsdauer des
Kontosperrungszählers auf 1440 Minuten.
- 107 -
Frage 90
Netzwerk besteht aus einem einzelnen Verzeichnisdienst, der im Windows
Server 2003-Modus betrieben wird. Alle Domänenbenutzer sind Mitglied
der globalen Sicherheitsgruppe MVS-GL-SEC-USER. Alle Server im
Netzwerk sind Windows 2003 Server, und alle Clientcomputer werden mit
Windows XP Professional betrieben.
Der Server »MVSFLB09« besitzt einen logischen Datenträger namens
MVSDATA. Auf MVSDATA liegt das Gruppenlaufwerk der Buchhaltung. Alle
Mitarbeiter aus der Buchhaltung befinden sich in der globalen
Sicherheitsgruppe MVS-GL-SEC-VERW. Die Gruppe MVS-GL-SEC-VERW
hat Ändern-Rechte auf dem Gruppenlaufwerk.
Sie erstellen eine Schattenkopie von MVSDATA. Die Benutzer der
Buchhaltung berichten Ihnen, dass sie keine früheren Versionen ihrer
Dateien wiederherstellen können. Sie melden sich mit einer
Remotesitzung am Server »MVSFLB09« an und können eine vorherige
Version von der Datei bkg_trus_v2.btf wiederherstellen. Diese Datei
kann nur von einer Applikation aus der Buchhaltung geöffnet werden. Sie
melden sich lokal an einem Computer der Buchhaltung an, öffnen die
Einstellungen der Datei bkg_trus_v2.btf und stellen fest, dass es nicht
möglich ist, frühere Versionen wiederherzustellen, da die Optionen hierzu
völlig fehlen.
Sie müssen sicherstellen dass alle Benutzer in ihrer Domäne auf vorherige
Versionen von Daten zugreifen können.
Wie gehen Sie vor?
A
{
Sie erlauben allen Mitgliedern der Benutzergruppe MVSGL-SEC-VERW den Besitz der Dateien auf »MVSFLB09«
zu übernehmen.
B
{
Sie erteilen der Gruppe MVS-GL-SEC-VERW Vollzugriff
auf »MVSFLB09«.
C
{
Sie stellen das *.msi-Paket aus
\\MVSFL09\WINDOWS\system32\clients\tsclient mithilfe
der Gruppenrichtlinie auf allen Clientcomputern bereit.
D
{
\\MVSFL09\WINDOWS\system32\clients\twclient mithilfe
- 108 -
Frage 91
Sie sind der Netzwerkadministrator der Firma MVS M. Völk Systems. Alle
Netzwerkserver laufen mit Windows Server 2003. Der
Domänenmitgliedsserver »MVSFL004« verfügt über zwei logische
Datenträger C:\ (Systemdaten) und D:\ (Benutzerprofile).
Sie müssen alle Daten auf »MVSFL004« sichern und sicherstellen, dass er
im Falle eines Hardwarefehlers innerhalb kürzester Zeit wiederhergestellt
werden kann.
Welche zwei Aktionen müssen Sie durchführen, damit alle Daten von
»MVSFL004« gesichert und schnellstmöglich wiederhergestellt werden
kann?
A

Sie sichern mit dem Assistenten zur Automatischen
Systemwiederherstellung (ASR) alle relevanten Daten.
B

Sie erstellen mit ntbackup.exe eine Sicherung der
Benutzerprofile.
C

Sie erstellen eine Startdiskette für Windows Server
2003.
D

Sie erstellen eine Startdiskette für MS-DOS.
E

Sie kopieren alle Windows Server 2003-Bootdateien auf
die Windows Server 2003-Startdiskette.
F

Sie kopieren die Datei boot.ini auf die Windows Server
2003-Startdiskette.
- 109 -
Frage 92
Ein geroutetes Windows Server 2003-Netzwerk, das über 25 Windows
Server 2003 Computer verfügt, wird von Ihnen administriert. Sie möchten
in einem weiteren Segment einen neuen Windows Server 2003 Computer
als ersten Server installieren. Sie richten auf dem existierenden DHCPServer für das zusätzliche geroutete Segment einen gültigen
Adressbereich ein und geben während der Installation des Windows Server
2003 Computers an, dass der Server seine IP-Adresse von einem
vorhandenen DHCP-Server anfordern soll.
Sie öffnen nach Abschluss der Installation die Netzwerkumgebung und
stellen fest, dass der neue Server zwar angezeigt wird, jedoch keine
weiteren Computer aufgelistet werden. Sie führen den Befehl ipconfig
aus und stellen fest, dass dem neuen Server die IP-Adresse
169.254.1.200 mit einer 16 Bit-Subnetzmaske, aber ohne
Standardgatewayadresse, zugeordnet wurde.
Wie gehen Sie vor, um das Problem zu lösen und die anderen Computer
im gerouteten Netzwerk anzuzeigen?
(Wählen Sie zwei Antworten aus.)
A

Sie konfigurieren den Standardgateway, um an den TCPAnschluss 270 gerichtete Datenpakete weiterzuleiten.
B

Sie fügen die IP-Adresse des Standardgateways den
TCP/IP-Eigenschaften des neuen Servers zu.
C

Sie installieren im neuen, gerouteten Segment einen
Rechner, der den DHCP-Relay-Agent ausführt.
D

Sie fügen im neuen, gerouteten Segment einen WINSServer hinzu.
E

Sie konfigurieren alle Router, um BOOTP-BroadcastPakete zu verschicken
- 110 -
Frage 93
Server 2003 Servern. Der Domänenmitgliedsserver »MVSIL001« fungiert
als domänenweiter zentraler Sicherungsserver.
Jede Nacht um 03:00 Uhr führt »MVSIL001« eine domänenweite
Sicherung der logischen Datenträger E:\ aller Server in der Domäne aus.
Die Sicherungsdaten werden auf ein Bandlaufwerk geschrieben.
Eine neue Sicherheitsrichtlinie der Firma MVS M. Völk Systems schreibt
vor, dass die Registrierungsdatenbank auf allen Servern in der Domäne
gesichert werden muss. Sie müssen sicherstellen, dass die
Registrierungsdatenbank von allen Servern im Netzwerk automatisch
gesichert wird.
Wie gehen Sie vor?
A
{
Sie erstellen einen neuen Sicherungsauftrag auf
»MVSIL001«, der jede Nacht um 04:00 Uhr die logischen
Datenträger C:\ aller Netzwerkserver sichert.
B
{
Sie schließen im Sicherungsauftrag die
Dateierweiterungen für die Registrierungsdatenbank mit
ein.
C
{
Sie startet auf jedem Server im Netzwerk den
Registrierungseditor und exportieren die
Registrierungsdatenbank auf E:\.
D
{
Sie konfigurieren auf jedem Netzwerkserver einen neuen
Sicherungsauftrag, der jede Nacht um 01:00 Uhr den
Systemstatus auf E:\ sichert.
- 111 -
Frage 94
Sie sind in Ihrem Unternehmen für das Netzwerk zuständig. Sie
installieren auf dem Rechner »MVSCL036« Windows XP Professional. Das
Netzwerk ist, wie in der Grafik dargestellt, aufgebaut.
Ihr Netzwerk verwendet als einziges Netzwerkprotokoll TCP/IP. Sie
konfigurieren am Rechner »MVSCL036« die IP-Adresse 10.10.20.234, als
Standardgateway 10.10.13.1 und als WINS-Server 10.10.13.10.
»MVSWINS1« ist ebenfalls für TCP/IP konfiguriert und der WINS-Server
im Netzwerk.
Sie können unter Verwendung von UNC-Namen keine Verbindungen zu
freigegebenen Ressourcen auf den Servern »MVSWINS1« und
»MVSSRV02« herstellen.
Wie gehen Sie vor, damit der Client »MVSCL036« auf die Server
»MVSWINS1« und »MVSSRV02« zugreifen kann?
- 112 -
A
{
Sie konfigurieren am Rechner »MVSCL036« als IPAdresse für den Standardgateway 10.10.20.1.
B
{
Sie konfigurieren am Rechner »MVSCL036« die IPAdresse 10.10.13.234.
C
{
Sie installieren einen WINS-Server im Segment von
»MVSCL036«.
D
{
Sie installieren und konfigurieren einen DNS-Server und
konfigurieren »MVSCL036« für die Verwendung des
DNS-Serverdienstes.
- 113 -
Frage 95
Firmennetzwerk besteht aus einem einzigen Verzeichnisdienst. Alle Server
im Netzwerk werden mit Windows Server 2003 betrieben.
Ein Domänenmitgliedsserver führt jede Montag-, Dienstag-, Mittwoch- und
Donnerstagnacht eine Differenzsicherung aus. Freitagnachts wird immer
eine normale Sicherung durchgeführt. Zusätzlich führen Sie jeden
Mittwoch eine Kopiesicherung des Servers aus.
Nachdem Sie an einem Donnerstagmorgen auf dem Server eine neue,
benutzerspezifische Applikation installiert haben, mussten Sie feststellen,
dass diese Applikation einige Systemdateien beschädigt hat. Nachdem Sie
die Applikation deinstalliert haben, müssen Sie die beschädigten Dateien
schnellstmöglich durch die Originaldateien ersetzen.
Ziehen Sie zur Beantwortung der Frage die entsprechenden Schritte in die
richtige Reihenfolge.
Zurücksicherung der
Kopiesicherung
Schritt 1
Differenzsicherung von
Dienstagnacht
Schritt 2
Montagnacht
Schritt 3
Zurücksichern der
normalen Sicherung von Schritt 4
Freitagnacht
- 114 -
Frage 96
In Ihrer Firma sind Sie als Netzwerkadministrator tätig und konfigurieren
eine Sicherheitsrichtlinie für eine Gruppe von Benutzern in der
Organisationseinheit Schulung. Sie müssen die Gruppenrichtlinie so
konfigurieren, dass künftige Änderungen der Gruppenrichtlinie innerhalb
von 15 Minuten auf allen am Netzwerk angemeldeten Rechnern
angewendet werden können.
A
{
Sie aktivieren die Hintergrundaktualisierung zur
Verwendung der Standardaktualisierungsrate für
Gruppenrichtlinien.
B
{
Sie aktivieren die Einstellung zur asynchronen
Anwendung von Gruppenrichtlinien.
C
{
Sie aktivieren und konfigurieren das GruppenrichtlinienAktualisierungsintervall für Domänencontroller.
D
{
Sie aktivieren und konfigurieren das GruppenrichtlinienAktualisierungsintervall für Rechner.
- 115 -
Frage 97
Firmennetzwerk besteht aus einem einzelnen Verzeichnisdienst. Alle
Server im Netzwerk werden mit Windows Server 2003 betrieben.
Sie installieren den Terminalserverdienst auf dem
Domänenmitgliedsserver »MVSTS001«. Nachdem der Server einige Tage
problemlos lief, berichten Ihnen einige Domänenbenutzer, dass der Server
immer langsamer wird und dass ein Arbeiten am System nicht mehr
möglich ist. Bei der Überprüfung des Servers stellen Sie fest, dass 36
abgebrochene Arbeitssitzungen und 16, sich seit über drei Stunden im
Leerlauf befindende Sitzungen vorhanden sind.
Sie öffnen die Eigenschaften von RDP-Tcp und sehen folgende
Einstellungen:
- 116 -
Sie müssen die RDP-Tcp Eigenschaften folgendermaßen ändern:
• Abgebrochene Verbindungen sollen nach maximal einer Minute
geschlossen werden.
• Verbindungen, die sich im Leerlauf befinden, sollen nach maximal 30
Minuten geschlossen werden.
• Aktive Verbindungen sollen von diesen Einstellungen nicht
beeinträchtigt werden.
Wie gehen Sie vor?
(Wählen Sie alle richtigen Antworten.)
A

Sie aktivieren das Kontrollkästchen
Benutzereinstellungen außer Kraft setzen und
lassen die Sitzung nach einer Minute beenden.
B

Sie geben ein Zeitlimit für aktive Sitzungen von 30
Minuten an.
C

Sie geben kein Zeitlimit für aktive Sitzungen an und
konfigurieren Getrennte Sitzungen beenden, um
festzulegen, dass Sitzungen, die länger als eine Minute
getrennt sind, beendet werden.
D

Sie geben ein Leerlaufsitzungslimit von 30 Minuten an.
E

lassen die Sitzung beenden, wenn das Sitzungslimit
erreicht ist.
F

lassen die Sitzung trennen, wenn das Sitzungslimit
erreicht ist.
- 117 -
Frage 98
aus einem einzelnen Verzeichnisdienst mit der Bezeichnung MERK.DE. Alle
Domänencontroller werden mit Windows Server 2003 betrieben, und alle
Clientcomputer laufen mit Windows XP Professional.
Die Firma Merk übernimmt ein Büro der Konkurrenz. Sie erhalten eine
Textdatei, in der die Benutzernamen der neuen Mitarbeiter, durch
Kommas getrennt, stehen. Sie müssen die Benutzerkonten der neuen
Benutzer in der Active Directory-Domäne anlegen.
Welches Kommandozeilenprogramm verwenden sie?
A
{
Sie verwenden das Kommando idifde für den Import.
B
{
Sie verwenden das Kommando csvde für den Import.
C
{
Sie verwenden das Kommando ntdsutil mit der Option
der autoritativen Wiederherstellung für den Import.
D
{
Sie verwenden das Kommando dsadd user für den
Import.
- 118 -
Frage 99
Professional.
Der Benutzer Christian ist zuständig für die Betreuung und Überwachung
des Anwendungsservers »MVSAPS01«. Christian erhält folgende
Fehlermeldung, wenn er sich lokal an seinem Server anmelden möchte:
Sie öffnen eine Managementkonsole, fügen das Snap-In Active
Directory-Benutzer und -Computer hinzu und sehen folgendes
Fenster:
Stellen Sie sicher, dass Christian sich an »MVSAPS01« anmelden kann und
lösen Sie das Problem mit möglichst geringem administrativem Aufwand.
A
{
Sie entfernen den Server »MVSAPS01« aus der Domäne
und fügen ihn anschließend wieder hinzu.
B
{
Sie setzen das Computerkonto von »MVSAPS01« zurück.
C
{
Sie aktivieren das Computerkonto von »MVSAPS01«.
D
{
Sie löschen das Computerkonto von »MVSAPS01« und
fügen ein neues Konto mit demselben Namen hinzu.
- 119 -
Frage 100
Sie sind als Administrator der Firma MVS M. Völk Systems tätig und
möchten auf einem Windows Server 2003 Computer routinemäßige
Aktualisierungen durchführen. Sie verwenden zur Anmeldung an diesem
Server Ihr normales Domänenbenutzerkonto. Sie möchten alle auf dem
Server gespeicherten, wichtigen Systemdateien und Updates möglichst
schnell aktualisieren.
Wie gehen Sie vor?
A
{
Sie führen Windows Update aus.
B
{
Sie melden sich als Administrator an und führen die
Systemdateiprüfung aus.
C
{
Sie führen die Systemdateiprüfung aus.
D
{
Sie melden sich als Administrator an und führen
Windows Update aus.
- 120 -
Frage 101
Sie sind der Netzwerkadministrator der Firma MVS Press. Ihr Netzwerk
besteht aus zehn Windows Server 2003 Computern, 150 Windows XP
Professional, 150 Windows 2000 Professional und 50 Windows NT Clients.
Auf allen Clients ist die Datei- und Druckerfreigabe aktiviert, um die
Zusammenarbeit zwischen den jeweiligen Arbeitsgruppen und die
gemeinsame Verwendung von Dokumenten zu ermöglichen. Sie setzen
einen der Windows Server 2003 Computer als DHCP-Server ein, um die
IP-Adresszuordnung auf den Clients zu automatisieren.
Sie wollen folgende Ziele erreichen:
• Alle Clients sollen im Netzwerk anhand des vollqualifizierten
Netzwerkdomänenamens gefunden werden können.
• Die DNS-Zonendateien A (Hosteinträge) sollen für alle Clients
automatisch hinzugefügt werden.
• Die DNS-Zonendateien PTR (Zeigereinträge) sollen für alle Clients
automatisch hinzugefügt werden, um Reverse-Lookups von Namen zu
unterstützen.
• Bei Ablauf der DHCP-Lease sollen die A- und PTR-Einträge
automatisch aus den DNS-Zonendateien entfernt werden.
• Sie konfigurieren den DHCP-Server und legen fest, dass die
Clientinformationen im DNS stets aktualisiert werden.
• Sie konfigurieren den DHCP-Server und legen fest, dass die für
Forward-Lookups erforderlichen Einträge bei Ablauf der Lease
entfernt werden.
• Sie konfigurieren den DHCP-Adressbereich und legen fest, dass der
Domänenname allen DHCP-Clients zugewiesen wird.
• Sie konfigurieren den DHCP-Server und legen fest, dass der DHCPServer DNS für die Clients aktualisiert, die keine dynamischen
Aktualisierungen unterstützen.
erzeugt?
- 121 -
A

Alle Clients im Netzwerk können anhand des
vollqualifizierten Netzwerkdomänenamens gefunden
werden.
B

Die DNS-Zonendatei-A-Einträge werden für alle Clients
automatisch hinzugefügt.
C

Die DNS-Zonendatei-PTR-Einträge für Reverse-Lookups
von Namen werden für alle Clients automatisch
hinzugefügt.
D

Die A- und PTR-Einträge werden bei Ablauf der DHCPLease automatisch aus den DNS-Zonendateien entfernt.
- 122 -
Frage 102
Sie sind der Netzwerkadministrator der Firma MVS Press. Alle Server im
Netzwerk werden mit Windows Server 2003 betrieben, Windows 2000
Professional wird auf allen Clientcomputern eingesetzt.
Die Desktopumgebung auf allen Clientcomputern soll standardisiert
werden. Alle Domänenbenutzer sollen ihre Desktopumgebung nicht
permanent verändern können. Die regionalen Einstellungen sowie der
Desktophintergrund sollen auch standardisiert und unveränderbar werden.
Wie gehen Sie vor?
A

Sie fügen den Netzwerkpfad des servergespeicherten
Profils den Benutzerkonten hinzu. Sie verwenden hierzu
das Snap-In Active Directory-Benutzer und Computer.
B

Sie fügen den lokalen Profilpfad den Benutzerkonten
hinzu. Sie verwenden hierzu die
Computermanagementkonsole.
C

die Computermanagementkonsole.
D

Sie benennen auf der Netzwerkfreigabe der Profile
ntuser.dat in ntuser.man um.
E

Sie benennen im lokalen Profilverzeichnis ntuser.dat in
ntuser.man um.
F

ntuser.ini in ntuser.man um.
- 123 -
Frage 103
Sie installieren auf dem Rechner »MVSCL036« Windows XP Professional.
Das Netzwerk ist aus drei Subnetzen aufgebaut. Im ersten Subnetz,
Netzwerk 1, befindet sich der Server »MVSSRV01« (IP-Adresse
10.10.13.39) sowie der Exchangeserver »MVSMX001« (IP-Adresse
10.10.13.20) und der WINS-Server »MVSWINS1« (IP-Adresse
10.10.13.10).
Außerdem befinden sich in diesem Subnetz noch zwei Router, zum einen
»MVSRT001«, der in die beiden anderen Subnetze routet (die
Routerschnittstelle für das zweite Subnetz, Netzwerk 2, hat die IP-Adresse
10.10.30.1, die Routerschnittstelle für das dritte Subnetz, Netzwerk 3, die
IP-Adresse 10.10.20.1 und die Routerschnittstelle in das erste Subnetz,
Netzwerk 1, die IP-Adresse 10.10.13.1) und zum anderen «MVSRT002«,
der die Verbindung zum Internet herstellt.
Im zweiten Subnetz, Netzwerk 2, stehen der Clientcomputer »MVSCL034«
(IP-Adresse 10.10.30.20) und der Client »MVSCL035« (IP-Adresse
10.10.30.200). Im dritten Subnetz, Netzwerk 3, stehen der
Clientcomputer »MVSCL036« und der Netzwerkserver »MVSSRV02« mit
der IP-Adresse 10.10.20.167.
Standardgateway 10.10.13.1 und als WINS-Server 10.10.13.10. Sie
können unter Verwendung von UNC-Namen keine Verbindungen zu
A
{
Sie konfigurieren an »MVSCL036« als Adresse für den
Standardgateway 10.10.20.1.
B
{
Sie konfigurieren an »MVSCL036« die IP-Adresse
10.10.13.234.
C
{
»MVSCL036«.
D
{
DNS-Serverdienstes.
- 124 -
Frage 104
Christian ist der Netzwerkadministrator der Firma MVS M. Völk Systems.
Er installiert auf dem Windows Server 2003 Domänencontroller mit der
Bezeichnung »MVSDC003« die Terminaldienste. Einige Benutzer erhalten
die Fehlermeldung, dass eine interaktive Anmeldung durch Richtlinien
verboten wird, wenn sie versuchen, sich am Terminalserver anzumelden.
Wenn sich Christian als Administrator an der Windows XP Professional
Arbeitsstation eines der Benutzer anmeldet, bekommt er keine
Fehlermeldung und kann problemlos auf »MVSDC003« zugreifen und mit
diesem arbeiten.
Was sollte Christian tun, um den Benutzern die fehlerlose Anmeldung am
Terminalserver zu ermöglichen?
A
{
Er gewährt den Benutzern das Recht, sich als Dienst
anzumelden.
B
{
Er gewährt den Benutzern das Recht der lokalen
Anmeldung.
C
{
Er gewährt den Benutzern das Recht, sich über das
Internet anzumelden.
D
{
Er kopiert nur die dementsprechenden Benutzerprofile
auf den Terminalserver.
E
{
Er kopiert die entsprechenden Stammordner der
Benutzer auf den Terminalserver.
- 125 -
Frage 105
Bezeichnung MVSNET.DE. Alle Server im Netzwerk werden mit Windows
Server 2003 betrieben.
Die Firma MVS M. Völk Systems hat Büros in München, Berlin und Köln. In
jedem Büro steht ein Domänencontroller. Jedes Büro wird im Active
Directory in einer eigenen Organisationseinheit dargestellt. In diesen
Organisationseinheiten sind alle Computer- und Benutzerkonten des
jeweiligen Standortes abgelegt.
Durch einen unglücklichen Zufall wurde die Organisationseinheit OU-Koeln
aus dem Active Directory gelöscht. Sie führen eine autorisierende
Wiederherstellung der verlorenen Organisationseinheit aus. Danach
berichten einige Benutzer aus Köln, dass sie eine Fehlermeldung mit dem
Hinweis bekommen, dass der Zugriff verweigert wird.
A
{
Sie setzen die betreffenden Computerkonten im Active
Directory zurück. Anschließend weisen Sie die Benutzer
an, ihre Computer neu zu starten.
B
{
des gesamten Active Directorys durch. Danach stoßen
Sie eine domänenweite Replikation an.
C
{
Sie starten den Dienst KerberosSchlüsselverteilungscenter auf jedem
Domänencontroller neu.
D
{
Sie führen auf jedem Computer, der die Fehlermeldung
zeigt, ntest.exe aus und starten auf dem
Domänenkontroller in Köln den net logon-Dienst neu.
- 126 -
Frage 106
Server in der Struktur MVSNET.DE werden mit Windows Server 2003
betrieben, alle Clientcomputer laufen unter Windows XP Professional.
Christian, ein Benutzer aus der Warenwirtschaft, berichtet Ihnen, dass er
nicht auf einen Server namens »MVSWAW02« zugreifen kann. Als erstes
überprüfen Sie, dass der richtige Hardwaretreiber für den eingebauten
Netzwerkadapter installiert ist. Anschließend öffnen Sie den
Gerätemanager auf »MVSWAW02« und sehen folgende Einstellungen:
Sie müssen sicherstellen, dass Christian wieder auf den Server zugreifen
kann.
Wie gehen Sie vor?
- 127 -
A
{
Sie aktivieren den Netzwerkadapter.
B
{
Sie ändern die IP-Adresse des Netzwerkadapters.
C
{
Sie ändern die IRQ-Einstellungen des Netzwerkadapters.
D
{
Sie stellen die Verbindungsgeschwindigkeit ein.
E
{
Sie beseitigen den Hardwarekonflikt zwischen dem
Netzwerkadapter und dem unbekannten Gerät.
- 128 -
Frage 107
besteht aus einem einzelnen Verzeichnisdienst mit der Bezeichnung
MVSPRESS.DE. Alle Server im Netzwerk werden mit Windows Server 2003
und der Großteil der Clientcomputer mit Windows XP Professional
betrieben, die restlichen Computer laufen unter Windows 2000
Professional.
Auf einem Mitgliedsserver der Domäne geben Sie ein Verzeichnis frei. Sie
benennen die Freigabe MVSDokumente. Einige Benutzer berichten Ihnen,
dass sie eine Zugriff verweigert-Fehlermeldung erhalten, wenn sie
versuchen, auf die Netzwerkfreigabe zuzugreifen.
Sie müssen die Freigabeberechtigungen dahingehend modifizieren, dass
folgende Voraussetzungen erfüllt sind:
• Domänenbenutzer müssen Dateien anlegen und hinzufügen können.
• Domänenbenutzer dürfen keine NTFS-Berechtigungen ihrer Dateien
setzen oder bearbeiten können.
• Domänenbenutzer dürfen möglichst wenig Rechte auf die Freigabe
haben.
Wie gehen Sie vor?
(Klicken Sie die Einstellungen direkt in der Grafik an.)
- 129 -
- 130 -
Frage 108
Andreas ist der Netzwerkadministrator der Firma MVS M. Völk Systems. Er
sichert die Dateien seines Windows Server 2003 Computers »MVSTT04«
mit Hilfe des Windows Sicherungsprogramms. Der Server steht im
Testlabor und wird hier für verschiedenste Testszenarien unter Virenbefall
getestet.
Andreas hat das Programm für eine tägliche Sicherung konfiguriert. Beim
Anmelden am Donnerstagmorgen um 08:00 Uhr stellt er fest, dass die
Festplatte mit dem Laufwerk D:/ ausgefallen ist. Er ersetzt die defekte
Platte durch eine neue und will den Inhalt des Laufwerkes D:/ mit Hilfe
der Sicherung wiederherstellen.
Andreas zeigt sich das Sicherungsprotokoll an:
Sicherungsstatus
Vorgang: Sicherung
Aktives Sicherungsziel: Band
Mediumname: “Satz vom Freitag um 23:00 Uhr wird erstellt”
Sicherung von “D: “
Sicherungssatz #1 auf Medium #1
Sicherungsbeschreibung: “Satz vom Freitag um 23:00 Uhr wird erstellt”
Sicherungsart: Normal
Sicherung begonnen am 09.04.2005 um 23:00.
Sicherung abgeschlossen am 10.04.2005 um 01:30.
Verzeichnisse: 5012
Bytes: 4.623.252.320
Zeit: 2 Stunden, 30 Minuten und 4 Sekunden.
-------------------------------------------------Sicherungsstatus
Vorgang: Sicherung
Mediumname: “Satz vom Samstag um 23:00 Uhr wird erstellt”
Sicherungsbeschreibung: “Satz vom Samstag um 23:00 Uhr wird erstellt”
Sicherungsart: Inkrementell
Verzeichnisse: 116
Dateien: 1
Bytes: 1.623.252
Zeit: 8 Sekunden.
-------------------------------------------------- 131 -
Sicherungsstatus
Vorgang: Sicherung
Mediumname: “Satz vom Sonntag um 23:00 Uhr wird erstellt”
Sicherungsbeschreibung: “Satz vom Sonntag um 23:00 Uhr wird erstellt”
Verzeichnisse: 116
Dateien: 1
Bytes: 1.623.252
Zeit: 8 Sekunden.
Vorgang: Sicherung
Mediumname: “Satz vom Montag um 23:00 Uhr wird erstellt”
Sicherungsbeschreibung: “Satz vom Montag um 23:00 Uhr wird erstellt”
Verzeichnisse: 116
Dateien: 1
Bytes: 1.623.252
Zeit: 8 Sekunden.
Vorgang: Sicherung
Mediumname: “Satz vom Dienstag um 23:00 Uhr wird erstellt”
Sicherungsbeschreibung: “Satz vom Dienstag um 23:00 Uhr wird erstellt”
Verzeichnisse: 116
Dateien: 1
Bytes: 1.623.252
Zeit: 8 Sekunden.
- 132 -
--------------------------------------------------Sicherungsstatus
Vorgang: Sicherung
Mediumname: “Satz vom Mittwoch um 23:00 Uhr wird erstellt”
Sicherungsbeschreibung: “Satz vom Mittwoch um 23:00 Uhr wird erstellt”
Verzeichnisse: 85
Dateien: 38
Bytes: 2.984.837
Zeit: 14 Minuten und 38 Sekunden.
In welcher Reihenfolge sollte Andreas die Daten wiederherstellen?
A
{
Freitag, Mittwoch. Daten sind ab Mittwochabend aktuell.
B
{
Freitag, Donnerstag. Daten sind ab Donnerstagmorgen
aktuell.
C
{
Freitag, Samstag, Sonntag, Montag. Dateien können
nach diesem Zeitpunkt nicht wiederhergestellt werden.
D
{
Freitag, Samstag, Sonntag, Montag, Dienstag, Mittwoch.
Dateien sind ab Mittwochabend aktuell.
- 133 -
Frage 109
Sie sind der Netzwerkadministrator der Firma MVSPress. Das Netzwerk
besteht aus zwei Verzeichnisdiensten, die in einer Gesamtstruktur
zusammengefasst sind. Die Domänenfunktionsebene ist in jeder Domäne
Windows 2000 gemischt.
Die Entwicklungsabteilung Ihres Unternehmens beschäftigt 3000
Benutzer. Die Domänenbenutzerkonten der Mitarbeiter sind in
verschiedenen globalen Gruppen eingetragen. Der Vorstand von MVSPress
plant ein neues Testlabor zu eröffnen, die Mitarbeiter der
Entwicklungsabteilung sollen in dem neuen Labor verschiedene
Testszenarien durchführen.
Wenn ein Mitarbeiter der Entwicklungsabteilung in dem neuen Labor
arbeitet, muss er sich in das Unternehmensnetzwerk einwählen. Sie
müssen sichergehen, dass alle Benutzerkonten der Mitarbeiter aus der
Entwicklungsabteilung die benötigten Gruppenmitgliedschaften besitzen,
um sich einwählen zu können.
Die Benutzerkonten müssen die Berechtigung haben, sich in das
Firmennetzwerk einwählen zu können. Sie müssen die
Einwahlbedingungen mit kleinstmöglichem administrativem Aufwand
schaffen. Als erstes erstellen Sie eine Benutzervorlage für die
Benutzerkonten der Entwicklungsabteilung.
Welche zwei Arbeitsschritte müssen Sie noch ausführen?
A

Sie modifizieren das Active Directory-Schema, indem Sie
in den Eigenschaften von office und street die Auswahl
Attribute in Active Directory indizieren aktivieren.
B

in den Eigenschaften von Group-Attributes die Auswahl
C

Sie ändern die RAS-Berechtigung bei jedem neuen
Benutzerkonto, das Sie für die Entwicklungsabteilung
erstellen, auf Zugriff gestattet.
D

Sie fügen die Gruppenmitgliedschaften jedem neuen
erstellen, hinzu.
E

Sie fügen die Gruppenmitgliedschaften der
Kontenvorlage hinzu.
F

Sie fügen die RAS-Berechtigung der Kontenvorlage
hinzu.
- 134 -
Frage 110
Sie möchten einmal wöchentlich mit dem Windows Sicherungsprogramm
die Daten Ihres Windows Server 2003 Computers sichern. Dabei möchten
Sie jedoch sicherstellen, dass die Registrierung, Ihre Startdateien und die
COM+-Objekte ebenfalls gesichert werden.
A
{
Sie konfigurieren das Windows Sicherungsprogramm zur
Sicherung der Systempartition.
B
{
Sicherung der Systemstatusdaten.
C
{
Sie erstellen in MS Visual Basic (VBScript) ein Skript, um
Rdisk.exe /s auszuführen, bevor die Sicherung beginnt.
D
{
Sie erstellen eine Stapelverarbeitungsdatei, um
- 135 -
Frage 111
Netzwerk besteht aus einem einzelnen Verzeichnisdienst. Als
Serverbetriebssystem wird Windows Server 2003 eingesetzt, alle
Clientcomputer werden mit Windows XP Professional betrieben.
Alle Mitarbeiter des Vertriebes sind Mitglieder in der Active DirectoryGruppe MVS-GL-SEC-VERW. Der Benutzer Martin, der in der
Vertriebsabteilung arbeitet, legt eine neue Textdatei mit dem Namen
Besprechung.doc an. Martin verfügt über alle erforderlichen Rechte, um
Änderungen an dem Dokument durchzuführen. Die
Gruppennetzwerkfreigabe der Vertriebsabteilung befindet sich auf dem
Server »MVSVER003«. Martin legt das Dokument in seinem persönlichen
Ordner auf dem Gruppenlaufwerk ab.
Einige Mitarbeiter beklagen sich bei Ihnen, dass, wenn sie versuchen, das
Dokument über den UNC-Pfad
\\MVSVER003\GroupVer$\Persoenlich\Martin\Besprechung.doc zu öffnen,
die Fehlermeldung erscheint, dass der Zugriff verweigert wird.
Sie verbinden sich über das RDP v 5.1-Protokoll auf den Server
»MVSVER003« und versuchen, die *.doc-Datei zu öffnen. Sie erhalten
dieselbe Fehlermeldung. Sie müssen sicherstellen, dass alle Benutzer aus
der Gruppe MVS-GL-SEC-VERW berechtigt sind, das Dokument zu öffnen.
Sie dürfen keinerlei Rechte von Martins Dateien ändern. Sie melden sich
zuerst über das RDP v 5.1-Protokoll an »MVSVER003« an.
- 136 -
A
{
Sie übernehmen den Besitz von Martins persönlichem
Ordner und allen Unterordnern. Zusätzlich ändern sie die
NTFS-Berechtigungen der Gruppe MVS-GL-SEC-VERW
auf Lesen.
B
{
Sie übernehmen den Besitz des Dokumentes
Besprechung.doc und erteilen der Vertriebsabteilung
die NTFS-Berechtigung Dateien erstellen / Dateien
schreiben.
C
{
die NTFS-Berechtigung Lesen.
D
{
Ordner und allen Unterordnern. Zusätzlich ändern Sie
die NTFS-Berechtigungen der Gruppe MVS-GL-SECVERW auf Ändern.
- 137 -
Frage 112
Netzwerk besteht aus einer Domäne mit der Bezeichnung MVSNET.DE.
Alle Clientcomputer werden mit Windows XP Professional betrieben.
Windows Server 2003 wird als Standardserverbetriebsystem eingesetzt.
Die Firma MVS M. Völk Systems hat ihren Hauptsitz in München. Weitere
Firmenstandorte sind über ganz Deutschland verteilt. Sie sind
Systemadministrator im Hauptstandort. Der DNS-Server »MVSDNS04«
steht im Firmenstandort Augsburg. Sie müssen einige Einstellungen an
»MVSDNS04« vornehmen und melden sich hierfür an Ihrem
Clientcomputer an. Sie öffnen die Microsoft Managementkonsole und
stellen fest, dass das DNS Management-Snap-In nicht vorhanden ist.
Was unternehmen Sie?
A
{
Sie installieren die Microsoft Windows SupportWerkzeuge auf Ihrem Clientcomputer.
B
{
Sie öffnen den Windows Befehlsinterpreter und starten
nslookup.exe.
C
{
Sie benutzen den Windows Explorer und verbinden sich
die C$-Netzwerkfreigabe auf »MVSDNS04«.
Anschließend installieren Sie das adminpak.msi, das
Sie in %WINDIR%\system32 finden.
D
{
Sie nutzen den Windows Explorer, um die Datei
%WINDIR%\system32\dnsmgmt.msc von
»MVSDNS04« in das lokale %WINDIR%\system32 zu
kopieren.
- 138 -
Frage 113
Sie verwalten eine einzelne Windows 2003-Domäne mit einer Struktur
nach dem Organisationsmodell des Unternehmens, aufgeteilt in die
Standorte Nord, Süd, Ost und West. Das Active Directory beinhaltet eine
Organisationseinheit Vertrieb.
In dieser Organisationseinheit wurden die Organisationseinheiten Vertrieb
Süd und Vertrieb Nord angelegt. In einer mit der Domäne verknüpften
Gruppenrichtlinie wurden die Kontosperrungsrichtlinien mit maximal fünf
Anmeldeversuchen festgelegt. In dieser Richtlinie ist die Option Kein
Vorrang aktiviert, und in der ACL hat die Gruppe Authentifizierte
Benutzer das Recht Lesen und Gruppenrichtlinien übernehmen.
Für die Beschäftigten der Vertriebsabteilungen, deren Benutzer- und
Computerkonten in den Organisationseinheiten Vertrieb Nord und Vertrieb
Süd gespeichert sind, sollen jedoch maximal drei Versuche zugelassen
werden. Die Benutzer sind in den Gruppen VSUED und VNORD
zusammengefasst.
A
{
Sie erstellen in der Organisationseinheit Vertrieb eine
Gruppenrichtlinie, in der Sie drei Anmeldeversuche
festlegen. Sie fügen dann die Gruppen VSUED und
VNORD der Zugriffssteuerungsliste des
Gruppenrichtlinienobjektes hinzu und deaktivieren in der
Gruppenrichtlinie die Option Kein Vorrang.
B
{
Gruppenrichtlinienobjektes hinzu und aktivieren in der
C
{
Gruppenrichtlinienobjektes hinzu und deaktivieren im
Gruppenrichtlinienobjekt in der Domäne Kein Vorrang.
- 139 -
D
{
Gruppenrichtlinienobjektes hinzu und legen in der
Gruppenrichtlinie die Option Richtlinienvererbung
deaktivieren fest.
E
{
Sie erstellen in den Standorten Süd und Nord je eine
festlegen, und aktivieren in diesen Gruppenrichtlinien
Kein Vorrang.
- 140 -
Frage 114
Netzwerk besteht aus einer Domäne. Alle Server im Netzwerk werden mit
Windows Server 2003 betrieben, alle Clientcomputer laufen mit Windows
XP Professional.
Sie installieren einen neuen Server mit dem Namen »MVSWAW02«. Nach
der Installation stellen Sie die Netzwerkeinstellungen folgendermaßen ein:
Sie fügen »MVSWAW02« einer Arbeitsgruppe hinzu. Nach dem Neustart
des Servers melden Sie sich mit dem Konto des lokalen Administrators an
und treten der Domäne bei. Nach dem nächsten Neustart melden Sie sich
als Domänenadministrator an. Die Anmeldung schlägt fehl. Sie müssen
sicherstellen, dass der Server Mitglied in der Domäne ist.
Wie gehen Sie vor?
A
{
Sie öffnen das Snap-in Active Directory-Benutzer und
-Computer und setzen den Server »MVSWAW02«
zurück.
B
{
Sie öffnen eine Eingabeaufforderung auf einem anderen
Mitgliedsserver der Domäne und geben dsmod
computer mvswaw02.MVSNET.DE-reset ein.
- 141 -
C
{
Sie melden sich als lokaler Administrator an
»MVSWAW02« an und ändern den eingetragenen DNSServer.
D
{
»MVSWAW02« an und ändern die eingetragene
Subnetzmaske.
E
{
Mitgliedsserver der Domäne und geben nltest
/server:mvswaw02.MVSNET.DE /trusted_domains
ein.
- 142 -
Frage 115
Sie sind der Netzwerkadministrator der Firma MVS NET. Das Netzwerk
besteht aus mehreren Domänen in einer einzigen Gesamtstruktur mit der
Bezeichnung MVSNET.DE. Die Domänenfunktionsebene aller
untergeordneten Domänen ist Windows 2000 gemischt. Der Server
»MVSVCC05.MVSNET.DE« wird mit Windows Server 2003 betrieben. Sie
legen eine Freigabe mit dem Namen VccDokumente auf
»MVSVCC05.MVSNET.DE« an. Sie erteilen der universellen Gruppe MVSVCC-SEC die Berechtigung Vollzugriff.
Bei der Überprüfung der effektiven Berechtigung der Gruppe stellen Sie
fest, dass die Gruppe MVS-VCC-SEC Vollzugriff auf VccDokumente hat. In
jeder untergeordneten Domäne von MVSNET.DE erstellen Sie eine globale
Gruppe namens MVS-VCC-SEC-GLOBAL. Des Weiteren fügen Sie den
globalen Gruppen Benutzer aus den jeweiligen Domänen und alle globalen
Gruppen der Gruppe MVS-VCC-SEC hinzu.
Ein Mitglied aus der Gruppe MVS-VCC-SEC-GLOBAL in der Domäne
PUCHHEIM.MVSNET.DE, Daniel, berichtet Ihnen, dass er keinen Zugriff auf
VccDokumente hat. Bei der Überprüfung der effektiven Berechtigung der
Gruppe stellen Sie fest, dass der Benutzer Daniel keinerlei Berechtigungen
auf VccDokumente hat. Sie müssen sicherstellen, dass er Zugriff auf die
Freigabe erhält.
Wählen Sie zwei Möglichkeiten.
(Jede Antwort beinhaltet einen kompletten Lösungsweg, wählen Sie zwei.)
A

Sie fügen das Benutzerkonto von Daniel der Gruppe
MVS-VCC-SEC hinzu.
B

Sie ändern den Gruppenbereich der Gruppe MVS-VCCSEC von universell auf lokal (in Domäne).
C

Sie ändern den Gruppentyp der Gruppe MVS-VCC-SEC
auf Verteilung.
D

Sie erteilen der Gruppe MVS-VCC-SEC-GLOBAL aus der
Domäne PUCHHEIM.MVSNET.DE die Berechtigung
Vollzugriff auf die Freigabe VccDokumente.
E

Sie weisen Daniel an, sich mit seinem vollständigen
Benutzernamen anzumelden.
- 143 -
Frage 116
Der Server »MVSSUS02« ist der SUS-Server und verwendet die
Standardeinstellungen. Sie konfigurieren die Clientcomputer so, dass
diese auf die Dienste der Server »MVSSRV01« und »MVSSRV02«
zugreifen.
aber sicherstellen, dass das Update auf keinem der Server eingesetzt
wird.
A

B

C

D

»MVSSUS02« an.
- 144 -
Frage 117
Christian, der Druckadministrator der Firma MVS M. Völk Systems,
konfiguriert einen neuen Drucker im Netzwerk. Er möchte unter
Verwendung des TCP/IP-Anschlusses des Druckgeräts auf dem Windows
Server 2003 Computer »MVSDC001« einen Drucker erstellen und diesen
im Netzwerk unter dem Namen »Drucker« freigeben. Auf dem Server sind
weitere vier Drucker angeschlossen. Nach der Eingabe der IP-Adresse des
Gerätes wird ihm angezeigt, dass der Drucker im Netzwerk nicht gefunden
wurde.
Welches Problem hat Christian jetzt?
A
{
Falschen oder fehlenden DNS-Servereintrag auf
»MVSDNS04«.
B
{
Falschen oder fehlenden LPR-Anschluss auf
»MVSDC001«.
C
{
Angabe der falschen IP-Adresse bei der Konfiguration
auf »MVSDC001«.
D
{
Angabe der falschen Subnetzmaske für das Druckgerät.
- 145 -
Frage 118
Rudolf betreut ein Windows Server 2003-Netzwerk. Das Netzwerk ist, wie
im Diagramm dargestellt, konfiguriert:
Im Netzwerk befinden sich acht Windows XP Professional und zwei
Windows Server 2003 Computer. Der Client »MVSCL001« kann die IPAdresse 172.16.96.1 anpingen und der Client »MVSCL005« die IP-Adresse
172.16.64.1. Alle Windows XP Professional Rechner können untereinander
kommunizieren. Der Client »MVSCL004« kann jedoch mit dem Rechner
»MVSCL007« keine Verbindung aufbauen und diesem Rechner auch keine
Ping-Signale senden.
Was sollte Rudolf unternehmen, um die Kommunikation zwischen diesen
beiden Rechnern zu ermöglichen?
A
{
Rudolf ändert die Subnetzmaske des Netzwerkes auf den
Wert 255.255.240.0.
B
{
Wert 255.255.192.0.
C
{
Rudolf ändert die IP-Adresse von »MVSCL004« auf
172.16.63.32.
D
{
172.16.103.76.
- 146 -
Frage 119
In einer Windows Server 2003-Domäne mit drei Domänencontrollern sind
Sie als Administrator tätig. Mit dem Windows Sicherungsprogramm führen
Sie täglich eine vollständige Sicherung jedes Domänencontrollers durch.
Sie führen ein Skript aus, mit dem Kontoinformationen im Active Directory
geändert werden. Aufgrund von Fehlern im Skript werden die falschen
Benutzerkonten geändert. Die Änderungen werden auf die anderen zwei
Domänencontroller repliziert.
Wie können Sie die am Vortag gesicherte Version des Active Directory
wiederherstellen?
A
{
Sie stellen mit dem Windows Sicherungsprogramm auf
einem Einzeldomänencontroller die Systemstatusdaten
wieder her. Daraufhin fahren Sie den Rechner herunter
und starten ihn neu.
B
{
Sie fahren einen Einzeldomänencontroller herunter und
booten ihn mit der Startoption Verzeichnisdienste
wiederherstellen. Daraufhin stellen Sie die
Systemstatusdaten mit dem Windows
Sicherungsprogramm wieder her, führen das
Dienstprogramm ntdsutil aus und starten den Rechner
neu.
C
{
Sie verwenden die Wiederherstellungskonsole, um einen
Einzeldomänencontroller herunterzufahren und neu zu
starten. Daraufhin stellen Sie mit dem Windows
Sicherungsprogramm die Systemstatusdaten wieder her,
beenden die Wiederherstellungskonsole und starten den
Rechner neu.
D
{
Sie verwenden die Wiederherstellungskonsole, um jeden
Domänencontroller herunterzufahren und neu zu starten.
Daraufhin stellen Sie mit dem Windows
Sicherungsprogramm den Ordner SYSVOL wieder her,
Rechner neu.
- 147 -
Frage 120
Netzwerk besteht aus einem einzelnen Verzeichnisdienst. Die
Domänenfunktionsebene ist auf Windows 2000 gemischt gesetzt. Als
Die Netzwerkfreigabe MVS-INFO, die auf »MVSHDD02« liegt, beinhaltet
alle wichtigen Daten der Buchhaltungsabteilung. Der Abteilungsleiter der
Buchhaltung meldet bei Ihnen, dass die Netzwerkfreigabe zuweilen nicht
erreichbar ist. Sie untersuchen den Fehler und stellen fest, dass, sobald
mehr als zehn Benutzer auf die Netzwerkfreigabe zugreifen, diese nicht
mehr erreichbar ist. Sie müssen schnellstmöglich sicherstellen, dass alle
Benutzer aus der Buchhaltung auf die Netzwerkfreigabe zugreifen können.
Wie gehen Sie vor?
A
{
Sie setzen die maximale Anzahl von Benutzern, die auf
die Netzwerkfreigabe berechtigt sind, auf zehn herab.
B
{
Sie stufen die Domänenfunktionsebene auf Windows
Server 2003 hinauf.
C
{
Sie kaufen zusätzliche Windows XP Professional
Clientlizenzen.
D
{
Sie verschieben die Netzwerkfreigabe MVS-INFO auf
einen Windows Server 2003 Server.
- 148 -
Frage 121
Sie sind in Ihrem Unternehmen der Administrator eines Windows Server
2003 Active Directory-Netzwerkes. Ihr Netzwerk enthält die zwei
Organisationseinheiten OU_MUC und OU_PUC, die wiederum jeweils die
untergeordneten Organisationseinheiten Schulung, Support und Training
enthalten.
Sie vermuten, dass sich jemand an Ihrer Domäne anmelden möchte,
indem er versucht, Benutzerkonten und Kennwörter zu erraten.
Wie können Sie feststellen, auf welchem Rechner diese Anmeldeversuche
ausgeführt werden?
A
{
Sie bearbeiten die Standarddomänenrichtlinie so, dass
fehlgeschlagene Zugriffe auf den Verzeichnisdienst
überwacht werden.
B
{
fehlgeschlagene Kontoanmeldungen überwacht werden.
C
{
Sie bearbeiten die Gruppenrichtlinien der
Organisationseinheiten OU_MUC und OU_PUC so, dass
fehlgeschlagene Anmeldungen überwacht werden.
D
{
Sie bearbeiten die Gruppenrichtlinien jeder
untergeordneten Organisationseinheit so, dass
überwacht werden.
- 149 -
Frage 122
Sie sind der für die Sicherheit und die Benutzerdesktopeinstellungen
verantwortliche Netzwerkadministrator und müssen für alle Benutzer
einen benutzerdefinierten Registrierungseintrag konfigurieren und
möchten diesen mit möglichst geringem Aufwand einer Gruppenrichtlinie
hinzufügen.
Wie gehen Sie vor?
A
{
Sie konfigurieren eine Sicherheitsvorlage und fügen die
Vorlage der Gruppenrichtlinie hinzu.
B
{
Sie konfigurieren eine INF-Richtlinie und fügen die
Richtlinie der Gruppenrichtlinie hinzu.
C
{
Sie konfigurieren ein Microsoft Windows Installer-Paket
und fügen es der Gruppenrichtlinie hinzu.
D
{
Sie konfigurieren RIS, damit der Registrierungseintrag
hinzugefügt wird.
- 150 -
Frage 123
Netzwerk werden mit Windows Server 2003 betrieben, Windows XP
Professional wird auf den Clientcomputern eingesetzt.
Sie installieren auf dem Windows Server 2003 Server »MVSWW003« IIS
6.0. Sie erstellen einen Webordner mit dem Namen Webordner und
erteilen folgende Berechtigungen: Lesen, Schreiben und Ordnerinhalt
auflisten. Die Domänenbenutzer erhalten die Fehlermeldung, dass sie
das Verzeichnis nicht als Webordner öffnen können, wenn sie Webordner
als Webordner mit dem Internet Explorer öffnen möchten.
Stellen Sie sicher, dass alle Domänenbenutzer auf den Webordner
zugreifen können.
A
{
Sie lassen die Webdiensterweiterung WebDAV zu.
B
{
C
{
Sie ändern die Ausführberechtigungen auf Skripts und
ausführbare Dateien.
D
{
Sie starten den WWW-Publishingdienst auf
»MVSWW003« neu.
- 151 -
Frage 124
Sie installieren auf dem Computer »MVSCL035« Windows XP Professional.
Das Netzwerk ist wie in der Grafik dargestellt konfiguriert:
Sie stellen täglich eine Verbindung zu freigegebenen Ressourcen auf
»MVSRV01« her. Heute gelingt Ihnen dies nicht. Angela kann von ihrem
Rechner mit der Bezeichnung »MVSCL034« aus auf »MVSSRV01«
zugreifen. Sie senden ICMP-Signale an »MVSSRV01«, um die Ursache des
Problems herauszufinden:
C:\>ping MVSSVR01
Ping MVSSVR01.MVSNET.DE [10.10.30.20] mit 32 Bytes Daten:
Antwort von 10.10.164.3: Zielhost nicht erreichbar.
Ping-Statistik für 10.10.30.20:
Pakete: Gesendet = 4, Empfangen = 4, Verloren = 0 <0% Verlust>,
Ca. Zeitangaben in Millisek.:
Minimum = 0ms, Maximum = 0ms, Mittelwert = 0ms
C:\>
Sie vergewissern sich, dass alle Server mit dem Netzwerk verbunden sind
und ordnungsgemäß arbeiten.
- 152 -
A
{
Die Routerkonfiguration.
B
{
Die WINS-Konfiguration auf dem Client »MVSCL035«.
C
{
Die WINS-Konfiguration auf »MVSSRV01«.
D
{
Die Standardgatewayeinstellung auf dem Client
»MVSCL035«.
- 153 -
Frage 125
Netzwerk besteht aus Windows Server 2003 Servern und Windows XP
Professional Clientcomputern.
Sie konfigurieren automatische Updates auf den Servern. Die
Sicherheitsrichtlinien der Firma MVS M. Völk Systems schreiben vor, dass
alle Updates vor der Installation geprüft und genehmigt werden müssen.
Alle Updates werden vom Microsoft Windows Update Server geladen. Sie
wollen den Updatevorgang so weit wie möglich automatisieren.
(Um zu Antworten, klicken Sie die gewünschten Optionen direkt in der
Grafik an.)
- 154 -
Frage 126
Sie installieren die Software Update Services (SUS) auf dem
Mitgliedsserver »MVSSUS01«. Sie erstellen eine neue Gruppenrichtlinie
auf der obersten Domänenebene. Sie müssen die Richtlinie so
konfigurieren, dass alle Clientcomputer in ihrer Domäne die Updates
automatisch von »MVSSUS01« beziehen.
Wie müssen Sie die Gruppenrichtlinie konfigurieren?
Grafik an.)
- 155 -
Frage 127
Sie sind der Dateiserveradministrator der Firma MVS Press Ltd. Das
Unternehmensnetzwerk besteht aus einer Domäne mit dem Namen
MVSPRESS.DE. Die Domäne enthält zwölf Windows Server 2003 Rechner
und 1500 Windows XP Professional Clientcomputer.
Sie sind verantwortlich für drei Server mit den Bezeichnungen
»MVSFS001«, »MVSFS002« und »MVSFS003«. Sie müssen den
Gerätetreiber des Netzwerkadapters in »MVSFS001« updaten. Sie melden
sich mit Ihrem Standarddomänenbenutzerkonto an »MVSFS001« an,
öffnen den Gerätemanager und erhalten folgende Meldung:
Ihnen fehlen Sicherheitsrechte zum Deinstallieren von
Gerätetreibern bzw. zum Ändern von Geräteeigenschaften oder
Gerätetreibern. Wenden Sie sich an den Standortadministrator,
oder melden Sie sich ab, melden Sie sich als Administrator wieder
an, und wiederholen Sie den Vorgang.
Sie müssen den Gerätemanager in der Computermanagementkonsole mit
dem Konto des lokalen Administrators öffnen. Das Konto des lokalen
Administrators wurde auf Ihren Servern umbenannt in lokal_admin. Das
Kennwort für das Konto lautet P@ssw0rd. Sie öffnen den Gerätemanager
mit der Ausführen als ...-Option.
Was müssen Sie als nächstes tun?
(Zur Beantwortung der Frage ziehen Sie die Einstellungen auf die
MVSFS001\lokal_admin
MVSPRESS\lokal_admin
MVSFS001\Administrator
P@ssw0rd
- 156 -
Frage 128
insgesamt über 4000 Windows XP Professional Clients und zehn Windows
Angela aus der Buchhaltung informiert Sie, dass sie sich nicht an ihrem
Computer anmelden kann. Sie öffnen das Sicherheitsprotokoll und sehen
folgende Ereignisse:
Sie müssen sicherstellen, dass Angela sich anmelden kann.
Wie gehen Sie vor?
A
{
Sie fügen Angela der globalen Domänengruppe Users
hinzu.
B
{
Sie aktivieren das Benutzerkonto von Angela.
C
{
Sie entfernen Angela aus der lokalen Gruppe Gäste.
D
{
Sie geben das Benutzerkonto von Angela wieder frei.
E
{
Sie fügen das Benutzerkonto von Angela der Gruppe
- 157 -
Frage 129
Sie sind der Netzwerkadministrator der Firma MVS Press. Windows Server
2003 wird als Standardserverbetriebsystem eingesetzt. Auf einem
Mitgliedsserver der Stammdomäne, »MVSDNS04«, sind über 100
Dateiordner abgelegt. Die Dateiordner sind auf dem gesamten
Dateisystem verteilt.
Jeden Samstag um 01:00 Uhr erfolgt auf »MVSDNS04« eine Sicherung
der gesamten Dateiordner. Sie stellen fest, dass einige Dateien am
Samstag und Sonntag von Benutzern bearbeitet werden. Sie müssen den
Sicherungsauftrag so ändern, dass die Sicherung jeden Montag um 01:00
Uhr statt samstags erfolgt.
Wie gehen Sie, mit möglichst wenig Aufwand, vor?
A
{
Sie erstellen einen neuen Sicherungsauftrag auf Montag.
B
{
Sie ändern den Sicherungsauftrag, damit er jeden
Montag um 01:00 Uhr läuft.
C
{
Sie fügen einen weiteren Sicherungsauftrag hinzu, der
jeden Montag um 01:00 Uhr die Sicherung durchführt.
D
{
Sie ändern den Sicherungsauftrag so, dass er alle 336
Stunden nach 48 Stunden noch einmal ausgeführt wird.
- 158 -
Frage 130
Netzwerk werden mit Windows Server 2003 betrieben.
Jeden Montag um 01:00 Uhr führen Sie eine komplette Sicherung des
Netzwerkes durch. Jeden Dienstag, Mittwoch, Donnerstag und Freitag
führen Sie um 01:00 Uhr eine inkrementelle Sicherung durch.
Andreas, ein Benutzer aus der Buchhaltung, meldet am Freitagnachmittag
bei Ihnen, dass er versehentlich eine wichtige Datei gelöscht hat. Sie
müssen Andreas diese Datei schnellstmöglich wieder zur Verfügung
stellen.
Wie gehen Sie vor?
A
{
Sie öffnen jedes Sicherungsprotokoll, beginnend von
Montag bis Freitag, und suchen nach der Datei. Sie
stellen den ersten Eintrag, den Sie finden, wieder her.
B
{
Sie öffnen das Sicherungsprotokoll von Montag, suchen
nach der Datei und stellen den ersten Eintrag, den Sie
finden, wieder her. Sollten Sie keinen finden, fahren Sie
mit dem Protokoll von Freitag fort.
C
{
Dienstag bis Freitag, und suchen nach der Datei. Sie
D
{
Freitag bis Montag, und suchen nach der Datei. Sie
- 159 -
Frage 131
MVSPRESS.DE. Alle zwölf Netzwerkserver werden mit Windows Server
2003 betrieben.
Der Server »MVSDFS01« stellt die Netzwerkfreigabe GRUPPENFREIGABE
zur Verfügung. Alle Mitarbeiter der Firma MVS Press fügen der
Netzfreigabe täglich neue Dateien hinzu und bearbeiten bereits
bestehende. Um die Daten auf GRUPPENFREIGABE zu sichern, benutzen
Sie ntbackup.exe. Als Speichermedium steht Ihnen ein Bandlaufwerk zur
Verfügung.
Nachdem Sie die Sicherung ausgeführt haben, stellen Sie fest, dass auf
dem Bandlaufwerk, das Sie für die Sicherung verwendet haben, eine
Fehlerlampe blinkt. Sie müssen sicherstellen, dass Sie die Freigabe
GRUPPENFREIGABE erfolgreich wiederherstellen können. Schon
existierende Dateien auf GRUPPENFREIGABE darf die Wiederherstellung
nicht überschreiben.
Wie gehen Sie vor?
A
{
Sie starten ntbackup.exe und erstellen einen neuen
Sicherungsauftrag. Sie sichern dann alle Dateien noch
einmal auf ein neues Sicherungsband und legen eine
Verifizierung der Daten nach der Sicherung fest.
B
{
einmal auf dasselbe Sicherungsband und legen eine
C
{
Sie starten ntbackup.exe, verwenden die Funktion
Medienwiederherstellung und Verwaltung, um das
Sicherungsband auszuwählen, und starten anschließend
eine Wiederherstellung in das Ursprungsverzeichnis.
D
{
eine Wiederherstellung in ein anderes Verzeichnis als das
Ursprungsverzeichnis.
- 160 -
Frage 132
besteht aus der Domäne MVSPRESS.DE. Alle Server im Netzwerk werden
mit Windows Server 2003 betrieben.
Der Mitgliedsserver »MVSFL001« stellt sehr viele Netzwerkfreigaben für
Domänenbenutzer von MVS Press zur Verfügung. Jeden Samstag um
01:00 Uhr werden alle Dateien auf »MVSFL001« gesichert.
Sie erfahren am Montag, dass der Sicherungsauftrag nun einmalig
dienstags um 01:00 Uhr durchgeführt werden soll.
Wie gehen Sie vor?
A
{
Sie ändern den Sicherungsauftrag so, dass er sich alle
96 Stunden, mit einer Pause von 168 Stunden,
wiederholt.
B
{
Sie fügen einen weiteren Zeitplan unter Mehrfache
Zeitpläne anzeigen hinzu, der am Dienstag um 01:00
Uhr ausgeführt wird.
C
{
Sie konfigurieren Dienstag als Anfangsdatum des
Sicherungsauftrages.
D
{
Sie konfigurieren am Montag das Anfangsdatum der
Sicherung auf Dienstag und am Mittwoch auf Samstag.
- 161 -
Frage 133
Sie sind der Netzwerkadministrator der Firma MVS M. Völk Systems. Sie
verwalten einen Dateiserver mit der Bezeichnung »MVSFP001«. Zum
Abspeichern der Daten wird auf diesem Server ein logisches Laufwerk
verwendet.
Jeden Samstag führen Sie eine vollständige normale Sicherung des
Servers durch. Von Sonntag bis Freitag führen sie eine Differenzsicherung
des Servers aus. Jeden Mittwoch führen Sie auf diesem Server eine
Sicherung vom Typ Kopiesicherung nach Abschluss der Differenzsicherung
durch. Die Kopiesicherung wird außer Haus aufbewahrt, der Transportweg
beträgt zwei Stunden.
Das logische Laufwerk fällt am Freitag früh aus. Sie müssen die Daten
darauf wiederherstellen. Sie möchten die Zeit für die Wiederherstellung
auf ein Minimum von Zeit und Datenverlust reduzieren.
Wie gehen Sie vor?
A
{
Wiederherstellen der Daten von der Kopiesicherung vom
letzten Mittwoch, anschließend zurücksichern der
Differenzsicherung vom Donnerstag.
B
{
Wiederherstellen der Daten von der normalen Sicherung
vom letzten Samstag, anschließend zurücksichern der
C
{
Differenzsicherungen vom Montag bis Donnerstag.
D
{
vom letzten Samstag. Wiederherstellen der Daten von
der Kopiesicherung vom letzten Mittwoch, anschließend
zurücksichern der Differenzsicherung vom Donnerstag.
- 162 -
Frage 134
Sie sind der Netzwerkadministrator der Firma MVSPRESS Ltd iG. Das
MVSPRESS.DE. Alle Server verwenden Windows Server 2003 als
Betriebssystem. Das Netzwerk hat keine Verbindung zum Internet.
Die Firma MVSPRESS Ltd iG. geht eine Partnerschaft mit der Firma MVS
M. Völk Systems ein. Das Netzwerk von MVS M. Völk Systems besteht aus
einem Verzeichnisdienst mit der Bezeichnung MVSNET.DE. Alle Server in
der Domäne MVSNET.DE verwenden Windows Server 2003 als
Betriebssystem. MVSNET.DE verfügt über eine separates Netzwerk, das
einen öffentlichen Zugriff auf Mail- und Webserver gestattet. Die Mail- und
Webserver werden in einer eigenen Domäne mit der Bezeichnung
MAIL.MVSNET.DE verwaltet. Die Zone MAIL.MVSNET.DE wird von einem
UNIX-Server mit der aktuellsten BIND-Version verwaltet.
Mitarbeiter aus beiden Firmen benötigen Zugriff auf Ressourcen der
jeweils anderen Firma. Eine neue T1-Verbindung wird zwischen beiden
Firmen eingerichtet. Das AD-Projektteam plant eine Vertrauensstellung
zwischen beiden Verzeichnisdiensten einzurichten. Jede Firma verfügt über
eine firmeninterne Richtlinie, die besagt, dass die internen Ressourcen
nicht vom Internet aus zugänglich sein dürfen. Die Sicherheitsrichtlinie der
Firma MVS M. Völk Systems schreibt vor, dass die interne DNS-Zone nicht
im Internet zur Verfügung stehen darf.
Sie benötigen einen Plan für die Namensauflösung für die
Internetverbindungen. Sie müssen beide Windows Server 2003 DNSServer so konfigurieren, dass sie den Erfordernissen der Richtlinien
entsprechen. Ihr Plan muss eine minimale Unterbrechung der
Netzwerkverbindung beider Netze gewährleisten.
A
{
Sie erstellen eine bedingte Weiterleitung auf dem DNSServer von MVSPRESS.DE, der alle Anfragen für die
Domänen MVSNET.DE an den DNS-Server von
MVSNET.DE weiterleitet. Sie erstellen eine bedingte
Weiterleitung auf dem DNS-Server von MVSNET.DE, der
alle Anfragen für die Domänen MVSPRESS.DE an den
DNS-Server von MVSPRESS.DE weiterleitet.
- 163 -
{
Domänen MVSNET.DE an den UNIX-DNS-Server von
MAIL.MVSNET.DE weiterleitet. Sie konfigurieren den
UNIX-DNS-Server von MAIL.MVSNET.DE so, dass alle
Anfragen für die Domänen MVSPRESS.DE an den DNSServer von MVSPRESS.DE weitergeleitet werden.
C
{
Sie konfigurieren die Hinweise auf den Stammserver
(cache.dns) auf jedem Windows 2003 DNS-Server. Sie
konfigurieren jeden Windows 2003 DNS-Server so, dass
alle Anfragen an den UNIX-DNS-Server für
MAIL.MVSNET.DE weitergeleitet werden.
D
{
Sie konfigurieren eine sekundäre Zone auf dem UNIXDNS-Server von MAIL.MVSNET.DE für jede firmeninterne
DNS-Zone. Sie erlauben auf jedem Windows 2003 DNSServer den Zonentransfer nur auf den UNIX-DNS-Server
von MAIL.MVSNET.DE.
B
- 164 -
Frage 135
MVSPRESS.DE. Alle Computer in diesem Netzwerk sind Mitglieder der
Domäne.
MVSPRESS Ltd iG. besteht aus einem Hauptbüro und 20 Niederlassungen.
Jede Niederlassung hat eine Verbindung zum Hauptbüro. Nur im
Hauptbüro gibt es eine Internetverbindung.
Sie planen eine sichere Updateinfrastruktur für Ihr Netzwerk. Sie setzen
einen zentralen SUS-Server im Hauptbüro und einen SUS-Server in jeder
Niederlassung ein. Der SUS-Server im Hauptbüro verfügt über alle
Windows Updates sowie die aktuellen Sicherheitsfixes.
Sie wollen die Bandbreite für die Verbindung in das Internet sowie zu den
Niederlassungen für diesen Dienst auf ein Minimum beschränken.
Welche zwei Aktionen führen Sie zum Ziel?
(Jede Antwort ist ein Teil der gesamten Antwort.)
A

Sie konfigurieren die SUS-Server in den Niederlassungen
zur Verwendung der Windows Updates und
Sicherheitsfixes.
B

zur Verwendung des SUS-Servers im Hauptbüro für die
Windows Updates sowie Sicherheitsfixes.
C

Sie konfigurieren das Automatische Update auf den
SUS-Servern in den Niederlassungen unter Verwendung
des zentralen SUS-Servers im Hauptbüro.
D

Sie konfigurieren das Automatische Update auf allen
Computern unter Verwendung des SUS-Servers im
lokalen Netzwerk.
E

Computern unter Verwendung der Standardoptionen.
- 165 -
Frage 136
Sie sind der Netzwerkadministrator der Firma EDV Beratung Frank
Eissner. Das Netzwerk besteht aus einem Verzeichnisdienst mit der
Bezeichnung EDV-EISSNER.DE und enthält zwei Windows 2003
Domänencontroller mit den Bezeichnungen »EDVEDC01« und
»EDVEDC02«. Auf beiden Servern wird der DNS-Dienst ausgeführt. Alle
Ressourcenserver im Netzwerk sind DHCP-Clients, ebenso ein Windows
Server 2003 Dateiserver mit der Bezeichnung »EDVEFP03«.
Die DNS-Konfiguration auf »EDVEDC01« besteht aus einer primären Zone,
die dynamische Updates erlaubt, und einer sekundären Zone auf
»EDVEDC02«. Benutzer melden, dass sie nicht in der Lage sind, eine
Verbindung mit »EDVEFP03« herzustellen. Sie stellen fest, dass die IPAdresse von einem Testcomputer, der nicht Mitglied der Domäne ist, mit
der Bezeichnung »EDVEFP03« verwendet wird.
Sie müssen den DNS-Server konfigurieren, um sicherzustellen, dass der
A-Eintrag nur von dem richtigen Server vorgenommen wird.
(Jede Antwort ist ein Teil des Ganzen.)
A

Sie stellen das dynamische Update auf Nur sichere für
die primäre Zone auf »EDVEDC01« ein.
B

Sie stellen das dynamische Update auf Keine für die
primäre Zone auf »EDVEDC01« ein.
C

Sie erstellen einen A-Eintrag für jeden Server auf
»EDVEDC01«.
D

Sie wandeln die primäre Zone auf »EDVEDC01« in eine
Active Directory-integrierte Zone um.
E

Sie wandeln die Zone auf »EDVEDC02« in eine primäre
Zone um.
- 166 -
Frage 137
Firmennetzwerk besteht aus einem einzelnen Verzeichnisdienst mit der
Bezeichnung MVSNET.DE. Auf allen Servern läuft Windows Server 2003
und auf allen Clients Windows XP Professional. Das Netzwerk enthält 20
Server, auf denen Terminaldienste laufen, ebenso alle Applikationen der
Benutzer. Einige dieser Anwendungen sind Legacy-Anwendungen, bei
denen von Benutzern das Dateisystem kontrolliert und die
Anwendungsregistrierung eingestellt werden muss.
Zurzeit sind die Terminaldienste so konfiguriert, dass die Administratoren
remote auf die Sitzungen der Terminaldienste zugreifen können, um bei
Problemfällen dem Benutzer zu helfen oder ihn zu schulen. Der Manager
der Personal- und der Finanzabteilung informiert Sie, dass vertrauliche
Daten bloßgestellt wurden, als administratives Personal ohne Wissen oder
Erlaubnis des Benutzers die Benutzersitzungen verfolgte. Der Manager
beauftragt Sie, die Terminaldienstekonfiguration so zu ändern, dass kein
Administrator ohne Erlaubnis des Benutzers Einsicht auf
Benutzersitzungen bekommt. Sie ändern die Standarddomänenrichtlinie
wie im folgenden Schaubild dargestellt:
- 167 -
Sie versuchen, remote eine Benutzersitzung einzurichten und finden
heraus, dass Sie dies ohne Erlaubnis des Benutzers tun können.
Sie müssen die Terminaldienste nun so konfigurieren, dass sich jeder
Administrator die Erlaubnis des Benutzers einholen muss, bevor er die
Session einsehen bzw. verwalten darf. Diese Aufgabe soll so schnell wie
möglich und mit einem Minimum an administrativem Aufwand
durchgeführt werden. Zudem soll Ihre Konfiguration automatisch auf neue
Terminalserver, die in das Netzwerk implementiert werden, übertragen
werden
- 168 -
A
{
Sie deaktivieren in der Sektion Computereinstellung
der Standarddomänenrichtlinie die Option
Remoteverbindungen für Benutzer mit Hilfe der
Terminaldienste zulassen.
B
{
Sie aktivieren in der Sektion Computereinstellung der
Standarddomänenrichtlinie die Option Regeln für
Remoteüberwachung von TerminaldiensteBenutzersitzungen und konfigurieren Voller Zugriff
bei Benutzererlaubnis.
C
{
Sie wählen im Terminaldienstekonfigurationstool die
Option Remoteüberwachung mit folgenden
Einstellungen verwenden und aktivieren die
Benutzerberechtigung anfordern Checkbox.
D
{
Sie setzen im Terminaldienstekonfigurationstool die
Option Berechtigungskompatibilität auf
Vollständige Sicherheit. In den
Verbindungseigenschaften, Register Berechtigung,
gewähren Sie der Gruppe Administratoren Vollzugriff.
- 169 -
Frage 138
Server 2003 und auf den Clients entweder Windows XP Professional oder
Windows 2000 Professional.
Alle Server, die nicht als Domänencontroller fungieren, befinden sich in
einer Organisationseinheit mit der Bezeichnung Server. Alle Clientrechner,
die von administrativem Personal benutzt werden, befinden sich in der
Organisationseinheit AdminDesktops. Auf der Organisationseinheit
Domänencontroller und der Organisationseinheit Server wird die Server
IPSec-Richtlinie verwendet. Auf der AdminDesktop-Organisationseinheit
wird die Client-IPSec-Richtlinie verwendet.
Alle Server sind so konfiguriert, dass sie Remotedesktopverbindungen für
die Administration erlauben. Die Sicherheitsrichtlinie der Firma sieht vor,
dass der höchstmögliche Sicherheitslevel während der
Remoteadministration gilt. Die Terminaldiensteverschlüsselungsstufe in
den Standardgruppenrichtlinien ist auf Hoch gestellt.
Nach kurzer Zeit berichten Administratoren, die mit Windows 2000
Professional Rechnern arbeiten, dass sie keine Remotedesktopverbindung
mit den Servern herstellen, jedoch auf Netzwerkfreigaben problemlos
zugreifen können. Die Administratoren, die mit Windows XP Rechnern
arbeiten, haben keine derartigen Probleme.
Sie überprüfen, ob die Server, zu denen sich die Administratoren
verbinden wollen, auch online und ob Remotedesktopverbindungen
aktiviert sind. Zudem überprüfen Sie auf jedem Server, ob die maximale
Anzahl von Remoteverbindungen überschritten ist. Sie müssen
sicherstellen, dass jeder Administrator eine Remotedesktopverbindung
aufbauen kann, egal was der Clientrechner für ein Betriebssystem hat.
A
{
Sie stellen in den Eigenschaften des Remote Desktop
Protokolls (RDP) die Verschlüsselungsstufe auf FIPSkonform.
B
{
Sie installieren den Remote Desktop Protokoll (RDP)
Client Version 5.2 auf allen Rechnern in der
Organisationseinheit Administratoren.
- 170 -
C
{
Sie benutzen den Terminaldienstmanager, um die Server
auf Standard Windows Authentifizierung
umzustellen.
D
{
Sie konfigurieren die TerminaldiensterlaubnisKompatibilität auf Niedrige Sicherheit.
- 171 -
Frage 139
Sie sind der Administrator des Gästehauses Merk. Ihr Netzwerk besteht
aus einem einzigen Verzeichnisdienst mit der Bezeichnung GAESTEHAUSMERK.DE. Alle Domänencontroller laufen unter Windows Server 2003,
ebenso alle Applikationsserver.
Die Computer in den verschiedenen Abteilungen führen verschiedene
Betriebssysteme aus:
Buchhaltung
Windows XP
Technischen Abteilung
Windows 2000
Vertrieb
Windows NT4 oder Windows 98.
Alle Computer greifen auf eine Datenbank zu, die auf einem
Applikationsserver abgelegt ist.
Sie müssen die Datenübertragung zwischen den Computer absichern. Sie
müssen sicherstellen, dass die Informationen, die zwischen den
Computern und den Applikationsservern ausgetauscht werden, nicht
verändert werden können. Darüber hinaus soll nach Möglichkeit die
Geheimhaltung der Daten gewährleistet sein.
Wie sollten Sie vorgehen?
- 172 -
Frage 140
Sie sind ein Systemadministrator der Firma IT Consulting Merk. Das
Bezeichnung MERK.NET. Alle Server führen Windows Server 2003 als
Betriebssystem aus. Ein Server mit dem Namen »MERKDC01« ist als
interner DNS-Server konfiguriert und für folgende Zonen zuständig:
Das Netzwerk ist zurzeit nicht mit dem Internet verbunden. Die Firma hat
ein zweites Netzwerk für die Web- und Mailserver. Diese Web- und
Mailserver werden in der Domäne MAIL MERK.NET verwaltet, die auf
einem auf UNIX basierenden DNS-Server mit der Bezeichnung
»MERKDN01« gehostet wird. Dieser DNS-Server führt die aktuellste
BIND_Version aus.
Ihre Firma möchte es den internen Mitarbeiter ermöglichen, auf die
Dienste der Internetserver zuzugreifen. Eine interne Sicherheitsrichtlinie
verbietet jedoch, dass die internen Informationen in das Internet gelangen
dürfen. Des Weiteren dürfen Informationen der internen DNS-Zone nicht
im Internet bekanntgegeben werden. Um dieser Anforderung gerecht zu
werden, müssen alle DNS-Anfragen an den internen DNS-Server
»MERKDC01« gesendet werden. Alle Internetnamensanfragen müssen
über den UNIX-DNS-Server mit der Bezeichnung »MERKDN01« laufen.
Sie müssen eine Strategie für die Namensauflösung erarbeiten. Dabei soll
»MERKDC01« so konfiguriert werden, dass er den Sicherheitsrichtlinien
entspricht.
- 173 -
Wie gehen Sie vor?
A
{
Sie löschen die Stammzone auf »MERKDC01« und
konfigurieren »MERKDC01« so, dass er alle Anfragen, für
die dieser DNS-Server nicht zuständig ist, an
»MERKDN01« weiterleitet.
B
{
Sie kopieren die cache.dns-Datei von der InstallationsCD in das %systemroot%\DNS-Verzeichnis von
»MERKDC01«.
C
{
Sie fügen der internen Zone einen Namensservereintrag
für »MERKDN01« hinzu und konfigurieren den Server mit
den aktuellen ROOT-Informationen.
D
{
Sie erstellen auf »MERKDC01« eine sekundäre Zone mit
der Bezeichnung MAIL.MERK.NET,wobei »MERKDN01«
als Master definiert wird. Sie konfigurieren den Server
so, dass er alle Namensauflösungen an den DNS-Server
Ihres Internetdienstanbieters leitet.
- 174 -
Frage 141
Sie sind der Systemadministrator der Firma MVSPRESS Ltd iG. Das Netz
besteht aus einem Verzeichnisdienst mit der Bezeichnung MVSPRESS.DE.
Alle Server laufen unter dem Betriebssystem Windows Server 2003. Ihr
Netzwerk ist mittels einer T3-Leitung mit dem Internet verbunden.
Ihre Firma geht eine Partnerschaft mit einer anderen Gesellschaft ein. Das
Netzwerk der Partnerfirma besteht aus einer Gesamtstruktur mit zwei
Domänen. Alle Server im Netzwerk führen das Betriebssystem Windows
Server 2003 aus. Das Netzwerk Ihrer Partnerfirma ist ebenfalls mit einer
T3-Leitung mit dem Internet verbunden.
Das Partnernetz ist durch eine VPN-Verbindung, die zwischen den zwei
Netzwerken hergestellt wurde, zugänglich. Die VPN-Verbindung wurde
getestet, und es wurde sichergestellt, dass eine Verbindung zwischen den
zwei Netzen möglich ist.
Benutzer von beiden Gesellschaften müssen sich mit Ressourcen
verbinden, die sich auf Servern des anderen Netzwerkes befinden. Es
existiert eine Vertrauensstellung zwischen den zwei Gesellschaften, um
den Benutzern den Zugang zu Ressourcen zu gewähren. Benutzer in Ihrer
Firma berichten, dass sie auf Ressourcen aus dem Partnernetz zugreifen
können, aber es kann bis zu mehrere Minuten dauern, bis eine Verbindung
hergestellt wird. Dieses Problem tritt meistens während des frühen
Vormittags auf.
Sie stellen sicher, dass es eine ausreichende, verfügbare Bandbreite für
die Verbindung zwischen den zwei Netzwerken gibt, um den Zugang zu
gewährleisten. Sie stellen auch sicher, dass die Routingtabellen der
Netzwerke richtig konfiguriert wurden. Wenn Sie versuchen, einen Server
im Partnernetz mit Hostnamen anzupingen, bekommen Sie eine Time-OutFehlermeldung. Wenn Sie versuchen, den Server mit seiner IP-Adresse
anzupingen, erhalten Sie innerhalb von einigen Sekunden eine Antwort.
Sie müssen die Leistung zwischen den beiden Netzen verbessern.
A
{
Sie fügen die Domänennamen und die DNSServeradressen des Partnernetzes zu Ihren DNS-Servern
hinzu.
B
{
Sie fügen der ROOT-DNS-Liste auf Ihren DNS-Servern
die Hostnamen und IP-Adressen des Partnernetzes
hinzu.
- 175 -
C
{
Sie deaktivieren die Rekursion auf den DNS-Servern in
beiden Netzwerken.
D
{
Sie fügen die DNS-Server-IP-Adressen des
Partnernetzwerkes Ihrem DHCP-Bereich (Serveroption)
hinzu.
- 176 -
Frage 142
Sie sind der Systemadministrator der Firma MVSPRESS Ltd iG. Das
Netzwerk besteht aus einer Gesamtstruktur mit drei Domänen. Jede
Domäne enthält Domänencontroller, die unter dem Betriebssystem
Windows 2000 Server und Windows Server 2003 laufen. Der DNS-Dienst
ist auf allen Domänencontrollern installiert. Auf allen Clientcomputern läuft
Sie müssen eine zusätzliche DNS-Zone hinzufügen, die auf mindestens
einem DNS-Server in jeder Domäne verwaltet wird. Sie wollen die Zone so
konfigurieren, dass nur sichere Aktualisierungen erlaubt sind.
A
{
Sie konfigurieren die neue Zone auf den DNS-Servern in
der Stammdomäne und konfigurieren eine Stubzone, die
auf die DNS-Server in den zwei anderen Domänen
verweist.
B
{
Sie konfigurieren die neue primäre Zone auf einem DNSServer und konfigurieren die anderen DNS-Server in den
drei Domänen als sekundäre DNS-Server für diese Zone.
Dann aktivieren Sie die Sicherheitserweiterung für das
DNS(DNSSEC)-Protokoll.
C
{
Sie konfigurieren ein neue Active Directory-integrierte
Zone auf den DNS-Servern in den drei Domänen und
speichern die Zonendaten in der DNSVerzeichnispartition unter dem Namen
DomainDNSZonen.
D
{
Sie konfigurieren eine neue Active Directory-integrierte
GesamtstrukturDNSZonen.
- 177 -
Frage 143
Sie sind der Systemtechniker der Firma MVSPRESS Ltd iG. Das Netzwerk
besteht aus drei Windows NT 4.0-Domänen in einem einfachen
Hauptdomänenmodell. Die Server im Netzwerk laufen unter dem
Betriebssystem Windows NT Server 4.0 oder Windows 2000 Server, alle
Domänencontroller unter Windows NT Server 4.0.
Das Netzwerk enthält auch zehn auf UNIX basierende Anwendungsserver.
Die gesamte Hostnamensauflösung für MVSPRESS.DE wird von einem auf
UNIX basierenden Server durchgeführt, der die aktuellste BIND-Version
verwendet. Die gesamte NetBIOS-Namensauflösung wird von zwei
Windows 2000 WINS-Servern durchgeführt.
Ihre Firma möchte das Netzwerk auf Windows Server 2003 mit einer
Gesamtstruktur umstellen. Die neue Domäne soll MVSPress-ltd.DE
benannt werden, und sie wird in einer Active Directory-integrierten Zone
verwaltet. Server, die nicht Domänencontroller sind, werden zu dieser Zeit
nicht aktualisiert. Die Migration sieht vor, dass alle Computer DNS für die
Namensauflösung verwenden müssen.
Sie migrieren alle Domänencontroller in der Hauptdomäne auf Windows
Server 2003 und alle Benutzer und Computer in die neue Active DirectoryDomäne. Sie müssen die erforderliche Redundanz zwischen den auf
Windows und den auf UNIX basierenden DNS-Servern konfigurieren. Sie
müssen sicherstellen, dass es keinen Ausfall der DNS-Server gibt.
Welche zwei Maßnahmen sollten Sie durchführen?
(Jede richtige Antwort ist Teil der Lösung. Wählen Sie zwei.)
A

Sie erstellen auf einem Windows Server 2003 DNSServer eine sekundäre Zone, die den auf UNIX
basierenden DNS-Server als Master benutzt.
B

Sie erstellen auf dem auf UNIX basierenden DNS-Server
eine sekundäre Zone, die einen auf Windows
C

Sie erstellen auf einem Windows Server 2003 DNSServer eine Stubzone, die den auf UNIX basierenden
DNS-Server als Master benutzt.
D

Sie fügen eine Delegation in der MVSPRESS.DE-Zone
hinzu, die die Autorität der MVSPress-Ltd.DE-Zone an
einen Windows Server 2003 Server delegiert.
E

Sie konfigurieren die MVSPress-Ltd.DE-Zone so, dass
keine WINS-spezifischen Ressourceneinträge bei der
Zonenübertragung repliziert werden müssen.
- 178 -
Frage 144
Sie sind der Netzwerkadministrator der Firma MVSPRESS Ltd iG. Ihr
Bezeichnung MVSPRESS.DE. Alle Computer in dieser Firma sind Mitglieder
dieser Domäne. Alle Domänencontroller führen Windows Server 2003 aus,
die Clients verwenden Windows XP als Standardbetriebssystem.
Sie planen eine Struktur zu Aktualisierung der Sicherheit. Sie müssen
herausfinden, welche Computer am anfälligsten für
Sicherheitsverletzungen sind. Sie müssen darüber jede Nacht
Informationen über jeden Computer sammeln. Sie wollen, dass dieser
Prozess automatisch durchgeführt wird.
A
{
Sie erzeugen eine Task für secedit.exe, die jede Nacht
ausgeführt wird.
B
{
Sie erzeugen eine Task für mbsacli.exe, die jede Nacht
ausgeführt wird.
C
{
Sie installieren das Tool Microsoft Baseline Security
Analyzer (MBSA) auf einem Server. Sie konfigurieren die
Automatische Update-Funktion und weisen alle
Computer an, diesen Server dafür zu verwenden.
D
{
Sie installieren den Software Update Dienst (SUS) auf
einem Server so, dass er sich jede Nacht aktualisiert.
- 179 -
Frage 145
Sie sind der Netzwerkadministrator der Firma MVSPRESS Ltd iG. Ihre
Gesellschaft besteht aus einem Verzeichnisdienst mit der Bezeichnung
MVSPRESS.DE. Alle Clients in Ihrer Firma führen als Betriebssystem
Windows XP Professional aus.
Das Hauptbüro der Gesellschaft befindet sich in Nürnberg. Sie sind ein
Netzwerkadministrator in Kronach, einer Zweigstelle der Gesellschaft. Sie
erstellen eine Gruppenrichtlinie, die das Startmenü der Mitarbeiter in
Kronach auf einen freigegeben Ordner auf einem Dateiserver umleitet.
Mehrere Benutzer in Kronach berichten, dass viele der Programme, die sie
normalerweise verwenden, in ihrem Startmenü fehlen. Die Programme
waren im Startmenü am Vortag noch verfügbar, aber heute erscheinen sie
nicht, wenn sich die Benutzer anmelden.
Sie melden sich am Computer eines Mitarbeiters an. Alle erforderlichen
Programme erscheinen im Startmenü. Sie stellen sicher, dass die
Mitarbeiter auf den gemeinsamen Ordner auf dem Dateiserver zugreifen
können. Sie müssen herausfinden, warum sich das Startmenü für diese
Mitarbeiter geändert hat.
Welche zwei Möglichkeiten haben Sie, um dieses Ziel zu erreichen?
(Jede richtige Antwort entspricht einer vollständigen Lösung. Wählen Sie
zwei.)
A

Sie wählen in der Gruppenrichtlinienverwaltung (GPMC)
den Dateiserver, auf dem der gemeinsame Ordner
verwaltet wird, sowie ein Benutzerkonto, das in der
Gruppe der Domänenadministratoren ist und überprüfen
dies mit Hilfe des Richtlinienergebnissatzes.
B

Sie wählen in der Gruppenrichtlinienverwaltung (GPMC),
eines der betroffenen Benutzerkonten aus und
überprüfen dieses mit Hilfe des
Richtlinienergebnissatzes.
C

Sie überprüfen auf einem der betroffenen
Clientcomputer die Einstellungen mit Hilfe des Tools
gpresult.
D

gpupdate.
E

secedit.
- 180 -
Frage 146
MVSPRESS.DE. Bevor Sie neue Gruppenrichtlinien umsetzen, testen Sie
diese auf einer Organisationseinheit mit der Bezeichnung Test. Die
Organisationseinheit Test enthält einen Windows XP Professional
Clientcomputer, den Sie als Testcomputer benutzen.
Die Domäne enthält eine Gruppe mit der Bezeichnung Sicherheit. Sie
erstellen eine neue Gruppenrichtlinie und konfigurieren im Abschnitt
Computerkonfiguration die Option, damit die Gruppe Sicherheit eine
Änderung der Systemzeit durchführen kann.
Sie melden sich beim Testcomputer an und stellen fest, dass die
Gruppenrichtlinien keine Auswirkung gehabt haben. Sie müssen das
Gruppenrichtlinienobjekt sofort anwenden.
A
{
Sie melden sich von dem Testcomputer ab und dann
gleich wieder an.
B
{
Sie melden sich von dem Testcomputer ab, erstellen ein
Benutzerkonto in der Organisationseinheit Test und
melden Sie dann mit diesem Konto wieder an.
C
{
Sie führen auf dem Testcomputer den Befehl gpresult
aus.
D
{
Sie führen auf dem Testcomputer den Befehl gpupdate
/force aus.
- 181 -
Frage 147
Sie sind der Netzwerkadministrator der Firma MVSPRRESS Ltd iG. Das
Netzwerk besteht aus einer Gesamtstruktur mit der Bezeichnung
MVSPRESS.DE. Alle Server verwenden das Betriebssystem Windows
Server 2003 und alle Clientcomputer Windows XP Professional
In einem Testlabor, das eine separate Verzeichnisstruktur enthält,
entwickeln und testen Sie Gruppenrichtlinien, die Sie auf alle Computer
und Benutzer in der Domäne anwenden möchten. Sie müssen eine neue
Gruppenrichtlinie im Netzwerk einsetzen und wollen diese Aufgabe mit
minimalem administrativem Aufwand umsetzen.
A
{
Sie verwenden das verteilte Dateisystem, um die
Gruppenrichtlinien im freigegebenen Ordner SYSVOL
vom Testlabor zur Domäne zu replizieren.
B
{
Sie verwenden die Gruppenrichtlinienverwaltungskonsole
(GPMC), um die Richtlinie aus dem Testlabor zu
exportieren, und um sie anschließend in die Domäne zu
importieren.
C
{
Sie kopieren die Gruppenrichtlinienschablone (GPT) aus
dem freigegebenen Ordner SYSVOL des Testlabors zur
Domäne.
D
{
Sie verwenden das Snap-In Active Directory-Benutzer
und –Computer, um in der Domäne eine neue
Gruppenrichtlinie zu erstellen. In der neuen
Gruppenrichtlinie übernehmen Sie alle Einstellungen aus
der Richtlinie des Testlabors.
- 182 -
Frage 148
Clientcomputer verwenden das Betriebssystem Windows XP Professional.
Sie verwalten einen Windows Server 2003 Dateiserver mit der
Bezeichnung »MVSFP001«. Der Server enthält zwei Datenträger, Laufwerk
G:\ und Laufwerk H:\. Freigegebene Ordner für die Abteilung Buchführung
sind auf Laufwerk G:\ gespeichert, freigegebene Ordner für die Abteilung
Marketing auf Laufwerk G:\ und auf Laufwerk H:\. Das Laufwerk H:\ hat
ausreichenden Speicherplatz, um alle gemeinsamen Ordner zu speichern
und anschließend noch 400 GB freien Platz.
Das Entwurfsteam definiert die folgenden Regeln für die freigegebenen
Ordner der Abteilung Marketing auf »MVSFP001«:
• Die Daten müssen gesichert werden, auch wenn sie geöffnet sind.
• Wenn erforderlich, muss die Sicherung auch während der
Geschäftszeiten ausgeführt werden.
• Benutzer müssen in der Lage sein, die Daten selbst
wiederherzustellen zu können.
Sie müssen einen Plan erstellen, der das Sichern und Wiederherstellen von
Dateien und Verzeichnissen gemäß den entsprechenden Erfordernissen
ermöglicht. Sie müssen einem eventuellen Datenverlust vorbeugen.
Welche zwei Maßnahmen sollten Sie ergreifen?
A

Sie passen alle freigegebenen Ordner durch Verwendung
der Dokumentschablone an.
B

Sie platzieren alle Ordner der Abteilung Marketing auf
dem Laufwerk H:\ und aktivieren die Verwendung von
Schattenkopien für alle Ordner auf H:\.
C

Sie konfigurieren die Sicherung so, dass die
Schattenkopien nicht mitgesichert werden.
D

Sie installieren die Software für Schattenkopien auf allen
Clientcomputern der Abteilung Marketing.
E

Sie geben allen Benutzern der Abteilung Marketing die
NTFS-Berechtigung Vollzugriff auf alle freigegebenen
Ordner.
- 183 -
Frage 149
Sie sind der Systemadministrator der Firma MVS M. Völk Systems. Das
Netzwerk besteht aus vier Active Directory-Domänen. Alle Server in
diesem Netzwerk verwenden als Betriebssystem Windows Server 2003.
Diese Server sind auf drei Büros verteilt. Alle Server unterstützen Out-ofBand-Verwaltung mittels serieller Verbindungen zu den
Terminalkonzentratoren im Datenzentrum jedes Büros. Jedes Büro hat
eine eigene Verbindung zum Internet.
Ihre Firma hat eine neue Sicherheitsrichtlinie erlassen, die folgende
Punkte enthalten muss:
• Der direkte Zugriff auf alle Server ist nur bevollmächtigtem Personal
gestattet und nur für den Zweck, Hardware zu installieren oder zu
warten.
• Alle In-Band-Remote-Verbindungen zur Verwaltung müssen vom
Kerberos Version 5 Protokoll authentifiziert werden.
• Administratoren in jedem Büro müssen in der Lage sein, auf ihre
Server für entfernte Verwaltung oder Fehlerbehebung zuzugreifen,
selbst wenn das Betriebssystem nicht mehr läuft oder eine STOPFehlermeldung das System unterbricht.
• Dienste oder Programme, die für keine Remoteverwaltungs- oder
Serveroperationen notwendig sind, dürfen auf keinem Computer
installiert werden.
Sie müssen eine Remoteverwaltungsstrategie für das Netzwerk planen,
die mit der neuen Richtlinie übereinstimmt. Sie sind nicht verantwortlich
für die Rechtevergabe in der Domäne.
(Jede richtige Antwort ist ein Teil der Lösung. Wählen Sie zwei.)
A

Sie konfigurieren jeden Server so, dass dieser eine
Remotedesktopverbindung akzeptiert.
B

Sie aktivieren auf jedem Server Telnet mit dem
Startparameter Automatisch.
C

Sie installieren auf jedem Server den Terminaldienst.
D

Sie aktivieren auf jedem Server die
Notverwaltungsdienste.
E

Sie installieren auf jedem Server den IIS-Dienst. Sie
wählen die Remoteadministration in den Eigenschaften
des WWW-Dienstes aus.
- 184 -
Frage 150
Firma hat ein Hauptbüro und zwei Niederlassungen. Die Niederlassungen
sind über eine T1-Leitung mit dem Hauptbüro verbunden. Das Netzwerk
besteht aus einem Verzeichnisdienst mit einem Standort für jedes Büro.
Alle Clientcomputer verwenden als Betriebssystem Windows 2000
Professional oder Windows XP Professional. Jedes Büro hat ein kleines
Rechenzentrum für die entsprechenden Domänencontroller, WINS-, DNSund DHCP-Server, alle Server verwenden das Betriebssystem Windows
Server 2003.
Alle Mitarbeiter verwenden einen Dateiserver im Hauptbüro für die
Speicherung von kritischen Daten. Ihr Netzwerkteam stellt fest, dass die
WAN-Verbindungen während der Hauptgeschäftszeiten ziemlich belastet
sind. Mitarbeiter beschweren sich über eine schlechte Verbindung während
der Hauptgeschäftszeiten. Das Planungsteam ist sehr beunruhigt darüber,
dass der Dateiserver ausfallen könnte. Das Team plant den WANVerbindungsverkehr während der Hauptgeschäftszeiten zu reduzieren, um
eine bessere Verfügbarkeit der Dateiserver zu erreichen.
Sie müssen eine Lösung finden, um die Verfügbarkeit der Dateiserver
während der Hauptgeschäftszeiten zu verbessern. Des Weiteren müssen
Sie die Verwendung der Bandbreite reduzieren.
Wie gehen Sie vor?
A
{
Sie kaufen zwei neue High-End-Server, die ein DiskArray über Glasfaserleitungen verwenden. Sie stellen
beide im Hauptbüro auf, verbinden sie zu einem
Clusterverbund und geben das neue Disk-Array im
Netzwerk frei.
B
{
Sie verwenden Offline-Dateien auf allen Clients in allen
Büros.
C
{
Sie erstellen einen eigenständigen DFS-Stamm
(Verteiltes Dateisystem [DFS]) im Hauptbüro. Sie
kopieren alle freigegeben Ordner in die Niederlassungen
und stellen sicher, dass die Replikation der Daten
während der verkehrsschwachen Stunden stattfindet.
D
{
Sie erstellen einen Domänen-DFS-Stamm (Verteiltes
Dateisystem [DFS]) und eine Replikation zu den
Niederlassungen während der verkehrsschwachen
Geschäftszeiten.
- 185 -
Frage 151
Sie sind der Netzwerkadministrator der Firma MVS M. Völk Systems. Ihr
MVSNET.DE und enthält einen Windows Server 2003 Server mit der
Bezeichnung »MVSFP001« und einen Clientcomputer mit Windows XP
Professional und der Bezeichnung »MVSAD001«. »MVSAD001« ist Ihr
Arbeitsplatz.
Sie planen auf »MVSAD001« das Tool Microsoft Baseline Security Analyzer
zu installieren, um »MVSFP001« zu analysieren. Jedoch werden beim Start
des Tools über eine Sicherheitsvorlage einige Dienste auf »MVSFP001«
beendet. Sie möchten aber mit diesem Tool den Server »MVSFP001«
analysieren.
Welche zwei Dienste sollten Sie aktivieren?
(Wählen Sie die zwei entsprechenden Dienste in der Grafik aus.)
- 186 -
- 187 -
Frage 152
Netzwerk besteht aus mehreren physischen Netzwerken. Im Netzwerk
befinden sich zwei Windows Server 2003 Servern mit den Bezeichnungen
»MVSDC001« und »MVSDC002« und mehrere Windows 2000 Server. Auf
dem Server »MVSDC001« ist der DHCP-Dienst für das Netzwerk
10.250.100.0/24 mit dem Bereich von 10.250.100.10 bis 10.250.100.100
konfiguriert.
Einige Mitarbeiter melden Ihnen, dass sie den Druckserver nicht erreichen,
jedoch alle anderen Computer im Netzwerk. Sie führen auf einem der
Computer den Befehl ipconfig /all auf und bekommen folgende
Informationen:
IP Adresse
10.250.100.150
Subnetzmaske
255.255.255.0
Standardgateway
DHCP-Server
»MVSDC002«
DNS-Server
Primärer WINS-Server
Sie müssen alle Computer, die zurzeit das Problem haben, so
konfigurieren, dass sie wieder alle Computer im Netzwerk erreichen.
A

Sie deaktivieren den DHCP-Dienst auf »MVSDC002«.
B

Sie erweitern den DHCP-Bereich von 10.250.100.0/24
auf »MVSDC001«.
C

Sie erstellen eine globale Bereichsoption für die Werte
Standardgateway, DNS-Server und WINS-Server
D

Sie löschen alle IP-Adressreservierungen im Bereich auf
dem Server »MVSDC001«.
E

Sie führen den Befehl ipconfig /renew auf den
Computern mit dem Verbindungsproblem aus.
F

Sie führen den Befehl ipconfig /registerdns auf den
- 188 -
Frage 153
Netzwerk verfügt über eine Active Directory-Domäne mit der Bezeichnung
MVSNET.DE. Die Computer im internen Netzwerk verwenden den im
Verzeichnisdienst integrierten DNS-Dienst für die Namensauflösung.
Die Webseite Ihrer Firma ist bei einem Internet Service Provider (ISP)
ausgelagert. Die Internet-Webadresse lautet WWW.MVSNET.DE. Der DNSServer des Internet Service Providers ist für die Namensauflösung dieser
Adresse zuständig.
Um die Unterstützung für die Webseite zu verbessern, will Ihre Firma die
Webseiten und den DNS-Dienst vom Internet Service Provider in das
Grenznetzwerk Ihrer Firma übertragen. Der DNS-Server im
Grenznetzwerk darf nur die Einträge für die Computer aus dem
Grenznetzwerk enthalten.
Sie installieren einen Windows Server 2003 Server mit dem DNS-Dienst
im Grenznetzwerk für MVSNET.DE und möchten sicherstellen, dass allen
Computern in Ihrem Netzwerk eine Namensauflösung für alle internen
Ressourcen, alle Ressourcen im Grenznetzwerk und für das Internet zur
Verfügung steht.
A

Sie konfigurieren auf dem DNS-Server im Grenznetzwerk
eine primäre Zone für MVSNET.DE.
B

eine Stubzone für MVSNET.DE.
C

Sie tragen auf dem internen DNS-Server den DNSServer im Grenznetzwerk zur bedingten Weiterleitung
ein.
D

Sie konfigurieren auf den Clientcomputern im Netzwerk
den internen DNS-Server als bevorzugten DNS-Server,
und tragen ihn im Grenznetzwerk als alternativen DNSServer ein.
E

eine private Stammzone.
- 189 -
Frage 154
Firma besteht aus der Zentrale und 20 Außendienststellen.
Vor kurzem wurde der Plan zur Neugestaltung des Netzwerkes
verabschiedet. Das Netzwerk besteht aus einem Verzeichnisdienst mit der
Bezeichnung MVSNET.DE. Alle Domänencontroller verwenden das
Betriebssystem Windows Server 2003. In der Zentrale stehen vier und in
jedem Außenbüro ein Domänencontroller. Die Domänencontroller in der
Zentrale werden von dort aus administriert.
Sie müssen sicherstellen, dass für alle Domänencontroller immer die
aktuellen Updates für Windows Server 2003 zur Verfügung stehen. Des
Weiteren müssen Sie sicherstellen, dass alle Domänencontroller die
Updates, mit einem Minimum an administrativem Aufwand, bekommen.
Wie gehen Sie vor?
A
{
Sie aktivieren in den Systemeigenschaften, Registerkarte
Automatische Updates, das automatische Update und
wählen die Option Updates automatisch downloaden
und über installierbare Updates benachrichtigen
aus.
B
{
Sie aktivieren in der Standardgruppenrichtlinie das
automatische Update und wählen die Option Updates
automatisch downloaden und über installierbare
Updates benachrichtigen aus.
C
{
automatisch downloaden und laut angegebenem
Zeitplan installieren aus.
D
{
und laut angegebenem Zeitplan installieren aus.
- 190 -
Frage 155
Netzwerk besteht aus einer einzelnen Active Directory-Domäne mit zwei
Standorten. Die Active Directory-Datenbank wird jede Nacht gesichert.
Ein Netzwerkadministrator im Standort Kronach löscht eine leere
Organisationseinheit mit der Bezeichnung PROJEKTE. Zur gleichen Zeit
verschiebt ein Administrator im Standort Puchheim 20 Benutzerkonten in
die Organisationseinheit PROJEKTE. Später stellt der Administrator im
Standort Puchheim fest, dass die Organisationseinheit PROJEKTE im Active
Directory gelöscht ist. Er kann die Benutzerkonten, die er in die
Organisationseinheit PROJEKTE verschoben hat, nicht mehr finden.
Sie müssen eine Organisationseinheit PROJEKTE bereitstellen, um die 20
Benutzerkonten hinzufügen zu können. Der Netzwerkzugriff dieser
Benutzer darf keinen Einfluss auf diesen Prozess haben.
Wie gehen Sie vor?
A
{
Sie verwenden eine autorisierende Wiederherstellung für
die Organisationseinheit PROJEKTE und für die
Benutzerkonten auf einem Domänencontroller im
Standort Puchheim.
B
{
Sie verwenden eine nicht autorisierende
Wiederherstellung für die Organisationseinheit PROJEKTE
und für die Benutzerkonten auf einem
Domänencontroller im Standort Puchheim.
C
{
Sie erstellen eine neue Organisationseinheit PROJEKTE
und 20 neue Benutzerkonten mit den gleichen
Benutzerprinzipalnamen (User Principal Name, UPN). Sie
verschieben diese Benutzerkonten in die
Organisationseinheit PROJEKTE.
D
{
und verschieben die Benutzerkonten aus dem Ordner
LostAndFound in die neue Organisationseinheit
PROJEKTE.
- 191 -
Frage 156
Netzwerk besteht aus einer Active Directory-Domäne mit der Bezeichnung
MVSNET.DE. Die Domänenfunktionsebene ist Windows Server 2003.
Die Sicherheitsvorschriften der Firma MVS M. Völk Systems benötigen
folgende Zugriffsrichtlinien:
• Benutzerkonten müssen nach drei Fehlversuchen der
Passworteingabe für 30 Minuten gesperrt sein.
• Die Freischaltung des Benutzerkontos muss manuell erfolgen.
Sie müssen eine Zugriffsrichtlinie für die Domäne erstellen, die diese
Sicherheitsregeln beinhaltet.
Wie gehen Sie vor?
Um zu antworten, wählen Sie den entsprechenden Bestandteil oder die
Bestandteile in der Grafik aus!
30
0
99
999
3
2
- 192 -
Frage 157
Sie sind der Administrator der Firma MVS M. Völk Systems. Die Firma
möchte vom Windows NT4.0 domänenbasierende Netzwerk auf Windows
Server 2003 mit einem Verzeichnisdienst migrieren.
Die Firma verwendet derzeit eine DNS-Domäne mit der Bezeichnung
MVSNET.DE für die Webseiten und E-Mail-Adressen der Firma. Die
Domäne MVSNET.DE liegt auf einem DNS-Server bei einem Internet
Service Provider (ISP). Eine Firewall trennt derzeit das Firmennetzwerk
vom öffentlichen Netzwerk.
Eine firmeninterne EDV-Richtlinie für den Verzeichnisdienst sieht folgende
Einstellungen vor:
• Alle Daten des Verzeichnisdienstes dürfen nicht extern zugänglich
sein.
• Der interne DNS-Namensbereich muss von externen Benutzern
isoliert werden.
Sie installieren einen Windows Server 2003 Server im internen Netzwerk
und den DNS-Dienst auf diesem Server.
Sie benötigen einen Plan für den neuen Namensbereich für MVSNET.DE,
der mit den Vorgaben übereinstimmen muss.
Wie gehen Sie vor?
A
{
Sie erstellen eine primäre DNS-Zone für AD.MVSNET.DE
auf dem internen DNS-Server.
B
{
Sie erstellen eine sekundäre DNS-Zone für MVSNET.DE
C
{
Sie erstellen eine Stubzone für MVSNET.DE auf dem
internen DNS-Server.
D
{
Sie erstellen einen Delegationseintrag auf dem DNSServer vom ISP auf Ihren internen DNS-Server.
E
{
Sie konfigurieren einen Zonentransfer zwischen dem
DNS-Server beim ISP und Ihrem internen DNS-Server.
- 193 -
Frage 158
verwalten das Grenznetzwerk der Firma. Im Grenznetzwerk steht auch der
FTP-Server des Unternehmens mit der Bezeichnung »MVSFTP01«. Auf
diesem Server werden allen Geschäftspartnern Informationen für die
Dauer von einzelnen Projekten bereitgestellt.
Sie müssen in der Lage sein, herauszufinden, ob sich Benutzer, deren
Account abgelaufen bzw. deaktiviert wurde, versuchen, sich an der
Domäne anzumelden.
Wie müssen Sie vorgehen, um dieses Ziel zu erreichen?
A
{
Sie aktivieren folgende Einstellung:
Domänenrichtlinie\Computerkonfiguration\Windo
ws-Einstellungen\Lokale
Richtlinien\Überwachungsrichtlinie\Anmeldeereig
nisse überwachen.
B
{
Richtlinien\Überwachungsrichtlinie\Anmeldeversu
che überwachen.
C
{
Richtlinien\Überwachungsrichtlinie\Systemereigni
sse überwachen.
D
{
Richtlinien\Überwachungsrichtlinie\Verzeichnisdie
nstzugriff überwachen.
- 194 -
Frage 159
Sie administrieren ein Windows Server 2003-Netzwerk, das über einen
Windows Server 2003 Server verfügt, der als Dateiserver eingesetzt wird.
Mehr als 800 Clients haben Zugriff auf diesen Server.
Auf einer NTFS-Partition wurde der freigegebene Ordner PICASSO erstellt,
der über 200 Dateien aufweist. Die Berechtigungen für diesen Ordner sind
wie folgt vergeben:
Art der Berechtigung
Gruppe
Berechtigung
Freigabe
Benutzer
Ändern
NTFS
Benutzer
Vollzugriff
Sie stellen fest, dass gegenwärtig Benutzer mit der Freigabe PICASSO
verbunden sind. Sie müssen verhindern, dass zehn besondere Dateien in
der Freigabe geändert werden. Die von Ihnen unternommenen Schritte
sollen sich möglichst wenig auf die Benutzer auswirken, die auf andere
Dateien des Servers zugreifen.
Welche zwei Schritte sollten von Ihnen als Administrator eingeleitet
werden?
A

Sie ändern die NTFS-Berechtigungen für die zehn
Dateien.
B

Sie ändern die NTFS-Berechtigungen für den Ordner
PICASSO.
C

Sie ändern die Freigabeberechtigungen für den Ordner
PICASSO.
D

Sie melden die Benutzer vom Netzwerk ab.
E

Sie trennen die Verbindungen der Benutzer zum Ordner
PICASSO.
- 195 -
Frage 160
verwalten das Grenznetzwerk der Firma. Hier befinden sich zwei
Domänencontroller und mehrere FTP- und Webserver.
Sie wollen alle Server in der Domäne auf Sicherheitsrisiken überprüfen.
Nur die FTP- und die Webserver haben eine Verbindung ins Internet. Die
Administration der Server im Grenznetzwerk erfolgt von einem Client aus,
der sich in der Produktionsdomäne befindet, über
Terminalserversitzungen.
Sie installieren auf einem der Domänencontroller das MS-Tool MBSA und
wollen von diesem Domänencontroller aus die Domäne auf eventuelle
Sicherheitsrisiken überprüfen. Nach dem Start von MBSA erhalten Sie
Sie müssen sicherstellen, dass alle Server im Grenznetzwerk auf
eventuelle Sicherheitsrisiken überprüft werden können.
Was müssen Sie tun, um dieses Ziel zu erreichen?
- 196 -
A
{
Sie erstellen auf dem betroffenen Domänencontroller
eine Internetverbindung und starten den MBSA erneut.
B
{
Sie installieren den MBSA auf Ihrem Clientrechner, von
dem aus Sie die Konfigurationen des Grenznetzwerkes
über Terminalserververbindungen durchführen. Sie
starten den MBSA und geben die betreffende Domäne
als Ziel der Überwachung an.
C
{
Sie kopieren die fehlende *.xml-Datei auf den
betreffenden Domänencontroller und starten den Scan
der Domäne erneut. Sie geben als Ziel des Scans die
Domänenbezeichnung des Grenznetzwerkes an.
D
{
Sie installieren und konfigurieren den MBSA auf einem
der Server im Grenznetzwerk, der bereits eine
Internetverbindung hat, und starten den Scan von
diesem Server aus. Sie geben als Ziel des Scans die
- 197 -
Frage 161
Auf einer NTFS-Partition wurde der freigegebene Ordner MVS_Press
erstellt, der über 200 Dateien in unterschiedlichen Unterordnern aufweist.
Die Berechtigungen für diese Ordner sind wie folgt vergeben:
Gruppe
Berechtigung
Freigabe
Jeder
Ändern
NTFS
Jeder
Lesen, Ausführen
Sie stellen fest, dass die Benutzer auch in der Lage sind, die
freigegebenen Ordner zu löschen. Es muss sichergestellt werden, dass
ausschließlich die Administratoren die Möglichkeit haben, die freigegeben
Ordner zu löschen. Die globale Benutzergruppe MVS_Lektorat darf nur die
Möglichkeit haben, Dateien und untergeordnete Ordner zu löschen. Der
Zugriff muss dementsprechend eingerichtet werden.
Welche Berechtigungen müssen Sie erteilen?
A
{
Sie setzen die Freigabeberechtigung für den Ordner
MVS_Press auf Jeder Vollzugriff und die Gruppe der
Administratoren auf Vollzugriff. Sie erteilen der Gruppe
MVS_Lektorat die Berechtigung Ändern und
modifizieren die Berechtigung so, dass Sie die
Berechtigung Löschen entfernen und die Berechtigung
Unterordner und Dateien löschen setzen. Weiterhin
erteilen Sie der Gruppe Administratoren die NTFSBerechtigung Vollzugriff und entfernen alle anderen
Gruppen aus der Zugriffssteuerungsliste.
B
{
MVS_Press auf Jeder Kein Zugriff und die Gruppe der
- 198 -
C
{
MVS_Press auf Jeder Lesen und die Gruppe der
D
{
erteilen Sie der Gruppe Administratoren die NTFSBerechtigung Ändern und entfernen alle anderen
- 199 -
Frage 162
Bernd verwaltet den Windows Server 2003 Server mit der Bezeichnung
»MVSFTP01«. Ein auf der Systempartition von »MVSFP001« gespeicherter
Ordner mit der Bezeichnung Prüfungsprotokolle wurde im Netzwerk als
Prüfungsprotokolle freigegeben.
Kerstin ist die Eigentümerin des Ordners Prüfungsprotokolle und ebenfalls
Mitglied in der Gruppe der Administratoren. Die Freigabeberechtigungen
und die NTFS-Berechtigungen sind wie folgt vergeben:
Freigabeberechtigungen
Jeder
Vollzugriff
NTFS-Berechtigungen
Domänen-Administratoren
Lesen
Kerstin
Vollzugriff
Kerstin erstellt im Ordner Prüfungsprotokolle eine Datei und setzt die
NTFS-Berechtigungen für diese Datei. Nur sie selbst ist in der
Zugriffssteuerungsliste enthalten und besitzt Vollzugriff. Kerstin fährt
kurz darauf in Urlaub und ist nicht mehr erreichbar.
Bernd stellt etwas später fest, dass die Datei kritische Informationen
enthält. Die Datei muss so bald wie möglich vom Server gelöscht werden.
Bernd möchte die Datei löschen, ohne die Berechtigungen für die anderen
Dateien im Ordner Prüfungsprotokolle zu ändern. Seine durchgeführten
Schritte sollten sich möglichst wenig auf die Benutzer auswirken, die auf
andere Dateien im Ordner Prüfungsprotokolle zugreifen. Es ist eine
möglichst geringe Autoritätsstufe beim Löschen der Datei zu verwenden.
Wie sollte Bernd vorgehen, um dies schnellstmöglich umzusetzen?
A
{
Bernd sollte sich selbst nur für den Ordner
Prüfungsprotokolle und für die darin enthaltenen Dateien
und untergeordneten Objekte die Berechtigung
Vollzugriff erteilen, anschließend die betreffende Datei
löschen und dann wieder die Berechtigung Vollzugriff
vom Ordner Prüfungsprotokolle für seine Person
entfernen.
B
{
Bernd sollte den Besitz für den Ordner
Prüfungsprotokolle und nach Aufforderung auch der
darin enthaltenen Dateien übernehmen. Anschließend
sollte er sich selbst die Berechtigung Vollzugriff erteilen
und die betreffende Datei löschen.
- 200 -
C
{
Bernd sollte den Besitz der Datei übernehmen, sich
selbst für die Datei die Berechtigung Ändern erteilen
und anschließend die betreffende Datei löschen.
D
{
Bernd sollte sich selbst für den Ordner
Prüfungsprotokolle und dessen untergeordnete Objekte
die Berechtigung Ändern erteilen, anschließend die
betreffende Datei löschen. Zu guter Letzt sollte Bernd
die Berechtigung Ändern wieder entfernen.
- 201 -
Frage 163
Sie sind der Administrator der Firma MVS M. Völk Systems. Sie sind in
Ihrem Unternehmen verantwortlich für die Konfiguration der
Domänenserver. Sie müssen sicherstellen, dass Updates, die im Netzwerk
vom SUS-Server bereitgestellt werden, auf den betroffenen Servern
morgens um 06:00 installiert werden. Sie müssen dass Ziel mit dem
geringstem Aufwand erreichen!
Was müssen Sie konfigurieren, um das gestellte Ziel zu erreichen?
A
{
Domänenrichtlinie\Computerkonfiguration\Admini
strative Vorlagen\Windows Update\Automatische
Updates konfigurieren.
B
{
Domänenrichtlinie\Benutzerkonfiguration\Adminis
trative Vorlagen\Windows Update\Zugriff auf alle
Windows Update-Funktionen entfernen.
C
{
strative Vorlagen\Windows Update\Internen Pfad
für den Microsoft Updatedienst angeben.
D
{
strative Vorlagen\Windows Update\Geplante
Installationen automatischer Updates erneut
planen.
E
{
strative Vorlagen\Windows Update\Kein
automatischer Neustart für geplante Installationen
automatischer Updates.
- 202 -
Frage 164
Sie sind der Netzwerkadministrator der Domäne MVSNET.DE. Das
Netzwerk besteht aus einer einzigen Active Directory-Domäne. Auf allen
Servern in der Domäne wird Windows Server 2003 ausgeführt, auf allen
Clientcomputern Windows XP Professional.
Die Computerkonten der Clients sind alle in der Organisationseinheit
Clients zusammengefasst. Alle Clients sind so konfiguriert, dass sie
eigenständig nach neuen Windows Updates suchen und diese auch
installieren. Dadurch steigt der WAN-Verkehr in manchen Zeiten sehr
stark an. Aufgrund dieses erhöhten Netzwerkverkehrs ins Internet wird im
Netzwerk der Server »MVSSUS01« als SUS-Server konfiguriert.
Sie konfigurieren den Server und müssen sicherstellen, dass die Clients in
Zukunft die Sicherheitsupates und –patches von diesem SUS-Server
erhalten.
Welche Einstellung in den Gruppenrichtlinien müssen Sie bearbeiten?
A
{
ftwareinstallation.
B
{
twareinstallation.
C
{
Vorlagen\Windowskomponenten\Windows
Installer.
D
{
Installer.
E
{
Update.
F
{
Update.
- 203 -
Frage 165
Netzwerk besteht aus einer einzigen Active Directory-Domäne mit der
Die DNS-Server der Domäne sind wie folgt konfiguriert:
Server
IP-Adresse
Betriebssystem
Funktion
DNSZone
»MVSDC001«
10.10.10.1
Windows Server
2003
Domänencontroller
Primär
»MVSDNS01«
10.10.10.20
Windows 2000
Server
Mitgliedsserver
Sekundär
»MVSDC002«
10.10.10.30
Windows Server
2003
Domänencontroller
Sekundär
»MVSDUN01«
10.10.10.40
UNIX
»MVSDC003«
10.10.10.50
Windows Server
2003
Sekundär
Domänencontroller
Sekundär
Sie entfernen die DNS-Funktionalität vom Server »MVSDN01«. Dieser
Server übernimmt in Zukunft nur noch die Aufgabe der Bereitstellung von
Daten. Den UNIX-Server »MVSUN01« konfigurieren Sie als Cache-DNSServer, anschließend die Domänencontroller als DNS-Server. Diese Server
verwenden im Active Directory integrierte Zonen.
Sie müssen sicherstellen, dass unnötige Zonenübertragungen im Netzwerk
vermieden werden.
Was sollten Sie tun, um dieses Ziel zu erreichen?
A
{
Sie bearbeiten die Benachrichtigungsliste und entfernen
den Verweis auf den Server »MVSUN01«.
B
{
Sie bearbeiten die Benachrichtigungsliste, entfernen alle
IP-Adressen und den Haken bei der Schaltfläche
Automatisch benachrichtigen.
C
{
Sie entfernen die IP-Adressen der Domänencontroller
aus der Benachrichtigungsliste und entfernen den Haken
bei der Schaltfläche Automatisch entfernen.
D
{
Sie entfernen die IP-Adresse 10.10.10.20 aus der
Benachrichtigungsliste, entfernen den Haken bei der
Schaltfläche Automatisch benachrichtigen und
starten alle Domänencontroller neu.
- 204 -
Frage 166
Sie sind der Netzwerkadministrator der Firma MVSPress. Auf den Servern
im Netzwerk läuft entweder Windows Server 2003, Windows 2000 Server
oder Windows NT Server 4.0, auf allen Clientrechnern entweder Windows
XP Professional, Windows 2000 Professional, Windows NT Workstation 4.0
oder Windows 98.
Das Netzwerk besteht aus der Active Directory-Domäne MVSPRESS.DE.
Alle Domänencontroller in der Domäne laufen mit Windows Server 2003.
Ebenfalls auf allen Domänencontrollern ist der DNS-Dienst installiert, und
es existiert eine Active Directory-integrierte Zone mit der Bezeichnung
MVSPRESS.DE. Ein Windows Server 2003 Mitgliedsserver weist allen
Computern des Unternehmens IP-Adressen zu. Alle IP-Adressen stammen
aus dem Bereich 10.1.0.0/24.
Alle Computer des Unternehmens müssen immer automatisch in der Zone
MVSPRESS.DE registriert werden, unabhängig von den lokalen TCP/IPKonfigurationseinstellungen. Nur Computer mit einem gültigen
Computerkonto in der Active Directory-Domäne dürfen in der Lage sein,
Host(A)-Einträge in der Zone zu registrieren. Wird ein Computer aus dem
Netzwerk entfernt, muss die entsprechende Namensregistrierung aus dem
DNS entfernt werden.
Sie konfigurieren die DNS-Zone MVSPRESS.DE und den DHCP-Bereich
10.1.0.0/24, um den Erfordernissen gerecht zu werden.
Welche Konfigurationseinstellungen müssen Sie verwenden?
(Um zu antworten, konfigurieren Sie die entsprechende/n Option/en in
den Dialogboxen.)
- 205 -
- 206 -
- 207 -
Frage 167
Bezeichnung MVSNET.DE. Die Server führen als Betriebssystem entweder
Windows Server 2003 oder Windows 2000 Server aus, die Clients in der
Domäne entweder Windows XP Professional, Windows 2000 Professional
oder Windows NT Workstation 4.0.
Alle Clients sind Mitglieder der Domäne MVSNET.DE. Die Server verfügen
über statische IP-Adressen, und allen Clientcomputern werden Adressen
über einen DHCP-Server zugewiesen, auf dem Windows Server 2003 läuft.
Der DNS-Dienst ist auf drei Windows Server 2003 Computern installiert,
die als Domänencontroller konfiguriert sind.
Die Netzwerkverwaltungsrichtlinien des Unternehmens sehen vor, dass
eine DNS-Domäne in jeder Abteilung des Unternehmens erstellt wird. Eine
neue Abteilung mit Namen Press wurde eingerichtet. Sie müssen die
entsprechende DNS-Zone PRESS.MVSNET.DE erstellen.
Die Netzwerkverwaltungsrichtlinien enthalten die folgenden
Anforderungen:
• Alle Computer müssen in einer DNS-Zone registriert sein.
• Alle DNS-Einträge müssen zu jeder Zeit aktuell sein und jede
Änderung der Hostnamen und IP-Adressen muss im DNS-Eintrag
aktualisiert werden.
• Nur Computer, die ein gültiges Computerkonto in der Domäne
besitzen, dürfen dynamisch Einträge in der DNS-Zone registrieren.
• Um den Verwaltungsaufwand zu reduzieren, müssen alle
Verwaltungsaufgaben automatisiert werden.
Sie müssen die Zone PRESS.MVSNET.DE so konfigurieren, dass diese
Anforderungen erfüllt werden.
Welche Schritte müssen Sie durchführen?
alle zutreffenden Antworten aus.)
A

Sie erstellen eine Standardprimärzone mit der
Bezeichnung PRESS.MVSNET.DE.
B

Sie erstellen eine Active Directory-integrierte Zone mit
der Bezeichnung PRESS.MVSNET.DE.
C

Sie konfigurieren die Einstellungen Dynamische
Updates in der Zone PRESS.MVSNET.DE auf Nur
abgesicherte.
- 208 -
D

Sie konfigurieren die Einstellung Dynamische Updates
in der Zone PRESS.MVSNET.DE auf Abgesicherte und
Nicht abgesicherte.
E

Sie konfigurieren die Dynamische Updates-Einstellung
der Zone PRESS.MVSNET.DE auf Keine.
F

Sie erstellen und aktualisieren manuell alle DNS-Einträge
in der Zone PRESS.MVSNET.DE.
G

Sie konfigurieren die DHCP-Server so, dass sich die
Clientrechner, die eine IP-Adresse vom DHCP-Server in
der Zone PRESS.MVSNET.DE erhalten haben, auch
registrieren.
- 209 -
Frage 168
Netzwerk besteht aus der einzigen Active Directory-Domäne MVSNET.DE.
Die Domäne enthält 25 Windows Server 2003 und 5000 Windows 2000
Sie installieren den Software Update Service auf dem Server
»MVSSUS01«. Alle Clientcomputerkonten sind in der Organisationseinheit
Clients zusammengefasst. Sie erstellen eine neue Gruppenrichtlinie mit
der Bezeichnung SUSupdates und verbinden sie mit der
Organisationseinheit Clients. Sie konfigurieren die Gruppenrichtlinie
SUSupdates so, dass die Clientrechner ihre Sicherheitsupdates von
»MVSSUS01« erhalten sollen.
Wenige Tage nach dieser Konfiguration untersuchen Sie im Rahmen einer
Sicherheitsüberprüfung verschiedene Clients und entdecken, dass diese
ihre Updates weiterhin von der Microsoft Updateseite beziehen. Sie
müssen alle Clientrechner so konfigurieren, dass die WindowsSicherheitsupdates nur von »MVSSUS01« heruntergeladen werden.
A
{
Sie öffnen die Gruppenrichtlinie SUSupdates und
konfigurieren die automatische Updaterichtlinie so, dass
die Einstellung Automatisches Download und
Benachrichtigung, wenn die Installation der
Windows-Sicherheitsupdates durchgeführt werden
kann zugewiesen wird.
B
{
Zeitplanung für die Installation der WindowsSicherheitsupdates zugewiesen wird.
C
{
Sie erstellen eine Softwareverteilungsrichtlinie für die
Gruppenrichtlinie SUSupdates und weisen das Package
WUAU22.msi allen Clientcomputern zu.
D
{
Sie konfigurieren auf allen Clientcomputern den
Registrierdatenbankeintrag UseWUServer so, dass
ausschließlich der Server »MVSSUS01« für das
automatische Update verwendet wird.
- 210 -
Frage 169
Administration der Server im Grenznetzwerk erfolgt über
Terminalserversitzungen von einem Client aus, der sich in der
Produktionsdomäne befindet.
Die Überprüfung der Domäne MVSNET.DE führen Sie von Ihrem Client in
der Produktionsdomäne aus durch. Hierzu erstellen Sie eine
Stapelverarbeitungsdatei und konfigurieren den Task Scheduler so, dass
der Scan jeden Tag morgens um 05:00 gestartet wird. Sie müssen
sicherstellen, dass alle Rechner im Grenznetzwerk auf Sicherheitsrisiken
überprüft werden. Sie starten den MBSA mit folgenden Optionen: Mbsacli
/r 10.10.10.1 – 10.10.10.99 /lr Sicherheitsrisiken.log.
Sie stellen fest, dass der Scan der Domäne nicht durchgeführt wurde und
versuchen, ihn manuell zu starten. Hierbei erhalten Sie folgende
Fehlermeldung:
Error: 235 - System not found, or NetBIOS ports may be
firewalled. Scan not performed.
Was müssen Sie unternehmen, um die Überprüfung starten zu können?
A
{
Sie schalten in der Firewall die TCP-IP-Ports 139 und 110
frei und stellen sicher, dass keine Portfilter aktiviert sind.
B
{
C
{
D
{
- 211 -
Frage 170
Bezeichnung MVSPRESS.DE.
Der Windows Server 2003 Computer »MVSPRESSONE« fungiert als DNSServer für die Domäne. MVSNet ist ein Teil von MVS M. Völk Systems. Das
Netzwerk von MVSPress besteht aus einer einzigen Active DirectoryDomäne mit der Bezeichnung MVSNET.DE.
»MVSDN003« ist ein sekundärer DNS-Server für MVSNET.DE. Sie
überwachen den Benachrichtigungsverkehr zwischen den zwei Domänen.
Sie müssen einen Eintrag erhalten, wenn der primäre DNS-Server von
MVSNET.DE »MVSPRESSONE« darüber informiert, dass es Änderungen in
der Zone MVSNET.DE gibt.
A
{
Sie verwenden die Performancekonsole, um eine
Protokolldatei zu erstellen, die die DNS-Performance
Counter Notification erstellt, die von »MVSPRESSONE«
empfangen wird.
B
{
Sie aktivieren die Fehlerprotokollierung auf
»MVSPRESSONE« und konfigurieren die Protokollierung
der Benachrichtigungsereignisse.
C
{
Sie führen das Kommando replmon aus, um die
Replikationsereignisse auf dem Server »MVSPRESSONE«
zu überwachen.
D
{
Sie führen das Kommando dcdiag aus, um die DNSRegistrierung auf dem Server »MVSPRESSONE« zu
überprüfen.
- 212 -
Frage 171
Netzwerk besteht aus Windows Server 2003 Domänencontrollern,
Windows Server 2003 DNS-Servern und Windows XP Professional
Computern.
Die Firma MVS M. Völk Systems installiert eine Firewall. Die
Sicherheitsrichtlinien der Firma erlauben nur, dass SMTP-, http- und DNSVerkehr die Firewall durchquert. Außerdem müssen Sie den internen DNSServern erlauben, Namen im Internet aufzulösen und den SMTP- und
http-Verkehr durch die Firewall. Sie müssen die Firewall für die benötigten
Dienste und Anwendungen aktivieren.
Welche/n Port/s müssen Sie angeben?
A

Ports 25, 53 und 443.
B

Ports 110, 389 und 443.
C

Port 443.
D

Port 389.
E

Port 25.
D

Port 53.
E

Ports 25, 53 und 80.
- 213 -
Frage 172
MVSNET.DE.
Sie müssen die Server im Netzwerk auf eventuelle Sicherheitsrisiken
überprüfen. Die Überpüfung soll mit dem MS-Tool MBSA erfolgen. In der
Domäne befinden sich 30 Server. Die Masse der Server neben vier
Domänencontrollern sind Datei- und Druckserver sowie IIS-Server, SQLServer befinden sich nicht in der Domäne.
Sie müssen die Überprüfung über eine Stapelverarbeitungsdatei regeln,
die via Task Scheduler jede Woche einmal gestartet wird.
Wie lautet die richtige Synthax beim Aufruf des MBSA, um das
gewünschte Ziel zu erreichen?
- 214 -
A
{
Mbsacli /d mvspress.de /lr secuityscan.log /n
Updates /n SQL.
B
{
Mbsacli /d mvspress.de /lr secuityscan.log /n SQL.
C
{
Updates /n SQL /n IIS.
D
{
Updates /n SQL / OS.
- 215 -
Frage 173
MVSNET.DE die die zwei Domänen MVSNET.DE und IT.MVSNET.DE
enthält.
Das Netzwerk besteht aus insgesamt 15 Subnetzen. Die
Domänencontroller sind konfiguriert, wie die folgende Tabelle zeigt:
Server
Domäne
Zone
Zonentyp
Stubzone
»MVSDC001«
MVSNET.DE
MVSNET.DE
Active
Directory
integriert
IT.MVSNET.DE
»MVSDC002«
MVSNET.DE
MVSNET.DE
Active
Directory
integriert
IT.MVSNET.DE
»MVSDC003«
IT.MVSNET.DE
IT.MVSNET.DE
Active
Directory
integriert
KEINE
»MVSDC004«
IT.MVSNET.DE
IT.MVSNET.DE
Active
Directory
integriert
KEINE
Die Server »MVSDC001« und »MVSDC002« sind beide in der Domäne
MVSNET.DE registriert, alle anderen Rechner in der Domäne
IT.MVSNET.DE. Sie erstellen Reverse-Lookup-Zonen für alle Subnetze.
Die Domäne PRESS.MVSNET.DE enthält den Windows NT Server 4.0
Datei- und Druckserver »MVSSRV01«. Sie ändern die statische IP-Adresse
für »MVSSRV01«. Sie müssen sicherstellen, dass diese Änderung im DNS
berücksichtigt wird.
Welche zwei Ressourceneinträge müssen Sie ändern?
(Jede richtige Antwort ist Teil der Lösung.)
A

Den Zeiger(PTR)-Eintrag in der Zone IT.MVSNET.DE.
B

Den Host(A)-Eintrag in der Zone IT.MVSNET.DE.
C

Den Alias(CNAME)-Eintrag in der Zone IT.MVSNET.DE.
D

Den Zeiger(PTR)-Eintrag in der Stubzone.
E

Den Host(A)-Eintrag in der Stubzone.
D

Den Alias(CNAME)-Eintrag in der Stubzone.
- 216 -
Frage 174
Servern wird Windows Server 2003 ausgeführt. Im Netzwerk befinden sich
zwei DNS-Server. Diese Server sind so konfiguriert, dass DNS-Anfragen
bezüglich Auflösung von Internetnamen an einen DNS-Server des lokalen
Internet Service Providers gesendet werden.
Anwender in Ihrem Netzwerk berichten, dass sie häufig nicht auf
Webseiten im Internet zugreifen können. Sie überprüfen dies und stellen
fest, dass der DNS-Server des Internet Service Providers (ISP) häufig
nicht verfügbar ist.
Sie müssen sicherstellen, dass die Anwender auf Webseiten im Internet
zugreifen können, auch wenn der DNS-Server des Internet Service
Providers (ISP) nicht verfügbar ist.
A
{
Sie konfigurieren die DNS-Server im Netzwerk mit
gegenseitigen Weiterleitungseinträgen und löschen die
Weiterleitungseinträge zum DNS-Server des ISP.
B
{
bedingten Weiterleitungen an den DNS-Server des ISP.
C
{
Sie konfigurieren die DNS-Server im Netzwerk zur
Verwendung der Standardstammverweise und entfernen
die Weiterleitung an den DNS-Server des ISP.
D
{
Sie konfigurieren die DNS-Server im Netzwerk als
autoritative Server für die Internet-Root-DNS-Zone.
- 217 -
Frage 175
Sie müssen festlegen, dass automatische Updates automatisch fünf
Minuten nach dem Systemstart der Clients installiert werden.
Wo müssen Sie dies konfigurieren?
A
{
strative Einstellungen\Windows Update\Geplante
planen.
B
{
Automatische Updates konfigurieren.
C
{
strative Einstellungen\Windows Update\Internen
Pfad für den Microsoft Updatedienst angeben.
D
{
strative Einstellungen\Windows Update\Kein
- 218 -
Frage 176
Die Domäne enthält insgesamt drei Server. Der Server »MVSDC001«
befindet sich in der Domäne MVSNET.DE und ist als Domänencontroller
und DNS-Server konfiguriert. Der Server »MVSDC002« befindet sich in
der untergeordneten Domäne PRESS.MVSNET.DE und übernimmt dort die
Funktion eines Domänencontrollers und DNS-Servers. Der Server
»MVSSRV01« befindet sich ebenfalls in der untergeordneten Domäne
PRESS.MVSNET.DE und übernimmt die Funktion eines Datei- und
Druckservers. Die Domänen MVSNET.DE und PRESS.MVSNET.DE sind über
VPN miteinander verbunden.
»MVSDC001« ist der Autoritätsursprung (SOA) von MVSNET.DE, und
»MVSDC002« ist als Autoritätsursprung (SOA) für PRESS.MVSNET.DE
konfiguriert. Der Windows XP Professional Computer »MVSPRO01«
befindet sich in der Domäne MVSNET.DE.
Ein Anwender meldet, dass er sich vom Client »MVSPRO01« aus nicht mit
dem Datei- und Druckserver »MVSSRV01« verbinden kann. Sie müssen
sicherstellen, dass die Clients in der Domäne MVSNET.DE Hostnamen in
der Domäne PRESS.MVSNET.DE auflösen können.
Auf welche zwei Arten können Sie dieses Ziel erreichen?
(Jede richtige Antwort ist eine vollständige Lösung.)
A

Sie fügen auf »MVSDC002« einen Host(A)-Eintrag für
»MVSSRV01« hinzu.
B

Sie fügen auf »MVSDC001« eine Delegation für
PRESS.MVSNET.DE hinzu.
C

Sie fügen auf »MVSDC001« einen Zeiger(PTR)-Eintrag
für MVSSRV05.MVSNET.DE hinzu.
D

»MVSSRV01« hinzu.
E

Sie fügen auf »MVSDC001« eine Stubzone für
- 219 -
Frage 177
Bezeichnung MVSNET.DE und aus mehreren Windows Server 2003
Servern. Der Server »MVSDCDN1« ist Domänencontroller und DNSServer.
Die Firma eröffnet eine neue Niederlassung in Küps. Der Server
»MVSDCDN2« befindet sich in der Niederlassung und übernimmt die
Funktion des Domänencontrollers und DNS-Servers für die neue
Niederlassung.
»MVSDCDN2« ist ein Domänencontroller und DNS-Server. Sie
konfigurieren eine DNS-Zone für KUEPS.MVSNET.DE auf dem Server
»MVSDCDN2«. Sie müssen sicherstellen, dass die Rechner in der Domäne
MVSNET.DE Hostnamen in der Domäne KUEPS.MVSNET.DE auf dem
Server »MVSDCDN2« auflösen können.
Auf welche zwei Arten erreichen Sie dieses Ziel?
(Jede richtige Antwort ist eine komplette Lösung.)
A

Sie fügen einen Autoritätsursprungseintrag (SOA) auf
»MVSDCDN1« hinzu, der auf die Domäne
MVSDCDN2.KUEPS.MVSNET.DE verweist.
B

Sie fügen eine neue Delegierung vom Server
»MVSDCDN1« für KUEPS.MVSNET.DE dem Server
»MVSDCDN2« hinzu.
C

Sie fügen eine neue Stubzone mit der Bezeichnung
KUEPS.MVSNET.DE auf dem Server »MVSDCDN1« hinzu.
D

Sie fügen einen SRV-Eintrag auf dem Server
- 220 -
Frage 178
Netzwerk besteht aus einer einzigen Gesamtstruktur. Die Gesamtstruktur
umfasst drei Domänen mit den Bezeichnungen MVSNET.DE,
THUERINGEN.MVSNET.DE und OBERFRANKEN.MVSNET.DE. Die Firma hat
Niederlassungen in vielen Städten.
Alle Domänencontroller sind auch als DNS-Server konfiguriert. Die
Zonenreplikation für jede DNS-Zone ist zwischen den Domänencontrollern
in jeder Domäne konfiguriert. Die Domänencontroller sind, wie in der
folgenden Tabelle gezeigt, konfiguriert:
Domänencontroller
Standort
Zonen
»MVSDC001«
Puchheim
MVSNET.DE
»MVSDC002«
Puchheim
THUERINGEN.MVSNET.DE
»MVSDC003«
Kronach
OBERFRANKEN.MVSNET.DE
»MVSDC004«
Bamberg
»MVSDC005«
Lichtenfels
Sie führen eine rekursive Abfrage gegen »MVSDC001« aus und bemerken,
dass »MVSDC001« nur den Server »MVSDC003« nach
Zoneninformationen in OBERFRANKEN.MVSNET.DE abfragt. Sie müssen
sicherstellen, dass jeder Domänencontroller, der zu
OBERFRANKEN.MVSNET.DE hinzugefügt wird, automatisch zur Liste der
Server hinzugefügt wird, die der Server »MVSDC001« abfragt.
A
{
Sie erstellen eine neue Stubzone für
OBERFRANKEN.MVSNET.DE auf »MVSDC001.«
B
{
Sie erstellen eine sekundäre Zone für
OBERFRANKEN.MVSNET.DE auf »MVSDC001«.
C
{
Sie konfigurieren OBERFRANKEN.MVSNET.DE auf
»MVSDC003«, um sich mit allen DNS-Servern in der
Gesamtstruktur zu replizieren.
D
{
Domäne zu replizieren.
- 221 -
Frage 179
Sie sind der Netzwerkadministrator des Netzwerkes Ihrer Firma. Sie
stellen fest, dass der Gerätemanager aufgrund ständiger
Treiberaktualisierungen das Netzwerk belastet. Diese
Treiberaktualisierungen sind stellenweise so gravierend, dass manche
Zugriffe ins Internet sehr lange dauern.
Sie müssen sicherstellen, dass in Zukunft keine Netzwerkbelastung durch
Treiberaktualisierungen erfolgen wird. Sie entschließen sich, das Problem
durch den Einsatz von Gruppenrichtlinien zu lösen.
Welche Einstellungen sollten Sie konfigurieren, um das Ziel zu erreichen?
A
{
trative Vorlagen\Windows Update\Eigenschaften
von Zugriff auf alle Windows Update-Funktionen
entfernen.
B
{
planen.
C
{
strative Vorlagen\Windows Update\
Automatisches Update konfigurieren.
D
{
strative Vorlagen\Windows Update\ Internen Pfad
E
{
strative Vorlagen\Windows Update\ Kein
- 222 -
Frage 180
Bezeichnung MVSPRESS.DE. Der Windows Server 2003 Server
»MVSPRESSONE« ist zur Zeit der einzige Domänencontroller für die
Domäne MVSPRESS.DE. »MVSPRESSONE« ist ebenfalls der DNS-Server
für die Active Directory-Zone MVSPRESS.DE.
Sie konfigurieren einen weiteren Server mit der Bezeichnung
»MVSPRESSTWO«. Dieser Server soll DNS-Anfragen an den Server
»MVSPRESSONE« weiterleiten. Sie führen den Assistenten zur Active
Directory-Installation auf »MVSPRESSTWO« aus und starten den Server
nach Abschluss der Installation neu.
45 Minuten später überprüfen Sie die Service(SRV)-Einträge und stellen
fest, dass der Server »MVSPRESSTWO« nicht in der Liste enthalten ist:
Sie müssen sicherstellen, dass die SRV-Einträge vollständig sind.
A
{
Sie starten den Netzanmeldedienst auf »MVSPRESSONE«
neu.
B
{
Sie starten den Netzanmeldedienst auf
»MVSPRESSTWO« neu.
C
{
Sie führen das Kommando ipconfig /registerdns auf
»MVSPRESSONE« aus.
D
{
»MVSPRESSTWO« aus.
- 223 -
Frage 181
Netzwerk besteht aus einer einzigen Windows Server 2003-DNS-Zone mit
der Bezeichnung MVSNET.DE. Auf allen Netzwerkservern läuft Windows
Server 2003, alle IP-Adressen sind statisch zugeordnet.
Die primäre DNS-Zone für MVSNET.DE liegt auf einem Server im
Stammhaus der Firma in Puchheim. Die sekundären Zonen liegen jeweils
auf einem Server der Niederlassungen.
Ein anderer Administrator berichtet Ihnen, dass die Netzwerkauslastung
bei ca. 95% liegt. Sie konfigurieren das Aktualisierungsintervall auf einen
minimalen Standardwert.
Die Time To Live(TTL)-Intervalle der Zone MVSNET.DE liegen bei drei
Stunden, der minimale Standardwert bei einem Tag. Sie müssen die
Autoritätsursprungs(SOA)-Einträge in den Eigenschaften der Zone
MVSNET.DE konfigurieren. Ebenso müssen Sie sicherstellen, dass der
Server in Puchheim weitere Zonenübertragungsversuche unternimmt,
wenn der erste Versuch fehlschlägt.
A
{
Sie konfigurieren die Zone MVSNET.DE so, dass sie nach
einer Stunde ungültig wird.
B
{
vier Stunde ungültig wird.
C
{
20 Sekunden ungültig wird.
D
{
Sie konfigurieren das Wiederholungsintervall auf eine
Stunde.
E
{
Sie konfigurieren das Wiederholungsintervall auf vier
Stunden.
F
{
Sie konfigurieren das Wiederholungsintervall auf 20
Sekunden.
- 224 -
Frage 182
Bezeichnung MVSPRESS.DE. Im Netzwerk befinden sich zwei DNS-Server,
»MVSDNS01« und »MVSDNS02«. Auf dem Server »MVSDNS01« befindet
sich die primäre Zone MVSNET.DE. Der Server »MVSDNS02« verwaltet die
sekundäre Zone MVSNET.DE.
Sie entfernen den Server »MVSDNS02« vom Netzwerk, um
Hardwarearbeiten durchzuführen. Wenige Tage später schließen Sie
»MVSDNS02« wieder ans Netzwerk an. Sie stellen fest, dass sich die DNSZoneninformationen zwischen den Servern stark unterscheiden. Sie
müssen sicherstellen, dass »MVSDNS02« sofort alle DNS-Anfragen der
Clientrechner im Netzwerk richtig beantwortet.
A
{
Sie erstellen auf »MVSDNS01« eine neue
Zonendelegation für »MVSDNS02«.
B
{
Sie aktualisieren auf »MVSDNS01« die Serverdatendatei.
C
{
Sie löschen auf »MVSDNS02« den DNS-Cache.
D
{
Sie übertragen die Zone von »MVSDNS01« auf
»MVSDNS02.«
E
{
Sie laden auf »MVSDNS02« die Zone erneut.
- 225 -
Frage 183
Bezeichnung MVSNET.DE. Die Domäne enthält 100 Windows 2000
Professional und zwei Windows Server 2003 Rechner. Das Netzwerk ist
nicht direkt mit dem Internet verbunden.
Der Server »MVSDNS01« ist Domänencontroller und primärer DNS-Server
für die Domäne MVSNET.DE. Das Netzwerk verwendet den Server
»MVSDNS01« als den autorisierenden Root-Server für die Domäne
MVSNET.DE. Der Server »MVSDNS02« ist ein Domänencontroller und
DHCP-Server. Der Server »MVSIIS01« wird als Webserver verwendet, und
auf ihm läuft eine Intranetanwendung.
Mehrere Anwender teilen Ihnen mit, dass sie Probleme haben, wenn sie
versuchen, sich mit URLs außerhalb der Domäne MVSNET.DE zu
verbinden, und ihre Webbrowser sehr langsam die Meldung ausgeben,
dass die URL nicht erreicht werden kann.
Sie müssen sicherstellen, dass die DNS-Namensauflösung so schnell wie
möglich wieder korrekt funktioniert.
A
{
Sie löschen die Datei cache.dns auf dem Server
»MVSDNS01«.
B
{
Sie löschen die Datei netlogon.dns auf dem Server
»MVSDNS01«.
C
{
Sie fügen der Datei hosts auf dem Server »MVSDNS01«
einen Verweis für den Server »MVSDNS02« hinzu.
D
{
Sie fügen der Datei lmhosts auf dem Server
»MVSDNS01« einen Verweis für den Server
»MVSDNS02« hinzu.
- 226 -
Frage 184
Sie sind der DNS-Administrator der Firma MVS M. Völk Systems. Die
Firma ist ein Internet Service Provider, der Webseiten für viele
Unternehmen hostet. Die DNS-Server von MVSNET.DE beinhalten viele
DNS-Zonen für die Kunden. Mehreren Administratoren von MVSNET.DE
sind in der Lage, DNS-Zonen hinzufügen.
Sie wollen einen wöchentlichen Bericht erstellen, der alle gehosteten
Zonen auf jedem DNS-Server erfasst.
A
{
Sie verwenden das Programm dnslint, um jeden DNSServer abzufragen.
B
{
Sie verwenden das Programm dnscmd, um jeden DNSServer abzufragen.
C
{
Sie verwenden das Programm nslookup, um jeden
DNS-Server abzufragen.
D
{
Sie verwenden das Programm adsiedit, um das Active
Directory nach einer Liste aller DNS-Zonen abzufragen.
- 227 -
Frage 185
Netzwerk besteht aus den beiden Active Directory-Domänen MVSNET.DE
und OBERFRANKEN.MVSNET.DE. Die Domänencontroller in jeder Domäne
sind ebenfalls als DNS-Server konfiguriert.
Alle Domänencontroller in der Domäne OBERFRANKEN.MVSNET.DE
verwalten die Zone OBERFRANKEN.MVSNET.DE und sind so konfiguriert,
dass unaufgelöste DNS-Anfragen an die Domäne MVSNET.DE
weitergeleitet werden.
Alle Domänencontroller in der Domäne MVSNET.DE enthalten eine Kopie
der Zone MVSNET.DE und eine Delegation für OBERFRANKEN.MVSNET.DE.
Die Konfiguration der DNS-Server in jeder Domäne zeigt die folgende
Tabelle:
Domäne
Lokale DNS-Zone
Delegierung für
Weiterleitung
für
MVSNET.DE
MVSNET.DE
OBERFRANKEN.
MVSNET.DE
Keine
OBERFRANKEN.
MVSNET.DE
OBERFRANKEN.
MVSNET.DE
Keine
MVSNET.DE
Sie müssen überprüfen, ob Namen des Namensraums
OBERFRANKEN.MVSNET.DE erfolgreich von den Domänencontrollern der
Domäne MVSNET.DE aufgelöst werden können.
Was müssen Sie auf einem der Domänencontroller in der Domäne
MVSNET.DE durchführen?
A
{
Sie öffnen in der DNS-Konsole auf dem Reiter
Überwachung die DNS-Server-Eigenschaften und
führen einen einfachen Lookup-Test durch.
B
{
führen einen rekursiven Lookup-Test durch.
C
{
Sie führen in der Eingabeaufforderung den folgenden
Befehl aus: Nslookup – querytype=soa
OBERFRANKEN.MVSNET.DE.
D
{
Befehl aus: Nslookup – querytype=ns
- 228 -
Frage 186
Sie sind der Netzwerkadministrator der Niederlassung Puchheim der Firma
MVS M. Völk Systems. Die Niederlassung Puchheim hat eine primäre
Windows Server 2003-DNS-Zone mit der Bezeichnung MVSNET.DE. Alle
Rechner in der Niederlassung Puchheim sind so konfiguriert, dass der
Server »MVSSRV01« als bevorzugter DNS-Server verwendet wird.
Die Cottbuser Niederlassung der Firma MVS M. Völk Systems hat einen
UNIX-DNS-Server mit der Bezeichnung »MVSSRV02«. Dieser Server
hostet eine primäre DNS-Zone mit der Bezeichnung
ENTWICKLUNG.MVSNET.DE. Das Aktualisierungsintervall dieser Zone ist
auf 24 Stunden eingestellt.
In der Cottbuser Niederlassung filtert eine Firewall den einkommenden
Verkehr aller anderen Niederlassungen. Eine Regel auf dieser Firewall
verhindert, dass alle Rechner der Puchheimer Niederlassung bis auf
»MVSSRV01« DNS-Anfragen auf »MVSSRV02« durchführen können. Es ist
aber für den Geschäftsverkehr notwendig, dass es keine Verzögerung
zwischen der Erstellung eines neuen Eintrags in der Zone
ENTWICKLUNG.MVSNET.DE und dem Zeitpunkt, an dem alle Computer der
Niederlassung Puchheim diesen Eintrag auflösen können, gibt.
Alle Rechner in der Puchheimer Niederlassung müssen die Namen im
Namensraum ENTWICKLUNG.MVSNET.DE auflösen können. Sie müssen
den DNS-Server auf »MVSSRV01« so konfigurieren, dass die Erfordernisse
erfüllt werden.
A
{
Sie erstellen eine Stubzone mit der Bezeichnung
ENTWICKLUNG.MVSNET.DE.
B
{
Sie erstellen eine bedingte Weiterleitung auf dem Server
»MVSSRV01« für den Namensraum
C
{
Sie erstellen in der Zone MVSNET.DE eine Delegation der
Zone ENTWICKLUNG.MVSNET.DE für den Server
»MVSSRV02 «
D
{
Sie erstellen eine sekundäre Zone mit der Bezeichnung
ENTWICKLUNG.MVSNET.DE, deren Masterserver der
Server »MVSSRV02« ist.
- 229 -
Frage 187
Bezeichnung MVSNET.DE. Zwei Windows Server 2003 Server mit den
Bezeichnungen »MVSSRV02« und »MVSSRV03« fungieren im
Unternehmen als Datei- und Druckserver. Mehrere Windows 2000
Professional und Windows XP Professional Rechner verbinden sich zu
Freigaben auf diese Server.
Der Server »MVSSRV03« soll in Zukunft als zusätzlicher
Domänencontroller fungieren. Der bereits vorhandene Server
»MVSDC001« fungiert als Domänencontroller und als primärer DNSServer für die Domäne MVSNET.DE. Sie verschieben die Daten und
Anwendungen auf den anderen Datei- und Druckserver mit der
Bezeichnung »MVSSRV02«.
Sie müssen sicherstellen, dass alle Clients in der Domäne auf die
Ressourcen zugreifen können, die ehemals vom Datei- und Druckserver
»MVSSRV03« bereitgestellt wurden. Die Änderung darf nicht die
bestehenden Verbindungen der Clients zu den Ressourcen beeinflussen,
und auf den Clients sollen keine Änderungen vorgenommen werden.
Sie müssen den damit verbundenen Verwaltungsaufwand so gering wie
möglich halten.
A
{
Sie fügen auf dem Domänencontroller und DNS-Server
»MVSDC001« einen CNAME-Eintrag hinzu, der vom
Server »MVSSRV03« auf den Server »MVSSRV02«
verweist.
B
{
Sie konfigurieren die Netzwerkkarte auf »MVSSRV02«
so, dass die IP-Adressen 192.168.1.5 und 192.1681.6
verwendet werden.
C
{
Sie fügen der Hostdatei auf dem Server »MVSSRV02«
eine Zeile hinzu, die die IP-Adresse 192.168.1.5 als
»MVSSRV03« auflöst.
D
{
»MVSDC001« einen HINFO-Eintrag hinzu, der auf den
Server »MVSSRV02« verweist.
- 230 -
Frage 188
Sie sind der Administrator für das Netzwerk der Firma MVS M. Völk
Systems. Das Netzwerk besteht aus einer einzigen Active DirectoryDomäne mit der Bezeichnung MVSPRESS.DE. Das Netzwerk enthält zehn
Server, auf denen Windows Server 2003, und 500 Clientrechner, auf
denen Windows XP Professional ausgeführt wird. Der Domänencontroller
»MVSDCDN01« ist der primäre DNS-Server der Domäne MVSPRESS.DE.
Das Unternehmen eröffnet eine neue Zweigstelle in Küps. Das Netzwerk
dieser neuen Niederlassung ist eine untergeordnete Domäne von
MVSPRESS.DE und erhält den Namen KUEPS.MVSPRESS.DE. In dieser
Zweigstelle installieren Sie den Domänencontroller »MVSDCDN02«. Dieser
Server ist der Host für die Zone KUEPS.MVSPRESS.DE.
Sie müssen sicherstellen, dass die Rechner in der Domäne MVSPRESS.DE
Computerhostnamen in der Domäne KUEPS.MVSPRESS.DE auflösen
können.
Wie können Sie die Anforderung erfüllen?
A

Sie verwenden das Snap-In dnsmgnmt.msc und fügen
eine neue Delegierung auf dem Server »MVSDCDN01«
für die untergeordnete Domäne KUEPS.MVSPRESS.DE
auf dem Server »MVSDCDN02« hinzu.
B

einen Autoritätsursprungs(SOA)-Eintrag auf dem Server
»MVSDCDN01« hinzu, der sich auf
MVSDCDN02.KUEPS.MVSPRESS.DE bezieht.
C

eine neue Stubzone mit der Bezeichnung
KUEPS.MVSPRESS.DE auf dem Server »MVSDCDN01«
hinzu.
D

einen neuen Dienst(SRV)-Eintrag auf dem Server
- 231 -
Frage 189
Sie sind er Netzwerkadministrator der Firma MVS M. Völk Systems. Das
Netzwerk besteht aus einer Gesamtstruktur mit den zwei Domänen
MVSNET.DE und KUEPS.MVSNET.DE. Beide Domänen verfügen über
mehrere Domänencontroller, die als Betriebsystem Windows Server 2003
oder Windows 2000 verwenden. Alle Domänencontroller sind zugleich
auch DNS-Server. Im Netzwerk befinden sich keinen weiteren DNSServer. Die Domänen MVSNET.DE und KUEPS.MVSNET.DE werden im DNS
als Active Directory-integrierte Zonen dargestellt.
Der Administrator der Abteilung MVSPress bittet Sie, eine neue, getrennte
DNS-Zone zu erstellen. Die Bezeichnung der neu zu erstellenden Zone
lautet MVSPRESS.MVSNET.DE. Diese Zone muss zu allen DNS-Servern in
den vorhandenen Domänen repliziert werden. Sie müssen die neue Zone
mit der Bezeichnung MVSPRESS.MVSNET.DE erstellen und konfigurieren,
damit die Anforderungen erfüllt werden.
A
{
Sie erstellen eine Active Directory-integrierte Zone auf
einem der Windows Server 2003 Domänencontroller in
der Domäne MVSNET.DE und wählen den
Replikationsbereich alle Domänencontroller in der Active
Directory-Domäne MVSNET.DE aus.
B
{
der Domäne MVSNET.DE und wählen als
Replikationsbereich alle DNS-Servern in der Active
C
{
der Domäne MVSPRESS.MVSNET.DE. Sie wählen als
Replikationsbereich alle DNS-Servern in der
Gesamtstruktur MVSNET.DE aus und erstellen eine
sekundäre Zone auf allen Windows 2000
Domänencontrollern in der Gesamtstruktur.
D
{
Sie erstellen eine Active Directory-Anwendungspartition
mit der Bezeichnung MVSPRESS.MVSNET.DE. Im
Anschluss daran erstellen Sie eine Active Directoryintegrierte Zone auf einem der Windows Server 2003
Domänencontroller in der Domäne MVSNET.DE und
geben die Anwendungspartition MVSPRESS.MVSNET.DE
als Replikationsbereich der Zone an.
- 232 -
Frage 190
Firmenzentrale befindet sich in Puchheim. Die Firma verfügt über
Niederlassungen in Küps, Kronach, Cottbus, Hildburghausen und
Nürnberg. Das Netzwerk besteht aus einer einzigen Domäne mit der
Bezeichnung MVSNET.DE mit je einem Standort je Niederlassung.
Auf allen Netzwerkservern wird als Betriebssystem Windows Server 2003
ausgeführt. Alle Clientrechner erhalten ihre IP-Adresse von einem DHCPServer, der sich an jedem Standort befindet. Die Clientcomputer werden
oft mit neuen Festplattenimages aufgesetzt und erhalten dabei auch
immer einen neuen Namen. Alle Clientcomputer sind so konfiguriert, dass
sie ihren lokalen DNS-Server als bevorzugten DNS-Server und den DNSServer in der Zentrale als alternativen DNS-Server verwenden.
Auf einem Server in der Zentrale Puchheim ist die primäre Zone
MVSNET.DE konfiguriert, sekundäre Zonen auf den Servern in jeder
Zweigniederlassung. Das Wiederholungsintervall, das
Aktualisierungsintervall, die Gültigkeitsdauer und das minimale Time To
Live(TTL)-Intervall sind mit den Standardwerten konfiguriert.
Die Netzwerkbandbreite wird durchschnittlich zu 50 Prozent ausgelastet.
Die Netzwerkverbindung zwischen der Zentrale in Puchheim und der
Niederlassung in Küps fällt jeden Tag mehrmals aus. Die Benutzer in der
Niederlassung Küps erhalten auch manchmal Antworten zu Abfragen
gegen den lokalen DNS-Server, wenn die Netzwerkverbindung während
eines Zonentransfers unterbrochen wird.
Sie müssen die Konfiguration des Autoritätsursprungseintrags (SOA) für
die Domäne MVSNET.DE ändern. Zusätzlich müssen Sie die Möglichkeit
verringern, dass die Benutzer lokale DNS-Zonen abfragen, bevor ein
erfolgreicher Zonentransfer durchgeführt wurde.
A
{
Sie ändern das Aktualisierungsintervall auf zwei Tage.
B
{
Sie ändern die Gültigkeitsdauer auf zwölf Stunden.
C
{
Sie ändern den minimalen Time to Live(TTL)-Wert auf
zwei Tage.
D
{
Sie ändern das Wiederholungsintervall auf zwölf
Stunden.
- 233 -
Frage 191
Netzwerk besteht aus einer einzigen Active Directory Domäne. Auf allen
Servern wird entweder Windows Server 2003 oder Windows 2000 Server
ausgeführt, auf allen Clientrechnern entweder Windows 2000 Professional
oder Windows XP Professional.
Daniel, ein Benutzer aus der globalen Gruppe MVS_Lektoren braucht
Zugriff auf die aktuellen Manuskripte eines Buches. Daniel arbeitet an
einem Windows XP Professional Client in der Niederlassung Kronach. Die
benötigten Daten liegen auf dem Datei- und Druckserver »MVSFP001« in
der Puchheimer Niederlassung. Daniel kann sich zwar zur Freigabe mit der
Bezeichnung Manuskripte verbinden, die dort befindlichen Manuskripte
aber nicht bearbeiten.
Die Berechtigungen für die Freigabe sind aktuell wie folgt gesetzt:
Gruppe
Berechtigung
Freigabe
Benutzer
Vollzugriff
NTFS
Benutzer
Lesen
NTFS
MVS_Lektoren
Lesen
NTFS
Administratoren
Lesen
NTFS
MVS_Autoren
Vollzugriff
Sie müssen sicherstellen, dass Daniel nur die notwendigsten
Berechtigungen bekommt.
Wie gehen Sie vor?
A
{
Sie fügen das Benutzerkonto Daniels der globalen
Gruppe MVS_Autoren hinzu.
B
{
Sie setzen die NTFS-Berechtigung für das Benutzerkonto
Daniels auf Ändern.
C
{
Sie ändern die Freigabeberechtigungen für die Freigabe
Manuskripte und setzen die Berechtigung Ändern für die
Gruppe der MVS_Lektoren.
D
{
Sie ändern die NTFS-Berechtigung für den freigegebenen
Ordner und setzen sie auf Ändern. Sie bearbeiten die
Berechtigung und setzen die spezielle Berechtigung
Lesen, Schreiben. Sie entfernen die NTFSBerechtigungen Löschen.
- 234 -
Frage 192
oder Windows XP Professional. Der DNS-Dienst ist auf drei Windows
Server 2003 Computern installiert, die ebenfalls Domänencontroller sind.
Die Verwaltungsstandards des Firmennetzwerkes sehen vor, dass eine
DNS-Domäne für jeden regionalen Bereich der Firma erstellt werden
muss. Ein neuer Regionalbereich mit der Bezeichnung „Thüringen“ wird
der Firma hinzugefügt. Sie müssen eine entsprechende DNS-Zone mit der
Bezeichnung THUERINGEN.MVSNET.DE erstellen.
Anforderungen:
• Alle Hostrechner müssen im DNS registriert werden.
• Alle DNS-Einträge müssen zu jeder Zeit aktuell sein, und jede
Änderung an Hostnamen oder IP-Adressen muss im DNS-Eintrag
• Wenn ein Hostrechner aus dem Netzwerk entfernt wird, muss der
entsprechende DNS-Eintrag gelöscht werden.
• Um Probleme zu verhindern, die durch doppelte Computernamen
verursacht werden, darf ein Host nicht in der Lage sein, den Eintrag
eines anderen Hosts im DNS zu überschreiben.
• Um den Verwaltungsaufwand zu verringern, sollen alle möglichen
• Um unterschiedliche Anforderungen zwischen den Abteilungen zu
ermöglichen, sollten Konfigurationsänderungen, wo möglich, nur auf
individuelle Zonen angewendet werden.
Sie müssen die Zone THUERINGEN.MVSNET.DE so konfigurieren, dass die
festgelegten Anforderungen erfüllt werden.
Welche drei Schritte müssen Sie durchführen?
- 235 -
A

Sie erstellen eine primäre Zone mit der Bezeichnung
THUERINGEN.MVSNET.DE und stellen sicher, dass die
Option Zone im Aktive Directory speichern
deaktiviert ist.
B

Option Zone im Aktive Directory speichern aktiviert
ist.
C

Sie aktivieren die automatische Säuberung von
veralteten Ressourceneinträgen auf allen DNS-Servern
und konfigurieren die Säuberungsoptionen in der Zone
THUERINGEN.MVSNET.DE.
D

Sie konfigurieren Einstellung wird ungültig nach für
die Zone THUERINGEN.MVSNET.DE auf einen Tag.
E

Sie konfigurieren die Einstellung Dynamische
Aktualisierung für die Zone THUERINGEN.MVSNET.DE
auf Nur sichere.
F

auf Sichere und Nicht sichere.
- 236 -
Frage 193
Unternehmen registriert den DNS-Domänennamen MVSNET.DE. Die DNSDomäne MVSNET.DE beinhaltet drei Hostnameneinträge für drei Server
des Unternehmens, die aus dem Internet heraus zugreifbar sein sollen.
Einer dieser Server fungiert als Webserver, einer als FTP-Server und der
dritte als Mailserver.
Der primäre Server für die Zone MVSNET.DE ist der Windows Server 2003
Rechner »MVSDCDN01«. Dieser Server befindet sich in einem
Netzwerksegment, auf das vom Internet heraus zugegriffen werden kann.
Das Unternehmen möchte aber ebenfalls den DNS-Namensraum
MVSNET.DE verwenden, um Hosts aus dem internen Netzwerk zu
registrieren. Das interne Netzwerk wird durch eine Firewall geschützt, die
den Internetverkehr filtert. Die Sicherheitsrichtlinien des Unternehmens
schreiben vor, dass die Hostnamen im internen Netzwerk nicht durch
Anfragen aus dem Internet aufgelöst werden dürfen.
Sie installieren Windows Server 2003 auf dem Rechner »MVSDCDN02«
und konfigurieren ihn als DNS-Server. Dieser Server wird eingesetzt,
damit alle Rechner aus dem internen Netzwerk die Hostnamen des
Namensraumes MVSNET.DE auflösen können. Alle Computer des internen
Netzwerkes werden so konfiguriert, dass sie den Server »MVSDCDN02«
als ihren DNS-Server verwenden. Das Netzwerk des Unternehmens ist
konfiguriert, wie die folgende Abbildung zeigt:
Sie müssen die Server »MVSDCDN01« und »MVSDCDN02« so
konfigurieren, dass alle Rechner des internen Netzwerkes folgende
Hostnamen auflösen können:
- 237 -
• die der anderen Computer im internen Netzwerk und
• die der drei Server, auf die aus dem Internet zugegriffen werden
kann.
Welche zwei Schritte müssen Sie durchführen?
A

Sie erstellen auf dem Server »MVSDCDN02« die primäre
DNS-Zone MVSNET.DE.
B

Sie erstellen auf dem Server »MVSDCDN02« die
sekundäre DNS-Zone MVSNET.DE.
C

Sie konfigurieren eine DNS-Weiterleitung vom Server
»MVSDCDN02« zum Server »MVSDCDN01«.
D

E

Sie fügen manuell Host(A)-Einträge für jeden Computer
des internen Netzwerkes der Zone MVSNET.DE auf dem
Server »MVSDCDN01« hinzu.
F

Sie fügen manuell die Host(A)-Einträge für jeden
Computer, der aus dem Internet erreichbar sein soll, der
Zone MVSNET.DE auf dem Server »MVSDCDN02« hinzu.
- 238 -
Frage 194
Server 2003.
Sie verwenden ein Skript, geschrieben in Visual Basic Scripting Edition
(VBScript), um neue Benutzerkonten zu erstellen. Sie müssen das Skript
abändern und alle neuen Benutzerkonten, die mit dem Skript erstellt
wurden, aktivieren.
Um die Frage zu beantworten, ziehen Sie die benötigten Einträge aus dem
linken in den rechten Bereich.
Connecting using
LDAP
Build LDAP Path
Create Each User
Create Enable Each
Account
Hier platzieren
Set objRootDSE =
GetObject("LDAP://rootDSE")
Hier platzieren
Set objContainer =
GetObject("LDAP://cn=Users," & _
objRootDSE.Get("defaultNamingContext"))
Hier platzieren
Set objUser = objOU.Create("User",
"cn=jsmith")
objUser.Put "sAMAccountName", "jsmith"
objUser.SetInfo
Hier platzieren
Set objUser = GetObject _
("LDAP://cn=jsmith,ou=MIS,dc=mydomain,dc
=com")
objUser.AccountDisabled = FALSE
objUser.SetInfo
- 239 -
Frage 195
Auf allen fünf Domänencontrollern ist das Betriebssystem Windows Server
2003 installiert, auf allen Clientrechnern in der Domäne das
Betriebssystem Windows XP Professional. Es ist sichergestellt, dass alle
Kontoanmeldeereignisse überwacht werden.
Der Mitarbeiter Andreas arbeitete am Client mit der Bezeichnung
»MVSXP001«. Mit Abschluss des Projektes endete auch das
Beschäftigungsverhältnis des Mitarbeiters. Ihre Aufgabe besteht jetzt
darin, die Zeiten zu ermitteln, an denen sich der Benutzer an der Domäne
angemeldet hatte. Sie wollen das Ziel erreichen, indem Sie auf so wenige
Informationen wie möglich zugreifen.
A
{
Sie melden sich am Rechner »MVSXP001« als lokaler
Administrator an und suchen im lokalen
Sicherheitsprotokoll der Ereignisanzeige nach
Ereignissen, die sich auf das betreffende Benutzerkonto
beziehen.
B
{
Sicherheitsprotokoll der Ereignisanzeige nach Einträgen,
die für das Computerkonto »MVSXP001« vorgenommen
wurden.
C
{
Sie nutzen die Ereignisanzeige, um sich das
Sicherheitsprotokoll auf jedem Domänencontroller
anzusehen. Sie verwenden die Option Suchen, um nur
die Ereignisse des Benutzerkontos von Andreas
aufzulisten.
D
{
anzusehen. Sie setzen einen Filter, um sich nur die
Ereignisse für das Benutzerkonto von Andreas auflisten
zu lassen.
E
{
Ereignisse für das Computerkonto »MVSXP001« auflisten
zu lassen.
- 240 -
Frage 196
Computern.
Sicherheitsrichtlinien der Firma erlauben nur, dass SMTP-, http- und DNSVerkehr die Firewall durchquert. Außerdem müssen Sie den internen DNSServern erlauben, Namen im Internet aufzulösen. Sie müssen den SMTPund http-Verkehr durch die Firewall erlauben und die Firewall für die
benötigten Dienste und Anwendungen aktivieren.
(Um zu antworten, ziehen Sie die entsprechenden Ports auf die Firewall.)
- 241 -
Frage 197
Bezeichnung MVSNET.DE. Der Server »MVSDC001« ist ein
Domänencontroller und zugleich DNS-Server.
Die Firma eröffnet eine neue Niederlassung in Cottbus. Ein Windows
Server 2003 Server mit der Bezeichnung »MVSDC002« befindet sich in
der Niederlassung. Dieser Server ist ein Domänencontroller und DNSServer.
Sie konfigurieren eine DNS-Zone für COTTBUS.MVSNET.DE auf dem
Server »MVSDC002«. Sie müssen sicherstellen, dass die Rechner in der
Domäne MVSNET.DE Hostnamen in COTTBUS.MVSNET.DE auf dem Server
»MVSDC002« auflösen können.
A

Sie fügen einen Autoritätsursprungs(SOA)-Eintrag auf
dem Server »MVSDC001« hinzu, der auf
MVSDC002.COTTBUS.MVSNET.DE verweist.
B

Sie fügen eine neue Delegation vom Server
»MVSDC002« für COTTBUS.MVSNET.DE dem Server
»MVSDC001« hinzu.
C

COTTBUS.MVSNET.DE auf dem Server »MVSDC001«
hinzu.
D

Sie fügen einen Dienst(SRV)-Eintrag auf »MVSDC001«
hinzu, der auf MVSDC002. COTTBUS.MVSNET.DE
verweist.
- 242 -
Frage 198
Sie sind der Administrator der Firma MVS M. Völk Systems. Das Netzwerk
besteht aus den beiden Active Directory-Domänen MVSPRESS.DE und
FIRMA.MVSPRESS.DE. Beide Domänen sind Active Directory-integriert.
Alle Domänencontroller sind auch DNS-Server.
Ein anderer Administrator erstellt zwei Anwendungspartitionen, Partition 1
und Partition 2. Die Partitionen sind so verteilt, wie in der folgenden
Tabelle gezeigt:
Servername
DNS-Zonen
Anwendungspartitionen
»MVSSRV01.MVSPRESS.DE«
Nur Cache
Partition 1
»MVSSRV02.FIRMA.MVSPRESS.DE«
FIRMA.MVSPRESS.DE
MVSPRESS.DE
Partition 2
Partition 1
FIRMA.MVSPRESS.DE
MVSPRESS.DE
Partition 2
FIRMA.MVSPRESS.DE
Partition 1
MVSPRESS.DE
Partition 2
Partition 1
FIRMA.MVSPRESS.DE
Partition 1
Sie müssen die Replikation der Zone MVSPRESS.DE konfigurieren. Dabei
müssen Sie beachten, dass Informationen der Zone MVSPRESS.DE nicht
auf Server repliziert werden, die die Informationen nur zwischenspeichern.
(Um zu antworten, konfigurieren Sie die entsprechende/n Option/en in der
Dialogbox.)
- 243 -
- 244 -
Frage 199
Sie sind der Administrator des Netzwerkes der Firma MVS M. Völk
Mitgliedsserver und vier Domänencontroller, auf denen Windows Server
2003, und 150 Clientcomputer, auf denen Windows XP Professional
ausgeführt wird. Die Domänencontroller sind ebenfalls als DNS-Server
konfiguriert.
Sie konfigurieren einen neuen UNIX-Server mit der Bezeichnung
»MVSUNIX1«, der als sekundärer DNS-Server autoritativ für die DNSZone MVSPRESS.DE ist. Sie erstellen einen Host(A)-Eintrag für
»MVSUNIX1« in der DNS-Zone.
Sie konfigurieren die DNS-Zone, um Zonenübertragungen an alle Server
zuzulassen und um den neuen UNIX-Server mit der Bezeichnung
»MVSUNIX1« unterbringen zu können.
A
{
Sie verwenden das Snap-In dnsmgmt.msc und fügen
einen Namensserver(NS)-Eintrag für den Server
»MVSUNIX1«der DNS-Zone hinzu.
B
{
»MVSUNIX1« zum Autoritätsursprungs(SOA)-Eintrag der
DNS-Zone hinzu.
C
{
einen Service(SRV)-Eintrag hinzu, der den Server
»MVSUNIX1« als Host enthält.
D
{
einen LDAP-Diensteintrag hinzu, der den Server
E
{
einen Alias(CNAME)-Eintrag hinzu, der den Server
- 245 -
Frage 200
Netzwerk besteht aus einer Verzeichnisstruktur mit der Bezeichnung
MVSPRESS.DE. Der Windows Server 2003 Server mit der Bezeichnung
»MVSDCDN1« ist der primäre DNS-Server für die Domäne MVSPRESS.DE.
Im Netzwerk ist auch ein UNIX-Server mit der Bezeichnung »MVSUNIX1«
vorhanden.
Ihre Managementassistentin Kerstin arbeitet an einem Windows XP
Professional Rechner mit der Bezeichnung »MVSWS001«. Kerstin teilt
Ihnen mit, dass sie von ihrem Arbeitsplatz aus zwar den Rechner
»MVSUNIX1« über die IP-Adresse ansprechen kann, aber nicht über
dessen FQDN. Die Verbindung zu anderen Servern im Netzwerk
funktioniert reibungslos.
Sie müssen sicherstellen, dass alle Clientcomputer sich mit dem Server
»MVSUNIX1« über dessen Namen verbinden können. Sie müssen dafür
den Verwaltungsaufwand so gering wie möglich halten.
A
{
Sie fügen einen Alias(CNAME)-Eintrag auf dem Server
»MVSDCDN1« hinzu, der auf den Server »MVSUNIX1«
verweist.
B
{
Sie fügen einen Host(A)-Eintrag auf dem Server
verweist.
C
{
Sie fügen in der Datei hosts auf jedem Clientcomputer
im Netzwerk einen Eintrag hinzu, der auf den Server
»MVSUNIX1« verweist.
D
{
Sie fügen der Datei lmhosts auf jedem Clientcomputer
- 246 -
Frage 201
Sie arbeiten als Netzwerkadministrator für die Firma MVS M. Völk
Systems. Das Firmennetzwerk besteht aus einer einzelnen Domäne mit
der Bezeichnung MVSNET.DE. Alle Server im Netzwerk werden mit
Windows Server 2003 betrieben. Die eine Hälfte der Clients führt Windows
2000 Professional aus, die andere Hälfte verfügt über Windows XP
Professional. Im Netzwerk der Domäne MVSNET.DE befindet sich der
Server »MVSDHC001«, welcher als Dynamic Host Configuration Protocol
(DHCP) Server konfiguriert ist.
Die Recherchen der Entwicklungsabteilung der Firma, sind für das
Unternehmen sehr wichtig. Damit die Benutzer dieser Abteilung ihre
Tätigkeiten durchführen können, brauchen Sie Zugang zum Internet. Sie
müssen die relevanten Dienste für eine automatische Sicherung
konfigurieren
(Wählen Sie alle zutreffenden Antworten)
A

Sie konfigurieren auf dem Server »MVSDHC001«, den
Dienst Plug an Play für die automatische Sicherung.
B

Dienst Geschützte Ablage für die automatische
Sicherung.
C

Dienst DNS Client für die automatische Sicherung.
D

Dienst DHCP Server für die automatische Sicherung.
E

Dienst Fehlerberichterstellung für die automatische
Sicherung.
- 247 -
Frage 202
Sie sind Systemadministrator der Firma MVS M. Völk Systems. Das
Netzwerk besteht aus einer einzelnen Active Directory Domäne
MVSNET.DE. Das Firmennetz enthält einige Windows Server 2003 sowie
1200 Windows 2000 Professional Computer.
MVSNET.DE hat eine Finanzabteilung in Puchheim und eine
Verkaufsabteilung in Kronach. Diese Zweigstellen sind über das Internet
miteinander verbunden. Die Benutzer in diesen Abteilungen benötigen das
Internet, um wichtige Dateien herunterzuladen und um E-Mails zu
versenden.
Das Netzwerk enthält außerdem einen Server Namens »MVSIIS001«, der
eine Website und eine FTP Seite zur Verfügung stellt. Die
Geschäftsführung in Puchheim berichtet davon, dass die Antwortzeiten des
Netzwerks immer langsamer werden. Nachdem Sie Nachforschungen
angestellt haben, finden Sie heraus, dass einige Benutzer die verfügbare
Bandbreite durch FTP-Downloads ausschöpfen. Sie entscheiden sich alle
Pakete auf »MVSIIS001« abzufangen. Weiterhin wollen Sie herausfinden
für welchen Benutzer die Pakete bestimmt waren. Sie möchten sich dabei
nur die FTP Pakete anzeigen lassen.
Welches Hilfsprogramm sollten Sie verwenden?
A
{
Sie verwenden den Netzwerkmonitor mit Abfang Filter.
B
{
Sie verwenden den Netzwerkmonitor mit Anzeige Filter.
C
{
Sie verwenden den Systemmonitor mit Abfang Filter.
D
{
Sie verwenden den Systemmonitor mit Anzeige Filter.
- 248 -
Frage 203
Sie sind Netzwerkadministrator der Firma MVS M. Völk Systems. Das
Firmennetzwerk besteht aus einer einzigen Active Directory Domäne die
MVSNET.DE heißt. Alle Server im Netzwerk werden mit Windows Server
2003 und alle Clients mit Windows XP Professional betrieben. Sie haben
von der Geschäftsführung den Auftrag erhalten auf dem Mitgliedsserver
»MVSSSRV001«, ein Netzwerkverzeichnis mit der Bezeichnung
Benutzerverzeichnis zu erstellen. Dieses Verzeichnis wird von den
Benutzern verwendet um Projektdokumente abzulegen. Sie müssen es
ermöglichen, dass die Benutzer auf frühere Versionen der Dokumente
zugreifen können.
Was müssen Sie tun, um den Benutzern den Zugriff zu ermöglichen?
A
{
Sie müssen die offline Einstellung für
Benutzerverzeichnis aktivieren, um alle Dokumente auch
im offline Modus abrufen zu können.
B
{
Sie müssen die Schattenkopien auf dem Datenträger,
auf dem das Netzwerkverzeichnis Benutzerverzeichnis
liegt, aktivieren.
C
{
Sie konfigurieren die Aufgabensteuerung so, dass jeden
Tag die geänderten Dokumente in ein anderes
Verzeichnis kopiert werden.
D
{
Sie konfigurieren die Sicherungsanwendung so, dass
jede Stunde eine Sicherung der geänderten Dokumente
in ein anderes Verzeichnis gesichert wird.
- 249 -
Frage 204
Netzwerk besteht aus einer Active Directory Domäne Namens MVSNET.DE.
Alle Server im Netzwerk werden mit Windows 2000 Server betrieben. Auf
der einen Hälfte der Clients wird Windows 2000 Professional und auf der
anderen Hälfte Windows XP Professional ausgeführt.
In der Firma MVS M. Völk Systems gibt es eine Markforschungsabteilung,
welche die höchste Priorität besitzt. Auf den Computern dieser Abteilung
befinden sich betriebsinterne, kritische 16-Bit Anwendungen. Daniel ist
der Manager der Marktforschungsabteilung. Er berichtet ihnen dass die
Applikationen auf seinem Computer, mit dem Namen »MVSCLI001« sehr
langsam laufen. Sie sollen Informationen über die Performance sammeln,
um das Problem so schnell wie möglich zu lösen.
Welches Werkzeug können Sie dazu benutzen?
A
{
Sie benutzen ein Trace Log.
B
{
Sie benutzen den Systemmonitor.
C
{
Sie benutzen den Taskmanager.
D
{
Sie benutzen ein Counter Log.
- 250 -
Frage 205
Alle Server im Netzwerk werden mit Windows Server 2003 und alle Clients
mit Windows XP Professional betrieben. MVSNET.DE enthält zwei
Abteilungen mit den Namen Forschung und Entwicklung. Dabei befindet
sich die eine Hälfte der Clients in dem Bereich Forschung und zur anderen
Hälfte in dem Bereich Entwicklung. Auf den Computern der
Forschungsabteilung werden kritische Anwendungen von Fremdanbietern
ausgeführt.
MVSNET.DE beinhaltet einen Dateiserver Namens »MVSFPN001«. Auf dem
Datenträger Vol1, sind die Schattenkopien aktiviert. Während eines
Routinechecks stellen Sie fest, das Vol1 nahezu voll ist. Sie wollen eine
zweite Festplatte in den Server einbauen und einen neuen Datenträger mit
der Bezeichnung Vol2 erstellen. Anschließend wollen sie, dass die
Schattenkopien von Vol1 den freien Platz in Vol2 benutzen.
A

Sie verschieben die Schattenkopien von Vol1 auf Vol2.
B

Löschen Sie die Schattenkopien von Vol1 und geben Sie
Vol2 als neue Position der Schattenkopien an.
C

Geben Sie in den Einstellungen von Vol1, Vol2 als
zusätzliche Position an.
D

Teilen Sie Vol2 auf und aktivieren Sie dort die
Schattenkopien.
- 251 -
Frage 206
Systems. Das Netzwerk besteht aus einer Active Directory Domäne die
MVSNET.DE heißt. Ihr Netzwerk besteht aus 10 Windows 2003 Server und
1100 Windows 2000 Professional Clients. Drei der 10 Server wurden als
Domänencontroller eingerichtet.
MVS M. Völk Systems hat eine Finanzabteilung in München und eine
Marketingabteilung in Puchheim. Weil die Benutzer dieser Abteilung
wichtige Daten herunterladen und Emails verschicken, sind Sie an das
Netzwerk angebunden. Eine neue Sicherheitsvorgabe gibt an, dass sich
Administratoren nur noch als Domänenbenutzern an der Domäne
anmelden dürfen. Wenn Administrationsrechte benötigt werden, soll der
Administrator zur Durchführung den Befehl Ausführen als verwenden.
Am nächsten Morgen berichtet Ihnen der Administrator Daniel Völk, dass
diese Vorgehensweise aber nicht funktioniert. Sie versuchen den Befehl
mit Daniel Völks Administrativen Benutzerkonto auszuführen. Sie geben
folgenden Befehl ein:
runas /user:DanielVölk replmon
Als Sie den Befehl bestätigen erhalten Sie folgende Fehlermeldung:
RUNAS ERROR: Unable to run – replmon 1058: The service cannot
be started, either because it is disabled or there are no enabled
devices associated with it.
Sie müssen den Dienst finden, der den Replikationsmonitor am starten
hindert.
Welcher der folgenden Dienste könnte die Ursache sein?
A
{
Der Dienst Secondary Logon.
B
{
Der Dienst Net Logon.
C
{
Der Dienst DNS Client.
D
{
Der Dienst DNS Server.
- 252 -
Frage 207
Sie arbeiten als Systemadministrator für die Firma MVS M. Völk Systems.
Das Netzwerk der Firma besteht aus einer einzigen Active Directory
Domäne die MVSNET.DE heißt. Auf allen Servern im Netzwerk ist Windows
2003 Server und auf allen Clients Windows XP Professional installiert.
MVSNET.DE enthält den Server »MVSEXC007« auf dem Exchange 2003
ausgeführt wird, sowie eigene Finanzprogramme. Alle Benutzer des
Netzwerks erhalten von diesem Server ihre Emails. »MVSEXC007« ist
folgendermaßen ausgestattet:
•
•
•
•
CPU: 2,6 MHz
RAM: 512 MB
HD: 2x 74,5 GB
LAN: 100 Mbps
»MVSEXC007« verwaltet 4000 Mailboxen. Der Geschäftsführer Michael
Völk beschwert sich über die langen Wartezeiten, wenn er größere Emails
aufrufen möchte.
Welche Komponente verursacht am wahrscheinlichsten die langen
Antwortzeiten?
A
{
Der Netzwerk Adapter.
B
{
Der Prozessor.
C
{
Die Festplatte.
D
{
Der Arbeitsspeicher.
- 253 -
Frage 208
Netzwerk besteht aus einer einzigen Active Directory Domäne, die
MVSNET.DE heißt. Alle Server werden mit Windows Server 2003 und alle
Client Computer mit Windows XP Professional oder Windows 2000
Professional ausgeführt.
MVSNET.DE besitzt zwei Abteilungen, die Entwicklungsabteilung und die
Forschungsabteilung. Die eine Hälfte der Client Computer gehören zur
Forschungsabteilung und die andere Hälfte zur Entwicklungsabteilung. Die
Forschungsabteilung hat für MVS M. Völk Systems die höchste Priorität.
Die Clientcomputer in der Forschungsabteilung führen kritische
Programme von Drittherstellern aus. Das Netzwerk enthält einen Server
mit dem Namen »MVSSRV007«, auf dem der freigegebene Ordner
MvsResDev liegt. Dieser Ordner wird sowohl von der Forschungsabteilung
als auch von der Entwicklungsabteilung genutzt, um wichtige Projektdaten
abzuspeichern. Alle Benutzer können in diesem Ordner die Dateien ändern
oder Änderungen rückgängig machen. Um die Dateien zu sichern,
aktivieren Sie die Schattenkopien. Einigen Benutzern in den beiden
Abteilungen ist es nicht möglich, früheren Versionen von Dateien
wiederherzustellen. Sie müssen sicherstellen, dass die Früheren Versionen
für alle Benutzer verfügbar sind.
A
{
Sie müssen auf allen Windows 2000 Professional
Computern die Schattenkopien aktivieren.
B
{
Computern die „Frühere Versionen Client Software“
installieren.
C
{
Sie müssen auf »MVSSRV007« für jeden Benutzer ein
Festplattenkontingent konfigurieren.
D
{
Sie müssen auf allen Client Computern
Festplattenkontingente konfigurieren.
- 254 -
Frage 209
Netzwerk besteht aus einer Gesamtstruktur mit zwei Active Directory
Domänen, die MVSNET.DE und MVSPRESS.MVSNET.DE heißen. Alle Server
werden mit Windows Server 2003 und alle Client Computer mit Windows
XP Professional betrieben. MVSNET.DE enthält einen Server Namens
»MVSDNS007«, der als Domain Naming Server (DNS) konfiguriert ist.
MVSNET.DE besitzt eine Marketingabteilung, die sehr wichtig für die Firma
ist. Die Benutzer dieser Abteilung müssen regelmäßig im Internet nach
Informationen für ihre Arbeit suchen.
Sie müssen eine Sicherungsoption für diesen Server konfigurieren. Wenn
ein Dienst dreimal fehlschlägt, muss der Server automatisch neu gestartet
werden. Vorher muss eine Nachricht über diesen Vorgang an alle
Computer geschickt werden, falls der Server neu gestartet werden muss.
Ein Administrator Namens Daniel meldet sich an einem Computer
(»MVSCLI010«), der in der Domäne MVSPRESS.MVSNET.DE steht an.
Eines Morgens stellt Daniel fest, dass er die Verbindung und damit alle
Änderungen an Dateien verloren hat, weil »MVSDNS007« neu gestartet
wurde. Obwohl »MVSDNS007« neu gestartet wurde, hat Daniel keine
Nachricht von dieser Aktion erhalten. Sie müssen den Grund dafür finden.
warum Daniel keine Nachricht erhalten hat.
Was war die Ursache?
A
{
Der Computer »MVSCLI010« gehört einer anderen
Domäne an als der Server »MVSDNS007«.
B
{
Der DNS Server Alarm war deaktiviert.
C
{
Auf dem Computer »MVSCLI010« war der
Nachrichtendienst deaktiviert.
D
{
Daniel Völk hat statt des Domänen Kontos ein Lokales
Konto auf »MVSCLI010« benutzt.
- 255 -
Frage 210
MVSNET.DE heißt. Alle Server sind mit Windows Server 2003 und alle
Client Computer mit Windows XP Professional ausgerüstet.
Im Firmennetzwerk befindet sich ein Webserver »MVSIIS007«, auf dem
das Intranet der Firma betrieben wird. Auf »MVSIIS007« ist IIS so
installiert und konfiguriert, dass nur sichere Kommunikation zugelassen
wird. Benutzer müssen sich an »MVSIIS007« mit Domänen Benutzername
und Kennwort authentifizieren. Diese Einstellungen funktionierten über
mehrere Monate einwandfrei, doch seit kurzen erhalten die Benutzer, die
den Internet Explorer verwenden, eine Fehlermeldung. »MVSIIS007«
reagiert sowohl mit Host Namen als auch IP Adresse auf den Ping-Befehl.
Sie sehen sich die Dienste auf »MVSIIS007« an und sehen folgendes:
- 256 -
Welche zwei Aktionen sollten Sie ausführen um es den Benutzern zu
ermöglichen wieder auf das Intranet zuzugreifen?
(Jede richtige Antwort ist ein Teil der Lösung. Wählen Sie zwei)
A
{
Starten Sie den Computer Browser Dienst auf
»MVSIIS007«.
B
{
Starten Sie den HTTP SSL Dienst auf »MVSIIS007«.
C
{
Starten Sie den Anmeldedienst auf »MVSIIS007«.
D
{
Starten Sie den Dienst Sekundäre Anmeldung auf
»MVSIIS007« neu.
E
{
Starten Sie den WebClient Dienst auf »MVSIIS007« neu.
- 257 -
Frage 211
Systems. Das Netzwerk der Firma besteht aus einer einzigen Active
Directory Domäne Namens MVSNET.DE. Alle Server im Netzwerk werden
mit Microsoft Windows Server 2003 und alle Client Computer mit Microsoft
Windows XP Professional als Betriebssystem betrieben.
Die Firma MVS M. Völk Systems besitzt eine Buchhaltungsabteilung, die
Daten über Transaktionen mit Kunden enthält. Diese Daten werden auf
einem Dateiserver »MVSFPN001« gespeichert. Es ist eine
Sicherheitsrichtlinie (GPO) für die Domäne implementiert, die eine
Änderung des Passworts alle 3 Monate voraussetzt. Außerdem wurde die
Sicherheitsrichtlinie so konfiguriert, dass Sie vor Angriffen schützt. Als der
Mitarbeiter Andreas Hengge aus seinem Urlaub zurückkommt, kann dieser
sich an seinem Arbeitsplatzrechner »MVSCLI132« nicht mehr an der
Domäne anmelden.
Während Sie das Problem untersuchen, entdecken Sie, dass das Passwort
von Andreas Hengge abgelaufen ist. Sie setzen sein Passwort zurück. Der
Benutzer kann sich aber trotzdem nicht an der Domäne anmelden.
A
{
Sie müssen das Benutzerkonto von Andreas Hengge
Entsperren.
B
{
Setzen Sie das Computerkonto der Arbeitsstation
»MVSCLI132« zurücksetzen.
C
{
Fahren Sie die Arbeitsstation »MVSCLI132« herunter und
starten Sie Sie erneut.
D
{
Verringern Sie die den Wert der Kontosperrschwelle.
- 258 -
Frage 212
Netzwerk der Firma besteht aus einer einzigen Active Directory Domäne
Namens MVSNET.DE. Alle Server im Netzwerk haben Windows Server
2003 und alle Client Computer Windows XP Professional als
Betriebssystem installiert.
Die Funktionsebene der Domäne ist auf Windows Server 2003 gesetzt.
Alle Administratoren und Abteilungsleiter haben Benutzerkonten mit
ablaufenden Kennwörtern. Einige der anderen Benutzerkonten haben
ebenfalls ablaufende Kennwörter, allerdings nicht alle. Eine neue
Sicherheitsvorschrift schreibt vor, dass alle Benutzer ablaufende
Kennwörter haben müssen. Sie sollen herausfinden, welche
Benutzerkonten keine ablaufenden Kennwörter haben und diese dann der
neuen Sicherheitsvorschrift entsprechende konfigurieren. Sie wollen
diesen Vorgang mit dem geringsten Aufwand umsetzten. Sie erstellen eine
Abfrage um eine Liste mit allen Benutzern zu erhalten die der Vorschrift
noch nicht entsprechen.
Was müssen Sie als nächstes machen?
A
{
Exportieren Sie die Ergebnisse der Abfrage in eine
Kommagetrennte Datei und benutzen Sie ein CSVDE
Script um die Passworteigenschaften jedes Users zu
bearbeiten.
B
{
Wählen Sie alle Benutzerkonten in der Ausgabe aus und
bearbeiten Sie die Passworteigenschaften gleichzeitig.
C
{
Kommagetrennte Datei und benutzen Sie ein LDIFDE
bearbeiten.
D
{
Wählen Sie jedes Benutzerkonto in der Ausgabe aus und
bearbeiten Sie die Passworteigenschaften für jedes
Benutzerkonto.
- 259 -
Frage 213
Die Sicherheitsvorlage der Firma schreibt vor, dass alle
Netzwerkadministratoren mit einem alternativen „Nicht-Administrator“
Benutzerkonto angemeldet sein müssen, wenn Sie keine Administrativen
Tätigkeiten ausführen. Das Netzwerk enthält einen Mitgliedsserver
»MVSSRV013«. Sie müssen einen USB Treiber auf diesem Server
aktualisieren. Sie erhalten beim aktualisieren eine Fehlermeldung, dass
Sie nicht über die nötigen Rechte verfügen. Sie müssen den Treiber
aktualisieren ohne gegen die Sicherheitsrichtlinien der Firma zu verstoßen.
A
{
Fügen Sie ihr „Nicht-Administrator“ Benutzerkonto der
Gruppe Hauptbenutzer hinzu.
B
{
Melden Sie sich ab und melden Sie sich danach mit dem
„Nicht-Administrator“ Konto wieder an.
C
{
Benutzen Sie den „Ausführen als“-Befehl in einem
Eingabefenster und verwenden Sie ihr Administratives
Benutzerkonto um den Computermanager zu öffnen.
D
{
Melden Sie sich ab und melden Sie sich danach mit
einem Domänenadministrationskonto wieder an.
- 260 -
Frage 214
Das Netzwerk enthält einen Mitgliedsserver »MVSSRV012«. Dieser Server
hat ein lokales Bandlaufwerk. Sie erstellten einen Sicherungsauftrag für
den Server »MVSSRV024« als Sie am Server »MVSSRV012« angemeldet
waren und das Sicherungsprogramm geöffnet hatten. Dieser
Sicherungsauftrag lief mehrere Wochen erfolgreich. MVSNET.DE
implementiert eine Sicherungslösung eines Drittherstellers. Sie möchten
den Sicherungsauftrag von »MVSSRV012« von Ihrem Arbeitsplatzrechner
aus löschen, allerdings können Sie keine Remote Desktop Verbindung
herstellen, da der Server dies nicht erlaubt.
Was müssen Sie stattdessen tun?
A
{
Verwenden Sie den Befehl schtask/delete in einem
Eingabefenster.
B
{
Verwenden Sie das NTBackup Befehlszeilen Programm.
C
{
Verwenden Sie das Zeitgesteuerte Aufgaben Programm
in den Systemeigenschaften.
D
{
Verwenden Sie das Sicherungsprogramm.
- 261 -
Frage 215
Sie sind Netzwerkadministrator der Firma MVS M. Völk Systems. Sie
administrieren den Emailserver des Unternehmens. MVS M. Völk Systems
kauft einen neuen Windows Server 2003 Computer um Email Dienste für
das interne Netzwerk zur Verfügung zu stellen. Auf dem neuen Server
wird Microsoft Exchange Server 2003 installiert. Der neue Server wird
nicht dazu genutzt um Emails aus dem Internet zu empfangen.
Den Benutzern im internen Netzwerk muss es möglich sein den Server
über den FQDN zu erreichen.
Welche DNS Einträge müssen Sie in diesem Szenario einrichten?
A
{
Richten Sie einen PTR-Eintrag ein.
B
{
Richten Sie einen CNAME-Eintrag ein.
C
{
Richten Sie einen Host A-Eintrag ein.
D
{
Richten Sie einen SOA-Eintrag ein.
E
{
Richten Sie einen NS-Eintrag ein.
- 262 -
Frage 216
Server im Netzwerk von MVSNET.DE laufen mit Windows Server 2003.
Weiterhin beinhaltet das MVSNET.DE Netzwerk einen DNS-Server mit dem
Namen »MVSDNS001«, der die Anfragen der Clientcomputer
entgegennimmt, um Informationen im Active Directory zu finden.
Ein Benutzer mit dem Namen David Street benutzt derzeitig einen
Clientcomputer Namens »MVSCLI291«. Er berichtet ihnen, dass es ihm
nicht möglich ist auf Ressourcen aus dem Netzwerk zuzugreifen. Nach
einer kurzen Recherche merken sie, dass das Problem aus der falschen
Namensauflösung entsteht. Sie überprüfen die Konfiguration des DNS auf
»MVSCLI291«. Außerdem testen Sie, das andere Clientcomputer ebenso
Anfragen an »MVSDNS001« senden können.
Was müssen Sie tun, um sich alle Anfragen und Rückmeldungen zwischen
»MVSCLI291« und »MVSDNS001« anzeigen zu lassen?
A
{
Aktivieren Sie debug logging auf »MVSDNS001«.
B
{
Benutzen Sie den Systemmonitor um die Anfragen und
Rückmeldungen auf »MVSDNS001« anzuzeigen.
C
{
Schauen Sie nach Fehlern des DNS-Services im Event
log von »MVSDNS001«.
D
{
Führen Sie auf »MVSCLI291« den Befehl nslookup aus.
- 263 -
Frage 217
Netzwerk beinhaltet eine Active Directory Domäne mit den Namen
MVSNET.DE. Das Netzwerk besteht aus vier Windows Server 2003
Computern, die als DNS Server fungieren und die Namen »MVSDNS007,
»MVSDNS008««, »MVSDNS009« und »MVSDNS010« tragen. Sie sind
dafür verantwortlich zu überprüfen, ob ein Server, der eine primäre Zone
enthält, den Prozess der Transferanfragen erfolgreich abschließen kann.
Sie müssen dafür sorgen, dass Sie eine Simulation eines Zonentransfers
von ihrem Windows 2000 Professional Computer mit den Namen
»MVSCLI010« zu tätigen, so das Sie die Informationen mit dem
Netzwerkmonitor erfassen können.
A
{
Starten Sie den Befehl ipconfig von »MVSCLI010«.
B
{
Starten Sie den Befehl nslookup ls von »MVSCLI010«.
C
{
Starten Sie den Befehl netdiag von »MVSCLI010«.
D
{
Starten Sie den Befehl netsh von »MVSCLI010«.
- 264 -
Frage 218
Netzwerk enthält eine einzige Active Directory Domäne MVSNET.DE.
Das Netzwerk beinhaltet einen DNS-Server mit dem Namen
»MVSDNS003«, der die Domäne MVSNET.DE enthält.
Sie erhalten von den Benutzern die Informationen, das die DNS
Namensauflösung über die letzten Wochen sehr langsam von statten geht.
Sie entscheiden sich bei der Fehlersuche nachzusehen, ob das
Performanceproblem an »MVSDNS003« liegen kann.
A
{
Sie lassen sich die Dynamic Update Received/sec,
Total Query Recieved/sec und Total Response
Sent/sec des DNS über den Systemmonitor anzeigen.
B
{
Sie sollten sich über das Event log die DNS Event ID2
und 3 anzeigen lassen.
C
{
Sie sollten sich über das Netzwerkinterface Bytes
Total/sec auf dem Systemmonitor anzeigen lassen.
D
{
Aktivieren Sie debug logging auf »MVSDNS003« und
Konfigurieren Sie das Log so, das alle ausgehenden und
eingehenden Packte abgefangen werden.
- 265 -
Frage 219
Sie sind derzeitig berufstätig als DNS Administrator der Firma MVS M. Völk
Systems. MVSNET.DE ist ein Internet Service Provider, welcher
Internetseiten für verschiedene Firmen anbietet. Der DNS-Server ihrer
Firma beinhaltet mehrere DNS Zonen für ihre Kunden. Es gibt etliche
Administratoren, denen es erlaubt ist, neue DNS Zonen hinzuzufügen.
Was müssen Sie tun, um eine wöchentliche Auflistung von allen Zonen die
auf dem DNS Server liegen zu generieren?
A
{
Benutzen Sie das dnslint Utility für eine Anfrage auf
jeden DNS Server.
B
{
Benutzen Sie das dnscmd Utility für eine Anfrage auf
jeden DNS Server.
C
{
Benutzen Sie das nslookup Utility für eine Anfrage auf
jeden DNS Server.
D
{
Benutzen Sie das adsiedit Utility für eine Anfrage des
Active Directory um eine Liste der DNS Zonen zu
erhalten.
- 266 -
Frage 220
Sie arbeiten als Netzwerkadministrator bei der Firma MVS M. Völk
Systems. Das Netzwerk beinhaltet eine Active Directory Domäne mit dem
Namen MVSNET.DE. Das Netzwerk des Unternehmens enthält zehn
Windows Server 2003 Standard Edition Computer und 1200
Clientcomputer auf denen Windows XP Professional ausgeführt wird.
Sie sind ein Mitarbeiter der Abteilung Forschung und Entwicklung. Teil
ihrer Aufgabe ist die Erstellung von Sicherheitsvorlagen für ihre Abteilung.
Ihr Account ist Mitglied bei den Domänenadministratoren. Die MVSNET.DE
Sicherheitsrichtlinien geben vor, dass alle Accounts der Abteilung
Forschung und Entwicklung, niemals gesperrt werden dürfen, da diese
sonst behindert würden, ihrer Aufgabe in ihrer Abteilung nachzukommen.
Sie arbeiten an einer Sicherheitsrichtlinie, bei der diese Bedingungen
erfüllt sind.
Was müssen Sie tun um diese Aufgabe zu bewerkstelligen?
A
{
Resetten Sie den account lockout counter nach der 0.
B
{
Setzen Sie die Beschränkung durchzusetzender
Benutzeranmeldungen auf 0.
C
{
Setzen Sie den account lockout duration auf 0.
D
{
Setzen Sie den account lockout threshold auf 0.
- 267 -
LÖSUNGENUNGEN UND BEGRÜNDUNGEN FÜR EXAMEN 70-292
Kapitel 2
Lösungen und Begründungen für Examen 70-292
- 268 -
Frage 1
Sie installieren den Terminaldienst auf drei Servern mit den
Bezeichnungen »MVSTERM1«, »MVSTERM2« und »MVSTERM3«. Anfangs
können sich alle Benutzer mit Hilfe einer Remotedesktopverbindung
erfolgreich mit allen drei Terminalservern verbinden. Einige Monate später
berichten die Benutzer, dass sie nicht mehr in der Lage sind, sich mit dem
Remotedesktop auf die Terminalserver zu verbinden.
A
{
Terminalservern von Je Server in Je Arbeitsplatz.
B
{
Sie fügen dem Lizenzserver der Domäne zusätzliche
Microsoft Windows-Lizenzen hinzu.
C
{
Sie konfigurieren und aktivieren einen Enterprise
Lizenzserver.
D
{
Terminalservern von Je Gerät in Je Benutzer.
Richtige Antwort: C
Begründung
Bis zu 120 Tage können Clients Verbindungen zu einem Terminalserver
herstellen, ohne hierfür eine Clientlizenz eines TerminalserverLizenzservers zu haben. Nach Ablauf dieser Zeitspanne muss eine
Clientlizenz zur Verfügung gestellt werden. Der einzige Lösungsvorschlag,
der dies berücksichtigt, ist C.
Die Lösungsvorschläge A und D fallen weg, weil der normale
Lizenzierungsmodus geändert werden soll. Das würde uns nicht
weiterhelfen. Der ebenso falsche Lösungsvorschlag B hat auch nichts mit
der Lösung zu tun, weil hier normale Lizenzen hinzugefügt werden.
Terminalserver-Clientlizenzen respektive die Terminalserver-Lizenzierung
sollte grundsätzlich nicht auf einem der Terminalserver liegen, sondern
auf einem anderen Server. In der Regel übernimmt diese Funktion ein
zusätzlicher Server oder einer der Domänencontroller.
- 269 -
Hilfe
• Terminal Server Lizenzierung
MS Training
• Seite 781
- 270 -
Frage 2
Server 2003, auf den Workstations Windows XP Professional. Der
Terminaldienst ist auf dem Mitgliedsserver »MVSTERM1« mit den
Die Benutzer der Supportabteilung sind Mitglieder der Gruppe Supporter.
Wenn diese Benutzer versuchen, eine Terminaldienstverbindung mit
»MVSTERM1« herzustellen, erhalten sie die folgende Fehlermeldung:
Sie müssen die Mitglieder der Gruppe Supporter berechtigen, um eine
Terminaldienstsitzung auf dem Server »MVSTERM1« einzurichten.
A
{
Sie berechtigen die entsprechenden Benutzer, sich
remote mit dem Server »MVSTERM1« zu verbinden.
Hierzu ändern Sie die Option Lokale Geräte.
B
{
Remotedesktopbenutzer-Gruppe des Servers
»MVSTERM1« hinzu.
C
{
Sie konfigurieren die RDP-Tcp-Verbindungseigenschaften
auf »MVSTERM1«, um den berechtigten Benutzern der
Gruppe Supporter den Vollzugriff zuzuweisen.
D
{
Remotedesktopbenutzer-Gruppe im Active Directory
hinzu.
Richtige Antwort: B
Begründung
Remotedesktopbenutzer benötigen das Recht der lokalen Anmeldung. In
unserem Fall ist anscheinend die Gruppe Supporter nicht Mitglied in der
Remotedesktopbenutzer-Gruppe. Daher ist der einfachste Weg, wie im
richtigen Lösungsvorschlag B beschrieben, die Gruppe der Supporter in die
Remotedesktopbenutzer-Gruppe aufzunehmen.
- 271 -
Der falsche Lösungsvorschlag A geht nicht, weil es sich hier um eine
Einstellung für den Remotedesktopclient handelt und das nichts mit dem
Problem des Terminalservers hinsichtlich des fehlenden Rechts zu tun hat.
Der Lösungsvorschlag C hat auch nichts mit der Thematik zu tun, denn,
wenn die Benutzer gar nicht zum Terminalserver kommen, hilft auch das
Setzen der Berechtigung Vollzugriff nichts. Es geht hier um ein fehlendes
Recht und nicht um eine fehlende Berechtigung.
Der Lösungsvorschlag D löst jedoch auch nicht das beschriebene Problem,
weil hier die Gruppe der Supporter Zugriff auf einen x-beliebigen
Terminalserver in der Domäne erhalten würde.
Hilfe
• Verwaltungs-und Skriptingprogramme\Konfigurations- und
Verwaltungsprogramme\Lokale Benutzer und Gruppen
MS Training
• Seiten 761 und 765
- 272 -
Frage 3
Server 2003, auf den meisten Workstations Windows XP Professional und
auf den übrigen Workstations Windows NT 4.0 Workstation. Den
Netzwerkbenutzern stehen zwei Terminalserver zur Verfügung.
Sie installieren eine neue Applikation auf beiden Terminalservern. Jeder,
der das neue Programm verwendet, um Dateien zu erstellen, muss diese
Dateien direkt in einem Ordner auf der lokalen Festplatte speichern. Sie
müssen sicherstellen, dass die Clientlaufwerke immer verfügbar sind,
wenn sich ein Mitarbeiter mit einem der Terminalserver verbindet.
Welche Aktionen sollten Sie ausführen, um das Ziel zu erreichen?
A

Sie erstellen ein Clientverbindungsobjekt mit den
Standardeinstellungen und machen dieses Objekt auf
jedem Terminalserver verfügbar.
B

Sie verändern die RDP-Tcp-Einstellungen, indem Sie die
Laufwerke des verbindenden Clients bei den Lokale
Ressourcen-Optionen auswählen.
C

Sie installieren Netmeeting auf den Clientcomputern und
konfigurieren die Remotedesktopverbindungsfreigabe.
D

Sie installieren die Standard Windows 2000 Terminal
Server Clientsoftware auf den Windows NT 4.0
Workstations.
E

Sie installieren die Remotedesktopverbindung auf den
Windows NT 4.0 Workstations.
Richtige Antworten: B und E
Begründung
In unserem Fall muss zuerst das Laufwerks-Mapping erlaubt und dann
noch der RDP 5.1 Client auf den Windows NT 4.0 Clients installiert
werden. Dieser Schritt ist notwendig, weil Windows NT 4.0 im Gegensatz
zu Windows XP keine Unterstützung von RDP kennt. Aus diesen Gründen
sind die Lösungsvorschläge B und E richtig.
Der Vorschlag A hat nichts mit der Lösung des Problems zu tun, da er
nichts an der Tatsache und dem Problem des NT 4.0 Clients ändert. Der
ebenso falsche Lösungsvorschlag C kann schlichtweg als Unsinn im
Zusammenhang mit der Problemstellung bezeichnet werden. Der
Lösungsvorschlag D klingt zwar gut, stellt jedoch auch keine Lösung dar,
- 273 -
weil auch für diese Clients die RDP-Tcp 5.1-Unterstützung bereitgestellt
werden muss.
Hilfe
• Softwarebereitstellung\Terminaldienste\Terminalserver\Konzepte\Erst
e Schritte …\Verwenden von Terminalserver zum zentralen Hosten
von Anwendungen
MS Training
- 274 -
Frage 4
Server 2003, auf den meisten der Clientcomputer Windows XP
Professional, auf einigen jedoch auch Windows NT 4.0 Workstation.
Sie installieren den Terminaldienst auf fünf Mitgliedsservern mit der
Bezeichnung »MVSTERM1« bis »MVSTERM5«. Sie fassen diese
Terminalserver in einer Organisationseinheit mit dem Namen Terminal
Server zusammen und verbinden eine Gruppenrichtlinie mit der Terminal
Server-Organisationseinheit. Zwei Tage später teilen Ihnen die Benutzer
mit, dass die Performance des Servers »MVSTERM4« inakzeptabel
langsam ist.
Sie stellen fest, dass der Server »MVSTERM4« 70 getrennte Sitzungen
besitzt. Sie benötigen die Einstellung, dass alle fünf Terminalserver
getrennte Sitzungen nach einer Inaktivität von 16 Minuten beenden. Sie
wollen dieses Ziel mit möglichst geringem administrativem Aufwand
erreichen.
Wie gehen Sie vor?
A
{
Sie melden sich auf der Konsole jedes Terminalservers
an und setzten in den RDP-TcpVerbindungseigenschaften die Zeit für die Beendigung
von getrennten Sitzungen auf 15 Minuten.
B
{
Sie ändern die Gruppenrichtlinie so ab, dass das Limit
für getrennte Sitzungen auf 15 Minuten gesetzt ist.
C
{
Sie lassen auf dem Server »MVSTERM1« den tsdisconBefehl laufen, um alle 75 Benutzer vom Server
»MVSTERM4« zu trennen.
D
{
Sie setzen unter Active Directory-Benutzer und Computer die Beendigungszeit von getrennten
Sitzungen aller Domänen auf 15 Minuten.
Richtige Antwort: B
Begründung
Hier muss festgelegt werden, wann getrennte Sitzungen beendet werden.
Diese Einstellung wird über eine Gruppenrichtlinie (bei der Prüfung auch
Gruppenrichtlinienobjekt genannt) geregelt. Durch das Bearbeiten der
Gruppenrichtlinie für die spezifische Organisationseinheit wird dies mit
dem kleinsten administrativen Aufwand realisiert. Dies wird im richtigen
Lösungsvorschlag B wiedergegeben.
- 275 -
Der Lösungsvorschlag A funktioniert zwar auch, jedoch ist es ein
erheblicher Mehraufwand, sich an jedem Terminalserver einzeln
anzumelden und die Einstellungen zu setzen. Außerdem ist es möglich,
dass dann eine eventuelle Gruppenrichtlinie, die das Sitzungslimit
definiert, die lokalen Einstellungen überschreibt.
Der falsche Lösungsvorschlag C beendet alle getrennten Sitzungen, trennt
jedoch auch alle bestehenden. Außerdem wird kein Automatisches
Trennen inaktiver Sitzungen erreicht. Der Lösungsvorschlag D ist
ebenfalls falsch, da sich die Einstellungen nur auf einzelne und nicht auf
alle Benutzer beziehen würden.
Hilfe
• Softwarebereitstellung\Terminaldienste\Terminaldienstkonfiguration\
Konzepte\Verwaltung von Sitzungen\Konfigurieren eines
Sitzungslimits
MS Training
• Seite 783
- 276 -
Frage 5
Netzwerk besteht aus zwei Verzeichnisdiensten: MVSNET.DE und
MVSPRESS.DE. Auf allen Clientcomputern läuft Windows XP Professional.
In beiden Domänen existieren je zwei Domänencontroller mit den
Bezeichnungen »MVSDC101« und »MVSDC102« für die Domäne
MVSNET.DE und »MVSDC201« und »MVSDC202« für die Domäne
MVSPRESS.DE. Die Domäne MVSNET.DE ist eine Windows 2000-Domäne
mit Windows 2000 Domänencontrollern, die Domäne MVSPRESS.DE eine
Windows Server 2003-Domäne.
Daniel Völk soll in beiden Domänen Benutzer anlegen können. Auf seinem
Client sind die administrativen Verwaltungstools von Windows Server
2003 installiert. Nach einiger Zeit meldet sich Daniel Völk bei Ihnen und
berichtet, dass er auf die zwei Domänencontroller in der Domäne
MVSNET.DE nicht mehr zugreifen kann. Auf alle anderen Ressourcen in
den beiden Domänen hat er noch Zugriff.
A
{
Sie verwenden den Registrierungseditor auf Daniels
Computer, um das Signieren und die Verschlüsselung
des LDAP-Verkehrs abzuschalten.
B
{
Sie verwenden den Registrierungseditor auf
»MVSDC101« und »MVSDC102«, um den Wert des
LDAP-Portes auf 380 zu ändern.
C
{
Sie installieren auf den Servern »MVSDC101« und
»MVSDC102« die administrativen Verwaltungstools von
der Windows Server 2003 CD-ROM.
D
{
Sie ändern auf Daniels Computer die
Domänenmitgliedschaft von MVSPRESS.DE auf
MVSNET.DE.
Richtige Antwort: A
Begründung
Die Beantwortung dieser Frage liegt im Detail. Wenn man die
Fragestellung genau analysiert, kommt man auf folgende wichtige
Aspekte: Ressourcen auf den Domänencontrollern der Domänen
MVSNET.DE und MVSPRESS.DE können genutzt werden. Zugriff auf die
Domänencontroller der Domäne MVSNET.DE mit den administrativen
Verwaltungstools von Windows Server 2003 (adminpak.msi) ist nicht
möglich.
Wenn Sie sich jetzt auf die Suche nach richtigen und sinnvollen Lösungen
machen, können Sie zunächst den Lösungsvorschlag D als falsch
- 277 -
ausschließen. Das Ändern der Domänenmitgliedschaft auf Daniels
Computer kann nichts mit der Lösung zu tun haben.
Der Lösungsvorschlag C kann auch verworfen werden, da man die
administrativen Verwaltungstools (adminpak.msi) nicht auf einem
Domänencontroller installiert, sondern auf dem Client. Hier sind sie aber
bereits installiert. Der Lösungsvorschlag B ist auch falsch, da eine
Umbelegung des LDAP-Ports ebenfalls keine Lösung bringt.
Also bleibt nur noch A als richtiger Lösungsvorschlag übrig. Der
Knackpunkt hier ist folgender: Standardmäßig wird unter Windows Server
2003 der LDAP-Verkehr signiert/verschlüsselt. Wenn man jetzt mit dem
Adminpak von Windows Server 2003 einen Windows 2000
Domänencontroller verwalten möchte, besteht die Möglichkeit, auf dem
Client (mit installiertem Adminpak) diese Signierung und Verschlüsselung
per Registrierungseditor abzuschalten.
Hierzu muss der Wert ADsOpenObjectFlags value 0x03 bei folgendem
Registry Key modifiziert werden:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Current
Version\AdminDebug\ADsOpenObjectFlags.
Hilfe
• Kein direkter Verweis
MS Training
- 278 -
Frage 6
Server 2003. Die Applikationen im Unternehmen sind zumeist MSApplikationen. Alle Server, abgesehen von »MVSDC001«, sind
Mitgliedsserver. Das Unternehmen besitzt 2500 Clientcomputer. Auf allen
diesen Computern läuft Windows XP Professional und Microsoft Office
2003.
Auf der Microsoft Windows Update-Webseite sind zwei Updates
erschienen. Das Update Nummer 1 ist ein *.msi-File, das Office 2003
verwendet. Das Update Nummer 2 ist ein wichtiges Sicherheitsupdate für
Windows XP Professional. Sie müssen die passenden Server konfigurieren,
um die Updates einzusetzen.
Was machen Sie?
Richtige Antwort:
- 279 -
Begründung
Microsoft hat ein kostenloses Tool bereitgestellt, um die Verwaltung und
Verteilung von Sicherheitsfixes und kritischen Updates deutlich zu
vereinfachen. Mit diesem Tool können Administratoren alle verfügbaren
Updates auf das SUS-System herunterladen und dann automatisch
bereitstellen, nachdem die Updates getestet und genehmigt sind. SUS
kann weder Service Packs noch benutzerdefinierte Softwarepakete
bereitstellen. Dieser Server ist deshalb für die Verteilung der kritischen
Sicherheitsupdates geeignet.
Der Microsoft Operations Management Server (MOM) ist ein unabhängiges
Produkt von Microsoft, das unter anderem eine zentrale Überwachung der
Funktionsfähigkeit von vielen Servern (z. B. Exchange und SQL)
bereitstellen und im Fehlerfall einen entsprechenden Alarm und die
dazugehörige Reaktion auslösen kann. Es ist jedoch nicht dafür geeignet,
Softwarepakete zu verteilen.
Die Lösung, welcher Server nun für die Verteilung der Office XP Updates
verwendet werden kann, ist in der Paketform zu finden: Dieses Update
wird als *.msi-Paket bereitgestellt. Hier bietet sich als
Verteilungsmechanismus die Anwendung von Gruppenrichtlinien an. Man
könnte durchaus den Domänencontroller selbst als den Speicherort für
diese Pakete verwenden, aber wenn die Möglichkeit angeboten wird,
hierfür einen separaten Server zu verwenden, dann ist das die beste
Variante.
Hilfe
MS Training
• Seiten 20 und 812ff.
- 280 -
Frage 7
Server 2003. Auf dem Mitgliedsserver mit der Bezeichnung »MVSIIS04«
läuft IIS; er enthält alle Inhalte der Firmenwebseiten.
Eine Webseite wurde überarbeitet. Wenn Sie die überarbeitete Seite
anwählen und auf einen Hyperlink klicken, erhalten Sie die folgende
Fehlermeldung:
HTTP Error 404 – File or directory not found. (HTTP-Fehler 404 –
Datei oder Verzeichnis wurde nicht gefunden.)
Sie stellen fest, dass die benötigte Datei auf dem Server »MVSIIS04«
fehlt. Sie müssen herausfinden, ob die gleiche Fehlermeldung auch bei
einer anderen Webserveranfrage ausgegeben wurde.
A
{
C:\windows\system32\intesrv\History und suchen nach
Fehlermeldungen mit der Nummer 404.
B
{
C:\Windows\system32\LogFiles\W3SVC1 und suchen
nach Fehlermeldungen mit der Nummer 404.
C
{
dem Server »MVSISS04«. Anschließend filtern Sie die
Protokolldateien des Systemprotokolls und lassen sich
die Ereignisse mit der Quelle IISLOG und der Ereignis-ID
404 anzeigen.
D
{
dem Server »MVSIIS04«. Anschließend filtern Sie die
Protokolldateien des Anwendungsprotokolls und lassen
sich die Ereignisse mit der Quelle WebClient und der
Ereignis-ID 404 anzeigen.
Richtige Antwort: B
Begründung
Fehlermeldungen dieser Art speichert das System unter
C:\Windows\system32\LogFiles\W3SVC1. Die Fehlermeldung 404 weist
immer auf nicht vorhandene oder fehlende Dateien hin. In unserem Fall
gibt der Lösungsvorschlag B die richtige Vorgehensweise an.
- 281 -
Der Lösungsvorschlag A ist falsch, da die Fehlermeldung nichts mit der
History zu tun hat. Im Ordner C:\windows\system32\intesrv\History (auf
einem deutschen System: Verlaufsordner) werden die vorherigen
Versionen der Metabasisdateien gespeichert. Die Lösungsvorschläge C und
D fallen weg, da in den Protokolldateien der Ereignisanzeige solche Fehler
nicht dokumentiert werden.
Hilfe
• Internetinformationsdienste 6.0 Administratorhandbuch\Handbuch
zur Serververwaltung\Protokollieren von Siteaktivitäten\Aktivieren
der Protokollierung
MS Training
- 282 -
Frage 8
Windows XP Professional. Der Server »MVSSUS02« ist als SUS-Server
konfiguriert und verwendet die Standardeinstellungen. Sie konfigurieren
die Clientcomputer so, dass sie auf die Dienste der Server »MVSSRV01«
und »MVSSRV02« zugreifen.
sicherstellen, dass das Update auf keinem der Server eingesetzt wird.
A

B

C

D

»MVSSUS02« an.
Richtige Antworten: C und D
Begründung
Hier sollen nur geprüfte Sicherheitsupdates angenommen und verteilt
werden. Nur auf den Servern soll das Update nicht eingesetzt werden. In
unserem Fall brauchen Sie den SUS-Server, der zum einen eine
Synchronisation des Inhaltes mit dem Microsoft Windows Update Server
im Internet durchführen (Lösungsvorschlag C) und zum anderen das
Update annehmen muss (Lösungsvorschlag D).
Der Lösungsvorschlag A ist falsch, weil Sie keine Gruppenrichtlinie
abändern müssen, um Sicherheitsupdates verteilen zu können. Eine
Replikation wie im Lösungsvorschlag B beschrieben ist auch nicht nötig.
- 283 -
Hilfe
MS Training
• Seiten 20, 812 und 819
- 284 -
Frage 9
Servern im Netzwerk läuft Windows Server 2003, auf den 200
Workstations Windows XP Professional. Auf dem Server mit der
Bezeichnung »MVSSUS05« ist der Software Update Service (SUS) mit den
Sie stellen fest, dass das kritische Sicherheitsupdate für den Internet
Explorer auf keinem der Clientcomputer installiert ist. Sie wissen, dass das
Update vom Internet auf den Server »MVSSUS05« heruntergeladen wurde
und außerdem, dass das neuste Sicherheitsupdate installiert ist. Sie
müssen überprüfen, was die Ursache für dieses Problem ist. Dafür
verwenden Sie die SUS-Administrator-Webseite auf »MVSSUS05«.
Welche Daten sollten Sie überprüfen?
A
{
Das Sicherheitsupdate im Synchronisationsprotokoll.
B
{
Das Sicherheitsupdate im Aktivierungsprotokoll.
C
{
Den Status des Internet Explorers 5.5x im Fenster des
Servermonitors.
D
{
Den Status des Internet Explorers 6.x im Fenster des
Servermonitors.
Richtige Antwort: B
Begründung
Aus der Fragestellung geht klar hervor, dass die relevanten Updates
bereits auf dem SUS-Server zur Verfügung stehen. Allerdings müssen
Updates erst einmal angenommen werden. Erst nach diesem Schritt
können Clients Updates vom SUS-Server downloaden. In unserem Fall
gibt der Lösungsvorschlag B diesen Schritt wieder.
Der Lösungsvorschlag A stimmt nicht, da das Synchronisationsprotokoll
hier nicht relevant ist. In diesem Log stehen z. B. Informationen über die
Verbindung zum MS Update Server. Der Status oder auch die
Eigenschaften des jeweiligen Internet Explorers (Lösungsvorschläge C und
D) helfen uns hier auch nicht weiter, weil das Problem definitiv auf dem
SUS-Server zu suchen ist.
- 285 -
Hilfe
MS Training
• Seiten 821ff.
- 286 -
Frage 10
Clientcomputerobjekte sind in der Organisationseinheit Client gespeichert.
Die Clientcomputer erhalten kritische Sicherheitsfixes von Microsoft
Servern.
Auf dem Server mit der Bezeichnung »MVSSUS01« läuft der Software
Update Dienst (SUS). Sie berechtigen »MVSSUS01«, Sicherheitsfixes für
die Verteilung auf dem internen Netzwerk zu beschaffen und zu speichern.
Nun müssen Sie dafür sorgen, dass alle Clientcomputer in Zukunft nur
noch Sicherheitsfixes von »MVSSUS01« erhalten. Sie öffnen die
Gruppenrichtlinien der Organisationseinheit Client.
Welche Einstellungen sollten Sie vornehmen?
A
{
ftware Installation.
B
{
tware Installation.
C
{
Installer.
D
{
Installer.
E
{
Update.
F
{
Update.
Richtige Antwort: E
Begründung
Der Knackpunkt bei der Beantwortung der Frage liegt hier in der Kenntnis
der einzelnen Einstellungsmöglichkeiten bei den Gruppenrichtlinien. Aus
der Frage geht zum einen klar hervor, dass die Clients nur von einem
bestimmten Server Updates erhalten sollen. Also können Sie zunächst die
Benutzerkonfiguration außer Acht lassen (Lösungsvorschläge B, D und F).
Der Lösungsvorschlag A kann nicht funktionieren, weil diese Einstellung
etwas mit Softwareverteilung (*.msi) zu tun hat.
- 287 -
Ebenso falsch ist der Lösungsvorschlag C, da der Windows Installer auch
nichts mit dem Software Update via SUS zu tun hat. Diesen braucht man
für die Verteilung von Softwarepaketen (z. B. *.msi-Files).
Zu guter Letzt bleibt nur noch die richtige Antwort E übrig, genau hier hat
man die Möglichkeit, per Gruppenrichtlinie einen spezifischen SUS-Server
anzugeben:
Hilfe
MS Training
• Seite 823
- 288 -
Frage 11
Server 2003. Alle Server sind Mitglieder der Domäne. Auf allen
Workstations im Netz läuft Windows XP Professional. Fünf Webserver
stellen den Inhalt für das interne Netzwerk bereit. Auf allen Server läuft
IIS, und alle haben die Remotedesktopverbindung aktiviert.
Sie müssen dafür sorgen, dass die Webentwickler die
Remotedesktopverbindung nutzen können, damit Webdokumente, die auf
den Clients der Webentwickler liegen, auf die fünf Webserver transportiert
werden können.
Wie gehen Sie vor?
A
{
Webservern und verwenden den TerminalserverKonfigurationsmanager, um die Einstellungen zu
verändern.
B
{
Webservern und verwenden den TerminalserverKonfigurationsmanager, um eine neue Microsoft RDP
5.2-Verbindung herzustellen.
C
{
Lokale Geräte – Laufwerke-Checkbox bei den
Remotedesktopverbindungseigenschaften.
D
{
Einstellung: Benutzern erlauben, eine
Remotedesktopverbindung herzustellen.
Richtige Antwort: C
Begründung
Man kann die Fragestellung umformulieren: „Wie kann man während einer
Remotedesktopsitzung Zugriff auf das lokale Dateisystem erhalten?“ Die
Antwort ist relativ einfach: Aktivieren Sie die Lokale Geräte Laufwerke-Einstellung auf der Registerkarte Lokale Ressourcen unter
den Optionen der Remotedesktopverbindung.
Die Lösungsvorschläge A und B sind falsch, da der Terminalserverdienst
nicht benötigt wird. Außerdem sollte man auf einem IIS-Server niemals
einen Terminalserverdienst installieren. Der ebenfalls falsche
Lösungsvorschlag D bedeutet, dass andere Benutzer sich mit den Clients
der Entwickler remote verbinden könnten, was aber mit der
Problembeschreibung nichts zu tun hat.
- 289 -
Hilfe
• Verwaltungs- und
Skriptingprogramme\Remoteverwaltungsprogramme\Remoteverwaltu
ng mithilfe von Terminaldienste\Remotedesktopverbindung\So wird
es gemacht\Ändern von Verbindungseinstellungen\Verfügbarmachen
von lokalen Laufwerken
MS Training
• Seite 782
- 290 -
Frage 12
Server 2003.
Ihre neue Assistentin Sarah will grundlegende administrative Tasks auf
der Serverkonsole des Servers »MVSSRV01« ausführen. Sarah berichtet
Ihnen, dass sie bei dem Versuch, den Remotedesktop zu verwenden, eine
Fehlermeldung erhält.
Sie müssen dafür sorgen, dass sich Sarah mit Hilfe des Remotedesktops
auf dem Server »MVSSRV01« anmelden kann.
A
{
Sie fügen das Konto von Sarah der Gruppe der
B
{
Sie binden das Konto von Sarah in die lokale Gruppe der
Remotedesktopbenutzer auf dem Server »MVSSRV01«
ein.
C
{
Sie wählen auf dem Reiter Remoteüberwachung von
Sarahs Domänenkonto die Remoteüberwachung
aktivieren-Option aus.
D
{
Sie lassen sich in der Konsole Active DirectoryBenutzer und –Computer die erweiterten Funktionen
anzeigen, fügen den Reiter Sicherheit von Sarahs
Domänenkonto der Remotedesktopbenutzer-Gruppe
hinzu und weisen der Gruppe Vollzugriff zu.
Richtige Antwort: B
Begründung
Der einfachste Weg zum Lösen dieser Aufgabenstellung ist das Hinzufügen
von Sarahs Benutzerkonto zu einer Gruppe, die standardmäßig das Recht
der lokalen Anmeldung hat. In unserem Fall ist dies die Gruppe der
Remotedesktopbenutzer (Lösungsvorschlag B).
- 291 -
Der Lösungsvorschlag A ist hier nicht korrekt, weil das Hinzufügen von
Sarahs Konto zur lokalen Domänengruppe der Remotedesktopbenutzer ihr
das Recht geben würde, sich überall anzumelden. Der Lösungsvorschlag C
hat auch nichts mit der Lösung zu tun, weil diese Option einem
Administrator erlaubt, remote die Session zu kontrollieren. Der unter D
vorgeschlagene Weg würde der Gruppe Remotedesktopbenutzer die
Berechtigung Vollzugriff auf das Kontoobjekt Sarah im Active Directory
verleihen.
Hilfe
• Active Directory\Konzepte\Grundlegendes zu Active
Directory\Grundlegendes zu Gruppen\Standardgruppen
MS Training
• Seiten 240 bis 244
- 292 -
Frage 13
Workstations Windows XP Professional. Das Netzwerk besteht aus zwei
Gesamtstrukturen mit den Bezeichnungen MVSPRESS.DE und MVSNET.DE.
Zwischen den beiden Gesamtstrukturen besteht eine externe
Vertrauensstellung.
Sie erstellen ein zusätzliches Benutzer-UPN-Suffix für MVSPRESS.DE. Das
neue Suffix lautet wie folgt: mx.mvspress.de. David Street, ein Benutzer
von MVSPRESS.DE, berichtet, dass er sich von MVSNET.DE aus nicht auf
mvspress.de anmelden kann.
Die Einstellungen von David Streets Benutzerkonto sind in der Abbildung
dargestellt:
- 293 -
Sie sollen gewährleisten, dass sich David Street auf dieser Domäne von
MVSNET.DE aus anmelden kann.
Welche zwei Möglichkeiten gibt es, dieses Ziel zu erreichen?
A

Sie ändern David Streets Benutzeranmeldenamen, damit
dieser mit seinem prä-Windows 2000
Benutzeranmeldenamen übereinstimmt.
B

Sie deaktivieren die Option Benutzer kann das
Passwort nicht ändern in der Einstellungs-Dialogbox
von David Street.
C

Sie weisen David Street an, sich mit Hilfe seines präWindows 2000 Benutzernamens anzumelden.
D

Sie ändern das UPN-Suffix von David Street in
MVSNET.DE.
E

Sie erstellen ein neues Computerkonto für David Street
in der Domäne MVSNET.DE.
F

Sie löschen David Streets Konto und erstellen es in der
Domäne MVSNET.DE neu.
Richtige Antworten: A und C
Begründung
Ein UPN (User Principal Name) sieht aus wie eine Mailadresse (z. B.
[email protected]). Mit einem UPN besteht die Möglichkeit, sich an
Domänen innerhalb einer Gesamtstruktur oder auch in unterschiedlichen
Gesamtstrukturen anzumelden.
Es gibt zwei Arten von UPN: implizit und explizit. Ein impliziter UPN hat die
Form BenutzerID@DNSDomäne, das heißt, ein impliziter UPN ist immer
mit dem Benutzerkonto verbunden und kann sowohl innerhalb einer
Gesamtstruktur als auch zwischen Gesamtstrukturen, die nur mit einer
externen Vertrauensstellung verbunden sind, verwendet werden.
Ein expliziter UPN hat die Form String@IrgendeinString, wobei String und
IrgendeinString vom Administrator explizit definiert werden bzw. wurden.
Diese Form eines UPN kann nur innerhalb einer Gesamtstruktur oder
zwischen Gesamtstrukturen, die mit einer
Gesamtstrukturvertrauensstellung verbunden sind, verwendet werden. Er
kann nicht verwendet werden, wenn nur externe Vertrauensstellungen
zwischen den Gesamtstrukturen vorhanden sind.
In diesem Fall versucht der Benutzer, sich in einer „fremden“
Gesamtstruktur mit einem expliziten UPN anzumelden. Zwischen den
Domänen MVSNET.DE und MVSPRESS.DE besteht allerdings nur eine
externe Vertrauensstellung. Dies verhindert, dass sich der Benutzer mit
- 294 -
seinem expliziten UPN anmelden kann. Eine Abhilfe schafft, wie im
Lösungsvorschlag C beschrieben, die Anmeldung mit dem prä-Windowskompatiblen Anmeldenamen. Dies erfordert jedoch die Änderung des
Benutzernamens, wie im ebenfalls richtigen Lösungsvorschlag A
beschrieben.
Der Lösungsvorschlag B hat in keiner Weise etwas mit dem Problem zu
tun. Der Lösungsvorschlag D ändert auch nichts, allenfalls müsste die
Domäne MVSPRESS.DE der Gesamtstruktur MVSNET.DE beitreten. Beim
ebenfalls falschen Lösungsvorschlag F wird das Problem nur verlagert,
besteht aber dennoch weiter.
Hilfe
Directory\Grundlegendes zu
Vertrauenstellungen\Gesamtstrukturübergreifendes Routing von
Namensuffixen
MS Training
• Seiten 162ff.
- 295 -
Frage 14
Server 2003.
Ein Benutzer mit dem Namen Andreas ist für die Verwaltung der Gruppen
in der Domäne zuständig. Im Active Directory weisen Sie ihm die
Berechtigungen zum Erstellen, Löschen und Verwalten von Gruppen zu.
Versucht sich Andreas an einem Domänencontroller anzumelden, erhält er
Sie müssen dafür sorgen, dass Andreas schnellstens in der Lage ist,
Gruppen zu verwalten.
A

Sie verändern die Standardsicherheitsrichtlinien aller
Domänen und aktualisieren sie, indem Sie secedit.exe
verwenden.
B

Sie verändern die Standardsicherheitsrichtlinien der
Domäne und aktualisieren sie, indem Sie gpupdate.exe
verwenden.
C

Sie verändern die Standardsicherheitsrichtlinien für die
Organisationseinheit der Domänencontroller und
aktualisieren die Richtlinien, indem Sie secedit.exe
verwenden.
D

Sie installieren die Windows Server 2003Verwaltungstools auf dem Computer von Andreas und
weisen ihn an, dsa.msc von seinem Computer aus zu
starten.
E

Sie geben dsa.msc von einem Computer, auf dem
Windows Server 2003 läuft, aus frei und weisen Andreas
an, auf seinem Computer dsa.msc auszuführen.
Richtige Antworten: B und D
- 296 -
Begründung
Ein Benutzer kann sich in den Regel nicht an einem Domänencontroller
anmelden. Sie müssen sicherstellen, dass der Benutzer dieses Recht
bekommt oder ihn in eine Gruppe aufnehmen, die das Recht hat. Im
Lösungsvorschlag B ist diese Vorgehensweise beschrieben.
Zum Durchführen seiner Aufgaben braucht der Benutzer noch die
administrativen Verwaltungstools (adminpak.msi). Diese werden, wie im
ebenfalls richtigen Lösungsvorschlag D beschrieben, auf dem Rechner des
Benutzers installiert. Das Aufrufen von dsa.msc ist nichts anders als das
Aufrufen des Active Directory-Benutzer und -Computer-Snap-Ins.
Der Lösungsvorschlag A funktioniert nicht mehr. Unter Windows Server
2003 übernimmt diese Funktion das Tool gpupdate. Aus dem gleichen
Grund ist auch der Lösungsvorschlag C falsch. Die Freigabe von dsa.msc
löst auch nicht das Problem des Benutzers, man kann keine einzelne Datei
freigeben, deshalb ist der Lösungsvorschlag E ebenfalls nicht richtig.
Hilfe
• gpupdate
MS Training
• Seite 340
- 297 -
Frage 15
Clientcomputerkonten der Vertriebsabteilung sind in der
Organisationseinheit Vertrieb enthalten.
Eine Mitarbeiterin mit dem Namen Sarah verwendet einen Client mit dem
Namen »MVSCL001«. Ihr Computer ist ein Mitglied der Domäne
MVSNET.DE. Trotzdem teilt Sarah Ihnen mit, dass sie sich an der Domäne
nicht anmelden kann.
Sie stellen sicher, dass ein Computerkonto für den Rechner »MVSCL001«
in der Organisationseinheit existiert, melden sich als lokaler Administrator
am Rechner »MVSCL001« an und überprüfen die Ereignisanzeige. Sie
finden mehrere Einträge mit der Ereignis-ID 3210. Sie müssen dafür
sorgen, dass sich Sarah an der Domäne anmelden kann.
Wie gehen Sie vor?
A
{
Sie verschieben das Konto von »MVSCL001« in die
Organisationseinheit Computer.
B
{
Sie setzten das Passwort des Benutzerkontos von Sarah
zurück.
C
{
Sie setzen das Konto von »MVSCL001« zurück.
D
{
Sie verändern die Eigenschaften des Kontos von
»MVSCL001« so, dass dieser vom Benutzerkonto Sarahs
gesteuert wird.
Richtige Antwort: C
Begründung
Ereignisse mit den Ereignis-IDs 3210 und 5722 werden dann eingetragen,
wenn es Probleme mit der Authentifizierung des Computerkontos gibt.
Eine große Hilfe, um die Bedeutung von Ereignis-IDs herauszubekommen,
ist die Webseite www.eventid.net.
Die Lösung des Problems gestaltet sich wie folgt: Sie müssen das
Computerkonto des Rechners »MVSCL001« wiederherstellen. Sie haben
hier mehrere Möglichkeiten, entweder mit den Kommandos netdom.exe
bzw. nltest.exe oder dsa.msc.
Das Zurücksetzen eines Computerkontos bewirkt, dass die Verbindung
zwischen dem Client und der Domäne aufgehoben wird und der Client
- 298 -
erneut der Domäne beitreten muss. Aus diesen Punkten ergibt sich die
richtige Antwort C.
Der Lösungsvorschlag A kann nicht funktionieren, da ein einfaches
Verschieben kein Konto zurücksetzt. Das Benutzerkonto von Sarah hat
auch nichts mit der Lösung zu tun, es wird das Computerkonto angemahnt
und nicht das Benutzerkonto, deshalb ist der Lösungsvorschlag B falsch.
Der Lösungsvorschlag D steht ebenfalls in keinem Zusammenhang mit der
Lösung des Problems, weil ein Benutzerkonto kein Computerkonto steuern
kann.
Hilfe
• Active Directory\So wird es gemacht\Verwalten von Benutzern,
Gruppen und Computern\Verwaltung von Computern
MS Training
- 299 -
Frage 16
Server 2003.
Bei einigen Domänenbenutzerkonten ist das Kennwort abgelaufen. Sie
sollen herausfinden, bei welchen Benutzerkonten das Kennwort nicht
abgelaufen ist. Anschließend müssen Sie die Kennworteigenschaften so
abändern, dass die Kennwörter der Konten ablaufen können. Sie müssen
dieses Problem mit minimalem administrativem Aufwand lösen. Als erstes
erstellen Sie eine Abfrage, um eine Liste aller Benutzerkonten zu erhalten,
bei denen das Kennwort nicht abgelaufen ist.
A
{
Sie exportieren das Abfrageergebnis in eine *.csv-Datei.
Dann verwenden Sie das csvde-Skript, um die
Kennworteigenschaften aller Konten zu verändern.
B
{
Abfrageergebnisses und ändern gleichzeitig die
Kennworteigenschaften.
C
{
Sie erstellen eine *.csv-Datei und verwenden das
csvde-Skript, um die Kennworteigenschaften aller
Konten zu verändern.
D
{
Abfrageergebnisses und ändern nacheinander die
Kennworteigenschaften der Konten.
Richtige Antwort: B
Begründung
Aus der Fragestellung geht klar hervor, Sie haben bereits die Übersicht
und müssen nur noch die Kennworteigenschaften ändern. Genau das ist
bei Windows Server 2003 neu: Man kann gleichzeitige Änderungen von
Eigenschaften mehrerer Benutzerkonten durchführen. Man muss nur alle
im Abfrageergebnis gefundenen Konten im Snap-In Active DirectoryBenutzer und -Computer markieren, Kontextmenü und
Eigenschaften wählen und gleich die notwendigen Änderungen
vornehmen. Diesen Aspekt gibt der richtige Lösungsvorschlag B wieder.
Die Variante mit dem Export in eine *.csv-Datei und anschließender
Auswertung bzw. Anpassung ist nicht die beste Lösung und produziert nur
unnötigen Aufwand. Deshalb fallen die Lösungsvorschläge A und C weg.
- 300 -
Der Lösungsvorschlag D kann auch verworfen werden, da dieser im
Gegensatz zum richtigen Lösungsvorschlag B steht.
Hilfe
MS Training
• Seite 219f.
- 301 -
Frage 17
Netzwerk besteht aus drei Verzeichnisdiensten in einer Gesamtstruktur, in
der Sie keine administrativen Rechte haben. Auf allen
Domänencontrollern im Netzwerk läuft Windows Server 2003. Das
Zwischenspeichern von universellen Gruppenmitgliedschaften ist aktiviert.
Die Firma MVS M. Völk Systems unterhält insgesamt fünf Büros:
Puchheim, München, Kronach, Dresden und Cottbus. Jedes der Büros ist
als Active Directory-Standort konfiguriert. Jeder Standort verfügt über drei
Domänencontroller, je ein Controller pro Domäne.
Ein neuer Mitarbeiter mit dem Namen Andreas wird im Münchner Büro
eingestellt. Sie erstellen ein neues Benutzerkonto für ihn auf einem
Münchner Controller. Trotzdem berichtet Andreas, dass er sich an seiner
Domäne nicht anmelden kann. Andere Benutzer in München haben mit der
Anmeldung keine Probleme. Sie müssen dafür sorgen, dass sich Andreas
erfolgreich anmelden kann.
Wie gehen Sie vor?
A
{
Sie löschen das Benutzerkonto in München und erstellen
eine neues in Puchheim.
B
{
Sie überprüfen die Verzeichnisreplikation zwischen allen
Domänen in München.
C
{
Sie weisen Andreas an, seinen UPN-Namen zu
verwenden, wenn er sich zum ersten Mal anmeldet.
D
{
Sie stellen die Netzwerkverbindung zwischen den
Domänencontrollern in München und in Puchheim wieder
her.
Richtige Antwort: D
Begründung
Beim Anmelden eines neuen Benutzers in einer Windows Server 2003Domäne kontaktiert der Domänencontroller einen globalen Katalogserver,
um die Informationen über die universellen Gruppenmitgliedschaften des
Benutzers zu bekommen. Hier kann man, da nichts anderes erwähnt ist,
annehmen, dass der globale Katalogserver noch in seiner
Standardkonfiguration vorhanden ist, das heißt, nur ein globaler
Katalogserver ist vorhanden, und dass dieser Server, der als globaler
Katalogserver in der Domäne konfiguriert ist, in Puchheim steht.
Sie könnten ein Netzwerkproblem zwischen den Standorten München und
Puchheim haben. Vermutlich sind die Informationen nicht auf dem
neuesten Stand. Also sollten Sie zuerst die Netzwerkverbindung zwischen
- 302 -
den Standorten München und Puchheim überprüfen und gegebenenfalls
wiederherstellen. Diesen Aspekt gibt der korrekte Lösungsvorschlag D
wieder.
Das Benutzerkonto in München löschen und in Puchheim neu erstellen
führt zu nichts, weil Benutzerkonten überall in der Domäne erstellt werden
können. Deshalb ist der Lösungsvorschlag A falsch.
Eine Überprüfung der Verzeichnisreplikation bringt uns auch nicht weiter,
da die Domänencontroller in Puchheim sich in anderen Domänen befinden
(Lösungsvorschlag B). Der Lösungsvorschlag C kann auch verworfen
werden, da aus der Fragestellung hervorgeht, dass der Benutzer Probleme
hat, sich an seiner Domäne anzumelden.
Hilfe
Directory\Grundlegendes zum Globalen Katalog\Globale Kataloge und
Standorte
MS Training
• Seite 47
- 303 -
Frage 18
allen Domänencontrollern im Netzwerk läuft Windows Server 2003. Der
Mitgliedsserver »MVSDTA01« ist so konfiguriert, dass für Schattenkopien
kein Speicherlimit festgelegt ist.
Volume
Festplatte
Kapazität
Inhalt
Freier
Speicher-platz
in %
System
0
100 GB
Systemdateien
70 %
Anwendung01
1
200 GB
Benutzerdaten,
Schattenkopien
5%
Datenbank
2
100 GB
Datenbanken
30 %
Sicherung
3
200 GB
backup.bkf
90 %
Sie müssen zusätzlichen freien Speicherplatz auf dem Server
»MVSDTA01« freigeben. Sie müssen außerdem seine Performance
verbessern und sicherstellen, dass der in Zukunft verwendete Platz für die
Schattenkopien ausreichend ist.
Welche zwei Schritte nehmen Sie vor?
A

Sie löschen die Schattenkopien von »MVSDTA01«.
B

Sie löschen backup.bkf vom zweiten Datenträger des
Servers »MVSDTA01«.
C

Sie verlegen in den Einstellungen von »MVSDTA01« die
Schattenkopien auf den zweiten Datenträger.
D

Sie löschen den gesamten zweiten Datenträger von
»MVSDTA01« und vergrößern die Partition des ersten
Datenträgers.
Begründung
Die Aufgabenstellung ist relativ einfach: Sie müssen Platz schaffen für die
Schattenkopien, die derzeit auf dem ersten Datenträger liegen. Zuerst
löschen Sie die existierenden Schattenkopien auf dem ersten Datenträger
(Lösungsvorschlag A) und verlegen dann die Schattenkopien auf den
zweiten Datenträger (Lösungsvorschlag C).
Die Datei backup.bkf sollte man nicht löschen, sie wird nicht für die
Sicherung oder Aufbewahrung von Schattenkopien verwendet
(Lösungsvorschlag B). In einer *.bkf-Datei können Daten von manuellen
Sicherungen liegen oder Daten für die Automatische
- 304 -
Systemwiederherstellung (ASR). Lösungsvorschlag D ist nicht praktikabel,
da nicht sichergestellt ist, dass keine anderen wichtigen Daten auf dem
zweiten Datenträger liegen.
Hilfe
• Datenträger und Daten\Sichern und Wiederherstellen von
Daten\Schattenkopien auf gemeinsam genutzten
Ordnern\Empfehlungen
MS Training
• Seiten 962ff.
- 305 -
Frage 19
Sie erstellen auf dem Mitgliedsserver mit der Bezeichnung »MVSSRV03«
einen freigegebenen Ordner mit dem Namen Dokumente. Hier sollen
Projektdokumente gespeichert werden. Sie müssen gewährleisten, dass
Benutzer auf die vorherigen Versionen der Dokumente im Ordner
Dokumente zugreifen können.
Wie gehen Sie vor?
A
{
Sie verändern die Offlineeinstellungsoptionen für den
Ordner Dokumente, um alle Dokumente offline verfügbar
zu machen.
B
{
Sie konfigurieren Schattenkopien, die das Volumen von
Dokumente haben.
C
{
Sie erstellen mit Hilfe des Assistenten für geplante Tasks
eine Task, die das copy-Kommando verwendet und
jeden Tag die geänderten Dokumente in einen anderen
Ordner speichert.
D
{
Sie verwenden ntbackup, um jede Stunde eine
Sicherung von allen geänderten Dokumenten
durchzuführen.
Richtige Antwort : B
Begründung
Das geforderte Ziel der Aufgabenstellung kann nur durch die Verwendung
von Schattenkopien gelöst werden. Dies wird im einzig richtigen
Lösungsvorschlag B realisiert.
Hilfe
Ordnern\Konzepte\Bereitstellung von Schattenkopien auf gemeinsam
genutzten Ordnern
MS Training
• Seite 962
- 306 -
Frage 20
allen Servern im Netzwerk läuft Windows Server 2003. Die Bürozeiten sind
Montag bis Freitag von 9:00 Uhr bis 17:00 Uhr. Benutzer können die
Netzwerkserver außerhalb der Bürozeiten nicht erreichen. Das Netzwerk
beinhaltet einen Mitgliedsserver mit der Bezeichnung »MVSSRV01«.
Auf dem Laufwerk F:\ dieses Servers sind Ordner für die Benutzer der
Firma freigegeben. Zurzeit umfasst das Laufwerk F:\ 10 GB Daten, seine
Gesamtkapazität ist 80 GB. Sie müssen sicherstellen, dass die
Schattenkopien der Dateien auf F:\ jeden Tag erstellt werden. Maximal
dürfen die Daten von vier Stunden verloren gehen. Benutzer müssen in
der Lage sein, auf alle vorherigen Versionen der Dateien, die in den letzen
30 Tagen erstellt wurden, zugreifen zu können.
Wann soll die Speicherung der Schattenkopien stattfinden?
A
{
Nur um 5:00 Uhr.
B
{
C
{
D
{
Um 5:00 Uhr, 13:00 Uhr und um 17:00 Uhr.
Richtige Antwort: C
Begründung
Die Zeiten, in denen die Daten bearbeitet werden, liegen zwischen 09:00
Uhr und 17:00 Uhr. Maximal dürfen die Daten von vier Stunden verloren
gehen. Wenn man diese Zeiten mit den vorgeschlagenen Lösungen
vergleicht, ist es relativ einfach, die richtige Lösung herauszufinden.
Die Lösungsvorschläge A und B würde uns einen Verlust von acht Stunden
bringen, sind also falsch. Der Lösungsvorschlag D sichert die Daten um
5:00 Uhr morgens. Dieselben unveränderten Daten wurden jedoch schon
um 17:00 Uhr gesichert, daher hätte man den doppelten
Sicherungsaufwand. Außerdem wird durch die Sicherung um 13:00 Uhr
nicht gewährleistet, dass um 9:00 Uhr verloren gegangene Daten
wiederhergestellt werden können.
Also bleibt nur noch die richtige Antwort C übrig.
- 307 -
Hilfe
Ordnern\Empfehlungen
MS Training
• Seiten 962ff.
- 308 -
Frage 21
Bezeichnung MVSNET.DE. Auf dem Mitgliedsserver »MVSSRV01« läuft
Windows Server 2003. Sie müssen das Sicherungsprogramm
konfigurieren, um alle Daten auf dem Server »MVSSRV01« dreimal täglich
zu sichern. Dateien, die gerade von einer Applikation geöffnet sind, dürfen
nicht gesichert werden.
A
{
Sie konfigurieren einen Sicherungsauftrag, indem Sie
eine Differenzsicherung oder eine inkrementelle
Sicherung verwenden.
B
{
Sie deaktivieren die Verwendung von
Volumeschattenkopien.
C
{
Sie schließen einzelne Dateien aus dem
Sicherungsvorgang aus.
D
{
Sie konfigurieren die Wiederherstellungsoptionen, um
geöffnete Dateien bei der Wiederherstellung nicht zu
überschreiben.
Richtige Antwort: B
Begründung
Wenn Schattenkopien aktiviert sind, besteht keine Chance, das Ziel der
Aufgabenstellung zu erreichen. Sie müssen auf alle Fälle die Erstellung
von Schattenkopien deaktivieren (Lösungsvorschlag B). Bei aktivierten
Schattenkopien werden geöffnete Dateien quasi zum Zeitpunkt der
Sicherung eingefroren.
Der Lösungsvorschlag A kann nicht funktionieren, da bei einer anderen
Sicherungsart (Differenz oder inkrementell) geöffnete Dateien gesichert
würden. Einzelne Dateien ausschließen funktioniert auch nicht, da man
zum Zeitpunk des Sicherungsauftrages nicht weiß, welche Dateien in
Bearbeitung sind (Lösungsvorschlag C). Der Lösungsvorschlag D fällt
heraus, weil man über diesen Menüpunkt auf die Sicherung keinen
Einfluss nehmen kann.
- 309 -
Hilfe
Daten\Sichern und Wiederherstellen von
Daten\Konzepte\Grundlegendes zur Sicherung\Übersicht über
Volumesschattenkopie
Daten\Sichern und Wiederherstellen von Daten\So wird es
gemacht\Festlegen der Optionen\Festlegen weitergehender
Sicherheitsoptionen
MS Training
• Seiten 958ff.
- 310 -
Frage 22
2003. Der Mitgliedsserver mit der Bezeichnung »MVSSRV23« hat ein
lokales Bandlaufwerk.
Sie müssen alle Daten von »MVSSRV23« mindestens einmal wöchentlich
sichern. Täglich müssen Sie alle Daten sichern, die nach der letzen
Sicherung geändert wurden. Sie sollen die Menge der Daten, die täglich
gesichert werden, reduzieren.
A

B

normale Sicherung.
C

Sie führen einmal am Tag eine normale Sicherung durch.
D

Sie führen einmal am Tag eine inkrementelle Sicherung
durch.
Begründung
Die Anforderungen der Fragestellung erfüllen die Lösungsvorschläge B und
D. Die anderen Lösungsvorschläge widersprechen dem. Die Aufgabe
erfordert eine Sicherung täglich und zwar mit einem Minimum an
gesichertem Datenvolumen. Dieses Ziel kann über zwei Wege erreicht
werden: entweder eine wöchentliche normale Sicherung mit täglicher
inkrementeller Sicherung oder nur tägliche Sicherungen. Die erste Option
(normale plus inkrementelle) ermöglicht eine komplette Wiederherstellung
der gesicherten Ordner inklusiv Dateien, die seit der Anwendung der
Sicherungsverfahren nicht geändert wurden. Die zweite Option (tägliche
Sicherung) sichert nur Dateien, die sich im Tagesverlauf geändert haben,
basierend auf dem Änderungsdatum der Datei.
Hilfe
gemacht\Festlegen der Optionen\Festlegen des Sicherungstyps
MS Training
• Seiten 936ff.
- 311 -
Frage 23
2003, auf allen Domänencontrollern ist die Wiederherstellungskonsole
installiert. Die Festplattenkonfigurationen für die einzelnen
Domänencontroller sind in der folgenden Tabelle abgebildet:
Volumen
Laufwerk
Inhalte
System
C:\
Systemdateien, SYSVOL, eigenständige
Zertifizierungsstelle
AD
D:\
ntds.dit
Daten
E:\
Active Directory-Logdateien. LogdateienZertifizierungsstelle, Benutzerprofile und BenutzerHomelaufwerke
Das Volumen System ist sowohl mit der System- also auch mit der BootPartition konfiguriert. Jeden Freitag um 18:00 Uhr lassen Sie die
Automatische Systemwiederherstellung (ASR) in Verbindung mit den
verschiebbaren Speichermedien laufen.
Immer um Mitternacht verwenden Sie eine Drittanbieter-Software, um
eine vollständige Sicherung aller Benutzerprofile und Benutzerdaten auf
Sicherungsbändern durchzuführen. An einem Freitag um 20:00 Uhr
berichtet ein Administrator, dass die Zertifikatsdatenbank auf dem
Domänencontroller mit der Bezeichnung »MVSDC003« beschädigt ist. Sie
müssen die Daten so schnell wie möglich wiederherstellen.
Welche zwei Aktionen müssen Sie durchführen?
A

Sie starten »MVSDC003« neu und wählen die Option
Verzeichniswiederherstellung aus.
B

Installations-CD verwenden.
C

des Active Directory durch.
D

Sie führen eine autorisierende Wiederherstellung des
Active Directory durch.
E

Sie verwenden die ASR-Diskette, um den Inhalt der
ASR-Sicherungsdatei wiederherzustellen.
- 312 -
Begründung
Um dieser Frage richtig zu beantworten, ist es wichtig zu wissen, was für
eine Zertifizierungsstelle vorhanden ist. Man muss zwischen einer
eigenständigen Zertifizierungsstelle und einer
Unternehmenszertifizierungsstelle differenzieren. Eine eigenständige
Zertifizierungsstelle speichert die Zertifikatsdatenbank in dem Verzeichnis
Systemroot\system32\certlog und wird am einfachsten über eine
Sicherung der Systemstatusdaten gesichert. Da von dieser
Vorgehensweise in den möglichen Lösungsvorschlägen nicht die Rede ist,
muss man davon ausgehen, dass es sich hier um eine
Unternehmenszertifizierungsstelle handelt. Diese Art von
Zertifizierungsstelle veröffentlicht ihre Zertifikate und Zertifikatssperrlisten
im Active Directory.
Um die Datenbank der Zertifizierungsstelle wiederherstellen zu können,
muss der Domänencontroller, auf dem diese liegt, im Modus der
Verzeichniswiederherstellung gestartet werden (Lösungsvorschlag A).
Als nächsten Schritt müssen Sie eine nicht autorisierende
Wiederherstellung des Active Directory durchführen (Lösungsvorschlag C).
Eine autorisierende Wiederherstellung des Active Directory müssen Sie
hier nicht durchführen, da die Active Directory-Daten durch die normale
Replikation zwischen den Domänencontrollern wiederhergestellt werden.
Deshalb ist der Lösungsvorschlag D falsch. Der Server selbst ist noch
funktionsfähig, deshalb entfällt auch die Wiederherstellung unter
Zuhilfenahme der ASR-Diskette (Lösungsvorschlag E). Der
Lösungsvorschlag B ist falsch, weil Sie eine Wiederherstellung einleiten
müssen und keine Aktualisierung des Betriebssystems oder gar eine
Neuinstallation.
Hilfe
• Sicherheit\Infrastruktur öffentliche
Schlüssel\Zertifikatsdienste\Konzepte\Grundlegendes zu
Zertifikatsdienste\Zertifizierungsdatenbank
MS Training
• Seiten 907, 1111 und 1244
- 313 -
Frage 24
Das Netzwerk beinhaltet einen Mitgliedsserver mit der Bezeichnung
»MVSSRV04«. Sie müssen einen freigegebenen Ordner auf diesem Server
erstellen, in dem Projektdokumente gespeichert werden können und dabei
folgende Vorgaben beachten:
• Die Benutzer müssen in der Lage sein, auf eine frühere Version der
Dokumente im freigegebenen Ordner zuzugreifen.
• Kopien der Dokumente müssen während der Bürozeiten jede Stunde
bereit gehalten werden.
• Eine History der letzten zehn Versionen muss für jedes Dokument
vorhanden sein.
• Dokumente, die nicht in dem freigegebenen Ordner enthalten sind,
dürfen nicht gesichert werden.
A

Sie erstellen einen freigegebenen Ordner in der Root der
Systempartition des Servers »MVSSRV04«.
B

Sie erstellen eine neue Partition auf dem Server
»MVSSRV04« und den freigegebenen Ordner in der
neuen Partition.
C

freigegebenen Ordner offline verfügbar zu machen.
D

freigegebenen Ordner automatisch offline verfügbar zu
machen.
E

Sie verwenden die Datenträgerverwaltung, um
Schattenkopien von der Partition, die den freigegebenen
Ordner enthält, zu konfigurieren.
Begründung
Um auf frühere Versionen von gespeicherten Dokumenten zugreifen zu
können, müssen Sie Schattenkopien aktivieren (Lösungsvorschlag E). Um
diesen Schritt durchführen zu können, brauchen Sie noch eine Freigabe
auf dem Server (Lösungsvorschlag B).
- 314 -
Die Systempartition sollte nicht für die Ablage von Daten verwendet
werden, alleine schon aus diesem Grund entfällt der Lösungsvorschlag A.
Die Lösungsvorschläge C und D sind falsch, da Sie Schattenkopien
brauchen und keine Bereitstellung von Offlinedateien.
Hilfe
Ordnern\Konzepte\Bereitstellen von Schattenkopien auf gemeinsam
genutzten Ordnern
MS Training
• Seiten 962ff.
- 315 -
Frage 25
allen Servern im Netzwerk läuft Windows Server 2003, und sie wurden so
konfiguriert, dass auf allen eine normale Sicherung läuft. Auf einem
Datenbankserver mit dem Namen »MVSSQL01« läuft Microsoft SQL Server
7.0.
Sie entdecken, dass einige Datenbankdateien von »MVSSQL01« während
der automatisierten Sicherung nicht gesichert wurden. Sie müssen die
Einstellungen der automatisierten Sicherungen so verändern, dass
sichergestellt ist, dass alle Datenbankdateien gesichert werden, auch
wenn diese gerade von Benutzern verwendet werden.
A
{
Sie aktivieren Schattenkopien.
B
{
Sie aktivieren den Schalter /V beim
Sicherungskommando.
C
{
Sie konfigurieren eine wöchentliche Sicherung.
D
{
Sie konfigurieren eine tägliche Sicherung.
Richtige Antwort: A
Begründung
Aus der Fragestellung geht hervor, dass keine Schattenkopien erstellt
werden, also diese Funktion deaktiviert ist. Sie können das Ziel am
einfachsten erreichen, wenn Sie Schattenkopien aktivieren. Dadurch
werden auch geöffnete Dateien mitgesichert (Lösungsvorschlag A).
Den Schalter /V hinzuzufügen bringt nichts, weil hier nur eine nochmalige
Überprüfung der durchgeführten Sicherung stattfindet. Eine andere
Sicherungsstrategie, wie in den falschen Lösungsvorschlägen C und D
vorgeschlagen, hilft uns hier nicht weiter.
Hilfe
Daten\Konzepte\Grundlegendes zu Sicherung\Übersicht über
Volumensschattenkopie
MS Training
• Seite 962
- 316 -
Frage 26
aus einem einzigen Verzeichnisdienst mit der Bezeichnung MERK.DE. Die
Firma MVS M. Völk Systems hat vor kurzem die Firma Merk erworben. Das
Netzwerk der Firma MVS M. Völk Systems besteht aus einer
Gesamtstruktur und zwei Verzeichnisdiensten mit den Bezeichnungen
MVSNET.DE und KC.MVSNET.DE.
Die Domäne MERK.DE hat zur Domäne MVSNET.DE eine ISDN-Verbindung
über die IP-Adresse 192.168.1.1 und eine T1-Standleitung zur Domäne
KC.MVSNET.DE über die IP-Adresse 192.168.0.12. Je Domäne existieren
zwei Domänencontroller. Diese übernehmen auch die Funktion des DNSServers in den jeweiligen Domänen. Der DNS-Server von MERK.DE soll
Namesauflösungsanfragen an die Domäne MVSNET.DE weiterleiten, wenn
er die Anfragen nicht selbst durchführen kann.
Wie müssen Sie die DNS-Forward-IP-Adresse auf dem DNS-Server von
MERK.DE konfigurieren?
A
{
Sie müssen keine Aktion ausführen, da sich alle DNSServer automatisch gegenseitig befragen.
B
{
Subnetz 192.168.1.*.
C
{
Subnetz 192.168.0.*.
D
{
Sie verwenden als IP-Adressen der DNS-Server
192.168.1.1 und 192.168.0.12.
Richtige Antwort: B
Begründung
Die Lösungsmöglichkeit A ist absolut falsch. Da nicht klar ist, wie die
Domänen MVSNET.DE und KC.MVSNET.DE verbunden sind, muss man,
wie in Lösungsvorschlag B, direkt die IP-Adressen der DNS-Server aus
dem Subnetz von MVSNET.DE (192.168.1.*) eintragen. Die anderen
Lösungsvorschläge können verworfen werden, weil hier die falschen IPAdressen angegeben sind.
Wenn man nun wüsste, dass die beiden Domänen MVSNET.DE und
KC.MVSNET.DE ebenfalls mit einer T1-Standleitung miteinander
verbunden sind, würde man die DNS-Server der Domäne KC.MVSNET.DE
eintragen, und die wiederum auf MVSNET.DE verweisen. Somit hat man
die größtmögliche Geschwindigkeit bei den Abfragen.
- 317 -
Hilfe
• Netzwerkdienste\Verwaltung der
Hauptnetzwerkdienste\DNS\Konzepte\Grundlegendes zu
DNS\Grundlegendes zu Weiterleitung
MS Training
• Seite 540
- 318 -
Frage 27
Bezeichnung MVSNET.DE. Zurzeit ist ein Windows Server 2003 Server mit
der Bezeichnung »MVSDC001« der einzige Domänencontroller für
MVSNET.DE.
»MVSDC001« ist außerdem der DNS-Server für die Active Directoryintegrierte Zone mit der Bezeichnung MVSNET.DE. Sie konfigurieren einen
neuen Windows Server 2003 Server mit der Bezeichnung »MVSDC002«
und starten ihn neu. Sie müssen dafür sorgen, dass der SRV-Eintrag auf
»MVSDC001« vollständig ist.
Wie gehen Sie vor?
A
{
B
{
C
{
D
{
Richtige Antwort: B
Begründung
Der Dienst netlogon auf einem Domänencontroller ist neben der
Bereitstellung von Anmelderessourcen auch dafür zuständig, DNSRessourceneinträge zu aktualisieren. Standardmäßig wird dies alle 24
Stunden durchgeführt. Um eine manuelle Registrierung bzw.
Aktualisierung zu erreichen, kann man den Dienst netlogon manuell neu
starten. Da es anscheinend Probleme mit dem zusätzlichen Server gibt,
muss dieser auch den Restart über sich ergehen lassen, deshalb ist der
Lösungsvorschlag B richtig.
Der Lösungsvorschlag A fällt weg, da der Server ja anscheinend richtig
eingetragen ist. Die Option registerdns beim Kommando ipconfig dient
dem Refresh von Clients beim DNS-Server und aktualisiert hierbei primär
A- und PTR-Einträge (C und D).
- 319 -
Hilfe
• Netzwerkdienste\Verwaltung der Hauptnetzwerkdienste\DNS
\Konzepte\Grundlegendes zu DNS\DNS-Zonenreplikation in Active
Directory
• Ressourceneinträge Anmeldedienst.
• Hilfethema Nr. 8 Problembehandlung bei der DNS-Konfiguration
MS Training
• Seite 589
- 320 -
Frage 28
Netzwerk besteht aus einer einzigen Gesamtstruktur mit drei Domänen
mit den Bezeichnungen MVSNET.DE, KC.MVSNET.DE und CB.MVSNET.DE.
Die Firma MVS M. Völk Systems unterhält Büros in mehreren Städten. Alle
Domänencontroller sind als DNS-Server und die Zonenreplikation für jede
DNS-Zone so konfiguriert, dass sie zwischen den einzelnen
Domänencontrollern der Domänen stattfindet. Die Konfiguration der
Domänencontroller zeigt folgende Tabelle:
Domänencontroller
Standort
Zone
»MVSDC001«
Puchheim
MVSNET.DE
»MVSDC002«
Puchheim
MVSNET.DE
»MVSDC003«
Cottbus
CB.MVSNET.DE
»MVSDC004«
Dresden
CB.MVSNET.DE
»MVSDC005«
Hoyerswerda
CB.MVSNET.DE
»MVSDC006«
Kronach
KC.MVSNET.DE
»MVSDC007«
Kronach
KC.MVSNET.DE
Sie müssen sicherstellen, dass bei DNS-Abfragen, die an den Server
»MVSDC001« gerichtet werden, die Zoneneinträge der anderen
Domänencontroller und DNS-Server schnellstmöglich zur Verfügung
stehen. Außerdem wollen Sie neue Domänencontroller, die in der Zone
CB.MVSNET.DE hinzugefügt werden, automatisch in die Suchliste auf dem
Domänencontroller »MVSDC001« mit aufnehmen.
Wie gehen Sie vor?
A
{
Sie erstellen auf »MVSDC001« eine Stubzone für
CB.MVSNET.DE.
B
{
Sie erstellen auf »MVSDC001« eine sekundäre Zone für
CB.MVSNET.DE.
C
{
Sie konfigurieren auf »MVSDC005« CB.MVSNET.DE so,
dass diese Zone auf alle anderen DNS-Server in der
Gesamtstruktur repliziert wird.
D
{
Sie konfigurieren CB.MVSNET.DE auf »MVSDC001« so,
dass diese Zone auf alle anderen DNS-Server der
Domäne repliziert wird.
Richtige Antwort: A
- 321 -
Begründung
Die gestellte Anforderung erfüllt am Besten eine wesentliche Neuerung
beim DNS-Server für Windows 2003, die Stubzone. Eine Stubzone ist ein
Extrakt einer anderen Zone und enthält nur die SOA- und
Namensservereinträge. Eine Stubzone hat Ähnlichkeiten mit einer
Delegation, indem sie den Weg zur Namensauflösung in eine
untergeordnete Domäne zeigt. Im Gegensatz zu einer Delegation wird
eine Stubzone automatisch ergänzt, wenn zusätzliche Namensserver in
den untergeordneten Domänen installiert werden. In unserem Fall bewirkt
das Erstellen einer Stubzone auf dem Domänencontroller »MVSDC001«,
dass der DNS-Server nach Erhalt einer DNS-Abfrage (entweder rekursiv
oder iterativ) dieser Anfrage selber weiterleitet, oder er sendet dem DNSClient einen Verweis auf die darin enthaltenen Namensserver in
untergeordneten Domänen.
Eine sekundäre Zone für CB.MVSNET.DE zu erstellen, wie im
Lösungsvorschlag B beschrieben, würde auch funktionieren, aber
verursacht mehr Datenverkehr, da die komplette Zone zuerst übertragen
werden muss und dann anschließend ständig aktualisiert wird. Der
Lösungsvorschlag C würde zwar funktionieren, setzt aber voraus, dass alle
DNS-Server einen Zoneneintrag für CB.MVSNET.DE besitzen. Aber warum
sollte man eine Kopie der Zone CB.MVSNET.DE in der Domäne
MVSNET.DE erstellen und dann diese Kopie als Master für der Rest der
Gesamtstruktur verwenden? Gleiches gilt für den Lösungsvorschlag D.
Hilfe
DNS\Grundlegendes zu Stubzonen
MS Training
- 322 -
Frage 29
Netzwerk besteht aus einem Verzeichnisdienst mit dem Namen
MVSNET.DE und beinhaltet Windows Server 2003 und Windows XP
MVS M. Völk Systems hat eine Tochtergesellschaft erworben. Sie erhalten
eine Textdatei (*.csv) mit den Namen aller Mitarbeiter und den
dazugehörenden Benutzerkonten. Sie müssen diese neuen Benutzer in
Ihre Domäne importieren.
Welches Kommando sollten Sie benutzen?
A
{
Sie verwenden das Kommando ldifde.
B
{
Sie verwenden das Kommando csvde.
C
{
Sie verwenden das Kommando ntdsutil mit
autorisierender Wiederherstellungsoption.
D
{
Sie verwenden das Kommando dsadd user.
Richtige Antwort: B
Begründung
Die Lösung hier ist relativ einfach, da mit Hilfe des Kommandos csvde
solche Tätigkeiten durchgeführt werden können. In der Realität würde ein
Administrator das jedoch eher mit einem VB-Skript realisieren.
Nachfolgend eine Auflistung der genannten Kommandos und deren
Einsatz.
ldifde
Erstellt, ändert und löscht Verzeichnisobjekte auf Computern, auf denen
ein Betriebssystem der Windows Server 2003-Produktfamilie oder
Windows XP Professional ausgeführt wird.
csvde
Importiert und exportiert Daten in bzw. von Active Directory mithilfe von
Dateien, in denen die Daten durch Trennzeichen getrennt (*.csv)
gespeichert sind. Basierend auf dem csv-Dateiformat können Sie auch
Stabelverarbeitungsoperationen unterstützen.
ntdsutil
Ist ein Befehlszeilenprogramm zum Verwalten von Active Directory.
Verwenden Sie ntdsutil zum Verwalten der Active Directory-Datenbank,
zum Verwalten und Steuern von Einzelmasterbetriebsfunktionen, zum
Löschen von Metadaten auf Domänencontrollern, die ohne
- 323 -
ordnungsgemäße Deinstallation aus dem Netzwerk entfernt wurden, sowie
zum Erstellen von Anwendungsverzeichnispartitionen.
dsadd user
Fügt einen einzelnen Benutzer zum Verzeichnis hinzu.
Hilfe
• Active Directory\Konzepte\Verwalten von Active Directory\Verwalten
von Active Directory über die Befehlszeile
MS Training
• Seite 252
- 324 -
Frage 30
Server 2003, auf den Workstations Windows XP Professional. Auf dem
Mitgliedsserver »MVSSRV01« läuft der XML-Webdienst für das interne
Netzwerk. Dieser Dienst ist mit den Standardeinstellungen konfiguriert.
Sie sind ein Mitglied der lokalen Administratorengruppe von »MVSSRV01«
und benötigen die Fähigkeit, »MVSSRV01« remote zu verwalten. Sie
haben bis zum nächsten Geschäftsjahr kein Budget, um zusätzliche
Lizenzen für das Netzwerk zu kaufen.
Wie müssen Sie »MVSSRV01« konfigurieren?
A
{
Sie aktivieren den Remotedesktop in der Dialogbox der
B
{
Sie fügen Ihr Benutzerkonto zu der lokalen Gruppe der
C
{
Sie aktivieren die Remoteunterstützung in den
D
{
Sie installieren den Terminalserverdienst, indem Sie
Hinzufügen oder Entfernen von Programmen
verwenden.
Richtige Antwort: A
Begründung
Der einfachste Weg, um diesen Engpass zu meistern, ist das Aktivieren
des Remotedesktops (Lösungsvorschlag A). Administratoren verfügen
grundsätzlich über diese Möglichkeit. Damit entfällt der Lösungsvorschlag
B.
Der Lösungsvorschlag C hat nichts mit der Lösung zu tun. D ist ebenfalls
nicht korrekt, da auch ohne installierten Terminalserverdienst ein
Remotedesktopzugriff erfolgen kann.
- 325 -
Hilfe
Skriptingprogramme\Remoteverwaltung\Remoteverwaltung mithilfe
von Terminaldienste\Remotedesktop für
Verwaltung\Konzepte\Verwendung von Remotedesktop für
Verwaltung für die Remoteserververwaltung
MS Training
• Seite 760
- 326 -
Frage 31
Server 2003. Die Domäne enthält einen Mitgliedsserver mit der
Bezeichnung »MVSSRV01«, der Mitglied der Organisationseinheit Server
ist.
»MVSSRV01« wird von einem Applikationsadministrator mit dem Namen
Andreas verwaltet. Dessen Domänenkonto ist Mitglied der Lokalen
Administratoren auf dem Server. Nur Benutzer, die das Recht haben, sich
lokal auf diesem Server anzumelden, sind Mitglieder dieser Gruppe. Die
vorgegebenen Sicherheitsrichtlinien der Firma schreiben vor, dass sich nur
einzelne, autorisierte Personen auf »MVSSRV01« anmelden können.
Sie entdecken, dass die Helpdesktechniker die
Remotedesktopverbindungsfreigabe benutzen, um ihre
Serveranmeldesitzungen mit nicht autorisierten Personen zu teilen. Sie
müssen »MVSSRV01« nun so konfigurieren, dass die
Remotedesktopverbindungsfreigabevon den Helpdeskmitarbeitern nicht
aktiviert oder verwendet werden kann. Trotzdem soll Andreas die
Möglichkeit haben, diese Features zu verwenden und zu aktivieren.
A
{
Sie deaktivieren in der Dialogbox der
Systemeigenschaften die Option Benutzern erlauben,
eine Remotedesktopverbindung herzustellen und
aktivieren die Option Ermöglicht das Senden von
Remoteunterstützungsangeboten.
B
{
Sie schalten in der Dialogbox der Systemeigenschaften
die Benutzern erlauben, eine
Remotedesktopverbindung herzustellen-Option aus.
C
{
Ermöglicht das Senden von
Remoteunterstützungsangeboten ausschalten.
D
{
Um Remoteunterstützung bitten ausschalten.
Richtige Antwort: A
- 327 -
Begründung
Remotedesktopverbindungen sind ein grundsätzlicher Bestandteil von auf
Windows Server 2003 basierenden Netzwerken und ebenfalls
standardmäßig in Windows XP enthalten. Wenn man das Ziel der
Aufgabenstellung erreichen möchte, muss man so vorgehen, wie im
Lösungsvorschlag A beschrieben.
Wenn Sie den Lösungsvorschlag B verwenden, dann können sich gar keine
Benutzer mehr zum Server verbinden, auch nicht Andreas. Eine
Modifizierung von Gruppenrichtlinien, wie in den Lösungsvorschlägen C
und D beschrieben, ist hier nicht notwendig.
Hilfe
• Verwaltungs- und SkriptingProgramme\Remoteverwaltungsprogramme\Verwaltung der
Remoteunterstützung
MS Training
• Seiten 766ff.
- 328 -
Frage 32
allen Servern im Netzwerk läuft Windows Server 2003. Sie installieren den
Software Update Dienst (SUS) auf einem Server. Sie nehmen folgende
Einstellungen vor:
• Für den Internetzugriff keinen Proxyserver verwenden.
• Direkt vom Microsoft Windows Update Server aus synchronisieren.
• Automatisches Genehmigen von neuen Versionen der kürzlich
genehmigten Updates.
• Sichern der Updates in lokalen Ordnern.
Sie führen eine manuelle Synchronisation durch. Nun müssen Sie die
kritischen Informationen sichern, die im Zusammenhang mit Ihrer
Installation des SUS stehen.
Wie gehen Sie vor?
A
{
Sie verwenden als erstes die Sicherungsutilities, um die
Systemstatusdaten zu sichern und anschließend das IISAdministrations-Tool, um die Standardwebseiten zu
sichern.
B
{
die Standardwebseiten und die IIS-Metabasis zu sichern,
und dann die Sicherungsutilities, um die Daten zu
sichern.
C
{
die IIS-Metabasis zu sichern, und dann die
Sicherungsutilities, um die IIS-Metabasisdateien zu
sichern.
D
{
die IIS-Metabasisdateien und die Standardwebseiten zu
sichern, und anschließend das IIS-Administrations-Tool,
um die IIS-Metabasis zu sichern.
Richtige Antwort: B
Begründung
Um einen SUS-Server zu sichern, muss man als erstes die ISS-Metabasis
sichern. Die bei der Sicherung erzeugte Metabasisdatei, die SUSStandardwebseite und das lokale SUS-Laufwerk, das alle Dateien der
Webseite beinhaltet, muss man mit ntbackup.exe sichern.
Sie müssen die Webseite, das SUS-Verzeichnis und die IIS-Metabasis
sichern. Alleine schon aus dieser Forderung heraus fällt der
- 329 -
Lösungsvorschlag A weg, weil hier immer von der Sicherung der
Systemstatusdaten die Rede ist. Der Lösungsvorschlag B beinhaltet nur
den Hinweis auf die Sicherung der Webseite und den Verweis auf das
anschließende Sichern des Systems. Die Lösungsvorschläge C und D fallen
weg, weil hier kein Verweis auf die Sicherung der Daten des Servers zu
finden ist.
Hilfe
MS Training
• Seite 828
- 330 -
Frage 33
Netzwerk besteht aus einer Hauptstelle und fünf Filialen. An allen
Standorten sind Netzwerkserver installiert. Auf allen Servern des
Netzwerkes läuft Windows Server 2003. Das technische Supportpersonal
ist in der Hauptstelle untergebracht. Die Benutzer der Filialen haben nicht
das Recht, sich lokal auf den Servern der eigenen Filiale anzumelden. Die
Server der Filialen sammeln Überwachungsinformationen.
Sie benötigen die Möglichkeit, diese Überwachungsinformationen, die auf
den jeweiligen Server der Filialen liegen, zu überprüfen, obwohl Sie in der
Hauptstelle arbeiten. Außerdem müssen Sie die
Überwachungsinformationen auf der Festplatte von jedem Filialenserver
speichern können.
Welche Aktionen führen Sie durch?
A

Sie sichern über das Sicherheitskonfigurations-SnapIn die Ereigniseinträge der Überwachungsinformationen
und die jeweiligen *.inf-Dateien auf der lokalen
Festplatte des jeweiligen Servers.
B

Sie verbinden sich über die Computerverwaltung des
Domänencontrollers zu den einzelnen Servern und
speichern die Überwachungsinformationen lokal auf den
jeweiligen Servern ab.
C

Sie starten die Computerverwaltung, öffnen die
Ereignisanzeige und speichern die jeweiligen
Protokolldateien mit der Dateiendung *.evt oder *.txt
auf der lokalen Festplatte des jeweiligen Servers ab.
D

Sie starten secedit.exe, um die Informationen
auszuwerten und im Anschluss daran abspeichern zu
können.
E

Sie richten eine Remotedesktopsitzung mit jedem
Filialserver ein.
Richtige Antworten: C und E
Begründung
Hier geht es darum, lokale Protokolldateien der Ereignisanzeige von
Servern in der Domäne auszuwerten und diese abzuspeichern. Der
einfachste Weg ist die Verbindung über Computerverwaltung, dann
Einen anderen Rechner auswählen. Dann ist man mit dem jeweiligen
Server verbunden und besitzt die Möglichkeit, die Ereignisanzeige zu
öffnen und die Einträge in den Protokolldateien zu überprüfen. Dies wird
im Lösungsvorschlag C korrekt beschrieben. Die zusätzliche Verbindung
- 331 -
über das RDP-Protokoll, wie in Lösungsvorschlag E beschrieben, wird dazu
verwendet, die Daten der Ereignisanzeige lokal auf den Servern zu
speichern.
Der Lösungsvorschlag A fällt weg, da das genannte Snap-In nichts mit der
Aufgabenstellung zu tun hat. Der Lösungsvorschlag B wird zugunsten des
Lösungsvorschlages C verworfen, da in diesem kein Verweis zu finden ist,
wie die Verbindung zu den einzelnen Servern hergestellt wird. Der
Lösungsvorschlag D hat nichts mit der Thematik zu tun.
Hilfe
• Häufige administrative Aufgaben\Überprüfen von Ereignisprotokollen
• Verwaltungs- und Skriptingprogramme\Überwachungs- und
Statusprogramme\Ereignisanzeige\So wird es gemacht\Verwaltung
von Ereignisprotokollen\Archivieren eines Ereignisprotokolls
MS Training
• Seite 758
- 332 -
Frage 34
Server 2003, auf dem Server »MVSIIS05« IIS. Dieser Server stellt alle
Webseiten der Firma MVS M. Völk Systems bereit.
Sie erstellen zwei neue Webseiten, Buecher und Unterlagen und den
passenden CNAME-Eintrag auf dem DNS-Server. Sie testen beide
Webseiten offline und können erfolgreich zugreifen. Wenn Sie die
Webseiten online testen, können Sie auf keine der beiden Seiten
zugreifen. Sie werden auf Standardwebseiten weitergeleitet. Sie öffnen
den IIS-Manager und stellen fest, dass die beiden neuen Webseiten
gestoppt sind. Sie müssen sicherstellen, dass Sie alle Webseiten auf
»MVSIIS05« starten können.
Was können Sie tun, um das Problem effektiv und praxisgerecht zu lösen?
A

Sie geben Buecher.MVSNET.DE und
Unterlagen.MVSNET.DE als den Host Header-Namen für
die beiden Webseiten an.
B

Sie erstellen für jede neue Webseite eine Datei im
Directorypfad mit dem Namen default.html.
C

Sie geben für jede neue Webseite einen einmaligen TCPPort an und stellen sicher, dass jeder Clientcomputer
den passenden Port verwendet, um sich mit der
Webseite zu verbinden.
D

Sie erstellen für jede Webseite einen http-Header.
E

Sie geben für jede Webseite eine eindeutige IP-Adresse
an und ändern die passenden Hosteinträge auf dem
DNS-Server.
F

Sie schalten den Anonymen Zugriff für jede Webseite
ab.
Richtige Antworten: A und E
Begründung
Grundsätzlich haben Sie es hier mit http-Problematik (Port 80) zu tun.
Wenn ein IIS-Server mehrere Webseiten hosted, dann können die
jeweiligen Webseiten entweder jeweils über eine spezifische IP-Adresse
angesprochen werden, oder die Information der Zuordnung wird aus dem
Header abgeleitet. Eine dritte und in der Praxis nicht genutzte Variante
wäre die Belegung von Webseiten mit nicht standardisierten TCP/IP-Ports.
- 333 -
Die Variante mit der Headereintragung wird im richtigen Lösungsvorschlag
A wiedergegeben, die Variante mit der Zuweisung von eindeutigen IPAdressen im richtigen Lösungsvorschlag E.
Der Lösungsvorschlag C würde zwar grundsätzlich funktionieren, aber wie bereits festgestellt - hat er in der Praxis keine Bedeutung. Der
Lösungsvorschlag B hat nichts mit der Problemlösung zu tun, da hier nicht
mehrere Webseiten angesprochen werden können. Der ebenfalls falsche
Lösungsvorschlag F geht an der Aufgabenstellung vorbei, Sie müssen die
Bereitstellung ermöglichen.
Hilfe
• Internet und E-Mail-Dienste\Internetinformationsdienste\So wird es
gemacht\Anzeigen der Hilfe zu Internetinformationsdienste
• Internetinformationdienste 6.0 Administratorhandbuch\Allgemeine
Verwaltungsaufgaben\Hosten von mehreren Websites
MS Training
- 334 -
Frage 35
Netzwerk betreibt eine Hauptstelle und zwei Filialen und besteht aus
einem einzigen Verzeichnisdienst mit der Bezeichnung MVSNET.DE. Auf
Workstations Windows XP Professional.
Ein Server mit der Bezeichnung »MVSSRV01« steht in einer der Filialen.
Der Server befindet sich in der Arbeitsgruppe IISDMZ. »MVSSRV01« ist
mit den Standardbetriebssystemeigenschaften konfiguriert. Der
Remotedesktop und die Remoteunterstützung sind aktiviert und der
Windows Nachrichtendienst installiert. Die Intranetseite der Firma wird
von diesem Server bereitgestellt.
Daniel ist der lokale Administrator, der die Intranetseite verwaltet. Er
bittet Sie, ihm bei der Installation einer Applikation auf dem Server
»MVSSRV01« zu helfen. Dazu benötigen Sie die Möglichkeit, während der
Installation den Desktop von Daniel zu sehen.
A
{
Sie öffnen von Ihrem Computer aus eine
Remotedesktopverbindung mit »MVSSRV01«.
B
{
Sie weisen Daniel an, eine Einladung für die
Remoteunterstützung von »MVSSRV01« zu erstellen und
Ihnen zu senden.
C
{
Sie bieten Daniel die Remoteunterstützung von Ihrem
Computer aus an.
D
{
Sie weisen Daniel an, die Applikationsfreigabe des
Windows Nachrichtendienstes zu aktivieren.
Richtige Antwort: B
Begründung
Sie brauchen einen Zugriff und zwar Konsolenzugriff, da Sie während der
Installation zuschauen müssen. Daniel muss uns hier einladen, um eine
Remotedesktopverbindung herstellen zu können. Nachdem Sie diese
Einladung akzeptiert haben, können Sie auch zugreifen. Deshalb ist der
Lösungsvorschlag B hier richtig.
Der genannte Server ist kein Mitglied der Domäne, also haben Sie keinen
Zugriff auf diese Maschine, daher ist der Lösungsvorschlag A nicht richtig,
ebenso der Lösungsvorschlag C, der in die falsche Richtung geht. Der
Lösungsvorschlag D hat nichts mit der Problemstellung zu tun.
- 335 -
Hilfe
• Verwaltung und
Skriptingprogramme\Remoteverwaltungsprogramme\Verwaltung der
Remoteunterstützung
MS Training
• Seiten 766 ff.
- 336 -
Frage 36
Server 2003, auf den Workstations Windows 2000 Professional.
Sie installieren Windows Server 2003 auf einem neuen Computer mit der
Bezeichnung »MVSSRV01« sowie mehrere Drucker und geben diese frei.
Sie weisen alle Benutzer an, sich mit diesen Druckern über die Adresse
http://MVSSRV01.MVSNET.DE/printer/mvsppt01 zu verbinden.
Benutzer berichten, dass sie sich mit dieser Adresse nicht verbinden
können. Sie müssen dafür sorgen, dass sich alle Benutzer unter der
Verwendung der http-Adresse die Drucker anbinden können.
A

Sie veröffentlichen alle freigegebenen Drucker, die auf
»MVSSRV01« installiert sind, im Active Directory.
B

Sie erstellen auf »MVSSRV01« einen virtuellen Ordner
mit der Bezeichnung Drucker.
C

Sie installieren auf »MVSSRV01« IIS mit den
Standardeinstellungen.
D

Sie leiten die Freigaben aller Drucker auf »MVSSRV01«
um.
E

Sie installieren die Internetdruckerkomponenten von IIS.
F

Sie geben net stat W3SVS in einer *.cmd ein.
Begründung
Ein Feature von Windows Server 2003 und Windows XP ist das Senden
von Druckaufträgen an URLs, das so genannte Internetdrucken. Die
Voraussetzung hierfür ist folgende: Auf dem Druckserver muss der
Internet Information Server (IIS) installiert sein (Lösungsvorschlag C).
Beim Zugriff auf solche Druckserver verwendet Microsoft das IPP (Internet
Printing Protocol). Diese Funktionalität muss auf dem IIS erst
bereitgestellt werden (Lösungsvorschlag E).
Der Lösungsvorschlag A ist nicht richtig, da dadurch kein Internet Printing
bereitgestellt wird. Der Lösungsvorschlag B hat nichts mit der
Aufgabenstellung zu tun, virtuelle Ordner finden ihre Verwendung bei
Webseiten oder bei WebDAV. Eine Umleitung der Freigaben aller Drucker
ist ebenfalls nicht nötig, deshalb ist der Lösungsvorschlag D falsch. Der
- 337 -
ebenfalls falsche Lösungsvorschlag F hat nichts mit der Aufgabenstellung
zu tun.
Hilfe
• Internet- und E-Mail-Dienste\Internetinformationsdienste\So wird es
gemacht\Installieren von Internetinformationsdienste
• Drucker und Faxgeräte\Drucker\Konzepte\Grundlegendes zum
Drucken\Drucken über das Internet
MS Training
- 338 -
Frage 37
Die Firma MVS M. Völk Systems eröffnet eine neue Filiale. Das Netzwerk
der neuen Filiale ist eine untergeordnete Domäne mit der Bezeichnung
KC.MVSNET.DE. Die beiden Domänen sind mit einer VPN-Verbindung
verbunden. Ein Windows XP Professional Computer mit der Bezeichnung
»MVSCL023« steht innerhalb der Domäne KC.MVSNET.DE.
Die Benutzer melden, dass sie sich von »MVSCL023« aus nicht mit dem
Server »MVSSRV01« verbinden können. Sie müssen dafür sorgen, dass
die Clientcomputer in der MVSNET.DE-Domäne Hostnamen aus der
untergeordneten Domäne KC.MVSNET.DE auflösen können.
Welche zwei Wege sind möglich, um das Problem zu lösen?
A

B

Sie fügen auf dem Server »MVSSRV01« eine
Delegierung für KC.MVSNET.DE hinzu.
C

Zeigereintrag (PTR) für »MVSSRV01.MVSNET.DE« hinzu.
D

E

Sie fügen auf dem Server »MVSSRV01« eine sekundäre
DNS-Zone für KC.MVSNET.DE hinzu.
Begründung
Es ist hier relativ einfach, die Lösung zu finden. Clients müssen Hosts in
der Domäne KC.MVSNET.DE auflösen können. Hierzu muss auf dem DNSServer entweder eine Delegierung eingerichtet werden (B), oder Sie
erstellen eine sekundäre Zone für KC.MVSNET.DE (E).
- 339 -
Hilfe
Hauptnetzwerkdienste\DNS\Konzepte\Verwalten von DNS\Verwalten
von Servern\Verwenden von sekundären Servern
von Zonen\Delegieren von Zonen
MS Training
- 340 -
Frage 38
Server 2003, auf den Workstations Windows XP Professional. Auf einem
Mitgliedsserver mit der Bezeichnung »MVSSRV01« läuft der Software
Update Service (SUS).
»MVSSRV01« ist so konfiguriert, dass er sich täglich direkt mit dem
Microsoft Update Server synchronisiert. Alle Clientcomputer sind so
konfiguriert, dass sie die automatische Update Clientsoftware verwenden,
um Updates von »MVSSRV01« zu beziehen. Alle Clientcomputer sind in
einer Organisationseinheit mit der Bezeichnung Client enthalten.
Microsoft gibt ein kritisches Sicherheitsupdate für Windows XP Professional
Computer frei. Die Clientcomputer in Ihrem Netzwerk erhalten dieses
Update nicht, andere Updates dagegen ohne Probleme. Sie müssen dafür
sorgen, dass alle Clients das kritische Sicherheitsupdate erhalten.
A
{
Sie aktivieren in der Dialogbox der Systemeigenschaften
jedes Clientcomputers die Meinen Computer auf dem
neusten Stand halten-Option.
B
{
Sie verändern die Einstellungen der Gruppenrichtlinien in
der Client-Organisationseinheit.
C
{
Sie öffnen den SUS-Inhaltsverzeichnis-Ordner auf dem
Server »MVSSRV01«, wählen die Datei aus, die das
kritische Sicherheitsupdate beinhaltet und vergeben das
Leserecht für diese Datei an alle Clientcomputer.
D
{
Sie verwenden den Internet Explorer, um sich mit der
SUS-Administrationsseite zu verbinden und genehmigen
das Sicherheitsupdate.
Richtige Antwort: D
Begründung
Updates, auch wenn es noch so kritische sind, müssen vor ihrer
Verbreitung durch den SUS-Server erst freigegeben werden. Erst nach der
Freigabe können Clients dieses Update erhalten. Dieser Aspekt wird im
richtigen Lösungsvorschlag D wiedergegeben.
Die im Lösungsvorschlag A beschriebene Option ist die Grundeinstellung
und hat in unserem Fall nichts mit der Lösung zu tun. Der
Lösungsvorschlag B ist auch falsch, da die Einstellungen der
Gruppenrichtlinien nichts mit der Freigabe von Updates zu tun haben. Ein
- 341 -
Leserecht vergeben, wie im falschen Lösungsvorschlag C beschrieben,
bringt uns auch nicht weiter.
Hilfe
MS Training
• Seite 821
- 342 -
Frage 39
Netzwerk beinhaltete ursprüngliche eine einzige Windows NT 4.0-Domäne.
Sie aktualisieren diese Domäne zu einem auf Windows Server 2003
basierenden Verzeichnisdienst. Nun läuft auf allen Servern im Netzwerk
Windows Server 2003, auf den Workstations Windows XP Professional. Sie
verwenden eine Drittanbieter-Software, um Ihren Mitarbeitern die
Änderung ihrer Kennwörter bei Verlust oder Ablauf selbständig über eine
Weboberfläche zu ermöglichen.
Ihre Mitarbeiter leisten den technischen Support für das Netzwerk und
stellen häufig eine Remotedesktopverbindung mit einem
Domänencontroller mit der Bezeichnung »MVSDC001« her. Sie engagieren
25 neue Supportspezialisten für Ihr Team. Sie verwenden csvde.exe, um
die Benutzerkonten für alle 25 Benutzer zu erstellen.
Ein neuer Supportspezialist mit dem Namen Daniel berichtet Ihnen, dass
er nicht in der Lage ist, eine Remotedesktopverbindung mit »MVSDC001«
herzustellen. Er bekommt eine Fehlermeldung mit dem Verweis, dass der
Benutzername bzw. das Kennwort falsch sind. Sie öffnen gpedit.msc auf
»MVSDC001«.
Ein Ausschnitt der Sicherheitsoptionen ist unten dargestellt. Zusätzlich
überprüfen Sie die Einstellungen des Kontos und stellen fest, dass der
Benutzer sein Kennwort noch nicht geändert hat.
Sie sollen sicherstellen, dass Daniel in der Lage ist, eine
Remotedesktopverbindung mit »MVSDC001« herzustellen.
- 343 -
A
{
Sie weisen Daniel an, eine VPN-Verbindung zu
»MVSDC001« herzustellen, bevor er die
B
{
Sie weisen Daniel an, ein Passwort für sein
Benutzerkonto zu setzen, bevor er die
C
{
Sie setzen das Kennwort vom Benutzerkonto Daniels
zurück und weisen ihn an, sein Kennwort zu ändern.
D
{
Sie aktivieren in den lokalen Sicherheitseinstellungen
von »MVSDC001« die Einstellung Änderungen von
Computerkontenkennwörtern verweigern.
Richtige Antwort: B
Begründung
Die Lösung liegt nahe: Wenn ein Benutzer sein Kennwort noch nicht
geändert hat, dann kann er sich nicht zur Domäne verbinden oder
Ressourcen dort nutzen. In unserem Fall muss zuerst das Kennwort
gesetzt werden, um zum Beispiel die Remotedesktopverbindung aufbauen
zu können (Lösungsvorschlag B).
Ein nochmaliges Zurücksetzen des Kennwortes mit der Aufforderung zur
Änderung bringt uns hier nicht weiter (Lösungsvorschlag C) und würde nur
zusätzlichen Aufwand darstellen. Der Lösungsvorschlag A kann nicht zur
Lösung beitragen, da auch eine VPN-Verbindung eine gültige Kombination
von Benutzername und Kennwort erfordert. Der Lösungsvorschlag D hat
nichts mit der Thematik zu tun.
Hilfe
• Sicherheit\Sicherheitskonfigurations-Manager\Konzepte\Verwendung
des Sicherheitskonfigurations-Managers\Beschreibung der
Sicherheitseinstellung\Lokale Richtlinien\Sicherheitsoptionen\Konten:
Lokale Kontenverwendung von leeren Kennwörtern auf
Konsolenanmeldung beschränken
MS Training
- 344 -
Frage 40
allen Netzwerkservern läuft entweder Windows 2000 Server oder Windows
Server 2003, auf allen Clientcomputern Windows XP Professional. Auf dem
Server mit der Bezeichnung »MVSSRV03« läuft Windows Server 2003,
außerdem ist IIS 6.0 mit seinen Grundeinstellungen installiert.
Sie möchten WebDAV als sichere Alternative zum bisherigen unsicheren
FTP verwenden.
A
{
Sie starten den WWW Publishing-Dienst auf
»MVSSRV03« neu.
B
{
C
{
Sie verändern die Berechtigungen auf dem IIS-Server,
um auf die Webordner Zugriff zu bekommen.
D
{
Sie aktivieren WebDAV und erstellen eine
Ordnerstruktur, die gleich der Ordnerstruktur des FTPServers ist.
Richtige Antwort: D
Begründung
In der Grundeinstellung des IIS ist WebDAV standardmäßig deaktiviert.
Wenn man das Ziel der Aufgabenstellung erreichen möchte, muss zuerst
WebDAV aktiviert werden. Erst dann besteht die Möglichkeit, eine
Ordnerstruktur anzulegen. Aus diesem Grund ist hier der
Lösungsvorschlag D richtig. Die anderen Lösungsvorschläge haben nichts
mit der Thematik zu tun.
Hilfe
• Hilfe- und Supportcenter: Verwendung von Webordner (WebDAV) für
die sichere Dateiübertragung
MS Training
- 345 -
Frage 41
Sie sind der Netzwerkadministrator der Firma MVS M. Völk Systems. Ein
DHCP-Server im lokalen Subnetz ist dafür konfiguriert, Clientcomputern
IP-Adressen aus dem Bereich 10.10.22.20 bis 10.10.22.254 zuzuweisen.
Alle Clientcomputer verbinden sich mit dem Internet, indem sie einen
Server mit der Bezeichnung »MVSNAT01« verwenden.
»MVSNAT01« ist ein Windows Server 2003 Server, der als RRAS-Server
im Netzwerk fungiert. Auf dem Server »MVSNAT01« ist das NAT/Basic
Firewall Routing-Protokoll erlaubt. Die interne Schnittstelle ist verbunden
mit Ethernet1 10.10.22.10 LAN und Ethernet2 131.107.100.202 Internet.
Die Clientcomputer sind nicht in der Lage, sich mit dem Internet zu
verbinden. Sie lassen das ping-Kommando von einer
Kommandoeingabeaufforderung auf einem Windows XP Professional
Computer aus dem lokalen Netzwerk laufen und erhalten folgende
Meldung:
Sie müssen dafür sorgen, dass die Clientcomputer in der Lage sind, sich
mit dem Internet zu verbinden.
Welche zwei Aktionen führen Sie aus, um dieses Problem zu lösen?
A

131.107.100.202 zuweist.
B

131.107.100.201 zuweist.
- 346 -
C

Sie konfigurieren den NAT/Basic FirewallSchnittstellentyp für Ethernet1 so, dass es eine private
Schnittstelle ist.
D

Sie konfigurieren den NAT/Basic FirewallSchnittstellentyp für Ethernet2 so, dass es eine
öffentliche Schnittstelle ist.
E

werden.
F

werden.
Begründung
Aufgrund der angegebenen IP-Adressen müssen Sie sicherstellen, dass die
Netzwerkschnittstellen richtig konfiguriert sind. In unserem Fall muss die
Schnittstelle Ethernet1 mit der IP-Adresse 10.10.22.10 die private
Schnittstelle darstellen. Die öffentliche Schnittstelle Ethernet2 hat die IPAdresse 131.107.100.202. Daraus leiten sich die richtigen
Lösungsvorschläge C und D ab.
Die anderen Vorschläge haben mit der Lösung der Aufgabenstellung nichts
zu tun und können verworfen werden.
Hilfe
• Netzwerkdienste\Verwaltung der Remoteverbindungen\Routing und
RAS\Routing\Konzepte\Verwendung von Routing\Einrichten von
Routing\Einrichten der Netzwerkadressübersetzung\Vorüberlegungen
zum Einrichten der Netzwerkadressübersetzung
MS Training
- 347 -
Frage 42
Bezeichnung MVSNET.DE und hat 15 Windows Server 2003 Computer, die
als Intranetwebserver fungieren.
Sie installieren den Windows Server 2003 Computer »MVSSRV07« mit
Routing- und Remotezugriff. »MVSSRV07« verwendet die interne LAN-IPAdresse 10.10.1.1 und hat die Internetverbindungsfreigabe aktiviert. Die
15 Intranetwebserver verwenden den DNS-Server »MVSDNS01« für die
Auflösung von lokalen Hostnamen. Jeder der 15 Intranetwebserver
verwendet statische IP-Adressen. Die Konfiguration eines der
Intranetwebserver ist wie folgt dargestellt:
Die Webserver benötigen ebenfalls Internetzugriff, um den Inhalt
bestimmter öffentlicher Webseiten über XML oder RSS innerhalb der
- 348 -
Intranetwebseite darzustellen. Sie versuchen, auf öffentliche Webseiten
über einen der Intranetwebserver zuzugreifen und stellen fest, dass dies
nicht funktioniert. Sie müssen sicherstellen, dass alle 15 Intranetserver
auf den Inhalt von öffentlichen Webseiten zugreifen können.
Wie gehen Sie vor?
A
{
Sie erstellen auf dem DHCP-Server eine
Clientreservierung für jeden der Webserver.
B
{
Sie verwenden in den Internet Explorer LANEinstellungen einen Proxyserver mit der Adresse
10.10.1.1 und dem Port 8080.
C
{
Sie wählen in den Internet Explorer LAN-Einstellungen
automatisch die Standardeinstellungen.
D
{
Sie konfigurieren die Internet Explorer LAN-Einstellungen
so, dass automatisch ein konfiguriertes Skript verwendet
wird, das auf
http://MVSSRV07:8080/arrat.dll?Get.Routing.Scri
pt zeigt.
E
{
Sie konfigurieren die TCP/IP-Einstellungen jedes
Webservers so, dass dieser 10.10.1.1 als
Standardgatewayadresse verwendet.
Richtige Antwort: E
Begründung
Hier ist die beste Vorgehensweise, wenn man die Lösungsvorschläge mit
der Anforderung der Fragestellung vergleicht. Die Intranetwebserver
haben statische IP-Adressen und müssen auf das Internet zugreifen
können. Der Server »MVSSRV07« ist als RRAS-Server konfiguriert.
Der Lösungsvorschlag A fällt weg, da Sie hier keinen DHCP-Server
benötigen. Sie müssen ins Internet, und da helfen keine DHCPEinstellungen weiter. Die Lösungsvorschläge B und C fallen ebenfalls weg,
da Sie hier keinen Proxyserver haben. Das im Lösungsvorschlag D
beschriebene Skript ist nicht vorhanden und würde auch keine Verbindung
zum Internet herstellen können.
Also bleibt nur noch der Lösungsvorschlag E übrig. Hier wird die IPAdresse des Servers mit der aktivierten Internetverbindungsfreigabe als
Standardgatewayadresse eingetragen. Über diesen Server besteht dann
die Möglichkeit des Zugriffs auf das Internet.
- 349 -
Hilfe
• Clientcomputer\Netzwerkverbindungen\Konzepte\Verwendung von
Netzwerkverbindungen\Verwendung von Funktionen für ein Heimbzw. ein kleines Büronetzwerk\Verbinden mit dem Internet in einem
Heim- oder kleinen Büronetzwerk
MS Training
- 350 -
Frage 43
Server 2003.
Sie installieren den Terminaldienst auf allen Domänencontrollern. Die
Mitarbeiter des technischen Supports berichten Ihnen, dass sie sich mit
Hilfe des Terminaldienstes auf keinen der Domänencontroller verbinden
können.
Wie kann man dieses Problem lösen?
A
{
Sie installieren den Remotedesktop für die Gruppe
Administratoren.
B
{
Sie fordern die Spezialisten auf, eine Konsolensitzung für
die Verbindung auf die Terminalserver zu verwenden.
C
{
Sie fügen die Gruppe Remoteadministratoren zu der
Gruppe Konten Operatoren hinzu.
D
{
Sie fügen die Mitarbeiter des technischen Supports zu
der Gruppe Remotedesktopbenutzer hinzu.
E
{
Sie verändern die
Standarddomänencontrollergruppenrichtlinie so, dass Sie
den Mitarbeitern des technischen Supports das Recht zur
lokalen Anmeldung geben.
Richtige Antwort: D
Begründung
Sie haben hier ein klassisches Berechtigungsproblem vor sich. Wer nicht
Mitglied in der Gruppe Remoteddesktopbenutzer ist, kann sich auch nicht
anmelden. Sie müssen sicherstellen, dass die Mitarbeiter des technischen
Supports in die richtige Gruppe kommen (Lösungsvorschlag D).
Der Lösungsvorschlag E fällt weg, da bei Windows Server 2003 zwischen
dem Recht zur lokalen Anmeldung und der Anmeldung an einem Server
über eine Remotedesktopverbindung unterschieden wird. Das bedeutet,
dass der Benutzer (oder die Gruppe, zu der er gehört) über das
Benutzerrecht Anmeldung über Terminaldienste zulassen diesen
Zugriff gewährt bekommen muss.
Achtung: Es reicht nicht aus, dem Benutzer das Recht der lokalen
Anmeldung zu erteilen. Auf den Mitgliedsservern haben die lokalen
Gruppen Administratoren und Remotedesktopbenutzer dieses Recht
- 351 -
standardmäßig, auf den Domänencontrollern haben nur die
Administratoren dieses Recht.
Der Lösungsvorschlag A fällt weg, weil dies grundsätzlich aktiv ist. Der
Lösungsvorschlag B ist falsch, weil Sie keine Konsolensitzung brauchen.
Der Lösungsvorschlag C funktioniert auch nicht, da die Kontenoperatoren
grundsätzlich nicht in der Lage sind, Remotedesktopverbindungen
aufzubauen.
Hilfe
• Erste Schritte\Konfigurieren von Funktionen für den Server\Funktion
des Terminalservers: Konfigurieren eines Terminalservers (Abschnitt:
Erteilen von Benutzerberechtigungen für den Zugriff auf den
Terminalserver)
• Verwaltungs- und Skriptingprogramme\Konfigurations- und
Verwaltungsprogramme\Lokale Benutzer und Gruppen
MS Training
• Seiten 761 und 765 sowie 786f.
- 352 -
Frage 44
Sie installieren den Terminalserver auf den drei Mitgliedsservern
»MVSSRV01«, »MVSSRV02« und »MVSSRV03« und fügen eine
Domänengruppe mit der Bezeichnung Autoren zu der Gruppe
Remotedesktopbenutzer auf allen drei Terminalservern hinzu.
Eine Woche später stellen Sie fest, dass Dateien auf »MVSSRV01« und
»MVSSRV02« von einer Benutzerin mit dem Namen Sarah gelöscht
wurden. Sarah ist ein Mitglied der Gruppe Autoren. Sie müssen Sarah
daran hindern, sich mit einem der Terminalserver zu verbinden.
A
{
Sie ändern auf allen drei Terminalservern die RDP-TcpVerbindungsberechtigungen, indem Sie den Benutzerund Gastzugriff verweigern.
B
{
Sie ändern auf allen drei Terminalservern die RDP-TcpVerbindungsberechtigungen, erlauben den Gastzugriff
und setzen diese Berechtigung auch für das
Benutzerkonto von Sarah.
C
{
Sie verbieten in den Eigenschaften von Sarahs
Benutzerkonto das Anmelden an Terminalservern.
D
{
Sie ändern auf allen drei Terminalservern die RDP-TcpVerbindungsberechtigungen. In den Eigenschaften von
Sarahs Benutzerkonto erlauben Sie die
Verbindungstrennungsoption.
Richtige Antwort: C
Begründung
Um den Zugriff von Sarah auf die Terminalserver zu unterbinden, muss
man bei den Eigenschaften des Kontos über das Register
Terminaldienstprofile den Zugriff verweigern. Nur dann kann Sarah sich
mit keinem der Server mehr verbinden. Dies wird im richtigen
Lösungsvorschlag C durchgeführt.
Wenn man den Lösungsvorschlag A für richtig erachten würde, wären alle
Verbindungen von Benutzern davon betroffen. Der Lösungsvorschlag B hat
nichts mit der Aufgabenstellung zu tun, weil hier immer noch eine
Verbindungsaufnahme möglich sein würde. Aus der Fragestellung geht
jedoch klar hervor, dass Sarah sich mit keinem der Terminalserver
- 353 -
verbinden können soll. Gleiches gilt für den Lösungsvorschlag D, hier wird
nur festgelegt, wann eine Sitzung endet. Sie müssen jedoch sicherstellen,
dass keine Sitzung aufgebaut wird.
Hilfe
• Softwarebereitstellung\Terminaldienste\Benutzereigenschaften für
Terminaldienste\Konzepte\Terminaldienstbenutzer\Terminaldienstprof
il
MS Training
• Seite 218
- 354 -
Frage 45
Server 2003. Ein einziger Server, auf dem der Terminalserver läuft, ist für
Remotebenutzer verfügbar.
Ihre Helpdeskmitarbeiter sind dafür zuständig, die Aktivitäten von
Benutzern auf dem Terminalserver zu überwachen und Nachrichten über
neue Programme oder Veränderungen am Terminalserver an die Benutzer
zu senden.
Ein Firmenentwickler schreibt ein Skript, das die relevanten
Benutzerinformationen in eine Datei schreiben und Meldungen versenden
soll, sofern dies nötig ist. Sie müssen dafür sorgen, dass das Skript immer
dann läuft, wenn sich ein Benutzer auf dem Terminalserver anmeldet.
Wie gehen Sie vor?
A
{
Sie erstellen ein Clientverbindungsobjekt für die Gruppe
Remotedesktopbenutzer und konfigurieren es so, dass es
das Skript ausführt.
B
{
Sie konfigurieren auf dem Terminalserver die RDP-TcpEigenschaften mit dem Namen des Skriptes. Sie
überschreiben alle anderen Einstellungen.
C
{
Sie wählen in der Standarddomänengruppenrichtlinie die
Option Starten eines Programms beim Anmelden
aus und geben den Namen des Skriptes an.
D
{
Sie konfigurieren auf dem Terminalserver die RDP-TcpEigenschaften mit dem Namen des Skriptes.
Richtige Antwort: D
Begründung
Sie müssen ein Skript am Terminalserver ausführen, egal welcher
Benutzer sich anmeldet. Deshalb muss am Terminalserver selbst die
Konfiguration durchgeführt werden. Bei den RDP-Tcp-Eigenschaften
können Sie über die Option Einstellung der Benutzerprofile außer
Kraft setzen die gewünschte Einstellung durchführen. Hier muss dann
noch der Pfad und der Name des auszuführenden Skriptes hinterlegt
werden. Dies beschreibt der Lösungsvorschlag D.
Der Lösungsvorschlag A ist falsch, da keine manuelle Ausführung möglich
ist. Das Ganze mit einer Gruppenrichtlinie zu lösen (Lösungsvorschlag C)
würde das Skript bei jeder Anmeldung auf jedem Rechner ausführen. Der
- 355 -
Lösungsvorschlag B ist ein Versuch, in die Irre zu führen, funktioniert aber
nicht.
Hilfe
So wird es gemacht\Konfigurieren von
Terminaldienstverbindungen\Festlegung eines Programms, das beim
Anmelden eines Benutzers automatisch gestartet wird
MS Training
• Seite 765
- 356 -
Frage 46
Netzwerk besteht aus einer einzigen Gesamtstruktur. Diese
Gesamtstruktur enthält eine Domäne mit der Bezeichnung MVSNET.DE.
Das Netzwerk besteht aus zwei Subnetzen mit den Namen Subnetz-A und
Subnetz-B. Die beiden Subnetze sind über einen Router miteinander
verbunden. Das Netzwerk besteht außerdem aus vier Windows Server
2003, 300 Windows 2000 Professional und 25 Windows NT Server 4.0
Computern. Drei der Server sind so wie in der Tabelle zu sehen
konfiguriert:
Server
Serverrolle
Installierte
Anwendungen und
Dienste
Betriebssystem
Sub
netz
»MVSSRV1«
Domänencontroller
Active Directory, DNS
ServerZertifizierungsstelle
Windows
Server 2003
A
»MVSSRV2«
Mailserver
Microsoft ExchangeServer
Windows NT
Server
A
»MVSSRV3«
Datei und
Druckdienste
WINS, DHCP,
sekundäre DNS
Windows
2000 Server
B
Die DNS-Zone führt gegenwärtig nur Einträge für Windows 2000
Professional Computer auf. Jeder Clientcomputer ist so konfiguriert, dass
er Namensauflösungsanfragen an »MVSSRV1« und »MVSSRV3« sendet.
Die Benutzer sind in der Lage, auf alle Ressourcen im Netzwerk
zuzugreifen.
Sie denken darüber nach, die TCP/IP-Einstellungen für jeden
Clientcomputer so zu ändern, dass Sie den Verweis auf »MVSSRV2«
entfernen. Sie müssen gleichzeitig sicherstellen, dass die Clientcomputer
weiterhin auf E-Mails zugreifen können.
A
{
NetBios über TCP/IP.
B
{
Lmhost Abfrage aktivieren.
C
{
Sie fügen in den Eigenschaften von MVSNET.DE einen
Namensservereintrag für »MVSSRV3« hinzu.
D
{
Sie erlauben in den Eigenschaften von MVSNET.DE
WINS-Forward-Lookup.
Richtige Antwort: D
- 357 -
Begründung
Sie brauchen hier unbedingt einen WINS-Server, da Sie im Netzwerk
mehrere NT 4.0 Server haben, insbesondere den Mailserver. Dieser hat
aber keinen Eintrag in der DNS-Zone, und der Verweis auf den WINSServer auf den Clients wurde entfernt. Um den Clients weiterhin Zugriff
auf den Mailserver zu ermöglichen, müssen Sie dem DNS-Server
ermöglichen, unaufgelöste Anfragen an den WINS-Server weiterleiten zu
können. Das wird dadurch erreicht, dass man auf dem DNS-Server WINSForward-Lookup verwendet.
Hilfe
• Netzwerkdienste\Verwalten der
Hauptnetzwerkdienste\DNS\Konzepte\Grundlegendes zu DNS\WINSLookup-Integration
MS Training
• Seite 615
- 358 -
Frage 47
Netzwerk besteht aus zwei Verzeichnisdiensten. Jede Abteilung hat ihre
eigene Organisationseinheit für ihre Benutzerkonten, jede
Organisationseinheit separate Gruppenrichtlinien.
Ein einziger Terminalserver mit der Bezeichnung »MVSTRM01« ist für
Remotebenutzer reserviert. Zusätzlich haben einige Abteilungen ihre
eigenen Terminalserver für den Abteilungsgebrauch.
Ihr Helpdesk berichtet, dass auf dem Server »MVSTRM01« Sitzungen
bestehen bleiben, auch wenn diese für Tage inaktiv sind. Benutzer aus der
Buchhaltungsabteilung berichten von langen Reaktionszeiten ihrer
Terminalserver.
Sie sollen dafür sorgen, dass Benutzer von »MVSTRM01« automatisch
abgemeldet werden, wenn die Sitzung für mehr als zwei Stunden inaktiv
ist. Ihre Lösung soll die Benutzer der anderen Terminalserver nicht
beeinträchtigen.
A
{
Sie ändern die Sitzungslimiteinstellung für die Benutzer
der Buchhaltung.
B
{
Sie verwenden auf dem Server »MVSTRM01« das
Terminalserver-Konfigurationstool, um die
Sitzungslimiteinstellung zu ändern.
C
{
Sie die Sitzungslimiteinstellung bei den Benutzern
ändern.
D
{
Sie die Sitzungslimiteinstellung bei den
Computereinstellungen ändern.
Richtige Antwort: B
Begründung
Es geht klar aus der Fragestellung hervor, dass man die Einstellungen auf
dem Terminalserver selbst machen muss, deshalb fallen zunächst die
Lösungsvorschläge C und D weg. Sie würden zwar prinzipiell
funktionieren, aber nur die Konten in der entsprechenden
Organisationseinheit beeinflussen, nicht alle Benutzer. Gleiches gilt für
den falschen Lösungsvorschlag A: Sie müssen für alle Benutzer das Limit
- 359 -
ändern, nicht nur für die Benutzer aus der Organisationseinheit der
Buchhaltung.
Hilfe
Sitzungslimits
MS Training
- 360 -
Frage 48
Ihre Firma ist in vier Abteilungen aufgeteilt. Jede Abteilung entspricht
einer eigenen Organisationseinheit, in der die Computerkonten liegen.
Domänenbenutzer berichten, dass ihre Konten nach drei erfolglosen
Anmeldeversuchen gesperrt sind. Sie müssen Ihre Einstellung für das
Sperren von Konten auf fünf erfolglose Anmeldeversuche erhöhen.
Wie gehen Sie vor?
A
{
Sie modifizieren in der Gruppenrichtlinie aller
Organisationseinheiten die Anzahl erfolgloser
Anmeldeversuche und setzen den Wert auf fünf herauf.
B
{
Sie modifizieren die Domänengruppenrichtlinie und
setzen die Anzahl erfolgloser Anmeldeversuche auf fünf
herauf.
C
{
Sie setzen bei allen Benutzerkonten die Option, dass das
Kennwort nicht abläuft.
D
{
Sie modifizieren bei den Eigenschaften der Benutzer die
Option Sperren eines Benutzerkontos nach x
Anmeldeversuchen.
Richtige Antwort: B
Begründung
Änderungen, die Kennwörter, Kennwortalter etc. betreffen, werden über
die Kennwortrichtlinieneinstellungen bei der Domänengruppenrichtlinie
definiert. Man könnte zwar diese Kennwortrichtlinien auch bei den
Organisationseinheiten konfigurieren, aber diese Einstellungen wirken nur
dann, wenn der Benutzer sich lokal an dem betroffenen Rechner
anmeldet.
Wenn der Benutzer sich an der Domäne anmeldet, werden diese
Einstellungen bei der Standarddomänenrichtlinie überschrieben. Diese
Wirkungsweise wird erreicht, indem die Kennworteinstellung in der
Richtlinie der Organisationseinheit in einen nicht temporären Teil der
Registrierungsdatenbank geschrieben wird. Daher stehen die Einstellungen
auch zur Verfügung, wenn der Client keine Verbindung zu der Domäne hat
(z. B. mobile Geräte). Wenn sich die Maschine bzw. der Benutzer doch an
der Domäne anmeldet, werden die lokalen Einstellungen durch die
- 361 -
Gruppenrichtlinien in der Domäne überschrieben. Deshalb ist der
Lösungsvorschlag B hier richtig.
Hilfe
• Sicherheit\SicherheitskonfigurationsManager\Konzepte\Grundlegendes zum
Sicherheitskonfigurationsmanager\Kontorichtlinien und lokale
Richtlinien
MS Training
- 362 -
Frage 49
Buchhaltungsabteilung hat einen neuen Windows Server 2003 Computer
mit der Bezeichnung »MVSSRV01«.
Dieser Computer stellt eine sichere Applikation bereit, die von einigen
Benutzern der Buchhaltungsabteilung verwendet wird. Alle Benutzer der
Applikation sollen in der Lage sein, sich lokal auf »MVSSRV01«
anzumelden. Sie haben sich entschieden, Verknüpfungen zu erstellen, die
auf die Applikation zeigen. Diese Verknüpfungen müssen nur für neue
Benutzer von »MVSSRV01« verfügbar sein.
In welchen Ordner müssen Sie die Verknüpfungen einfügen?
A
{
C:\Dokumente und Einstellungen\All Users.
B
{
C:\Dokumente und Einstellungen\Default User.
C
{
C:\Dokumente und Einstellungen\Administrator.
D
{
C:\Dokumente und Einstellungen\dmze1650.
E
{
C:\Dokumente und Einstellungen\Terminal User.
Richtige Antwort: B
Begründung
Beim Anmelden eines neuen Benutzers werden die Profileinstellungen von
C:\Dokumente und Einstellungen\Default User als Basis hergenommen,
um ein spezifisches Benutzerprofil zu erstellen. Wenn nur die neuen
Benutzer diese Informationen bekommen sollen, dann ist der
Lösungsvorschlag B richtig.
Der Lösungsvorschlag A würde, wie der Name schon sagt, alle Benutzer
betreffen, und dies ist nicht gewünscht. Die in den anderen
Lösungsvorschlägen genannten Benutzer haben nichts mit der
Aufgabenstellung zu tun.
Hilfe
• Clientcomputer\Benutzerprofile\Konzepte\Verwendung von
Benutzerprofilen\Lokale Benutzerprofile
MS Training
- 363 -
Frage 50
Windows Server 2003, auf den Workstations Windows XP Professional.
Die Domänenüberwachungsrichtlinien sorgen dafür, dass alle
Kontenanmeldungsereignisse protokolliert werden. Der Zeitarbeiter Daniel
verwendet einen Clientcomputer mit der Bezeichnung »MCSCL034«. Nun
müssen Sie feststellen, wann sich Daniel an der Domäne angemeldet hat.
Sie müssen dieses Ziel mit möglichst geringem administrativem Aufwand
erreichen.
Wie gehen Sie vor?
A
{
verwenden Sie die Option Suchen, damit nur die
Ereignisse von Daniels Benutzerkonto angezeigt werden.
B
{
verwenden Sie die Option Suchen, um nur die
Ereignisse des Computerkontos von »MCSCL034«
anzuzeigen.
C
{
Ereignisse von Daniels Benutzerkonto anzuzeigen.
D
{
Ereignisse des Computerkontos von»MCSCL034«
anzuzeigen.
Richtige Antwort: C
Begründung
Hier wird eine Standardaufgabe eines Administrators beschrieben. Wann
hat sich ein Benutzer angemeldet bzw. warum wurde ein Benutzerkonto
gesperrt etc. Grundsätzlich werden die Anmeldevorgänge an einem
Domänencontroller in dessen Sicherheitsprotokoll eingetragen. Man kann
diese Ereignisse, wie im Lösungsvorschlag C beschrieben, auswerten.
- 364 -
Grundsätzlich bezieht sich die Auswertung auf den Benutzer und dessen
Aktivitäten, nicht auf dem Computer (wie im falschen Lösungsvorschlag
D). Die Lösungsvorschläge A und B fallen weg, da Sie hier nur die
Protokolldateien eines Clients auswerten und ein Benutzer sich im
Regelfall immer an der Domäne anmeldet.
Hilfe
des Sicherheitskonfigurationsmanagers\Beschreibung der
Sicherheitseinstellung\Lokale
Richtlinien\Überwachungsrichtlinie\Anmeldeereignisse überwachen
MS Training
• Seite 669
- 365 -
Frage 51
Windows Server 2003. Die Benutzerprofile sind in einem Ordner mit dem
Namen Profilehome gespeichert, dieser Ordner befindet sich auf einem
Mitgliedsserver mit der Bezeichnung »MVSSRV01«.
Der Ordner Profilehome ist als Profiles freigegeben. Eine Änderung in den
Firmenregeln erfordert es, dass Sie eine Benutzerobjektvorlage für die
Benutzer in der Technikerabteilung erstellen. Alle Benutzerkonten, die mit
dieser Benutzerobjektvorlage erstellt wurden, werden servergespeicherte
Benutzerprofile verwenden. Jeder Profilname wird auf dem Namen des
Benutzers basieren. Alle Profile müssen an einem zentralen Ort
gespeichert werden. Sie erstellen die Benutzerobjektvorlage und nennen
sie Techniker. Nun müssen Sie alle Informationen über die Profile zu
Techniker hinzufügen.
Wie gehen Sie vor?
A
{
\\MVSSRV01\profiles\Techniker.
B
{
C:\profilehome\%username%.
C
{
\\MVSSRV01\profiles\%username%.
D
{
\\MVSSRV01\profilehome\Techniker.
Richtige Antwort: C
Begründung
Die Benutzer werden sich an einem Clientcomputer anmelden und durch
einen Domänencontroller authentifiziert. Die servergespeicherten Profile
für die Benutzer sollen auf dem Mitgliedsserver »MVSSRV01« in dem
Ordner Profilehome gespeichert werden. Man muss deshalb den UNC-Pfad
(\\Server\Freigabename) für den freigegebenen Ordner Profilehome in den
Eigenschaften der Benutzerobjektvorlage Techniker eintragen.
Es ist aber auch möglich, Profile zu erzeugen, die den Namen der Benutzer
verwenden. Das wird unter Verwendung der Variablen %username%
erreicht. Der komplette Eintrag in dem Profilpfadfeld ist deshalb
\\MVSSRV01\Profiles\%username%. Diese Lösung ist in Antwort C zu
finden.
- 366 -
Hilfe
• Clientcomputer\Benutzerprofile\So wird es gemacht\Erstellen eines
zwischengespeicherten Benutzerprofiles
MS Training
- 367 -
Frage 52
Firmennetzwerk besteht aus einem Verzeichnisdienst. Alle Server im
Netzwerk werden mit Windows Server 2003 betrieben. Als
Clientbetriebssystem wird sowohl Windows XP Professional als auch
Windows 2000 Professional eingesetzt.
Sie müssen sicherstellen, dass alle Anmeldungen der Domänenbenutzer
überwacht und mitprotokolliert werden. Um dies zu realisieren, bearbeiten
Sie die Standarddomänenrichtlinie.
Was müssen Sie einstellen?
(Ziehen Sie zur Beantwortung der Frage die entsprechenden
Richtlinieneinstellungen auf die richtigen Richtlinien.)
Keine
Überwachung
Erfolgreich
Fehlgeschlagen
Erfolgreich,
Fehlgeschlagen
Richtige Antwort: Anmeldeereignisse überwachen - Erfolgreich,
Fehlgeschlagen
Begründung
Kontoanmeldeereignisse werden auf Domänencontrollern für
Domänenkontoaktivitäten und auf lokalen Computern für lokale
Kontoaktivitäten generiert. Wurde die Option Anmeldeereignisse
überwachen auf einem Domänencontroller aktiviert, wird für jeden
Benutzer, der anhand der Kontoinformationen dieses Domänencontrollers
überprüft wird, ein Eintrag erstellt (obwohl sich der Benutzer faktisch an
einer Arbeitsstation anmeldet, die der Domäne angehört).
Anmeldeversuche überwachen bestimmt, ob bei der An- oder
Abmeldung auf diesem Rechner ein Eintrag in dem Sicherheitsprotokoll
- 368 -
erzeugt wird oder nicht. (Ein Eintrag wird auch erzeugt, wenn ein
Benutzer eine Netzwerkverbindung zu diesem Rechner erstellt.)
Kurz zusammengefasst: „Anmeldeereignisse“ werden dort erzeugt, wo das
Konto „zu Hause ist“, und „Anmeldeversuche“ dort, von wo aus die
Anmeldung stattfindet.
Überwachung wird grundsätzlich über die Richtlinien konfiguriert, in
diesem Fall über die Standarddomänencontrollergruppenrichtlinien. Mit
dieser Einstellung werden alle Anmeldungen über
Domänenbenutzerkonten an den Clientcomputern protokolliert. Die
Richtlinie Anmeldeversuche überwachen protokolliert ausschließlich die
Anmeldungen von lokalen Benutzern.
Hilfe
Sicherheitseinstellung\Lokale Richtlinien\Überwachungsrichtlinie
\Anmeldeversuche überwachen
MS Training
- 369 -
Frage 53
Bezeichnung MVSNET.DE. Die Domänenfunktionsebene ist auf Windows
2000 gemischt gesetzt. Auf einem der Netzwerkserver läuft Windows 2000
Server, auf den anderen Windows Server 2003.
Alle Benutzer in der Buchhaltungsabteilung sind Mitglieder einer
existierenden globalen Verteilergruppe mit der Bezeichnung MVSBuchhaltung-C-G. Sie erstellen eine neue Netzwerkfreigabe für die
Benutzer der Buchhaltung. Sie müssen den Mitgliedern der Gruppe MVSBuchhaltung-C-G den Zugriff auf die neu erstellte Freigabe gewähren.
A
{
Sie stellen die Domänenfunktionsebene der Domäne auf
Windows Server 2003.
B
{
Sie ändern den Gruppentyp der Gruppe MVSBuchhaltung-C-G auf Sicherheit.
C
{
Sie ändern den Gruppenbereich/-typ von MVSBuchhaltung-C-G auf universell.
D
{
Sie stellen die Domänenfunktionsebene der
Domänengesamtstruktur auf Windows Server 2003.
Richtige Antwort: B
Begründung
Verteilergruppen können keine Berechtigungen erhalten, um damit den
Zugriff auf Ressourcen zu ermöglichen. Berechtigungen können nur an
Sicherheitsgruppen vergeben werden. Der Lösungsvorschlag B gibt dies
wieder.
Der Lösungsvorschlag C hat nichts mit der Lösung zu tun, Verteilergruppe
bleibt Verteilergruppe. Die Domänenfunktionsebene zu wechseln bringt
auch nichts, da dies nichts mit Gruppen und deren Berechtigungen zu tun
hat (Lösungsvorschläge A und D).
Hilfe
Directory\Grundlegendes zu Gruppen\Gruppentypen
MS Training
• Seite 236
- 370 -
Frage 54
allen Servern des Netzwerkes läuft Windows Server 2003. Die Bürozeiten
sind Montag bis Freitag von 9:00 Uhr bis 17:00 Uhr.
Der Server »MVSSRV01« ist für die Verwendung von Schattenkopien
konfiguriert. Diese werden immer um 00:00 Uhr erstellt. Im Ordner
mvsnetordners liegen die Dateien Subskribenten.mdb und
Subskribenten_cash.mdb.
Für einige Monate müssen Benutzer häufig auf die beiden
Datenbankdateien in mvsnetordners zugreifen. An einem Montagmorgen
teilt Ihnen eine Benutzerin mit, dass sie die Datei Subskribenten.mdb
verändern muss, allerdings muss sie die Version verändern, die letzen
Donnerstag um 17 Uhr existierte. Sie müssen »MVSSRV01« so verändern,
dass die nötigen Änderungen erlaubt sind. Sie müssen außerdem dafür
sorgen, dass die anderen Benutzer weiterhin auf die aktuellen Daten ohne
Unterbrechungen zugreifen können. Als erstes verbinden Sie das Laufwerk
\\MVSSRV01\mvsnetordners.
Welche weitere/n zusätzliche/n Aktion/en müssen Sie durchführen?
A

\\MVSSRV01\mvsnetordners zu.
B

\\MVSSRV01\mvsnetordners\Subskribenten.mdb zu.
C

Sie stellen die Freitagsversion von Subskribenten.mdb
wieder her.
D

Sie stellen die Donnerstagsversion von
Subskribenten.mdb wieder her.
E

Sie kopieren die Freitagsversion von
Subskribenten.mdb.
F

Sie kopieren die Donnerstagsversion von
Subskribenten.mdb.
Richtige Antworten: B und F
Begründung
Sie brauchen eine Datei vom letzten Donnerstagabend; wenn die
Schattenkopien um 00:00 Uhr erstellt werden, brauchen Sie die Datei vom
Donnerstagabend 17:00 Uhr. Diese muss von einem Benutzer bearbeitet
werden, alle anderen Benutzer müssen mit der aktuellen Version vom
Freitag weiterarbeiten können. Deshalb müssen Sie sicherstellen, dass der
Zugriff auf die Datei vom Donnerstag möglich ist (Lösungsvorschlag B)
und verwenden die Datei vom Donnerstagabend (Lösungsvorschlag F).
- 371 -
Hilfe
• Datenträger und Dateien\Sichern und Wiederherstellen von
Daten\Sichern und Wiederherstellen von Daten\Zugreifen auf
vorherige Versionen von freigegebenen Kopien und Ordnern\So wird
es gemacht\Kopieren einer vorherigen Version einer Datei an einen
neuen Speicherort
MS Training
• Seite 963
- 372 -
Frage 55
Netzwerk beinhaltet einen Dateiserver mit der Bezeichnung »MVSSRV48«,
auf dem Windows Server 2003 läuft. Sie erstellen eine automatische
Systemwiederherstellungsdiskette für »MVSSRV48« und sichern die
Systemstatusdaten auf dem Sicherungsserver.
Drei Wochen später werden die Daten auf dem Systemlaufwerk von
»MVSSRV48« von einem Virus beschädigt. Wenn Sie den Server
»MVSSRV48« neu starten, können Sie nicht auf das Bootmenü zugreifen.
Sie müssen eine Wiederherstellung auf »MVSSRV48« starten.
Arbeiten
Arbeitsschritte
Sie bearbeiten im Bios des
Rechners die Bootreihenfolge und
legen fest, dass zuerst auf der
Festplatte gesucht wird. Im
Anschluss führen Sie einen
Neustart des Rechners durch.
1 Hier einfügen
.
Sie legen die Original Windows
Server 2003 Installations-CD ein
Servers durch.
2 Hier einfügen
.
Sie legen die Notfalldiskette ins
Laufwerk A ein.
3 Hier einfügen
.
Sie legen die Diskette für die
automatische
Laufwerk A ein.
Sie drücke die Taste DELETE beim
Sie drücken die F2-Taste beim
- 373 -
Richtige Antwort:
Arbeitsschritte
1 Sie legen die Original Windows
. Server 2003 Installations-CD ein
Servers durch.
2 Sie drücken die F2-Taste beim
. Hochfahren des Rechners.
3 Sie legen die Diskette für die
. automatische
Laufwerk A ein.
Begründung
Der Ablauf einer automatischen Systemwiederherstellung mit Hilfe der
ASR-Diskette unter Windows Server 2003 läuft ab, wie oben beschrieben.
Hilfe
Daten\Wiederherstellung\Konzepte\Grundlegendes zur
Wiederherstellung nach einem Systemausfall\Übersicht über die
automatische Systemwiederherstellung (ASR)
MS Training
• Seite 26
- 374 -
Frage 56
Netzwerk besteht aus acht DNS-Servern. Sie verwenden den DNSNamensraum MVSNET.DE im Netzwerk. Alle acht DNS-Server müssen so
konfiguriert werden, dass sie die Erlaubnis haben, Hostnamen im
Namensraum MVSNET.DE aufzulösen.
Die folgende Abbildung zeigt, wie die einzelnen Server konfiguriert
werden, damit sie den MVSNET.DE-Namensraum unterstützen:
Servername
MVSNET.DE
»MVSDNS01«
»MVSDNS02«
»MVSDNS03«
Sekundäre Zone
»MVSDNS04«
Sekundäre Zone
»MVSDNS05«
Stubzone
»MVSDNS06«
Stubzone
»MVSDNS07«
»MVSDNS08«
Zurzeit gibt es einige falsche Namensservereinträge in der Zone
MVSNET.DE. Sie löschen alle existierenden Einträge und müssen nun
wieder alle Namensservereinträge der Server hinzufügen, die für die Zone
MVSNET.DE zuständig sind.
Welche/r Server sollte/n als Namensserver zur MVSNET.DE-Zone
hinzugefügt werden?
A
{
»MVSDNS02«, »MVSDNS03«, »MVSDNS04«,
»MVSDNS05«, »MVSDNS06«, »MVSDNS07« und
»MVSDNS08« aus und tragen diese Server als
Namensservereintrag bei den Eigenschaften der Zone
MVSNET.DE ein.
B
{
Sie wählen den DNS-Server »MVSDNS01« aus und
tragen diesen Server als Namensservereintrag bei den
- 375 -
C
{
D
{
E
{
Richtige Antwort: B
Begründung
Der Schlüssel zu dieser Frage ist der: Welche Zonen können beschrieben
werden? Nur die Server »MVSDNS01« und »MVSDNS02« haben
beschreibbare Zonen. Da diese auch im Active Directory gespeichert sind,
ist es nur nötig, die Änderungen auf einem Server vorzunehmen. Die
anschließende Replikation aller anderen Zonen (auf die Server
»MVSDNS03«, »MVSDNS04«, »MVSDNS05« und »MVSDNS06«) findet
automatisch statt. Falls man die Replikation nicht abwarten will, kann man
diese von Hand starten. Die Server »MVSDNS07« und »MVSDNS08«
haben offensichtlich gar kein Zone, das bedeutet, die Server sind nur
Cache-DNS und bekommen ihre Informationen automatisch.
Hilfe
DNS\Grundlegendes zu Zonen und Zonenübertragungen
DNS\Integration von Active Directory
von Servern\Verwendung von Weiterleitung
MS Training
• Seiten 539, 583 und 682
- 376 -
Frage 57
Sie verwenden das Sicherungsprogramm, um jede Nacht eine komplette
Sicherung von »MVSDC001« durchzuführen. Sie stellen sicher, dass das
Active Directory auch gesichert wird. Eine Woche später akzeptiert
»MVSDC001« keine Anmeldeanfragen mehr. Bei Nachforschungen stellen
Sie fest, dass die Active Directory-Konfiguration beschädigt ist. Sie
müssen »MVSDC001« als Inhaber der Betriebsmasterrolle
schnellstmöglich wiederherstellen.
Welche Schritte führen Sie aus, um das Problem zu lösen?
A

Sie starten »MVSDC001« im Modus
Verzeichnisdienstwiederstellung neu.
B

Sie stufen »MVSDC001« zu einem Mitgliedsserver
zurück.
C

Sie lassen das Kommando ntbackup systemstate auf
D

Sie lassen das Sicherungsprogramm laufen, um die
Option für das Wiederherstellen der
Systemstatusdaten auszuwählen.
E

Sie lassen das Kommando ntdsutil auf »MVSDC001«
laufen.
Richtige Antworten: A und D
Begründung
Sie müssen die Systemstatusdaten wiederherstellen. In den
Systemstatusdaten befinden sich auch die Active Directory-Daten. Eine
Wiederherstellung der Systemstatusdaten ist im laufenden Betrieb nicht
möglich. Sie müssen den besagten Domänencontroller neu starten und
beim Start den Punkt Verzeichnisdienstwiederherstellung auswählen.
In diesem Modus wird kein Active Directory gestartet, und Sie können den
Domänencontroller wiederherstellen.
- 377 -
Hilfe
Daten\Konzepte\Grundlegendes zur Sicherung\Autorisierende,
primäre und normale Wiederherstellung
gemacht\Wiederherstellen von Daten\Wiederherstellen von
Systemstatusdaten
MS Training
• Seite 186
- 378 -
Frage 58
Der Benutzer Daniel verwendet einen Clientcomputer mit der Bezeichnung
»MVSCL034«. Dieser Computer hat ein lokal hinzugefügtes Bandlaufwerk.
Sie geben Daniel die notwendigen Berechtigungen, so dass dieser eine
Sicherung des Mitgliedservers »MVSSRV02« durchführen kann. Daniel
lässt das Sicherungsprogramm auf dem Server »MVSSRV02« laufen und
sichert alle lokalen Dateien.
Sie müssen Ihren Clientcomputer (»MVSCL089«) verwenden, um die
letzten Sicherungsprotokolle für den Server »MVSSRV02« einzusehen. Auf
diesem Rechner sind die Windows Server 2003-Verwaltungstools
installiert.
Wie gehen Sie vor?
A
{
Sie verwenden einen Editor, um den Inhalt der
Sicherungsreporte auf »MVSSRV02« anzusehen.
B
{
Sie verbinden sich zum Client »MVSCL034« und
verwenden einen Editor, um den Inhalt der
Sicherungsreporte auf »MVSCL034« anzusehen.
C
{
D
{
Richtige Antwort: B
Begründung
Die Prokolldateien der Sicherung werden im Benutzerprofil von Daniel
gespeichert, da er für die Sicherung der Daten ein lokales Bandlaufwerk
verwendet, das an seinem Rechner angeschlossen ist. Eine Einsicht in die
Prokolldateien bekommen Sie nur auf dem Client, von dem aus die
Sicherung lief. (C:\Dokumente und Einstellungen \%Username% \Lokale
Einstellungen\Microsoft\WindowsNT\NTBackup\Data.) Daher kann in
diesem Fall nur der Lösungsvorschlag B richtig sein.
Die Hinweise auf den Server (Lösungsvorschläge A, C und D) bringen nur
einen Teilgewinn. Durch die Auswertung der jeweiligen
Anwendungsprotokolldateien stellen Sie nur fest, wann die Sicherung
gestartet und beendet wurde.
- 379 -
Hilfe
MS Training
- 380 -
Frage 59
Das Netzwerk beinhaltet fünf Domänencontroller und fünf Mitgliedsserver.
Der Mitgliedsserver »MVSSRV03« hat ein lokal hinzugefügtes
Bandlaufwerk. Sie haben insgesamt fünf Sicherungsbänder, die Sie für
»MVSSRV03« verwenden können. Sie müssen jede Woche alle Daten auf
»MVSSRV03« sichern, jedoch nicht jeden Tag. Sie müssen aber die
Möglichkeit haben, »MVSSRV03« auf den Stand des Vortages
zurückzusetzen, dabei sollen Sie jedoch maximal zwei Bänder verwenden.
A
{
Differenzsicherung.
B
{
C
{
Jede Woche eine normale Sicherung und jeden zweiten
Tag eine Differenzsicherung, am dritten Tag dann eine
D
{
Jeden Tag eine normale Sicherung.
Richtige Antwort: A
Begründung
Grundsätzlich haben Sie hier zwei Möglichkeiten. Beim Lösungsvorschlag A
führen Sie ein Vollsicherung einmal in der Woche und jeden weiteren Tag
eine Differenzsicherung durch. Damit haben Sie nur zwei Bänder
beansprucht und die Möglichkeit, den Vortagesstand wiederherzustellen.
Der Lösungsvorschlag D würde ebenfalls hinsichtlich dieser Anforderung
funktionieren, stellt aber einen zusätzlichen Performance- und Zeitverlust
dar.
Hilfe
Daten\Konzepte\Grundlegendes zur Sicherung\Sicherungsarten
MS Training
• Seite 938
- 381 -
Frage 60
Server 2003, auf den Workstations Windows XP Professional. Ein
Dateiserver mit der Bezeichnung »MVSFL002« ist als Server für das
verteilte Dateisystem konfiguriert.
Die Laufwerkskonfiguration von »MVSFL002« ist in der folgenden Tabelle
dargestellt:
Festplatte
Volume
Inhalt
0
System
Systemdaten
1
Daten
Datenbankdaten
1
Benutzer
Benutzerdaten
Das Volume Benutzer hat einen freigegebenen Ordner mit der
Bezeichnung Buecher. Sie verwenden die Gruppenrichtlinien, um die
Schattenkopieclientsoftware auf alle Clientcomputer zu verteilen.
Trotzdem berichten Benutzer, dass sie auf keine der letzten Versionen der
Daten von Buecher zugreifen können. Sie öffnen von Ihrem
Clientcomputer aus die Eigenschaften von Buecher und sehen, dass die
Gruppe Jeder Vollzugriff auf diese Daten besitzt. Sie müssen allen
Benutzern erlauben, auf die vorherigen Versionen der Dateien auf Buecher
zuzugreifen. Sie wollen »MVSFL002« verändern, um dieses Ziel zu
erreichen.
Wie gehen Sie vor?
A
{
Sie deaktivieren die Verwendung des verteilten
Dateisystems auf dem Rechner.
B
{
Sie erstellen einen DFS-Link zu Buecher.
C
{
Sie erlauben das Erstellen von Schattenkopien von
Buecher.
D
{
Sie schalten das Quota Management auf Buecher aus.
Richtige Antwort: C
Begründung
Um den Zugriff zur vorherigen Version zu erhalten, sind zwei
Arbeitsschritte notwendig. Die Arbeitsstationen müssen den
Schattenkopieclient installiert haben, und auf dem Datenträger des
- 382 -
freigegebenen Ordners muss die Verwendung von Schattenkopien aktiviert
sein. Resultat hieraus ist die richtige Antwort C.
Der Lösungsvorschlag A ist falsch, da das verteilte Dateisystem (DFS)
nichts mit Schattenkopien zu tun hat. Der Lösungsvorschlag B birgt die
gleiche Problematik. Der Lösungsvorschlag D hat auch nichts damit zu
tun, da das Quota Management bei der Standardinstallation nicht aktiviert
ist.
Hilfe
Ordnern\Konzepte\Übersicht über Schattenkopien auf gemeinsam
genutzten Ordnern
MS Training
• Seite 964
- 383 -
Frage 61
allen Servern des Netzwerkes läuft Windows Server 2003. Auf dem
Dateiserver mit der Bezeichnung »MVSSRV03« sind Schattenkopien
konfiguriert.
Dieser Server hat unter anderem einen freigegebene Ordner Namens
mvsdocs mit der Datei mvsmailaccounts.xls als Inhalt. Während Sie
eine ältere Version von mvsdocs einsehen, öffnen und verändern Sie die
Datei mvsmailaccounts.xls. Wenn Sie versuchen, diese veränderte Datei
zu speichern, bekommen Sie die folgende Fehlermeldung:
Sie müssen die Änderungen an der vorherigen Version von
mvsmailaccounts.xls speichern. Außerdem müssen Sie dafür sorgen,
dass andere Benutzer ohne Unterbrechungen weiterhin auf die aktuelle
Version von mvsmailaccounts.xls zugreifen können.
A
{
Sie kopieren die frühere Version von mvsdocs an eine
andere Stelle.
B
{
Sie stellen die frühere Version von mvsdocs am jetzigen
Speicherort wieder her.
C
{
Sie speichern mvsmailaccounts.xls an einem anderen
Ort, indem Sie Microsoft Excel verwenden.
D
{
Sie weisen in den Sicherheitseinstellungen von
mvsmailaccounts.xls der Gruppe Jeder die
Berechtigung Ändern zu.
Richtige Antwort: C
Begründung
Wenn Sie eine vorhergehende Version einer Datei geöffnet haben, so ist
diese schreibgeschützt. Sie können die Datei abändern, müssen sie aber
in einem neuen Ordner abspeichern. Also ist in diesem Fall der
Lösungsvorschlag C richtig. Sie haben Änderungen an der Datei
vorgenommen. Sie können die Datei nicht in einen neuen Ordner
kopieren, ohne dabei ihre Änderungen zu verlieren (A). Deshalb müssen
- 384 -
sie die neue Datei an einem anderen Platz abspeichern. Der
Lösungsvorschlag B ist auch falsch, da hier auch Änderungen an der Datei
vorgenommen wurden. Der Lösungsvorschlag D geht auch nicht, man
kann nicht die Berechtigungen der vorhergehenden Datei abändern.
Hilfe
Ordnern\Konzepte\Übersicht über Schattenkopien auf gemeinsam
genutzten Ordnern
MS Training
- 385 -
Frage 62
Auf dem Mitgliedsserver »MVSSRV06« erstellen Sie einen Ordner mit der
Bezeichnung MVSDokumente und geben diesen frei. Auf diesem Ordner
werden Projektdokumente gespeichert. Sie konfigurieren Schattenkopien
für das Volume, das die Freigabe MVSDokumente beinhaltet. Sie müssen
den Clientcomputern erlauben, auf die vorherigen Versionen der
Dokumente zuzugreifen.
Wie gehen Sie vor?
A
{
Sie erstellen eine Gruppenrichtlinie, um Offlinedateien
auf allen Clientcomputern zu erlauben.
B
{
Sie erstellen eine Gruppenrichtlinie, die die Software des
Schattenkopieclient auf allen Clientcomputern installiert.
C
{
Sie erlauben den Vollzugriff auf MVSDokumente für alle
Benutzer.
D
{
Sie installieren auf jedem Clientcomputer das
Sicherungsprogramm und lassen eine tägliche Sicherung
laufen.
Richtige Antwort: B
Begründung
Schattenkopien der freigegebenen Ordner sind in Windows Server 2003
integriert. Bei W98-, WNT-, W2K- (ab SP3) und WXP-Clients müssen Sie
den Schattenkopieclient installieren. Der einfachste Weg ist die Verteilung
mit Gruppenrichtlinien (Lösungsvorschlag B).
Der Lösungsvorschlag A ist nicht richtig, da die Thematik Offlinedateien in
diesem Beispiel nicht relevant ist. Der Lösungsvorschlag C ist ebenfalls
falsch, da die Benutzer keinen Vollzugriff auf die Datei benötigen. Nur mit
Vollzugriff alleine sind die Benutzer auch nicht in der Lage, auf vorherige
Versionen von Dateien zuzugreifen. Lösungsvorschlag D hat mit
Schattenkopien nichts zu tun. Eine tägliche Sicherung würde nur einen
momentanen Zustand der bearbeiteten Dateien liefern.
- 386 -
Hilfe
genutzten Ordnern\Bereitstellen der Clientsoftware für
Schattenkopien
MS Training
• Seite 964
- 387 -
Frage 63
Server 2003. Jeder Domänencontroller besteht aus einem Laufwerk, das
sowohl als System- als auch als Bootpartition konfiguriert ist.
Sie verwenden die Sicherungssoftware, um jeden Tag eine Sicherung von
allen Benutzerprofilen und Benutzerdaten durchzuführen. Die
Sicherungssoftware ist mit einer bootfähigen Diskette versehen, die die
Treiber für die Sicherungsmedien beinhaltet. Jeden Samstag lassen Sie
den Automatischen Systemwiederherstellungsassistenten in Verbindung
mit dem entfernbaren Sicherungsmedium auf Ihren Domänencontrollern
laufen. Die Daten werden in einer Datei mit der Bezeichnung
backup1.bkf gesichert. Am Montagmorgen installieren Sie eine neue
Applikation auf dem Domänencontroller »MVSDC001«. Wenn Sie
»MVSDC001« neu starten, erhalten Sie folgende Fehlermeldung:
NTLDR ist nicht vorhanden. Drücken Sie eine beliebige Taste, um
den Computer neu zu starten.
Sie müssen »MVSDC001« so schnell wie möglich wieder online bringen.
A
{
Installations-CD verwenden, installieren das
Betriebssystem neu und stellen den Inhalt der letzten
Vollsicherung mit dem Wiederherstellungsassistenten
wieder her. Dann starten Sie »MVSDC001« neu.
B
{
Installations-CD verwenden und stellen den Inhalt von
backup1.bkf wieder her, indem Sie das ASR-Laufwerk
verwenden. Sie starten dann »MVSDC001« neu.
C
{
von backup1.bkf vom Sicherungsmedium auf C:\winnt.
Anschließend starten Sie den Server »MVSDC001« neu.
D
{
des ASR-Laufwerkes auf C:\. Anschließend starten Sie
»MVSDC001« neu.
Richtige Antwort: B
- 388 -
Begründung
Um die Automatische Systemwiederherstellung vorzubereiten, müssen Sie
den Automatischen Systemwiederherstellungsassistenten starten. Dieser
ist ein Teil der Sicherungssoftware. Zugriff auf diesen Assistenten erhalten
Sie, wenn Sie die Sicherungssoftware im erweiterten Modus starten.
Klicken Sie auf Tools und wählen den ASR-Assistenten aus.
Die Automatische Systemwiederherstellung sichert den Systemstatus, die
Systemdienste und alle mit den Betriebssystemkomponenten verknüpften
Datenträger. Sie erstellt auch eine Startdiskette mit Informationen zur
Sicherung, zu den Datenträgerkonfigurationen (einschließlich des
Basisdatenträgers und dynamischer Datenträger) und zur Durchführung
einer Wiederherstellung. Es werden keine anderen Dateien wie z. B.
Programme oder Benutzerdaten mitgespeichert, außer Sie verwenden die
Option Alle Informationen auf diesem Computer im Assistenten.
Dabei werden ebenfalls eine ASR-Diskette und ein ASR-Satz erstellt und
zudem Daten gesichert.
Der Lösungsvorschlag A ist falsch, weil es nicht notwendig ist, das ganze
Betriebssystem wiederherzustellen. Das Benutzen von ASR ist dazu ein
viel einfacherer Weg. Die Lösungsvorschläge C und D fallen weg, da ein
manuelles Kopieren von backup1.bfk nach C:\ nicht funktioniert. Sie
müssen den ASR-Prozess ausführen.
Hilfe
• Datenträger und Daten\Sicherung und Wiederherstellen von
Wiederherstellung nach einem Systemausfall\Übersicht über die
automatische Systemwiederherstellung (ASR)
MS Training
• Seite 26
- 389 -
Frage 64
Server 2003.
Sie sind dafür verantwortlich, den Prozess für die Sicherung und
Wiederherstellung für alle Server zu definieren. Um die Sicherheit zu
steigern, verteilt die IT-Abteilung Zertifikate an alle Netzwerkbenutzer.
Smartcards werden für die Anmeldung an der Domäne erforderlich sein.
Der Domänencontroller »MVSDC001« ist als Zertifikatsserver konfiguriert.
Sie müssen einen Sicherungsplan für »MVSDC001« erstellen. Die
Sicherung soll nur das Minimum der Daten enthalten, die benötigt werden,
um das Active Directory und den Zertifikatsserver wiederherzustellen.
Welche Aktion/Aktionen führen Sie aus?
A

Sie sichern die Systemstatusdaten.
B

Sie sichern C:\windows\ntds.
C

Sie sichern C:\windows\sysvol.
D

Sie sichern C:\windows\system32\certsrv.
Richtige Antwort: A
Begründung
Zum Sichern des Active Directorys und der Datenbank des
Zertifikatsservers sollten Sie die Systemstatusdaten sichern. Es ist kein
Backup des gesamten Systems!
Diese Daten müssen als eine Einheit gesichert werden und beinhalten:
•
•
•
•
Registrierdatenbank
COM+ Komponentendienstedatenbank
Bootfiles, inklusive Systemfiles
Files unter Windows-Dateischutz, z. B. Dateien mit den
Erweiterungen *.sys, *.dll, *.ocx, *.ttf, *.fon und *.exe.
Für Server, die als Zertifikatsserver konfiguriert wurden, enthalten die
Systemstatusdaten zusätzlich die Zertifikatsdienstedatenbank.
Wenn der Server zu einem Domänencontroller konfiguriert wurde, werden
nebenbei die Active Directory-Dienste und das SYSVOL-Verzeichnis
mitgesichert.
- 390 -
Hilfe
Daten\Konzepte\Grundlegendes zur Sicherung\Systemstatusdaten
• Sicherheit\Infrastruktur öffentlicher
Zertifikatsdiensten\Zertifizierungsdatenbank
MS Training
• Seiten 907, 972, 1111 und 1244
- 391 -
Frage 65
und Windows XP Professional Computer. Die Standarddomänenrichtlinien
wurden durch das Importieren von Sicherheitsvorlagen verändert, die
Vorlagen beinhalten einige Sicherheitseinstellungen.
Auf dem Server mit der Bezeichnung »MVSSRV01« soll ein Programm
eventuelle Veränderungen auswerten. Sie müssen herausfinden, ob
zusätzliche Sicherheitseinstellungen in den lokalen Sicherheitsrichtlinien
auf »MVSSRV01«hinzugefügt worden sind. Um diesen Fehler zu beheben,
wollen Sie ein Tool verwenden, das die aktuellen Sicherheitseinstellungen
von »MVSSRV01« mit der Sicherheitsvorlagendatei vergleicht, um
festzustellen, ob irgendwelche Einstellungen zu den lokalen
Sicherheitsrichtlinien hinzugefügt wurden.
Welches Tool sollten Sie auf »MVSSRV01« laufen lassen?
A
{
Microsoft Baseline Sicherheits-Analyse (MBSA).
B
{
Sicherheitskonfigurations- und Analyse-Konsole.
C
{
gpresult.exe.
D
{
gpupdate.exe.
Richtige Antwort: B
Begründung
Die Sicherheits-, Konfigurations- und Analysekonsole vergleicht die
lokalen Sicherheitseinstellungen mit einer Vorlage. Wenn Sie ein System
analysieren, wird die Differenz zwischen dem lokalen Computer und der
definierten Vorlage in einer Protokolldatei festgehalten. Aus diesem Grund
ist der Lösungsvorschlag B richtig.
Der Lösungsvorschlag A ist falsch, weil der MBSA zum Überprüfen
hinsichtlich fehlender Sicherheitsupdates oder Sicherheitsfixes und
Sicherheitseinstellungen verwendet wird. Er kann keine
Sicherheitseinstellungen mit einer Sicherheitsvorlage vergleichen. Der
Lösungsvorschlag C ist falsch, weil gpresult.exe das Ergebnis der
konfigurierten und an einem Objekt angewandten Richtlinien anzeigt. In
diesem Szenario kann es nicht verwendet werden. Ebenso ist der
Lösungsvorschlag D falsch, weil hier ein Refresh der Gruppenrichtlinien
durchgeführt wird.
- 392 -
Hilfe
• Sicherheit\Sicherheitskonfigurationsmanager\Konzepte\Übersicht
über den Sicherheitskonfigurationsmanager\Übersicht über
Sicherheitskonfiguration und -analyse
MS Training
- 393 -
Frage 66
Bezeichnung MVSNET.DE. Das Netzwerk in Ihrem Büro besteht aus 20
Windows XP Professional Computern, die Domäne aus einer
Organisationseinheit mit dem Namen Kroniche_Housenkuh.
Sie müssen die Computer in Ihrem Büro daran hindern, nicht autorisierte
Skripte, die in der Microsoft Visual Basic, Scripting Editon (VBScript)Sprache geschrieben wurden, auszuführen. Sie wollen aber trotzdem in
der Lage sein, VBScripts-Dateien als Startskripte auf allen Computern in
Ihrem Büro zu verwenden. Sie müssen eine Lösung einführen, die keine
anderen Applikationen betreffen wird. Sie planen Softwarebe-/einschränkungsrichtlinien mit der Verwendung einer Gruppenrichtlinie auf
die Organisationseinheit Kroniche_Housenkuh anzuwenden. Sie setzen
den Standardsicherheitslevel auf Uneingeschränkt.
Welche Aktionen müssen Sie ausführen, um die
Softwareeinschränkungsrichtlinien zu konfigurieren?
A

Sicherheitslevel der Regel auf Uneingeschränkt. Sie
wollen.
B

Sicherheitslevel der Regel auf Eingeschränkt. Sie
wollen.
C

den Pfad auf *.vbs.
D

Sicherheitslevel der Regel auf Eingeschränkt und den
Pfad auf *.vbs.
E

Sicherheitslevel der Regel auf Uneingeschränkt die
F

Sicherheitslevel der Regel auf Eingeschränkt und die
- 394 -
Begründung
Die richtigen Lösungsvorschläge sind hier A und D: A schützt vor der
Ausführung eines VBScripts, die Zertifikatsregel hat eine höhere Priorität
als eine Pfadregel, somit kann das VBScript ausgeführt werden.
Hierzu ist ein kleiner Ausflug in die Welt der Richtlinien für
Softwareeinschränkung unter Anwendung von Regeln vonnöten: Eine
Regel dient dazu, Softwareanwendungen zu identifizieren und das
Ausführen zu erlauben oder zu unterbinden. Eine Regel zu erstellen,
hauptsächlich zur Identifizierung, ist eine Ausnahme der Hauptregel. Jede
Regel kann eine Klartextbeschreibung beinhalten, die erläutert, warum
diese Regel erstellt wurde. Die Richtlinie zur Softwareeinschränkung
unterstützt die folgenden Wege zur Identifizierung der Software:
Hash
ein kryptographischer Fingerabdruck einer Datei
Zertifikat
zur digitalen Signierung einer Datei
Pfad der lokale oder der Universal Naming Convention (UNC)-Pfad einer
Datei
Zone
Internetzone.
Priorität: Von der höchsten zur niedrigsten Regel
•
•
•
•
Hashregel
Zertifikatsregel
Pfadregel
Internetzonenregel.
Hashregel
Ein eindeutiger kryptographischer Fingerabdruck einer Datei, egal wer
darauf zugreift oder wie die Datei benannt wird. Ein Administrator möchte
z. B. nicht, dass ein Programm ausgeführt wird, weil es
Sicherheitsprobleme hervorruft oder die Stabilität des Systems
beeinträchtigt, Software kann umbenannt oder an einen anderen
physikalischen Platz (andere HDD) verschoben werden. Dafür verwendet
man den Hash, dieser basiert auf einer kryptographischen Berechnung, in
die der Inhalt der Files mit einbezogen wird.
Eine Hash Regel besteht aus drei Teilen, getrennt durch einen
Doppelpunkt:
- 395 -
• MD5- oder SHA-1-Hashwert
• Dateilänge
• Hashalgorithmus-ID
und ist folgendermaßen formatiert:
[MD5- oder SHA1-Hashwert]:[Dateilänge]:[Hashalgorithmus ID].
Digital signierte Dateien benutzen den Hashwert, wie er in den Signaturen
beinhaltet ist, z. B. SHA-1 oder MD5. Dateien, die nicht digital signiert
sind, benutzen den MD5-Hash.
Beispiel: Die folgende Hashregel stammt von einer Datei (Größe 126
Bytes) und deren Inhalt ergibt den folgende MD5-Hash von
7bc04acc0d8480af862d22d724c3b049:
7bc04acc0d8480af862d22d724c3b049:126:32771 (MD5-Hash,
gekennzeichnet mit dem hash algorithm identifier von 32771).
Zertifikatsregel
Eine Zertifikatsregel spezifiziert ein Software Publisherzertifikat.
Beispiel: Eine Firma fordert, dass alle Skripte und ActiveX-Elemente mit
einem Herstellerzertifikat signiert werden. Zertifikate in einer
Zertifikatsregel können entweder über eine kommerzielle
Zertifizierungsstelle wie z. B. VeriSign, ein Windows 2000/Windows Server
2003 PKI oder ein selbst gezeichnetes Zertifikat bezogen werden. Eine
Zertifikatsregel ist ein sicherer Weg zur Identifizierung einer Software.
Das Zertifikat benutzt signierte Hashes, diese enthalten die Signatur der
signierten Dateien, unabhängig vom Namen und der Lokalität.
Pfadregel
Eine Pfadregel spezifiziert einen Ordner oder einen vollqualifizierten Pfad
zu einem Programm. Wenn eine Pfadregel einen Ordner spezifiziert,
beinhaltet dies das Programm in diesem und in allen Unterordnern. Es
werden lokale und UNC-Pfade unterstützt.
Zonenregel
Identifiziert Software, die über den Internet Explorer in der
entsprechenden Zone gespeichert wurde.
Die anderen Lösungsvorschläge sind falsch. Beim Lösungsvorschlag B
würden alle Skripte, bis auf das geforderte, ausgeführt werden können.
Beim Lösungsvorschlag C würden alle Skripte und zwar ohne
Einschränkung ausgeführt werden können. Zu guter Letzt sind die
Lösungsvorschläge E und F hier nicht einsetzbar, weil aufgrund der
Aufgabenstellung keine Zonenregel anwendbar ist.
Hilfe
- 396 -
• Sicherheit\Konzepte\Sicherheitsstufen und zusätzliche Regeln
MS Training
• Seiten 480ff.
- 397 -
Frage 67
Netzwerk besteht aus einer einzigen Gesamtstruktur mit zwei Domänen
mit den Bezeichnungen MVSNET.DE und KC.MVSNET.DE und aus 15
Subnetzen. Die Domänencontroller sind wie in der nachstehenden Tabelle
dargestellt konfiguriert:
Domänencontroller
Domäne
Zone
Zonentyp
Stub Zone
»MVSDNS01«
MVSNET.DE
MVSNET.DE
ADintegriert
KC.MVSNET.DE
»MVSDNS02«
MVSNET.DE
MVSNET.DE
ADintegriert
KC.MVSNET.DE
»MVSDNS03«
KC.MVSNET.DE
KC.MVSNET.DE
ADintegriert
MVSNET.DE
»MVSDNS04«
KC.MVSNET.DE
KC.MVSNET.DE
ADintegriert
MVSNET.DE
Die Domänencontroller »MVSDNS01« und »MVSDNS02« sind in der
Domäne MVSNET.DE registriert, alle anderen Server in der Domäne
KC.MVSNET.DE. Sie erstellen Reverse-Lookup-Einträge für alle Subnetze.
Innerhalb der Domänen versehen etliche Windows NT 4.0 Server ihren
Dienst als Datei- und Druckserver, unter anderen auch der Server
»MVSSRV05«. Sie setzen für den Server »MVSSRV05« eine statische IPAdresse. Sie müssen sicherstellen, dass der Server »MVSSRV05« im DNS
registriert wird.
Welche Ressourceeinträge sollten Sie verändern?
A

Den Zeigereintrag (PTR) in der KC.MVSNET.DE-Zone.
B

Den Hosteintrag (A) in der KC.MVSNET.DE-Zone.
C

Den Aliaseintrag (CNAME) in der KC.MVSNET.DE-Zone.
D

Den Zeigereintrag (PTR) in der Stubzone.
E

Den Hosteintrag (A) in der Stubzone.
F

Den Aliaseintrag (CNAME) in der Stubzone.
Richtige Antwort: B
Begründung
Unter der Annahme, dass es sich bei dem angegebenen Server um einen
NT-Server handelt, müssen Sie folgendes beachten: Der NT-Server kann
sich nicht im DNS registrieren, Sie müssen das Ganze manuell machen. In
- 398 -
der KC.MVSNET.DE-Zone, in der der NT-Server Mitglied ist, müssen Sie
einen A-Eintrag hinzufügen.
Der Lösungsvorschlag C ist falsch, weil Sie hier keinen Alias(CNAME)Eintrag brauchen. Der Lösungsvorschlag D ist falsch, Stubzonen werden
automatisch aktualisiert und beinhalten nur IP-Adressen von DNSServern. Der Server »MVSSRV05« ist aber ein Dateiserver. Gleiches gilt
für den Lösungsvorschlag E. Einen PTR-Eintrag in einer Forward-LookupZone zu erstellen, so wie im falschen Lösungsvorschlag A wiedergegeben,
funktioniert leider nicht.
Hilfe
Hauptnetzwerkdienste\DNS\Konzepte\Ressourcen\Referenz zu
Ressourceneinträgen
Hauptnetzwerkdienste\DHCP\Konzepte\Verwalten von
DHCP\Interoperabilität\Verwenden von DNS-Servern mit DHCP
MS Training
• Seiten 586, 588 und 610
- 399 -
Frage 68
XP Professional Computer.
Alle Firmennetzwerkadministratoren müssen die administrativen
Verwaltungstools auf jedem Computer, an dem sie sich anmelden, zur
Verfügung haben. Alle Netzwerkadministratoren sind Mitglieder der
Gruppe Domänen-Administratoren. Die Konten der
Netzwerkadministratoren sind auf mehrere Organisationseinheiten verteilt.
Sie müssen dafür sorgen, dass die administrativen Verwaltungstools den
Netzwerkadministratoren zu Verfügung stehen. Außerdem müssen Sie
dafür sorgen, dass diese administrativen Verwaltungstools nur auf
Computern installiert werden, die mindestens 100 MB freien Speicherplatz
haben.
A

adminpak.msi auf der Domänenebene anwendet.
B

adminpak.msi mit der Organisationseinheit
Domänencontroller verknüpft.
C

Sie stellen sicher, dass nur die Gruppe DomänenAdministratoren das Leserecht und die Berechtigung zum
Anwenden von Gruppenrichtlinien hat.
D

Sie verweigern der Gruppe Domänenbenutzer die
Leseberechtigung und das Anwenden von
Gruppenrichtlinien für die neue Gruppenrichtlinie.
E

Win32_logicalDisk-Objekt für mehr als 100 MB freien
Speicherplatz.
F

Win32_logicalDisk-Objekt für weniger als 100 MB freien
Speicherplatz.
Richtige Antworten: A, C und E
Begründung
Sie können die administrativen Verwaltungstools (adminpak.msi) mit
Hilfe der Gruppenrichtlinien verteilen (Lösungsvorschlag A). Um
sicherzustellen, dass nur die Mitglieder der Gruppe der Domänen- 400 -
Administratoren diese administrativen Verwaltungstools erhalten, müssen
Sie der Gruppe das Recht Gruppenrichtlinie lesen und
Gruppenrichtlinie übernehmen gewähren (Lösungsvorschlag C).
Danach erstellen Sie einen WMI-Filter, der Win32_LogicalDisk-Objekte
nach mehr als 100 MB freien Speicherplatz auf der HDD abfragt
(Lösungsvorschlag E).
Nicht richtig sind die Lösungsvorschläge B, D und F. Beim
Lösungsvorschlag B würden die Tools nur am Domänencontroller bei der
lokalen Anmeldung installiert werden. Außerdem muss die
Gruppenrichtlinie auf Domänenebene zugewiesen werden. Nur dann kann
das adminpak.msi an jedem Computer installiert werden. Der
Lösungsvorschlag D funktioniert nicht, da die Domänen-Administratoren
auch Mitglieder der Gruppe Domänenbenutzer sind. Somit würde die
Gruppenrichtlinie nicht abgearbeitet werden. Der Lösungsvorschlag F ist
falsch, weil das adminpak.msi installiert werden soll, wenn mehr und
nicht weniger als 100 MB zur Verfügung stehen.
Hilfe
• Häufige administrative Aufgaben\Bereitstellen und Aktualisierung von
Software
• Hilfe und Supportcenter, Suchbegriff: “Gruppenrichtlinien WMI Filter”
• Übersicht über WMI-Filter: Filter für WindowsVerwaltungsinstrumentation
MS Training
• Seiten 311f. und 430
- 401 -
Frage 69
Netzwerk besteht aus einem einzelnen Verzeichnisdienst mit der
XP Professional Computer. Die definierten Sicherheitsrichtlinien erlauben
es den Benutzern, das verschlüsselnde Dateisystem (EFS) auf tragbaren
Computern zu verwenden. Alle tragbaren Computer sind in einer eigenen
Organisationseinheit mit dem Namen Clients zusammengefasst.
Der Netzwerksicherheitsadministrator erstellt ein separates
Domänenkonto als Datenwiederherstellungsagent (DRA). Die
Standarddomänenrichtlinien beinhalten die Internet Explorer
Sicherheitseinstellungen; diese sind auf allen Computern der Domäne
erforderlich. Benutzer sind momentan in der Lage, EFS auf allen
Computern, die EFS unterstützen, anzuwenden.
Sie müssen eine neue Gruppenrichtlinie erstellen, um die Einhaltung der
Sicherheitsrichtlinien der Firma sicherzustellen. Um dieses Ziel zu
erreichen, wollen Sie nur eine minimale Anzahl an Gruppenrichtlinien
verlinken. Alle anderen Domänengruppenrichtlinien sollen bestehen
bleiben.
Wie müssen Sie die Gruppenrichtlinien konfigurieren, um sicherzustellen,
dass die Benutzer EFS nur auf tragbaren Computern verwenden können?
Die Objekte haben folgende Distinguished Names:
Server: ou=Server,dc=mvsnet,dc=de
Domäne: dc=mvsnet,dc=de
Desktop: ou=desktop,ou=clients,dc=mvsnet,dc=de
Clients: ou=clients,dc=mvsnet,dc=de
Tragbare Computer: ou=tragbarecomputer,ou=clients, dc=mvsnet,dc=de
- 402 -
A
{
Server = Erlaube den Benutzern das Benutzen von EFS
Domäne = Erlaube den Benutzern das Benutzen von EFS
Desktop = Erstelle einen
Datenwiederherstellungsagenten
Clients = Füge einen Datenwiederherstellungsagenten
hinzu
Tragbare Computer = Erstelle einen
Datenwiederherstellungsagenten.
B
{
Domäne = Erlaube den Benutzern nicht das Benutzen
von EFS
Desktop = Erlaube den Benutzern nicht das Benutzen
von EFS
Clients = Erstelle einen Datenwiederherstellungsagenten
Tragbare Computer = Verhindere die Vererbung der
Richtlinie.
C
{
Server = Die Richtlinienvererbung blockieren
Domäne = Füge einen Datenwiederherstellungsagenten
hinzu
Desktop = Füge einen Datenwiederherstellungsagenten
hinzu
Clients = Erlaube den Benutzern nicht das Benutzen von
EFS
Tragbare Computer = Erlaube den Benutzern nicht das
Benutzen von EFS.
D
{
Domäne = Die Richtlinienvererbung blockieren
Desktop = Erlaube den Benutzern das Benutzen von EFS
Clients = Die Richtlinienvererbung blockieren
Tragbare Computer = Erlaube den Benutzern das
Benutzen von EFS.
Richtige Antwort: B
Begründung
Die Frage hat nichts mit dem Hinzufügen einer DRA-Option für die
Domäne zu tun, sondern legt folgendes fest: Der
Netzwerksicherheitsadministrator erstellt ein separates Domänenkonto für
den Datenwiederherstellungsagent (DRA) und muss nun die Berechtigung
für die Wiederherstellung der verschlüsselten Daten konfigurieren. Er
konfiguriert Erlaube den Benutzern nicht das Benutzen von EFS auf
die Domänengruppenrichtlinie und konfiguriert Erlaube den Benutzern
- 403 -
das Benutzen von EFS auf die Organisationseinheit Tragbare Computer.
Dies wird im Lösungsvorschlag C wiedergegeben.
Hilfe
• Sicherheit\EFS\So wird es gemacht\Wiederherstellen von Dateien
oder Ordnern\Erstellen eine Wiederherstellungsrichtlinie für eine
Domäne
MS Training
• Seite 901
- 404 -
Frage 70
Bezeichnung MVSNET.DE. Das Puchheimer Büro enthält momentan einen
Windows Server 2003 Dateiserver mit der Bezeichnung »MVSFP001«. Alle
Dateiserver des Puchheimer Standortes sind in einer Organisationseinheit
mit dem Namen Server_PUC zusammengefasst. Sie haben die
Berechtigung zugewiesen, Berechtigungen für die Gruppenrichtlinie mit
der Bezeichnung PUCServerGPO zu ändern; diese ist mit der
Organisationseinheit Server_PUC verlinkt.
Die definierten Firmensicherheitsrichtlinien sagen aus, dass neue Server
mit speziellen vordefinierten Sicherheitseinstellungen konfiguriert werden
müssen, wenn diese der Domäne beitreten. Diese Einstellungen
unterscheiden sich leicht von denen der anderen Firmenbüros.
Sie planen Windows Server 2003 auf 15 neuen Computern zu installieren,
die als Dateiserver fungieren sollen. Sie müssen die speziellen
Sicherheitseinstellungen auf den neuen Dateiservern konfigurieren und
sicherstellen, dass die Sicherheitskonfiguration der neuen Dateiserver mit
denen des Servers »MVSFP001« konform geht. Sie exportieren eine Kopie
der lokalen Sicherheitsrichtlinie in eine Kopiervorlage. Nun wollen Sie die
Sicherheitseinstellungen der neuen Server konfigurieren. Dabei sollen Sie
mit minimalem administrativem Aufwand arbeiten.
A
{
Sie verwenden das Sicherheitskonfigurations- und
Analyse-Tool auf einem der neuen Server, um die
Kopiervorlage zu importieren.
B
{
Sie verwenden die
Standarddomänensicherheitsrichtlinienkonsole auf einem
der neuen Server und importieren die Kopiervorlage.
C
{
Sie verwenden die Gruppenrichtlinieneditorkonsole, um
die PUCServerGPO zu öffnen und die Kopiervorlage zu
importieren.
D
{
Sie verwenden die Standardsicherheitsrichtlinienkonsole
auf einem der neuen Server, um die Kopiervorlage zu
importieren.
Richtige Antwort: C
Begründung
Der Gruppenrichtlinieneditor erlaubt es, Richtlinien zu importieren und
abzuändern. Mit Gruppenrichtlinien können Sie auf einfache Art und Weise
beliebig viele Computer konfigurieren. Sie importieren diese Vorlage in
- 405 -
eine neue Gruppenrichtlinie und verknüpfen sie mit der entsprechenden
Organisationseinheit, in der unsere Server enthalten sind. Dies wird im
richtigen Lösungsvorschlag C durchgeführt.
Der Lösungsvorschlag A würde nur einen Server konfigurieren und nicht
wie gefordert alle neuen (also 15 Server). Der Lösungsvorschlag B würde
alle Computer in der Domäne konfigurieren. Der Lösungsvorschlag D ist
mit diesen Werkzeugen nicht durchführbar.
Hilfe
• Sicherheit\Sicherheitskonfigurations-Manager\Konzepte\Übersicht
über Sicherheitsvorlagen
• Sicherheit\Sicherheitskonfigurations-Manager\So wird es
gemacht\Importieren einer Sicherheitsvorlage in ein
Gruppenrichtlinieobjekt
MS Training
- 406 -
Frage 71
Bezeichnung MVSNET.DE. Die Domäne enthält Windows Server 2003 und
Windows XP Professional Computer. Alle vertraulichen Firmendaten
werden auf einem Dateiserver mit dem Namen »MVSFO001« gespeichert.
Die Sicherheitsrichtlinien geben vor, dass alle vertraulichen Daten auf eine
sichere Art gespeichert und versendet werden müssen.
Um mit den Sicherheitsrichtlinien überein zu stimmen, erlauben Sie die
Verwendung des verschlüsselnden Dateisystems (EFS) auf die
vertraulichen Daten. Sie fügen das EFS-Zertifikat dem Beschreibungsfeld
der vertraulichen Daten der Benutzer, die auf diese Daten zugreifen
müssen, hinzu.
Während Sie die Netzwerküberwachung ausführen, stellen Sie fest, dass
die vertraulichen Daten, die auf »MVSFP001« gespeichert sind, über das
Netzwerk unverschlüsselt übertragen werden. Sie müssen dafür sorgen,
dass die Verschlüsselung immer verwendet wird, wenn vertrauliche Daten,
die auf »MVSFP001« gespeichert sind, über das Netzwerk versendet
werden.
Welche zwei Möglichkeiten gibt es, dieses Problem zu lösen?
A

Sie erlauben die Verwendung von Offlinedateien für die
vertraulichen Daten, die auf »MVSFP001« gespeichert
sind, und wählen die Verschlüsselung aus.
B

Sie verwenden die IPSec-Verschlüsselung zwischen
»MVSFP001« und den Clientcomputern der Benutzer, die
auf die vertraulichen Dateien zugreifen müssen.
C

Sie verwenden die Server Message Block-Signierung
(SMB) zwischen »MVSFP001« und den Clientcomputern
der Benutzer, die auf die vertraulichen Daten zugreifen
müssen.
D

Sie verbieten alle LM- und NTLMAuthentifizierungsmethoden auf »MVSFP001«.
E

Sie verwenden IIS, um die vertraulichen Daten bekannt
zu machen. Sie erlauben SSL auf dem IIS-Server und
öffnen die Dateien als Webordner.
Begründung
Grundsätzlich können Sie die Datenübertragung mit folgenden
Mechanismen verwenden:
- 407 -
• Zur Verschlüsselung der Datenübertragung können Sie IPSec
verwenden.
• Zur Verschlüsselung der Datenübertragung können Sie SMB
verwenden.
• Zur Verschlüsselung der Dateien können Sie SSL verwenden.
Zum einen wird die sichere Übertragung durch die Verwendung von IPSec
gewährleistet (Lösungsvorschlag B), zum anderen könnten Sie WebDAV
konfigurieren (Lösungsvorschlag E), um via SSL/443 eine sichere
Übertragung der Daten zu gewährleisten.
Der Lösungsvorschlag C ist falsch, weil die Fragestellung uns nichts über
die Konfiguration der sicheren Datenübertragung mit SMB verrät. In der
Standardkonfiguration bei einem Windows Server 2003
Domänencontroller erfordert die SMB-basierende Kommunikation eine
digitale Signierung. Zusätzlich ist die Richtlinie Daten des sicheren
Kanals digital verschlüsseln oder signieren (immer) aktiviert, jedoch
wird in der Fragestellung nichts über die Konfiguration der Clientcomputer
geschrieben. Daher kann man davon ausgehen, dass WebDAV für die
Übertragung der Dateien eingesetzt werden kann.
Bei der Verwendung von SMB werden die Datenpakete digital signiert. Das
bedeutet, dass man die Daten nicht abfangen, ändern und wieder zurück
an den Client schicken kann, da sonst die digitale Signatur ungültig und
die Echtheit des Absenders nicht mehr bestätigt ist. Es ist jedoch immer
noch möglich, die Daten mitzulesen.
Bei der Verwendung von WebDAV über SSL sind die Datenpakete sowohl
digital signiert als auch verschlüsselt. Daher ist weder ein Abfangen und
Verändern, noch das Mitlesen der Daten möglich.
Die anderen Lösungsvorschläge können verworfen werden: Bei
Lösungsvorschlag A werden nur die Offlinedateien und Ordner lokal auf
dem Client verschlüsselt, nicht aber die Übertragung im Netzwerk. Der
Lösungsvorschlag D hat nichts mit sicherer Datenübertragung zu tun,
sondern mit sicherer Authentifizierung. Der LAN-Manager und NT LANManager ist das Authentifizierungsprotokoll. Wird es wie in diesem
Lösungsvorschlag konfiguriert, dann wird die NTLMv2-Authentifizierung
bzw. die NTLMv2-Sitzungssicherheit verwendet.
Hilfe
des Sicherheitskonfigurations-Managers
MS Training
- 408 -
Frage 72
Sie sind Administrator der Firma MVSPress Ltd. und verwalten ein auf
Windows Server 2003 basierendes Netzwerk. In der Münchner
Geschäftsstelle konfigurieren Sie einen Server mit der Bezeichnung
»MVSFP003.MUC.MVSPRESS.DE«, der als Druckserver eingesetzt wird.
Sie erstellen auf dem Server eine Reihe von Druckern und geben diese für
die Mitarbeiter der Domäne MUC.MVSPRESS.DE frei. Während Sie an
einem Windows XP Professional Clientcomputer arbeiten, möchten Sie die
auf dem Server »MVSFP003.MUC.MVSPRESS.DE« konfigurierten
Eigenschaften aller freigegebenen Drucker in der Münchner
Geschäftsstelle überprüfen.
A
{
http://mvsfp003.muc.mvspress.de/printers/ her.
B
{
http://mvsfp003.mvspress.de/printers/ her.
C
{
Sie führen den Befehl net view \\MVSFP003 aus.
D
{
Sie führen den Befehl net view
\\MVSFP003.MUC.MVSPRESS.DE aus.
Richtige Antwort: A
Begründung
Man kann von jedem Client, der einen Browser installiert hat, auf
Druckserver zugreifen und den Drucker hierüber verwalten. Außerdem
kann man mit Hilfe des Internet Printing Protokolls (IPP) den Drucker auch
über diese Ressourcen ansprechen.
Der Lösungsvorschlag B würde die installierten Drucker auf der Maschine
»MVSFP003« in der Stammdomäne anzeigen. Die Lösungsvorschläge C
und D liefern nur eine Liste von freigegebenen Ressourcen, inklusive
Drucker und Ordner auf dem Rechner »MVSFP003«.
Hilfe
• Internet- und E-Mail-Dienste\Internetinformationsdienste\So wird es
gemacht\Installieren von Internetinformationsdiensten
Drucken\Drucken über das Internet
MS Training
- 409 -
Frage 73
Firma unterhält Büros in drei Ländern. Im Netzwerk befinden sich
Windows Server 2003 und Windows XP Professional Computer. Das
Netzwerk ist wie in der Abbildung dargestellt konfiguriert:
Der Software Update Service (SUS) ist auf jeweils einem Server der
einzelnen Büros installiert. Jeder SUS-Server ist so konfiguriert, dass er
zum Synchronisieren die Standardeinstellungen verwendet. Da die
Bandbreite in jedem Büro begrenzt ist, wollen Sie sicherstellen, dass das
Aktualisieren nur einen minimalen Zeitaufwand in Anspruch nimmt.
Wie gehen Sie vor?
- 410 -
A
{
Sie synchronisieren die Updates mit einem SUS-Server
der anderen Büros.
B
{
Sie wählen nur die Standorte aus, die benötigt werden.
C
{
Service (BITS), um die Größe des Datenverkehrs auf 9
MB zu begrenzen.
D
{
Service (BITS), um unvollständige Jobs alle 20 Minuten
zu löschen.
Richtige Antwort: B
Begründung
Wenn Sie SUS konfigurieren, können Sie die jeweils benötigten Sprachen
auswählen. In unserem Beispiel wählen Sie nur die Ländereinstellungen
aus, die im jeweiligen Standort benötigt werden. In der
Standardkonfiguration werden alle Sprachen heruntergeladen.
Der Lösungsvorschlag A ist falsch, da dadurch die benötigte Bandbreite
nicht reduziert wird, das Datenvolumen bleibt gleich. Beim falschen
Lösungsvorschlag C würden Updates, die größer als 9 MB sind, nicht
heruntergeladen. Der ebenfalls falsche Lösungsvorschlag D bewirkt auch
keine Reduzierung. Es wird lediglich der temporäre Dateiordner sauber
gehalten.
Hilfe
MS Training
• Seite 814
- 411 -
Frage 74
Völk Systems in Puchheim. Das Netzwerk besteht aus einem einzigen
Verzeichnisdienst mit der Bezeichnung MVSNET.DE. Auf allen Computern
in Puchheim läuft Windows XP Professional. Die Domäne enthält eine
Organisationseinheit mit dem Namen PUCClientOU, die alle
Computerobjekte des Puchheimer Büros enthält.
Eine Gruppenrichtlinie mit der Bezeichnung PClientGPO ist mit der
Puchheimer Clientorganisationseinheit verknüpft. Sie haben das Recht
erhalten, die Gruppenrichtlinien zu verändern. PClientGPO enthält eine
Softwarebeschränkungsrichtlinie, die verhindert, dass Dateien die eine
*.vbs-Erweiterung haben, ausgeführt werden. Alle anderen Applikationen
dürfen ausgeführt werden.
Sie wollen ein Skript mit der Bezeichnung Abgleich.vbs verwenden.
Dieses soll jede Nacht auf allen Computer des Puchheimer Büros
ausgeführt werden. Die Datei Abgleich.vbs ist auf einem freigegebenen
Skriptordner auf dem Server »MVSSRV03« gespeichert. Der Inhalt von
Abgleich.vbs wird aufgrund des Abgleichprogramms, das Sie verwenden
möchten, häufig geändert. Sie müssen die Richtlinie für
Softwareeinschränkung so ändern, dass diese verhindert, dass
unautorisierte .vbs-Skripts auf den Computern des Büros in Puchheim
laufen; das Skript Abgleich.vbs hingegen soll laufen. Sie müssen
außerdem sicherstellen, dass keine andere Applikation von dieser
Veränderung/Lösung beeinträchtigt wird. Sie wollen eine Lösung
einsetzen, die sie einmal konfigurieren und anschließend keinen weiteren
administrativen Aufwand mehr haben, auch wenn sich Abgleich.vbs
ändert.
Wie gehen Sie vor?
- 412 -
A
{
Sie besorgen ein digitales Zertifikat und erstellen eine
neue Zertifikatsregel. Dann setzen Sie den
signieren die Datei Abgleich.vbs.
B
{
den Pfad auf \\MVSSRV03\Scripts\*.vbs.
C
{
den Pfad auf \\MVSSRV03\Scripts\Abgleich.vbs.
D
{
Sie erstellen eine neue Hashregel, setzen den
erstellen eine Hashdatei von Abgleich.vbs.
Richtige Antwort: C
Begründung
Hier kann nur eine Pfadregel als Lösung in Frage kommen. Eine Pfadregel
spezifiziert einen Ordner oder einen UNC-Pfad zu einem Programm. Wenn
eine Pfadregel einen Ordner spezifiziert, beinhaltet dies das Programm in
diesem und in allen Unterordnern. Es werden lokale und UNC-Pfade
unterstützt.
In unserem Beispiel ist nur der Lösungsvorschlag C richtig, da sich die
Regel auf Abgleich.vbs bezieht und nicht wie im falschen
Lösungsvorschlag B auf alle Dateien mit der Endung *.vbs.
Die in Lösungsvorschlag D verwendete Hashregel kann bei sich ständig
ändernden Dateien nicht verwendet werden.
Übersicht
Hashregel
Ein eindeutiger kryptographischer Fingerabdruck einer Datei, egal wer
darauf zugreift oder wie die Datei benannt wird. Ein Administrator möchte
z. B. nicht, dass ein Programm ausgeführt wird, weil es
Sicherheitsprobleme hervorruft oder die Stabilität des Systems
beeinträchtigt, Software kann umbenannt oder an einen anderen
physikalischen Platz (andere HDD) verschoben werden. Dafür verwendet
man den Hash, dieser basiert auf einer kryptographischen Berechnung, in
die der Inhalt der Files mit einbezogen wird.
Eine Hash Regel besteht aus drei Teilen, getrennt durch einen
Doppelpunkt:
- 413 -
• MD5- oder SHA-1-Hashwert
• Dateilänge
• Hashalgorithmus-ID
und ist folgendermaßen formatiert:
[MD5- oder SHA-1-Hashwert]:[Dateilänge]:[Hashalgorithmus-ID].
Digital signierte Dateien benutzen den Hashwert, wie er in den Signaturen
beinhaltet ist z. B. SHA-1 oder MD5. Dateien, die nicht digital signiert
sind, benutzen den MD5-Hash.
Beispiel: Die folgende Hashregel stammt von einer Datei (Größe 126
Bytes), und deren Inhalt ergibt den folgende MD5-Hash von
7bc04acc0d8480af862d22d724c3b049:
7bc04acc0d8480af862d22d724c3b049:126:32771 (MD5-Hash,
gekennzeichnet mit dem hash algorithm identifier von 32771).
Zertifikatsregel
Eine Zertifikatsregel spezifiziert ein Software Publisher Zertifikat.
Beispiel: Eine Firma fordert, dass alle Skripte und ActiveX-Elemente mit
einem Herstellerzertifikat signiert werden. Zertifikate in einer
Zertifikatsregel können entweder über eine kommerzielle
Zertifizierungsstelle wie z. B. VeriSign, ein Windows 2000/Windows Server
2003 PKI oder ein selbst gezeichnetes Zertifikat bezogen werden. Eine
Zertifikatsregel ist ein sicherer Weg zur Identifizierung einer Software.
Das Zertifikat benutzt signierte Hashes, diese enthalten die Signatur der
signierten Dateien, unabhängig vom Namen und der Lokalität.
Pfadregel
Eine Pfadregel spezifiziert einen Ordner oder einen vollqualifizierten Pfad
zu einem Programm. Wenn eine Pfadregel einen Ordner spezifiziert,
beinhaltet dies das Programm in diesem und in allen Unterordnern. Es
werden lokale und UNC-Pfade unterstützt.
Zonenregel
Identifiziert Software, die über den Internet Explorer in der
entsprechenden Zone gespeichert wurde.
Hilfe
• Sicherheit\Konzepte\Sicherheitsstufen und zusätzliche Regeln
MS Training
• Seite 480
- 414 -
Frage 75
Völk Systems in Cottbus. Das Netzwerk besteht aus einem einzigen
Verzeichnisdienst mit der Bezeichnung MVSNET.DE. Das Netzwerk enthält
35 Windows Server 2003, 3000 Windows XP Professional und 2200
Windows 2000 Professional Computer.
Die Sicherheitsrichtlinien der Firma geben vor, dass alle Computer in der
Domäne regelmäßig hinsichtlich folgender Punkte überprüft werden
müssen:
• Sind die Sicherheitsupdates und –fixes auf dem neuesten Stand?
• Existieren lokale Benutzer mit leeren Kennwörtern?
• Sind freigegebene Ordner vorhanden?
Sie müssen alle Computer überprüfen und die vorgegebenen
Sicherheitsrichtlinien einhalten.
Wie gehen Sie vor?
A
{
erlauben die Automatische Update-Funktion beim
Software Update Service.
B
{
aktivieren die Überwachungsrichtlinien.
C
{
Sie installieren auf einem Server mbsacil.exe und
laufen.
D
{
Sie installieren auf einem Server hfnetchk.exe und
laufen.
Richtige Antwort: C
Begründung
Der Microsoft Baseline Security Analyzer erfüllt alle geforderten Merkmale.
MBSA scannt nach Sicherheitsproblemen im Betriebssystem (Windows NT
4, Windows 2000, Windows XP), Benutzerkonten, Status des Gastkontos,
Dateisystem, freigegebene Ordner, Mitglieder der Gruppe der
Administratoren usw. mbsacli.exe beinhaltet hfnetchk.exe.
hfnetchk.exe scannt nach nicht vorhandenen Sicherheitsupdates,
deshalb fällt der Lösungsvorschlag D weg. Der Lösungsvorschlag A ist
falsch, da hier keine der gewünschten Überprüfungen vorgenommen wird,
gleiches gilt für den Lösungsvorschlag B.
- 415 -
Hilfe
MS Training
• Seite 1259
- 416 -
Frage 76
Sie ersetzen einen UNIX-Server durch einen Windows Server 2003
Computer mit der Bezeichnung »MVSDNS01«. Ein UNIX-Server mit der
Bezeichnung »MVSMX002« wurde als Mailserver für MVSNET.DE
eingerichtet. Sie erhalten Meldungen, dass externe Benutzer und Kunden
keine E-Mails mehr an MVSNET.DE senden können. Sie müssen dafür
sorgen, dass sie E-Mails an die Domäne MVSNET.DE senden können.
Wie gehen Sie vor?
A
{
Sie fügen einen SRV-DNS-Eintrag für »MVSMX002«
hinzu.
B
{
Sie fügen einen MX-DNS-Eintrag für »MVSMX002« hinzu.
C
{
Sie fügen einen Alias-Eintrag (CNAME) für
MAIL.MVSNET.DE hinzu.
D
{
Sie erlauben SMTP auf »MVSDNS01«.
Richtige Antwort: B
Begründung
Für die Adresse eines Mailservers ist der MX-Eintrag im DNS
verantwortlich. Wenn dieser fehlt, dann ist der Server auch nicht
ansprechbar. Deshalb ist in unserem Fall der Lösungsvorschlag B richtig.
Der Lösungsvorschlag A ist falsch, da sich Mailserver gegeneinander durch
MX-Einträge und nicht durch SRV-Einträge finden. Der Lösungsvorschlag C
ist ebenfalls falsch, weil ein CNAME-Eintrag nichts mit der dargestellten
Problematik zu tun hat. Der Lösungsvorschlag D hat auch nichts mit der
Thematik zu tun. Grundsätzlich sollte der SMTP-Server auf der Maschine
laufen, die am wenigsten beansprucht wird.
Hilfe
von Zonen\Verwalten von Ressourceneinträgen
MS Training
• Seite 587
- 417 -
Frage 77
Sie sind der Netzwerkadministrator der Firma MVS Press. Die Zentrale
befindet sich in Puchheim, über ganz Deutschland sind Filialen und
Zweigstellen verteilt. Das Netzwerk besteht aus Windows Server 2003
Servern und Windows XP Arbeitsstationen.
Eine Mitarbeiterin in einer der Filialen, Lisa, berichtet Ihnen, dass sie mit
ihrem Computer keine Verbindung zu einem VPN-Server herstellen kann.
Sie vermuten, dass auf Lisas Computer das letzte Sicherheitsfix nicht
installiert wurde.
A
{
Sie starten in der Eingabeaufforderung update.exe.
B
{
Sie starten in der Eingabeaufforderung wmic qfe.
C
{
Sie überprüfen die History der Datei synch.xml.
D
{
Sie überprüfen die History der Datei apprive.xml.
Richtige Antwort: B
Begründung
Hierbei handelt es sich um ein Windows-Verwaltungsinstrument, mit
dessen Hilfe eine Analyse gefahren werden kann. Die Applikation zeigt alle
installierten Sicherheitsfixes an.
Hilfe
Verwaltungsprogramme\Befehlszeile der WindowsVerwaltungsinstrumentation\Konzepte\Verwendung der Befehlszeile
der Windows-Verwaltungsinstrumentation\Ausführen der Befehlszeile
der Windows-Verwaltungsinstrumentation\Beispiele für allgemeine
Abfragen
MS Training
- 418 -
Frage 78
Sie sind der Netzwerkadministrator für die Firma MVS M. Völk Systems.
Das Netzwerk besteht aus einem einzigen Verzeichnisdienst mit dem
Namen MVSNET.DE und beinhaltet 100 Windows 2000 und drei Windows
Server 2003 Computer.
Informationen über die drei Server entnehmen Sie der folgenden Tabelle:
Name
Betriebssystem
Beschreibung
»MVSSRV01«
Windows Server 2003
Domänencontroller,
primärer DNS-Server
»MVSSRV02«
Windows Server 2003
Domänencontroller, WINSServer
»MVSSRV03«
Windows 2000 Advanced Server
Mitgliedsserver, DHCPServer
Sie installieren in diesem Netzwerk einen Netzwerkdrucker mit dem
Namen »MVSPT001«. »MVSPT001« ist noch nicht im DNS registriert.
Der relevante Teil des Netzwerkes ist wie folgt dargestellt:
Stellen Sie sicher, dass die Clientcomputer über die Namensauflösung eine
Verbindung mit dem Netzwerkdrucker »MVSPT001« herstellen können.
- 419 -
A
{
Aliaseintrag (CNAME) für »MVSPT001« hinzu.
B
{
C
{
Serviceeintrag (SRV) für »MVSPT001« hinzu.
D
{
Hosteintrag (A) für »MVSPT001« hinzu.
E
{
Richtige Antwort: D
Begründung
Um den Netzwerkdrucker im Netzwerk über den Namen ansprechen zu
können, wird eine Instanz benötigt, die den Namen in eine IP-Adresse
auflöst. Diese Aufgabe übernimmt in der Regel ein DNS-Server. Dazu
benötigt das DNS in der entsprechenden Zone einen A-Eintrag. Resultat
hieraus ist der richtige Lösungsvorschlag D.
Der Lösungsvorschlag A ist falsch, ein Alias (CNAME) zeigt auf einen AEintrag, dieser ist ja nicht vorhanden. Der Lösungsvorschlag B ist falsch,
da Sie den DNS-Server benutzen müssen. Der Lösungsvorschlag C ist
ebenfalls nicht richtig, da SRV-Einträge für Drucker nicht notwendig sind.
Der Lösungsvorschlag E ist auch falsch, weil nur der Server »MVSSRV01«
als DNS-Server fungiert und der betreffende Eintrag am DNS-Server
gemacht werden muss.
Hilfe
MS Training
• Seite 586
- 420 -
Frage 79
Sie sind der Netzwerkadministrator der Firma EISSNER-EDV International
Ltd. Die deutsche Firma MVS M. Völk Systems hat das Unternehmen und
dessen Tochterfirma Merk Ltd übernommen.
Ihr Team ist verantwortlich für die Netzwerkverbindungen zwischen den
Unternehmen. Jedes der drei Unternehmen hat seine eigene
Gesamtstruktur. Den relevanten Teil des Netzwerkes sehen Sie in der
folgenden Darstellung:
Auf »MERSRV01«, »EISSRV033« und »MVSSRV05« ist Windows Server
2003 installiert. Auf jedem dieser Server ist der DNS-Dienst für die
jeweilige Domäne konfiguriert. Alle drei Server lösen Internetnamen auf.
Die sekundäre Zone für MVSNET.DE und MERK.de ist auf dem Server
»EISSRV033« konfiguriert.
Sie müssen »MVSSRV05« so konfigurieren, dass er Hostnamen für
MERK.DE und EISSNER-EDV.DE so schnell wie möglich auflöst, ohne das
Hinzufügen neuer Zonen.
- 421 -
(Jeder Lösungsvorschlag ist ein Teil der Lösung. Wählen Sie zwei
Aktionen.)
A

131.107.1.2.
B

131.107.3.2.
C

131.107.10.2.
D

E

F

Begründung
Damit der Server »MVSSRV05« die Hostnamen von EISSNER-EDV.DE und
MERK.DE so schnell wie möglich auflösen kann, müssen Sie die
Weiterleitung für EISSNER-EDV.DE und MERK.DE konfigurieren. Dies wird
in den richtigen Lösungsvorschlägen B und D durchgeführt.
Lösungsvorschlag E würde auch funktionieren, da 131.107.3.2 eine
sekundäre Zone für MERK.DE hat. Die Antwort D ist aber zu bevorzugen,
da die primäre Zone aktueller ist als eine sekundäre Zone.
Der Lösungsvorschläge A entfällt, da der Rechner mit der IP-Adresse
131.107.1.2 Namen für MERK.DE auflösen kann, nicht aber für EISSNEREDV.DE. Der Lösungsvorschlag C ist falsch, da der Rechner mit der IPAdresse 131.107.10.2 Internetdomänennamen auflösen kann, aber keine
Hostnamen für EISSNER-EDV.DE und MERK.DE. Aus dem gleichen Grund
ist auch der Lösungsvorschlag F nicht richtig.
Hilfe
MS Training
• Seite 540
- 422 -
Frage 80
Server 2003 Servern. Auf dem Windows Server 2003 Server »MVSSUS01«
läuft der Software Update Service (SUS) von Microsoft.
Der Server ist für eine tägliche Synchronisation mit dem primären
Microsoft Server konfiguriert. Alle Clientcomputer nutzen den
Automatischen Software Update Service, um über »MVSSUS01« neue
Updates zu empfangen. Die Clientcomputer befinden sich alle in der
Organisationseinheit Clients.
Microsoft stellt ein neues, kritisches Sicherheitsupdate für Windows XP
Professional zur Verfügung. Sie stellen das neue Sicherheitsupdate zur
Installation bereit. Der Netzwerkserver »MVSAP001« installiert das Update
problemlos. Aber die Clientcomputer im Firmennetzwerk beginnen nicht
mit der Installation, andere Updates werden aber weiterhin darauf
installiert. Sie müssen sicherstellen, dass das Sicherheitsupdate auf allen
Clientcomputern installiert werden kann.
Wie gehen Sie vor?
A
{
Sie schalten bei jedem Clientcomputer in der
Systemsteuerung die Automatische Update-Funktion
ein.
B
{
Sie bearbeiten die Gruppenrichtlinie der Clientcomputer
und aktivieren das Nachinstallieren nicht
ausgeführter automatischer Updates.
C
{
Sie setzen auf »MVSSUS01« Leserechte für alle
Benutzerkonten im lokalen Updateverzeichnis des SUSDienstes.
D
{
Sie verbinden sich über den Internet Explorer mit der
SUS-Administrationswebseite und genehmigen das
Sicherheitsupdate für Clientcomputer.
Richtige Antwort: D
Begründung
Die Clientcomputer suchen auf dem lokalen SUS-Server nach
freigegebenen neuen Softwarepaketen. Aufgrund der Fragestellung kann
man davon ausgehen, dass die Clients bereits die Automatische
Update-Funktion aktiviert haben. Resultat dieser Schlussfolgerung ist der
Wegfall des (falschen) Lösungsvorschlages A. Der Lösungsvorschlag B
geht nicht, und der Lösungsvorschlag C ist mehr oder weniger eine
Voraussetzung der Softwareverteilung.
- 423 -
Der Knackpunkt dieser Fragestellung ist die fehlende Genehmigung
seitens des Administrators. Nur vom Administrator genehmigte Software
kann installiert werden. Die Server im Netzwerk beziehen alle Pakete, die
auf dem Server zur Verfügung gestellt worden sind. Damit ist der
Lösungsvorschlag D richtig.
Hilfe
MS Training
• Seite 820
- 424 -
Frage 81
Sie sind der Administrator der Firma MVS Press. Alle Server im Netzwerk
werden mit Windows Server 2003 betrieben, und Windows XP Professional
wird auf den Clientcomputern eingesetzt. Die Wiederherstellungskonsole
ist auf jedem Domänencontroller installiert. Auf dem Standarddatenträger
befinden sich sowohl die System- als auch die Bootdateien.
Jeden Freitag um 18:00 Uhr starten Sie den Assistenten zur
Automatischen Systemwiederherstellung. Alle ASR-Daten werden auf
einem Bandlaufwerk gesichert. Jeden Tag, um 04:00 Uhr, wird ein
automatischer Sicherungsauftrag durchgeführt. Bei dieser Sicherung
werden alle Benutzerprofile sowie auch die persönlichen Daten aller
Benutzer auf einem Bandlaufwerk gesichert.
An einem Freitagabend um 20:00 Uhr berichtet Ihnen ein
Netzwerkadministrator, dass die Zertifizierungsstelle auf dem
Domänencontroller »MVSDC007« beschädigt ist. Sie müssen den
Domänencontroller schnellstmöglich wieder auf den letzten
funktionierenden Stand zurückbringen.
Welche zwei Aktionen müssen Sie durchführen, damit der
Domänencontroller wieder funktionstüchtig ist?
A

Sie führen eine autorisierende, primäre
B

Sie starten »MVSDC007« mit Hilfe der Installations-CD
neu.
C

Sie verwenden den ASR-Datenträger und führen eine
Wiederherstellung der ASR-Sicherungsdatei durch.
D

Sie starten »MVSDC007« im VerzeichnisdiensteWiederherstellungsmodus neu.
E

Sie führen eine nicht autorisierende, normale
Richtige Antworten: D und E
Begründung
Um dieser Frage richtig zu beantworten, ist es wichtig zu wissen, was für
eine Zertifizierungsstelle vorhanden ist. Man muss zwischen einer
eigenständigen und einer Unternehmenszertifizierungsstelle differenzieren.
Eine eigenständige Zertifizierungsstelle speichert die Zertifikatsdatenbank
standardmäßig in dem Verzeichnis Systemroot\system32\certlog und wird
am einfachsten über eine Sicherung der Systemstatusdaten gesichert.
- 425 -
Da von dieser Vorgehensweise in den Lösungsvorschlägen nicht die Rede
ist, muss man davon ausgehen, dass es sich hier um eine
Unternehmenszertifizierungsstelle handelt. Diese Art von
Zertifizierungsstellen veröffentlichen ihre Zertifikate und
Zertifikatssperrlisten im Active Directory. Dadurch muss man nur noch das
Active Directory wiederherstellen.
Um die Datenbank der Zertifizierungsstelle wiederherstellen zu können,
muss der Domänencontroller, auf dem diese liegt, im Modus der
Verzeichniswiederherstellung gestartet werden (Lösungsvorschlag A). Als
nächsten Schritt müssen Sie eine nicht autorisierende Wiederherstellung
des Active Directory durchführen (Lösungsvorschlag E).
Eine autorisierende Wiederherstellung des Active Directory brauchen Sie
hier nicht durchzuführen, da die Active Directory-Daten durch die normale
Replikation zwischen den Domänencontrollern wiederhergestellt werden.
Deshalb ist der Lösungsvorschlag A falsch. Der Server selbst ist noch
funktionsfähig, deshalb entfällt auch die Wiederherstellung unter
Zuhilfenahme der ASR-Diskette (C).
Hilfe
• Sicherheit\Infrastruktur öffentlicher
Zertifikatsdiensten\Zertifizierungsdatenbank
MS Training
• Seiten 907, 1111 und 1244
- 426 -
Frage 82
Christian ist der Administrator des Firmennetzwerkes. Er installiert auf
dem Rechner »MVSCL035« Windows XP Professional. Die ganze letzte
Woche konnte Christian auf Ressourcen zugreifen, die im Netzwerk vom
Windows Server 2003 Computer »MVSSRV03« bereitgestellt werden.
Heute kann Christian keine Verbindung zum Server herstellen. Andere
Benutzer im Netzwerk haben dieses Problem nicht.
(Klicken Sie zur Beantwortung der Frage auf das Netzwerkgerät, das die
Problemquelle darstellt.)
Richtige Antwort: Router (MVSRT001)
Begründung
Nur ein Benutzer hat das Problem, andere nicht. Wenn es bis vor kurzem
funktioniert hat, dann muss in einer „Nacht- und Nebelaktion“ etwas am
Subnetz oder am Router verändert worden sein. Bei genauer Betrachtung
der Grafik fällt auf, dass der Router eine andere IP-Adresse hat als die
Clients im Subnetz des betroffenen Benutzers. Die Rechner haben
10.10.167.X, der Router 10.10.164.X.
- 427 -
Hilfe
Hauptnetzwerkdienste\TCP/IP\Konzepte\Verwendung von
TCP/IP\Standardgateways
MS Training
- 428 -
Frage 83
besteht aus einem einzelnen Verzeichnisdienst. Alle
Domänenmitgliedsserver werden mit Windows Server 2003 betrieben. Die
Profile der Domänenbenutzer werden alle auf dem Server »MVSPFS01« in
der Netzwerkfreigabe Profile gespeichert.
Sie müssen aufgrund einer Änderung in der Unternehmensrichtlinie eine
Vorlage für die Benutzerkonten der Entwicklungsabteilung erstellen. Alle
Benutzerkonten, die mit Hilfe der Profilvorlage erstellt werden, sollen
servergespeicherte Profile verwenden. Alle Profile sollen an einem
einheitlichen Ort gespeichert werden.
Sie erstellen die Vorlage und benennen sie T-Entwicklung. Nun müssen
Sie die Einstellungen für die servergespeicherten Profile vornehmen.
Wie gehen Sie vor?
(Ziehen Sie zur Beantwortung der Frage die Einstellungen auf die
\\MVSPFS01\Profile\%userna
me%
C:\Profile\%username%
\\MVSPFS01\Profile\TEntwicklung
C:\Profile\T-Entwicklung
Richtige Antwort:
- 429 -
Begründung
Da die Profile an einem zentralen Ort gespeichert werden sollen, empfiehlt
es sich hierfür eine Netzwerkfreigabe auf einem Server zu erstellen. Als
Profilpfad wird der UNC-Pfad der Netzwerkfreigabe verwendet. Die
Variable %username% wird beim Anmelden des Benutzers durch den
Benutzernamen ersetzt. Wenn der Benutzer z. B. Thomas heißt und sein
Benutzername TOM ist, ergibt sich daraus der UNC-Pfad
\\MVSPFS01\Profile\TOM.
Hilfe
• Servergespeicherte Profile, UNC-Pfad
MS Training
- 430 -
Frage 84
insgesamt über 300 Windows XP Professional Clients und fünf Windows
Thomas aus der Buchhaltung informiert Sie, dass er sich nicht von seinem
Computer aus an der Stammdomäne anmelden kann. Er erhält die
Fehlermeldung, dass sein Benutzerkonto deaktiviert wurde. Sie müssen
sicherstellen, dass Thomas sich anmelden kann.
Wie gehen Sie vor?
A
{
Sie verwenden das Kommando net user
B
{
Sie verwenden das Kommando dsmod user
C
{
Sie verwenden das Kommando net accounts
D
{
Sie fügen Thomas der globalen Domänengruppe Users
hinzu.
E
{
Sie entfernen Thomas aus der lokalen Gruppe Gäste.
Richtige Antwort: B
Begründung
Das Domänenkonto von Thomas wurde deaktiviert und muss nun wieder
aktiviert werden, um die Anmeldung zu ermöglichen. Ein Benutzerkonto
wird nicht durch fehlerhafte Anmeldeversuche deaktiviert, sondern vom
Administrator aufgrund von Sicherheitsanforderungen oder weil der
Benutzer ausgeschieden ist usw. Ein Benutzerkonto kann in der Regel
durch verschiedene Maßnahmen aktiviert und auch deaktiviert werden.
Die Möglichkeit, dass es der Administrator selbst am Domänencontroller
macht, wird hier nicht angeboten, also müssen Sie hier nach anderen
Varianten und Möglichkeiten suchen. Grundsätzlich kommen aufgrund der
vorgeschlagenen Lösungsvorschläge nur A und B in Betracht. Allerdings
wird das Aktivieren mit dem Dienstkommando net hier nicht
funktionieren, weil Sie sich in einer 2003er Umgebung befinden.
Hier kann das Dienstprogramm dsmod verwendet werde, um das
Benutzerkonto wieder zu aktivieren. Das Dienstprogramm dsmod
modifiziert existierende Active Directory-Objekte (z. B. Benutzer,
- 431 -
Gruppen, Organisationseinheiten und Kontakte). So lässt sich etwa die
Zugehörigkeit oder wie in unserem Beispiel die Gültigkeit eines
Benutzerobjektes ändern.
Die Lösungsvorschläge D und E können total verworfen werden, weil
Gruppenzugehörigkeiten etwas mit Berechtigungen zu tun haben und
nicht mit aktivieren oder deaktivieren von Benutzerkonten.
Hilfe
• Hilfe und Supportcenter, Suchbegriff: dsmod Æ Dsmod:
Befehlszeilenreferenz
Gruppen und Computern\Benutzer verwalten\Deaktivieren oder
Aktivieren eines Benutzerkontos
MS Training
- 432 -
Frage 85
Sie sind der Administrator eines Windows Server 2003-Netzwerkes. Ihr
Netzwerk besteht aus fünf Subnetzen, die über einen Router miteinander
verbunden sind. Auf diesem ist BOOTP-Relay aktiviert. Im Netzwerk
befinden sich 100 Windows Server 2003 und 800 Windows XP Professional
Clientcomputer. Diese Rechner sind gleichmäßig über die Subnetze
verteilt. Zusätzlich befinden sich im Netz zwölf UNIX-Server und 120
DHCP-aktivierte Netzwerkdrucker.
Sie sollen das Netzwerk optimieren, um folgende Ziele zu erreichen:
• Die korrekte Zuordnung von IP-Adressen an alle Clients in den
Subnetzen soll automatisiert werden.
• Adresskonflikte zwischen Servern und Clients sollen verhindert
werden.
• Es sollen korrekte Bereichsoptionen für alle Clients in den Subnetzen
verwendet werden.
• Inaktive Clients sollen IP-Adressen nicht länger als drei Tage
behalten.
• Jeder Netzwerkdrucker soll immer die gleiche IP-Adresse erhalten.
• Sie konfigurieren einen der Windows Server 2003 Computer als
DHCP-Server.
• Sie erstellen fünf Bereiche. Jeder dieser Bereiche enthält den
Adressbereich für ein bestimmtes Subnetz.
• Sie legen in der DHCP-Konsole im Container Bereichsoptionen für
jeden Adressbereich optionale Clientkonfigurationen fest.
• Sie schließen den von den Servern verwendeten Adressbereich aus.
• Sie schließen den von den Netzwerkdruckern verwendeten
Adressbereich aus.
erzeugt?
- 433 -
A

Die korrekte Zuordnung der IP-Adressen an alle Clients
in allen Subnetzen wird automatisiert.
B

Adresskonflikte aufgrund doppelt vorhandener IPAdressen zwischen den Clients und den Servern werden
verhindert.
C

Korrekte Bereichsoptionen werden für alle Clients in den
Subnetzen verwendet.
D

Inaktive Clients können eine IP-Adresse maximal drei
Tage beanspruchen.
E

Jeder der Netzwerkdrucker erhält immer die gleiche IPAdresse.
Richtige Antworten: A, B und C
Begründung
Lösungsvorschlag A ist richtig, da ein DHCP-Server konfiguriert wird
(Schritt 1) und der Router das BOOTP-Relay aktiviert hat. Das heißt, von
jedem Subnetz aus ist der DHCP-Server erreichbar. Lösungsvorschlag B
ist richtig, da in Schritt 4 der Adressbereich der Server ausgeschlossen
wird. Lösungsvorschlag C ist richtig, da in Schritt 2 für jedes Subnetz ein
Bereich erstellt wird und in Schritt 3 für jeden Bereich eigene
Bereichsoptionen festgelegt werden.
Lösungsvorschlag D ist nicht richtig, da dazu weitere
Konfigurationsschritte nötig wären (Lease-Dauer), die hier aber nicht
beschrieben sind. Lösungsvorschlag E ist nicht richtig, da zwar für die
Drucker ein Bereich ausgeschlossen wurde, aber um immer die gleiche IPAdresse zu bekommen, müssten Reservierungen angelegt oder feste IPAdressen vergeben werden.
Hilfe
• Erste Schritte\Konfiguration von Funktionen für den
Server\Funktionen des DHCP-Servers: Konfigurieren eines DHCPServers
MS Training
- 434 -
Frage 86
Professional.
Einige Benutzer beschweren sich bei Ihnen, dass sie sich nicht am
Anwendungsserver »MVSAPS01« anmelden können. Bei der Überprüfung
des Servers im Active Directory stellen Sie fest, dass sein Computerkonto
deaktiviert ist. Sie löschen es und legen ein neues Konto mit demselben
Namen an. Sie bitten die Benutzer, es noch einmal zu versuchen. Diese
berichten Ihnen, dass sich an der Situation nichts geändert hat.
A
{
Sie melden sich lokal an »MVSAPS01« an und treten
erneut in die Domäne ein.
B
{
Sie setzen das neue Computerkonto von »MVSAPS01«
zurück.
C
{
Sie löschen »MVSAPS01« aus der Domäne und erstellen
das Computerkonto mithilfe der Kommandozeile erneut.
D
{
Sie deaktivieren das neue Computerkonto von
»MVSAPS01«.
Richtige Antwort: A
Begründung
Durch das Löschen und Neuanlegen des Computerkontos wurde eine neue
SID (Security Identifier) erzeugt und dem Konto zugewiesen. Der Server
»MVSAPS01« kennt allerdings noch sein altes Computerkonto und die
damit verbundene SID. Die SID bei einem Computerkonto ist wie das
Kennwort bei einem Benutzerkonto und muss auf beiden Seiten dieselbe
sein.
Den Server nach einer lokalen Anmeldung wieder in die Domäne zu
heben, erzeugt beidseitig eine neue SID, und die Anmeldung funktioniert
wieder. Dies wird im richtigen Lösungsvorschlag A wiedergegeben.
Das Computerkonto, wie im Lösungsvorschlag B beschrieben,
zurückzusetzen, ist zwecklos, da dadurch die SID nicht aktualisiert wird.
Das Konto mithilfe der Kommandozeile neu anzulegen, bewirkt dasselbe,
wie es grafisch über die Managementkonsole anzulegen, auch dadurch
wird die SID nicht aktualisiert (C). Ein deaktiviertes Computerkonto, wie
beim Lösungsvorschlag D beschrieben, erlaubt auch keine Anmeldung.
- 435 -
Hilfe
• Benutzer- und Gruppenkonten\Verwaltung von Domänenbenutzern
und –Gruppen\Benutzer- und Computerkonten
MS Training
- 436 -
Frage 87
Netzwerk besteht aus einem einzigen Verzeichnisdienst, der im Windows
Server 2003-Modus betrieben wird.
Alle Benutzer des Entwicklungslabors sind Mitglieder in der Gruppe MVSPMC-01. Sie erstellen eine neue Gruppe für die Auszubildenden der
Abteilung und müssen sicherstellen, dass die Benutzer auf die
Netzwerkfreigabe der Abteilung zugreifen können.
Bei dem Versuch, die neu angelegte Gruppe MVS-LAB-GL auf die
Netzwerkfreigabe zu berechtigen, finden Sie die Gruppe nicht im Active
Directory. Bei der Überprüfung der Gruppe stellen Sie fest, dass der
Gruppentyp auf Verteilung steht.
Wie gehen Sie vor, damit die Auszubildenden Zugriff auf die
Netzwerkfreigabe haben?
A

Sie ändern den Gruppentyp der Gruppe MVS-LAB-GL von
Verteilung auf Sicherheit.
B

Sie ändern den Gruppentyp der Gruppe MVS-PMC-01
von Verteilung auf Sicherheit.
C

Sie ändern den Gruppenbereich der Gruppe MVS-LAB-GL
von global auf universell.
D

Sie berechtigen die Gruppe MVS-PMC-01 erneut auf die
Netzwerkfreigabe.
E

Sie berechtigen die Gruppe MVS-LAB-GL erneut auf die
Netzwerkfreigabe.
Begründung
Der Knackpunkt hier ist die Verteilergruppe. Sicherheitsberechtigungen
können nicht an eine Verteilergruppe vergeben werden. Daher muss die
Verteilergruppe MVS-LAB-GL erst in eine Sicherheitsgruppe umgewandelt
werden (Lösungsvorschlag A). Anschließend können Sie die Gruppe auf
die Netzwerkfreigabe berechtigen (Lösungsvorschlag E).
Der Lösungsvorschlag B fällt heraus, weil er die falsche Gruppe betrifft.
Der Lösungsvorschlag C ändert nur den Gruppenbereich von global auf
universell, es ist aber immer noch eine Verteilergruppe und deshalb nicht
geeignet, um Zugriffsberechtigungen zu erteilen. Der falsche
Lösungsvorschlag D betrifft eine Gruppe, die an dieser Aktion völlig
unbeteiligt ist. Berechtigungen können nur an Sicherheitsgruppen
- 437 -
vergeben werden und niemals an Verteilergruppen. Man gibt auch keinem
Mailaccount die Berechtigung Lesen!
Hilfe
Directory\Grundlegendes zu Gruppen\Gruppentypen
MS Training
• Seite 236
- 438 -
Frage 88
Sie sind der Netzwerkadministrator Ihrer Firma. Sie müssen sicherstellen,
dass Mitglieder der Organisationseinheit Support keinen Zugriff auf die
Netzwerkumgebung haben.
Für die Organisationseinheit Support konfigurieren Sie eine
Gruppenrichtlinie, mit der verhindert wird, dass die Benutzer auf die
Netzwerkumgebung zugreifen oder in der Systemsteuerung das
Dienstprogramm System ausführen können. Der Gruppe der Trainer der
lokalen Domäne soll zwar der Zugriff auf die Netzwerkumgebung
ermöglicht, das Ausführen des Dienstprogramms System aus der
Systemsteuerung soll dieser Gruppe jedoch nicht erlaubt werden.
A
{
des Gruppenrichtlinienobjekts hinzu und deaktivieren für
diese Gruppe die Berechtigung, die Gruppenrichtlinie zu
B
{
des Gruppenrichtlinienobjekts hinzu und verweigern
dieser Gruppe die Berechtigung, die Gruppenrichtlinie zu
C
{
Gruppenrichtlinie zu übernehmen. Sie verweigern
daraufhin der Gruppe Authentifizierte Benutzer die
Gruppenrichtlinienobjekt, um das Ausführen des
Dienstprogramms System aus der Systemsteuerung zu
verhindern, und weisen dem ursprünglichen
Gruppenrichtlinienobjekt eine höhere Priorität zu als dem
neuen.
- 439 -
D
{
Gruppenrichtlinie zu übernehmen. Sie deaktivieren
daraufhin für die Gruppe Authentifizierte Benutzer die
Gruppenrichtlinienobjekt, um den Zugriff auf die
Netzwerkumgebung zu ermöglichen, und weisen dem
neuen Gruppenrichtlinienobjekt eine höhere Priorität zu
als dem ursprünglichen Gruppenrichtlinienobjekt.
Richtige Antwort: D
Begründung
Sie brauchen innerhalb einer Organisationseinheit zwei unterschiedliche
Gruppenrichtlinien. Die Gruppe Trainer braucht Zugriff auf die
Netzwerkumgebung. Dieser Zugriff und der Zugriff auf das
Dienstprogramm System ist in der bereits vorhandenen Gruppenrichtlinie
deaktiviert worden. In der zweiten (neuen) Gruppenrichtlinie müssen Sie
die Netzwerkumgebung für die Gruppe Trainer aktivieren, dazu brauchen
die Mitglieder dieser Gruppe auch die Berechtigung. Alle anderen Benutzer
dürfen keine Berechtigung auf dieses neue Gruppenrichtlinienobjekt
erhalten. Diese Anforderung gibt der richtige Lösungsvorschlag D wieder.
Wenn Benutzer mit unterschiedlichen Gruppenrichtlinien arbeiten müssen,
ist es zudem ratsam, Prioritäten festzulegen.
Hilfe
• Sicherheit\Sicherheitskonfigurations-Manager\Konzepte\Verwenden
des Sicherheitskonfigurations-Managers\Anwenden der
Sicherheitseinstellungen
MS Training
• Seite 692
- 440 -
Frage 89
MVSPRESS.DE. Alle Domänencontroller werden mit Windows Server 2003
betrieben.
Domänenbenutzerkonten, deren Kennwort öfter als zweimal am Tag falsch
eingeben wird, müssen gesperrt werden.
Wie konfigurieren Sie die Gruppenrichtlinie, um die Kontensperrung nach
zwei fehlerhaften Anmeldeversuchen durchzuführen?
A

Sie setzen das maximale Kennwortalter auf einen Tag.
B

Sie setzen das minimale Kennwortalter auf einen Tag.
C

Sie erzwingen eine Kennwortchronik von drei
Kennwörtern.
D

Sie setzen die Kontosperrdauer auf 1440 Minuten.
E

Sie setzen die Kontosperrungsschwelle auf zwei
ungültige Anmeldeversuche.
F

Sie setzen die Zurücksetzungsdauer des
Kontosperrungszählers auf 1440 Minuten.
Richtige Antworten: D und E
Begründung
Kontensperrungsschwelle
Diese Sicherheitseinstellung bestimmt die Anzahl der fehlgeschlagenen
Anmeldeversuche, die zur Sperrung eines Benutzerkontos führen. Ein
gesperrtes Konto kann erst dann wieder verwendet werden, wenn es von
einem Administrator zurückgesetzt wurde oder die Sperrungsdauer für das
Konto abgelaufen ist. Sie können für fehlgeschlagene Anmeldeversuche
einen Wert zwischen 1 und 999 festlegen. Mit dem Wert 0 wird das Konto
nie gesperrt.
Kontosperrdauer
Diese Sicherheitseinstellung bestimmt, wie lange (in Minuten) ein Konto
gesperrt bleibt, bevor die Sperre automatisch aufgehoben wird. Dieser
Wert kann zwischen 0 und 99999 Minuten liegen. Wenn Sie für die
Kontosperrdauer den Wert 0 festlegen, bleibt das Konto gesperrt, bis ein
Administrator die Sperre explizit aufhebt. Wurde eine
Kontensperrungsschwelle definiert, muss der Wert für die
- 441 -
Kontosperrdauer größer oder gleich dem Wert für die
Zurücksetzungsdauer des Kontosperrungszählers sein.
Zurücksetzungsdauer des Kontosperrungszählers
Diese Sicherheitseinstellung bestimmt, wie viele Minuten nach einem
fehlgeschlagenen Anmeldeversuch verstreichen müssen, bevor der
Kontosperrungszähler wieder auf 0 zurückgesetzt wird. Der Wert kann
zwischen 1 und 99999 Minuten liegen. Wurde eine
Kontensperrungsschwelle definiert, muss der Wert für die
Zurücksetzungsdauer kleiner oder gleich dem Wert für die
Kontosperrdauer sein.
Aus den obigen Erklärungen ist zu sehen, dass, sobald eine
Kontosperrungsschwelle definiert ist, sowohl die Kontosperrdauer als
auch die Zurücksetzungsdauer des Kontosperrzählers konfiguriert werden
müssen. Standardmäßig wird bei der Konfiguration einer
Sperrungsschwelle ein Vorschlag gemacht, die beiden Richtlinien
Sperrdauer und die Zurücksetzungsdauer auf einen Zeitraum von 30
Minuten zu konfigurieren. Um eine Sperrdauer von 24 Stunden zu
erreichen, ist jetzt die Kontosperrdauer auf 1440 Minuten zu setzen. (Die
Zurücksetzungsdauer des Kontosperrungszählers ist jetzt auf 30 Minuten
gestellt, und damit ist die oben erwähnte Bedingung erfüllt.)
Hilfe
Sicherheitseinstellung\Kontorichtlinien\Kontosperrungsrichtlinien\Kont
osperrdauer, Kontensperrdauer und Zurücksetzungsdauer des
Kontosperrungszählers
MS Training
• Seite 262
- 442 -
Frage 90
Netzwerk besteht aus einem einzelnen Verzeichnisdienst, der im Windows
Server 2003-Modus betrieben wird. Alle Domänenbenutzer sind Mitglied
der globalen Sicherheitsgruppe MVS-GL-SEC-USER. Alle Server im
Netzwerk sind Windows 2003 Server, und alle Clientcomputer werden mit
Windows XP Professional betrieben.
Der Server »MVSFLB09« besitzt einen logischen Datenträger namens
MVSDATA. Auf MVSDATA liegt das Gruppenlaufwerk der Buchhaltung. Alle
Mitarbeiter aus der Buchhaltung befinden sich in der globalen
Sicherheitsgruppe MVS-GL-SEC-VERW. Die Gruppe MVS-GL-SEC-VERW
hat Ändern-Rechte auf dem Gruppenlaufwerk.
Sie erstellen eine Schattenkopie von MVSDATA. Die Benutzer der
Buchhaltung berichten Ihnen, dass sie keine früheren Versionen ihrer
Dateien wiederherstellen können. Sie melden sich mit einer
Remotesitzung am Server »MVSFLB09« an und können eine vorherige
Version von der Datei bkg_trus_v2.btf wiederherstellen. Diese Datei
kann nur von einer Applikation aus der Buchhaltung geöffnet werden. Sie
melden sich lokal an einem Computer der Buchhaltung an, öffnen die
Einstellungen der Datei bkg_trus_v2.btf und stellen fest, dass es nicht
möglich ist, frühere Versionen wiederherzustellen, da die Optionen hierzu
völlig fehlen.
Sie müssen sicherstellen dass alle Benutzer in ihrer Domäne auf vorherige
Versionen von Daten zugreifen können.
Wie gehen Sie vor?
A
{
Sie erlauben allen Mitgliedern der Benutzergruppe MVSGL-SEC-VERW den Besitz der Dateien auf »MVSFLB09«
zu übernehmen.
B
{
Sie erteilen der Gruppe MVS-GL-SEC-VERW Vollzugriff
auf »MVSFLB09«.
C
{
\\MVSFL09\WINDOWS\system32\clients\tsclient mithilfe
D
{
\\MVSFL09\WINDOWS\system32\clients\twclient mithilfe
Richtige Antwort: D
- 443 -
Begründung
Die Registerkarte Vorherige Version (zu sehen unter den Eigenschaften
einer zu Wiederherstellung vorgesehenen Datei) ist nur dann vorhanden,
wenn die folgenden Rahmenbedingungen erfüllt sind:
• Schattenkopien sind nicht auf dem Server aktiviert.
• Es gibt keine vorherigen Versionen dieser Datei als Schattenkopie auf
dem Datenträger.
• Das Clientbetriebsystem ist XP oder höher.
• Der Schattenkopieclient ist auf dem System installiert.
Sowohl der Speicherort des Schattenkopieclient ist in Lösungsvorschlag D
korrekt angegeben als auch eine geeignete Methode zur Verteilung dieser
notwendige Software, nämlich mittels Gruppenrichtlinien.
Lösungsvorschlag C verteilt den Terminalserverclient, das hat bei dieser
Aufgabe keine Relevanz. Die Lösungsvorschläge A und B fallen weg, weil
eine Vergabe von Berechtigungen das Problem nicht löst.
Hilfe
genutzten Ordnern\Bereitstellen der Clientsoftware für
Schattenkopien
MS Training
• Seite 963
- 444 -
Frage 91
Netzwerkserver laufen mit Windows Server 2003. Der
Domänenmitgliedsserver »MVSFL004« verfügt über zwei logische
Datenträger C:\ (Systemdaten) und D:\ (Benutzerprofile).
Sie müssen alle Daten auf »MVSFL004« sichern und sicherstellen, dass er
im Falle eines Hardwarefehlers innerhalb kürzester Zeit wiederhergestellt
werden kann.
Welche zwei Aktionen müssen Sie durchführen, damit alle Daten von
»MVSFL004« gesichert und schnellstmöglich wiederhergestellt werden
kann?
A

Sie sichern mit dem Assistenten zur Automatischen
Systemwiederherstellung (ASR) alle relevanten Daten.
B

Sie erstellen mit ntbackup.exe eine Sicherung der
Benutzerprofile.
C

Sie erstellen eine Startdiskette für Windows Server
2003.
D

Sie erstellen eine Startdiskette für MS-DOS.
E

Sie kopieren alle Windows Server 2003-Bootdateien auf
die Windows Server 2003-Startdiskette.
F

Sie kopieren die Datei boot.ini auf die Windows Server
2003-Startdiskette.
Richtige Antworten: A und B
Begründung
Um das Ziel zu erreichen, muss man als erstes eine ASR-Diskette erstellen
(Lösungsvorschlag A). Anschließend sichern Sie alle wichtigen Daten
(Benutzerprofile) vom Laufwerk D:\ (Lösungsvorschlag B). Mit der ASRDiskette sind Sie in der Lage, das System nach Hardwarefehlern wieder
funktionstüchtig zu bekommen. Die Sicherung der Benutzerprofile kann
danach auch wieder zurückgespielt werden.
Der Lösungsvorschlag C klingt zwar gut, aber wie wollen Sie an das
System herankommen, wenn ein Hardwareausfall vorliegt, ganz zu
schweigen vom Wiederherstellen von Informationen? Der
Lösungsvorschlag D bringt höchstens eine Fehlermeldung. Genauso
können die Lösungsvorschläge E und F verworfen werden, weil sie in der
Zusammenfassung dem (falschen) Lösungsvorschlag C entsprechen.
- 445 -
Hilfe
Wiederherstellung\Übersicht über die automatische
Systemwiederherstellung (ASR)
• Hilfe und Supportcenter, Suchbegriff: NTBackup Æ NTBackup,
MS Training
• Seite975
- 446 -
Frage 92
Ein geroutetes Windows Server 2003-Netzwerk, das über 25 Windows
Server 2003 Computer verfügt, wird von Ihnen administriert. Sie möchten
in einem weiteren Segment einen neuen Windows Server 2003 Computer
als ersten Server installieren. Sie richten auf dem existierenden DHCPServer für das zusätzliche geroutete Segment einen gültigen
Adressbereich ein und geben während der Installation des Windows Server
2003 Computers an, dass der Server seine IP-Adresse von einem
vorhandenen DHCP-Server anfordern soll.
Sie öffnen nach Abschluss der Installation die Netzwerkumgebung und
stellen fest, dass der neue Server zwar angezeigt wird, jedoch keine
weiteren Computer aufgelistet werden. Sie führen den Befehl ipconfig
aus und stellen fest, dass dem neuen Server die IP-Adresse
169.254.1.200 mit einer 16 Bit-Subnetzmaske, aber ohne
Standardgatewayadresse, zugeordnet wurde.
Wie gehen Sie vor, um das Problem zu lösen und die anderen Computer
im gerouteten Netzwerk anzuzeigen?
A

Sie konfigurieren den Standardgateway, um an den TCPAnschluss 270 gerichtete Datenpakete weiterzuleiten.
B

Sie fügen die IP-Adresse des Standardgateways den
TCP/IP-Eigenschaften des neuen Servers zu.
C

Sie installieren im neuen, gerouteten Segment einen
Rechner, der den DHCP-Relay-Agent ausführt.
D

Sie fügen im neuen, gerouteten Segment einen WINSServer hinzu.
E

Sie konfigurieren alle Router, um BOOTP-BroadcastPakete zu verschicken
Begründung
Aus der Fragestellung geht eindeutig hervor, dass der Client keinen DHCPServer erreichen konnte und deswegen die IP-Adresse via APIPA
bekommt. Man kann eine IP-Adresse von einem DHCP-Server, der in
einem anderen Subnetz steht als der anfordernde Client, nur dann
beziehen, wenn der Router diese Anfragen auch weiterleitet. Hierfür wird
in jedem Subnetz ein DHCP-Relay-Agent benötigt, oder man hat Router,
die es ermöglichen, BOOTP-Pakete als Broadcast in andere Subnetze
weiterzusenden.
- 447 -
Hilfe
Hauptnetzwerkdienste\DHCP\Konzepte\Grundlegendes zu
DHCP\DHCP/BOOTP-Relay-Agenten\Grundlegendes zu Relay-Agenten
MS Training
- 448 -
Frage 93
Server 2003 Servern. Der Domänenmitgliedsserver »MVSIL001« fungiert
als domänenweiter zentraler Sicherungsserver.
Jede Nacht um 03:00 Uhr führt »MVSIL001« eine domänenweite
Sicherung der logischen Datenträger E:\ aller Server in der Domäne aus.
Die Sicherungsdaten werden auf ein Bandlaufwerk geschrieben.
Eine neue Sicherheitsrichtlinie der Firma MVS M. Völk Systems schreibt
vor, dass die Registrierungsdatenbank auf allen Servern in der Domäne
gesichert werden muss. Sie müssen sicherstellen, dass die
Registrierungsdatenbank von allen Servern im Netzwerk automatisch
gesichert wird.
Wie gehen Sie vor?
A
{
Sie erstellen einen neuen Sicherungsauftrag auf
»MVSIL001«, der jede Nacht um 04:00 Uhr die logischen
Datenträger C:\ aller Netzwerkserver sichert.
B
{
Sie schließen im Sicherungsauftrag die
Dateierweiterungen für die Registrierungsdatenbank mit
ein.
C
{
Sie startet auf jedem Server im Netzwerk den
Registrierungseditor und exportieren die
Registrierungsdatenbank auf E:\.
D
{
Sie konfigurieren auf jedem Netzwerkserver einen neuen
Sicherungsauftrag, der jede Nacht um 01:00 Uhr den
Systemstatus auf E:\ sichert.
Richtige Antwort: D
Begründung
Eine Sicherung der Systemstatusdaten sichert auch die
Registrierungsdatenbank. Durch die Konfiguration eines
Sicherungsauftrages der Systemstatusdaten wird somit die
Registrierungsdatenbank auf E:\ gesichert. Der Datenträger E:\ wird über
den Sicherungsserver gesichert.
- 449 -
Hilfe
Daten\Konzepte\Grundlegendes zur Sicherung\Systemstatus
MS Training
• Seite 972
- 450 -
Frage 94
Sie sind in Ihrem Unternehmen für das Netzwerk zuständig. Sie
installieren auf dem Rechner »MVSCL036« Windows XP Professional. Das
Netzwerk ist, wie in der Grafik dargestellt, aufgebaut.
Standardgateway 10.10.13.1 und als WINS-Server 10.10.13.10.
»MVSWINS1« ist ebenfalls für TCP/IP konfiguriert und der WINS-Server
im Netzwerk.
Sie können unter Verwendung von UNC-Namen keine Verbindungen zu
- 451 -
A
{
Sie konfigurieren am Rechner »MVSCL036« als IPAdresse für den Standardgateway 10.10.20.1.
B
{
Sie konfigurieren am Rechner »MVSCL036« die IPAdresse 10.10.13.234.
C
{
»MVSCL036«.
D
{
DNS-Serverdienstes.
Richtige Antwort: A
Begründung
Der Client »MVSCL036« kann über UNC-Namen (\\MVSWINS1\Freigabe)
nicht auf freigegebenen Ressourcen auf »MVSWINS1« und »MVSSRV02«
zugreifen. Auch auf »MVSSRV02« kann nicht zugegriffen werden. Daraus
ergibt sich, dass die Namensauflösung nicht erfolgt. Die Namensauflösung
erfolgt nicht, da der Client »MVSCL036« den WINS-Server »MVSWINS1«
nicht erreichen kann, da der Standardgateway falsch eingetragen wurde.
Wenn dies der Fall ist, muss am Client der richtige Gatewayeintrag
erfolgen, um die Verbindungsaufnahme zu ermöglichen. Dies gibt der
richtige Lösungsvorschlag A wieder.
Hilfe
MS Training
- 452 -
Frage 95
Firmennetzwerk besteht aus einem einzigen Verzeichnisdienst. Alle Server
im Netzwerk werden mit Windows Server 2003 betrieben.
Ein Domänenmitgliedsserver führt jede Montag-, Dienstag-, Mittwoch- und
Donnerstagnacht eine Differenzsicherung aus. Freitagnachts wird immer
eine normale Sicherung durchgeführt. Zusätzlich führen Sie jeden
Mittwoch eine Kopiesicherung des Servers aus.
Nachdem Sie an einem Donnerstagmorgen auf dem Server eine neue,
benutzerspezifische Applikation installiert haben, mussten Sie feststellen,
dass diese Applikation einige Systemdateien beschädigt hat. Nachdem Sie
die Applikation deinstalliert haben, müssen Sie die beschädigten Dateien
schnellstmöglich durch die Originaldateien ersetzen.
Ziehen Sie zur Beantwortung der Frage die entsprechenden Schritte in die
richtige Reihenfolge.
Kopiesicherung
Schritt 1
Dienstagnacht
Schritt 2
Montagnacht
Schritt 3
Zurücksichern der
normalen Sicherung von Schritt 4
Freitagnacht
Richtige Antwort: Schritt 1 - Zurücksicherung der
Kopiesicherung
Begründung
Das Zurücksichern der Kopiesicherung reicht aus, da dabei alle Dateien
gesichert werden.
- 453 -
Hilfe
MS Training
• Seite 938
- 454 -
Frage 96
In Ihrer Firma sind Sie als Netzwerkadministrator tätig und konfigurieren
eine Sicherheitsrichtlinie für eine Gruppe von Benutzern in der
Organisationseinheit Schulung. Sie müssen die Gruppenrichtlinie so
konfigurieren, dass künftige Änderungen der Gruppenrichtlinie innerhalb
von 15 Minuten auf allen am Netzwerk angemeldeten Rechnern
angewendet werden können.
A
{
Sie aktivieren die Hintergrundaktualisierung zur
Verwendung der Standardaktualisierungsrate für
Gruppenrichtlinien.
B
{
Sie aktivieren die Einstellung zur asynchronen
Anwendung von Gruppenrichtlinien.
C
{
Sie aktivieren und konfigurieren das GruppenrichtlinienAktualisierungsintervall für Domänencontroller.
D
{
Sie aktivieren und konfigurieren das GruppenrichtlinienAktualisierungsintervall für Rechner.
Richtige Antwort: D
Begründung
Grundsätzlich stehen zwei Möglichkeit zur Aktualisierung von
Gruppenrichtlinien zur Verfügung. Entweder man macht das mit dem
Kommando gpupdate.exe, oder man konfiguriert das
Aktualisierungsintervall. Dies wiederum geschieht über die
Gruppenrichtlinie. Nach einem Neustart wird diese Richtlinie von der
Domäne gezogen und überschreibt die lokale Richtlinie auf dem Rechner,
der dann automatisch nach 15 Minuten überprüft, ob neue
Domänenrichtlinien definiert wurden.
Die Lösungsvorschläge A, B und C haben mit der geschilderten
Aufgabenstellung nichts zu tun und sind außerdem nicht möglich.
- 455 -
Hilfe
• Siehe Erklärungseintrag unter: Gruppenrichtlinienobjekt-Editor\“Zu
bearbeitende
Gruppenrichtlinie“\Computerkonfiguration\Administrative
Vorlagen\System\Gruppenrichtlinien\GruppenrichtlinienAktualisierungsintervall für Computer, bzw. GruppenrichtlinienAktualisierungsintervall für Domänencontroller
• Hilfe und Supportcenter, Suchbegriff: GPUpdate Æ GPUpdate:
MS Training
- 456 -
Frage 97
Firmennetzwerk besteht aus einem einzelnen Verzeichnisdienst. Alle
Server im Netzwerk werden mit Windows Server 2003 betrieben.
Sie installieren den Terminalserverdienst auf dem
Domänenmitgliedsserver »MVSTS001«. Nachdem der Server einige Tage
problemlos lief, berichten Ihnen einige Domänenbenutzer, dass der Server
immer langsamer wird und dass ein Arbeiten am System nicht mehr
möglich ist. Bei der Überprüfung des Servers stellen Sie fest, dass 36
abgebrochene Arbeitssitzungen und 16, sich seit über drei Stunden im
Leerlauf befindende Sitzungen vorhanden sind.
Sie öffnen die Eigenschaften von RDP-Tcp und sehen folgende
Einstellungen:
- 457 -
Sie müssen die RDP-Tcp Eigenschaften folgendermaßen ändern:
• Abgebrochene Verbindungen sollen nach maximal einer Minute
geschlossen werden.
• Verbindungen, die sich im Leerlauf befinden, sollen nach maximal 30
Minuten geschlossen werden.
• Aktive Verbindungen sollen von diesen Einstellungen nicht
beeinträchtigt werden.
Wie gehen Sie vor?
(Wählen Sie alle richtigen Antworten.)
A

lassen die Sitzung nach einer Minute beenden.
B

Sie geben ein Zeitlimit für aktive Sitzungen von 30
Minuten an.
C

Sie geben kein Zeitlimit für aktive Sitzungen an und
konfigurieren Getrennte Sitzungen beenden, um
festzulegen, dass Sitzungen, die länger als eine Minute
getrennt sind, beendet werden.
D

Sie geben ein Leerlaufsitzungslimit von 30 Minuten an.
E

lassen die Sitzung beenden, wenn das Sitzungslimit
erreicht ist.
F

lassen die Sitzung trennen, wenn das Sitzungslimit
erreicht ist.
Richtige Antworten: A, C, D und E
Begründung
Um die Anforderungen der Fragestellung zu erfüllen, müssen Sie folgende
Schritte durchführen: Durch den Haken bei Benutzereinstellungen
außer Kraft setzen schafft man sich die Einstellungsmöglichkeiten. Dass
Sitzungen, die länger als eine Minute getrennt sind, beendet werden,
nimmt man unter Getrennte Sitzungen beenden vor. Sie stellen kein
Zeitlimit für aktive Sitzungen ein, dadurch werden diese von den
Einstellungen nicht beeinträchtigt. Sitzungen, die länger als 30 Minuten
unbenutzt sind, werden automatisch beendet. Diese Schritte bewirken,
dass die Anforderungen erfüllt werden.
- 458 -
Der falsche Lösungsvorschlag B widerspricht der Aufgabenstellung, weil
hier Einfluss auf aktive Sitzungen genommen wird, ebenso
Lösungsvorschlag F.
Hilfe
Sitzungslimits
MS Training
• Seite 783
- 459 -
Frage 98
aus einem einzelnen Verzeichnisdienst mit der Bezeichnung MERK.DE. Alle
Domänencontroller werden mit Windows Server 2003 betrieben, und alle
Clientcomputer laufen mit Windows XP Professional.
Die Firma Merk übernimmt ein Büro der Konkurrenz. Sie erhalten eine
Textdatei, in der die Benutzernamen der neuen Mitarbeiter, durch
Kommas getrennt, stehen. Sie müssen die Benutzerkonten der neuen
Benutzer in der Active Directory-Domäne anlegen.
Welches Kommandozeilenprogramm verwenden sie?
A
{
Sie verwenden das Kommando idifde für den Import.
B
{
Sie verwenden das Kommando csvde für den Import.
C
{
Sie verwenden das Kommando ntdsutil mit der Option
der autoritativen Wiederherstellung für den Import.
D
{
Sie verwenden das Kommando dsadd user für den
Import.
Richtige Antwort: B
Begründung
Mit dem Befehl csvde kann man Daten in das Active Directory importieren
bzw. aus dem Active Directory exportieren. Der Import erfolgt aus einer
Textdatei, in der die Datensätze durch Kommas getrennt stehen. Durch
Kommas getrennte Datensätze nennt man *.csv-Dateien. Diese können
dann problemlos mit MS Office-Produkten weiterverarbeitet werden.
Die Lösungsvorschläge A, C und D können uns bei der Lösung des
Problems nicht behilflich sein.
Hilfe
• CSVDE
MS Training
- 460 -
Frage 99
Professional.
Der Benutzer Christian ist zuständig für die Betreuung und Überwachung
des Anwendungsservers »MVSAPS01«. Christian erhält folgende
Fehlermeldung, wenn er sich lokal an seinem Server anmelden möchte:
Sie öffnen eine Managementkonsole, fügen das Snap-In Active
Directory-Benutzer und -Computer hinzu und sehen folgendes
Fenster:
Stellen Sie sicher, dass Christian sich an »MVSAPS01« anmelden kann und
lösen Sie das Problem mit möglichst geringem administrativem Aufwand.
A
{
Sie entfernen den Server »MVSAPS01« aus der Domäne
und fügen ihn anschließend wieder hinzu.
B
{
Sie setzen das Computerkonto von »MVSAPS01« zurück.
C
{
Sie aktivieren das Computerkonto von »MVSAPS01«.
D
{
Sie löschen das Computerkonto von »MVSAPS01« und
fügen ein neues Konto mit demselben Namen hinzu.
Richtige Antwort: C
- 461 -
Begründung
Christian kann sich an »MVSAPS01« nicht anmelden, da das
Computerkonto deaktiviert ist. Um Christian das Anmelden
schnellstmöglich wieder zu ermöglichen, aktivieren Sie das
Computerkonto.
Den Server aus der Domäne zu entfernen und wieder hinzuzufügen ist
ebenso möglich, jedoch mit erheblichem Mehraufwand verbunden (A). Das
Computerkonto, wie im Lösungsvorschlag B beschrieben, zurückzusetzen
ist zwecklos, da ein deaktiviertes Konto auch danach deaktiviert bleibt.
Das Computerkonto löschen und neu hinzufügen ist nicht möglich, da die
SID (Security Identifier) unterschiedlich ist (D).
Hilfe
Gruppen und Computern\Verwaltung von Computern
MS Training
- 462 -
Frage 100
Sie sind als Administrator der Firma MVS M. Völk Systems tätig und
möchten auf einem Windows Server 2003 Computer routinemäßige
Aktualisierungen durchführen. Sie verwenden zur Anmeldung an diesem
Server Ihr normales Domänenbenutzerkonto. Sie möchten alle auf dem
Server gespeicherten, wichtigen Systemdateien und Updates möglichst
schnell aktualisieren.
Wie gehen Sie vor?
A
{
Sie führen Windows Update aus.
B
{
Sie melden sich als Administrator an und führen die
Systemdateiprüfung aus.
C
{
Sie führen die Systemdateiprüfung aus.
D
{
Sie melden sich als Administrator an und führen
Windows Update aus.
Richtige Antwort: D
Begründung
Da Sie sich als Standarddomänenbenutzer angemeldet haben, können Sie
Windows Update nicht selber ausführen. Nur ein Mitglied der Gruppe
Administratoren kann Windows Update ausführen. Sie melden sich also
mit Ihrem Administrationskonto am Server an und führen Windows
Update aus. Alle neuen Updates werden überprüft, übertragen und
installiert.
Es ist auch möglich, den Internet Explorer über den Ausführen als ...Befehl zu starten und auf die Windows Update Internetseite zu gehen,
jedoch kann es bei der Installation der Updates zu erheblichen Fehlern
kommen.
Hilfe
• Hilfe und Supportcenter: Index: Schlüsselwort: Windows
Update/Übersicht Verwenden von Windows Update
MS Training
- 463 -
Frage 101
Sie sind der Netzwerkadministrator der Firma MVS Press. Ihr Netzwerk
besteht aus zehn Windows Server 2003 Computern, 150 Windows XP
Professional, 150 Windows 2000 Professional und 50 Windows NT Clients.
Auf allen Clients ist die Datei- und Druckerfreigabe aktiviert, um die
Zusammenarbeit zwischen den jeweiligen Arbeitsgruppen und die
gemeinsame Verwendung von Dokumenten zu ermöglichen. Sie setzen
einen der Windows Server 2003 Computer als DHCP-Server ein, um die
IP-Adresszuordnung auf den Clients zu automatisieren.
Sie wollen folgende Ziele erreichen:
• Alle Clients sollen im Netzwerk anhand des vollqualifizierten
Netzwerkdomänenamens gefunden werden können.
• Die DNS-Zonendateien A (Hosteinträge) sollen für alle Clients
automatisch hinzugefügt werden.
• Die DNS-Zonendateien PTR (Zeigereinträge) sollen für alle Clients
automatisch hinzugefügt werden, um Reverse-Lookups von Namen zu
unterstützen.
• Bei Ablauf der DHCP-Lease sollen die A- und PTR-Einträge
automatisch aus den DNS-Zonendateien entfernt werden.
• Sie konfigurieren den DHCP-Server und legen fest, dass die
Clientinformationen im DNS stets aktualisiert werden.
• Sie konfigurieren den DHCP-Server und legen fest, dass die für
Forward-Lookups erforderlichen Einträge bei Ablauf der Lease
entfernt werden.
• Sie konfigurieren den DHCP-Adressbereich und legen fest, dass der
Domänenname allen DHCP-Clients zugewiesen wird.
• Sie konfigurieren den DHCP-Server und legen fest, dass der DHCPServer DNS für die Clients aktualisiert, die keine dynamischen
Aktualisierungen unterstützen.
erzeugt?
- 464 -
A

Alle Clients im Netzwerk können anhand des
vollqualifizierten Netzwerkdomänenamens gefunden
werden.
B

Die DNS-Zonendatei-A-Einträge werden für alle Clients
automatisch hinzugefügt.
C

Die DNS-Zonendatei-PTR-Einträge für Reverse-Lookups
von Namen werden für alle Clients automatisch
hinzugefügt.
D

Die A- und PTR-Einträge werden bei Ablauf der DHCPLease automatisch aus den DNS-Zonendateien entfernt.
Richtige Antworten: A, B, C und D
Begründung
Durch die Schritte 1 und 3 kann jeder Client anhand seines
vollqualifizierten Domänennamens gefunden werden. Durch Schritt 4 wird
gewährleistet, dass auch die NT-Workstations dynamisch aktualisiert
werden. Dies gilt natürlich auch für Reverse-Lookup-Einträge, die
ebenfalls vom DHCP-Server aktualisiert werden. Durch Schritt 2 werden
zwar die für Forward-Lookups erforderlichen Einträge bei Ablauf der Lease
gelöscht, die PTR-Einträge bleiben jedoch erhalten. Diese beiden Einträge
sind voneinander abhängig. Entweder werden beide oder keiner gelöscht,
wie das Bild zeigt.
Allerdings müssen die Alterungseinstellungen in den Zoneneigenschaften
und auf dem DNS-Server korrekt eingestellt werden, bevor die Einträge
aus die Zonen gelöscht werden können.
Hilfe
DHCP\Interoperabilität\Verwendung von DNS-Servern mit DHCP
MS Training
- 465 -
Frage 102
Netzwerk werden mit Windows Server 2003 betrieben, Windows 2000
Professional wird auf allen Clientcomputern eingesetzt.
Die Desktopumgebung auf allen Clientcomputern soll standardisiert
werden. Alle Domänenbenutzer sollen ihre Desktopumgebung nicht
permanent verändern können. Die regionalen Einstellungen sowie der
Desktophintergrund sollen auch standardisiert und unveränderbar werden.
Wie gehen Sie vor?
A

das Snap-In Active Directory-Benutzer und Computer.
B

Sie fügen den lokalen Profilpfad den Benutzerkonten
hinzu. Sie verwenden hierzu die
Computermanagementkonsole.
C

die Computermanagementkonsole.
D

ntuser.dat in ntuser.man um.
E

Sie benennen im lokalen Profilverzeichnis ntuser.dat in
ntuser.man um.
F

ntuser.ini in ntuser.man um.
Begründung
Sie müssen in den Domänenbenutzerkonten den Netzwerkpfad zum
servergespeicherten Profil angeben. Wenn sich Benutzer anmelden, wird
das servergespeicherte Profil lokal geladen. Das Umbenennen der
ntuser.dat in ntuser.man macht das Profil schreibgeschützt. Die
Benutzer können ihre Desktopumgebung verändern, alle Änderungen
gehen jedoch beim Abmelden verloren. Mitglieder der Gruppe
Administratoren können das Profil bearbeiten, diese Einstellungen bleiben
dann für alle Benutzer vorhanden.
- 466 -
Hilfe
• Clientcomputer\Benutzerprofile\Konzepte\Verwendung von
Benutzerprofilen\Verwendung von servergespeicherten
Benutzerprofilen
• Clientcomputer\Benutzerprofile\So wird es gemacht \Erstellen eines
verbindlichen Benutzerprofils
MS Training
- 467 -
Frage 103
Sie installieren auf dem Rechner »MVSCL036« Windows XP Professional.
Das Netzwerk ist aus drei Subnetzen aufgebaut. Im ersten Subnetz,
Netzwerk 1, befindet sich der Server »MVSSRV01« (IP-Adresse
10.10.13.39) sowie der Exchangeserver »MVSMX001« (IP-Adresse
10.10.13.20) und der WINS-Server »MVSWINS1« (IP-Adresse
10.10.13.10).
Außerdem befinden sich in diesem Subnetz noch zwei Router, zum einen
»MVSRT001«, der in die beiden anderen Subnetze routet (die
Routerschnittstelle für das zweite Subnetz, Netzwerk 2, hat die IP-Adresse
10.10.30.1, die Routerschnittstelle für das dritte Subnetz, Netzwerk 3, die
IP-Adresse 10.10.20.1 und die Routerschnittstelle in das erste Subnetz,
Netzwerk 1, die IP-Adresse 10.10.13.1) und zum anderen «MVSRT002«,
der die Verbindung zum Internet herstellt.
Im zweiten Subnetz, Netzwerk 2, stehen der Clientcomputer »MVSCL034«
(IP-Adresse 10.10.30.20) und der Client »MVSCL035« (IP-Adresse
10.10.30.200). Im dritten Subnetz, Netzwerk 3, stehen der
Clientcomputer »MVSCL036« und der Netzwerkserver »MVSSRV02« mit
der IP-Adresse 10.10.20.167.
Standardgateway 10.10.13.1 und als WINS-Server 10.10.13.10. Sie
können unter Verwendung von UNC-Namen keine Verbindungen zu
A
{
Sie konfigurieren an »MVSCL036« als Adresse für den
Standardgateway 10.10.20.1.
B
{
Sie konfigurieren an »MVSCL036« die IP-Adresse
10.10.13.234.
C
{
»MVSCL036«.
D
{
DNS-Serverdienstes.
Richtige Antwort: A
- 468 -
Begründung
Der Client »MVSCL036« kann über UNC-Namen (\\MVSWINS1\Freigabe)
nicht auf freigegebenen Ressourcen auf »MVSWINS1« und »MVSSRV02«
zugreifen. Auch auf »MVSSRV02« kann nicht zugegriffen werden. Daraus
ergibt sich, dass die Namensauflösung nicht erfolgt. Dies passiert nicht, da
der Client »MVSCL036« den WINS-Server »MVSWINS1« nicht erreichen
kann, weil der Standardgateway falsch eingetragen wurde.
Hilfe
• WINS, Standardgateway
MS Training
- 469 -
Frage 104
Christian ist der Netzwerkadministrator der Firma MVS M. Völk Systems.
Er installiert auf dem Windows Server 2003 Domänencontroller mit der
Bezeichnung »MVSDC003« die Terminaldienste. Einige Benutzer erhalten
die Fehlermeldung, dass eine interaktive Anmeldung durch Richtlinien
verboten wird, wenn sie versuchen, sich am Terminalserver anzumelden.
Wenn sich Christian als Administrator an der Windows XP Professional
Arbeitsstation eines der Benutzer anmeldet, bekommt er keine
Fehlermeldung und kann problemlos auf »MVSDC003« zugreifen und mit
diesem arbeiten.
Was sollte Christian tun, um den Benutzern die fehlerlose Anmeldung am
Terminalserver zu ermöglichen?
A
{
Er gewährt den Benutzern das Recht, sich als Dienst
anzumelden.
B
{
Er gewährt den Benutzern das Recht der lokalen
Anmeldung.
C
{
Er gewährt den Benutzern das Recht, sich über das
Internet anzumelden.
D
{
Er kopiert nur die dementsprechenden Benutzerprofile
auf den Terminalserver.
E
{
Er kopiert die entsprechenden Stammordner der
Benutzer auf den Terminalserver.
Richtige Antwort: B
Begründung
Die Terminaldienstclients an einem Terminalserver führen nur eine
Terminalsimulation aus. Sie sind dementsprechend nur Terminals, das
heißt, nur Eingabe- und Ausgabestationen des Servers. Alle Programme
werden auf dem Terminalserver selbst ausgeführt. Die Clients verhalten
sich wie weitere am Server direkt angeschlossene Monitore, Tastaturen
und Mäuse. Nur Administratoren haben standardmäßig das Recht, sich
lokal an einem Domänencontroller anzumelden. Dementsprechend müssen
die Benutzer mit einer Richtlinie das Recht erhalten, sich lokal
anzumelden.
- 470 -
Hilfe
• Erste Schritte\Konfigurieren von Funktionen für den Server\Funktion
des Terminalservers: Konfigurieren eines Terminalservers (Abschnitt:
Erteilen von Benutzerberechtigungen für den Zugriff auf den
Terminalserver)
MS Training
• Seiten 786f.
- 471 -
Frage 105
Bezeichnung MVSNET.DE. Alle Server im Netzwerk werden mit Windows
Server 2003 betrieben.
Die Firma MVS M. Völk Systems hat Büros in München, Berlin und Köln. In
jedem Büro steht ein Domänencontroller. Jedes Büro wird im Active
Directory in einer eigenen Organisationseinheit dargestellt. In diesen
Organisationseinheiten sind alle Computer- und Benutzerkonten des
jeweiligen Standortes abgelegt.
Durch einen unglücklichen Zufall wurde die Organisationseinheit OU-Koeln
aus dem Active Directory gelöscht. Sie führen eine autorisierende
Wiederherstellung der verlorenen Organisationseinheit aus. Danach
berichten einige Benutzer aus Köln, dass sie eine Fehlermeldung mit dem
Hinweis bekommen, dass der Zugriff verweigert wird.
A
{
Sie setzen die betreffenden Computerkonten im Active
Directory zurück. Anschließend weisen Sie die Benutzer
an, ihre Computer neu zu starten.
B
{
des gesamten Active Directorys durch. Danach stoßen
Sie eine domänenweite Replikation an.
C
{
Sie starten den Dienst KerberosSchlüsselverteilungscenter auf jedem
Domänencontroller neu.
D
{
Sie führen auf jedem Computer, der die Fehlermeldung
zeigt, ntest.exe aus und starten auf dem
Domänenkontroller in Köln den net logon-Dienst neu.
Richtige Antwort: A
Begründung
Sobald man ein Computerkonto in einer Active Directory-Domäne erstellt,
wird automatisch ein Kennwort vergeben. Dieses Kennwort wird sowohl im
Active Directory als auch auf dem lokalen Computer gespeichert. Der
lokale Speicherort hierfür ist der LSA (Local Security Authority) Secret
Store. Standardmäßig wird dieses Computerkennwort alle sieben Tage
geändert und das neue Kennwort im Active Directory und im LSA
hinterlegt.
Erfolgt nun die Wiederherstellung eines Computerkontos im Active
Directory, kann es passieren, dass ein Computerkonto zurückgesichert
- 472 -
wird, bei dem zwischen Sicherung und Wiederherstellung eine Änderung
des Computerkennwortes vollzogen wurde. Daraus ergibt sich ein
unterschiedliches Kennwort im Active Directory und auf dem
Clientcomputer.
Das Zurücksetzen des Computerkontos erzeugt ein neues Kennwort, das
sofort im Active Directory und dem entsprechendem Clientcomputer
hinterlegt wird. Nach einem Neustart ist wieder eine normale Anmeldung
möglich.
Hilfe
Sicherheitseinstellungen\Lokale
Richtlinien\Sicherheitsoptionen\Domänencontroller: Änderungen von
Computerkontenkennwörtern verweigern 1
MS Training
- 473 -
Frage 106
Server in der Struktur MVSNET.DE werden mit Windows Server 2003
betrieben, alle Clientcomputer laufen unter Windows XP Professional.
Christian, ein Benutzer aus der Warenwirtschaft, berichtet Ihnen, dass er
nicht auf einen Server namens »MVSWAW02« zugreifen kann. Als erstes
überprüfen Sie, dass der richtige Hardwaretreiber für den eingebauten
Netzwerkadapter installiert ist. Anschließend öffnen Sie den
Gerätemanager auf »MVSWAW02« und sehen folgende Einstellungen:
Sie müssen sicherstellen, dass Christian wieder auf den Server zugreifen
kann.
Wie gehen Sie vor?
- 474 -
A
{
Sie aktivieren den Netzwerkadapter.
B
{
Sie ändern die IP-Adresse des Netzwerkadapters.
C
{
Sie ändern die IRQ-Einstellungen des Netzwerkadapters.
D
{
Sie stellen die Verbindungsgeschwindigkeit ein.
E
{
Sie beseitigen den Hardwarekonflikt zwischen dem
Netzwerkadapter und dem unbekannten Gerät.
Richtige Antwort: A
Begründung
In der Grafik ist zu sehen, dass der Netzwerkadapter deaktiviert ist. Nach
der Aktivierung sollte das Problem behoben und ein uneingeschränkter
Zugriff auf den Server möglich sein.
Hardwarekonflikte können nicht die Fehlerquelle sein, da die Geräte sonst
mit einem schwarzen Ausrufezeichen auf einem gelben Kreis dargestellt
werden würden.
Hilfe
Statusprogramme\Geräte-Manager\So wird es gemacht\Konfigurieren
von Geräteeigenschaften und –Einstellungen\Aktivieren eines Gerätes
MS Training
- 475 -
Frage 107
besteht aus einem einzelnen Verzeichnisdienst mit der Bezeichnung
MVSPRESS.DE. Alle Server im Netzwerk werden mit Windows Server 2003
und der Großteil der Clientcomputer mit Windows XP Professional
betrieben, die restlichen Computer laufen unter Windows 2000
Professional.
Auf einem Mitgliedsserver der Domäne geben Sie ein Verzeichnis frei. Sie
benennen die Freigabe MVSDokumente. Einige Benutzer berichten Ihnen,
dass sie eine Zugriff verweigert-Fehlermeldung erhalten, wenn sie
versuchen, auf die Netzwerkfreigabe zuzugreifen.
Sie müssen die Freigabeberechtigungen dahingehend modifizieren, dass
folgende Voraussetzungen erfüllt sind:
• Domänenbenutzer müssen Dateien anlegen und hinzufügen können.
• Domänenbenutzer dürfen keine NTFS-Berechtigungen ihrer Dateien
setzen oder bearbeiten können.
• Domänenbenutzer dürfen möglichst wenig Rechte auf die Freigabe
haben.
Wie gehen Sie vor?
(Klicken Sie die Einstellungen direkt in der Grafik an.)
- 476 -
Richtige Antwort:
- 477 -
Begründung
Sobald Sie eine neue Freigabe erstellen, ist standardmäßig die
Berechtigung Jeder – Lesen gesetzt. Um Dateien erstellen zu können,
muss mindestens die Berechtigung Ändern vorhanden sein. Mit dieser
Berechtigung können Benutzer Dateien lesen, schreiben, ausführen und
löschen.
Hilfe
• Datenträger und Daten\Verwalten von Dateien und
Ordnern\Freigegebene Ordner\Konzepte\Verwalten von
freigegebenen Ordnern\Sichern von freigegebenen Ressourcen
MS Training
- 478 -
Frage 108
Andreas ist der Netzwerkadministrator der Firma MVS M. Völk Systems. Er
sichert die Dateien seines Windows Server 2003 Computers »MVSTT04«
mit Hilfe des Windows Sicherungsprogramms. Der Server steht im
Testlabor und wird hier für verschiedenste Testszenarien unter Virenbefall
getestet.
Andreas hat das Programm für eine tägliche Sicherung konfiguriert. Beim
Anmelden am Donnerstagmorgen um 08:00 Uhr stellt er fest, dass die
Festplatte mit dem Laufwerk D:/ ausgefallen ist. Er ersetzt die defekte
Platte durch eine neue und will den Inhalt des Laufwerkes D:/ mit Hilfe
der Sicherung wiederherstellen.
Andreas zeigt sich das Sicherungsprotokoll an:
Sicherungsstatus
Vorgang: Sicherung
Mediumname: “Satz vom Freitag um 23:00 Uhr wird erstellt”
Sicherungsbeschreibung: “Satz vom Freitag um 23:00 Uhr wird erstellt”
Sicherungsart: Normal
Verzeichnisse: 5012
Bytes: 4.623.252.320
Zeit: 2 Stunden, 30 Minuten und 4 Sekunden.
Vorgang: Sicherung
Mediumname: “Satz vom Samstag um 23:00 Uhr wird erstellt”
Sicherungsbeschreibung: “Satz vom Samstag um 23:00 Uhr wird erstellt”
Verzeichnisse: 116
Dateien: 1
Bytes: 1.623.252
Zeit: 8 Sekunden.
--------------------------------------------------
- 479 -
Sicherungsstatus
Vorgang: Sicherung
Mediumname: “Satz vom Sonntag um 23:00 Uhr wird erstellt”
Sicherungsbeschreibung: “Satz vom Sonntag um 23:00 Uhr wird erstellt”
Verzeichnisse: 116
Dateien: 1
Bytes: 1.623.252
Zeit: 8 Sekunden.
Vorgang: Sicherung
Mediumname: “Satz vom Montag um 23:00 Uhr wird erstellt”
Sicherungsbeschreibung: “Satz vom Montag um 23:00 Uhr wird erstellt”
Verzeichnisse: 116
Dateien: 1
Bytes: 1.623.252
Zeit: 8 Sekunden.
Vorgang: Sicherung
Mediumname: “Satz vom Dienstag um 23:00 Uhr wird erstellt”
Sicherungsbeschreibung: “Satz vom Dienstag um 23:00 Uhr wird erstellt”
Verzeichnisse: 116
Dateien: 1
Bytes: 1.623.252
Zeit: 8 Sekunden.
- 480 -
--------------------------------------------------Sicherungsstatus
Vorgang: Sicherung
Mediumname: “Satz vom Mittwoch um 23:00 Uhr wird erstellt”
Sicherungsbeschreibung: “Satz vom Mittwoch um 23:00 Uhr wird erstellt”
Verzeichnisse: 85
Dateien: 38
Bytes: 2.984.837
Zeit: 14 Minuten und 38 Sekunden.
In welcher Reihenfolge sollte Andreas die Daten wiederherstellen?
A
{
Freitag, Mittwoch. Daten sind ab Mittwochabend aktuell.
B
{
Freitag, Donnerstag. Daten sind ab Donnerstagmorgen
aktuell.
C
{
Freitag, Samstag, Sonntag, Montag. Dateien können
nach diesem Zeitpunkt nicht wiederhergestellt werden.
D
{
Freitag, Samstag, Sonntag, Montag, Dienstag, Mittwoch.
Dateien sind ab Mittwochabend aktuell.
Richtige Antwort: D
Begründung
Die Sicherungsart inkrementell sichert jeweils nur die seit der letzten
durchgeführten Sicherung geänderten Daten – bei täglicher Sicherung also
die Veränderungen eines Tages. Zur Wiederherstellung der Festplatte sind
somit die Gesamtsicherung (normal vom Freitag) und alle anderen
erfolgten inkrementellen Sicherungen notwendig.
Laut Protokoll ist die Sicherung am Mittwoch um 23.00 Uhr noch
vollständig und ordnungsgemäß gelaufen. Der Ausfall der Festplatte war
am Donnerstag bereits am Morgen vor der Arbeit, was bedeutet, dass
nach einer Wiederherstellung bis einschließlich Mittwoch die Daten wieder
aktuell sind.
- 481 -
Hilfe
MS Training
• Seite 937
- 482 -
Frage 109
Sie sind der Netzwerkadministrator der Firma MVSPress. Das Netzwerk
besteht aus zwei Verzeichnisdiensten, die in einer Gesamtstruktur
zusammengefasst sind. Die Domänenfunktionsebene ist in jeder Domäne
Windows 2000 gemischt.
Die Entwicklungsabteilung Ihres Unternehmens beschäftigt 3000
Benutzer. Die Domänenbenutzerkonten der Mitarbeiter sind in
verschiedenen globalen Gruppen eingetragen. Der Vorstand von MVSPress
plant ein neues Testlabor zu eröffnen, die Mitarbeiter der
Entwicklungsabteilung sollen in dem neuen Labor verschiedene
Testszenarien durchführen.
Wenn ein Mitarbeiter der Entwicklungsabteilung in dem neuen Labor
arbeitet, muss er sich in das Unternehmensnetzwerk einwählen. Sie
müssen sichergehen, dass alle Benutzerkonten der Mitarbeiter aus der
Entwicklungsabteilung die benötigten Gruppenmitgliedschaften besitzen,
um sich einwählen zu können.
Die Benutzerkonten müssen die Berechtigung haben, sich in das
Firmennetzwerk einwählen zu können. Sie müssen die
Einwahlbedingungen mit kleinstmöglichem administrativem Aufwand
schaffen. Als erstes erstellen Sie eine Benutzervorlage für die
Benutzerkonten der Entwicklungsabteilung.
Welche zwei Arbeitsschritte müssen Sie noch ausführen?
A

in den Eigenschaften von office und street die Auswahl
B

in den Eigenschaften von Group-Attributes die Auswahl
C

Sie ändern die RAS-Berechtigung bei jedem neuen
erstellen, auf Zugriff gestattet.
D

Sie fügen die Gruppenmitgliedschaften jedem neuen
erstellen, hinzu.
E

Sie fügen die Gruppenmitgliedschaften der
Kontenvorlage hinzu.
F

Sie fügen die RAS-Berechtigung der Kontenvorlage
hinzu.
- 483 -
Begründung
Wenn man der Kontenvorlage die Gruppenmitgliedschaften hinzufügt,
werden diese bei jeder Kopie für Benutzerkonten automatisch
übernommen. Die RAS-Berechtigung wird jedoch immer auf den
Standardwert gesetzt, der bei der Domänenfunktionsebene Windows 2000
gemischt immer Zugriff verweigert ist. Sollte die
Domänenfunktionsebene Windows 2000 pur oder höher sein, ist der
Standardwert Zugriff über RAS–Richtlinien steuern. Das Active
Directory-Schema muss hier nicht modifiziert werden.
Hilfe
• Netzwerkdienste\Verwalten der Remoteverbindungen\Routing und
RAS\RAS\Konzepte\Grundlegendes zum Remotezugriff\Richtlinien für
den Remotezugriff\Einwähleigenschaften von Benutzern
MS Training
• Seite 221
- 484 -
Frage 110
Sie möchten einmal wöchentlich mit dem Windows Sicherungsprogramm
die Daten Ihres Windows Server 2003 Computers sichern. Dabei möchten
Sie jedoch sicherstellen, dass die Registrierung, Ihre Startdateien und die
COM+-Objekte ebenfalls gesichert werden.
A
{
Sicherung der Systempartition.
B
{
Sicherung der Systemstatusdaten.
C
{
Sie erstellen in MS Visual Basic (VBScript) ein Skript, um
D
{
Sie erstellen eine Stapelverarbeitungsdatei, um
Richtige Antwort: B
Begründung
Die Systemstatusdaten sind eine Zusammenstellung für Windows
wichtiger Daten. Dazu gehören die Registrierung, die Systemdateien, die
Startdateien und die COM+-Klassenregistrierungsdatenbank. Bei
Servercomputern wird zusätzlich noch die Zertifikatsdienstedatenbank
(wenn der Server auch als Zertifikatsserver dient), bei einem
Domänencontroller noch die Active Directory-Datenbank und das SYSVOLVerzeichnis gesichert. Je nach Systemkonfiguration wird bei einem IISServer außerdem die IIS-Metabasis gesichert, bei einem Clusterknoten die
Clusterdatenbanken.
Hilfe
Daten\Konzepte\Grundlegendes zur Sicherung\Systemstatusdaten
MS Training
• Seite 179
- 485 -
Frage 111
Netzwerk besteht aus einem einzelnen Verzeichnisdienst. Als
Alle Mitarbeiter des Vertriebes sind Mitglieder in der Active DirectoryGruppe MVS-GL-SEC-VERW. Der Benutzer Martin, der in der
Vertriebsabteilung arbeitet, legt eine neue Textdatei mit dem Namen
Besprechung.doc an. Martin verfügt über alle erforderlichen Rechte, um
Änderungen an dem Dokument durchzuführen. Die
Gruppennetzwerkfreigabe der Vertriebsabteilung befindet sich auf dem
Server »MVSVER003«. Martin legt das Dokument in seinem persönlichen
Ordner auf dem Gruppenlaufwerk ab.
Einige Mitarbeiter beklagen sich bei Ihnen, dass, wenn sie versuchen, das
Dokument über den UNC-Pfad
\\MVSVER003\GroupVer$\Persoenlich\Martin\Besprechung.doc zu öffnen,
die Fehlermeldung erscheint, dass der Zugriff verweigert wird.
Sie verbinden sich über das RDP v 5.1-Protokoll auf den Server
»MVSVER003« und versuchen, die *.doc-Datei zu öffnen. Sie erhalten
dieselbe Fehlermeldung. Sie müssen sicherstellen, dass alle Benutzer aus
der Gruppe MVS-GL-SEC-VERW berechtigt sind, das Dokument zu öffnen.
Sie dürfen keinerlei Rechte von Martins Dateien ändern. Sie melden sich
zuerst über das RDP v 5.1-Protokoll an »MVSVER003« an.
- 486 -
A
{
Ordner und allen Unterordnern. Zusätzlich ändern sie die
NTFS-Berechtigungen der Gruppe MVS-GL-SEC-VERW
auf Lesen.
B
{
die NTFS-Berechtigung Dateien erstellen / Dateien
schreiben.
C
{
die NTFS-Berechtigung Lesen.
D
{
Ordner und allen Unterordnern. Zusätzlich ändern Sie
die NTFS-Berechtigungen der Gruppe MVS-GL-SECVERW auf Ändern.
Richtige Antwort: C
Begründung
Die Datei Besprechung.doc liegt im persönlichen Verzeichnis von Martin.
Die anderen Mitarbeiter aus Martins Abteilung haben keine Berechtigung,
das Dokument zu lesen. Sie müssen den Besitz der Datei übernehmen,
damit Sie die Berechtigungen ändern können.
Jede Datei hat einen Besitzer, der Besitz eines Dokumentes wird in den
Sicherheitseinstellungen hinterlegt. Sobald ein Benutzer eine Datei oder
einen Ordner erstellt, wird er automatisch als Besitzer eingetragen. Alle
Rechte auf diese Datei fallen auf den Besitzer, so kann er den Zugriff
einschränken oder aber auch bestimmten Personen oder Gruppen mehr
Rechte geben.
Mitglieder der Administratoren-Gruppe oder andere Benutzer, die das
Benutzerrecht Besitz übernehmen erhalten haben, können den Besitz
von Dateien übernehmen und so Sicherheitseinstellungen vornehmen.
Seit Windows Server 2003 können Mitglieder der Gruppen Administratoren
und Sicherungsoperatoren den Besitz von Dateien, ohne Interaktion mit
Benutzern, anderen Benutzern übergeben.
Hilfe
• Sicherheit\Zugriffsteuerung\Konzepte\Grundlegendes zur
Zugriffsteuerung\Besitzrechte
MS Training
- 487 -
Frage 112
Netzwerk besteht aus einer Domäne mit der Bezeichnung MVSNET.DE.
Alle Clientcomputer werden mit Windows XP Professional betrieben.
Windows Server 2003 wird als Standardserverbetriebsystem eingesetzt.
Die Firma MVS M. Völk Systems hat ihren Hauptsitz in München. Weitere
Firmenstandorte sind über ganz Deutschland verteilt. Sie sind
Systemadministrator im Hauptstandort. Der DNS-Server »MVSDNS04«
steht im Firmenstandort Augsburg. Sie müssen einige Einstellungen an
»MVSDNS04« vornehmen und melden sich hierfür an Ihrem
Clientcomputer an. Sie öffnen die Microsoft Managementkonsole und
stellen fest, dass das DNS Management-Snap-In nicht vorhanden ist.
Was unternehmen Sie?
A
{
Sie installieren die Microsoft Windows SupportWerkzeuge auf Ihrem Clientcomputer.
B
{
Sie öffnen den Windows Befehlsinterpreter und starten
nslookup.exe.
C
{
Sie benutzen den Windows Explorer und verbinden sich
die C$-Netzwerkfreigabe auf »MVSDNS04«.
Anschließend installieren Sie das adminpak.msi, das
Sie in %WINDIR%\system32 finden.
D
{
Sie nutzen den Windows Explorer, um die Datei
%WINDIR%\system32\dnsmgmt.msc von
»MVSDNS04« in das lokale %WINDIR%\system32 zu
kopieren.
Richtige Antwort: C
Begründung
Das adminpak.msi installiert die administrativen Verwaltungstools auf
dem lokalen Computer. Dazu zählt auch das DNS Management-Snap-In
dnsmgmt.msc. Das Kopieren von dnsmgmt.msc auf den lokalen
Computer würde auch funktionieren, ist aber nicht die beste Möglichkeit.
Hilfe
Skriptingprogramme\Remoteverwaltung\Bereitstellen von Windows
Server 2003 Verwaltungsprogrammen
MS Training
• Seite 753
- 488 -
Frage 113
Sie verwalten eine einzelne Windows 2003-Domäne mit einer Struktur
nach dem Organisationsmodell des Unternehmens, aufgeteilt in die
Standorte Nord, Süd, Ost und West. Das Active Directory beinhaltet eine
Organisationseinheit Vertrieb.
In dieser Organisationseinheit wurden die Organisationseinheiten Vertrieb
Süd und Vertrieb Nord angelegt. In einer mit der Domäne verknüpften
Gruppenrichtlinie wurden die Kontosperrungsrichtlinien mit maximal fünf
Anmeldeversuchen festgelegt. In dieser Richtlinie ist die Option Kein
Vorrang aktiviert, und in der ACL hat die Gruppe Authentifizierte
Benutzer das Recht Lesen und Gruppenrichtlinien übernehmen.
Für die Beschäftigten der Vertriebsabteilungen, deren Benutzer- und
Computerkonten in den Organisationseinheiten Vertrieb Nord und Vertrieb
Süd gespeichert sind, sollen jedoch maximal drei Versuche zugelassen
werden. Die Benutzer sind in den Gruppen VSUED und VNORD
zusammengefasst.
A
{
Gruppenrichtlinienobjektes hinzu und deaktivieren in der
B
{
Gruppenrichtlinienobjektes hinzu und aktivieren in der
C
{
Gruppenrichtlinienobjektes hinzu und deaktivieren im
Gruppenrichtlinienobjekt in der Domäne Kein Vorrang.
- 489 -
D
{
Gruppenrichtlinienobjektes hinzu und legen in der
Gruppenrichtlinie die Option Richtlinienvererbung
deaktivieren fest.
E
{
Sie erstellen in den Standorten Süd und Nord je eine
festlegen, und aktivieren in diesen Gruppenrichtlinien
Kein Vorrang.
Richtige Antwort: C
Begründung
Kennwortrichtlinien werden grundsätzlich nicht auf der Ebene von
Organisationseinheiten gesetzt, sondern auf der Domänenebene!
Zum einen reicht es aus, eine Gruppenrichtlinie in der
Organisationseinheit Vertrieb anzulegen, die sich standardmäßig in die
beiden anderen Vertrieb Nord und Vertrieb Süd nach unten vererbt. Des
Weiteren ist es jedoch in diesem Fall nicht möglich, die
Richtlinienvererbung von oben zu deaktivieren, da sich das
Gruppenrichtlinienobjekt in der Domäne durch die Option Kein Vorrang
zwangsweise nach unten vererbt und dies auch unterhalb nicht mehr
unterbunden werden kann, wie in Lösungsvorschlag D angeboten.
Nur nachdem die Zwangswirkung der Domänenrichtlinie durch
deaktivieren der Kein Vorrang-Eigenschaft aufgehoben wird, würden die
Richtlinieneinstellungen der Organisationseinheit die
Domänenrichtlinieneinstellungen überschreiben. Das wäre die normale
Wirkungsweise von Gruppenrichtlinien. Aber in diesem Sonderfall gilt das
nicht, da die eingestellten Richtlinien nur auf Domänenebene wirken!
Hilfe
des Sicherheitskonfigurations-Managers\Anwendung der
Sicherheitseinstellungen
MS Training
• Seite 304
- 490 -
Frage 114
Netzwerk besteht aus einer Domäne. Alle Server im Netzwerk werden mit
Windows Server 2003 betrieben, alle Clientcomputer laufen mit Windows
XP Professional.
Sie installieren einen neuen Server mit dem Namen »MVSWAW02«. Nach
der Installation stellen Sie die Netzwerkeinstellungen folgendermaßen ein:
Sie fügen »MVSWAW02« einer Arbeitsgruppe hinzu. Nach dem Neustart
des Servers melden Sie sich mit dem Konto des lokalen Administrators an
und treten der Domäne bei. Nach dem nächsten Neustart melden Sie sich
als Domänenadministrator an. Die Anmeldung schlägt fehl. Sie müssen
sicherstellen, dass der Server Mitglied in der Domäne ist.
Wie gehen Sie vor?
A
{
Sie öffnen das Snap-in Active Directory-Benutzer und
-Computer und setzen den Server »MVSWAW02«
zurück.
B
{
Mitgliedsserver der Domäne und geben dsmod
computer mvswaw02.MVSNET.DE-reset ein.
- 491 -
C
{
»MVSWAW02« an und ändern den eingetragenen DNSServer.
D
{
»MVSWAW02« an und ändern die eingetragene
Subnetzmaske.
E
{
Mitgliedsserver der Domäne und geben nltest
/server:mvswaw02.MVSNET.DE /trusted_domains
ein.
Richtige Antwort: E
Begründung
Das Kommando nltest /server:mvswaw02.MVSNET.DE
/trusted_domains gibt eine Liste der Domänen aus, zu denen der
Server eine Vertrauensstellung hat. Es werden alle Domänen aufgelistet,
in denen der Server Mitglied ist bzw. Domänen, zu denen die
Mitgliedsdomäne eine Vertrauensstellung hat.
Hilfe
• Active Directory\Konzepte\Ressourcen\Active Directory-Supporttools
MS Training
• Seite 157
- 492 -
Frage 115
Sie sind der Netzwerkadministrator der Firma MVS NET. Das Netzwerk
besteht aus mehreren Domänen in einer einzigen Gesamtstruktur mit der
Bezeichnung MVSNET.DE. Die Domänenfunktionsebene aller
untergeordneten Domänen ist Windows 2000 gemischt. Der Server
»MVSVCC05.MVSNET.DE« wird mit Windows Server 2003 betrieben. Sie
legen eine Freigabe mit dem Namen VccDokumente auf
»MVSVCC05.MVSNET.DE« an. Sie erteilen der universellen Gruppe MVSVCC-SEC die Berechtigung Vollzugriff.
Bei der Überprüfung der effektiven Berechtigung der Gruppe stellen Sie
fest, dass die Gruppe MVS-VCC-SEC Vollzugriff auf VccDokumente hat. In
jeder untergeordneten Domäne von MVSNET.DE erstellen Sie eine globale
Gruppe namens MVS-VCC-SEC-GLOBAL. Des Weiteren fügen Sie den
globalen Gruppen Benutzer aus den jeweiligen Domänen und alle globalen
Gruppen der Gruppe MVS-VCC-SEC hinzu.
Ein Mitglied aus der Gruppe MVS-VCC-SEC-GLOBAL in der Domäne
PUCHHEIM.MVSNET.DE, Daniel, berichtet Ihnen, dass er keinen Zugriff auf
VccDokumente hat. Bei der Überprüfung der effektiven Berechtigung der
Gruppe stellen Sie fest, dass der Benutzer Daniel keinerlei Berechtigungen
auf VccDokumente hat. Sie müssen sicherstellen, dass er Zugriff auf die
Freigabe erhält.
Wählen Sie zwei Möglichkeiten.
(Jede Antwort beinhaltet einen kompletten Lösungsweg, wählen Sie zwei.)
A

Sie fügen das Benutzerkonto von Daniel der Gruppe
MVS-VCC-SEC hinzu.
B

Sie ändern den Gruppenbereich der Gruppe MVS-VCCSEC von universell auf lokal (in Domäne).
C

Sie ändern den Gruppentyp der Gruppe MVS-VCC-SEC
auf Verteilung.
D

Sie erteilen der Gruppe MVS-VCC-SEC-GLOBAL aus der
Domäne PUCHHEIM.MVSNET.DE die Berechtigung
Vollzugriff auf die Freigabe VccDokumente.
E

Sie weisen Daniel an, sich mit seinem vollständigen
Benutzernamen anzumelden.
- 493 -
Begründung
Der Benutzer Daniel kann nicht auf die Ressourcen zugreifen, da die
untergeordneten Domänen im gemischten Windows 2000 Modus betrieben
werden. In der Domänenfunktionsebene Windows 2000 gemischt, die
standardmäßig bei der Installation einer Domäne verwendet wird, sind
universelle Gruppen nicht möglich. Erst ab einer Domänenfunktionsebene
ab Windows 2000 pur ist es möglich, universelle Gruppen zu verwenden.
Da in der Domäne MVSNET.DE die Gruppe MVS-VCC-SEC erstellt wurde,
muss man davon ausgehen, dass diese Domäne im Windows 2000 purModus betrieben wird. Wenn Sie den Gruppenbereich von universell auf
lokal (in Domäne) ändern, kann Daniel auf die Ressourcen der Freigabe
VccDokumente zugreifen.
Alternativ dazu kann man wie in Antwort D die Gruppe MVS-VCC-SECGLOBAL aus der Domäne PUCHHEIM.MVSNET.DE direkt auf
VccDokumente berechtigen.
Hilfe
Directory\Grundlegendes zu Gruppen\Gruppenbereiche
MS Training
- 494 -
Frage 116
Der Server »MVSSUS02« ist der SUS-Server und verwendet die
Standardeinstellungen. Sie konfigurieren die Clientcomputer so, dass
diese auf die Dienste der Server »MVSSRV01« und »MVSSRV02«
zugreifen.
aber sicherstellen, dass das Update auf keinem der Server eingesetzt
wird.
A

B

C

D

»MVSSUS02« an.
Begründung
Hier sollen nur geprüfte Sicherheitsupdates angenommen und verteilt
werden. Auf den Servern soll das Update aber nicht eingesetzt werden. In
unserem Fall brauchen Sie den SUS-Server, der zum einen eine
Synchronisation des Inhaltes mit dem Microsoft Windows Update Server
im Internet durchführen (Lösungsvorschlag C) und zum anderen das
Update akzeptieren muss (Lösungsvorschlag D).
Der Lösungsvorschlag A ist falsch, weil Sie keine Gruppenrichtlinie
abändern müssen, um Sicherheitsupdates verteilen zu können. Eine
Replikation, wie im Lösungsvorschlag B beschrieben, ist auch nicht nötig.
- 495 -
Hilfe
MS Training
• Seiten 20, 812 und 819
- 496 -
Frage 117
Christian, der Druckadministrator der Firma MVS M. Völk Systems,
konfiguriert einen neuen Drucker im Netzwerk. Er möchte unter
Verwendung des TCP/IP-Anschlusses des Druckgeräts auf dem Windows
Server 2003 Computer »MVSDC001« einen Drucker erstellen und diesen
im Netzwerk unter dem Namen »Drucker« freigeben. Auf dem Server sind
weitere vier Drucker angeschlossen. Nach der Eingabe der IP-Adresse des
Gerätes wird ihm angezeigt, dass der Drucker im Netzwerk nicht gefunden
wurde.
Welches Problem hat Christian jetzt?
A
{
Falschen oder fehlenden DNS-Servereintrag auf
»MVSDNS04«.
B
{
Falschen oder fehlenden LPR-Anschluss auf
»MVSDC001«.
C
{
Angabe der falschen IP-Adresse bei der Konfiguration
auf »MVSDC001«.
D
{
Angabe der falschen Subnetzmaske für das Druckgerät.
Richtige Antwort: C
Begründung
Christian möchte als Druckserver den Rechner »MVSDC001« verwenden.
Der Drucker wird nach der Eingabe der IP-Adresse nicht gefunden.
Grundsätzlich könnte es an einem falschen oder fehlenden Gatewayeintrag
beim Druckserver liegen. Da jedoch auch noch andere Drucker an
»MVSDC001« angeschlossen sind, kann man davon ausgehen, dass die
IP-Adresse des Druckers falsch angegeben wurde.
Hilfe
Drucken\Auswählen und Konfigurieren eines Anschlusses
MS Training
- 497 -
Frage 118
Rudolf betreut ein Windows Server 2003-Netzwerk. Das Netzwerk ist, wie
im Diagramm dargestellt, konfiguriert:
Im Netzwerk befinden sich acht Windows XP Professional und zwei
Windows Server 2003 Computer. Der Client »MVSCL001« kann die IPAdresse 172.16.96.1 anpingen und der Client »MVSCL005« die IP-Adresse
172.16.64.1. Alle Windows XP Professional Rechner können untereinander
kommunizieren. Der Client »MVSCL004« kann jedoch mit dem Rechner
»MVSCL007« keine Verbindung aufbauen und diesem Rechner auch keine
Ping-Signale senden.
Was sollte Rudolf unternehmen, um die Kommunikation zwischen diesen
beiden Rechnern zu ermöglichen?
- 498 -
A
{
Wert 255.255.240.0.
B
{
Wert 255.255.192.0.
C
{
172.16.63.32.
D
{
172.16.103.76.
Richtige Antwort: D
Begründung
Der Client »MVSCL007« gehört mit der IP-Adresse 172.16.86.76 zu einem
anderen Subnetz als die Routerschnittstelle. Bei der Subnetzmaske
255.255.224.0 beginnt das Subnetz, in dem sich der Router befindet, bei
172.16.96.1 und reicht bis 172.16.127.254. Der effektivste Weg ist hier
die Änderung der IP-Adresse auf dem Client.
Hilfe
• Netzwerkdienste\Verwaltung der Remoteverbindungen\Routing und
RAS\Konzepte\Ressourcen\Darstellung eines IP-Adressenbereichs mit
einer Maske
MS Training
- 499 -
Frage 119
In einer Windows Server 2003-Domäne mit drei Domänencontrollern sind
Sie als Administrator tätig. Mit dem Windows Sicherungsprogramm führen
Sie täglich eine vollständige Sicherung jedes Domänencontrollers durch.
Sie führen ein Skript aus, mit dem Kontoinformationen im Active Directory
geändert werden. Aufgrund von Fehlern im Skript werden die falschen
Benutzerkonten geändert. Die Änderungen werden auf die anderen zwei
Domänencontroller repliziert.
Wie können Sie die am Vortag gesicherte Version des Active Directory
wiederherstellen?
A
{
Sie stellen mit dem Windows Sicherungsprogramm auf
einem Einzeldomänencontroller die Systemstatusdaten
wieder her. Daraufhin fahren Sie den Rechner herunter
und starten ihn neu.
B
{
Sie fahren einen Einzeldomänencontroller herunter und
booten ihn mit der Startoption Verzeichnisdienste
wiederherstellen. Daraufhin stellen Sie die
Systemstatusdaten mit dem Windows
Sicherungsprogramm wieder her, führen das
Dienstprogramm ntdsutil aus und starten den Rechner
neu.
C
{
Sie verwenden die Wiederherstellungskonsole, um einen
Einzeldomänencontroller herunterzufahren und neu zu
starten. Daraufhin stellen Sie mit dem Windows
Sicherungsprogramm die Systemstatusdaten wieder her,
Rechner neu.
D
{
Sie verwenden die Wiederherstellungskonsole, um jeden
Domänencontroller herunterzufahren und neu zu starten.
Daraufhin stellen Sie mit dem Windows
Sicherungsprogramm den Ordner SYSVOL wieder her,
Rechner neu.
Richtige Antwort: B
Begründung
Hier müssen Sie einen alten Zustand wiederherstellen, da durch ein
fehlerhaftes Skript falsche Benutzerkonten auch auf die anderen
Domänencontroller übertragen wurden. Sie müssen hier eine
autorisierende Wiederherstellung einleiten. Dies geschieht mit dem
Dienstprogramm ntdsutil und wird in der Startoption
- 500 -
Verzeichnisdienste wiederherstellen durchgeführt. Die Daten werden
aufgrund der letzten Sicherung wiederhergestellt und durch die Active
Directory-Replikation dann an die anderen Domänencontroller repliziert.
Hilfe
Daten\Konzepte\Grundlegendes zur Sicherung\Autorisierende,
primäre und normale Wiederherstellung
MS Training
• Seite 187
- 501 -
Frage 120
Netzwerk besteht aus einem einzelnen Verzeichnisdienst. Die
Domänenfunktionsebene ist auf Windows 2000 gemischt gesetzt. Als
Die Netzwerkfreigabe MVS-INFO, die auf »MVSHDD02« liegt, beinhaltet
alle wichtigen Daten der Buchhaltungsabteilung. Der Abteilungsleiter der
Buchhaltung meldet bei Ihnen, dass die Netzwerkfreigabe zuweilen nicht
erreichbar ist. Sie untersuchen den Fehler und stellen fest, dass, sobald
mehr als zehn Benutzer auf die Netzwerkfreigabe zugreifen, diese nicht
mehr erreichbar ist. Sie müssen schnellstmöglich sicherstellen, dass alle
Benutzer aus der Buchhaltung auf die Netzwerkfreigabe zugreifen können.
Wie gehen Sie vor?
A
{
Sie setzen die maximale Anzahl von Benutzern, die auf
die Netzwerkfreigabe berechtigt sind, auf zehn herab.
B
{
Sie stufen die Domänenfunktionsebene auf Windows
Server 2003 hinauf.
C
{
Sie kaufen zusätzliche Windows XP Professional
Clientlizenzen.
D
{
Sie verschieben die Netzwerkfreigabe MVS-INFO auf
einen Windows Server 2003 Server.
Richtige Antwort: D
Begründung
Diese Frage spiegelt einen der grundsätzlichen Unterschiede zwischen
Microsoft Client- und Serverbetriebssystemen wieder, nämlich der Anzahl
von gleichzeitigen Verbindungen auf Clientsystemen. Sie ist hier auf zehn
begrenzt, aber auf Serverbetriebssystemen ist die Anzahl von
Verbindungen unbegrenzt. Durch das Umziehen der Freigabe auf einen
Windows Server 2003 Rechner gibt es dann keine Begrenzung der
maximalen Verbindungen auf die Freigabe mehr.
Die Lösungsvorschlag A geht in die falsche Richtung, es sollen mehr als
zehn Benutzer sich mit der Freigabe verbinden können, nicht genau zehn.
(Dieser Vorschlag nimmt Bezug auf die Einstellung Zugelassene Anzahl
auf der Freigaberegisterkarte. Diese Einstellung dient der Lastbegrenzung
auf eine Freigabe.) Sowohl die Domänenfunktionsebene
(Lösungsvorschlag B) als auch Windows XP Professional Clientlizenzen
(Lösungsvorschlag C) beeinflussen das Problem nicht.
- 502 -
Hilfe
MS Training
- 503 -
Frage 121
Sie sind in Ihrem Unternehmen der Administrator eines Windows Server
2003 Active Directory-Netzwerkes. Ihr Netzwerk enthält die zwei
Organisationseinheiten OU_MUC und OU_PUC, die wiederum jeweils die
untergeordneten Organisationseinheiten Schulung, Support und Training
enthalten.
Sie vermuten, dass sich jemand an Ihrer Domäne anmelden möchte,
indem er versucht, Benutzerkonten und Kennwörter zu erraten.
Wie können Sie feststellen, auf welchem Rechner diese Anmeldeversuche
ausgeführt werden?
A
{
überwacht werden.
B
{
fehlgeschlagene Kontoanmeldungen überwacht werden.
C
{
Sie bearbeiten die Gruppenrichtlinien der
Organisationseinheiten OU_MUC und OU_PUC so, dass
fehlgeschlagene Anmeldungen überwacht werden.
D
{
Sie bearbeiten die Gruppenrichtlinien jeder
untergeordneten Organisationseinheit so, dass
überwacht werden.
Richtige Antwort: C
Begründung
Kontoanmeldeereignisse werden auf Domänencontrollern für
Domänenkontoaktivitäten und auf lokalen Computern für lokale
Kontoaktivitäten generiert. Wurde die Überwachung von Erfolgen für
Kontoanmeldungsereignisse auf einem Domänencontroller aktiviert, wird
für jeden Benutzer, der anhand der Kontoinformationen dieses
Domänencontrollers überprüft wird, ein Eintrag erstellt (obwohl sich der
Benutzer faktisch an einer Arbeitsstation anmeldet, die der Domäne
angehört).
Anmeldeversuche überwachen bestimmt, ob jede Instanz eines
Benutzers bei der An- oder Abmeldung auf diesem Rechner einen Eintrag
in das Sicherheitsprotokoll erzeugt oder nicht. (Ein Eintrag wird auch
erzeugt, wenn ein Benutzer eine Netzwerkverbindung zu diesem Rechner
erstellt.)
Überwachung wird grundsätzlich über die Richtlinien, in unserem Fall über
die jeweiligen Gruppenrichtlinien konfiguriert, das heißt, in diesem Fall in
- 504 -
den Gruppenrichtlinien für OU_PUC und OU_MUC sollten die
fehlgeschlagenen Anmeldeversuche überwacht werden. Die Einträge in
den jeweiligen Sicherheitsprotokollen werden die benötigten
Informationen liefern.
Hilfe
Richtlinien\Überwachungsrichtlinie\Anmeldeversuche überwachen
MS Training
- 505 -
Frage 122
Sie sind der für die Sicherheit und die Benutzerdesktopeinstellungen
verantwortliche Netzwerkadministrator und müssen für alle Benutzer
einen benutzerdefinierten Registrierungseintrag konfigurieren und
möchten diesen mit möglichst geringem Aufwand einer Gruppenrichtlinie
hinzufügen.
Wie gehen Sie vor?
A
{
Sie konfigurieren eine Sicherheitsvorlage und fügen die
Vorlage der Gruppenrichtlinie hinzu.
B
{
Sie konfigurieren eine INF-Richtlinie und fügen die
Richtlinie der Gruppenrichtlinie hinzu.
C
{
Sie konfigurieren ein Microsoft Windows Installer-Paket
und fügen es der Gruppenrichtlinie hinzu.
D
{
Sie konfigurieren RIS, damit der Registrierungseintrag
hinzugefügt wird.
Richtige Antwort: A
Begründung
Für die Lösung solcher Probleme stellt Windows Server 2003 vorgefertigte
Sicherheitsvorlagen bereit. Der Gruppenrichtlinieneditor erlaubt es, diese
Vorlagen zu importieren und abzuändern.
Mit Gruppenrichtlinien können Sie auf einfache Art und Weise beliebig
viele Computer konfigurieren. Sie importieren diese Vorlage in eine neue
Gruppenrichtlinie und verknüpfen sie mit der entsprechenden
Organisationseinheit, in der unsere Server enthalten sind. Dies wird im
richtigen Lösungsvorschlag A durchgeführt.
Der Ansatz im Lösungsvorschlag B ist falsch, weil *.inf-Dateien das
Ergebnis der umkonfigurierten Sicherheitsvorlage darstellen, und diesen
Schritt müssen Sie zuerst durchführen (Lösungsvorschlag A).
Lösungsvorschlag C beschreibt die Methode, mit der man ein
Softwarepaket mittels Gruppenrichtlinien verteilt, hat also mit der
beschrieben Problematik nichts zu tun. Zu guter Letzt ist der
Lösungsvorschlag D falsch: Mit RIS (Remote Install Services) installiert
man Software auf einem neuen Rechner.
- 506 -
Hilfe
• Sicherheit\Sicherheitskonfigurations-Manager\Konzepte\Übersicht
über Sicherheitsvorlagen
• Sicherheit\Sicherheitskonfigurations-Manager\So wird es
gemacht\Importieren einer Sicherheitsvorlage in ein
Gruppenrichtlinienobjekt
MS Training
- 507 -
Frage 123
Netzwerk werden mit Windows Server 2003 betrieben, Windows XP
Professional wird auf den Clientcomputern eingesetzt.
Sie installieren auf dem Windows Server 2003 Server »MVSWW003« IIS
6.0. Sie erstellen einen Webordner mit dem Namen Webordner und
erteilen folgende Berechtigungen: Lesen, Schreiben und Ordnerinhalt
auflisten. Die Domänenbenutzer erhalten die Fehlermeldung, dass sie
das Verzeichnis nicht als Webordner öffnen können, wenn sie Webordner
als Webordner mit dem Internet Explorer öffnen möchten.
Stellen Sie sicher, dass alle Domänenbenutzer auf den Webordner
zugreifen können.
A
{
Sie lassen die Webdiensterweiterung WebDAV zu.
B
{
C
{
Sie ändern die Ausführberechtigungen auf Skripts und
ausführbare Dateien.
D
{
Sie starten den WWW-Publishingdienst auf
»MVSWW003« neu.
Richtige Antwort: A
Begründung
Der neue WebDAV-Redirector (Web Distributed Authoring and Versioning)
unterstützt das WebDAV-Protokoll für die Remotedokumentfreigabe über
HTTP. Der WebDAV-Redirector unterstützt die Verwendung vorhandener
Anwendungen und ermöglicht das Freigeben von Dateien über das
Internet (über Firewalls, Router usw.) an HTTP-Server. Mit dem WebDAVRedirector können Sie Webrepositorys hosten, auf die von überall im
Internet und mit jeder beliebigen Anwendung zugegriffen werden kann,
nicht nur mit Anwendungen, die Webpublishingprotokolle interpretieren.
Die Erstinstallation von IIS erfolgt in einem sehr sicheren Modus. Da IIS
standardmäßig nur statischen Inhalt bereitstellt, müssen Sie andere
Funktionen inklusive WebDAV bei Bedarf aktivieren. Der Webordner
konnte nicht als Webordner geöffnet werden, da WebDAV als Erweiterung
nicht aktiviert ist.
- 508 -
Hilfe
• Internet und E-Mail-Dienste\Internetinformationsdienste\Übersicht
über Internetinformationsdienste Æ Abschnitt: Installieren von IIS
MS Training
• Seite 20
- 509 -
Frage 124
Sie installieren auf dem Computer »MVSCL035« Windows XP Professional.
Das Netzwerk ist wie in der Grafik dargestellt konfiguriert:
Sie stellen täglich eine Verbindung zu freigegebenen Ressourcen auf
»MVSRV01« her. Heute gelingt Ihnen dies nicht. Angela kann von ihrem
Rechner mit der Bezeichnung »MVSCL034« aus auf »MVSSRV01«
zugreifen. Sie senden ICMP-Signale an »MVSSRV01«, um die Ursache des
Problems herauszufinden:
C:\>ping MVSSVR01
Ping MVSSVR01.MVSNET.DE [10.10.30.20] mit 32 Bytes Daten:
Ping-Statistik für 10.10.30.20:
Pakete: Gesendet = 4, Empfangen = 4, Verloren = 0 <0% Verlust>,
Ca. Zeitangaben in Millisek.:
Minimum = 0ms, Maximum = 0ms, Mittelwert = 0ms
C:\>
Sie vergewissern sich, dass alle Server mit dem Netzwerk verbunden sind
und ordnungsgemäß arbeiten.
- 510 -
A
{
Die Routerkonfiguration.
B
{
Die WINS-Konfiguration auf dem Client »MVSCL035«.
C
{
Die WINS-Konfiguration auf »MVSSRV01«.
D
{
Die Standardgatewayeinstellung auf dem Client
»MVSCL035«.
Richtige Antwort: A
Begründung
Aufgrund der Übersicht der Ping-Ergebnisse liegt als richtige Lösung der
Lösungsvorschlag A nahe. Das Ergebnis des ping-Befehls zeigt, dass die
Zieladresse richtig aufgelöst werden kann, jedoch der Router 10.10.164.3
keinen Weg ins Zielnetz kennt. Daher kann nur die Routerkonfiguration
nicht stimmen.
Die Lösungsvorschläge B und C können aufgrund der nicht relevanten
WINS-Thematik sofort verworfen werden. Sie haben es hier mit einem
Windows XP Professional Client zu tun. Der Lösungsvorschlag D kann
ebenso verworfen werden, da ja der Router erreichbar ist, nur der Server
nicht.
Hilfe
MS Training
- 511 -
Frage 125
Sie konfigurieren automatische Updates auf den Servern. Die
Sicherheitsrichtlinien der Firma MVS M. Völk Systems schreiben vor, dass
alle Updates vor der Installation geprüft und genehmigt werden müssen.
Alle Updates werden vom Microsoft Windows Update Server geladen. Sie
wollen den Updatevorgang so weit wie möglich automatisieren.
Grafik an.)
Richtige Antwort:
- 512 -
Begründung
Mit dieser Einstellung wird automatisch nach Aktualisieren Updates
gesucht, und diese werden anschließend übertragen. Wenn es
Aktualisierungen gibt, erhalten Sie eine Benachrichtigung. Sie können sich
nun die Updates ansehen, auswählen und installieren.
Die Updates werden mit Hilfe des Intelligenten
Hintergrundübertragungsdienstes (Background Intelligent Transfer Service
- BITS) vom Microsoft Windows Update Server übertragen. BITS
ermöglicht es, die Übertragung dann auszuführen, wenn gerade wenig
Netzlast vom Clientcomputer erzeugt wird.
Hilfe
• Softwarebereitstellung\Automatische Updates\So wird es
gemacht\Ändern der Einstellungen für automatische Updates
MS Training
• Seite 821
- 513 -
Frage 126
Sie installieren die Software Update Services (SUS) auf dem
Mitgliedsserver »MVSSUS01«. Sie erstellen eine neue Gruppenrichtlinie
auf der obersten Domänenebene. Sie müssen die Richtlinie so
konfigurieren, dass alle Clientcomputer in ihrer Domäne die Updates
automatisch von »MVSSUS01« beziehen.
Wie müssen Sie die Gruppenrichtlinie konfigurieren?
Grafik an.)
Richtige Antwort:
- 514 -
Begründung
Als erstes muss man die Gruppenrichtlinieneinstellung aktivieren. Im
oberen Eingabefeld (Interner Updatedienst zum Ermitteln von
Updates) wird die Adresse des SUS-Servers eingetragen, von dem die
Updates bezogen werden sollen. Im unteren Eingabefeld (Intranetserver
für die Statistiken) wird der Server eingetragen, auf dem die
Clientprotokolldateien gespeichert werden sollen.
So kann man z. B., wenn man mehrere SUS-Server im Unternehmen hat,
die Statistiken der Updatevorgänge zentral auf einem primären Server
speichern und auswerten.
Hilfe
MS Training
• Seite 823
- 515 -
Frage 127
Sie sind der Dateiserveradministrator der Firma MVS Press Ltd. Das
Unternehmensnetzwerk besteht aus einer Domäne mit dem Namen
MVSPRESS.DE. Die Domäne enthält zwölf Windows Server 2003 Rechner
und 1500 Windows XP Professional Clientcomputer.
Sie sind verantwortlich für drei Server mit den Bezeichnungen
»MVSFS001«, »MVSFS002« und »MVSFS003«. Sie müssen den
Gerätetreiber des Netzwerkadapters in »MVSFS001« updaten. Sie melden
sich mit Ihrem Standarddomänenbenutzerkonto an »MVSFS001« an,
öffnen den Gerätemanager und erhalten folgende Meldung:
Ihnen fehlen Sicherheitsrechte zum Deinstallieren von
Gerätetreibern bzw. zum Ändern von Geräteeigenschaften oder
Gerätetreibern. Wenden Sie sich an den Standortadministrator,
oder melden Sie sich ab, melden Sie sich als Administrator wieder
an, und wiederholen Sie den Vorgang.
Sie müssen den Gerätemanager in der Computermanagementkonsole mit
dem Konto des lokalen Administrators öffnen. Das Konto des lokalen
Administrators wurde auf Ihren Servern umbenannt in lokal_admin. Das
Kennwort für das Konto lautet P@ssw0rd. Sie öffnen den Gerätemanager
mit der Ausführen als ...-Option.
Was müssen Sie als nächstes tun?
(Zur Beantwortung der Frage ziehen Sie die Einstellungen auf die
MVSFS001\lokal_admin
MVSPRESS\lokal_admin
MVSFS001\Administrator
P@ssw0rd
Richtige Antwort:
- 516 -
Begründung
Um eine Anwendung mit einem anderen Benutzerkonto als dem gerade
angemeldeten auszuführen, muss man den Benutzernamen mit einem
vorangestellten Domänen- oder Computernamen eingeben. In einer
Eingabeaufforderung kann man dasselbe z. B. mit: runas
/user:MVSFS001\lokal_admin
C:\%WINDIR%\System32\compmgmt.msc erreichen.
Hilfe
Verwaltungsprogramme\Lokale Benutzer und Gruppen\So wird es
gemacht\Starten von Programmen als Administrator\Ausführen eines
Programms mit administrativen Anmeldeinformationen
MS Training
- 517 -
Frage 128
insgesamt über 4000 Windows XP Professional Clients und zehn Windows
Angela aus der Buchhaltung informiert Sie, dass sie sich nicht an ihrem
Computer anmelden kann. Sie öffnen das Sicherheitsprotokoll und sehen
folgende Ereignisse:
Sie müssen sicherstellen, dass Angela sich anmelden kann.
Wie gehen Sie vor?
A
{
Sie fügen Angela der globalen Domänengruppe Users
hinzu.
B
{
Sie aktivieren das Benutzerkonto von Angela.
C
{
Sie entfernen Angela aus der lokalen Gruppe Gäste.
D
{
Sie geben das Benutzerkonto von Angela wieder frei.
E
{
Sie fügen das Benutzerkonto von Angela der Gruppe
Richtige Antwort: D
Begründung
Das Benutzerkonto von Angela wurde gesperrt und muss nun wieder
freigegeben werden, um die Anmeldung zu ermöglichen. Die
Ereignisnummer 529 bedeutet Unbekannter Benutzername oder
falsches Kennwort und die Ereignisnummer 539 Konto gesperrt. In
unserem Beispiel sieht man gut, wie Angela das Kennwort dreimal falsch
eingegeben hat und sich ihr Benutzerkonto daraufhin sperrte.
- 518 -
Hilfe
MS Training
- 519 -
Frage 129
Sie sind der Netzwerkadministrator der Firma MVS Press. Windows Server
2003 wird als Standardserverbetriebsystem eingesetzt. Auf einem
Mitgliedsserver der Stammdomäne, »MVSDNS04«, sind über 100
Dateiordner abgelegt. Die Dateiordner sind auf dem gesamten
Dateisystem verteilt.
Jeden Samstag um 01:00 Uhr erfolgt auf »MVSDNS04« eine Sicherung
der gesamten Dateiordner. Sie stellen fest, dass einige Dateien am
Samstag und Sonntag von Benutzern bearbeitet werden. Sie müssen den
Sicherungsauftrag so ändern, dass die Sicherung jeden Montag um 01:00
Uhr statt samstags erfolgt.
Wie gehen Sie, mit möglichst wenig Aufwand, vor?
A
{
Sie erstellen einen neuen Sicherungsauftrag auf Montag.
B
{
Sie ändern den Sicherungsauftrag, damit er jeden
Montag um 01:00 Uhr läuft.
C
{
Sie fügen einen weiteren Sicherungsauftrag hinzu, der
jeden Montag um 01:00 Uhr die Sicherung durchführt.
D
{
Sie ändern den Sicherungsauftrag so, dass er alle 336
Stunden nach 48 Stunden noch einmal ausgeführt wird.
Richtige Antwort: B
Begründung
Damit der Sicherungsauftrag Montag um 01:00 Uhr ausgeführt wird, ist es
am einfachsten, den bestehenden Auftrag zu bearbeiten und auf Montag
zu setzen.
Hilfe
gemacht\Sichern von Daten\Planen einer Sicherung
MS Training
• Seiten 184ff.
- 520 -
Frage 130
Netzwerk werden mit Windows Server 2003 betrieben.
Jeden Montag um 01:00 Uhr führen Sie eine komplette Sicherung des
Netzwerkes durch. Jeden Dienstag, Mittwoch, Donnerstag und Freitag
führen Sie um 01:00 Uhr eine inkrementelle Sicherung durch.
Andreas, ein Benutzer aus der Buchhaltung, meldet am Freitagnachmittag
bei Ihnen, dass er versehentlich eine wichtige Datei gelöscht hat. Sie
müssen Andreas diese Datei schnellstmöglich wieder zur Verfügung
stellen.
Wie gehen Sie vor?
A
{
Montag bis Freitag, und suchen nach der Datei. Sie
B
{
Sie öffnen das Sicherungsprotokoll von Montag, suchen
nach der Datei und stellen den ersten Eintrag, den Sie
finden, wieder her. Sollten Sie keinen finden, fahren Sie
mit dem Protokoll von Freitag fort.
C
{
Dienstag bis Freitag, und suchen nach der Datei. Sie
D
{
Freitag bis Montag, und suchen nach der Datei. Sie
Richtige Antwort: D
Begründung
Da Sie die letzte gesicherte Version der Datei wiederherstellen müssen,
beginnen Sie die Suche in den Protokollen von Freitag und arbeiten sich
rückwärts bis Montag durch. Da täglichen inkrementelle Sicherungen
durchgeführt worden sind, wird die erste Version, die man findet, die
aktuellste sein. Findet man z. B. den ersten Eintrag im Protokoll vom
Donnerstag, bedeutet dies, dass die Datei am Mittwoch bearbeitet worden
ist.
Das Archivattribut ist gesetzt worden, und dann anschließend am
Donnertag um 01:00 ist diese geänderte Datei gesichert worden. Die
Protokolldateien (auch lokale Kataloge genannt) befinden sich
standardmäßig unter dem folgenden Pfad: Dokumente und
Einstellungen\%username%\Lokale Einstellungen \Anwendungsdaten
\Microsoft\Windows NT\NTBackup\Daten.
- 521 -
Hilfe
MS Training
• Seiten 184ff. und 955
- 522 -
Frage 131
MVSPRESS.DE. Alle zwölf Netzwerkserver werden mit Windows Server
2003 betrieben.
Der Server »MVSDFS01« stellt die Netzwerkfreigabe GRUPPENFREIGABE
zur Verfügung. Alle Mitarbeiter der Firma MVS Press fügen der
Netzfreigabe täglich neue Dateien hinzu und bearbeiten bereits
bestehende. Um die Daten auf GRUPPENFREIGABE zu sichern, benutzen
Sie ntbackup.exe. Als Speichermedium steht Ihnen ein Bandlaufwerk zur
Verfügung.
Nachdem Sie die Sicherung ausgeführt haben, stellen Sie fest, dass auf
dem Bandlaufwerk, das Sie für die Sicherung verwendet haben, eine
Fehlerlampe blinkt. Sie müssen sicherstellen, dass Sie die Freigabe
GRUPPENFREIGABE erfolgreich wiederherstellen können. Schon
existierende Dateien auf GRUPPENFREIGABE darf die Wiederherstellung
nicht überschreiben.
Wie gehen Sie vor?
A
{
einmal auf ein neues Sicherungsband und legen eine
B
{
einmal auf dasselbe Sicherungsband und legen eine
C
{
eine Wiederherstellung in das Ursprungsverzeichnis.
D
{
eine Wiederherstellung in ein anderes Verzeichnis als das
Ursprungsverzeichnis.
Richtige Antwort: D
Begründung
Um die Sicherung zu testen, stellen Sie die eventuell fehlerhafte Sicherung
an einem anderen Ort wieder her. Dabei werden die originale
Ordnerstruktur und alle Dateien einschließlich Berechtigungen in einem
- 523 -
anderen Verzeichnis als dem Ursprungsverzeichnis dargestellt. Nun kann
man überprüfen, ob die Sicherung fehlerfrei lief.
Hilfe
• Häufige administrative Aufgaben\Sichern und Wiederherstellen von
Daten, Abschnitt: So stellen Sie Dateien aus einer Datei oder von
einem Band wieder her
MS Training
• Seite 948
- 524 -
Frage 132
besteht aus der Domäne MVSPRESS.DE. Alle Server im Netzwerk werden
mit Windows Server 2003 betrieben.
Der Mitgliedsserver »MVSFL001« stellt sehr viele Netzwerkfreigaben für
Domänenbenutzer von MVS Press zur Verfügung. Jeden Samstag um
01:00 Uhr werden alle Dateien auf »MVSFL001« gesichert.
Sie erfahren am Montag, dass der Sicherungsauftrag nun einmalig
dienstags um 01:00 Uhr durchgeführt werden soll.
Wie gehen Sie vor?
A
{
Sie ändern den Sicherungsauftrag so, dass er sich alle
96 Stunden, mit einer Pause von 168 Stunden,
wiederholt.
B
{
Sie fügen einen weiteren Zeitplan unter Mehrfache
Zeitpläne anzeigen hinzu, der am Dienstag um 01:00
Uhr ausgeführt wird.
C
{
Sie konfigurieren Dienstag als Anfangsdatum des
Sicherungsauftrages.
D
{
Sie konfigurieren am Montag das Anfangsdatum der
Sicherung auf Dienstag und am Mittwoch auf Samstag.
Richtige Antwort: B
Begründung
Es ist am einfachsten, den Sicherungsauftrag um einen weiteren Zeitplan
zu ergänzen. Dies geschieht durch Änderung der Eigenschaften des
entsprechenden Sicherungsauftrags. Realisiert werden kann dies über die
Eigenschaften unter Systemsteuerung\Geplante Tasks oder über das
Sicherungsprogrammregister Aufträge planen. Hier reicht ein einfaches
Anklicken auf den entsprechenden Auftrag im Kalender und dann bei der
Schaltfläche Eigenschaften.
Auf der Registerkarte Zeitplan erscheint ein neuer Konfigurationsbereich,
nachdem man die Checkbox Mehrfache Zeitpläne anzeigen aktiviert
hat. Es ist jetzt möglich, denselben Sicherungsauftrag (Dateiauswahl,
Sicherungsart usw.) nochmals auszuführen, entweder einmalig zu dem
angegeben Zeitpunkt oder aber auch regelmäßig zu anderen, zusätzlichen
Zeiten. So wird der Sicherungsauftrag jeden Samstag um 01:00 Uhr und
einmalig am Dienstag um 01:00 Uhr ausgeführt.
- 525 -
Hilfe
gemacht\Sichern von Daten\Planen einer Sicherung
MS Training
• Seite 960
- 526 -
Frage 133
verwalten einen Dateiserver mit der Bezeichnung »MVSFP001«. Zum
Abspeichern der Daten wird auf diesem Server ein logisches Laufwerk
verwendet.
Jeden Samstag führen Sie eine vollständige normale Sicherung des
Servers durch. Von Sonntag bis Freitag führen sie eine Differenzsicherung
des Servers aus. Jeden Mittwoch führen Sie auf diesem Server eine
Sicherung vom Typ Kopiesicherung nach Abschluss der Differenzsicherung
durch. Die Kopiesicherung wird außer Haus aufbewahrt, der Transportweg
beträgt zwei Stunden.
Das logische Laufwerk fällt am Freitag früh aus. Sie müssen die Daten
darauf wiederherstellen. Sie möchten die Zeit für die Wiederherstellung
auf ein Minimum von Zeit und Datenverlust reduzieren.
Wie gehen Sie vor?
A
{
Wiederherstellen der Daten von der Kopiesicherung vom
letzten Mittwoch, anschließend zurücksichern der
B
{
C
{
Differenzsicherungen vom Montag bis Donnerstag.
D
{
vom letzten Samstag. Wiederherstellen der Daten von
der Kopiesicherung vom letzten Mittwoch, anschließend
zurücksichern der Differenzsicherung vom Donnerstag.
Richtige Antwort: B
Begründung
Das logische Laufwerk fällt am Freitag früh aus. Die letzte komplette
Sicherung wäre die Kopiesicherung vom Mittwoch. Dabei würden Sie aber
die neuen oder geänderten Daten zwischen der Sicherung und Freitag
verlieren. Die beste Lösung ist, die Sicherung vom Samstag zurücksichern
und anschließend die Differenzsicherung vom Vortag wiederherzustellen.
Damit würde der Stand der Daten vom Donnerstag erreicht.
Mit dem Sicherungsprogramm schützen Sie Daten vor einem Verlust
aufgrund eines Fehlers in Zusammenhang mit der Hardware oder den
Speichermedien. Sie können das Sicherungsprogramm beispielsweise
- 527 -
verwenden, um eine Kopie der auf der Festplatte gespeicherten Daten auf
einem anderen Speichergerät zu sichern. Beim Sicherungsspeichermedium
kann es sich um ein logisches Laufwerk wie die Festplatte, um ein
separates Speichergerät wie einen Wechseldatenträger oder um eine
verwaltete Bibliothek von Bändern oder anderen Datenträgern handeln,
die automatisch gewechselt werden.
Wenn die ursprünglichen Daten auf der Festplatte versehentlich gelöscht
oder überschrieben wurden oder aufgrund eines Ausfalls der Festplatte
nicht mehr zur Verfügung stehen, können Sie die betreffenden Daten von
der gesicherten Kopie problemlos wiederherstellen.
Übersicht über die Sicherungsmethoden
Normale Sicherung
Eine Sicherung, bei der alle markierten Dateien kopiert und als gesichert
gekennzeichnet werden (das heißt, das Archivattribut wird gelöscht). Im
Sicherungsverfahren „normal“ benötigen Sie lediglich die aktuellste Kopie
der Sicherungsdatei oder des Bandes, um sämtliche Dateien
wiederherzustellen. Das normale Sicherungsverfahren führen Sie in der
Regel aus, wenn Sie das erste Mal einen Sicherungssatz erstellen.
Tägliche Sicherung
Bei dieser Sicherung werden alle ausgewählten Dateien kopiert, die an
dem Tag, an dem die tägliche Sicherung ausgeführt wird, geändert
wurden. Die gesicherten Dateien werden nicht als gesichert
gekennzeichnet (das heißt, das Attribut „Archiv“ wird nicht gelöscht).
Kopiesicherung
Eine Sicherung, die alle ausgewählten Dateien kopiert, die einzelnen
Dateien jedoch nicht als gesichert kennzeichnet (das heißt, das
Archivattribut wird nicht gelöscht). Das Kopieren ist sinnvoll, wenn Sie
Dateien zwischen normalen und inkrementellen Sicherungen sichern
möchten, da das Kopieren diese anderen Sicherungsoperationen nicht
beeinflusst.
Differenzsicherung
Bei dieser Sicherung werden Dateien kopiert, die seit der letzten normalen
oder inkrementellen Sicherung erstellt bzw. geändert wurden. Dateien
werden nicht als gesichert gekennzeichnet (das heißt, das Attribut
„Archiv“ wird nicht gelöscht). Wenn Sie eine Kombination aus normaler
und Differenzsicherung durchführen, ist es zum Wiederherstellen von
Dateien und Ordnern erforderlich, dass Ihnen die letzte normale sowie die
letzte Differenzsicherung zur Verfügung steht.
- 528 -
Inkrementelle Sicherung
Eine Sicherung, bei der nur die Dateien kopiert werden, die seit der
letzten normalen oder inkrementellen Sicherung erstellt bzw. geändert
wurden. Dabei werden die gesicherten Dateien als solche markiert (das
heißt, das Attribut „Archiv“ wird deaktiviert). Wenn Sie mit einer
Kombination aus normalen und inkrementellen Sicherungen arbeiten,
müssen Sie zur Wiederherstellung von Daten sowohl über die letzte
normale als auch über alle Sicherungssätze der inkrementellen
Sicherungen verfügen.
Hilfe
MS Training
• Seite 938
- 529 -
Frage 134
MVSPRESS.DE. Alle Server verwenden Windows Server 2003 als
Betriebssystem. Das Netzwerk hat keine Verbindung zum Internet.
Die Firma MVSPRESS Ltd iG. geht eine Partnerschaft mit der Firma MVS
M. Völk Systems ein. Das Netzwerk von MVS M. Völk Systems besteht aus
einem Verzeichnisdienst mit der Bezeichnung MVSNET.DE. Alle Server in
der Domäne MVSNET.DE verwenden Windows Server 2003 als
Betriebssystem. MVSNET.DE verfügt über eine separates Netzwerk, das
einen öffentlichen Zugriff auf Mail- und Webserver gestattet. Die Mail- und
Webserver werden in einer eigenen Domäne mit der Bezeichnung
MAIL.MVSNET.DE verwaltet. Die Zone MAIL.MVSNET.DE wird von einem
UNIX-Server mit der aktuellsten BIND-Version verwaltet.
Mitarbeiter aus beiden Firmen benötigen Zugriff auf Ressourcen der
jeweils anderen Firma. Eine neue T1-Verbindung wird zwischen beiden
Firmen eingerichtet. Das AD-Projektteam plant eine Vertrauensstellung
zwischen beiden Verzeichnisdiensten einzurichten. Jede Firma verfügt über
eine firmeninterne Richtlinie, die besagt, dass die internen Ressourcen
nicht vom Internet aus zugänglich sein dürfen. Die Sicherheitsrichtlinie der
Firma MVS M. Völk Systems schreibt vor, dass die interne DNS-Zone nicht
im Internet zur Verfügung stehen darf.
Sie benötigen einen Plan für die Namensauflösung für die
Internetverbindungen. Sie müssen beide Windows Server 2003 DNSServer so konfigurieren, dass sie den Erfordernissen der Richtlinien
entsprechen. Ihr Plan muss eine minimale Unterbrechung der
Netzwerkverbindung beider Netze gewährleisten.
A
{
Domänen MVSNET.DE an den DNS-Server von
MVSNET.DE weiterleitet. Sie erstellen eine bedingte
Weiterleitung auf dem DNS-Server von MVSNET.DE, der
alle Anfragen für die Domänen MVSPRESS.DE an den
DNS-Server von MVSPRESS.DE weiterleitet.
- 530 -
{
Domänen MVSNET.DE an den UNIX-DNS-Server von
MAIL.MVSNET.DE weiterleitet. Sie konfigurieren den
UNIX-DNS-Server von MAIL.MVSNET.DE so, dass alle
Anfragen für die Domänen MVSPRESS.DE an den DNSServer von MVSPRESS.DE weitergeleitet werden.
C
{
Sie konfigurieren die Hinweise auf den Stammserver
(cache.dns) auf jedem Windows 2003 DNS-Server. Sie
konfigurieren jeden Windows 2003 DNS-Server so, dass
alle Anfragen an den UNIX-DNS-Server für
MAIL.MVSNET.DE weitergeleitet werden.
D
{
Sie konfigurieren eine sekundäre Zone auf dem UNIXDNS-Server von MAIL.MVSNET.DE für jede firmeninterne
DNS-Zone. Sie erlauben auf jedem Windows 2003 DNSServer den Zonentransfer nur auf den UNIX-DNS-Server
von MAIL.MVSNET.DE.
B
Richtige Antwort: A
Begründung
Bei einer Weiterleitung handelt es sich um einen Domain Name System
(DNS)-Server in einem Netzwerk, der zum Weiterleiten von DNS-Abfragen
für externe DNS-Namen an DNS-Server außerhalb dieses Netzwerkes
verwendet wird. Sie können Abfragen auch in Übereinstimmung mit
bestimmten Domänennamen mithilfe von bedingten Weiterleitungen
durchführen.
Ein DNS-Server in einem Netzwerk wird als Weiterleitung bestimmt,
indem die anderen DNS-Server im Netzwerk veranlasst werden, die
Abfragen, die sie nicht lokal auflösen können, an diesen DNS-Server
weiterzuleiten. Mithilfe einer Weiterleitung können Sie die
Namensauflösung für Namen außerhalb des Netzwerkes (z. B. Namen im
Internet) verwalten und die Effizienz der Namensauflösung für die
Computer im Netzwerk verbessern.
Wenn Sie keinen bestimmten DNS-Server als Weiterleitung festgelegt
haben, können alle DNS-Server mithilfe der entsprechenden
Stammhinweise Abfragen außerhalb eines Netzwerkes senden. Allerdings
bedeutet dies nicht, dass ein DNS-Server, nur weil er iterative Anfragen
im Internet macht, auch allgemein für jede Abfrage erreichbar ist. Folglich
können viele interne (und möglicherweise vertrauliche) DNSInformationen im Internet verfügbar sein.
- 531 -
Diese Auflösungsmethode kann:
zu einem sehr hohen, externen Datenverkehr führen, der für ein Netzwerk
mit einer langsamen Internetverbindung oder für ein Unternehmen mit
hohen Internetdienstkosten ineffizient und kostspielig ist und
nicht von einer gezielten Verwendung der Cachefähigkeiten eines DNSServers profitieren.
Wenn Sie einen DNS-Server als Weiterleitung bestimmen, ist diese
Weiterleitung für die Verarbeitung des externen Datenverkehrs zuständig,
wodurch die Internetverfügbarkeit des DNS-Servers eingeschränkt wird.
Eine Weiterleitung erstellt einen umfangreichen Cache für externe DNSInformationen, weil alle externen DNS-Abfragen im Netzwerk darüber
aufgelöst werden. Innerhalb kurzer Zeit löst eine Weiterleitung einen
beachtlichen Teil externer DNS-Abfragen mithilfe dieser
zwischengespeicherten Daten auf und verringert dabei den
Internetdatenverkehr im Netzwerk sowie die Antwortzeit für DNS-Clients.
Hilfe
von Servern\Verwenden von Weiterleitungen
DNS\Funktionsweise von DNS-Abfragen: Teil 2: Abfragen eines DNSServers
MS Training
• Seite 591
- 532 -
Frage 135
MVSPRESS.DE. Alle Computer in diesem Netzwerk sind Mitglieder der
Domäne.
MVSPRESS Ltd iG. besteht aus einem Hauptbüro und 20 Niederlassungen.
Jede Niederlassung hat eine Verbindung zum Hauptbüro. Nur im
Hauptbüro gibt es eine Internetverbindung.
Sie planen eine sichere Updateinfrastruktur für Ihr Netzwerk. Sie setzen
einen zentralen SUS-Server im Hauptbüro und einen SUS-Server in jeder
Niederlassung ein. Der SUS-Server im Hauptbüro verfügt über alle
Windows Updates sowie die aktuellen Sicherheitsfixes.
Sie wollen die Bandbreite für die Verbindung in das Internet sowie zu den
Niederlassungen für diesen Dienst auf ein Minimum beschränken.
Welche zwei Aktionen führen Sie zum Ziel?
(Jede Antwort ist ein Teil der gesamten Antwort.)
A

zur Verwendung der Windows Updates und
Sicherheitsfixes.
B

zur Verwendung des SUS-Servers im Hauptbüro für die
Windows Updates sowie Sicherheitsfixes.
C

Sie konfigurieren das Automatische Update auf den
SUS-Servern in den Niederlassungen unter Verwendung
des zentralen SUS-Servers im Hauptbüro.
D

Computern unter Verwendung des SUS-Servers im
lokalen Netzwerk.
E

Computern unter Verwendung der Standardoptionen.
Begründung
Um die Netzwerklast ins Internet zu reduzieren, sollte man die SUSServer in den Niederlassungen so konfigurieren, dass diese die Updates
nur vom SUS-Server im Hauptbüro abholen. Der SUS-Server im
Hauptbüro holt alle Updates und Sicherheitsfixes und stellt diese in einem
freigegebenen Verzeichnis für den Updatedienst zur Verfügung. Der
Administrator kann die Updates oder Sicherheitsfixes einzeln freigeben.
- 533 -
Die untergeordneten SUS-Server holen ihre Daten vom übergeordneten
SUS-Server und stellen sie den Clients im lokalen Netzwerk zur
Verfügung.
Dadurch kommt Lösungsvorschlag A nicht in Betracht, da hier jeder SUSServer selbständig die Sicherheitupdates aus dem Internet holt, was
wiederum zu einem erhöhten Verkehr zum Internet führt. Der
Lösungsvorschlag C ist falsch, weil man die SUS-Server dahingehend
konfigurieren muss, dass diese die Updates vom Hauptbüro-SUS-Server
herunterladen und sich nicht selbst automatisch „updaten“
Lösungsvorschlag E ist falsch, weil die Verwendung der
Standardeinstellungen einen erhöhten Netzwerkverkehr mit sich bringen
würde.
Hilfe
MS Training
• Seite 818
- 534 -
Frage 136
Sie sind der Netzwerkadministrator der Firma EDV Beratung Frank
Eissner. Das Netzwerk besteht aus einem Verzeichnisdienst mit der
Bezeichnung EDV-EISSNER.DE und enthält zwei Windows 2003
Domänencontroller mit den Bezeichnungen »EDVEDC01« und
»EDVEDC02«. Auf beiden Servern wird der DNS-Dienst ausgeführt. Alle
Ressourcenserver im Netzwerk sind DHCP-Clients, ebenso ein Windows
Server 2003 Dateiserver mit der Bezeichnung »EDVEFP03«.
Die DNS-Konfiguration auf »EDVEDC01« besteht aus einer primären Zone,
die dynamische Updates erlaubt, und einer sekundären Zone auf
»EDVEDC02«. Benutzer melden, dass sie nicht in der Lage sind, eine
Verbindung mit »EDVEFP03« herzustellen. Sie stellen fest, dass die IPAdresse von einem Testcomputer, der nicht Mitglied der Domäne ist, mit
der Bezeichnung »EDVEFP03« verwendet wird.
Sie müssen den DNS-Server konfigurieren, um sicherzustellen, dass der
A-Eintrag nur von dem richtigen Server vorgenommen wird.
(Jede Antwort ist ein Teil des Ganzen.)
A

Sie stellen das dynamische Update auf Nur sichere für
die primäre Zone auf »EDVEDC01« ein.
B

Sie stellen das dynamische Update auf Keine für die
primäre Zone auf »EDVEDC01« ein.
C

Sie erstellen einen A-Eintrag für jeden Server auf
»EDVEDC01«.
D

Sie wandeln die primäre Zone auf »EDVEDC01« in eine
Active Directory-integrierte Zone um.
E

Sie wandeln die Zone auf »EDVEDC02« in eine primäre
Zone um.
Begründung
Wenn das dynamische Update auf Nur sichere eingestellt ist, können sich
nur Mitglieder der Domäne beim DNS-Server registrieren. Um das sichere
Update anwenden zu können, muss die Zone im Active Directory integriert
werden.
Beim Lösungsvorschlag B kann kein Computer, ob Mitglied der Domäne
oder nicht, sich beim DNS-Server registrieren. Lösungsvorschlag C macht
nur dann Sinn, wenn das dynamische Update deaktiviert ist.
Lösungsvorschlag E würde das Problem auch nicht lösen. Die Verwendung
- 535 -
von zwei primären Zonen für einen Namensraum ist nur in ganz speziellen
Fällen anzuraten, nämlich dann, wenn ein Namensraum (Domäne) mit
einem öffentlichen und einem privaten Teil des Netzwerks besteht.
Hilfe
DNS\Dynamische Updates: Abschnitt: Sichere dynamische
Aktualisierung
MS Training
• Seite 556
- 536 -
Frage 137
Bezeichnung MVSNET.DE. Auf allen Servern läuft Windows Server 2003
und auf allen Clients Windows XP Professional. Das Netzwerk enthält 20
Server, auf denen Terminaldienste laufen, ebenso alle Applikationen der
Benutzer. Einige dieser Anwendungen sind Legacy-Anwendungen, bei
denen von Benutzern das Dateisystem kontrolliert und die
Anwendungsregistrierung eingestellt werden muss.
Zurzeit sind die Terminaldienste so konfiguriert, dass die Administratoren
remote auf die Sitzungen der Terminaldienste zugreifen können, um bei
Problemfällen dem Benutzer zu helfen oder ihn zu schulen. Der Manager
der Personal- und der Finanzabteilung informiert Sie, dass vertrauliche
Daten bloßgestellt wurden, als administratives Personal ohne Wissen oder
Erlaubnis des Benutzers die Benutzersitzungen verfolgte. Der Manager
beauftragt Sie, die Terminaldienstekonfiguration so zu ändern, dass kein
Administrator ohne Erlaubnis des Benutzers Einsicht auf
Benutzersitzungen bekommt. Sie ändern die Standarddomänenrichtlinie
wie im folgenden Schaubild dargestellt:
- 537 -
Sie versuchen, remote eine Benutzersitzung einzurichten und finden
heraus, dass Sie dies ohne Erlaubnis des Benutzers tun können.
Sie müssen die Terminaldienste nun so konfigurieren, dass sich jeder
Administrator die Erlaubnis des Benutzers einholen muss, bevor er die
Session einsehen bzw. verwalten darf. Diese Aufgabe soll so schnell wie
möglich und mit einem Minimum an administrativem Aufwand
durchgeführt werden. Zudem soll Ihre Konfiguration automatisch auf neue
Terminalserver, die in das Netzwerk implementiert werden, übertragen
werden
A
{
Sie deaktivieren in der Sektion Computereinstellung
der Standarddomänenrichtlinie die Option
Remoteverbindungen für Benutzer mit Hilfe der
Terminaldienste zulassen.
B
{
Sie aktivieren in der Sektion Computereinstellung der
Standarddomänenrichtlinie die Option Regeln für
Remoteüberwachung von TerminaldiensteBenutzersitzungen und konfigurieren Voller Zugriff
bei Benutzererlaubnis.
C
{
Sie wählen im Terminaldienstekonfigurationstool die
Option Remoteüberwachung mit folgenden
Einstellungen verwenden und aktivieren die
Benutzerberechtigung anfordern Checkbox.
D
{
Sie setzen im Terminaldienstekonfigurationstool die
Option Berechtigungskompatibilität auf
Vollständige Sicherheit. In den
Verbindungseigenschaften, Register Berechtigung,
gewähren Sie der Gruppe Administratoren Vollzugriff.
Richtige Antwort: B
Begründung
Die Lösungsvorschläge B und C sind in ihrer Auswirkung fast identisch,
das heißt, sie bewirken genau das, was man will, sie verhindern, dass ein
anderer Benutzer die Sitzung auf dem Terminalserver unbemerkt
beobachtet.
Der Unterschied ist folgender: Der Lösungsvorschlag C bedeutet, dass
jeder Terminalserver einzeln konfiguriert werden muss, der
Lösungsvorschlag B benutzt Gruppenrichtlinien, um alle 20 Server auf
einmal zu konfigurieren, ein deutlich elegantere Lösung.
- 538 -
Der falsche Lösungsvorschlag A bewirkt, dass niemand eine Verbindung zu
den Terminalservern zustande bringt, auch eine Methode um eine
Überwachung zu verhindern, aber nicht ganz im Sinne der
Personalmanager der Firma. Der erste Teil des Lösungsvorschlags D,
Berechtigungskompatibilität auf Vollständige Sicherheit setzen, würde
in diesem Fall dazu führen, dass die alten Anwendungen auf dem
Terminalserver nicht mehr ordnungsgemäß funktionieren, da die Benutzer
Zugriff auf die Registrierdatenbank brauchen. Dieser Zugriff wäre durch
diese Einstellung verhindert. Bezüglich des zweiten Teils des
Lösungsvorschlages D bleibt nur anzumerken: Administratoren haben
standardmäßig Vollzugriff.
- 539 -
Hilfe
So wird es gemacht\Konfigurieren von
Terminaldiensteverbindungen\Verwaltung der
Remoteüberwachung\Konfigurieren der Einstellungen für die
Remoteüberwachung
MS Training
• Seite 793
- 540 -
Frage 138
Server 2003 und auf den Clients entweder Windows XP Professional oder
Windows 2000 Professional.
Alle Server, die nicht als Domänencontroller fungieren, befinden sich in
einer Organisationseinheit mit der Bezeichnung Server. Alle Clientrechner,
die von administrativem Personal benutzt werden, befinden sich in der
Organisationseinheit AdminDesktops. Auf der Organisationseinheit
Domänencontroller und der Organisationseinheit Server wird die Server
IPSec-Richtlinie verwendet. Auf der AdminDesktop-Organisationseinheit
wird die Client-IPSec-Richtlinie verwendet.
Alle Server sind so konfiguriert, dass sie Remotedesktopverbindungen für
die Administration erlauben. Die Sicherheitsrichtlinie der Firma sieht vor,
dass der höchstmögliche Sicherheitslevel während der
Remoteadministration gilt. Die Terminaldiensteverschlüsselungsstufe in
den Standardgruppenrichtlinien ist auf Hoch gestellt.
Nach kurzer Zeit berichten Administratoren, die mit Windows 2000
Professional Rechnern arbeiten, dass sie keine Remotedesktopverbindung
mit den Servern herstellen, jedoch auf Netzwerkfreigaben problemlos
zugreifen können. Die Administratoren, die mit Windows XP Rechnern
arbeiten, haben keine derartigen Probleme.
Sie überprüfen, ob die Server, zu denen sich die Administratoren
verbinden wollen, auch online und ob Remotedesktopverbindungen
aktiviert sind. Zudem überprüfen Sie auf jedem Server, ob die maximale
Anzahl von Remoteverbindungen überschritten ist. Sie müssen
sicherstellen, dass jeder Administrator eine Remotedesktopverbindung
aufbauen kann, egal was der Clientrechner für ein Betriebssystem hat.
A
{
Sie stellen in den Eigenschaften des Remote Desktop
Protokolls (RDP) die Verschlüsselungsstufe auf FIPSkonform.
B
{
Sie installieren den Remote Desktop Protokoll (RDP)
Client Version 5.2 auf allen Rechnern in der
Organisationseinheit Administratoren.
- 541 -
C
{
Sie benutzen den Terminaldienstmanager, um die Server
auf Standard Windows Authentifizierung
umzustellen.
D
{
Sie konfigurieren die TerminaldiensterlaubnisKompatibilität auf Niedrige Sicherheit.
Richtige Antwort: B
Begründung
Die wesentliche Aussage in dieser Frage lautet „Die TerminaldiensteChiffrierungseinstellung in den Standardgruppenrichtlinien ist auf Hoch
gestellt“ und „... die Windows 2000 Professional Rechner können keine
Remotedesktopverbindung herstellen“. Da die
Terminaldienstechiffrierungseinstellungen in den
Standardgruppenrichtlinien auf Hoch gestellt ist, kann diese Richtlinie
nicht auf Windows 2000 RDP-Clients wirken, weil diese Richtlinie nur von
Windows XP Terminaldienstclients unterstützt wird.
Wenn ein RDP-Client diese Richtlinie nicht umsetzen (Windows 2000 als
Betriebsystem) oder die damit verbunden Stufe der Chiffrierung nicht
unterstützen kann (Hoch entspricht bei W2k3 einer Schlüssellänge von
128 Bit), wird ein Verbindungsversuch unterbunden. Die Version 4.0 RDPClient unterstützt eine Schlüssellänge nur bis 40 Bit.
Lösungsvorschlag A würde nichts an der Situation ändern, da die Windows
2000 RDP-Clients diese Stufe der Verschlüsselung auch nicht
unterstützen. Lösungsvorschlag C hat nur Relevanz, wenn ein alternatives
Authentifizierungspaket installiert ist, aber man möchte ja zurückkehren
zur standardmäßigen Windows-Authentifizierung. Letztlich betrifft
Lösungsvorschlag D die Sicherheitsumgebung der Anwendung auf der
Terminalserverseite. Es stehen zwei Sicherheitsumgebungskonfigurationen
zur Verfügungen: Vollständige Sicherheit und Niedrige Sicherheit.
Diese Konfigurationen regeln, ob ein normaler Benutzer während seiner
rechtmäßigen Arbeit Zugriff auf Systemkomponenten hat oder nicht (z. B.
die Möglichkeit, das Verzeichnis \system32 zu ändern, mit Zugriff auf die
Verzeichnisse unter \Programme und mit Schreib-/Lesezugriffen auf die
Registrierdatenbank in der Struktur HKEY_LOCAL_MACHINE).
Hilfe
Konzepte\Verwaltung von Sitzungen\Festlegen der
Verschlüsselungsstufe
MS Training
• Seite 785
- 542 -
Frage 139
Sie sind der Administrator des Gästehauses Merk. Ihr Netzwerk besteht
aus einem einzigen Verzeichnisdienst mit der Bezeichnung GAESTEHAUSMERK.DE. Alle Domänencontroller laufen unter Windows Server 2003,
ebenso alle Applikationsserver.
Die Computer in den verschiedenen Abteilungen führen verschiedene
Betriebssysteme aus:
Buchhaltung
Windows XP
Technischen Abteilung
Windows 2000
Vertrieb
Windows NT4 oder Windows 98.
Alle Computer greifen auf eine Datenbank zu, die auf einem
Applikationsserver abgelegt ist.
Sie müssen die Datenübertragung zwischen den Computer absichern. Sie
müssen sicherstellen, dass die Informationen, die zwischen den
Computern und den Applikationsservern ausgetauscht werden, nicht
verändert werden können. Darüber hinaus soll nach Möglichkeit die
Geheimhaltung der Daten gewährleistet sein.
Wie sollten Sie vorgehen?
Richtige Antwort:
- 543 -
Begründung
Windows 2000 und Windows XP unterstützen VPN-Verbindungen mit
IPSec, und dabei werden die Daten während der Übertragung geschützt.
Ältere Betriebssysteme wie Windows NT 4 und Windows 98 unterstützen
diese Funktion nicht. Daher können Sie auf den Computern des Vertriebs
nur mithilfe der SMB-Signierung (Server Message Block) eine sichere
Verbindung zu den Applikationsservern aufbauen. In diesem Fall sind die
Daten nicht verschlüsselt, aber eine Prüfsumme des Datenpakets wird vor
der Transmission gebildet und mitübertragen. Bei der Ankunft am Ziel
wird diese Summe noch einmal berechnet und mit der ursprünglichen
Prüfsumme verglichen. Wenn kein Unterschied festgestellt wird, hat keine
Veränderung an den Daten stattgefunden.
Kerberos und NTLM sind nur Authentifizierungsprotokolle. Sie sichern den
Authentifizierungsdialog zwischen Client und Domänencontroller ab und
haben kein Einfluss auf subsequente Datentransmissionen.
Hilfe
Sicherheitseinstellung\Lokale Richtlinien\Sicherheitsoptionen
MS Training
- 544 -
Frage 140
Sie sind ein Systemadministrator der Firma IT Consulting Merk. Das
Bezeichnung MERK.NET. Alle Server führen Windows Server 2003 als
Betriebssystem aus. Ein Server mit dem Namen »MERKDC01« ist als
interner DNS-Server konfiguriert und für folgende Zonen zuständig:
Das Netzwerk ist zurzeit nicht mit dem Internet verbunden. Die Firma hat
ein zweites Netzwerk für die Web- und Mailserver. Diese Web- und
Mailserver werden in der Domäne MAIL MERK.NET verwaltet, die auf
einem auf UNIX basierenden DNS-Server mit der Bezeichnung
»MERKDN01« gehostet wird. Dieser DNS-Server führt die aktuellste
BIND_Version aus.
Ihre Firma möchte es den internen Mitarbeiter ermöglichen, auf die
Dienste der Internetserver zuzugreifen. Eine interne Sicherheitsrichtlinie
verbietet jedoch, dass die internen Informationen in das Internet gelangen
dürfen. Des Weiteren dürfen Informationen der internen DNS-Zone nicht
im Internet bekanntgegeben werden. Um dieser Anforderung gerecht zu
werden, müssen alle DNS-Anfragen an den internen DNS-Server
»MERKDC01« gesendet werden. Alle Internetnamensanfragen müssen
über den UNIX-DNS-Server mit der Bezeichnung »MERKDN01« laufen.
Sie müssen eine Strategie für die Namensauflösung erarbeiten. Dabei soll
»MERKDC01« so konfiguriert werden, dass er den Sicherheitsrichtlinien
entspricht.
- 545 -
Wie gehen Sie vor?
A
{
Sie löschen die Stammzone auf »MERKDC01« und
konfigurieren »MERKDC01« so, dass er alle Anfragen, für
die dieser DNS-Server nicht zuständig ist, an
»MERKDN01« weiterleitet.
B
{
Sie kopieren die cache.dns-Datei von der InstallationsCD in das %systemroot%\DNS-Verzeichnis von
»MERKDC01«.
C
{
Sie fügen der internen Zone einen Namensservereintrag
für »MERKDN01« hinzu und konfigurieren den Server mit
den aktuellen ROOT-Informationen.
D
{
Sie erstellen auf »MERKDC01« eine sekundäre Zone mit
der Bezeichnung MAIL.MERK.NET,wobei »MERKDN01«
als Master definiert wird. Sie konfigurieren den Server
so, dass er alle Namensauflösungen an den DNS-Server
Ihres Internetdienstanbieters leitet.
Richtige Antwort: A
Begründung
Der DNS-Server, »MERKDC01«, ist als privater Stamm konfiguriert. Mit
dieser Konfiguration ist es weder möglich noch erwünscht, eine
Weiterleitung einzurichten. Eine Weiterleitung widerspricht dem Sinn eines
privaten Stamms. Zuerst muss der private Stamm gelöscht werden, und
dann muss die IP-Adresse der UNIX-DNS-Servers als Weiterleiter in den
Eigenschaften von der »MERKDC01« eingetragen werden.
Falls jetzt »MERKDC01« nicht in der Lage ist, Namensauflösungsanfragen
zu beantworten, wird er die Anfrage an die Unix-Maschine weiterleiten,
anstatt wie bisher mit der Fehlermeldung Host kann nicht gefunden
werden zu antworten. Solange der Unix-DNS-Server nur Einträge von
Ressourcen in das externe (öffentliche) Netzwerk und keine Einträge aus
dem internen Netzwerk hat, kann keine Namensauflösung von außen
stattfinden. Dieser Vorgang ist in Lösungsvorschlag A beschrieben.
Die Datei cache.dns beinhaltet die notwendigen Einträge, um die
Internet-DNS-Server zu kontaktieren, diese Aufgabe soll aber vom UnixDNS-Server erfüllt werden (Lösungsvorschlag B). Ein
Namensservereintrag in der internen Zone der zum externen DNS-Server
zeigt, hilft dem internen DNS-Server herzlich wenig, wenn er nicht weiß,
wohin mit eine Anfrage, die er selbst nicht auflösen kann
(Lösungsvorschlag C).
Lösungsvorschlag D suggeriert, dass eine zusätzliche Lesekopie der Zone
MERK.NET auf »MERKDC01« richtig wäre, aber warum? Es existiert bereits
ein primäre Zone für denselben Namensraum, man muss nur
- 546 -
sicherstellen, dass die externen Ressourcen (Web- und Mailserver) auch in
der internen Zone vorhanden sind, um Zugriff von innen auf die externe
Ressourcen zu ermöglichen.
Hilfe
von Servern\Verwendung von Weiterleitungen
Hauptnetzwerkdienste\DNS\Prüflisten\Prüfliste: Sichern der DNSInfrastruktur
MS Training
• Seite 540
- 547 -
Frage 141
Sie sind der Systemadministrator der Firma MVSPRESS Ltd iG. Das Netz
besteht aus einem Verzeichnisdienst mit der Bezeichnung MVSPRESS.DE.
Alle Server laufen unter dem Betriebssystem Windows Server 2003. Ihr
Netzwerk ist mittels einer T3-Leitung mit dem Internet verbunden.
Ihre Firma geht eine Partnerschaft mit einer anderen Gesellschaft ein. Das
Netzwerk der Partnerfirma besteht aus einer Gesamtstruktur mit zwei
Domänen. Alle Server im Netzwerk führen das Betriebssystem Windows
Server 2003 aus. Das Netzwerk Ihrer Partnerfirma ist ebenfalls mit einer
T3-Leitung mit dem Internet verbunden.
Das Partnernetz ist durch eine VPN-Verbindung, die zwischen den zwei
Netzwerken hergestellt wurde, zugänglich. Die VPN-Verbindung wurde
getestet, und es wurde sichergestellt, dass eine Verbindung zwischen den
zwei Netzen möglich ist.
Benutzer von beiden Gesellschaften müssen sich mit Ressourcen
verbinden, die sich auf Servern des anderen Netzwerkes befinden. Es
existiert eine Vertrauensstellung zwischen den zwei Gesellschaften, um
den Benutzern den Zugang zu Ressourcen zu gewähren. Benutzer in Ihrer
Firma berichten, dass sie auf Ressourcen aus dem Partnernetz zugreifen
können, aber es kann bis zu mehrere Minuten dauern, bis eine Verbindung
hergestellt wird. Dieses Problem tritt meistens während des frühen
Vormittags auf.
Sie stellen sicher, dass es eine ausreichende, verfügbare Bandbreite für
die Verbindung zwischen den zwei Netzwerken gibt, um den Zugang zu
gewährleisten. Sie stellen auch sicher, dass die Routingtabellen der
Netzwerke richtig konfiguriert wurden. Wenn Sie versuchen, einen Server
im Partnernetz mit Hostnamen anzupingen, bekommen Sie eine Time-OutFehlermeldung. Wenn Sie versuchen, den Server mit seiner IP-Adresse
anzupingen, erhalten Sie innerhalb von einigen Sekunden eine Antwort.
Sie müssen die Leistung zwischen den beiden Netzen verbessern.
A
{
Sie fügen die Domänennamen und die DNSServeradressen des Partnernetzes zu Ihren DNS-Servern
hinzu.
B
{
Sie fügen der ROOT-DNS-Liste auf Ihren DNS-Servern
die Hostnamen und IP-Adressen des Partnernetzes
hinzu.
- 548 -
C
{
Sie deaktivieren die Rekursion auf den DNS-Servern in
beiden Netzwerken.
D
{
Sie fügen die DNS-Server-IP-Adressen des
Partnernetzwerkes Ihrem DHCP-Bereich (Serveroption)
hinzu.
Richtige Antwort: A
Begründung
Man braucht eine gewisse Zeit, um Ressourcen in anderen Netzen
ausfindig zu machen. Der Grund hierfür liegt darin, dass Ihr DNS-Server
die entsprechenden vollqualifizierten Domänennamen nicht auflösen kann
und deshalb die Anfrage an die ROOT-Server im Internet weiterleitet.
Als Abhilfe hier gibt es mehrere Möglichkeiten. Sie können entweder
sekundäre Zonen beim jeweiligen Partner einrichten, sodass eine lokale
Kopie der Namens/IP-Liste zur Verfügung steht. Sie könnten auch
Stubzonen für die jeweiligen Partnerzonen einrichten, die den
Namensserver des „fremden“ Netzwerks auflisten. Sie könnten auch eine
einfache Weiterleitung mit Bedingung einrichten. Der Lösungsvorschlag A
stellt dies dar, das heißt, Namensauflösungsanfragen, die an den
jeweiligen DNS-Server gerichtet werden, können direkt zu dem
autorisierten DNS-Server gesendet werden, ohne zuerst die
entsprechenden Namensserver über den Rekursionsvorgang und die RootServer zu ermitteln.
Die ROOT-Server-Liste (cache.dns) dient nur der Suche nach anderen
DNS-Servern, die für den Stamm des Namensraumes autorisiert sind.
Stammserver sind für den Domänenstamm und die Domänen der obersten
Ebene in der Namensraumstruktur autorisiert. Eine Deaktivierung der
Rekursion würde sämtliche externe Namensauflösungen unterbinden, das
heißt, alle iterativen Anfragen sind nicht mehr möglich, und das
Hinzuziehen von DHCP würde die Situation nicht ändern.
Hilfe
von Servern\Verwendung von Weiterleitungen
von Servern\Aktualisierung von Stammverweisen
MS Training
• Seite 542
- 549 -
Frage 142
Sie sind der Systemadministrator der Firma MVSPRESS Ltd iG. Das
Netzwerk besteht aus einer Gesamtstruktur mit drei Domänen. Jede
Domäne enthält Domänencontroller, die unter dem Betriebssystem
Windows 2000 Server und Windows Server 2003 laufen. Der DNS-Dienst
ist auf allen Domänencontrollern installiert. Auf allen Clientcomputern läuft
Sie müssen eine zusätzliche DNS-Zone hinzufügen, die auf mindestens
einem DNS-Server in jeder Domäne verwaltet wird. Sie wollen die Zone so
konfigurieren, dass nur sichere Aktualisierungen erlaubt sind.
A
{
Sie konfigurieren die neue Zone auf den DNS-Servern in
der Stammdomäne und konfigurieren eine Stubzone, die
auf die DNS-Server in den zwei anderen Domänen
verweist.
B
{
Sie konfigurieren die neue primäre Zone auf einem DNSServer und konfigurieren die anderen DNS-Server in den
drei Domänen als sekundäre DNS-Server für diese Zone.
Dann aktivieren Sie die Sicherheitserweiterung für das
DNS(DNSSEC)-Protokoll.
C
{
Sie konfigurieren ein neue Active Directory-integrierte
DomainDNSZonen.
D
{
Sie konfigurieren eine neue Active Directory-integrierte
GesamtstrukturDNSZonen.
Richtige Antwort: D
Begründung
Seit Windows 2000 war es möglich, DNS-Zonendaten im Active Directory
zu speichern und dabei diese Informationen allen Domänencontrollern in
der Domäne zur Verfügung zu stellen. Diese Information war auch auf
Domänencontrollern, die keine DNS-Funktion erfüllt haben, verfügbar und
konnte auch nicht über die Domänengrenzen hinweg repliziert werden.
Diese Situation hat sich mit Windows Server 2003 geändert. Eine neue
Partition im Active Directory, die Anwendungsverzeichnispartition, erlaubt
die selektive Replikation von Daten, die von Anwendungen oder Diensten
- 550 -
im Active Directory gespeichert wird. Diese Replikation kann entweder zu
ausgewählten Domänencontrollern in einer Domäne oder sogar in
mehreren Domänen in der Gesamtstruktur stattfinden.
Wenn der DNS-Dienst auf einem Windows Server 2003 Domänencontroller
eingerichtet wird, werden zwei Anwendungsverzeichnispartitionen
standardmäßig erstellt:
DomainDNSZones
und
GesamtstrukturDNSZoneSeite.
Bei dem Erstellen von einer Zone (Active Directory-integriert) wird
angeboten, diese Zone entweder:
zu allen Domänencontrollern in der Domäne
oder
zu allen Domänencontrollern mit einem aktivierten DNS-Dienst in der
Domäne
oder
zu allen Domänencontrollern mit einem aktivierten DNS-Dienst in der
Gesamtstruktur
zu replizieren. Diese Möglichkeit ist bei der Erstellung von primären Zonen
und Stubzonen vorhanden.
Um die Anforderungen der Aufgabenstellung zu erfüllen, muss die neue
Zone in der GesamtstrukturDNSZone-Partition gespeichert werden.
Dies gibt der Lösungsvorschlag D wieder.
Der Lösungsvorschlag C würde die DNS-Informationen nicht über die
Domänengrenzen hinweg replizieren. Der Lösungsvorschlag B mit DNSSEC
bietet Dienste für die Authentifizierung des Datenursprungs und
Integritätsüberprüfung und kein „sichere Aktualisierung“ im Sinne von
Active Directory. Lösungsvorschlag A erzeugt nur eine Zone in der
Stammdomäne, egal ob es eine Stubzone ist oder nicht. Diese Lösung
entspricht nicht den Anforderungen.
Hilfe
Hauptnetzwerkdienste\DNS\Konzepte\Grundlegendes zu DNS\DNSZonenreplikation in Active Directory
MS Training
- 551 -
Frage 143
Sie sind der Systemtechniker der Firma MVSPRESS Ltd iG. Das Netzwerk
besteht aus drei Windows NT 4.0-Domänen in einem einfachen
Hauptdomänenmodell. Die Server im Netzwerk laufen unter dem
Betriebssystem Windows NT Server 4.0 oder Windows 2000 Server, alle
Domänencontroller unter Windows NT Server 4.0.
Das Netzwerk enthält auch zehn auf UNIX basierende Anwendungsserver.
Die gesamte Hostnamensauflösung für MVSPRESS.DE wird von einem auf
UNIX basierenden Server durchgeführt, der die aktuellste BIND-Version
verwendet. Die gesamte NetBIOS-Namensauflösung wird von zwei
Windows 2000 WINS-Servern durchgeführt.
Ihre Firma möchte das Netzwerk auf Windows Server 2003 mit einer
Gesamtstruktur umstellen. Die neue Domäne soll MVSPress-ltd.DE
benannt werden, und sie wird in einer Active Directory-integrierten Zone
verwaltet. Server, die nicht Domänencontroller sind, werden zu dieser Zeit
nicht aktualisiert. Die Migration sieht vor, dass alle Computer DNS für die
Namensauflösung verwenden müssen.
Sie migrieren alle Domänencontroller in der Hauptdomäne auf Windows
Server 2003 und alle Benutzer und Computer in die neue Active DirectoryDomäne. Sie müssen die erforderliche Redundanz zwischen den auf
Windows und den auf UNIX basierenden DNS-Servern konfigurieren. Sie
müssen sicherstellen, dass es keinen Ausfall der DNS-Server gibt.
Welche zwei Maßnahmen sollten Sie durchführen?
A

Sie erstellen auf einem Windows Server 2003 DNSServer eine sekundäre Zone, die den auf UNIX
B

Sie erstellen auf dem auf UNIX basierenden DNS-Server
eine sekundäre Zone, die einen auf Windows
C

Sie erstellen auf einem Windows Server 2003 DNSServer eine Stubzone, die den auf UNIX basierenden
DNS-Server als Master benutzt.
D

Sie fügen eine Delegation in der MVSPRESS.DE-Zone
hinzu, die die Autorität der MVSPress-Ltd.DE-Zone an
einen Windows Server 2003 Server delegiert.
E

Sie konfigurieren die MVSPress-Ltd.DE-Zone so, dass
keine WINS-spezifischen Ressourceneinträge bei der
Zonenübertragung repliziert werden müssen.
- 552 -
Begründung
Nachdem alle Domänencontroller in der Masterdomäne bereits zu
Windows Server 2003 migriert sind, wäre das Einrichten von Active
Directory-integrierten Zonen die einfachste Methode, Redundanz für die
DNS-Server zu konfigurieren. Leider steht aber diese Möglichkeit nicht zur
Auswahl. Die andere Möglichkeit, eine Redundanz- und Lastverteilung
einzurichten, ist die Konfiguration von sekundären Zonen. Diese
Möglichkeit wird auch von nicht auf Windows basierenden DNS-Servern
unterstützt. Dieser Ansatz ist in Lösungsvorschlag B wiedergegeben.
Diese Vorgehensweise behält alle die Vorzüge von DDNS-fähigen Clients
und DDNS-Servern, so dass automatisch erzeugte Einträge auf dem DNSMaster auch auf den sekundären DNS-Server übertragen werden. Ein
Punkt, an dem man aufpassen sollte, ist das Ausklammern von DNSEinträgen, die nur für WINS wichtig sind. WINS ist ein Microsoftspezifisches System zur Namensauflösung und wird nicht von BIND
unterstützt. Die Unterdrückung der Replikation der WINS-Daten wird auf
dem WINS-Register vorgenommen. Dies gibt der richtige
Lösungsvorschlag E wieder.
Der Lösungsvorschlag A bietet Redundanz nicht für die Windows DNSServer an, sondern auch für die UNIX-Rechner. Lösungsvorschlag C würde
dynamische A- und NS-Einträge in einer Stubzone auf dem Windows DNSServer bereitstellen. Der Lösungsvorschlag D ist falsch, da die zwei
Domänen nicht Teile ein und desselben Namensraums sind und eine
Delegation hier komplett fehl am Platz ist.
Hilfe
Hauptnetzwerkdienste\DNS\Konzepte\Bereitstellen von DNS\Fragen
zur Interoperabilität
von Servern\Verwenden von sekundären Servern
MS Training
• Seite 625
- 553 -
Frage 144
Bezeichnung MVSPRESS.DE. Alle Computer in dieser Firma sind Mitglieder
dieser Domäne. Alle Domänencontroller führen Windows Server 2003 aus,
die Clients verwenden Windows XP als Standardbetriebssystem.
Sie planen eine Struktur zu Aktualisierung der Sicherheit. Sie müssen
herausfinden, welche Computer am anfälligsten für
Sicherheitsverletzungen sind. Sie müssen darüber jede Nacht
Informationen über jeden Computer sammeln. Sie wollen, dass dieser
Prozess automatisch durchgeführt wird.
A
{
Sie erzeugen eine Task für secedit.exe, die jede Nacht
ausgeführt wird.
B
{
Sie erzeugen eine Task für mbsacli.exe, die jede Nacht
ausgeführt wird.
C
{
Sie installieren das Tool Microsoft Baseline Security
Analyzer (MBSA) auf einem Server. Sie konfigurieren die
Automatische Update-Funktion und weisen alle
Computer an, diesen Server dafür zu verwenden.
D
{
Sie installieren den Software Update Dienst (SUS) auf
einem Server so, dass er sich jede Nacht aktualisiert.
Richtige Antwort: B
Begründung
Der Microsoft Baseline Security Analyzer (MBSA) ist ein Microsoft
Werkzeug, natürlich nur für Microsoft Betriebssysteme, das es
Administratoren ermöglicht, einen spezifischen oder mehrere Computer
auf häufig auftretende Fehlkonfigurationen hin zu prüfen. Er prüft nicht
nur das Betriebssystem, sondern auch andere Komponenten (zum Beispiel
die Internetinformationsdienste und SQL-Server), stellt
Fehlkonfigurationen fest und gleicht ab, ob alle empfohlenen
Sicherheitsupdates installiert wurden.
Der MBSA V1.2 kann Computer unter Windows NT 4, Windows 2000,
Windows XP Professional, Windows XP Home Edition und Windows Server
2003 prüfen und von jedem Computer unter den genannten
Betriebssystemen ausgeführt werden.
Zwei Versionen der Baseline Security Analyzers stehen zur Verfügung:
mbsa.exe mit einer grafischen Benutzeroberfläche und mbsacli.exe für
die Kommandozeilenversion. Die Kommandozeilenversion kann
- 554 -
selbstverständlich in Stapelverarbeitungsdateien integriert werden und
dabei einen Automatismus in der Sicherheitsüberprüfung der
Domänenrechner ermöglichen.
MBSA erfordert administrative Rechte auf dem Computer, den Sie
durchsuchen möchten. Die Optionen /u (Benutzername) und /p
(Kennwort) können benutzt werden, um den Benutzernamen anzugeben
und um die Suche auszuführen. Speichern Sie keine Benutzernamen und
Kennwörter, denn diese stehen in den Stapelverarbeitungsdateien im
Klartext.
Muster
@ Echo off
CLS
SET MBSA_Install_Path = "C:\Programme\Microsoft Baseline Security
Analyzer"
CLS
CD %MBSA_Install_Path%
MBSACLI.EXE /d Meine Domäne /n Kennwort
ECHO Scan komplett
Pause
EXIT
Hilfe
MS Training
- 555 -
Frage 145
Sie sind der Netzwerkadministrator der Firma MVSPRESS Ltd iG. Ihre
Gesellschaft besteht aus einem Verzeichnisdienst mit der Bezeichnung
MVSPRESS.DE. Alle Clients in Ihrer Firma führen als Betriebssystem
Windows XP Professional aus.
Das Hauptbüro der Gesellschaft befindet sich in Nürnberg. Sie sind ein
Netzwerkadministrator in Kronach, einer Zweigstelle der Gesellschaft. Sie
erstellen eine Gruppenrichtlinie, die das Startmenü der Mitarbeiter in
Kronach auf einen freigegeben Ordner auf einem Dateiserver umleitet.
Mehrere Benutzer in Kronach berichten, dass viele der Programme, die sie
normalerweise verwenden, in ihrem Startmenü fehlen. Die Programme
waren im Startmenü am Vortag noch verfügbar, aber heute erscheinen sie
nicht, wenn sich die Benutzer anmelden.
Sie melden sich am Computer eines Mitarbeiters an. Alle erforderlichen
Programme erscheinen im Startmenü. Sie stellen sicher, dass die
Mitarbeiter auf den gemeinsamen Ordner auf dem Dateiserver zugreifen
können. Sie müssen herausfinden, warum sich das Startmenü für diese
Mitarbeiter geändert hat.
Welche zwei Möglichkeiten haben Sie, um dieses Ziel zu erreichen?
zwei.)
A

Sie wählen in der Gruppenrichtlinienverwaltung (GPMC)
den Dateiserver, auf dem der gemeinsame Ordner
verwaltet wird, sowie ein Benutzerkonto, das in der
Gruppe der Domänenadministratoren ist und überprüfen
dies mit Hilfe des Richtlinienergebnissatzes.
B

Sie wählen in der Gruppenrichtlinienverwaltung (GPMC),
eines der betroffenen Benutzerkonten aus und
überprüfen dieses mit Hilfe des
Richtlinienergebnissatzes.
C

gpresult.
D

gpupdate.
E

secedit.
Richtige Antworten: B und C
- 556 -
Begründung
Sie müssen überprüfen, ob die entsprechenden Gruppenrichtlinien auf den
Computern der betroffenen Mitarbeiter angewendet werden. Dafür können
Sie die Tools gpresult oder den Richtlinienergebnissatz verwenden.
gpresult
Zeigt die Gruppenrichtlinien und den Richtlinienergebnissatz (Resultant
Set of Policy, RSOP) für einen Benutzer oder Computer an, insbesondere
wenn die Schalter /v oder /z verwendet werden.
Richtlinienergebnissatz
Der Richtlinienergebnissatz-Protokollierungsmodus hilft Administratoren
beim Überprüfen bestehender Richtlinieneinstellungen, die auf Computer
und Benutzer angewendet wurden.
Der Protokollierungsmodus ist in den folgenden Situationen besonders
hilfreich:
• Sie möchten analysieren, welche Richtlinieneinstellungen auf einen
Computer oder Benutzer angewendet werden.
• Sie möchten fehlgeschlagene oder überschriebene
Richtlinieneinstellungen feststellen.
• Sie möchten herausfinden, wie sich Sicherheitsgruppen auf die
Richtlinieneinstellungen auswirken.
gpupdate:
Aktualisiert lokale und Active Directory–basierte
Gruppenrichtlinieneinstellungen, einschließlich Sicherheitseinstellungen.
Dieser Befehl löst die jetzt veraltete Option /refreshpolicy des Befehls
secedit ab.
Hilfe
• Hilfe und Supportcenter: Suchbegriff: „ gpresult “ Æ Gpresult,
Verwaltungsprogramme\Richtlinienergebnissatz\Konzepte\Verwendun
g von Richtlinienergebnissatz
MS Training
- 557 -
Frage 146
MVSPRESS.DE. Bevor Sie neue Gruppenrichtlinien umsetzen, testen Sie
diese auf einer Organisationseinheit mit der Bezeichnung Test. Die
Organisationseinheit Test enthält einen Windows XP Professional
Clientcomputer, den Sie als Testcomputer benutzen.
Die Domäne enthält eine Gruppe mit der Bezeichnung Sicherheit. Sie
erstellen eine neue Gruppenrichtlinie und konfigurieren im Abschnitt
Computerkonfiguration die Option, damit die Gruppe Sicherheit eine
Änderung der Systemzeit durchführen kann.
Sie melden sich beim Testcomputer an und stellen fest, dass die
Gruppenrichtlinien keine Auswirkung gehabt haben. Sie müssen das
Gruppenrichtlinienobjekt sofort anwenden.
A
{
Sie melden sich von dem Testcomputer ab und dann
gleich wieder an.
B
{
Sie melden sich von dem Testcomputer ab, erstellen ein
Benutzerkonto in der Organisationseinheit Test und
melden Sie dann mit diesem Konto wieder an.
C
{
Sie führen auf dem Testcomputer den Befehl gpresult
aus.
D
{
Sie führen auf dem Testcomputer den Befehl gpupdate
/force aus.
Richtige Antwort: D
Begründung
Sie müssen die Gruppenrichtlinie sofort anwenden und können nicht auf
das nächste Aktualisierungsintervall (Standardeinstellung: alle 90
Minuten) warten. Mit Hilfe des Befehls gpupdate /force können Sie eine
sofortige Aktualisierung erwirken. Dieser Aspekt wird im richtigen
Lösungsvorschlag D berücksichtigt.
Der Lösungsvorschlag A würde die Gruppenrichtlinie für die Benutzer neu
anwenden, aber nicht für die Computer (was Sie brauchen). Es besteht
gar keine Notwendigkeit, ein neues Benutzerkonto zu erstellen, wie in
Lösungsvorschlag B suggeriert wird. Der Lösungsvorschlag C überprüft
nur, welche Gruppenrichtlinien für den momentan angemeldeten Benutzer
auf diesem Rechner Wirkung zeigen.
- 558 -
gpupdate
Aktualisiert lokale und Active Directory–basierte
Gruppenrichtlinieneinstellungen, einschließlich Sicherheitseinstellungen.
Dieser Befehl löst die jetzt veraltete Option /refreshpolicy des Befehls
secedit ab.
Parameter:
/target: {computer|user}
Verarbeitet nur die Computereinstellungen oder die aktuellen
Benutzereinstellungen. Standardmäßig werden sowohl die
Computereinstellungen als auch die Benutzereinstellungen verarbeitet.
/force
Ignoriert alle Verarbeitungsoptimierungen und wendet alle Einstellungen
erneut an.
/wait: Wert
Die Anzahl der Sekunden, die die Richtlinienverarbeitung mit dem
Beenden wartet. Der Standardwert beträgt 600 Sekunden. 0 bedeutet
"nicht warten"; -1 bedeutet "unbegrenzt warten".
/logoff
Führt nach Abschluss der Aktualisierung eine Abmeldung durch. Dies ist
für clientseitige Erweiterungen der Gruppenrichtlinien erforderlich, die die
Gruppenrichtlinien nicht in einem Hintergrundaktualisierungszyklus, aber
beim Anmelden des Benutzers verarbeiten. Hierzu gehören
Softwareinstallation und Ordnerumleitung durch den Benutzer. Die Option
hat keine Auswirkungen, wenn keine Erweiterungen aufgerufen werden,
die erfordern, dass der Benutzer sich abmeldet.
/boot
Startet den Computer nach Abschluss der Aktualisierung neu. Dies ist für
clientseitige Erweiterungen der Gruppenrichtlinien erforderlich, die die
Gruppenrichtlinien nicht in einem Hintergrundaktualisierungszyklus, aber
beim Start des Computers verarbeiten. Hierzu gehört die
Softwareinstallation durch den Computer. Die Option hat keine
Auswirkungen, wenn keine Erweiterungen aufgerufen werden, die einen
Neustart des Computers erfordern.
/?
Zeigt die Hilfe an der Eingabeaufforderung an.
- 559 -
- 560 -
Hilfe
• Hilfe und Supportcenter: Suchbegriff: „ gpresult “ Æ Gpresult,
MS Training
• Seite 366
- 561 -
Frage 147
Sie sind der Netzwerkadministrator der Firma MVSPRRESS Ltd iG. Das
MVSPRESS.DE. Alle Server verwenden das Betriebssystem Windows
Server 2003 und alle Clientcomputer Windows XP Professional
In einem Testlabor, das eine separate Verzeichnisstruktur enthält,
entwickeln und testen Sie Gruppenrichtlinien, die Sie auf alle Computer
und Benutzer in der Domäne anwenden möchten. Sie müssen eine neue
Gruppenrichtlinie im Netzwerk einsetzen und wollen diese Aufgabe mit
minimalem administrativem Aufwand umsetzen.
A
{
Sie verwenden das verteilte Dateisystem, um die
Gruppenrichtlinien im freigegebenen Ordner SYSVOL
vom Testlabor zur Domäne zu replizieren.
B
{
Sie verwenden die Gruppenrichtlinienverwaltungskonsole
(GPMC), um die Richtlinie aus dem Testlabor zu
exportieren, und um sie anschließend in die Domäne zu
importieren.
C
{
Sie kopieren die Gruppenrichtlinienschablone (GPT) aus
dem freigegebenen Ordner SYSVOL des Testlabors zur
Domäne.
D
{
Sie verwenden das Snap-In Active Directory-Benutzer
und –Computer, um in der Domäne eine neue
Gruppenrichtlinie zu erstellen. In der neuen
Gruppenrichtlinie übernehmen Sie alle Einstellungen aus
der Richtlinie des Testlabors.
Richtige Antwort: B
Begründung
Die Gruppenrichtlinienverwaltungskonsole ist ein neues Werkzeug, um
Gruppenrichtlinien in einer Windows Server 2003-Umgebung zu
verwalten. Einige der neuen Fähigkeiten der
Gruppenrichtlinienverwaltungskonsole sind zum Beispiel das Sichern,
Wiederherstellen, Importieren und Kopieren von
Gruppenrichtlinienobjekten und das sogar über die Grenzen von
verschiedenen Gesamtstrukturen. Diese Fähigkeit macht sich der richtige
Lösungsvorschlag B zunutze.
Das Kopieren der Gruppenrichtlinienschablone (GPT), wie in den falschen
Lösungsvorschläge A und C vorgeschlagen, funktioniert nicht.
Lösungsvorschlag D funktioniert zwar grundsätzlich, aber der Weg, der
- 562 -
hier beschritten wird, ist sehr mühselig und fehleranfällig und entspricht
nicht den in der Frage gestellten Randbedingungen.
Hilfe
MS Training
- 563 -
Frage 148
Clientcomputer verwenden das Betriebssystem Windows XP Professional.
Sie verwalten einen Windows Server 2003 Dateiserver mit der
Bezeichnung »MVSFP001«. Der Server enthält zwei Datenträger, Laufwerk
G:\ und Laufwerk H:\. Freigegebene Ordner für die Abteilung Buchführung
sind auf Laufwerk G:\ gespeichert, freigegebene Ordner für die Abteilung
Marketing auf Laufwerk G:\ und auf Laufwerk H:\. Das Laufwerk H:\ hat
ausreichenden Speicherplatz, um alle gemeinsamen Ordner zu speichern
und anschließend noch 400 GB freien Platz.
Das Entwurfsteam definiert die folgenden Regeln für die freigegebenen
Ordner der Abteilung Marketing auf »MVSFP001«:
• Die Daten müssen gesichert werden, auch wenn sie geöffnet sind.
• Wenn erforderlich, muss die Sicherung auch während der
Geschäftszeiten ausgeführt werden.
• Benutzer müssen in der Lage sein, die Daten selbst
wiederherzustellen zu können.
Sie müssen einen Plan erstellen, der das Sichern und Wiederherstellen von
Dateien und Verzeichnissen gemäß den entsprechenden Erfordernissen
ermöglicht. Sie müssen einem eventuellen Datenverlust vorbeugen.
A

Sie passen alle freigegebenen Ordner durch Verwendung
der Dokumentschablone an.
B

Sie platzieren alle Ordner der Abteilung Marketing auf
dem Laufwerk H:\ und aktivieren die Verwendung von
Schattenkopien für alle Ordner auf H:\.
C

Sie konfigurieren die Sicherung so, dass die
Schattenkopien nicht mitgesichert werden.
D

Sie installieren die Software für Schattenkopien auf allen
Clientcomputern der Abteilung Marketing.
E

Sie geben allen Benutzern der Abteilung Marketing die
NTFS-Berechtigung Vollzugriff auf alle freigegebenen
Ordner.
- 564 -
Begründung
Die Verwendung von Schattenkopien ermöglicht die Sicherung von offenen
Dateien und auch die Fähigkeit, dass ein normaler Benutzer versehentlich
gelöschte Dateien selbst wiederherstellt oder auf frühere Versionen einer
Datei zugreifen kann. Da nur für komplette Volumes Schattenkopien
bereitgestellt werden können und nicht für ausgewählte Freigaben,
müssen alle Freigaben, die so gesichert werden müssen, zuerst auf ein
Laufwerk verschoben werden. Dies ist in Lösungsvorschlag B
berücksichtigt. Es ist explizit darauf hingewiesen, dass das Laufwerk H:\
genügend Platz hat.
Diese Konfiguration würde bedeuten, dass auf Laufwerk H:\ die
Schattenkopien selbst gespeichert sind. Die Schattenkopien beanspruchen
weniger Platz als die Originaldateien, da nur die Änderungen gespeichert
werden. Um auf die Schattenkopien zugreifen zu können, muss der
Schattenkopieclient auf den Rechnern der Benutzer installiert werden.
Diese Software steht auf einem Windows Server 2003 Server im
Verzeichnis %Systemroot%\system32\clients in Form eines *.msi-Pakets
zur Verfügung. Dies wird im richtigen Lösungsvorschlag D durchgeführt.
Der falsche Lösungsvorschlag C würde bedeuten, dass während einer
Sicherung die offenen Dateien NICHT mitgesichert würden, was im
Widerspruch zur Fragestellung steht. Der Lösungsvorschlag A suggeriert
etwas, was es nicht gibt und der falsche Lösungsvorschlag E will uns
einreden, dass die Berechtigungen etwas mit dem Lösungsvorschlag zu
tun haben, was aber wiederum nichts mit der Fragestellung zu tun hat.
Hilfe
Daten\Sichern und Wiederherstellen von Daten\Schattenkopien auf
gemeinsam genutzten Ordnern\Konzepte\Übersicht über
Schattenkopien auf gemeinsam genutzten Ordnern
MS Training
- 565 -
Frage 149
Netzwerk besteht aus vier Active Directory-Domänen. Alle Server in
diesem Netzwerk verwenden als Betriebssystem Windows Server 2003.
Diese Server sind auf drei Büros verteilt. Alle Server unterstützen Out-ofBand-Verwaltung mittels serieller Verbindungen zu den
Terminalkonzentratoren im Datenzentrum jedes Büros. Jedes Büro hat
eine eigene Verbindung zum Internet.
Ihre Firma hat eine neue Sicherheitsrichtlinie erlassen, die folgende
Punkte enthalten muss:
• Der direkte Zugriff auf alle Server ist nur bevollmächtigtem Personal
gestattet und nur für den Zweck, Hardware zu installieren oder zu
warten.
• Alle In-Band-Remote-Verbindungen zur Verwaltung müssen vom
Kerberos Version 5 Protokoll authentifiziert werden.
• Administratoren in jedem Büro müssen in der Lage sein, auf ihre
Server für entfernte Verwaltung oder Fehlerbehebung zuzugreifen,
selbst wenn das Betriebssystem nicht mehr läuft oder eine STOPFehlermeldung das System unterbricht.
• Dienste oder Programme, die für keine Remoteverwaltungs- oder
Serveroperationen notwendig sind, dürfen auf keinem Computer
installiert werden.
Sie müssen eine Remoteverwaltungsstrategie für das Netzwerk planen,
die mit der neuen Richtlinie übereinstimmt. Sie sind nicht verantwortlich
für die Rechtevergabe in der Domäne.
A

Sie konfigurieren jeden Server so, dass dieser eine
Remotedesktopverbindung akzeptiert.
B

Sie aktivieren auf jedem Server Telnet mit dem
Startparameter Automatisch.
C

Sie installieren auf jedem Server den Terminaldienst.
D

Sie aktivieren auf jedem Server die
Notverwaltungsdienste.
E

Sie installieren auf jedem Server den IIS-Dienst. Sie
wählen die Remoteadministration in den Eigenschaften
des WWW-Dienstes aus.
- 566 -
Begründung
Aufgrund der gestellten Forderungen kommt hier auf alle Fälle der
Lösungsvorschlag D als richtige Lösung in Betracht.
Um den Zugriff auf den Server unabhängig vom Zustand der
Netzwerktreiber und Betriebssystemdateien sicherzustellen, können Sie
die Notverwaltungsdienste, eine neue Funktion in der Windows Server
2003-Produktfamilie, einrichten. Die Notverwaltungsdienste stellen
spezielle Hardwareanforderungen und sind nur für Produkte der Windows
Server 2003-Produktfamilie verfügbar.
Die Microsoft Windows Server 2003-Produktfamilie bietet direkte
Unterstützung für den Betrieb und die Verwaltung von Servern, ohne dass
eine lokale Tastatur, eine Maus oder ein Monitor an den Server
angeschlossen sein muss. Die Notverwaltungsdienste sind Bestandteil
einer Out-of-Band-Verwaltungslösung, mit deren Hilfe Server remote
verwaltet werden können, wenn das Betriebssystem nicht mehr
ordnungsgemäß funktioniert. Die Notverwaltungsdienste stehen auch dann
zur Verfügung, wenn der Server keine Grafikkarte besitzt.
Die Terminaldefinition VT100 ist die Standardkonvention zum
Konfigurieren und Ausführen von Notverwaltungsaufgaben bei Servern
unter UNIX. VT100 unterstützt jedoch nicht alle Tasten der PCStandardtastatur (101 Tasten). Unter der VT-UTF8-Konvention stehen
zusätzliche Tasten zur Verfügung, die unter VT100 für die PC-Tastatur mit
101 Tasten nicht verfügbar sind. Bei VT-UTF8 können auch Farben und
einige standardisierte Escape-Sequenzen verwendet werden, die im
Allgemeinen für Verwaltungsaufgaben eingesetzt werden. Bei Verwendung
von VT-UTF8 können an den seriellen Anschluss gesendete Ausgaben
lokalisiert werden, die UNIX-Interoperabilität bei englischen
Sprachversionen bleibt erhalten.
Hinsichtlich des ebenfalls richtigen Lösungsvorschlags A muss folgendes
angemerkt werden: Der Remotedesktop für Verwaltung kann den mit der
Remoteverwaltung verbundenen Arbeitsaufwand bedeutend reduzieren.
Der Remotedesktop für Verwaltung verfügt über die
Terminaldienstetechnologie und wurde speziell für die Serververwaltung
entwickelt. Daher installiert er nicht die Funktionen zur Freigabe von
Anwendungen und Möglichkeiten für mehrere Benutzer oder die
Prozessplanung der kompletten Terminalserverkomponente (früher als
Terminaldienste im Anwendungsservermodus bezeichnet). Daher kann der
Remotedesktop für Verwaltung auf einem bereits stark beanspruchten
Server verwendet werden, ohne die CPU-Leistung spürbar zu
beeinträchtigen und stellt somit einen praktischen und effizienten Dienst
für die Remoteverwaltung dar.
- 567 -
Für den Remotedesktop für Verwaltung müssen keine eigenen Lizenzen
für Clientcomputer, die auf den Server zugreifen, erworben werden, und
es ist keine Installation der Terminalserverlizenzierung erforderlich.
Wenn die Remotedesktopverbindung installiert wird, können die
Administratoren auch Computer, die unter Betriebssystemen der Windows
Server 2003-Produktfamilie laufen, von Computern mit früheren WindowsVersionen aus verwalten.
Die Verwendung von Telnet als Werkzeug für die Remoteverwaltung (B)
scheidet aus, da aufgrund der Fragestellung Kerberos V5 als
Authentifizierungsprotokoll verwendet werden muss. Telnet unterstützt
entweder „Nur Text“ oder NTLM. Wenn das Betriebssystem nicht zur
Verfügung steht, ist Telnet auch nicht mehr verfügbar.
Der Lösungsvorschlag C ist falsch, weil der Terminaldienst standardmäßig
auf einem Windows Server 2003 Server bereits installiert ist.
Der ebenso falsche Lösungsvorschlag E entspricht nicht den
Anforderungen des Problems. Die Remoteadministration in dieser Option
ermöglicht nur die Verwaltung des IIS selbst und nicht die allgemeine
Verwaltung von Servern.
Hilfe
Skriptingprogramme\Remoteverwaltungsprogramme\Remoteverwaltu
ng mithilfe von Terminaldienste
Skriptingprogramme\Remoteverwaltungsprogramme\Notverwaltungs
dienste\Konzepte\Übersicht über die Notverwaltungsdienste
MS Training
• Remoteverwaltung: Seite 760
• Notverwaltungsdienste: Kein direkter Verweis
- 568 -
Frage 150
Firma hat ein Hauptbüro und zwei Niederlassungen. Die Niederlassungen
sind über eine T1-Leitung mit dem Hauptbüro verbunden. Das Netzwerk
besteht aus einem Verzeichnisdienst mit einem Standort für jedes Büro.
Alle Clientcomputer verwenden als Betriebssystem Windows 2000
Professional oder Windows XP Professional. Jedes Büro hat ein kleines
Rechenzentrum für die entsprechenden Domänencontroller, WINS-, DNSund DHCP-Server, alle Server verwenden das Betriebssystem Windows
Server 2003.
Alle Mitarbeiter verwenden einen Dateiserver im Hauptbüro für die
Speicherung von kritischen Daten. Ihr Netzwerkteam stellt fest, dass die
WAN-Verbindungen während der Hauptgeschäftszeiten ziemlich belastet
sind. Mitarbeiter beschweren sich über eine schlechte Verbindung während
der Hauptgeschäftszeiten. Das Planungsteam ist sehr beunruhigt darüber,
dass der Dateiserver ausfallen könnte. Das Team plant den WANVerbindungsverkehr während der Hauptgeschäftszeiten zu reduzieren, um
eine bessere Verfügbarkeit der Dateiserver zu erreichen.
Sie müssen eine Lösung finden, um die Verfügbarkeit der Dateiserver
während der Hauptgeschäftszeiten zu verbessern. Des Weiteren müssen
Sie die Verwendung der Bandbreite reduzieren.
Wie gehen Sie vor?
A
{
Sie kaufen zwei neue High-End-Server, die ein DiskArray über Glasfaserleitungen verwenden. Sie stellen
beide im Hauptbüro auf, verbinden sie zu einem
Clusterverbund und geben das neue Disk-Array im
Netzwerk frei.
B
{
Sie verwenden Offline-Dateien auf allen Clients in allen
Büros.
C
{
Sie erstellen einen eigenständigen DFS-Stamm
(Verteiltes Dateisystem [DFS]) im Hauptbüro. Sie
kopieren alle freigegeben Ordner in die Niederlassungen
und stellen sicher, dass die Replikation der Daten
während der verkehrsschwachen Stunden stattfindet.
D
{
Sie erstellen einen Domänen-DFS-Stamm (Verteiltes
Dateisystem [DFS]) und eine Replikation zu den
Niederlassungen während der verkehrsschwachen
Geschäftszeiten.
Richtige Antwort: D
- 569 -
Begründung
Die Einrichtung eines verteilten Dateisystemstamms auf einem
Mitgliedsserver, der Mitglied eine Active Directory-Domäne ist (DomänenDFS-Stamm), bringt folgende Vorteile:
• Ein einziger logische Zugriffspunkt auf freigegebene Ordner für die
Benutzer.
• Automatisches Speichern und Veröffentlichen der DFS-Topologie im
Active Directory.
• Falls mehrere Active Directory-Standorte vorhanden sind und
Replikate der Ordner (DFS-Ziele) verwendet werden, kann ein
Benutzer im Active Directory auswählen, zu welchem Ziel er sich
verbinden möchte. Dabei kann der WAN-Verkehr vermieden werden.
• Die Replikation der Daten in einen Domänen-DFS-Stamm wird
automatisch über den File Replication Service durchgeführt.
Das Erstellen eines eigenständigen DFS-Stamms veröffentlicht keine
Informationen im Active Directory und bietet keine automatische
Dateireplikation mittels FRS an.
Aus den oben genannten Gründen ist der Lösungsvorschlag D korrekt und
besser als der Lösungsvorschlag C.
Der Lösungsvorschlag A bietet zwar Datenredundanz an, jedoch der WANVerkehr wird nicht reduziert. Der falsche Lösungsvorschlag B bietet keine
Redundanz der Dateiserver an.
Hilfe
Ordnern\Verteiltes Dateisystem (Distributed File
System)\Konzepte\Verwendung des verteilten Dateisystems\Erstellen
eine DFS-Stammes
Ordnern\Verteiltes Dateisystem (Distributed File
System)\Konzepte\Verwendung des verteilten
Dateisystems\Verwendung des
Dateireplikationsdienstes\Konfiguration des Replikationszeitplans
MS Training
• Seite 44
- 570 -
Frage 151
Sie sind der Netzwerkadministrator der Firma MVS M. Völk Systems. Ihr
MVSNET.DE und enthält einen Windows Server 2003 Server mit der
Bezeichnung »MVSFP001« und einen Clientcomputer mit Windows XP
Professional und der Bezeichnung »MVSAD001«. »MVSAD001« ist Ihr
Arbeitsplatz.
Sie planen auf »MVSAD001« das Tool Microsoft Baseline Security Analyzer
zu installieren, um »MVSFP001« zu analysieren. Jedoch werden beim Start
des Tools über eine Sicherheitsvorlage einige Dienste auf »MVSFP001«
beendet. Sie möchten aber mit diesem Tool den Server »MVSFP001«
analysieren.
Welche zwei Dienste sollten Sie aktivieren?
(Wählen Sie die zwei entsprechenden Dienste in der Grafik aus.)
- 571 -
Richtige Antwort: Remoteregistrierung und Server
Begründung
Die Dienste Remoteregistrierung und Server müssen aktiviert werden.
- 572 -
Die folgende Übersicht beschreibt die Systemanforderungen für den
Computer, auf dem Sie mit dem Programm einen Remotescan
durchführen möchten:
• Windows NT 4.0 Service Pack 4 (SP4) oder höher, Windows 2000,
Windows XP (auf Windows XP-Computern mit aktivierter, einfacher
Dateifreigabe sind nur lokale Scans möglich) oder Windows Server
2003.
• IIS 4.0, 5.0, 5.1 oder 6.0 (für die Prüfung auf
Sicherheitsanfälligkeiten in IIS).
• Internet Explorer 5.01 oder höher (für die Überprüfung der Internet
Explorer-Sicherheitszonen).
• SQL 7.0, 2000 (für die Prüfung auf Sicherheitsanfälligkeiten in SQL).
• Office 2000, Office XP oder Office 2003 (für die Prüfung auf
Sicherheitsanfälligkeiten in Office).
Die folgenden Dienste müssen installiert sein:
Server, Remoteregistrierung, Datei- und Druckerfreigabe.
Der Benutzer, der die Überprüfung durchführt, muss auf jedem zu
scannenden Computer lokale Administratorenrechte besitzen, sowohl beim
lokalen Scan als auch beim Remotescan. Für Remotescans müssen auf
dem zu scannenden Computer die administrativen Freigaben aktiviert
sein, damit MBSA die Verbindung herstellen und den Scan durchführen
kann.
Hilfe
MS Training
- 573 -
Frage 152
Netzwerk besteht aus mehreren physischen Netzwerken. Im Netzwerk
befinden sich zwei Windows Server 2003 Servern mit den Bezeichnungen
»MVSDC001« und »MVSDC002« und mehrere Windows 2000 Server. Auf
dem Server »MVSDC001« ist der DHCP-Dienst für das Netzwerk
10.250.100.0/24 mit dem Bereich von 10.250.100.10 bis 10.250.100.100
konfiguriert.
Einige Mitarbeiter melden Ihnen, dass sie den Druckserver nicht erreichen,
jedoch alle anderen Computer im Netzwerk. Sie führen auf einem der
Computer den Befehl ipconfig /all auf und bekommen folgende
Informationen:
IP Adresse
10.250.100.150
Subnetzmaske
255.255.255.0
Standardgateway
DHCP-Server
»MVSDC002«
DNS-Server
Primärer WINS-Server
Sie müssen alle Computer, die zurzeit das Problem haben, so
konfigurieren, dass sie wieder alle Computer im Netzwerk erreichen.
A

Sie deaktivieren den DHCP-Dienst auf »MVSDC002«.
B

Sie erweitern den DHCP-Bereich von 10.250.100.0/24
auf »MVSDC001«.
C

Sie erstellen eine globale Bereichsoption für die Werte
Standardgateway, DNS-Server und WINS-Server
D

Sie löschen alle IP-Adressreservierungen im Bereich auf
dem Server »MVSDC001«.
E

Sie führen den Befehl ipconfig /renew auf den
F

Sie führen den Befehl ipconfig /registerdns auf den
- 574 -
Begründung
Wie Sie in der Tabelle sehen, bekommen einige Computer die IP-Adresse
vom Server »MVSDC002«. Diese Clients bekommen keine vollständige IPKonfiguration, es fehlen die Einträge für den Standardgateway, den DNSServer und den WINS-Server. »MVSDC002« ist offensichtlich fehlerhaft
konfiguriert. Die anderen Clients haben keine Probleme, denn sie
bekommen ihre IP-Adresse vom Server »MVSDC001«. Sie haben die
Möglichkeit, den DHCP-Server auf »MVSDC002« richtig zu konfigurieren
oder ihn zu deaktivieren. Da auf »MVSDC001« ein DHCP-Server
funktioniert, ist die einfachere Lösung, den fehlerhaften DHCP-Server
einfach zu deaktivieren.
Nachdem der DHCP-Server »MVSDC002« deaktiviert worden ist, müssen
die betroffenen Clients eine neue und vollständige TCP/IP-Konfiguration
bekommen. Das geschieht entweder durch einen Neustart oder einfacher
durch Ausführen des Kommandos ipconfig /renew.
In den Lösungsvorschlägen B und D werden irrelevante Änderungen auf
dem falschen DHCP-Server vorgenommen (die Änderungen sollten auf
»MVSDC002« stattfinden).
Der Lösungsvorschlag C impliziert, dass ein Netzwerk, das aus mehreren
physikalischen Netzwerken besteht, mit einem Standardgateway
auskommt, was nicht korrekt ist.
Der Lösungsvorschlag F ist falsch, da die TCP/IP-Konfiguration
unvollständig ist und die Versuche der Clients ins Leere laufen, wenn sie
sich beim DNS-Server registrieren wollen. Die Adresse des DNS-Servers
ist nicht bekannt.
Hilfe
DHCP\Einrichten von Optionen\Zuweisen von Optionen
MS Training
- 575 -
Frage 153
Netzwerk verfügt über eine Active Directory-Domäne mit der Bezeichnung
MVSNET.DE. Die Computer im internen Netzwerk verwenden den im
Verzeichnisdienst integrierten DNS-Dienst für die Namensauflösung.
Die Webseite Ihrer Firma ist bei einem Internet Service Provider (ISP)
ausgelagert. Die Internet-Webadresse lautet WWW.MVSNET.DE. Der DNSServer des Internet Service Providers ist für die Namensauflösung dieser
Adresse zuständig.
Um die Unterstützung für die Webseite zu verbessern, will Ihre Firma die
Webseiten und den DNS-Dienst vom Internet Service Provider in das
Grenznetzwerk Ihrer Firma übertragen. Der DNS-Server im
Grenznetzwerk darf nur die Einträge für die Computer aus dem
Grenznetzwerk enthalten.
Sie installieren einen Windows Server 2003 Server mit dem DNS-Dienst
im Grenznetzwerk für MVSNET.DE und möchten sicherstellen, dass allen
Computern in Ihrem Netzwerk eine Namensauflösung für alle internen
Ressourcen, alle Ressourcen im Grenznetzwerk und für das Internet zur
Verfügung steht.
A

eine primäre Zone für MVSNET.DE.
B

eine Stubzone für MVSNET.DE.
C

Sie tragen auf dem internen DNS-Server den DNSServer im Grenznetzwerk zur bedingten Weiterleitung
ein.
D

Sie konfigurieren auf den Clientcomputern im Netzwerk
den internen DNS-Server als bevorzugten DNS-Server,
und tragen ihn im Grenznetzwerk als alternativen DNSServer ein.
E

eine private Stammzone.
Begründung
Um Namensauflösung für eine Domäne zu betreiben, benötigt man eine
autorisierende Zone. Das wird in diesen Fall mit Lösungsvorschlag A
- 576 -
erreicht. Ein Stubzone (Lösungsvorschlag B) ist weder autorisierend noch
komplett und deshalb ist dieser Vorschlag falsch. Wenn interne Benutzer
Namesauflösung für Rechner nicht in ihrer Domäne (MVSNET.DE)
betreiben können, muss der interne DNS-Server für eine Weiterleitung
konfiguriert werden, das heißt, es darf kein privater DNS-Stamm
eingerichtet werden. Der DNS-Server im Grenznetzwerk muss als Ziel der
Weiterleitung in den Eigenschaften der internen DNS-Server eingetragen
werden. Dieser Eintrag kann auch eine bedingte Weiterleitung sein, das
heißt, nur Namensauflösungsanfragen für die Domäne MVSNET.DE werden
zum Grenznetzwerk-DNS-Server gesendet, die übrigen Anfragen (für das
Internet) werden an die Internet-Stammserver gerichtet. Diese
Vorgehensweise ist im richtigen Lösungsvorschlag C berücksichtigt.
Der Lösungsvorschlag D würde die internen Clients auf den
Funktionsumfang der internen DNS-Server zuerst binden, aber in dem
Moment, wo der interne DNS-Server nicht mehr antwortet, können die
internen Clients kein interne Namensauflösung durchführen, da der
externe DNS-Server für den internen Namensraum keine Einträge hat.
Ein privater Stammserver im externen Netzwerk würde jeden
Internetverkehr von innen nach außen verhindern und den Namensraum
MVSNET.DE effektiv vom globalen DNS-Namensraum abkoppeln. Aus
diesen Gründen ist der Lösungsvorschlag E falsch.
Hilfe
von Servern\Verwenden von Weiterleitungen
MS Training
- 577 -
Frage 154
Firma besteht aus der Zentrale und 20 Außendienststellen.
Vor kurzem wurde der Plan zur Neugestaltung des Netzwerkes
verabschiedet. Das Netzwerk besteht aus einem Verzeichnisdienst mit der
Bezeichnung MVSNET.DE. Alle Domänencontroller verwenden das
Betriebssystem Windows Server 2003. In der Zentrale stehen vier und in
jedem Außenbüro ein Domänencontroller. Die Domänencontroller in der
Zentrale werden von dort aus administriert.
Sie müssen sicherstellen, dass für alle Domänencontroller immer die
aktuellen Updates für Windows Server 2003 zur Verfügung stehen. Des
Weiteren müssen Sie sicherstellen, dass alle Domänencontroller die
Updates, mit einem Minimum an administrativem Aufwand, bekommen.
Wie gehen Sie vor?
A
{
und über installierbare Updates benachrichtigen
aus.
B
{
automatisch downloaden und über installierbare
Updates benachrichtigen aus.
C
{
automatisch downloaden und laut angegebenem
Zeitplan installieren aus.
D
{
und laut angegebenem Zeitplan installieren aus.
Richtige Antwort: C
Begründung
Aufgrund der Fragestellung müssen Sie sicherstellen, dass auf allen
Domänencontrollern immer das aktuelle Update, mit minimalem
administrativem Aufwand, installiert wird.
Der einfachste Weg, um die Updates automatisch mit minimalem
administrativem Aufwand zu installieren, ist über die zeitgesteuerte
Option.
- 578 -
Legen Sie den Zeitplan mit den Optionen in der
Gruppenrichtlinieneinstellung fest. Standardmäßig sind Installationen für
03:00 Uhr morgens geplant, falls kein Zeitplan angegeben wird. Falls für
Updates ein Neustart erforderlich ist, startet Windows den Computer
automatisch neu. (Falls ein Benutzer am Computer angemeldet ist, wenn
Windows neu gestartet werden soll, wird der Benutzer benachrichtigt und
kann den Neustart verzögern.) Dadurch wird der Betriebsablauf so gut wie
gar nicht gestört.
Der Lösungsvorschlag B sucht nach anwendbaren Updates für den
Computer und übertragt diese im Hintergrund automatisch (der Benutzer
wird während dieses Vorgangs nicht benachrichtigt oder gestört). Nach
Abschließen des Downloads wird ein Symbol im Statusbereich mit der
Benachrichtigung angezeigt, dass diese Updates installationsbereit sind.
Durch Klicken auf das Symbol oder die Meldung können Sie die Updates
auswählen, die Sie installieren möchten. Dies stellt jedoch einen höheren
administrativen Aufwand als Lösungsvorschlag C dar.
Die Lösungen A und D sind die manuellen Gegenstücke zu den
Lösungsvorschlägen B und C. In diesen Fällen muss jeder
Domänencontroller konfiguriert werden, das stellt einen höheren
administrativen Aufwand dar und widerspricht damit der
Aufgabenstellung.
Hilfe
• Softwarebereitstellung\Automatische Updates\So wird es
gemacht\Ändern der Einstellungen für automatische Updates
MS Training
- 579 -
Frage 155
Netzwerk besteht aus einer einzelnen Active Directory-Domäne mit zwei
Standorten. Die Active Directory-Datenbank wird jede Nacht gesichert.
Ein Netzwerkadministrator im Standort Kronach löscht eine leere
Organisationseinheit mit der Bezeichnung PROJEKTE. Zur gleichen Zeit
verschiebt ein Administrator im Standort Puchheim 20 Benutzerkonten in
die Organisationseinheit PROJEKTE. Später stellt der Administrator im
Standort Puchheim fest, dass die Organisationseinheit PROJEKTE im Active
Directory gelöscht ist. Er kann die Benutzerkonten, die er in die
Organisationseinheit PROJEKTE verschoben hat, nicht mehr finden.
Sie müssen eine Organisationseinheit PROJEKTE bereitstellen, um die 20
Benutzerkonten hinzufügen zu können. Der Netzwerkzugriff dieser
Benutzer darf keinen Einfluss auf diesen Prozess haben.
Wie gehen Sie vor?
A
{
Sie verwenden eine autorisierende Wiederherstellung für
die Organisationseinheit PROJEKTE und für die
Benutzerkonten auf einem Domänencontroller im
Standort Puchheim.
B
{
Sie verwenden eine nicht autorisierende
Wiederherstellung für die Organisationseinheit PROJEKTE
und für die Benutzerkonten auf einem
Domänencontroller im Standort Puchheim.
C
{
und 20 neue Benutzerkonten mit den gleichen
Benutzerprinzipalnamen (User Principal Name, UPN). Sie
verschieben diese Benutzerkonten in die
Organisationseinheit PROJEKTE.
D
{
und verschieben die Benutzerkonten aus dem Ordner
LostAndFound in die neue Organisationseinheit
PROJEKTE.
Richtige Antwort: D
Begründung
Sie haben Benutzerkonten in eine Organisationseinheit verschoben, die
aber auf einem anderen Server bereits gelöscht wurde. Wenn Sie Objekte
in ein anderes Objekt, das im Verzeichnisdienst nicht mehr vorhanden ist,
verschieben, werden die „heimatlosen“ Objekte in den Ordner
LostAndFound verschoben. Damit sind die Objekte nicht gelöscht. Durch
das Erstellen einer neuen Organisationseinheit können Sie die
- 580 -
Benutzerkonten aus dem Ordner LostAndFound in die neue
Organisationseinheit verschieben.
Da Sie keine Benutzerkonten gelöscht haben, brauchen Sie sie auch nicht
wiederherstellen, siehe Lösungsvorschläge A und B. Beim
Lösungsvorschlag C wird durch das Neuerstellen der Benutzerkonten eine
neue SID (Security Identifiers) zugewiesen. Dadurch können Probleme bei
Netzwerkverbindungen auftreten.
Hilfe
• Active Directory\Konzepte\Verwalten von Active Directory\Verwalten
von Active Directory in MMC: Abschnitt Verwenden von Active
Directory-Benutzer und –Computer\LostandFound
MS Training
- 581 -
Frage 156
Netzwerk besteht aus einer Active Directory-Domäne mit der Bezeichnung
MVSNET.DE. Die Domänenfunktionsebene ist Windows Server 2003.
Die Sicherheitsvorschriften der Firma MVS M. Völk Systems benötigen
folgende Zugriffsrichtlinien:
• Benutzerkonten müssen nach drei Fehlversuchen der
Passworteingabe für 30 Minuten gesperrt sein.
• Die Freischaltung des Benutzerkontos muss manuell erfolgen.
Sie müssen eine Zugriffsrichtlinie für die Domäne erstellen, die diese
Sicherheitsregeln beinhaltet.
Wie gehen Sie vor?
Um zu antworten, wählen Sie den entsprechenden Bestandteil oder die
Bestandteile in der Grafik aus!
30
0
99
999
3
2
Richtige Antwort:
- 582 -
Begründung
Kontosperrdauer
Diese Sicherheitseinstellung bestimmt, wie lange (in Minuten) ein Konto
gesperrt bleibt, bevor die Sperre automatisch aufgehoben wird. Dieser
Wert kann zwischen 0 und 99.999 Minuten liegen. Wenn Sie für die
Kontosperrdauer den Wert 0 festlegen, bleibt das Konto gesperrt, bis ein
Administrator die Sperre explizit aufhebt.
Wurde eine Kontensperrungsschwelle definiert, muss der Wert für die
Kontosperrdauer größer oder gleich dem Wert für die
Zurücksetzungsdauer des Kontosperrungszählers sein.
Kontensperrungsschwelle
Diese Sicherheitseinstellung bestimmt die Anzahl der fehlgeschlagenen
Anmeldeversuche, die zur Sperrung eines Benutzerkontos führen. Ein
gesperrtes Konto kann erst dann wieder verwendet werden, wenn es von
einem Administrator zurückgesetzt wurde oder die Sperrungsdauer für das
Konto abgelaufen ist. Sie können für fehlgeschlagene Anmeldeversuche
einen Wert zwischen 1 und 999 festlegen. Mit dem Wert 0 wird das Konto
nie gesperrt.
Fehlerhafte Kennworteingaben auf Arbeitsstationen oder Mitgliedsservern,
die mittels STRG+ALT+ENTF oder durch einen kennwortgeschützten
Bildschirmschoner gesperrt wurden, zählen als fehlgeschlagene
Anmeldeversuche. Voreinstellung: 0.
Zurücksetzungsdauer des Kontosperrungszählers
Diese Sicherheitseinstellung bestimmt, wie viele Minuten nach einem
fehlgeschlagenen Anmeldeversuch verstreichen müssen, bevor der
Kontosperrungszähler wieder auf 0 zurückgesetzt wird. Der Wert kann
zwischen 1 und 99.999 Minuten liegen.
Wurde eine Kontensperrungsschwelle definiert, muss der Wert für die
Zurücksetzungsdauer kleiner oder gleich dem Wert für die
Kontosperrdauer sein.
Voreinstellung: Keine, da diese Richtlinie nur von Bedeutung ist, wenn
eine Kontensperrungsschwelle angegeben wurde.
- 583 -
Hilfe
Sicherheitseinstellung\Kontorichtlinien\Kontosperrungsrichtlinien
MS Training
• Seite 262
- 584 -
Frage 157
Sie sind der Administrator der Firma MVS M. Völk Systems. Die Firma
möchte vom Windows NT4.0 domänenbasierende Netzwerk auf Windows
Server 2003 mit einem Verzeichnisdienst migrieren.
Die Firma verwendet derzeit eine DNS-Domäne mit der Bezeichnung
MVSNET.DE für die Webseiten und E-Mail-Adressen der Firma. Die
Domäne MVSNET.DE liegt auf einem DNS-Server bei einem Internet
Service Provider (ISP). Eine Firewall trennt derzeit das Firmennetzwerk
vom öffentlichen Netzwerk.
Eine firmeninterne EDV-Richtlinie für den Verzeichnisdienst sieht folgende
Einstellungen vor:
• Alle Daten des Verzeichnisdienstes dürfen nicht extern zugänglich
sein.
• Der interne DNS-Namensbereich muss von externen Benutzern
isoliert werden.
Sie installieren einen Windows Server 2003 Server im internen Netzwerk
und den DNS-Dienst auf diesem Server.
Sie benötigen einen Plan für den neuen Namensbereich für MVSNET.DE,
der mit den Vorgaben übereinstimmen muss.
Wie gehen Sie vor?
A
{
Sie erstellen eine primäre DNS-Zone für AD.MVSNET.DE
B
{
Sie erstellen eine sekundäre DNS-Zone für MVSNET.DE
C
{
Sie erstellen eine Stubzone für MVSNET.DE auf dem
internen DNS-Server.
D
{
Sie erstellen einen Delegationseintrag auf dem DNSServer vom ISP auf Ihren internen DNS-Server.
E
{
Sie konfigurieren einen Zonentransfer zwischen dem
DNS-Server beim ISP und Ihrem internen DNS-Server.
Richtige Antwort: A
Begründung
Für DNS-Server wird immer zuerst eine primäre Zone für eine Domäne
benötigt, siehe Lösungsvorschlag A. Mit diesem Vorgehen wird das interne
Netzwerk in eine Subdomäne des öffentlich zugänglichen Netzwerks
übernommen. Es darf auf dem öffentlichen DNS-Server beim Internet
Service Provider keinen Verweis auf die untergeordnete Domäne
- 585 -
vorhanden sein. Eine Weiterleitung auf den internen DNS-Server, die auf
den öffentlichen DNS-Server zeigen würde, gewährt den internen
Benutzern einen schnellen Zugriff auf ihre eigene Webseite.
Die Lösungsvorschläge B und E entsprechen nicht der Frage, Sie müssen
eine interne Namensauflösung integrieren, und die darf nicht von extern
eingesehen werden. Eine sekundäre Zone ist immer eine Kopie, in diesem
Fall käme nur der DNS-Server beim ISP in Frage. Sie benötigen für eine
Namensauflösung aller Clientcomputer und Server eine primäre Zone, wie
im Lösungsvorschlag A vorgestellt.
Wenn ein DNS-Server eine Stubzone lädt (Lösungsvorschlag C), sendet er
eine Abfrage an den Masterserver (ISP) der Zone, um den SOARessourceneintrag, NS-Ressourceneinträge aus dem Zonenstamm und
zugehörige A-Ressourceneinträge anzufordern. Dieser Schritt wäre
möglich als ergänzende Maßnahme, aber allein stehend löst diese
Vorgehensweise nicht das Problem. Der Lösungsvorschlag D ist genau das,
was man nicht tun sollte, es macht das interne Netzwerk für die externen
Benutzer zugänglich.
Hilfe
Hauptnetzwerkdienste\DNS\Konzepte\Bereitstellen von
DNS\Namensraumplanung für DNS
MS Training
• Seite 531
- 586 -
Frage 158
verwalten das Grenznetzwerk der Firma. Im Grenznetzwerk steht auch der
FTP-Server des Unternehmens mit der Bezeichnung »MVSFTP01«. Auf
diesem Server werden allen Geschäftspartnern Informationen für die
Dauer von einzelnen Projekten bereitgestellt.
Sie müssen in der Lage sein, herauszufinden, ob sich Benutzer, deren
Account abgelaufen bzw. deaktiviert wurde, versuchen, sich an der
Domäne anzumelden.
Wie müssen Sie vorgehen, um dieses Ziel zu erreichen?
A
{
Richtlinien\Überwachungsrichtlinie\Anmeldeereig
nisse überwachen.
B
{
Richtlinien\Überwachungsrichtlinie\Anmeldeversu
che überwachen.
C
{
Richtlinien\Überwachungsrichtlinie\Systemereigni
sse überwachen.
D
{
Richtlinien\Überwachungsrichtlinie\Verzeichnisdie
nstzugriff überwachen.
Richtige Antwort: A
Begründung
Um das gewünschte Ziel zu erreichen, müssen wir, wie im richtigen
Lösungsvorschlag A angegeben, die Anmeldeereignisse überwachen. Wenn
diese Überwachung in einer Gruppenrichtlinie aktiviert wurde, werden
Benutzeranmeldungen protokolliert, die versuchen, sich mit einem
abgelaufenen oder deaktivierten Benutzerkonto anzumelden. Die Einträge
über diese Anmeldeereignisse werden im Sicherheitsprotokoll mit der
Ereigniskennung 531 (deaktiviertes Konto) bzw. 532 (abgelaufenes Konto)
vorgenommen.
- 587 -
Eine detaillierte Übersicht über die Bedeutung von Ereigniskennungen
findet man in der Hilfe zu Windows Server 2003.
Hilfe
• Sicherheit\Sicherheitskonfigurations-Manager\Konzepte\Verwenden
MS Training
• Seiten 265f.
- 588 -
Frage 159
Auf einer NTFS-Partition wurde der freigegebene Ordner PICASSO erstellt,
der über 200 Dateien aufweist. Die Berechtigungen für diesen Ordner sind
wie folgt vergeben:
Gruppe
Berechtigung
Freigabe
Benutzer
Ändern
NTFS
Benutzer
Vollzugriff
Sie stellen fest, dass gegenwärtig Benutzer mit der Freigabe PICASSO
verbunden sind. Sie müssen verhindern, dass zehn besondere Dateien in
der Freigabe geändert werden. Die von Ihnen unternommenen Schritte
sollen sich möglichst wenig auf die Benutzer auswirken, die auf andere
Dateien des Servers zugreifen.
Welche zwei Schritte sollten von Ihnen als Administrator eingeleitet
werden?
A

Sie ändern die NTFS-Berechtigungen für die zehn
Dateien.
B

Sie ändern die NTFS-Berechtigungen für den Ordner
PICASSO.
C

Sie ändern die Freigabeberechtigungen für den Ordner
PICASSO.
D

Sie melden die Benutzer vom Netzwerk ab.
E

Sie trennen die Verbindungen der Benutzer zum Ordner
PICASSO.
Begründung
Von den über 200 im freigegebenen Ordner PICASSO befindlichen Dateien
soll der Zugriff auf nur zehn davon eingeschränkt werden.
Dementsprechend entfallen die Lösungsvorschläge B und C, weil hier der
Zugriff auf alle im Ordner befindlichen Dateien eingeschränkt werden
würde. Eine Abmeldung der Benutzer vom Netzwerk, wie im falschen
Lösungsvorschlag D beschrieben, ist nicht notwendig.
- 589 -
Der Lösungsvorschlag A ist richtig, weil dabei der Zugriff nur auf die
gewünschten Dateien beschränkt wird. Ebenso richtig ist der
Lösungsvorschlag E, weil sich Änderungen an der DACL der Dateien
bereits bei einem neuen Zugriff auf sie auswirken.
Hilfe
• Sicherheit\Zugriffssteuerung\Konzepte\Verwendung der
Zugriffssteuerung\Berechtigungen
MS Training
• Seiten 806f.
- 590 -
Frage 160
Administration der Server im Grenznetzwerk erfolgt von einem Client aus,
der sich in der Produktionsdomäne befindet, über
Terminalserversitzungen.
Sie installieren auf einem der Domänencontroller das MS-Tool MBSA und
wollen von diesem Domänencontroller aus die Domäne auf eventuelle
Sicherheitsrisiken überprüfen. Nach dem Start von MBSA erhalten Sie
Sie müssen sicherstellen, dass alle Server im Grenznetzwerk auf
eventuelle Sicherheitsrisiken überprüft werden können.
Was müssen Sie tun, um dieses Ziel zu erreichen?
- 591 -
A
{
Sie erstellen auf dem betroffenen Domänencontroller
eine Internetverbindung und starten den MBSA erneut.
B
{
Sie installieren den MBSA auf Ihrem Clientrechner, von
dem aus Sie die Konfigurationen des Grenznetzwerkes
über Terminalserververbindungen durchführen. Sie
starten den MBSA und geben die betreffende Domäne
als Ziel der Überwachung an.
C
{
Sie kopieren die fehlende *.xml-Datei auf den
betreffenden Domänencontroller und starten den Scan
der Domäne erneut. Sie geben als Ziel des Scans die
D
{
Sie installieren und konfigurieren den MBSA auf einem
der Server im Grenznetzwerk, der bereits eine
Internetverbindung hat, und starten den Scan von
diesem Server aus. Sie geben als Ziel des Scans die
Richtige Antwort: B
Begründung
Die Verwendung von MBSA setzt voraus, dass entweder eine
Internetverbindung oder dass die Datei mssecure.xml in einer
(aktuellen) Version auf dem betreffenden Rechner vorhanden ist, von dem
aus der Scan gestartet wird. Ein Domänencontroller in einem
Grenznetzwerk verfügt in den meisten Fällen nicht über eine Verbindung
ins Internet. Sie brauchen in unserem Fall auch keine solche einzurichten.
Sie können entweder den Scan vom Client aus starten oder von einem
Server im Grenznetzwerk, der bereits eine Verbindung ins Internet hat.
Sie sollten den Weg, wie im Lösungsvorschlag B beschrieben, bevorzugen,
weil Sie dann die Scandateien gleich direkt einsehen können und nicht
erst eine Laufwerksverbindung zum ausgewählten Server im
Grenznetzwerk herstellen müssen.
Detaillierte Informationen zum MBSA und dessen Einsatz findet man unter
dem folgenden Link: http://support.microsoft.com
Hilfe
MS Training
- 592 -
Frage 161
Auf einer NTFS-Partition wurde der freigegebene Ordner MVS_Press
erstellt, der über 200 Dateien in unterschiedlichen Unterordnern aufweist.
Die Berechtigungen für diese Ordner sind wie folgt vergeben:
Gruppe
Berechtigung
Freigabe
Jeder
Ändern
NTFS
Jeder
Lesen, Ausführen
Sie stellen fest, dass die Benutzer auch in der Lage sind, die
freigegebenen Ordner zu löschen. Es muss sichergestellt werden, dass
ausschließlich die Administratoren die Möglichkeit haben, die freigegeben
Ordner zu löschen. Die globale Benutzergruppe MVS_Lektorat darf nur die
Möglichkeit haben, Dateien und untergeordnete Ordner zu löschen. Der
Zugriff muss dementsprechend eingerichtet werden.
Welche Berechtigungen müssen Sie erteilen?
A
{
B
{
MVS_Press auf Jeder Kein Zugriff und die Gruppe der
- 593 -
C
{
MVS_Press auf Jeder Lesen und die Gruppe der
D
{
erteilen Sie der Gruppe Administratoren die NTFSBerechtigung Ändern und entfernen alle anderen
Richtige Antwort: A
Begründung
Wenn man das Ziel der Aufgabenstellung erreichen möchte, sollte man
wie folgt vorgehen: Die Freigabeberechtigung lassen Sie für die Gruppe
Jeder auf Vollzugriff stehen, den eigentlichen Zugriff auf die Freigabe
regeln Sie allein über die NTFS-Berechtigungen. Hier gilt der Merksatz „Bei
der Kombination von Freigabe- und NTFS-Berechtigungen zieht die
Berechtigung mit der höchsten Einschränkung“.
In unserem Fall müssen Sie als Einschränkung die NTFS-Berechtigung
Ändern dementsprechend modifizieren. Die Berechtigung Ändern
beinhaltet die Berechtigung Löschen, Sie brauchen aber nur die
Berechtigung Unterordner und Dateien löschen. Also müssen Sie der
gewünschten Gruppe diese spezielle Berechtigung erteilen.
Hilfe
Zugriffssteuerung\Berechtigungen auf einem Dateiserver
MS Training
- 594 -
Frage 162
Bernd verwaltet den Windows Server 2003 Server mit der Bezeichnung
»MVSFTP01«. Ein auf der Systempartition von »MVSFP001« gespeicherter
Ordner mit der Bezeichnung Prüfungsprotokolle wurde im Netzwerk als
Prüfungsprotokolle freigegeben.
Kerstin ist die Eigentümerin des Ordners Prüfungsprotokolle und ebenfalls
Mitglied in der Gruppe der Administratoren. Die Freigabeberechtigungen
und die NTFS-Berechtigungen sind wie folgt vergeben:
Freigabeberechtigungen
Jeder
Vollzugriff
NTFS-Berechtigungen
Domänen-Administratoren
Lesen
Kerstin
Vollzugriff
Kerstin erstellt im Ordner Prüfungsprotokolle eine Datei und setzt die
NTFS-Berechtigungen für diese Datei. Nur sie selbst ist in der
Zugriffssteuerungsliste enthalten und besitzt Vollzugriff. Kerstin fährt
kurz darauf in Urlaub und ist nicht mehr erreichbar.
Bernd stellt etwas später fest, dass die Datei kritische Informationen
enthält. Die Datei muss so bald wie möglich vom Server gelöscht werden.
Bernd möchte die Datei löschen, ohne die Berechtigungen für die anderen
Dateien im Ordner Prüfungsprotokolle zu ändern. Seine durchgeführten
Schritte sollten sich möglichst wenig auf die Benutzer auswirken, die auf
andere Dateien im Ordner Prüfungsprotokolle zugreifen. Es ist eine
möglichst geringe Autoritätsstufe beim Löschen der Datei zu verwenden.
Wie sollte Bernd vorgehen, um dies schnellstmöglich umzusetzen?
A
{
Bernd sollte sich selbst nur für den Ordner
Prüfungsprotokolle und für die darin enthaltenen Dateien
und untergeordneten Objekte die Berechtigung
Vollzugriff erteilen, anschließend die betreffende Datei
löschen und dann wieder die Berechtigung Vollzugriff
vom Ordner Prüfungsprotokolle für seine Person
entfernen.
B
{
Bernd sollte den Besitz für den Ordner
Prüfungsprotokolle und nach Aufforderung auch der
darin enthaltenen Dateien übernehmen. Anschließend
sollte er sich selbst die Berechtigung Vollzugriff erteilen
und die betreffende Datei löschen.
- 595 -
C
{
Bernd sollte den Besitz der Datei übernehmen, sich
selbst für die Datei die Berechtigung Ändern erteilen
und anschließend die betreffende Datei löschen.
D
{
Bernd sollte sich selbst für den Ordner
Prüfungsprotokolle und dessen untergeordnete Objekte
die Berechtigung Ändern erteilen, anschließend die
betreffende Datei löschen. Zu guter Letzt sollte Bernd
die Berechtigung Ändern wieder entfernen.
Richtige Antwort: C
Begründung
Der Lösungsvorschlag C ist aus folgenden Gründen richtig: Der
Administrator kann den Besitz an einer Datei übernehmen. Besitzer wird
danach die Gruppe der Administratoren. Diese Aktion wirkt sich nicht auf
andere Dateien oder Ordner aus. Um die Datei löschen zu können, genügt
des Weiteren das Recht Ändern. Es sollte eine möglichst geringe
Autoritätsstufe verwendet werden.
Der Lösungsvorschlag A ist falsch, weil diese Aktion mehrere Objekte
betrifft und auch nur funktioniert, wenn der Besitz der Datei übernommen
wurde. Der Lösungsvorschlag B ist falsch, weil hier andere Objekte
verändert werden. Der Lösungsvorschlag D ist ebenfalls falsch, weil auch
hier andere Objekte verändert werden und der Besitz nicht übernommen
wird.
Hilfe
• Sicherheit\Zugriffssteuerung\Konzepte\Grundlegendes zu
Zugriffsteuerung\Besitzrechte
MS-Training
- 596 -
Frage 163
Sie sind der Administrator der Firma MVS M. Völk Systems. Sie sind in
Ihrem Unternehmen verantwortlich für die Konfiguration der
Domänenserver. Sie müssen sicherstellen, dass Updates, die im Netzwerk
vom SUS-Server bereitgestellt werden, auf den betroffenen Servern
morgens um 06:00 installiert werden. Sie müssen dass Ziel mit dem
geringstem Aufwand erreichen!
Was müssen Sie konfigurieren, um das gestellte Ziel zu erreichen?
A
{
strative Vorlagen\Windows Update\Automatische
Updates konfigurieren.
B
{
trative Vorlagen\Windows Update\Zugriff auf alle
Windows Update-Funktionen entfernen.
C
{
strative Vorlagen\Windows Update\Internen Pfad
D
{
planen.
E
{
strative Vorlagen\Windows Update\Kein
Richtige Antwort: A
Begründung
Am einfachsten kann man solche Aufgabenstellungen durch die
Konfiguration einer Richtlinie erfüllen. Dies kann z. B. über die
Bearbeitung der Standarddomänenrichtlinie erfolgen oder durch die
Bearbeitung einer speziellen Richtlinie für das Windows Update. Die
Bearbeitung bzw. Konfiguration muss im Abschnitt Computerkonfiguration
der ausgewählten Richtlinie erfolgen.
Der Abschnitt Benutzerkonfiguration in der Richtlinie hat zwar auch
einen Menüpunkt, über diesen kann man aber lediglich den Zugriff auf die
Windows Update-Funktionen entfernen. In unserem Fall müssen Sie den
Konfigurationspunkt Automatische Updates konfigurieren bearbeiten,
weil Sie ausschließlich hier die Möglichkeit haben, einen Zeitpunkt für die
Installation von automatischen Updates anzugeben.
- 597 -
Den korrekten Pfad spiegelt der Lösungsvorschlag A wider.
Hilfe
MS Training
• Seiten 824f.
- 598 -
Frage 164
Servern in der Domäne wird Windows Server 2003 ausgeführt, auf allen
Clientcomputern Windows XP Professional.
Die Computerkonten der Clients sind alle in der Organisationseinheit
Clients zusammengefasst. Alle Clients sind so konfiguriert, dass sie
eigenständig nach neuen Windows Updates suchen und diese auch
installieren. Dadurch steigt der WAN-Verkehr in manchen Zeiten sehr
stark an. Aufgrund dieses erhöhten Netzwerkverkehrs ins Internet wird im
Netzwerk der Server »MVSSUS01« als SUS-Server konfiguriert.
Sie konfigurieren den Server und müssen sicherstellen, dass die Clients in
Zukunft die Sicherheitsupates und –patches von diesem SUS-Server
erhalten.
Welche Einstellung in den Gruppenrichtlinien müssen Sie bearbeiten?
A
{
ftwareinstallation.
B
{
twareinstallation.
C
{
Installer.
D
{
Installer.
E
{
Update.
F
{
Update.
Richtige Antwort: E
Begründung
Diese Einstellung (Lösungsvorschlag E) gibt einen Intranetserver an, der
als Host für Updates von den Microsoft Update-Webseiten fungiert. Mit
diesem Updatedienst können Computer im Netzwerk automatisch
aktualisiert werden. Diese Einstellung ermöglicht es Ihnen, einen Server
im Netzwerk als Host für den internen Updatedienst zu bestimmen. Der
- 599 -
Client der automatischen Updates durchsucht diesen Dienst nach Updates,
die auf Computer im Netzwerk anwendbar sind.
Die Lösungsvorschläge A und B regeln wie bzw. welche Software,
computer- oder benutzerbezogen, mittels Gruppenrichtlinien geladen und
gepflegt werden sollen, und stehen nicht als richtige Lösung zur Debatte.
Der Lösungsvorschlag C regelt, wie der Windows Installerdienst die
Aufgaben, wie in der Lösungsvorschlägen A und B beschrieben, verrichten
soll. Die in den Lösungsvorschläge D und F genannten Einstellungen
existieren nicht.
Hilfe
MS Training
• Seite 823
- 600 -
Frage 165
Die DNS-Server der Domäne sind wie folgt konfiguriert:
Server
IP-Adresse
Betriebssystem
Funktion
DNSZone
»MVSDC001«
10.10.10.1
Windows Server
2003
Domänencontroller
Primär
»MVSDNS01«
10.10.10.20
Windows 2000
Server
Mitgliedsserver
Sekundär
»MVSDC002«
10.10.10.30
Windows Server
2003
Domänencontroller
Sekundär
»MVSDUN01«
10.10.10.40
UNIX
»MVSDC003«
10.10.10.50
Windows Server
2003
Sekundär
Domänencontroller
Sekundär
Sie entfernen die DNS-Funktionalität vom Server »MVSDN01«. Dieser
Server übernimmt in Zukunft nur noch die Aufgabe der Bereitstellung von
Daten. Den UNIX-Server »MVSUN01« konfigurieren Sie als Cache-DNSServer, anschließend die Domänencontroller als DNS-Server. Diese Server
verwenden im Active Directory integrierte Zonen.
Sie müssen sicherstellen, dass unnötige Zonenübertragungen im Netzwerk
vermieden werden.
Was sollten Sie tun, um dieses Ziel zu erreichen?
A
{
Sie bearbeiten die Benachrichtigungsliste und entfernen
den Verweis auf den Server »MVSUN01«.
B
{
Sie bearbeiten die Benachrichtigungsliste, entfernen alle
IP-Adressen und den Haken bei der Schaltfläche
Automatisch benachrichtigen.
C
{
Sie entfernen die IP-Adressen der Domänencontroller
aus der Benachrichtigungsliste und entfernen den Haken
bei der Schaltfläche Automatisch entfernen.
D
{
Sie entfernen die IP-Adresse 10.10.10.20 aus der
Benachrichtigungsliste, entfernen den Haken bei der
Schaltfläche Automatisch benachrichtigen und
starten alle Domänencontroller neu.
Richtige Antwort: B
- 601 -
Begründung
Die übrig gebliebenen Server sind Domänencontroller, die Active
Directory-integrierte Zonen beherbergen. Informationen in einer Active
Directory-integrierten Zone werden automatisch auf jeden
Domänencontroller in der Domäne repliziert.
Da Sie auch keine sekundären Server mehr haben, können Sie das
Häkchen in der Checkbox Automatisch benachrichtigen entfernen.
Hilfe
DNS\Grundlegendes zu Zonen und Zonenübertragung
MS Training
• Seite 616
- 602 -
Frage 166
Sie sind der Netzwerkadministrator der Firma MVSPress. Auf den Servern
im Netzwerk läuft entweder Windows Server 2003, Windows 2000 Server
oder Windows NT Server 4.0, auf allen Clientrechnern entweder Windows
XP Professional, Windows 2000 Professional, Windows NT Workstation 4.0
oder Windows 98.
Das Netzwerk besteht aus der Active Directory-Domäne MVSPRESS.DE.
Alle Domänencontroller in der Domäne laufen mit Windows Server 2003.
Ebenfalls auf allen Domänencontrollern ist der DNS-Dienst installiert, und
es existiert eine Active Directory-integrierte Zone mit der Bezeichnung
MVSPRESS.DE. Ein Windows Server 2003 Mitgliedsserver weist allen
Computern des Unternehmens IP-Adressen zu. Alle IP-Adressen stammen
aus dem Bereich 10.1.0.0/24.
Alle Computer des Unternehmens müssen immer automatisch in der Zone
MVSPRESS.DE registriert werden, unabhängig von den lokalen TCP/IPKonfigurationseinstellungen. Nur Computer mit einem gültigen
Computerkonto in der Active Directory-Domäne dürfen in der Lage sein,
Host(A)-Einträge in der Zone zu registrieren. Wird ein Computer aus dem
Netzwerk entfernt, muss die entsprechende Namensregistrierung aus dem
DNS entfernt werden.
Sie konfigurieren die DNS-Zone MVSPRESS.DE und den DHCP-Bereich
10.1.0.0/24, um den Erfordernissen gerecht zu werden.
Welche Konfigurationseinstellungen müssen Sie verwenden?
(Um zu antworten, konfigurieren Sie die entsprechende/n Option/en in
den Dialogboxen.)
- 603 -
- 604 -
Richtige Antwort:
- 605 -
- 606 -
Begründung
Es wird gefordert, dass nur Rechner, die ein Computerkonto in der
Domäne haben, sich in der DNS-Zone automatisch eintragen dürfen. Das
ist nur mit einer Active Directory-integrierten DNS-Zone zu realisieren und
zwar mit der Einstellung Dynamische Updates: Nur Sichere.
Die automatische Pflege dieser Einträge wird teilweise vom Client selbst
(A-Eintrag) und teilweise von den DHCP-Servern (PTR-Eintrag)
durchgeführt. Das setzt die Betriebssysteme Windows 2000, XP oder
Server 2003 voraus. Für Legacyclients, die nicht DDNS-fähig sind, wird
diese Pflege nur vom DHCP-Server durchgeführt; wenn eine Client sich
abmeldet, wird dieses „Aufräumen“ der Einträge (sowohl A- als auch der
PTR-Eintrag) genauso vom DHCP-Server gemacht.
- 607 -
Hilfe
DNS\Dynamische Updates
DHCP\Interoperabilität\Verwenden von DNS-Server mit DHCP
MS Training
• Seite 682
- 608 -
Frage 167
Bezeichnung MVSNET.DE. Die Server führen als Betriebssystem entweder
Windows Server 2003 oder Windows 2000 Server aus, die Clients in der
Domäne entweder Windows XP Professional, Windows 2000 Professional
oder Windows NT Workstation 4.0.
Alle Clients sind Mitglieder der Domäne MVSNET.DE. Die Server verfügen
über statische IP-Adressen, und allen Clientcomputern werden Adressen
über einen DHCP-Server zugewiesen, auf dem Windows Server 2003 läuft.
Der DNS-Dienst ist auf drei Windows Server 2003 Computern installiert,
die als Domänencontroller konfiguriert sind.
Die Netzwerkverwaltungsrichtlinien des Unternehmens sehen vor, dass
eine DNS-Domäne in jeder Abteilung des Unternehmens erstellt wird. Eine
neue Abteilung mit Namen Press wurde eingerichtet. Sie müssen die
entsprechende DNS-Zone PRESS.MVSNET.DE erstellen.
Anforderungen:
• Alle Computer müssen in einer DNS-Zone registriert sein.
• Alle DNS-Einträge müssen zu jeder Zeit aktuell sein und jede
Änderung der Hostnamen und IP-Adressen muss im DNS-Eintrag
• Nur Computer, die ein gültiges Computerkonto in der Domäne
besitzen, dürfen dynamisch Einträge in der DNS-Zone registrieren.
• Um den Verwaltungsaufwand zu reduzieren, müssen alle
Sie müssen die Zone PRESS.MVSNET.DE so konfigurieren, dass diese
Anforderungen erfüllt werden.
Welche Schritte müssen Sie durchführen?
alle zutreffenden Antworten aus.)
A

Sie erstellen eine Standardprimärzone mit der
Bezeichnung PRESS.MVSNET.DE.
B

Sie erstellen eine Active Directory-integrierte Zone mit
der Bezeichnung PRESS.MVSNET.DE.
C

Sie konfigurieren die Einstellungen Dynamische
Updates in der Zone PRESS.MVSNET.DE auf Nur
abgesicherte.
- 609 -
D

Sie konfigurieren die Einstellung Dynamische Updates
in der Zone PRESS.MVSNET.DE auf Abgesicherte und
Nicht abgesicherte.
E

Sie konfigurieren die Dynamische Updates-Einstellung
der Zone PRESS.MVSNET.DE auf Keine.
F

Sie erstellen und aktualisieren manuell alle DNS-Einträge
in der Zone PRESS.MVSNET.DE.
G

Sie konfigurieren die DHCP-Server so, dass sich die
Clientrechner, die eine IP-Adresse vom DHCP-Server in
der Zone PRESS.MVSNET.DE erhalten haben, auch
registrieren.
Richtige Antworten: B, C und G
Begründung
Die Erstellung einer Active Directory-integrierten Zone mit der
Bezeichnung PRESS.MVSNET.DE und die Konfiguration der dynamischen
Updates in der Zone PRESS.MVSNET.DE auf Nur abgesicherte stellt
sicher, dass die Replikation automatisiert und die Datensätze abgesichert
werden. Der DHCP-Server wird so konfiguriert, dass sich die
Clientrechner, die eine IP-Adresse vom DHCP-Server in der Zone
PRESS.MVSNET.DE erhalten haben, sich im DNS registrieren. Diese
Vorgehensweise wird in den richtigen Lösungsvorschlägen B, C und G
wiedergegeben.
Der Lösungsvorschlag A widerspricht der Aufgabenstellung, weil für die
Umsetzung von abgesicherten Updates Active Directory-integrierte Zonen
benötigt werden. Der Lösungsvorschlag D widerspricht ebenfalls der
Aufgabenstellung, Sie sollen nicht abgesicherte Updates unterbinden.
Gleichermaßen sind die Lösungsvorschläge E und F falsch, weil Sie den
Prozess automatisieren müssen und dynamische Updates konfigurieren
sollen.
Hilfe
DNS\Dynamische Updates
DHCP\Interoperabilität\Verwenden von DNS-Server mit DHCP
MS Training
• Seite 682
- 610 -
Frage 168
Die Domäne enthält 25 Windows Server 2003 und 5000 Windows 2000
Sie installieren den Software Update Service auf dem Server
»MVSSUS01«. Alle Clientcomputerkonten sind in der Organisationseinheit
Clients zusammengefasst. Sie erstellen eine neue Gruppenrichtlinie mit
der Bezeichnung SUSupdates und verbinden sie mit der
Organisationseinheit Clients. Sie konfigurieren die Gruppenrichtlinie
SUSupdates so, dass die Clientrechner ihre Sicherheitsupdates von
»MVSSUS01« erhalten sollen.
Wenige Tage nach dieser Konfiguration untersuchen Sie im Rahmen einer
Sicherheitsüberprüfung verschiedene Clients und entdecken, dass diese
ihre Updates weiterhin von der Microsoft Updateseite beziehen. Sie
müssen alle Clientrechner so konfigurieren, dass die WindowsSicherheitsupdates nur von »MVSSUS01« heruntergeladen werden.
A
{
Benachrichtigung, wenn die Installation der
Windows-Sicherheitsupdates durchgeführt werden
kann zugewiesen wird.
B
{
Zeitplanung für die Installation der WindowsSicherheitsupdates zugewiesen wird.
C
{
Sie erstellen eine Softwareverteilungsrichtlinie für die
Gruppenrichtlinie SUSupdates und weisen das Package
WUAU22.msi allen Clientcomputern zu.
D
{
Sie konfigurieren auf allen Clientcomputern den
Registrierdatenbankeintrag UseWUServer so, dass
ausschließlich der Server »MVSSUS01« für das
automatische Update verwendet wird.
Richtige Antwort: C
Begründung
Das hinterhältige an dieser Frage ist, dass die Windows 2000 Clients die
Gruppenrichtlinieneinstellungen von dem Server, von dem sie die Updates
- 611 -
erhalten sollen, nicht verwenden können. Erst ab SP3 für Windows 2000
Clients steht diese Funktion zur Verfügung.
Es ist aber möglich, den Automatische Update Client allein auf die
Windows 2000 Clients zu installieren, das setzt aber voraus, dass das SP3
bereits installiert ist. Der Automatische Update Client (als „Stand-Alone“Produkt) ist von der Microsoft Webseite, als ein *.msi-Paket mit der
Bezeichnung WUAU22.msi erhältlich.
Die Lösungsvorschläge A und B beeinflussen nur, wann und wie die
Dateien heruntergeladen bzw. installiert werden sollen, aber nicht von
welcher Quelle. Der Lösungsvorschlag D scheidet aus Sicherheitsgründen
aus. Wenn eine funktionierende Lösung vorhanden ist, dann braucht man
keine Manipulation der Registrierdatenbank durchführen.
Hilfe
MS Training
- 612 -
Frage 169
Administration der Server im Grenznetzwerk erfolgt über
Terminalserversitzungen von einem Client aus, der sich in der
Produktionsdomäne befindet.
Die Überprüfung der Domäne MVSNET.DE führen Sie von Ihrem Client in
der Produktionsdomäne aus durch. Hierzu erstellen Sie eine
Stapelverarbeitungsdatei und konfigurieren den Task Scheduler so, dass
der Scan jeden Tag morgens um 05:00 gestartet wird. Sie müssen
sicherstellen, dass alle Rechner im Grenznetzwerk auf Sicherheitsrisiken
überprüft werden. Sie starten den MBSA mit folgenden Optionen: Mbsacli
/r 10.10.10.1 – 10.10.10.99 /lr Sicherheitsrisiken.log.
Sie stellen fest, dass der Scan der Domäne nicht durchgeführt wurde und
versuchen, ihn manuell zu starten. Hierbei erhalten Sie folgende
Fehlermeldung:
Error: 235 - System not found, or NetBIOS ports may be
firewalled. Scan not performed.
Was müssen Sie unternehmen, um die Überprüfung starten zu können?
A
{
B
{
C
{
D
{
Richtige Antwort: B
Begründung
Wenn diese Fehlermeldung beim Verwenden des MBSA erscheint, gibt es
grundsätzlich zwei Möglichkeiten: Entweder die angegebene IP-Adresse
existiert nicht, oder der Zugriff auf bestimmte TCP-IP-Ports ist durch
Firewallregeln nicht möglich.
- 613 -
Falls die Adresse existiert, dann sollte man sicherstellen, dass die für den
Zugriff benötigen Ports auch freigeschaltet sind. Eine Übersicht der „Well
Known Ports“ finden Sie im Internet.
Hilfe
MS Training
- 614 -
Frage 170
Bezeichnung MVSPRESS.DE.
Der Windows Server 2003 Computer »MVSPRESSONE« fungiert als DNSServer für die Domäne. MVSNet ist ein Teil von MVS M. Völk Systems. Das
Netzwerk von MVSPress besteht aus einer einzigen Active DirectoryDomäne mit der Bezeichnung MVSNET.DE.
»MVSDN003« ist ein sekundärer DNS-Server für MVSNET.DE. Sie
überwachen den Benachrichtigungsverkehr zwischen den zwei Domänen.
Sie müssen einen Eintrag erhalten, wenn der primäre DNS-Server von
MVSNET.DE »MVSPRESSONE« darüber informiert, dass es Änderungen in
der Zone MVSNET.DE gibt.
A
{
Sie verwenden die Performancekonsole, um eine
Protokolldatei zu erstellen, die die DNS-Performance
Counter Notification erstellt, die von »MVSPRESSONE«
empfangen wird.
B
{
Sie aktivieren die Fehlerprotokollierung auf
»MVSPRESSONE« und konfigurieren die Protokollierung
der Benachrichtigungsereignisse.
C
{
Sie führen das Kommando replmon aus, um die
Replikationsereignisse auf dem Server »MVSPRESSONE«
zu überwachen.
D
{
Sie führen das Kommando dcdiag aus, um die DNSRegistrierung auf dem Server »MVSPRESSONE« zu
überprüfen.
Richtige Antwort: B
Begründung
Um die Optionen zur Fehlerprotokollierung zu setzen, müssen Sie zuerst
die Protokollpakete zur Fehlersuche auswählen. Um eine verwertbare
Fehlerauswertung zu erhalten, müssen Sie die Paketrichtung, das
Transportprotokoll und mindestens eine weitere Option auswählen.
Zusätzlich zur Auswahl der Ereignisse für die DNSFehlerprotokollierungsdatei können Sie Name, Speicherort und maximale
Größe der Datei angeben. Die Verwendung der Protokollierungsoptionen
verlangsamt die DNS-Serverperformance.
- 615 -
Der Lösungsvorschlag A würde auch funktionieren, ist aber umständlicher
zu konfigurieren. Nach dem Motto „Wähle die beste Antwort“ scheidet er
deshalb zugunsten der „besseren Antwort“ B aus.
Die Lösungsvorschläge C und D versuchen die Active DirectoryDiagnosewerkzeuge replmon und dcdiag zu verwenden, aber diese
Werkzeuge haben nicht die geforderte Funktionalität.
Hilfe
Hauptnetzwerkdienste\DNS\Konzepte\Verwalten von
DNS\Überwachen und Optimieren von Servern\Verwendung von
Server-Debuggprotokollierungsoptionen
MS Training
- 616 -
Frage 171
Computern.
Sicherheitsrichtlinien der Firma erlauben nur, dass SMTP-, http- und DNSVerkehr die Firewall durchquert. Außerdem müssen Sie den internen DNSServern erlauben, Namen im Internet aufzulösen und den SMTP- und
http-Verkehr durch die Firewall. Sie müssen die Firewall für die benötigten
Dienste und Anwendungen aktivieren.
A

Ports 25, 53 und 443.
B

Ports 110, 389 und 443.
C

Port 443.
D

Port 389.
E

Port 25.
D

Port 53.
E

Ports 25, 53 und 80.
Richtige Antwort: E
Begründung
Aufgrund der Aufgabenstellung müssen folgende Ports geöffnet werden:
Der SMTP-Port ist TCP/UPP 25, der DNS-Port ist TCP/UPP 53 und der httpPort ist TCP/UPP 80.
Hilfe
Hauptnetzwerkdienste\TCP/IP\Konzepte\Grundlegendes zu
TCP/IP\Hautprotokolle von TCP/IP\Transmission Control Protocol und
User Datagram Protocol
MS Training
- 617 -
Frage 172
MVSNET.DE.
Sie müssen die Server im Netzwerk auf eventuelle Sicherheitsrisiken
überprüfen. Die Überpüfung soll mit dem MS-Tool MBSA erfolgen. In der
Domäne befinden sich 30 Server. Die Masse der Server neben vier
Domänencontrollern sind Datei- und Druckserver sowie IIS-Server, SQLServer befinden sich nicht in der Domäne.
Sie müssen die Überprüfung über eine Stapelverarbeitungsdatei regeln,
die via Task Scheduler jede Woche einmal gestartet wird.
Wie lautet die richtige Synthax beim Aufruf des MBSA, um das
gewünschte Ziel zu erreichen?
- 618 -
A
{
Updates /n SQL.
B
{
Mbsacli /d mvspress.de /lr secuityscan.log /n SQL.
C
{
Updates /n SQL /n IIS.
D
{
Updates /n SQL / OS.
Richtige Antwort: B
Begründung
Wenn man sich nicht durch die Grafik verwirren lässt und die
wesentlichsten Parameter beim mbsacli-Kommando kennt, dann fällt es
nicht schwer, die richtige Lösung zu finden. Grundsätzlich wird mit dem
Parameter /N [xxx] angegeben, was nicht gescannt werden soll. In
unserem Fall müssen Sie nur die Option SQL ausschließen, weil Sie in der
Domäne keinen SQL-Server haben.
Hilfe
MS Training
- 619 -
Frage 173
MVSNET.DE die die zwei Domänen MVSNET.DE und IT.MVSNET.DE
enthält.
Das Netzwerk besteht aus insgesamt 15 Subnetzen. Die
Domänencontroller sind konfiguriert, wie die folgende Tabelle zeigt:
Server
Domäne
Zone
Zonentyp
Stubzone
»MVSDC001«
MVSNET.DE
MVSNET.DE
Active
Directory
integriert
IT.MVSNET.DE
»MVSDC002«
MVSNET.DE
MVSNET.DE
Active
Directory
integriert
IT.MVSNET.DE
»MVSDC003«
IT.MVSNET.DE
IT.MVSNET.DE
Active
Directory
integriert
KEINE
»MVSDC004«
IT.MVSNET.DE
IT.MVSNET.DE
Active
Directory
integriert
KEINE
Die Server »MVSDC001« und »MVSDC002« sind beide in der Domäne
MVSNET.DE registriert, alle anderen Rechner in der Domäne
IT.MVSNET.DE. Sie erstellen Reverse-Lookup-Zonen für alle Subnetze.
Die Domäne PRESS.MVSNET.DE enthält den Windows NT Server 4.0
Datei- und Druckserver »MVSSRV01«. Sie ändern die statische IP-Adresse
für »MVSSRV01«. Sie müssen sicherstellen, dass diese Änderung im DNS
berücksichtigt wird.
Welche zwei Ressourceneinträge müssen Sie ändern?
A

Den Zeiger(PTR)-Eintrag in der Zone IT.MVSNET.DE.
B

Den Host(A)-Eintrag in der Zone IT.MVSNET.DE.
C

Den Alias(CNAME)-Eintrag in der Zone IT.MVSNET.DE.
D

Den Zeiger(PTR)-Eintrag in der Stubzone.
E

Den Host(A)-Eintrag in der Stubzone.
D

Den Alias(CNAME)-Eintrag in der Stubzone.
Richtige Antworten:A und B
- 620 -
Begründung
Der NT 4.0 Server kann seine eigenen DNS-Einträge nicht registrieren,
deshalb müssen Sie es manuell tun. Die zwei Einträge, die erstellt werden
müssen, sind der A- und der PTR-Eintrag. Diese Einträge müssen in der
Zone IT.MVSNET.DE vorgenommen werden, da der NT Server dieser
Domäne angehört. Diese Vorgehensweise spiegelt sich in den richtigen
Lösungsvorschlägen A und B wider.
Die Lösungsvorschläge D, E und F sind falsch, weil Stubzonen nur die
Namen und die IP-Adressen der DNS-Server enthalten. Der Server
»MVSSRV01« ist aber nur ein Datei- und Druckserver. Ebenso falsch ist
der Lösungsvorschlag C, einen CNAME-Eintrag brauchen Sie in keiner
Weise.
Hilfe
• Netzwerkdiensten\Verwalten der
MS Training
• Seite 586
- 621 -
Frage 174
Servern wird Windows Server 2003 ausgeführt. Im Netzwerk befinden sich
zwei DNS-Server. Diese Server sind so konfiguriert, dass DNS-Anfragen
bezüglich Auflösung von Internetnamen an einen DNS-Server des lokalen
Internet Service Providers gesendet werden.
Anwender in Ihrem Netzwerk berichten, dass sie häufig nicht auf
Webseiten im Internet zugreifen können. Sie überprüfen dies und stellen
fest, dass der DNS-Server des Internet Service Providers (ISP) häufig
nicht verfügbar ist.
Sie müssen sicherstellen, dass die Anwender auf Webseiten im Internet
zugreifen können, auch wenn der DNS-Server des Internet Service
Providers (ISP) nicht verfügbar ist.
A
{
gegenseitigen Weiterleitungseinträgen und löschen die
Weiterleitungseinträge zum DNS-Server des ISP.
B
{
bedingten Weiterleitungen an den DNS-Server des ISP.
C
{
Sie konfigurieren die DNS-Server im Netzwerk zur
Verwendung der Standardstammverweise und entfernen
die Weiterleitung an den DNS-Server des ISP.
D
{
Sie konfigurieren die DNS-Server im Netzwerk als
autoritative Server für die Internet-Root-DNS-Zone.
Richtige Antwort: C
Begründung
Der korrekte Lösungsvorschlag C unterbricht einfach die bestehende
Beziehung zum DNS-Server des ISP (Weiterleitung löschen). Die erste
Anlaufstelle für die internen DNS-Server ist jetzt der DNS-Rootserver.
Durch diese Vorgehensweise ist man völlig unabhängig vom DNS-Server
des ISP.
Der Lösungsvorschlag A würde eine Anfrage für eine externe
Namensauflösung effektiv von der Außenwelt abschotten und die Anfrage
von einem internen DNS-Server zum nächsten DNS-Server und zurück
schicken, ohne den externen Namen erfolgreich aufzulösen.
Der Lösungsvorschlag B suggeriert eine Bedingung und eine damit
verknüpften Aktion: „Wenn der DNS-Server des ISP nicht funktioniert,
- 622 -
dann suche selbst“, das ist aber falsch. Der Lösungsvorschlag D wäre ein
aussichtsloser Versuch, den internen DNS-Server zu der Position des
„Königs der DNS-Server“ heraufzuhieven, und das geht wirklich nicht!
Hilfe
MS Training
• Seite 540
- 623 -
Frage 175
Sie müssen festlegen, dass automatische Updates automatisch fünf
Minuten nach dem Systemstart der Clients installiert werden.
Wo müssen Sie dies konfigurieren?
A
{
planen.
B
{
Automatische Updates konfigurieren.
C
{
strative Einstellungen\Windows Update\Internen
Pfad für den Microsoft Updatedienst angeben.
D
{
strative Einstellungen\Windows Update\Kein
Richtige Antwort: A
Begründung
- 624 -
Die Richtlinie Geplante Installation automatischer Updates erneut
planen gibt die Zeitspanne an, die automatische Updates nach dem
Systemstart warten, bevor sie eine geplante Installation fortsetzen, die
zuvor übergangen wurde.
Wenn der Status auf Aktiviert festgelegt ist, wird eine geplante
Installation, die zuvor nicht stattgefunden hat, nach der angegebenen
Anzahl von Minuten nach dem nächsten Starten des Computers
ausgeführt.
Hilfe
MS Training
• Seite 825
- 625 -
Frage 176
Die Domäne enthält insgesamt drei Server. Der Server »MVSDC001«
befindet sich in der Domäne MVSNET.DE und ist als Domänencontroller
und DNS-Server konfiguriert. Der Server »MVSDC002« befindet sich in
der untergeordneten Domäne PRESS.MVSNET.DE und übernimmt dort die
Funktion eines Domänencontrollers und DNS-Servers. Der Server
»MVSSRV01« befindet sich ebenfalls in der untergeordneten Domäne
PRESS.MVSNET.DE und übernimmt die Funktion eines Datei- und
Druckservers. Die Domänen MVSNET.DE und PRESS.MVSNET.DE sind über
VPN miteinander verbunden.
»MVSDC001« ist der Autoritätsursprung (SOA) von MVSNET.DE, und
»MVSDC002« ist als Autoritätsursprung (SOA) für PRESS.MVSNET.DE
konfiguriert. Der Windows XP Professional Computer »MVSPRO01«
befindet sich in der Domäne MVSNET.DE.
Ein Anwender meldet, dass er sich vom Client »MVSPRO01« aus nicht mit
dem Datei- und Druckserver »MVSSRV01« verbinden kann. Sie müssen
sicherstellen, dass die Clients in der Domäne MVSNET.DE Hostnamen in
der Domäne PRESS.MVSNET.DE auflösen können.
Auf welche zwei Arten können Sie dieses Ziel erreichen?
A

»MVSSRV01« hinzu.
B

Sie fügen auf »MVSDC001« eine Delegation für
C

Sie fügen auf »MVSDC001« einen Zeiger(PTR)-Eintrag
für MVSSRV05.MVSNET.DE hinzu.
D

»MVSSRV01« hinzu.
E

Sie fügen auf »MVSDC001« eine Stubzone für
Begründung
Grundsätzlich stehen für die Beantwortung solcher Themen zwei
Alternativen zur Auswahl. Der Lösungsvorschlag B benutzt die
Delegierung. Eine Delegierung bewirkt, dass ein DNS-Server, der selbst
- 626 -
eine Namensauflösungsanfrage für einen Subdomäne nicht auflösen kann,
diese Anfrage an einen DNS-Server in der Subdomäne weitergibt. Der
Prozess dient der Verteilung der Zuständigkeit für Domänennamen unter
verschiedenen DNS-Servern in Ihrem Netzwerk.
In diesem Fall kann der DNS-Server »MVSDC001« die Clientanfrage direkt
an »MVSDC002« in der Subdomäne PRESS.MVSNET.DE delegieren. Für
jeden delegierten Domänennamen muss mindestens eine Zone erstellt
werden. Je mehr Zonen delegiert werden, desto mehr Zonen müssen
erstellt werden.
Der ebenfalls richtige Lösungsvorschlag E verwendet zur Problemlösung
eine Stubzone. Eine Stubzone ist die Teilkopie einer Zone, die sich auf
einem DNS-Server befindet, und wird verwendet, rekursive oder iterative
Abfragen aufzulösen. Stubzonen enthalten alle nötigen DNS-Informationen
einer Zone, unter anderem den Autoritätsursprungseintrag (SOA) der
Zone, die DNS-Einträge, die die Autoritätsserver der Zone auflisten und
die damit verbundenen A(Adressen)-Einträge, die notwendig sind, mit den
Autoritätsservern Verbindung aufzunehmen. Stubzonen sind dynamisch
(anpassungsfähig) im Gegensatz zu Weiterleitungen und Delegationen.
Hilfe
MS Training
- 627 -
Frage 177
Bezeichnung MVSNET.DE und aus mehreren Windows Server 2003
Servern. Der Server »MVSDCDN1« ist Domänencontroller und DNSServer.
Die Firma eröffnet eine neue Niederlassung in Küps. Der Server
»MVSDCDN2« befindet sich in der Niederlassung und übernimmt die
Funktion des Domänencontrollers und DNS-Servers für die neue
Niederlassung.
»MVSDCDN2« ist ein Domänencontroller und DNS-Server. Sie
konfigurieren eine DNS-Zone für KUEPS.MVSNET.DE auf dem Server
»MVSDCDN2«. Sie müssen sicherstellen, dass die Rechner in der Domäne
MVSNET.DE Hostnamen in der Domäne KUEPS.MVSNET.DE auf dem
Server »MVSDCDN2« auflösen können.
A

Sie fügen einen Autoritätsursprungseintrag (SOA) auf
B

Sie fügen eine neue Delegierung vom Server
»MVSDCDN1« für KUEPS.MVSNET.DE dem Server
»MVSDCDN2« hinzu.
C

KUEPS.MVSNET.DE auf dem Server »MVSDCDN1« hinzu.
D

Sie fügen einen SRV-Eintrag auf dem Server
Begründung
Sie können das gewünschte Ziel entweder, wie im Lösungsvorschlag B
beschrieben, durch eine Delegierung erreichen, oder wie im
Lösungsvorschlag C beschrieben, durch den Einsatz von Stubzonen.
Delegierung (Lösungsvorschlag B):
Der Prozess dient der Verteilung der Zuständigkeit für Domänennamen
unter verschiedenen DNS-Servern in ihrem Netzwerk. Für jeden
delegierten Domänennamen muss mindestens eine Zone erstellt werden.
Je mehr Zonen delegiert werden, desto mehr Zonen müssen erstellt
- 628 -
werden. Eine Delegation oder eine Stubzone ermöglicht es dem Server
»MVSDCDN1«, Namensauflösungsanforderungen für die Zone
KUEPS.MVSNET.DE an den Server »MVSDCDN2« weiterzuleiten.
Stubzone (Lösungsvorschlag C):
Eine Teilkopie einer Zone, die sich auf einem DNS-Server befindet und
verwendet wird, rekursive oder iterative Abfragen aufzulösen. Stubzonen
enthalten den Autoritätsursprungseintrag (SOA) der Zone, die DNSEinträge, die die Autoritätsserver der Zone auflisten und damit verbunden
A(Adressen)-Einträge, die notwendig sind, mit den Autoritätsservern
Verbindung aufzunehmen.
Der Lösungsvorschlag A ist falsch, weil der SOA-Eintrag in der delegierten
Zone vorhanden sein muss. Ebenso falsch ist der Lösungsvorschlag D, Sie
brauchen hier keine SRV-Einträge, sondern NS-Einträge.
Hilfe
MS Training
- 629 -
Frage 178
Netzwerk besteht aus einer einzigen Gesamtstruktur. Die Gesamtstruktur
umfasst drei Domänen mit den Bezeichnungen MVSNET.DE,
THUERINGEN.MVSNET.DE und OBERFRANKEN.MVSNET.DE. Die Firma hat
Niederlassungen in vielen Städten.
Alle Domänencontroller sind auch als DNS-Server konfiguriert. Die
Zonenreplikation für jede DNS-Zone ist zwischen den Domänencontrollern
in jeder Domäne konfiguriert. Die Domänencontroller sind, wie in der
folgenden Tabelle gezeigt, konfiguriert:
Domänencontroller
Standort
Zonen
»MVSDC001«
Puchheim
MVSNET.DE
»MVSDC002«
Puchheim
THUERINGEN.MVSNET.DE
»MVSDC003«
Kronach
»MVSDC004«
Bamberg
»MVSDC005«
Lichtenfels
Sie führen eine rekursive Abfrage gegen »MVSDC001« aus und bemerken,
dass »MVSDC001« nur den Server »MVSDC003« nach
Zoneninformationen in OBERFRANKEN.MVSNET.DE abfragt. Sie müssen
sicherstellen, dass jeder Domänencontroller, der zu
OBERFRANKEN.MVSNET.DE hinzugefügt wird, automatisch zur Liste der
Server hinzugefügt wird, die der Server »MVSDC001« abfragt.
A
{
Sie erstellen eine neue Stubzone für
OBERFRANKEN.MVSNET.DE auf »MVSDC001.«
B
{
Sie erstellen eine sekundäre Zone für
OBERFRANKEN.MVSNET.DE auf »MVSDC001«.
C
{
Gesamtstruktur zu replizieren.
D
{
Domäne zu replizieren.
Richtige Antwort: A
- 630 -
Begründung
Eine Stubzone enthält eine Liste aller Server für die Zone
OBERFRANKEN.MVSNET.DE. Die Namensauflösungsanforderungen für
Hostrechner in der Zone OBERFRANKEN.MVSNET.DE werden an die drei
Server der Zone OBERFRANKEN.MVSNET.DE weitergeleitet.
Die Informationen der Stubzone werden automatisch aktualisiert, sobald
ein Namensserver OBERFRANKEN.MVSNET.DE hinzugefügt wird. Diesen
Aspekt spiegelt der richtige Lösungsvorschlag A wider.
Der Lösungsvorschlag B ist falsch, weil sekundäre Zonen keine
Namensauflösungsanfragen weiterleiten. Die Lösungsvorschläge C und D
sind falsch, weil Konfigurationsänderungen hinsichtlich der Replikation auf
alle DNS-Server in der Gesamtstruktur uns hier nicht helfen würden, da
die DNS-Server nur die replizierten Informationen verwenden können,
wenn auf ihnen selbst eine Zone für OBERFRANKEN.MVSNET.DE erstellt
worden ist.
Hilfe
MS Training
- 631 -
Frage 179
Sie sind der Netzwerkadministrator des Netzwerkes Ihrer Firma. Sie
stellen fest, dass der Gerätemanager aufgrund ständiger
Treiberaktualisierungen das Netzwerk belastet. Diese
Treiberaktualisierungen sind stellenweise so gravierend, dass manche
Zugriffe ins Internet sehr lange dauern.
Sie müssen sicherstellen, dass in Zukunft keine Netzwerkbelastung durch
Treiberaktualisierungen erfolgen wird. Sie entschließen sich, das Problem
durch den Einsatz von Gruppenrichtlinien zu lösen.
Welche Einstellungen sollten Sie konfigurieren, um das Ziel zu erreichen?
A
{
trative Vorlagen\Windows Update\Eigenschaften
von Zugriff auf alle Windows Update-Funktionen
entfernen.
B
{
planen.
C
{
strative Vorlagen\Windows Update\
Automatisches Update konfigurieren.
D
{
strative Vorlagen\Windows Update\ Internen Pfad
E
{
strative Vorlagen\Windows Update\ Kein
Richtige Antwort: A
Begründung
Wenn Sie die Einstellung wie bei Lösungsvorschlag A aktivieren, werden
alle Funktionen von Windows Update entfernt. Dies umfasst auch die
Blockierung des Zugangs zur Windows Update-Webseite unter
http://windowsupdate.microsoft.com vom Hyperlink Windows Update im
Startmenü und im Menü Extras des Internet Explorers.
Die automatische Aktualisierung von Windows wird ebenfalls deaktiviert.
Sie werden weder über wichtige Aktualisierungen unterrichtet, noch
erhalten Sie sie von Windows Update. Durch diese Einstellung wird auch
- 632 -
verhindert, dass der Gerätemanager automatisch Treiberaktualisierungen
von der Windows Update-Webseite installiert.
Hilfe
MS Training
- 633 -
Frage 180
Bezeichnung MVSPRESS.DE. Der Windows Server 2003 Server
»MVSPRESSONE« ist zur Zeit der einzige Domänencontroller für die
Domäne MVSPRESS.DE. »MVSPRESSONE« ist ebenfalls der DNS-Server
für die Active Directory-Zone MVSPRESS.DE.
Sie konfigurieren einen weiteren Server mit der Bezeichnung
»MVSPRESSTWO«. Dieser Server soll DNS-Anfragen an den Server
»MVSPRESSONE« weiterleiten. Sie führen den Assistenten zur Active
Directory-Installation auf »MVSPRESSTWO« aus und starten den Server
nach Abschluss der Installation neu.
45 Minuten später überprüfen Sie die Service(SRV)-Einträge und stellen
fest, dass der Server »MVSPRESSTWO« nicht in der Liste enthalten ist:
Sie müssen sicherstellen, dass die SRV-Einträge vollständig sind.
A
{
Sie starten den Netzanmeldedienst auf »MVSPRESSONE«
neu.
B
{
Sie starten den Netzanmeldedienst auf
»MVSPRESSTWO« neu.
C
{
»MVSPRESSONE« aus.
D
{
»MVSPRESSTWO« aus.
Richtige Antwort: B
- 634 -
Begründung
Der Netzanmeldedienst auf einem Domänencontroller ist unter anderem
für die Registrierung der DNS-Einträge zuständig. Diese Registrierung
erfolgt normalerweise alle 24 Stunden. Wenn man eine Registrierung, die
vom Netzanmeldedienst durchgeführt wird, manuell einleiten möchte oder
muss, muss man den Netzanmeldedienst manuell neu starten. Dies wird
im richtigen Lösungsvorschlag B vorgeschlagen.
Der Lösungsvorschlag A ist falsch, weil aus der Grafik ersichtlich ist, dass
die SRV-Einträge für »MVSPRESSONE« vorhanden sind. Die
Lösungsvorschläge C und D sind falsch, weil das Kommando ipconfig
/registerdns die DHCP-Adresszuordnungen und –registrierungen
bezüglich der konfigurierten DNS-Namen aktualisiert, die von den
Clientcomputern verwendet werden. Hier werden A- und PTR-Einträge
aktualisiert, jedoch keine SRV-Einträge.
Hilfe
MS Training
- 635 -
Frage 181
Netzwerk besteht aus einer einzigen Windows Server 2003-DNS-Zone mit
der Bezeichnung MVSNET.DE. Auf allen Netzwerkservern läuft Windows
Server 2003, alle IP-Adressen sind statisch zugeordnet.
Die primäre DNS-Zone für MVSNET.DE liegt auf einem Server im
Stammhaus der Firma in Puchheim. Die sekundären Zonen liegen jeweils
auf einem Server der Niederlassungen.
Ein anderer Administrator berichtet Ihnen, dass die Netzwerkauslastung
bei ca. 95% liegt. Sie konfigurieren das Aktualisierungsintervall auf einen
minimalen Standardwert.
Die Time To Live(TTL)-Intervalle der Zone MVSNET.DE liegen bei drei
Stunden, der minimale Standardwert bei einem Tag. Sie müssen die
Autoritätsursprungs(SOA)-Einträge in den Eigenschaften der Zone
MVSNET.DE konfigurieren. Ebenso müssen Sie sicherstellen, dass der
Server in Puchheim weitere Zonenübertragungsversuche unternimmt,
wenn der erste Versuch fehlschlägt.
A
{
einer Stunde ungültig wird.
B
{
vier Stunde ungültig wird.
C
{
20 Sekunden ungültig wird.
D
{
Sie konfigurieren das Wiederholungsintervall auf eine
Stunde.
E
{
Sie konfigurieren das Wiederholungsintervall auf vier
Stunden.
F
{
Sie konfigurieren das Wiederholungsintervall auf 20
Sekunden.
Richtige Antwort: D
Begründung
Grundsätzlich muss das Wiederholungsintervall kleiner sein als das
Aktualisierungsintervall.
- 636 -
Aktualisierungsintervall:
Man kann das Aktualisierungsintervall zwischen den Updates von einem
sekundären DNS-Server aus konfigurieren. Wenn sich DNS-Einträge selten
ändern, erhöht man den Standardwert. Wenn DNS-Einträge sich häufig
ändern, verringert man den Standardwert. Stellen Sie das
Aktualisierungsintervall so ein, dass keine Bandbreite verschwendet wird
und dass man sicher sein kann, dass der Inhalt des sekundären Servers
zu jeder Zeit stimmt.
Wiederholungsintervall:
Wenn eine Verbindung oder ein Dienst ausfällt, kann der sekundäre DNSServer eventuell seine Daten nicht vom primären Server aktualisieren. Der
sekundäre DNS-Server versucht dann nach einer festgelegten Zeitspanne,
seine Daten zu aktualisieren.
Die Lösungsvorschläge A, B und C sind falsch, weil, wenn das angegebene
Intervall abgelaufen ist, hört der sekundäre Server auf, hereinkommende
Namensanfragen zu bedienen. Deswegen hat eine Konfiguration des
Zonenablaufintervalls keinen Einfluss auf die Bandbreite bei den
Zonentransfers.
Eine Lösung des Problems kann nur durch die Konfiguration des
Wiederholungsintervalls geschehen. Allerdings muss das
Wiederholungsintervall geringer sein als das Aktualisierungsintervall.
Demnach ist der Lösungsvorschlag E falsch. Der bei Lösungsvorschlag F
genannte Wert ist definitiv zu gering.
Hilfe
von Zonen\Verwalten von Instanzeinträgen
MS Training
• Seite 613
- 637 -
Frage 182
Bezeichnung MVSPRESS.DE. Im Netzwerk befinden sich zwei DNS-Server,
»MVSDNS01« und »MVSDNS02«. Auf dem Server »MVSDNS01« befindet
sich die primäre Zone MVSNET.DE. Der Server »MVSDNS02« verwaltet die
sekundäre Zone MVSNET.DE.
Sie entfernen den Server »MVSDNS02« vom Netzwerk, um
Hardwarearbeiten durchzuführen. Wenige Tage später schließen Sie
»MVSDNS02« wieder ans Netzwerk an. Sie stellen fest, dass sich die DNSZoneninformationen zwischen den Servern stark unterscheiden. Sie
müssen sicherstellen, dass »MVSDNS02« sofort alle DNS-Anfragen der
Clientrechner im Netzwerk richtig beantwortet.
A
{
Sie erstellen auf »MVSDNS01« eine neue
Zonendelegation für »MVSDNS02«.
B
{
Sie aktualisieren auf »MVSDNS01« die Serverdatendatei.
C
{
Sie löschen auf »MVSDNS02« den DNS-Cache.
D
{
Sie übertragen die Zone von »MVSDNS01« auf
»MVSDNS02.«
E
{
Sie laden auf »MVSDNS02« die Zone erneut.
Richtige Antwort: D
Begründung
Wenn sich die Versionsnummern unterscheiden, was in unserem Fall auch
logisch nachvollziehbar ist, dann müssen Sie auf dem Server mit der
älteren Versionsnummer (»MVSDNS02«) die Zone neu laden. Dies wird im
richtigen Lösungsvorschlag D gemacht.
Hilfe
• Netzwerkdienste\Verwalten der Hauptnetzwerkdienste\DNS\So wird
es gemacht\Verwalten von Zonen\Initiieren einer Zonenübertragung
auf einem sekundären Server
MS Training
- 638 -
Frage 183
Bezeichnung MVSNET.DE. Die Domäne enthält 100 Windows 2000
Professional und zwei Windows Server 2003 Rechner. Das Netzwerk ist
nicht direkt mit dem Internet verbunden.
Der Server »MVSDNS01« ist Domänencontroller und primärer DNS-Server
für die Domäne MVSNET.DE. Das Netzwerk verwendet den Server
»MVSDNS01« als den autorisierenden Root-Server für die Domäne
MVSNET.DE. Der Server »MVSDNS02« ist ein Domänencontroller und
DHCP-Server. Der Server »MVSIIS01« wird als Webserver verwendet, und
auf ihm läuft eine Intranetanwendung.
Mehrere Anwender teilen Ihnen mit, dass sie Probleme haben, wenn sie
versuchen, sich mit URLs außerhalb der Domäne MVSNET.DE zu
verbinden, und ihre Webbrowser sehr langsam die Meldung ausgeben,
dass die URL nicht erreicht werden kann.
Sie müssen sicherstellen, dass die DNS-Namensauflösung so schnell wie
möglich wieder korrekt funktioniert.
A
{
Sie löschen die Datei cache.dns auf dem Server
»MVSDNS01«.
B
{
Sie löschen die Datei netlogon.dns auf dem Server
»MVSDNS01«.
C
{
Sie fügen der Datei hosts auf dem Server »MVSDNS01«
einen Verweis für den Server »MVSDNS02« hinzu.
D
{
Sie fügen der Datei lmhosts auf dem Server
»MVSDNS01« einen Verweis für den Server
»MVSDNS02« hinzu.
Richtige Antwort: A
Begründung
Die Datei cache.dns enthält einer Liste der Rootserver im Internet. Der
DNS-Server in dieser Fragestellung hat keine Ahnung davon, dass das
Netzwerk nicht mit dem Internet verbunden ist. Wenn der DNS-Server
eine Anforderung zur Namensauflösung eines externen Hosts erhält,
versucht er Kontakt mit einem Rootserver im Internet aufzunehmen.
Die Zeit für den Verbindungsaufbau läuft ohne Ergebnis ab, daher
versucht der DNS-Server, einen anderen Rootserver im Internet zu
- 639 -
erreichen. Dieser Prozess wird so lange wiederholt, bis alle Rootserver, die
in der Datei cache.dns aufgeführt sind, angesprochen wurden.
Diese Versuche, Kontakt mit den DNS-Rootservern aufzunehmen,
verursachen Netzwerkverkehr, und dadurch kommt auch eine sehr
langsame DNS-Namensauflösung zustande. Sie können dieses Problem
lösen, indem Sie die Datei cache.dns löschen.
Hilfe
Hauptnetzwerkdienste\DNS\Prüflisten\Prüfliste: Sichern der DNSInfrastruktur (letzter Punkt: Privaten Namespace)
von Servern\Aktualisieren von Stammhinwesen
MS Training
- 640 -
Frage 184
Sie sind der DNS-Administrator der Firma MVS M. Völk Systems. Die
Firma ist ein Internet Service Provider, der Webseiten für viele
Unternehmen hostet. Die DNS-Server von MVSNET.DE beinhalten viele
DNS-Zonen für die Kunden. Mehreren Administratoren von MVSNET.DE
sind in der Lage, DNS-Zonen hinzufügen.
Sie wollen einen wöchentlichen Bericht erstellen, der alle gehosteten
Zonen auf jedem DNS-Server erfasst.
A
{
Sie verwenden das Programm dnslint, um jeden DNSServer abzufragen.
B
{
Sie verwenden das Programm dnscmd, um jeden DNSServer abzufragen.
C
{
Sie verwenden das Programm nslookup, um jeden
DNS-Server abzufragen.
D
{
Sie verwenden das Programm adsiedit, um das Active
Directory nach einer Liste aller DNS-Zonen abzufragen.
Richtige Antwort: B
Begründung
Hier sollte man einfach nur wissen: Mit welchem Programm kann man was
machen?
dnslint
Wird verwendet, um DNS-Einträge aus einer Liste zu überprüfen, es listet
jedoch keine Zonen eines DNS-Servers auf.
dnscmd
Listet alle Zonen auf einem DNS-Server auf. Dieses Programm ist in den
Supportprogrammen auf der Windows Server 2003 CD-ROM enthalten.
nslookup
Wird verwendet, um alle Einträge in einer Zone aufzuführen.
adsiedit
Dient zur Bearbeitung von Active Directory-Attributen.
- 641 -
Hilfe
Hauptnetzwerkdienste\DNS\Konzepte\Übersicht über DNS\DNS-Tools
MS Training
- 642 -
Frage 185
Netzwerk besteht aus den beiden Active Directory-Domänen MVSNET.DE
und OBERFRANKEN.MVSNET.DE. Die Domänencontroller in jeder Domäne
sind ebenfalls als DNS-Server konfiguriert.
Alle Domänencontroller in der Domäne OBERFRANKEN.MVSNET.DE
verwalten die Zone OBERFRANKEN.MVSNET.DE und sind so konfiguriert,
dass unaufgelöste DNS-Anfragen an die Domäne MVSNET.DE
weitergeleitet werden.
Alle Domänencontroller in der Domäne MVSNET.DE enthalten eine Kopie
der Zone MVSNET.DE und eine Delegation für OBERFRANKEN.MVSNET.DE.
Die Konfiguration der DNS-Server in jeder Domäne zeigt die folgende
Tabelle:
Domäne
Lokale DNS-Zone
Delegierung für
Weiterleitung
für
MVSNET.DE
MVSNET.DE
OBERFRANKEN.
MVSNET.DE
Keine
OBERFRANKEN.
MVSNET.DE
OBERFRANKEN.
MVSNET.DE
Keine
MVSNET.DE
Sie müssen überprüfen, ob Namen des Namensraums
OBERFRANKEN.MVSNET.DE erfolgreich von den Domänencontrollern der
Domäne MVSNET.DE aufgelöst werden können.
Was müssen Sie auf einem der Domänencontroller in der Domäne
MVSNET.DE durchführen?
A
{
führen einen einfachen Lookup-Test durch.
B
{
führen einen rekursiven Lookup-Test durch.
C
{
Befehl aus: Nslookup – querytype=soa
D
{
Befehl aus: Nslookup – querytype=ns
Richtige Antwort: D
- 643 -
Begründung
Die DNS-Server der Domäne haben Delegationen für die Zone
OBERFRANKEN.MVSNET.DE. Das bedeutet, dass die Zone MVSNET.DE
Namensservereinträge für die DNS-Server der Zone
OBERFRANKEN.MVSNET.DE enthält. Sie müssen die
Namensservereinträge testen, um sicherzustellen, dass die DNS-Server
der Zone MVSNET.DE Anfragen für Hosts in der Domäne
OBERFRANKEN.MVSNET.DE an die DNS-Server der Zone
OBERFRANKEN.MVSNET.DE weiterleiten.
Der Lösungsvorschlag A ist falsch, weil hier nur überprüft wird, ob der
Server einen einfachen Lookup-Test durchführen kann oder nicht. Der
Lösungsvorschlag B ist ebenfalls nicht richtig, weil hier nur überprüft wird,
ob der Server einen rekursiven Lookup-Test durchführen kann.
Wenn man dem falschen Lösungsvorschlag C folgen würde, bekäme man
die Information, welcher DNS-Server autorisierend für die Zone
OBERFRANKEN.MVSNET.DE ist. So würde nicht bestätigt werden, dass die
Namen im Namensraum OBERFRANKEN.MVSNET.DE von den
Domänencontrollern der Domäne MVSNET.DE erfolgreich aufgelöst werden
können.
Hilfe
• Hilfe und Supportcenter: Suchbegriff “nslookup” Æ
Befehlszeilenreferenz für Nslookup und Nslookup-Unterbefehle
MS Training
- 644 -
Frage 186
Sie sind der Netzwerkadministrator der Niederlassung Puchheim der Firma
MVS M. Völk Systems. Die Niederlassung Puchheim hat eine primäre
Windows Server 2003-DNS-Zone mit der Bezeichnung MVSNET.DE. Alle
Rechner in der Niederlassung Puchheim sind so konfiguriert, dass der
Server »MVSSRV01« als bevorzugter DNS-Server verwendet wird.
Die Cottbuser Niederlassung der Firma MVS M. Völk Systems hat einen
UNIX-DNS-Server mit der Bezeichnung »MVSSRV02«. Dieser Server
hostet eine primäre DNS-Zone mit der Bezeichnung
ENTWICKLUNG.MVSNET.DE. Das Aktualisierungsintervall dieser Zone ist
auf 24 Stunden eingestellt.
In der Cottbuser Niederlassung filtert eine Firewall den einkommenden
Verkehr aller anderen Niederlassungen. Eine Regel auf dieser Firewall
verhindert, dass alle Rechner der Puchheimer Niederlassung bis auf
»MVSSRV01« DNS-Anfragen auf »MVSSRV02« durchführen können. Es ist
aber für den Geschäftsverkehr notwendig, dass es keine Verzögerung
zwischen der Erstellung eines neuen Eintrags in der Zone
ENTWICKLUNG.MVSNET.DE und dem Zeitpunkt, an dem alle Computer der
Niederlassung Puchheim diesen Eintrag auflösen können, gibt.
Alle Rechner in der Puchheimer Niederlassung müssen die Namen im
Namensraum ENTWICKLUNG.MVSNET.DE auflösen können. Sie müssen
den DNS-Server auf »MVSSRV01« so konfigurieren, dass die Erfordernisse
erfüllt werden.
A
{
Sie erstellen eine Stubzone mit der Bezeichnung
B
{
Sie erstellen eine bedingte Weiterleitung auf dem Server
»MVSSRV01« für den Namensraum
C
{
Sie erstellen in der Zone MVSNET.DE eine Delegation der
Zone ENTWICKLUNG.MVSNET.DE für den Server
»MVSSRV02 «
D
{
Sie erstellen eine sekundäre Zone mit der Bezeichnung
ENTWICKLUNG.MVSNET.DE, deren Masterserver der
Server »MVSSRV02« ist.
Richtige Antwort: B
- 645 -
Begründung
Die Firewall in der Niederlassung Cottbus erlaubt nur dem Server
»MVSSRV01« mit dem UNIX-Server »MVSSRV02« zu kommunizieren. Kein
anderer Rechner in der Niederlassung Puchheim kann DNS-Abfragen an
den UNIX-Server » MVSSRV02« senden, weil diese Versuche von der
Firewall blockiert werden. Deshalb müssen Sie dafür sorgen, dass der
Server »MVSSRV01« mit dem UNIX-Server »MVSSRV02« kommunizieren
kann, damit die Hostnamen in der Niederlassung Cottbus aufgelöst
werden können.
Dies erreichen Sie, indem Sie eine bedingte Weiterleitung an den Server
»MVSSRV01« für den Namensraum ENTWICKLUNG.MVSNET.DE
konfigurieren. Wenn der Server »MVSSRV01« eine Anfrage zur
Namensauflösung für einen Host in der Niederlassung Cottbus erhält, fragt
der Server »MVSSRV01« den UNIX-Server »MVSSRV02« ab und wird dann
die Antwort an den Client weitergeben. Diesen Vorgang berücksichtigt der
richtige Lösungsvorschlag B.
Der Lösungsvorschlag A kann unser Problem nicht lösen, hier würden die
Clients in Puchheim nur die Info bekommen, wer für die Auflösung
zuständig ist, und die Firewall würde immer noch die DNS-Anfragen der
Puchheimer Rechner blockieren. Gleiches gilt für den Lösungsvorschlag C.
Lediglich der Lösungsvorschlag D geht einigermaßen in die richtige
Richtung. Sie würden eine erfolgreiche Namensauflösung bekommen,
allerdings würden die Änderungen nicht sofort repliziert, weil das
Aktualisierungsintervall 24 Stunden beträgt.
Hilfe
von Servern\Verwendung von Weiterleitung
MS Training
• Seite 542
- 646 -
Frage 187
Bezeichnung MVSNET.DE. Zwei Windows Server 2003 Server mit den
Bezeichnungen »MVSSRV02« und »MVSSRV03« fungieren im
Unternehmen als Datei- und Druckserver. Mehrere Windows 2000
Professional und Windows XP Professional Rechner verbinden sich zu
Freigaben auf diese Server.
Der Server »MVSSRV03« soll in Zukunft als zusätzlicher
Domänencontroller fungieren. Der bereits vorhandene Server
»MVSDC001« fungiert als Domänencontroller und als primärer DNSServer für die Domäne MVSNET.DE. Sie verschieben die Daten und
Anwendungen auf den anderen Datei- und Druckserver mit der
Bezeichnung »MVSSRV02«.
Sie müssen sicherstellen, dass alle Clients in der Domäne auf die
Ressourcen zugreifen können, die ehemals vom Datei- und Druckserver
»MVSSRV03« bereitgestellt wurden. Die Änderung darf nicht die
bestehenden Verbindungen der Clients zu den Ressourcen beeinflussen,
und auf den Clients sollen keine Änderungen vorgenommen werden.
Sie müssen den damit verbundenen Verwaltungsaufwand so gering wie
möglich halten.
A
{
»MVSDC001« einen CNAME-Eintrag hinzu, der vom
Server »MVSSRV03« auf den Server »MVSSRV02«
verweist.
B
{
Sie konfigurieren die Netzwerkkarte auf »MVSSRV02«
so, dass die IP-Adressen 192.168.1.5 und 192.1681.6
verwendet werden.
C
{
Sie fügen der Hostdatei auf dem Server »MVSSRV02«
eine Zeile hinzu, die die IP-Adresse 192.168.1.5 als
»MVSSRV03« auflöst.
D
{
»MVSDC001« einen HINFO-Eintrag hinzu, der auf den
Server »MVSSRV02« verweist.
Richtige Antwort: A
- 647 -
Begründung
Sie können einen Alias(CNAME)-Eintrag im DNS eintragen, so dass
Anfragen, die an »MVSSRV03« gesendet werden, an den Server
»MVSSRV02« weitergeleitet werden. Die Verwendung von solchen
Alias(CNAME)-Ressourceneinträgen werden manchmal auch kanonische
Namen genannt und erlauben uns, mehr als einen Namen für einen Host
zu verwenden. Dieser einfache Weg wird im richtigen Lösungsvorschlag A
beschrieben.
Der Lösungsvorschlag B kann auch funktionieren, stellt aber einen
erhöhten Aufwand dar, und die Variante mit dem Aliasnamen ist die
elegantere Lösung der Aufgabenstellung. Der Lösungsvorschlag C ist
falsch, weil Sie in dieser Umgebung keine statischen Zuordnungsdateien
wie die Datei hosts verwenden. Zu guter Letzt ist der Lösungsvorschlag D
ebenfalls falsch und hat hier nichts zu suchen. Ein HINFO-Eintrag listet die
Hardware und das Betriebsystem auf, die auf den aufgeführten
Hostrechnern ausgeführt werden.
Hilfe
MS Training
• Seite 587
- 648 -
Frage 188
Sie sind der Administrator für das Netzwerk der Firma MVS M. Völk
Server, auf denen Windows Server 2003, und 500 Clientrechner, auf
denen Windows XP Professional ausgeführt wird. Der Domänencontroller
»MVSDCDN01« ist der primäre DNS-Server der Domäne MVSPRESS.DE.
Das Unternehmen eröffnet eine neue Zweigstelle in Küps. Das Netzwerk
dieser neuen Niederlassung ist eine untergeordnete Domäne von
MVSPRESS.DE und erhält den Namen KUEPS.MVSPRESS.DE. In dieser
Zweigstelle installieren Sie den Domänencontroller »MVSDCDN02«. Dieser
Server ist der Host für die Zone KUEPS.MVSPRESS.DE.
Sie müssen sicherstellen, dass die Rechner in der Domäne MVSPRESS.DE
Computerhostnamen in der Domäne KUEPS.MVSPRESS.DE auflösen
können.
Wie können Sie die Anforderung erfüllen?
A

eine neue Delegierung auf dem Server »MVSDCDN01«
für die untergeordnete Domäne KUEPS.MVSPRESS.DE
auf dem Server »MVSDCDN02« hinzu.
B

einen Autoritätsursprungs(SOA)-Eintrag auf dem Server
C

eine neue Stubzone mit der Bezeichnung
KUEPS.MVSPRESS.DE auf dem Server »MVSDCDN01«
hinzu.
D

einen neuen Dienst(SRV)-Eintrag auf dem Server
Begründung
Die Lösung solcher Aufgabenstellungen kann man entweder mit dem
Erstellen einer Stubzone realisieren oder mit einer Delegierung. Der
Lösungsvorschlag A berücksichtigt den Lösungsansatz mit einer
Delegierung. Die Delegierung ermöglicht es dem Server »MVSDCDN01«,
- 649 -
Auflösungsanfragen für KUEPS.MVSPRESS.DE an den Server
»MVSDCDN02«. zu richten.
Der andere richtige Lösungsvorschlag, C, verwendet zur Lösung eine
Stubzone. Auch wenn es vielleicht langweilt, hier noch mal die Erklärung
einer Stubzone: Eine Stubzone ist die Teilkopie einer Zone, die auf einem
DNS-Server gehostet wird und zur Auflösung rekursiver und iterativer
Abfragen verwendet wird. Stubzonen enthalten den
Autoritätsursprungs(SOA)-Eintrag der Zone, die DNS-Einträge, die die
autoritativen Server der Zone angeben, und die zugehörigen A(Adress)Einträge, die nötig sind, um mit den autoritativen Servern der Zone in
Kontakt zu treten.
Der Lösungsvorschlag B ist falsch, weil der SOA-Eintrag in einer
delegierten Zone vorhanden sein muss und nicht auf dem Server. Ebenso
falsch ist der Lösungsvorschlag C. Sie brauchen keine SRV-Einträge,
sondern NS(Namensserver)-Einträge.
Hilfe
MS Training
- 650 -
Frage 189
Sie sind er Netzwerkadministrator der Firma MVS M. Völk Systems. Das
Netzwerk besteht aus einer Gesamtstruktur mit den zwei Domänen
MVSNET.DE und KUEPS.MVSNET.DE. Beide Domänen verfügen über
mehrere Domänencontroller, die als Betriebsystem Windows Server 2003
oder Windows 2000 verwenden. Alle Domänencontroller sind zugleich
auch DNS-Server. Im Netzwerk befinden sich keinen weiteren DNSServer. Die Domänen MVSNET.DE und KUEPS.MVSNET.DE werden im DNS
als Active Directory-integrierte Zonen dargestellt.
Der Administrator der Abteilung MVSPress bittet Sie, eine neue, getrennte
DNS-Zone zu erstellen. Die Bezeichnung der neu zu erstellenden Zone
lautet MVSPRESS.MVSNET.DE. Diese Zone muss zu allen DNS-Servern in
den vorhandenen Domänen repliziert werden. Sie müssen die neue Zone
mit der Bezeichnung MVSPRESS.MVSNET.DE erstellen und konfigurieren,
damit die Anforderungen erfüllt werden.
A
{
der Domäne MVSNET.DE und wählen den
Replikationsbereich alle Domänencontroller in der Active
B
{
der Domäne MVSNET.DE und wählen als
Replikationsbereich alle DNS-Servern in der Active
C
{
der Domäne MVSPRESS.MVSNET.DE. Sie wählen als
Replikationsbereich alle DNS-Servern in der
Gesamtstruktur MVSNET.DE aus und erstellen eine
sekundäre Zone auf allen Windows 2000
Domänencontrollern in der Gesamtstruktur.
D
{
Sie erstellen eine Active Directory-Anwendungspartition
mit der Bezeichnung MVSPRESS.MVSNET.DE. Im
Anschluss daran erstellen Sie eine Active Directoryintegrierte Zone auf einem der Windows Server 2003
Domänencontroller in der Domäne MVSNET.DE und
geben die Anwendungspartition MVSPRESS.MVSNET.DE
als Replikationsbereich der Zone an.
Richtige Antwort: C
- 651 -
Begründung
Das Ziel der Aufgabenstellung kann man seit Windows 2000 am
einfachsten erreichen. Die Lösung lautet: Erstelle eine Active Directoryintegrierte Zone. Die Daten einer Active Directory-integrierten Zone
werden als Active Directory-Objekt gespeichert und als Teil der
Domänenreplikation mit repliziert. Dies bietet uns mehrere Vorteile:
Kein einziger Ausfallpunkt:
Bei Active Directory-integrierten Zonen werden Änderungen, die mit dem
Dynamic Update Protocol durchgeführt werden, auf jedem Server der
Active Directory-integrierten Zone durchgeführt, und nicht nur auf einem
einzigen Server. Das ist ein Nachteil der primären gegenüber der Active
Directory-integrierten Zone.
Fehlertoleranz:
Alle Active Directory-integrierte Zonen sind primäre Zonen. Deshalb pflegt
jeder Domänencontroller, auf dem eine Active Directory-integrierte Zone
gespeichert ist, diese Zoneninformationen.
Einfache Replikationstopologie:
Zonenübertragungen erscheinen als Teil der Active Directory-Replikation.
Das verhindert die Notwendigkeit, die Replikation für DNS und Active
Directory getrennt zu konfigurieren.
Sichere dynamische Updates:
Bei Active Directory-integrierten Zonen können Berechtigungen für Zonen
und Einträge in diesen Zonen gesetzt werden. Weiterhin können
Aktualisierungen, die das Dynamic Update Protocol verwenden, nur von
autorisierten Computern kommen. Man kann Active Directory-integrierte
Zonen nur auf Servern erstellen, die als Domänencontroller konfiguriert
sind und auf denen der DNS-Server-Dienst installiert ist.
Hilfe
• Netzwerkdienste\Verwalten der Hauptnetzwerkdienste\DNS\So wird
es gemacht\Installieren und Konfigurieren von Servern\Erstellen der
standardmäßigen DNS-Anwendungsverzeichnispartitionen (siehe
Anmerkung unter „Verwendung der Windows-Oberfläche“)
MS Training
- 652 -
Frage 190
Firmenzentrale befindet sich in Puchheim. Die Firma verfügt über
Niederlassungen in Küps, Kronach, Cottbus, Hildburghausen und
Nürnberg. Das Netzwerk besteht aus einer einzigen Domäne mit der
Bezeichnung MVSNET.DE mit je einem Standort je Niederlassung.
Auf allen Netzwerkservern wird als Betriebssystem Windows Server 2003
ausgeführt. Alle Clientrechner erhalten ihre IP-Adresse von einem DHCPServer, der sich an jedem Standort befindet. Die Clientcomputer werden
oft mit neuen Festplattenimages aufgesetzt und erhalten dabei auch
immer einen neuen Namen. Alle Clientcomputer sind so konfiguriert, dass
sie ihren lokalen DNS-Server als bevorzugten DNS-Server und den DNSServer in der Zentrale als alternativen DNS-Server verwenden.
Auf einem Server in der Zentrale Puchheim ist die primäre Zone
MVSNET.DE konfiguriert, sekundäre Zonen auf den Servern in jeder
Zweigniederlassung. Das Wiederholungsintervall, das
Aktualisierungsintervall, die Gültigkeitsdauer und das minimale Time To
Live(TTL)-Intervall sind mit den Standardwerten konfiguriert.
Die Netzwerkbandbreite wird durchschnittlich zu 50 Prozent ausgelastet.
Die Netzwerkverbindung zwischen der Zentrale in Puchheim und der
Niederlassung in Küps fällt jeden Tag mehrmals aus. Die Benutzer in der
Niederlassung Küps erhalten auch manchmal Antworten zu Abfragen
gegen den lokalen DNS-Server, wenn die Netzwerkverbindung während
eines Zonentransfers unterbrochen wird.
Sie müssen die Konfiguration des Autoritätsursprungseintrags (SOA) für
die Domäne MVSNET.DE ändern. Zusätzlich müssen Sie die Möglichkeit
verringern, dass die Benutzer lokale DNS-Zonen abfragen, bevor ein
erfolgreicher Zonentransfer durchgeführt wurde.
A
{
Sie ändern das Aktualisierungsintervall auf zwei Tage.
B
{
Sie ändern die Gültigkeitsdauer auf zwölf Stunden.
C
{
Sie ändern den minimalen Time to Live(TTL)-Wert auf
zwei Tage.
D
{
Sie ändern das Wiederholungsintervall auf zwölf
Stunden.
Richtige Antwort: B
- 653 -
Begründung
Die Lösung dieser Aufgabenstellung findet man in der Kenntnis der
einzelnen DNS-Einstellungen bzw. -Konfigurationen. Wenn Sie
sicherstellen müssen, dass DNS-Abfragen der Benutzer erst nach einem
erfolgreichen Zonentransfer durchgeführt werden sollen und es aus der
Fragestellung hervorgeht, dass die Verbindungen zwischen den einzelnen
Standorten immer wieder einmal zusammenbrechen, dann sollten Sie die
Gültigkeitsdauer der Zone reduzieren (Lösungsvorschlag B).
Der Begriff Gültigkeitsdauer ist besser definiert mit Ablaufintervall. Was
bedeutet Ablaufintervall?
Ablaufintervall:
Die Zeitspanne, in Sekunden, bevor ein sekundärer Server aufhört, auf
Anfragen zu antworten, nachdem das Aktualisierungsintervall abgelaufen
ist, in dem die Zone nicht aktualisiert wurde. Zu diesem Zeitpunkt muss
der sekundäre Server entscheiden, ob seine lokalen Daten noch
zuverlässig sind. Der Standardwert beträgt 86400 Sekunden (24
Stunden).
Zur Vollständigkeit nachstehend noch eine kurze Definition der anderen
Einstellungen, auch wenn sie uns hier nicht weiterhelfen.
Aktualisierungsintervall:
Die Zeitspanne in Sekunden, die ein sekundärer DNS-Server wartet, bevor
er seine Quellen abfragt, um zu versuchen, die Zone zu erneuern. Wenn
das Aktualisierungsintervall abläuft, fragt der sekundäre DNS-Server nach
einer aktuellen Kopie des Autoritätsursprungseintrags für die Zone, in der
sich der DNS-Server befindet, der diese Anfrage beantwortet. Der
sekundäre DNS-Server vergleicht dann die Seriennummer des aktuellen
SOA-Eintrages des Quellservers mit der Seriennummer des eigenen
lokalen SOA-Eintrages. Sind diese Werte unterschiedlich, fordert der
sekundäre DNS-Server eine Zonenübertragung vom primären DNS-Server
an. Der Standardwert für dieses Feld ist 900 Sekunden (15 Minuten).
Wiederholungsintervall:
Die Zeitspanne, in Sekunden, die ein sekundärer Server wartet, bevor er
einen fehlgeschlagenen Zonentransfer zu wiederholen versucht.
Normalerweise ist diese Zeit geringer als das Aktualisierungsintervall. Der
Standardwert beträgt 600 Sekunden (10 Minuten).
TTL-Wert:
Minimum (Standard TTL) - der minimale Time-to-Live(TTL)-Wert wird auf
alle Ressourceneinträge in der Zone mit nicht angegebenen,
- 654 -
eintragsspezifischen TTLs angewendet. Dieser Wert wird den Antworten
auf Anfragen von den Servern mitgegeben, damit andere in der Zone
informiert werden, wie lange sie den Ressourceneintrag, der mit einer
Antwort enthalten ist, zwischenspeichern sollen. Der Standardwert beträgt
3600 Sekunden (1 Stunde).
Hilfe
von Zonen\Verwalten von Instanzeinträgen
MS Training
• Seite 613
- 655 -
Frage 191
Netzwerk besteht aus einer einzigen Active Directory Domäne. Auf allen
oder Windows XP Professional.
Daniel, ein Benutzer aus der globalen Gruppe MVS_Lektoren braucht
Zugriff auf die aktuellen Manuskripte eines Buches. Daniel arbeitet an
einem Windows XP Professional Client in der Niederlassung Kronach. Die
benötigten Daten liegen auf dem Datei- und Druckserver »MVSFP001« in
der Puchheimer Niederlassung. Daniel kann sich zwar zur Freigabe mit der
Bezeichnung Manuskripte verbinden, die dort befindlichen Manuskripte
aber nicht bearbeiten.
Die Berechtigungen für die Freigabe sind aktuell wie folgt gesetzt:
Gruppe
Berechtigung
Freigabe
Benutzer
Vollzugriff
NTFS
Benutzer
Lesen
NTFS
MVS_Lektoren
Lesen
NTFS
Administratoren
Lesen
NTFS
MVS_Autoren
Vollzugriff
Sie müssen sicherstellen, dass Daniel nur die notwendigsten
Berechtigungen bekommt.
Wie gehen Sie vor?
A
{
Sie fügen das Benutzerkonto Daniels der globalen
Gruppe MVS_Autoren hinzu.
B
{
Sie setzen die NTFS-Berechtigung für das Benutzerkonto
Daniels auf Ändern.
C
{
Sie ändern die Freigabeberechtigungen für die Freigabe
Manuskripte und setzen die Berechtigung Ändern für die
Gruppe der MVS_Lektoren.
D
{
Sie ändern die NTFS-Berechtigung für den freigegebenen
Ordner und setzen sie auf Ändern. Sie bearbeiten die
Berechtigung und setzen die spezielle Berechtigung
Lesen, Schreiben. Sie entfernen die NTFSBerechtigungen Löschen.
Richtige Antwort: D
- 656 -
Begründung
Wenn man die gesetzten Berechtigungen ansieht und die effektiven
Berechtigungen des Benutzerkontos von Daniel ermittelt, kommt man
zum folgenden Ergebnis: Daniel ist Mitglied in der Gruppe Benutzer und
der Gruppe MVS_Lektoren. Seine effektive Berechtigung beim Zugriff auf
die Daten in der Freigabe Manuskripte lautet: Lesen. Hier gilt der
Merksatz: „Beim Zugriff auf eine Freigabe zieht die Berechtigung mit der
höchsten Einschränkung“. Die Einschränkung kommt von den NTFSBerechtigungen, hier dürfen Daniel und alle anderen Mitglieder der Gruppe
MVS_Lektoren nur Lesen. Sie sollten dem Benutzer Daniel nur die
Berechtigungen geben, die er auch wirklich braucht. Dies wird im richtigen
Lösungsvorschlag D gemacht.
Hilfe
Zugriffssteuerung\Berechtigungen
MS Training
• Seiten 806f.
- 657 -
Frage 192
oder Windows XP Professional. Der DNS-Dienst ist auf drei Windows
Server 2003 Computern installiert, die ebenfalls Domänencontroller sind.
Die Verwaltungsstandards des Firmennetzwerkes sehen vor, dass eine
DNS-Domäne für jeden regionalen Bereich der Firma erstellt werden
muss. Ein neuer Regionalbereich mit der Bezeichnung „Thüringen“ wird
der Firma hinzugefügt. Sie müssen eine entsprechende DNS-Zone mit der
Bezeichnung THUERINGEN.MVSNET.DE erstellen.
Anforderungen:
• Alle Hostrechner müssen im DNS registriert werden.
• Alle DNS-Einträge müssen zu jeder Zeit aktuell sein, und jede
Änderung an Hostnamen oder IP-Adressen muss im DNS-Eintrag
• Wenn ein Hostrechner aus dem Netzwerk entfernt wird, muss der
entsprechende DNS-Eintrag gelöscht werden.
• Um Probleme zu verhindern, die durch doppelte Computernamen
verursacht werden, darf ein Host nicht in der Lage sein, den Eintrag
eines anderen Hosts im DNS zu überschreiben.
• Um den Verwaltungsaufwand zu verringern, sollen alle möglichen
• Um unterschiedliche Anforderungen zwischen den Abteilungen zu
ermöglichen, sollten Konfigurationsänderungen, wo möglich, nur auf
individuelle Zonen angewendet werden.
Sie müssen die Zone THUERINGEN.MVSNET.DE so konfigurieren, dass die
festgelegten Anforderungen erfüllt werden.
Welche drei Schritte müssen Sie durchführen?
- 658 -
A

Option Zone im Aktive Directory speichern
deaktiviert ist.
B

Option Zone im Aktive Directory speichern aktiviert
ist.
C

Sie aktivieren die automatische Säuberung von
veralteten Ressourceneinträgen auf allen DNS-Servern
und konfigurieren die Säuberungsoptionen in der Zone
THUERINGEN.MVSNET.DE.
D

Sie konfigurieren Einstellung wird ungültig nach für
die Zone THUERINGEN.MVSNET.DE auf einen Tag.
E

auf Nur sichere.
F

auf Sichere und Nicht sichere.
Richtige Antworten: B, C und E
Begründung
Die richtigen Lösungsvorschläge B, C und E geben die korrekten
Tätigkeiten wieder, die zur Erfüllung der Aufgabenstellung beitragen.
Altern und Bereinigen sind Prozesse, die der DNS-Dienst verwendet, um
ungültige oder nicht mehr aktuelle Einträge zu löschen.
Altern und Bereinigen sind wichtig, da ungültige oder nicht mehr aktuelle
Einträge eventuell
•
•
•
•
nicht gelöscht wurden,
Speicherplatz in der DNS-Datenbank belegen,
unnötig lange Zonenübertragungen verursachen,
als Antworten auf Anfragen versandt werden und so
Namensauflösungsprobleme bei den DNS-Clients verursachen.
Dynamische Aktualisierungen:
Eine dynamische Aktualisierung ist der Prozess eines DNS-Clients, bei dem
dynamisch dessen Einträge erstellt, registriert oder in den Zonen
aktualisiert werden, die von DNS-Servern gepflegt werden, die
Benachrichtigungen zur dynamischen Aktualisierung akzeptieren und
verarbeiten.
- 659 -
Eine sichere dynamische Aktualisierung ist ein Prozess, bei dem ein Client
eine Anforderung zur dynamischen Aktualisierung an einen DNS-Server
richtet und der versucht, die Aktualisierung nur dann durchzuführen, wenn
die Identität des Clients bestätigt ist und dieser die richtigen
Berechtigungen zur Durchführung von Updates besitzt. Sichere
dynamische Aktualisierungen sind nur in Active Directory-integrierten
Zonen verfügbar.
Speicherung:
Zonen werden auf diese Art im Active Directory-Baum unter der Domäne
oder einer Anwendungsverzeichnispartition gespeichert. Jede Active
Directory-integrierte Zone wird in einem DNS-Zonencontainerobjekt
gespeichert, das durch den Namen identifiziert wird, den Sie bei der
Erstellung der Zone vergeben.
Hilfe
DNS\Integration von Active Directory
MS Training
• Seiten 607, 608 und 682
- 660 -
Frage 193
Unternehmen registriert den DNS-Domänennamen MVSNET.DE. Die DNSDomäne MVSNET.DE beinhaltet drei Hostnameneinträge für drei Server
des Unternehmens, die aus dem Internet heraus zugreifbar sein sollen.
Einer dieser Server fungiert als Webserver, einer als FTP-Server und der
dritte als Mailserver.
Der primäre Server für die Zone MVSNET.DE ist der Windows Server 2003
Rechner »MVSDCDN01«. Dieser Server befindet sich in einem
Netzwerksegment, auf das vom Internet heraus zugegriffen werden kann.
Das Unternehmen möchte aber ebenfalls den DNS-Namensraum
MVSNET.DE verwenden, um Hosts aus dem internen Netzwerk zu
registrieren. Das interne Netzwerk wird durch eine Firewall geschützt, die
den Internetverkehr filtert. Die Sicherheitsrichtlinien des Unternehmens
schreiben vor, dass die Hostnamen im internen Netzwerk nicht durch
Anfragen aus dem Internet aufgelöst werden dürfen.
Sie installieren Windows Server 2003 auf dem Rechner »MVSDCDN02«
und konfigurieren ihn als DNS-Server. Dieser Server wird eingesetzt,
damit alle Rechner aus dem internen Netzwerk die Hostnamen des
Namensraumes MVSNET.DE auflösen können. Alle Computer des internen
Netzwerkes werden so konfiguriert, dass sie den Server »MVSDCDN02«
als ihren DNS-Server verwenden. Das Netzwerk des Unternehmens ist
konfiguriert, wie die folgende Abbildung zeigt:
Sie müssen die Server »MVSDCDN01« und »MVSDCDN02« so
konfigurieren, dass alle Rechner des internen Netzwerkes folgende
Hostnamen auflösen können:
- 661 -
• die der anderen Computer im internen Netzwerk und
• die der drei Server, auf die aus dem Internet zugegriffen werden
kann.
Welche zwei Schritte müssen Sie durchführen?
A

Sie erstellen auf dem Server »MVSDCDN02« die primäre
DNS-Zone MVSNET.DE.
B

Sie erstellen auf dem Server »MVSDCDN02« die
sekundäre DNS-Zone MVSNET.DE.
C

D

E

Sie fügen manuell Host(A)-Einträge für jeden Computer
des internen Netzwerkes der Zone MVSNET.DE auf dem
Server »MVSDCDN01« hinzu.
F

Sie fügen manuell die Host(A)-Einträge für jeden
Computer, der aus dem Internet erreichbar sein soll, der
Zone MVSNET.DE auf dem Server »MVSDCDN02« hinzu.
Richtige Antworten: A und F
Begründung
Sie wollen den Namen MVSNET.DE für ihr internes Netzwerk verwenden,
also müssen Sie eine primäre Zone mit Namen MVSNET.DE auf dem
internen Server erstellen. Dieser Punkt wird im richtigen Lösungsvorschlag
A berücksichtigt.
Damit nun der interne Server die Hostnamen der externen Server auflösen
kann, müssen Sie manuell für jeden dieser Server einen Host(A)-Eintrag
auf dem internen DNS-Server erstellen. Diesen Teil der richtigen Lösung
spiegelt der Lösungsvorschlag F wider. Da die Clients den DNS-Server
»MVSDCDN02« als ihren bevorzugten DNS-Server eingetragen haben,
sind sie jetzt in der Lage, erfolgreiche Namensauflösung für Rechner im
internen und externen Bereich der Domäne MVSNET.DE zu betreiben.
Der Lösungsvorschlag B ist falsch, weil Sie eine primäre Zone brauchen,
wo sollten die Clients und interne Server sonst ihre Namen registrieren?
Der Lösungsvorschlag C ist falsch, weil Sie keine Weiterleitung
konfigurieren müssen. Die Aufgabenstellung schreibt nicht vor, dass Sie
Hostnamen im Internet auflösen müssen. Sie müssen nur die Namen der
externen Server auflösen können.
- 662 -
Der falsche Lösungsvorschlag D würde die Möglichkeit eröffnen, interne
Namen von außen her aufzulösen. Dies widerspricht ganz klar der
Forderung der Aufgabe. Der Lösungsvorschlag E ist falsch, weil wieder ein
Widerspruch zur Aufgabenstellung vorliegt: Hier könnten externe Hosts
Hostnamen aus dem internen Netzwerk auflösen.
Hilfe
MS Training
- 663 -
Frage 194
Server 2003.
Sie verwenden ein Skript, geschrieben in Visual Basic Scripting Edition
(VBScript), um neue Benutzerkonten zu erstellen. Sie müssen das Skript
abändern und alle neuen Benutzerkonten, die mit dem Skript erstellt
wurden, aktivieren.
Um die Frage zu beantworten, ziehen Sie die benötigten Einträge aus dem
linken in den rechten Bereich.
Connecting using
LDAP
Build LDAP Path
Create Each User
Create Enable Each
Account
Hier platzieren
Set objRootDSE =
Hier platzieren
Set objContainer =
Hier platzieren
"cn=jsmith")
objUser.SetInfo
Hier platzieren
=com")
objUser.SetInfo
Richtige Antwort:
- 664 -
Connecting using
LDAP
Build LDAP Path
Create Each User
Create Enable Each
Account
Connecting using LDAP
Set objRootDSE =
Build LDAP Path
Set objContainer =
Create Each User
"cn=jsmith")
objUser.SetInfo
Create Enable Each Account
=com")
objUser.SetInfo
Begründung
Es liegt auf der Hand, an welcher Position was passiert. Selbst wenn man
keine zu tiefen Kenntnisse vom Skripting hat, ist diese Aufgabenstellung
allein durch die logische Interpretation zu lösen. Detallierte Informationen
zum Thema Skripting findet man unter dem folgenden Link:
http://www.microsoft.com/technet/scriptcenter/default.mspx.
Hilfe
MS Training
- 665 -
Frage 195
Auf allen fünf Domänencontrollern ist das Betriebssystem Windows Server
2003 installiert, auf allen Clientrechnern in der Domäne das
Betriebssystem Windows XP Professional. Es ist sichergestellt, dass alle
Kontoanmeldeereignisse überwacht werden.
Der Mitarbeiter Andreas arbeitete am Client mit der Bezeichnung
»MVSXP001«. Mit Abschluss des Projektes endete auch das
Beschäftigungsverhältnis des Mitarbeiters. Ihre Aufgabe besteht jetzt
darin, die Zeiten zu ermitteln, an denen sich der Benutzer an der Domäne
angemeldet hatte. Sie wollen das Ziel erreichen, indem Sie auf so wenige
Informationen wie möglich zugreifen.
A
{
Sicherheitsprotokoll der Ereignisanzeige nach
Ereignissen, die sich auf das betreffende Benutzerkonto
beziehen.
B
{
Sicherheitsprotokoll der Ereignisanzeige nach Einträgen,
die für das Computerkonto »MVSXP001« vorgenommen
wurden.
C
{
anzusehen. Sie verwenden die Option Suchen, um nur
die Ereignisse des Benutzerkontos von Andreas
aufzulisten.
D
{
Ereignisse für das Benutzerkonto von Andreas auflisten
zu lassen.
E
{
Ereignisse für das Computerkonto »MVSXP001« auflisten
zu lassen.
Richtige Antwort: D
- 666 -
Begründung
Wenn sich ein Benutzer an der Domäne anmeldet, wird der
Domänencontroller, der die Authentifizierung durchführt, einen Eintrag im
Sicherheitsprotokoll der Ereignisanzeige vornehmen. Voraussetzung
hierfür ist, dass die Überwachungsrichtlinie konfiguriert ist. Im Regelfall
besitzt eine Domäne auch mehrere Domänencontroller, dies bedeutet für
uns, dass Sie die Sicherheitsprotokolle aller Domänencontroller überprüfen
müssen.
Wir müssen jetzt nur noch den einfachsten Weg finden, der uns die
gewünschten Informationen darstellt. Man kann in der Ereignisanzeige
verschiedene Filter setzen, um die Informationssuche zu vereinfachen. In
unserem Fall können Sie den Filter so setzen, dass nur nach Ereignissen
eines bestimmten Benutzerkontos gesucht wird. Dies wird im richtigen
Lösungsvorschlag D wiedergegeben.
Die Lösungsvorschläge A und B können Sie gleich verwerfen, weil
Kontoanmeldereignisse auf dem Domänencontroller (der die Anmeldung
übernimmt) protokolliert werden und nicht auf dem Client. Der
Lösungsvorschlag C bringt uns auch nicht weiter, weil hier nur das nächste
Ereignis angezeigt wird, das unserem Suchkriterium entspricht. Der
ebenfalls falsche Lösungsvorschlag E hilft uns auch nicht, weil Sie gezielt
nach einer ganz bestimmten Benutzerinformation suchen.
Hilfe
• Sicherheit\Sicherheitskonfigurations-Manager\Verwendung des
Sicherheitskonfigurations-Managers\Beschreibung der
Statusprogramme\Ereignisanzeige\So wird es gemacht\Anzeigen von
Ereignisprotokollen\Suche nach bestimmten Ereignissen
MS Training
- 667 -
Frage 196
Computern.
Sicherheitsrichtlinien der Firma erlauben nur, dass SMTP-, http- und DNSVerkehr die Firewall durchquert. Außerdem müssen Sie den internen DNSServern erlauben, Namen im Internet aufzulösen. Sie müssen den SMTPund http-Verkehr durch die Firewall erlauben und die Firewall für die
benötigten Dienste und Anwendungen aktivieren.
(Um zu antworten, ziehen Sie die entsprechenden Ports auf die Firewall.)
Richtige Antwort:
- 668 -
Begründung
Um das Ziel der Aufgabenstellung zu erreichen, sind folgende Ports
freizuschalten:
Der SMTP-Port ist TCP/UPP 25, der DNS-Port TCP/UPP 53 und der httpPort TCP/UPP 80.
Hilfe
Hauptnetzwerkdienste\TCP/IP\Konzepte\Grundlegendes zu
TCP/IP\Hauptprotokolle von TCP/IP\Transmission Control Protocol
und User Datagram Protocol
MS Training
- 669 -
Frage 197
Bezeichnung MVSNET.DE. Der Server »MVSDC001« ist ein
Domänencontroller und zugleich DNS-Server.
Die Firma eröffnet eine neue Niederlassung in Cottbus. Ein Windows
Server 2003 Server mit der Bezeichnung »MVSDC002« befindet sich in
der Niederlassung. Dieser Server ist ein Domänencontroller und DNSServer.
Sie konfigurieren eine DNS-Zone für COTTBUS.MVSNET.DE auf dem
Server »MVSDC002«. Sie müssen sicherstellen, dass die Rechner in der
Domäne MVSNET.DE Hostnamen in COTTBUS.MVSNET.DE auf dem Server
»MVSDC002« auflösen können.
A

Sie fügen einen Autoritätsursprungs(SOA)-Eintrag auf
dem Server »MVSDC001« hinzu, der auf
MVSDC002.COTTBUS.MVSNET.DE verweist.
B

Sie fügen eine neue Delegation vom Server
»MVSDC002« für COTTBUS.MVSNET.DE dem Server
»MVSDC001« hinzu.
C

COTTBUS.MVSNET.DE auf dem Server »MVSDC001«
hinzu.
D

Sie fügen einen Dienst(SRV)-Eintrag auf »MVSDC001«
hinzu, der auf MVSDC002. COTTBUS.MVSNET.DE
verweist.
Begründung
Das Ziel der Aufgabenstellung kann wie in den richtigen
Lösungsvorschlägen B und C angegeben erreicht werden. Der
Lösungsvorschlag B verwendet die Delegierung. Eine Delegierung bewirkt,
dass ein DNS-Server, der selbst eine Namensauflösungsanfrage für einen
Subdomäne nicht auflösen kann, diese Anfrage an einen DNS-Server in
der Subdomäne weitergibt. Der Prozess dient der Verteilung der
Zuständigkeit für Domänennamen unter verschiedenen DNS-Servern in
Ihrem Netzwerk. In diesem Fall kann der DNS-Server »MVSDC001« die
Clientanfrage direkt an »MVSDC002« in der Subdomäne
COTTBUS.MVSNET.DE delegieren. Für jeden delegierten Domänennamen
- 670 -
muss mindestens eine Zone erstellt werden. Je mehr Zonen delegiert
werden, desto mehr Zonen müssen erstellt werden.
Der ebenfalls richtige Lösungsvorschlag C verwendet zur Lösung eine
Stubzone. Eine Stubzone ist eine Teilkopie einer Zone, die sich auf einem
DNS-Server befindet und verwendet wird, rekursive oder iterative
Abfragen aufzulösen. Stubzonen enthalten alle nötigen DNS-Informationen
einer Zone, unter anderem
• den Autoritätsursprungseintrag(SOA) der Zone,
• die DNS-Einträge, die die Autoritätsserver der Zone auflisten, und
damit verbunden A(Adressen)-Einträge, die notwendig sind, um mit
den Autoritätsservern Verbindung aufzunehmen.
Stubzonen sind im Gegensatz zu Weiterleitungen und Delegationen
dynamisch.
Der falsche Lösungsvorschlag A hilft uns nicht weiter, wenn schon, dann
müsste der SOA-Eintrag in der delegierten Zone vorhanden sein. Der
ebenfalls falsche Lösungsvorschlag D hat nichts mit der Lösung zu tun. Sie
bräuchten auf alle Fälle NS(Namensserver)-Einträge und keine SRVEinträge. SRV-Einträge erlauben das Auffinden von Servern, den Diensten
wie LDAP, Kerberos, globaler Katalog oder sogar Webdiensten.
Hilfe
MS Training
- 671 -
Frage 198
Sie sind der Administrator der Firma MVS M. Völk Systems. Das Netzwerk
besteht aus den beiden Active Directory-Domänen MVSPRESS.DE und
FIRMA.MVSPRESS.DE. Beide Domänen sind Active Directory-integriert.
Alle Domänencontroller sind auch DNS-Server.
Ein anderer Administrator erstellt zwei Anwendungspartitionen, Partition 1
und Partition 2. Die Partitionen sind so verteilt, wie in der folgenden
Tabelle gezeigt:
Servername
DNS-Zonen
Anwendungspartitionen
Nur Cache
Partition 1
FIRMA.MVSPRESS.DE
MVSPRESS.DE
Partition 2
Partition 1
FIRMA.MVSPRESS.DE
MVSPRESS.DE
Partition 2
FIRMA.MVSPRESS.DE
Partition 1
MVSPRESS.DE
Partition 2
Partition 1
FIRMA.MVSPRESS.DE
Partition 1
Sie müssen die Replikation der Zone MVSPRESS.DE konfigurieren. Dabei
müssen Sie beachten, dass Informationen der Zone MVSPRESS.DE nicht
auf Server repliziert werden, die die Informationen nur zwischenspeichern.
(Um zu antworten, konfigurieren Sie die entsprechende/n Option/en in der
Dialogbox.)
- 672 -
Richtige Antwort:
Begründung
Dies ist die Standardeinstellung in Windows 2000 Server und Windows
Server 2003. In dieser Lösung wird nur auf die MVSPRESS.DE-Server
repliziert, weil Sie nicht die Option Partition in der Replikationseinstellung
verwenden.
Dies ist eine hinterhältige Frage!
Das Speichern von Active Directory-integrierten Zonen in
Anwendungsverzeichnispartitionen im Active Directory von Windows
- 673 -
Server 2003 ermöglicht es Ihnen, eine Anwendungsverzeichnispartition zu
konfigurieren, die den Bereich der Replikation begrenzt.
In der Standardkonfiguration des Active Directory von Windows Server
2003 befinden sich DNS-Zonen in den Anwendungsverzeichnispartitionen
auf den Domänencontrollern. Durch die Speicherung von Active Directoryintegrierten Zonen in einer Anwendungsverzeichnispartition können Sie
die Anzahl der im globalen Katalog gespeicherten Objekte reduzieren und
eine Menge Replikationsverkehr zwischen den Domänen einsparen.
Dem stehen Active Directory-integrierte Zonen gegenüber, die in
Domänenverzeichnispartitionen abgespeichert werden, die an alle
Domänencontroller repliziert werden. Das Speichern von Active Directoryintegrierten Zone auf einer Anwendungsverzeichnispartition erlaubt die
Replikation auf Domänencontroller im gesamten Active Directory-Forest.
Wenn Sie Ihre Active Directory-Umgebung erstellen und den ersten
Windows Server 2003 Domänencontroller in der Gesamtstruktur aufsetzen
und DNS einrichten, werden standardmäßig zwei Windows Server 2003
Anwendungsverzeichnispartitionen erstellt: Eine gesamtstrukturweite
DNS-Anwendungsverzeichnispartition, genannt ForestDNSZones, und für
jede Domäne im Forest eine DNS-Anwendungsverzeichnispartition mit
dem Namen DomainDNSZones.
Falsch: Verwenden Sie nicht diese Option!
Im Kombinationsfeld Anwendungspartitionsverzeichnisname werden
Optionen zur Auswahl von Partition 1, Partition 2 oder Partiton 1 +
Partition 2 angeboten.
- 674 -
Diese Anwortmöglichkeit ist auch falsch!
Sie müssen die Replikation für MVSPRESS.DE so konfigurieren, dass die
Zone MVSPRESS.DE nicht auf die Cache-DNS-Server repliziert wird. Da
der Cache-DNS-Server auch ein Domänencontroller ist, dürfen Sie diese
Option nicht verwenden.
Hilfe
Directory\Grundlegendes zu Domänen und
Gesamtstrukturen\Anwendungsverzeichnispartitionen
MS Training
- 675 -
Frage 199
Sie sind der Administrator des Netzwerkes der Firma MVS M. Völk
Mitgliedsserver und vier Domänencontroller, auf denen Windows Server
2003, und 150 Clientcomputer, auf denen Windows XP Professional
ausgeführt wird. Die Domänencontroller sind ebenfalls als DNS-Server
konfiguriert.
Sie konfigurieren einen neuen UNIX-Server mit der Bezeichnung
»MVSUNIX1«, der als sekundärer DNS-Server autoritativ für die DNSZone MVSPRESS.DE ist. Sie erstellen einen Host(A)-Eintrag für
»MVSUNIX1« in der DNS-Zone.
Sie konfigurieren die DNS-Zone, um Zonenübertragungen an alle Server
zuzulassen und um den neuen UNIX-Server mit der Bezeichnung
»MVSUNIX1« unterbringen zu können.
A
{
einen Namensserver(NS)-Eintrag für den Server
»MVSUNIX1«der DNS-Zone hinzu.
B
{
»MVSUNIX1« zum Autoritätsursprungs(SOA)-Eintrag der
DNS-Zone hinzu.
C
{
einen Service(SRV)-Eintrag hinzu, der den Server
D
{
einen LDAP-Diensteintrag hinzu, der den Server
E
{
einen Alias(CNAME)-Eintrag hinzu, der den Server
Richtige Antwort: A
Begründung
Wenn DNS-Server einer Domäne hinzugefügt werden, muss man einen
NS(Namensserver)-Eintrag der Zone hinzufügen, und da der UNIX-Server
nicht in der Lage ist, diesen automatisch zu machen, muss der NS-Eintrag
manuell zu der Zone hinzugefügt werden.
- 676 -
Hilfe
• Neztwerkdienste\Verwalten der
Hauptnetzwerkdienste\DNS\Prüflisten\Prüfliste: Bereitstellen von DNS
MS Training
• Seite 584
- 677 -
Frage 200
Netzwerk besteht aus einer Verzeichnisstruktur mit der Bezeichnung
MVSPRESS.DE. Der Windows Server 2003 Server mit der Bezeichnung
»MVSDCDN1« ist der primäre DNS-Server für die Domäne MVSPRESS.DE.
Im Netzwerk ist auch ein UNIX-Server mit der Bezeichnung »MVSUNIX1«
vorhanden.
Ihre Managementassistentin Kerstin arbeitet an einem Windows XP
Professional Rechner mit der Bezeichnung »MVSWS001«. Kerstin teilt
Ihnen mit, dass sie von ihrem Arbeitsplatz aus zwar den Rechner
»MVSUNIX1« über die IP-Adresse ansprechen kann, aber nicht über
dessen FQDN. Die Verbindung zu anderen Servern im Netzwerk
funktioniert reibungslos.
Sie müssen sicherstellen, dass alle Clientcomputer sich mit dem Server
»MVSUNIX1« über dessen Namen verbinden können. Sie müssen dafür
den Verwaltungsaufwand so gering wie möglich halten.
A
{
Sie fügen einen Alias(CNAME)-Eintrag auf dem Server
verweist.
B
{
Sie fügen einen Host(A)-Eintrag auf dem Server
verweist.
C
{
Sie fügen in der Datei hosts auf jedem Clientcomputer
D
{
Sie fügen der Datei lmhosts auf jedem Clientcomputer
Richtige Antwort: B
Begründung
Diese Aufgabe ist der typische Fall einer nicht korrekt funktionierenden
Namensauflösung. Der Server »MVSUNIX1« hat Verbindung mit dem
Netzwerk und ist über seine IP-Adresse auch erreichbar. Lediglich wenn
man ihn über den FQDN ansprechen will, funktioniert das nicht. Weil aber
z. B. der Server »MVSDCDN1« über IP-Adresse und Namen
ansprechbar/erreichbar ist, kann man von einem funktionierenden DNS
ausgehen.
- 678 -
Jetzt sollte man überprüfen, ob der Server »MVSUNIX1« auch einen AEintrag auf dem DNS Server besitzt. Dieser A-Eintrag ist unerlässlich für
ein funktionierendes DNS-System. Ein Host Address Record (A), auch als
Host Record bezeichnet, verbindet einen Hostnamen mit dessen IPAdresse. Die Vermutung liegt nahe, dass der Server (weil UNIX) kein
DDNS unterstützt. Deshalb muss der A-Eintrag manuell erstellt werden.
Der falsche Lösungsvorschlag A hat nichts mit unserer Problematik zu tun.
CNAME- oder Aliaseintrag ist nur die Möglichkeit, einem Server einen
anderen Namen zu geben, um seine wahre Identität zu verschleiern. Ein
CNAME ist ohne passenden A-Eintrag nutzlos. Die beiden falschen
Lösungsvorschläge C und D stehen hier nicht zur Debatte. Hier geht es um
statische Namensauflösungen. Diese sind extrem aufwändig bezüglich der
Pflege und werden heutzutage nur in ganz besonderen Situationen
verwendet. Die Datei hosts wird für DNS-Hostnamensauflösung benutzt
und die lmhosts-Datei für NetBIOS-Namensauflösung.
Hilfe
MS Training
• Seite586
- 679 -
Frage 201
Systems. Das Firmennetzwerk besteht aus einer einzelnen Domäne mit
der Bezeichnung MVSNET.DE. Alle Server im Netzwerk werden mit
Windows Server 2003 betrieben. Die eine Hälfte der Clients führt Windows
2000 Professional aus, die andere Hälfte verfügt über Windows XP
Professional. Im Netzwerk der Domäne MVSNET.DE befindet sich der
Server »MVSDHC001«, welcher als Dynamic Host Configuration Protocol
(DHCP) Server konfiguriert ist.
Die Recherchen der Entwicklungsabteilung der Firma, sind für das
Unternehmen sehr wichtig. Damit die Benutzer dieser Abteilung ihre
Tätigkeiten durchführen können, brauchen Sie Zugang zum Internet. Sie
müssen die relevanten Dienste für eine automatische Sicherung
konfigurieren
(Wählen Sie alle zutreffenden Antworten)
A

Dienst Plug an Play für die automatische Sicherung.
B

Dienst Geschützte Ablage für die automatische
Sicherung.
C

Dienst DNS Client für die automatische Sicherung.
D

Dienst DHCP Server für die automatische Sicherung.
E

Dienst Fehlerberichterstellung für die automatische
Sicherung.
Richtige Antworten: C, D und E
Begründung
Sie müssen für eine automatische Sicherung die Dienste DNS Client,
DHCP Server und Fehlerberichterstattung(Error Reporting Service) auf
dem Server »MVSDHC001« konfigurieren, da nur diese Dienste eine
automatische Wiederherstellung unterstützen. Die in den Antworten A und
B genannten Dienste erlauben keine automatische Wiederherstellung.
- 680 -
Hilfe
• Sichern und Wiederherstellen von Daten
MS Training
• 931ff
- 681 -
Frage 202
Netzwerk besteht aus einer einzelnen Active Directory Domäne
MVSNET.DE. Das Firmennetz enthält einige Windows Server 2003 sowie
1200 Windows 2000 Professional Computer.
MVSNET.DE hat eine Finanzabteilung in Puchheim und eine
Verkaufsabteilung in Kronach. Diese Zweigstellen sind über das Internet
miteinander verbunden. Die Benutzer in diesen Abteilungen benötigen das
Internet, um wichtige Dateien herunterzuladen und um E-Mails zu
versenden.
Das Netzwerk enthält außerdem einen Server Namens »MVSIIS001«, der
eine Website und eine FTP Seite zur Verfügung stellt. Die
Geschäftsführung in Puchheim berichtet davon, dass die Antwortzeiten des
Netzwerks immer langsamer werden. Nachdem Sie Nachforschungen
angestellt haben, finden Sie heraus, dass einige Benutzer die verfügbare
Bandbreite durch FTP-Downloads ausschöpfen. Sie entscheiden sich alle
Pakete auf »MVSIIS001« abzufangen. Weiterhin wollen Sie herausfinden
für welchen Benutzer die Pakete bestimmt waren. Sie möchten sich dabei
nur die FTP Pakete anzeigen lassen.
Welches Hilfsprogramm sollten Sie verwenden?
A
{
Sie verwenden den Netzwerkmonitor mit Abfang Filter.
B
{
Sie verwenden den Netzwerkmonitor mit Anzeige Filter.
C
{
Sie verwenden den Systemmonitor mit Abfang Filter.
D
{
Sie verwenden den Systemmonitor mit Anzeige Filter.
Richtige Antwort: B
Begründung
Um die Aufgabenstellung lösen zu können, benötigen Sie den
Netzwerkmonitor mit Anzeige Filter. Sie müssen die Vollversion des
Netzwerkmonitors verwenden, die im System Management Server(SMS)
enthalten ist. Antwort A scheidet aus, da der Netzwerkmonitor mit
Abfangfilter es uns nicht erlaubt, andere Pakete als http zu sehen. Die
Antwortmöglichkeiten C und D sind falsch, da der System Monitor nicht für
das Abfangen von Paketen eingesetzt werden kann.
- 682 -
Hilfe
• Serververfügbarkeit
MS Training
• 1207ff
- 683 -
Frage 203
Firmennetzwerk besteht aus einer einzigen Active Directory Domäne die
MVSNET.DE heißt. Alle Server im Netzwerk werden mit Windows Server
2003 und alle Clients mit Windows XP Professional betrieben. Sie haben
von der Geschäftsführung den Auftrag erhalten auf dem Mitgliedsserver
»MVSSSRV001«, ein Netzwerkverzeichnis mit der Bezeichnung
Benutzerverzeichnis zu erstellen. Dieses Verzeichnis wird von den
Benutzern verwendet um Projektdokumente abzulegen. Sie müssen es
ermöglichen, dass die Benutzer auf frühere Versionen der Dokumente
zugreifen können.
Was müssen Sie tun, um den Benutzern den Zugriff zu ermöglichen?
A
{
Sie müssen die offline Einstellung für
Benutzerverzeichnis aktivieren, um alle Dokumente auch
im offline Modus abrufen zu können.
B
{
Sie müssen die Schattenkopien auf dem Datenträger,
auf dem das Netzwerkverzeichnis Benutzerverzeichnis
liegt, aktivieren.
C
{
Sie konfigurieren die Aufgabensteuerung so, dass jeden
Tag die geänderten Dokumente in ein anderes
Verzeichnis kopiert werden.
D
{
Sie konfigurieren die Sicherungsanwendung so, dass
jede Stunde eine Sicherung der geänderten Dokumente
in ein anderes Verzeichnis gesichert wird.
Richtige Antwort: B
Begründung
Schattenkopien ermöglichen es auf frühere Versionen von Dokumenten
zuzugreifen, auch wenn diese Datei gerade bearbeitet oder benutzt wird.
Je nach Einstellung der Schattenkopiesicherung können Sie auf Versionen
zurückgegriffen, die mit Datum und Zeit markiert sind. Dies ist sinnvoll
um z.B. auf Dateien zuzugreifen, die versehentlich gelöscht oder
verändert wurden. So kann man leicht den vorherigen Zustand der
Dateien wiederherstellen. Schattenkopien von Dateien werden auch dann
erstellt, wenn die Datei geöffnet ist.
Die Standardeinstellung für Schattenkopien ist die Sicherung um 7 Uhr
morgens und 12 Uhr mittags von Montag bis Freitag. Die
Wiederherstellung durch eine Schattenkopie löscht die aktuelle Version der
Datei. Wenn Sie einen ganzen Ordner wiederherstellen, so wird der Stand
des Ordners hergestellt, den Sie ausgewählt haben. Alle Änderungen, die
seit dem Zeitpunkt der Schattenkopie stattgefunden haben, werden
- 684 -
überschrieben. Falls Sie die bisherigen Änderungen nicht überschreiben
möchten, so können Sie die Schattenkopie in einem anderen Verzeichnis
wiederherstellen.
Die Offlineverfügbarkeit der Dateien spielt in diesem Szenario keine Rolle,
deshalb ist Antwort A falsch. Die Konfiguration der Aufgabensteuerung
gewährt uns nicht genügend Kontrolle über die Steuerung der Sicherung,
deshalb scheidet Antwort C aus. Antwortmöglichkeit D ist falsch, weil die
Benutzer durch die Verwendung der Sicherungsanwendungen nicht auf
frühere Versionen zugreifen können. Um die Sicherungen zurückspielen zu
können, müssten die Benutzer Sicherungsadministrationsrechte auf dem
Server besitzen.
Hilfe
MS Training
• 952ff
- 685 -
Frage 204
Alle Server im Netzwerk werden mit Windows 2000 Server betrieben. Auf
der einen Hälfte der Clients wird Windows 2000 Professional und auf der
anderen Hälfte Windows XP Professional ausgeführt.
In der Firma MVS M. Völk Systems gibt es eine Markforschungsabteilung,
welche die höchste Priorität besitzt. Auf den Computern dieser Abteilung
befinden sich betriebsinterne, kritische 16-Bit Anwendungen. Daniel ist
der Manager der Marktforschungsabteilung. Er berichtet ihnen dass die
Applikationen auf seinem Computer, mit dem Namen »MVSCLI001« sehr
langsam laufen. Sie sollen Informationen über die Performance sammeln,
um das Problem so schnell wie möglich zu lösen.
Welches Werkzeug können Sie dazu benutzen?
A
{
Sie benutzen ein Trace Log.
B
{
Sie benutzen den Systemmonitor.
C
{
Sie benutzen den Taskmanager.
D
{
Sie benutzen ein Counter Log.
Richtige Antwort: D
Begründung
Sie müssen die Leistungsdaten überwachen, welche mit einem Counter
Log aufgenommen werden können. Antwort D ist also richtig.
Weil das Trace Log den Ablauf der Systemanwendungen erfasst, kann A
nur falsch sein. Mit dem Systemmonitor kann man den Netzwerkverkehr
analysieren und mit dem Taskmanager können Sie nur Informationen über
die jetzt auf ihrem System laufenden Prozesse einsehen, was B und C
auch ausschließt.
Hilfe
• Kein Verweis
MS Training
• kein Verweis
- 686 -
Frage 205
Alle Server im Netzwerk werden mit Windows Server 2003 und alle Clients
mit Windows XP Professional betrieben. MVSNET.DE enthält zwei
Abteilungen mit den Namen Forschung und Entwicklung. Dabei befindet
sich die eine Hälfte der Clients in dem Bereich Forschung und zur anderen
Hälfte in dem Bereich Entwicklung. Auf den Computern der
Forschungsabteilung werden kritische Anwendungen von Fremdanbietern
ausgeführt.
MVSNET.DE beinhaltet einen Dateiserver Namens »MVSFPN001«. Auf dem
Datenträger Vol1, sind die Schattenkopien aktiviert. Während eines
Routinechecks stellen Sie fest, das Vol1 nahezu voll ist. Sie wollen eine
zweite Festplatte in den Server einbauen und einen neuen Datenträger mit
der Bezeichnung Vol2 erstellen. Anschließend wollen sie, dass die
Schattenkopien von Vol1 den freien Platz in Vol2 benutzen.
A

Sie verschieben die Schattenkopien von Vol1 auf Vol2.
B

Löschen Sie die Schattenkopien von Vol1 und geben Sie
Vol2 als neue Position der Schattenkopien an.
C

Geben Sie in den Einstellungen von Vol1, Vol2 als
zusätzliche Position an.
D

Teilen Sie Vol2 auf und aktivieren Sie dort die
Schattenkopien.
Richtige Antwort: B
Begründung
Solange Sie die Schattenkopien von Vol1 nicht gelöscht haben, können Sie
die Position nicht ändern. Antwort B ist also richtig, weil Sie hier als erstes
die Schattenkopien von Vol1 löschen und auf dem Datenträger Vol2 neu
positionieren.
Weil Sie die Schattenkopien nicht verschieben können ohne diese vorher
auf Vol1 gelöscht zu haben, ist Antwort A falsch. Auch Antwort C ist nicht
richtig, da die Schattenkopien nicht auf zwei oder mehrere Datenträger
aufgeteilt werden können. Antwortmöglichkeit D ist genauso falsch wie
Antwort A, die Schattenkopien müssen erst auf dem Datenträger mit der
Bezeichnung Vol1 gelöscht werden um Sie auf Vol2 als neue Position
anzugeben.
- 687 -
Hilfe
MS Training
952ff
- 688 -
Frage 206
Systems. Das Netzwerk besteht aus einer Active Directory Domäne die
MVSNET.DE heißt. Ihr Netzwerk besteht aus 10 Windows 2003 Server und
1100 Windows 2000 Professional Clients. Drei der 10 Server wurden als
Domänencontroller eingerichtet.
MVS M. Völk Systems hat eine Finanzabteilung in München und eine
Marketingabteilung in Puchheim. Weil die Benutzer dieser Abteilung
wichtige Daten herunterladen und Emails verschicken, sind Sie an das
Netzwerk angebunden. Eine neue Sicherheitsvorgabe gibt an, dass sich
Administratoren nur noch als Domänenbenutzern an der Domäne
anmelden dürfen. Wenn Administrationsrechte benötigt werden, soll der
Administrator zur Durchführung den Befehl Ausführen als verwenden.
Am nächsten Morgen berichtet Ihnen der Administrator Daniel Völk, dass
diese Vorgehensweise aber nicht funktioniert. Sie versuchen den Befehl
mit Daniel Völks Administrativen Benutzerkonto auszuführen. Sie geben
folgenden Befehl ein:
runas /user:DanielVölk replmon
Als Sie den Befehl bestätigen erhalten Sie folgende Fehlermeldung:
RUNAS ERROR: Unable to run – replmon 1058: The service cannot
be started, either because it is disabled or there are no enabled
devices associated with it.
Sie müssen den Dienst finden, der den Replikationsmonitor am starten
hindert.
Welcher der folgenden Dienste könnte die Ursache sein?
A
{
Der Dienst Secondary Logon.
B
{
Der Dienst Net Logon.
C
{
Der Dienst DNS Client.
D
{
Der Dienst DNS Server.
Richtige Antwort: A
Begründung
Der Secondary Logon Dienst erlaubt es Benutzern den Befehl Ausführen
als zu nutzen. Der Dienst Net Logon ist für die Authentifizierung von
Remote Benutzern und Diensten zuständig, deshalb scheidet Antwort B
aus. Antwort C und D scheiden aus, da der DNS Client für das auffinden
von Active Directory Domänencontrollern und das lokale auflösen von DNS
- 689 -
Anfragen zuständig ist. Der DNS Server Dienst ist die Anlaufstelle für
Namensauflösungsanfragen von DNS Clients.
Hilfe
• Kein Verweis
MS Training
• Kein Verweis
- 690 -
Frage 207
Sie arbeiten als Systemadministrator für die Firma MVS M. Völk Systems.
Das Netzwerk der Firma besteht aus einer einzigen Active Directory
Domäne die MVSNET.DE heißt. Auf allen Servern im Netzwerk ist Windows
2003 Server und auf allen Clients Windows XP Professional installiert.
MVSNET.DE enthält den Server »MVSEXC007« auf dem Exchange 2003
ausgeführt wird, sowie eigene Finanzprogramme. Alle Benutzer des
Netzwerks erhalten von diesem Server ihre Emails. »MVSEXC007« ist
folgendermaßen ausgestattet:
•
•
•
•
CPU: 2,6 MHz
RAM: 512 MB
HD: 2x 74,5 GB
LAN: 100 Mbps
»MVSEXC007« verwaltet 4000 Mailboxen. Der Geschäftsführer Michael
Völk beschwert sich über die langen Wartezeiten, wenn er größere Emails
aufrufen möchte.
Welche Komponente verursacht am wahrscheinlichsten die langen
Antwortzeiten?
A
{
Der Netzwerk Adapter.
B
{
Der Prozessor.
C
{
Die Festplatte.
D
{
Der Arbeitsspeicher.
Richtige Antwort: D
Begründung
512 MB Arbeitsspeicher sind für einen Server der 4000 Postfächer
verwaltet, sowie eigene Finanzprogramme ausführt, zu knapp bemessen.
Antwort A und B scheiden aus, weil die Bemessung der Ausstattung für
diese Aufgabe ausreichen sollte. Antwort C könnte auch ein Grund für die
Antwortzeiten sein, da die HDD sehr beschäftigt sein wird, wenn der
Arbeitsspeicher nicht ausreicht. Es wird dann im Systemmonitor
wahrscheinlich eine Auslastung von über 50% angezeigt. Bevor Sie aber
die Festplatten austauschen, sollten Sie zuerst den Arbeitsspeicher
überprüfen.
- 691 -
Hilfe
• Kein Verweis
MS Training
• 10ff
- 692 -
Frage 208
MVSNET.DE heißt. Alle Server werden mit Windows Server 2003 und alle
Client Computer mit Windows XP Professional oder Windows 2000
Professional ausgeführt.
MVSNET.DE besitzt zwei Abteilungen, die Entwicklungsabteilung und die
Forschungsabteilung. Die eine Hälfte der Client Computer gehören zur
Forschungsabteilung und die andere Hälfte zur Entwicklungsabteilung. Die
Forschungsabteilung hat für MVS M. Völk Systems die höchste Priorität.
Die Clientcomputer in der Forschungsabteilung führen kritische
Programme von Drittherstellern aus. Das Netzwerk enthält einen Server
mit dem Namen »MVSSRV007«, auf dem der freigegebene Ordner
MvsResDev liegt. Dieser Ordner wird sowohl von der Forschungsabteilung
als auch von der Entwicklungsabteilung genutzt, um wichtige Projektdaten
abzuspeichern. Alle Benutzer können in diesem Ordner die Dateien ändern
oder Änderungen rückgängig machen. Um die Dateien zu sichern,
aktivieren Sie die Schattenkopien. Einigen Benutzern in den beiden
Abteilungen ist es nicht möglich, früheren Versionen von Dateien
wiederherzustellen. Sie müssen sicherstellen, dass die Früheren Versionen
für alle Benutzer verfügbar sind.
A
{
Computern die Schattenkopien aktivieren.
B
{
Computern die „Frühere Versionen Client Software“
installieren.
C
{
Sie müssen auf »MVSSRV007« für jeden Benutzer ein
Festplattenkontingent konfigurieren.
D
{
Sie müssen auf allen Client Computern
Festplattenkontingente konfigurieren.
Richtige Antwort: B
Begründung
Damit Windows 2000 Professional Computer Schattenkopien
wiederherstellen können, benötigen Sie die Client Software für frühere
Versionen (Bei Microsoft erhältlich).
Antwort A ist falsch, weil das Aktivieren der Schattenkopien auf Clients
nicht das Problem der Benutzer beheben würde. Sie könnten auf dem
Server nach wie vor nicht auf frühere Versionen zugreifen.
- 693 -
Festplattenkontingente sind dazu da, um Festplattenplatz auf Benutzer
aufzuteilen, Deshalb sind Antwort C und D falsch.
Hilfe
• Schattenkopien
MS Training
• 962ff
- 694 -
Frage 209
Netzwerk besteht aus einer Gesamtstruktur mit zwei Active Directory
Domänen, die MVSNET.DE und MVSPRESS.MVSNET.DE heißen. Alle Server
werden mit Windows Server 2003 und alle Client Computer mit Windows
XP Professional betrieben. MVSNET.DE enthält einen Server Namens
»MVSDNS007«, der als Domain Naming Server (DNS) konfiguriert ist.
MVSNET.DE besitzt eine Marketingabteilung, die sehr wichtig für die Firma
ist. Die Benutzer dieser Abteilung müssen regelmäßig im Internet nach
Informationen für ihre Arbeit suchen.
Sie müssen eine Sicherungsoption für diesen Server konfigurieren. Wenn
ein Dienst dreimal fehlschlägt, muss der Server automatisch neu gestartet
werden. Vorher muss eine Nachricht über diesen Vorgang an alle
Computer geschickt werden, falls der Server neu gestartet werden muss.
Ein Administrator Namens Daniel meldet sich an einem Computer
(»MVSCLI010«), der in der Domäne MVSPRESS.MVSNET.DE steht an.
Eines Morgens stellt Daniel fest, dass er die Verbindung und damit alle
Änderungen an Dateien verloren hat, weil »MVSDNS007« neu gestartet
wurde. Obwohl »MVSDNS007« neu gestartet wurde, hat Daniel keine
Nachricht von dieser Aktion erhalten. Sie müssen den Grund dafür finden.
warum Daniel keine Nachricht erhalten hat.
Was war die Ursache?
A
{
Der Computer »MVSCLI010« gehört einer anderen
Domäne an als der Server »MVSDNS007«.
B
{
Der DNS Server Alarm war deaktiviert.
C
{
Auf dem Computer »MVSCLI010« war der
Nachrichtendienst deaktiviert.
D
{
Daniel Völk hat statt des Domänen Kontos ein Lokales
Konto auf »MVSCLI010« benutzt.
Richtige Antwort: C
Begründung
Daniel hat keine Nachricht erhalten, da der entsprechende Dienst
(Messenger Service) deaktiviert war. Da es keine Rolle spielt in welcher
Domäne ein Rechner steht, ist Antwort A falsch. Die Nachricht wird an alle
Computer geschickt, die mit dem Rechner verbunden sind. Antwort B hat
nichts mit der Nachrichtenübermittlung in diesem Szenario zu tun und
scheidet deshalb aus. Bei Antwort D ist es egal mit welchem Konto man
am Computer angemeldet ist, da die Nachricht nicht an den Benutzer,
sondern an den Computer geschickt wird.
- 695 -
Hilfe
• Kein Verweis
MS Training
• Kein Verweis
- 696 -
Frage 210
MVSNET.DE heißt. Alle Server sind mit Windows Server 2003 und alle
Client Computer mit Windows XP Professional ausgerüstet.
Im Firmennetzwerk befindet sich ein Webserver »MVSIIS007«, auf dem
das Intranet der Firma betrieben wird. Auf »MVSIIS007« ist IIS so
installiert und konfiguriert, dass nur sichere Kommunikation zugelassen
wird. Benutzer müssen sich an »MVSIIS007« mit Domänen Benutzername
und Kennwort authentifizieren. Diese Einstellungen funktionierten über
mehrere Monate einwandfrei, doch seit kurzen erhalten die Benutzer, die
den Internet Explorer verwenden, eine Fehlermeldung. »MVSIIS007«
reagiert sowohl mit Host Namen als auch IP Adresse auf den Ping-Befehl.
Sie sehen sich die Dienste auf »MVSIIS007« an und sehen folgendes:
- 697 -
Welche zwei Aktionen sollten Sie ausführen um es den Benutzern zu
ermöglichen wieder auf das Intranet zuzugreifen?
(Jede richtige Antwort ist ein Teil der Lösung. Wählen Sie zwei)
A
{
Starten Sie den Computer Browser Dienst auf
»MVSIIS007«.
B
{
Starten Sie den HTTP SSL Dienst auf »MVSIIS007«.
C
{
Starten Sie den Anmeldedienst auf »MVSIIS007«.
D
{
Starten Sie den Dienst Sekundäre Anmeldung auf
»MVSIIS007« neu.
E
{
Starten Sie den WebClient Dienst auf »MVSIIS007« neu.
Begründung
Der Dienst HTTP SSL muss gestartet sein, um die Verschlüsselung für IIS
nutzen zu können. Außerdem muss der Anmeldedienst (Net Logon)
gestartet sein, um die Authentifizierung durchführen zu können. Der
Computer Browser Dienst wird nicht benötigt, da die Benutzer sich seit der
Konfiguration des IIS, für den Zugriff auf das Intranet authentifizieren
mussten. Deshalb ist Antwort A falsch. Antwort D ist nicht korrekt, da es
hier um den Sekundären Anmeldedienst geht („Run As“). Dieser Dienst
wird benötigt um eine zweite Anmeldung in einer Sitzung durch den Befehl
runas ausführen zu können. Das erneute Starten des WebClient Dienstes,
wird nicht zur gewünschten Lösung beitragen, deshalb ist Antwort E
ebenfalls falsch.
Hilfe
• Kein Verweis
MS Training
Kein Verweis
- 698 -
Frage 211
Systems. Das Netzwerk der Firma besteht aus einer einzigen Active
Directory Domäne Namens MVSNET.DE. Alle Server im Netzwerk werden
mit Microsoft Windows Server 2003 und alle Client Computer mit Microsoft
Windows XP Professional als Betriebssystem betrieben.
Die Firma MVS M. Völk Systems besitzt eine Buchhaltungsabteilung, die
Daten über Transaktionen mit Kunden enthält. Diese Daten werden auf
einem Dateiserver »MVSFPN001« gespeichert. Es ist eine
Sicherheitsrichtlinie (GPO) für die Domäne implementiert, die eine
Änderung des Passworts alle 3 Monate voraussetzt. Außerdem wurde die
Sicherheitsrichtlinie so konfiguriert, dass Sie vor Angriffen schützt. Als der
Mitarbeiter Andreas Hengge aus seinem Urlaub zurückkommt, kann dieser
sich an seinem Arbeitsplatzrechner »MVSCLI132« nicht mehr an der
Domäne anmelden.
Während Sie das Problem untersuchen, entdecken Sie, dass das Passwort
von Andreas Hengge abgelaufen ist. Sie setzen sein Passwort zurück. Der
Benutzer kann sich aber trotzdem nicht an der Domäne anmelden.
A
{
Sie müssen das Benutzerkonto von Andreas Hengge
Entsperren.
B
{
Setzen Sie das Computerkonto der Arbeitsstation
»MVSCLI132« zurücksetzen.
C
{
Fahren Sie die Arbeitsstation »MVSCLI132« herunter und
starten Sie Sie erneut.
D
{
Verringern Sie die den Wert der Kontosperrschwelle.
Richtige Antwort: A
Begründung
Um die Domäne vor Angriffen zu schützen, können Sicherheitsrichtlinien
so konfiguriert werden, dass bei zu häufig fehlgeschlagenen Anmeldungen
das Konto gesperrt wird. Wie lange das Konto gesperrt bleibt, kann
ebenfalls eingestellt werden.
Antwort B ist falsch, da das Computerkonto nicht von einem gesperrten
Benutzerkonto beeinflusst wird. Aus diesem Grund ist auch Antwort C
falsch, da ein Neustart des Rechners keinen Einfluss auf ein gesperrtes
Benutzerkonto hat. Die Kontosperrschelle zu verringern ist nicht richtig,
weil diese Einstellung gesetzt wird, um das Netzwerk vor Angriffen zu
schützen. Des weiteren hätte es keine Auswirkung auf das Problem von
Andreas Hengge, da das Konto bereits gesperrt ist.
- 699 -
- 700 -
Hilfe
• GPO
MS Training
• 689ff
- 701 -
Frage 212
Die Funktionsebene der Domäne ist auf Windows Server 2003 gesetzt.
Alle Administratoren und Abteilungsleiter haben Benutzerkonten mit
ablaufenden Kennwörtern. Einige der anderen Benutzerkonten haben
ebenfalls ablaufende Kennwörter, allerdings nicht alle. Eine neue
Sicherheitsvorschrift schreibt vor, dass alle Benutzer ablaufende
Kennwörter haben müssen. Sie sollen herausfinden, welche
Benutzerkonten keine ablaufenden Kennwörter haben und diese dann der
neuen Sicherheitsvorschrift entsprechende konfigurieren. Sie wollen
diesen Vorgang mit dem geringsten Aufwand umsetzten. Sie erstellen eine
Abfrage um eine Liste mit allen Benutzern zu erhalten die der Vorschrift
noch nicht entsprechen.
Was müssen Sie als nächstes machen?
A
{
Kommagetrennte Datei und benutzen Sie ein CSVDE
bearbeiten.
B
{
Wählen Sie alle Benutzerkonten in der Ausgabe aus und
bearbeiten Sie die Passworteigenschaften gleichzeitig.
C
{
Kommagetrennte Datei und benutzen Sie ein LDIFDE
bearbeiten.
D
{
Wählen Sie jedes Benutzerkonto in der Ausgabe aus und
bearbeiten Sie die Passworteigenschaften für jedes
Benutzerkonto.
Richtige Antwort: B
Begründung
Da Sie die Aufgabe mit dem geringsten Aufwand erledigen müssen, ist
Antwort B richtig. Windows Server 2003 bietet ihnen das Feature, das Sie
mehrere Konten auswählen und gleichzeitig bearbeiten können. Diese
Einstellungen werden anschließend auf alle ausgewählten Konten
übertragen. Damit wird die neue Sicherheitsvorschrift auf alle
ausgewählten Benutzerkonten umgesetzt. In Antwort B wird genau dieser
Vorgang beschrieben.
- 702 -
Antwort A und Antwort D sind falsch, da ein Script nicht nötig ist. Das Ziel
ist schneller durch den oben genannten Vorgang zu erreichen. Ein CSVDE
Script kann nur genutzt werden um Objekte dem Active Directory
hinzuzufügen, zu löschen oder zu ändern. Eigenschaften können nicht
editiert werden. Ein LDIFDE Script wird in einer Windows Server 2000,
Windows Server 2003 und Windows XP Professional Umgebung dazu
verwendet, um Objekte zu erstellen, zu editieren oder zu löschen.
Hilfe
• GPO
MS Training
• 689ff
- 703 -
Frage 213
Die Sicherheitsvorlage der Firma schreibt vor, dass alle
Netzwerkadministratoren mit einem alternativen „Nicht-Administrator“
Benutzerkonto angemeldet sein müssen, wenn Sie keine Administrativen
Tätigkeiten ausführen. Das Netzwerk enthält einen Mitgliedsserver
»MVSSRV013«. Sie müssen einen USB Treiber auf diesem Server
aktualisieren. Sie erhalten beim aktualisieren eine Fehlermeldung, dass
Sie nicht über die nötigen Rechte verfügen. Sie müssen den Treiber
aktualisieren ohne gegen die Sicherheitsrichtlinien der Firma zu verstoßen.
A
{
Fügen Sie ihr „Nicht-Administrator“ Benutzerkonto der
Gruppe Hauptbenutzer hinzu.
B
{
Melden Sie sich ab und melden Sie sich danach mit dem
„Nicht-Administrator“ Konto wieder an.
C
{
Benutzen Sie den „Ausführen als“-Befehl in einem
Eingabefenster und verwenden Sie ihr Administratives
Benutzerkonto um den Computermanager zu öffnen.
D
{
Melden Sie sich ab und melden Sie sich danach mit
einem Domänenadministrationskonto wieder an.
Richtige Antwort: C
Begründung
Um den USB Treiber zu aktualisieren, reicht es, über ein Eingabefenster
den „Ausführen als“-Befehl („Run as“) mit dem Administrationskonto zu
nutzen. Das Abmelden und Anmelden mit dem „Nicht-Administrator“
Konto wird nicht zum Erfolg führen, da die Fehlermeldung erneut
erscheinen wird, deshalb ist Antwort B falsch.
Antwort D ist falsch, weil für die Aktualisierung des Treibers, die
Anmeldung über einen Domänenadministrator nicht nötig ist. Das
hinzufügen des Benutzerkontos zu der Gruppe der Hauptbenutzer ist nicht
genug, um die Rechte zu erhalten Geräte Treiber zu aktualisieren, deshalb
ist Antwort A falsch.
- 704 -
Hilfe
• Ausführen von administrativen Anmeldeinformationen
MS Training
• 685ff
- 705 -
Frage 214
Das Netzwerk enthält einen Mitgliedsserver »MVSSRV012«. Dieser Server
hat ein lokales Bandlaufwerk. Sie erstellten einen Sicherungsauftrag für
den Server »MVSSRV024« als Sie am Server »MVSSRV012« angemeldet
waren und das Sicherungsprogramm geöffnet hatten. Dieser
Sicherungsauftrag lief mehrere Wochen erfolgreich. MVSNET.DE
implementiert eine Sicherungslösung eines Drittherstellers. Sie möchten
den Sicherungsauftrag von »MVSSRV012« von Ihrem Arbeitsplatzrechner
aus löschen, allerdings können Sie keine Remote Desktop Verbindung
herstellen, da der Server dies nicht erlaubt.
Was müssen Sie stattdessen tun?
A
{
Verwenden Sie den Befehl schtask/delete in einem
Eingabefenster.
B
{
Verwenden Sie das NTBackup Befehlszeilen Programm.
C
{
Verwenden Sie das Zeitgesteuerte Aufgaben Programm
in den Systemeigenschaften.
D
{
Verwenden Sie das Sicherungsprogramm.
Richtige Antwort: A
Begründung
Mit dem Befehl schtask/delete kann man von seinem
Arbeitsplatzrechner aus den Zeitgesteuerten Sicherungsbefehl entfernen.
Antwort B ist falsch, weil das Befehlszeilenprogramm von NTBackup nicht
dazu benutzt werden kann, auf die zeitgesteuerten Ausführungen
zuzugreifen.
Das Benutzen von den zeitgesteuerten Aufgaben in den
Systemeigenschaften kann nicht benutzt werden, um Remote auf die
zeitgesteuerten Aufgaben zuzugreifen, deshalb ist Antwort C falsch.
Antwort D ist nicht Richtig, weil man das Sicherungsprogramm benutzen
kann um einen Computer remote zu verwalten.
- 706 -
Hilfe
• Remoteverwaltung
MS Training
• 753ff
- 707 -
Frage 215
Sie sind Netzwerkadministrator der Firma MVS M. Völk Systems. Sie
administrieren den Emailserver des Unternehmens. MVS M. Völk Systems
kauft einen neuen Windows Server 2003 Computer um Email Dienste für
das interne Netzwerk zur Verfügung zu stellen. Auf dem neuen Server
wird Microsoft Exchange Server 2003 installiert. Der neue Server wird
nicht dazu genutzt um Emails aus dem Internet zu empfangen.
Den Benutzern im internen Netzwerk muss es möglich sein den Server
über den FQDN zu erreichen.
Welche DNS Einträge müssen Sie in diesem Szenario einrichten?
A
{
Richten Sie einen PTR-Eintrag ein.
B
{
Richten Sie einen CNAME-Eintrag ein.
C
{
Richten Sie einen Host A-Eintrag ein.
D
{
Richten Sie einen SOA-Eintrag ein.
E
{
Richten Sie einen NS-Eintrag ein.
Richtige Antwort: C
Begründung
Um einen Server mit dem FQDN ansprechen zu können, ist ein Host AEintrag im DNS erforderlich, der Host A-Eintrag löst den Namen in eine IP
Adresse auf. Dieser wird in der Forward Lookup Zone des DNS Servers
hinterlegt.
Ein PTR-Eintrag wird verwendet um IP Adressen in Namen aufzulösen.
Diese Einträge werden in der Reverse Lookup Zone des DNS-Servers
gespeichert. Ein CNAME-Eintrag wird verwendet um mehrere Namen auf
dieselbe IP-Adresse zu leiten. Der SOA-Eintrag wird verwendet um den
Replikationsverkehr zwischen den DNS-Servern zu ermöglichen. Antwort D
und E sind falsch, da es sich bei dem neuen Server nicht um einen DNSServer handelt, für den diese Einträge nötig wären.
Hilfe
• Verwalten von Ressouceneinträgen
MS Training
584ff
- 708 -
Frage 216
Server im Netzwerk von MVSNET.DE laufen mit Windows Server 2003.
Weiterhin beinhaltet das MVSNET.DE Netzwerk einen DNS-Server mit dem
Namen »MVSDNS001«, der die Anfragen der Clientcomputer
entgegennimmt, um Informationen im Active Directory zu finden.
Ein Benutzer mit dem Namen David Street benutzt derzeitig einen
Clientcomputer Namens »MVSCLI291«. Er berichtet ihnen, dass es ihm
nicht möglich ist auf Ressourcen aus dem Netzwerk zuzugreifen. Nach
einer kurzen Recherche merken sie, dass das Problem aus der falschen
Namensauflösung entsteht. Sie überprüfen die Konfiguration des DNS auf
»MVSCLI291«. Außerdem testen Sie, das andere Clientcomputer ebenso
Anfragen an »MVSDNS001« senden können.
Was müssen Sie tun, um sich alle Anfragen und Rückmeldungen zwischen
»MVSCLI291« und »MVSDNS001« anzeigen zu lassen?
A
{
Aktivieren Sie debug logging auf »MVSDNS001«.
B
{
Benutzen Sie den Systemmonitor um die Anfragen und
Rückmeldungen auf »MVSDNS001« anzuzeigen.
C
{
Schauen Sie nach Fehlern des DNS-Services im Event
log von »MVSDNS001«.
D
{
Führen Sie auf »MVSCLI291« den Befehl nslookup aus.
Richtige Antwort: A
Begründung
Der DNS debug logging ist ein zusätzliches Tool, welches selbst
ausgewählte DNS Informationen sammelt. Weil es allerdings viele
Ressourcen auf dem Server verbraucht, ist es standardmäßig deaktiviert.
Debug logging ist auf dem DNS Server Level konfiguriert. Die
Einstellungen betreffen alle Zonen auf dem DNS-Server und sammeln
dabei alle Informationen im DNS Verkehr, welche Sie in den Einstellungen
vorgenommen haben. Die Aufzeichnung läuft dabei solange weiter, bis die
spezifische log File Größe erreicht ist, oder bis der Datenträger voll ist, auf
dem das log File liegt.
Da der Systemmonitor nur die Echtzeitperfomance der
Systemkomponenten, der Services und der Anwendungen zeigt, ist
Antwort B falsch. Da die Anfragen und Rückmeldungen im Event log nicht
zwangsläufig Fehler im DNS Service anzeigt, ist auch Antwort C falsch.
Der nslookup Befehl kann dazu benutzt werden, um den passenden
Hostnamen zur jeweiligen IP Adresse zu finden. Diese Option hat
allerdings mit der Fragestellung nichts zu tun.
- 709 -
Hilfe
• Debugprotokollierung
MS Training
• 595ff
- 710 -
Frage 217
Netzwerk beinhaltet eine Active Directory Domäne mit den Namen
MVSNET.DE. Das Netzwerk besteht aus vier Windows Server 2003
Computern, die als DNS Server fungieren und die Namen »MVSDNS007,
»MVSDNS008««, »MVSDNS009« und »MVSDNS010« tragen. Sie sind
dafür verantwortlich zu überprüfen, ob ein Server, der eine primäre Zone
enthält, den Prozess der Transferanfragen erfolgreich abschließen kann.
Sie müssen dafür sorgen, dass Sie eine Simulation eines Zonentransfers
von ihrem Windows 2000 Professional Computer mit den Namen
»MVSCLI010« zu tätigen, so das Sie die Informationen mit dem
Netzwerkmonitor erfassen können.
A
{
Starten Sie den Befehl ipconfig von »MVSCLI010«.
B
{
Starten Sie den Befehl nslookup ls von »MVSCLI010«.
C
{
Starten Sie den Befehl netdiag von »MVSCLI010«.
D
{
Starten Sie den Befehl netsh von »MVSCLI010«.
Richtige Antwort: B
Begründung
Wenn Sie den nslookup ls Befehl von »MVSCLI010« aus starten, wird ein
Zonentransfer simuliert. Durch die Benutzung dieses Befehls, werden
ihnen die A-Aufnahmen und die NS-Aufnahmen ausgegeben.
Der ipconfig Befehl zeigt ihnen alle TCP/IP Konfigurationen und
aktualisiert die DHCP- und DNS Einstellungen, was Antwort A ausschließt.
Auch Antwort C ist falsch, da der Befehl netdiag zum testen und beheben
von DNS Fehler dient und den Zustand der Netzwerkclients auf dem
Computer ermittelt. Netsh ist ein Befehlszeilen-ScriptingDienstprogramm, welches ihnen erlaubt, entweder lokal oder über remote,
die Netzwerkkonfigurationen eines Computers anzuzeigen oder zu
modifizieren. Somit ist Antwort D auch falsch.
Hilfe
• Zonendelegierung
MS Training
• 634ff
- 711 -
Frage 218
Netzwerk enthält eine einzige Active Directory Domäne MVSNET.DE.
Das Netzwerk beinhaltet einen DNS-Server mit dem Namen
»MVSDNS003«, der die Domäne MVSNET.DE enthält.
Sie erhalten von den Benutzern die Informationen, das die DNS
Namensauflösung über die letzten Wochen sehr langsam von statten geht.
Sie entscheiden sich bei der Fehlersuche nachzusehen, ob das
Performanceproblem an »MVSDNS003« liegen kann.
A
{
Sie lassen sich die Dynamic Update Received/sec,
Total Query Recieved/sec und Total Response
Sent/sec des DNS über den Systemmonitor anzeigen.
B
{
Sie sollten sich über das Event log die DNS Event ID2
und 3 anzeigen lassen.
C
{
Sie sollten sich über das Netzwerkinterface Bytes
Total/sec auf dem Systemmonitor anzeigen lassen.
D
{
Aktivieren Sie debug logging auf »MVSDNS003« und
Konfigurieren Sie das Log so, das alle ausgehenden und
eingehenden Packte abgefangen werden.
Richtige Antwort: A
Begründung
Der Systemmonitor gibt ihnen Statistisch Informationen über den DNS
aus, welche ihnen helfen die Performanceprobleme auf »MVSDNS003« zu
bestimmen. Der Dynamic Update Received/sec gibt ihnen die
komplette Anzahl von Anfragen und empfangenen dynamischen Updates
des DNS-Servers aus. Der Total Query Received/sec Zähler zeigt ihnen
die genaue Anzahl von Anfragen, die der DNS-Server jede Sekunde
bekommt. Der Total Response Sent/sec Zähler zeigt ihnen die genaue
Anzahl von Rückmeldungen, welche der DNS-Server jede Sekunde sendet.
Event 2 weißt darauf hin, das der DNS-Server gestartet ist und Event 3
weißt darauf hin, das der er herunter gefahren wurde. Diese Antwort ist
also falsch, da Sie nichts über die Performance auf »MVSDNS003«
aussagt. Der Systemmonitor zeigt ihnen an, ob es Probleme auf dem
Netzwerk gibt und nicht auf dem Server, was auch Antwort C ausschließt.
Schließlich ist auch Antwort D nicht richtig, weil das debug logging nicht
dazu benutzt wird um die Performanceprobleme zu diagnostizieren.
- 712 -
Hilfe
• Kein Verweis
MS Training
• Kein Verweis
- 713 -
Frage 219
Sie sind derzeitig berufstätig als DNS Administrator der Firma MVS M. Völk
Systems. MVSNET.DE ist ein Internet Service Provider, welcher
Internetseiten für verschiedene Firmen anbietet. Der DNS-Server ihrer
Firma beinhaltet mehrere DNS Zonen für ihre Kunden. Es gibt etliche
Administratoren, denen es erlaubt ist, neue DNS Zonen hinzuzufügen.
Was müssen Sie tun, um eine wöchentliche Auflistung von allen Zonen die
auf dem DNS Server liegen zu generieren?
A
{
Benutzen Sie das dnslint Utility für eine Anfrage auf
jeden DNS Server.
B
{
Benutzen Sie das dnscmd Utility für eine Anfrage auf
jeden DNS Server.
C
{
Benutzen Sie das nslookup Utility für eine Anfrage auf
jeden DNS Server.
D
{
Benutzen Sie das adsiedit Utility für eine Anfrage des
Active Directory um eine Liste der DNS Zonen zu
erhalten.
Richtige Antwort: B
Begründung
Der dnscmd /unumzones listet ihnen alle Zonen auf dem DNS-Server
auf. Daher ist Antwort B richtig. Das dnslint Utility kann dazu benutzt
werden um alle DNS Aufnahmen von einer Liste zu vergleichen. Was
Antwort A ausschließt. Antwort C ist falsch, weil das nslookup Utility alle
Aufnahmen in einer Zone auflistet, allerdings nicht die Zonen des DNS
Server selbst. Schließlich fällt Antwort D auch heraus, da das adsiedit
Utility im Active Directory dazu benutzt wird um alle Attribute zu editieren.
Hilfe
• Serververwaltung mit Hilfe von dnscmd
MS Training
• 579ff
- 714 -
Frage 220
Sie arbeiten als Netzwerkadministrator bei der Firma MVS M. Völk
Systems. Das Netzwerk beinhaltet eine Active Directory Domäne mit dem
Namen MVSNET.DE. Das Netzwerk des Unternehmens enthält zehn
Windows Server 2003 Standard Edition Computer und 1200
Clientcomputer auf denen Windows XP Professional ausgeführt wird.
Sie sind ein Mitarbeiter der Abteilung Forschung und Entwicklung. Teil
ihrer Aufgabe ist die Erstellung von Sicherheitsvorlagen für ihre Abteilung.
Ihr Account ist Mitglied bei den Domänenadministratoren. Die MVSNET.DE
Sicherheitsrichtlinien geben vor, dass alle Accounts der Abteilung
Forschung und Entwicklung, niemals gesperrt werden dürfen, da diese
sonst behindert würden, ihrer Aufgabe in ihrer Abteilung nachzukommen.
Sie arbeiten an einer Sicherheitsrichtlinie, bei der diese Bedingungen
erfüllt sind.
Was müssen Sie tun um diese Aufgabe zu bewerkstelligen?
A
{
Resetten Sie den account lockout counter nach der 0.
B
{
Setzen Sie die Beschränkung durchzusetzender
Benutzeranmeldungen auf 0.
C
{
Setzen Sie den account lockout duration auf 0.
D
{
Setzen Sie den account lockout threshold auf 0.
Richtige Antwort: D
Begründung
Wenn Sie den account lockout threshold auf 0 setzen, wird der Account
nicht mehr gesperrt, egal wie oft man versucht sich mit einem falschen
Passwort anzumelden. Die Werte 0 bis 999 sind gültig für diesen
Parameter.
Antwort A ist falsch, da dieser die Zeit in Minuten angibt, die Sie warten
müssen, um sich bei falsch angegebenen Benutzerdaten wieder anmelden
zu können. Frage B hat nichts mit der oben genannten Fragestellung zu
tun, da diese Eingabe nichts damit zu tun hat den Account zu sperren,
falls falsche Eingaben getätigt werden. Wenn die account lockout
duration auf 0 gesetzt wird, wird sichergestellt, dass nur ein
Administrator den Account wieder Entsperren kann. Also ist auch Antwort
C falsch.
- 715 -
Hilfe
• Benutzerkonten
MS Training
• 231ff
- 716 -