Microsoft - 70-640a TS: Konfigurieren von Windows Server

Microsoft - 70-640a TS: Konfigurieren von Windows Server 2008-Active Directory

Konfigurieren von DNS (Domain Name System) für Active Directory

Konfigurieren von DNS (Domain Name System) für Active Directory Frage 11

Sie sind als Netzwerkadministrator für das Unternehmen CertBase tätig. Das Firmennetzwerk besteht aus einer einzelnen Active Directory Domäne. Auf allen Domänencontrollern wird das Betriebssystem Windows Server 2008 ausgeführt. Alle Domänencontroller sind als DNS-Server konfiguriert.

Die Domäne enthält eine Active Directory-integrierte DNS-Zone.

Sie müssen sicherstellen, dass veraltete DNS-Einträge automatisch aus der DNS Zone entfernt werden.

Wie gehen Sie vor?

A Bearbeiten Sie die Eigenschaften der Zone und aktivieren Sie den Aufräumvorgang.

B Bearbeiten Sie die Eigenschaften der Zone und deaktivieren Sie dynamische Updates.

C Bearbeiten Sie die Eigenschaften der Zone und modifizieren Sie die TTL (Time to Live) des SOA-Eintrages (Autoritätsursprung).

D Verwenden Sie die Eingabeaufforderung und führen Sie den Befehl Ipconfig /flushdns aus.

Konfigurieren von DNS (Domain Name System) für Active Directory Korrekte Antwort: A

Erläuterungen:

Der DNS-Serverdienst unterstützt Features für Serveralterung und Aufräumvorgänge. Diese Features werden in Form eines Mechanismus zur Bereinigung und Entfernung von veralteten Ressourceneinträgen bereitgestellt, die im Laufe der Zeit in Zonendaten anfallen können.

Mithilfe dynamischer Updates werden Ressourceneinträge automatisch zu Zonen hinzugefügt, wenn Computer im Netzwerk gestartet werden. In einigen Fällen werden sie jedoch nicht automatisch entfernt, wenn die Com-puter das Netzwerk wieder verlassen. Wenn ein Computer beispielsweise seinen Hostressourceneintrag (A) beim Start registriert und später nicht ordnungsgemäß vom Netzwerk getrennt wird, wird sein Hostressourceneintrag (A) möglicherweise nicht gelöscht. Wenn Ihr Netzwerk mobile Benutzer und Computer aufweist, kann diese Situation häufig auftreten.

Wenn diesbezüglich nichts unternommen wird, können veraltete Ressourceneinträge in Zonendaten Probleme verursachen:

• Wenn eine große Anzahl veralteter Ressourceneinträge in den Zonen verbleibt, belegt diese mit der Zeit viel Speicherplatz auf dem Server und verursacht unnötigerweise lange Zonenübertragungen.

• DNS-Server (Domain Name System), die Zonen mit veralteten Ressourceneinträgen laden, verwenden möglicherweise veraltete Informationen zur Beantwortung von Clientabfragen, wodurch die Cliens Pro-bleme bei der Namensauflösung im Netzwerk haben können.

• Durch Ansammlung veralteter Ressourceneinträge auf dem DNS-Server kann dessen Leistung und Ant-wortbereitschaft beeinträchtigt werden.

• In manchen Fällen kann durch das Vorhandensein eines veralteten Ressourceneintrags in einer Zone verhindert werden, dass ein DNS-Domänenname von einem anderen Computer oder Hostgerät ver-wendet wird.

Zur Vermeidung dieser Probleme verfügt der DNS-Serverdienst über die folgenden Features:

• Zeitstempel, die auf dem aktuellen Datum und der Uhrzeit basieren, die auf dem Servercomputer festge-legt sind, und für Ressourceneinträge verwendet werden, die dynamisch zu primären Zonen hinzugefügt werden. Darüber hinaus werden Zeitstempel in primären Standardzonen aufgezeichnet, in denen die Serveralterung und der Aufräumvorgang aktiviert sind.

• Für Ressourceneinträge, die Sie manuell hinzufügen, wird der Zeitstempelwert 0 verwendet. Dadurch wird angegeben, dass diese Ressourceneinträge vom Alterungsprozess nicht betroffen sind und unbe-grenzt in den Zonendaten verbleiben können, es sei denn, Sie ändern den Zeitstempel oder löschen die Einträge.

• Alterung von Ressourceneinträgen in lokalen Daten, basierend auf einer angegebenen Aktualisierungs-dauer, für infrage kommende Zonen. Nur primäre Zonen, die vom DNS-Serverdienst geladen wurden, kommen für dieses Verfahren infrage.

• Aufräumvorgang für Ressourceneinträge, die nach der angegebenen Aktualisierungsdauer weiterhin be-stehen. Wenn ein DNS-Server einen Aufräumvorgang durchführt, kann er ermitteln, ob Ressourcenein-träge veraltet sind, und sie aus den Zonendaten entfernen. Sie können Server für die automatische Durchführung regelmäßiger Aufräumvorgänge konfigurieren oder auf dem Server einen Aufräumvor-gang unmittelbar initiieren.


Sie sind als Netzwerkadministrator für das Unternehmen CertBase tätig. Das Unternehmen hat eine Hauptge-schäftsstelle und eine Zweigstelle. Das Unternehmen betreibt eine Active Directory Gesamtstruktur, die eine einzelne Domäne mit dem Namen ad.certbase.de enthält.

Die Domäne ad.certbase.de enthält einen Windows Server 2008 R2 Domänencontroller mit dem Namen DC1. DC1 befindet sich in der Hauptgeschäftsstelle und ist als DNS Server für die Zone ad.certbase.de konfiguriert. Die Zone ad.certbase.de ist als primäre Standardzone konfiguriert.

Sie installieren einen neuen Domänencontroller mit dem Namen DC2 für die Zweigstelle. Anschließend instal-lieren Sie die Serverrolle DNS-Server auf DC2.

Sie müssen sicherstellen, dass der DNS Serverdienst auf DC2 auch im Falle eines Ausfalls der WAN-Verbindung DNS-Einträge aktualisieren und DNS-Abfragen auflösen kann.

Wie gehen Sie vor?

A Erstellen Sie eine neue Stubzone mit dem Namen ad.certbase.de auf DC2.

B Konfigurieren Sie den DNS Server auf DC2 für die Weiterleitung von Namensauflösungsanforderungen an DC1.

C Erstellen Sie eine neue sekundäre Standardzone mit dem Namen ad.certbase.de auf DC2.

D Konvertieren Sie die Zone ad.certbase.de auf DC1 in eine Active Directory-integrierte Zone.

Konfigurieren von DNS (Domain Name System) für Active Directory Korrekte Antwort: D

Erläuterungen:

Für Netzwerke, die DNS zur Unterstützung von AD DS bereitstellen, werden Directory-integrierte primäre Zonen dringend empfohlen. Sie bieten die folgenden Vorteile:

• DNS bietet eine Multimaster-Datenreplikation und verbesserte Sicherheit basierend auf den Funktionen von AD DS.

• In einem standardmäßigen Zonenspeichermodell werden DNS-Updates anhand eines Einzelmaster-Updatemodells durchgeführt. Bei diesem Modell wird ein einzelner autorisierender DNS-Server für eine Zone als primäre Quelle für die Zone definiert. Dieser Server verwaltet die Masterkopie der Zone in einer lo-kalen Datei. Bei diesem Modell stellt der primäre Server für die Zone die einzige feste Fehlerquelle dar. Wenn dieser Server nicht verfügbar ist, werden keine Updateanforderungen von DNS-Clients für die Zone verarbei-tet.

• Bei der Directory-integrierten Speicherung werden dynamische Updates von DNS an AD DS-integrierte DNS-Server gesendet und auf allen anderen AD DS-integrierten DNS-Servern mithilfe der AD DS-Replikation repliziert. Bei diesem Modell können alle AD DS-integrierten DNS-Server dynamische Updates für die Zone akzeptieren. Da die Masterkopie der Zone in der AD DS-Datenbank verwaltet wird, die auf al-len Domänencontrollern vollständig repliziert wird, kann die Zone von jedem DNS-Server aktualisiert wer-den, der auf einem Domänencontroller für die Domäne ausgeführt wird. Mithilfe des Multimaster-Updatemodells von AD DS kann jeder primäre Server für die Directory-integrierte Zone Anforderungen von DNS-Clients verarbeiten, um die Zone zu aktualisieren, so lange ein Domänencontroller verfügbar und über das Netzwerk erreichbar ist.

• Bei Verwendung von Directory-integrierten Zonen können Sie zudem Zugriffssteuerungslisten (Access Con-trol Lists, ACLs) verwenden, um einen dnsZone-Objektcontainer in der Verzeichnisstruktur zu sichern. Die-ses Feature ermöglicht einen genau festgelegten Zugriff auf die Zone oder auf einen Ressourceneintrag in der Zone. Eine ACL für einen Zonenressourceneintrag kann beispielsweise so eingeschränkt werden, dass dyna-mische Updates nur für einen bestimmten Clientcomputer oder eine sichere Gruppe, z. B. eine Gruppe von Domänenadministratoren, zulässig sind. Dieses Sicherheitsfeature ist für standardmäßige primäre Zonen nicht verfügbar.

• Zonen werden automatisch auf neuen Domänencontrollern repliziert und synchronisiert, sobald einer AD DS-Domäne eine neue Zone hinzugefügt wird.

• Der DNS-Serverdienst kann von einem einzelnen Domänencontroller entfernt werden. Allerdings sind die Directory-integrierten Zonen dann bereits auf jedem Domänencontroller gespeichert. Daher stellt die Zonen-speicherung und -verwaltung keine zusätzliche Ressource dar. Darüber hinaus bewirken die Methoden, die zur Synchronisierung von Informationen verwendet werden, die in AD DS gespeichert sind, eine Verbesse-rung der Leistung im Vergleich mit den standardmäßigen Zonenupdatemethoden, die mitunter eine Über-tragung der gesamten Zone erfordern können.

• Durch die Integration der Speicherung Ihrer DNS-Zonendatenbanken in AD DS können Sie die Planung der Datenbankreplikation für Ihr Netzwerk optimieren.

Konfigurieren von DNS (Domain Name System) für Active Directory • Wenn Ihr DNS-Namespace und die AD DS-Domänen einzeln gespeichert und repliziert werden, müssen Sie

diese Elemente auch einzeln planen und möglicherweise auch einzeln verwalten. Wenn Sie beispielsweise die standardmäßige DNS-Zonenspeicherung und AD DS zusammen verwenden, müssen Sie zwei verschiedene Datenbank-Replikationstopologien entwerfen, implementieren, testen und verwalten.

• Eine der Replikationstopologien wird beispielsweise zur Replikation von Verzeichnisdaten zwischen Domä-nencontrollern benötigt und die andere Topologie zur Replikation von Zonendatenbanken zwischen DNS-Servern. Dadurch kann die Planung und Entwicklung Ihres Netzwerks sowie eine künftige Erweiterung komplexer werden. Durch die Integration des DNS-Speichers werden die Speicherverwaltung und Replika-tion für DNS und AD DS vereinheitlicht und beide Komponenten in einer gemeinsamen Verwaltungseinheit zusammengeführt.

• Die Directory-integrierte Replikation ist schneller und effizienter als die Standard-DNS-Replikation. • Da die Verarbeitung der AD DS-Replikation pro Eigenschaft erfolgt, werden nur relevante Änderungen pro-

pagiert. Bei Updates für Zonen, die in AD DS gespeichert werden, werden weniger Daten verwendet und übermittelt.

Nur primäre Zonen können in AD DS gespeichert werden. Ein DNS-Server kann keine sekundären Zonen in AD DS speichern. Diese müssen in standardmäßigen Textdateien gespeichert werden. Bei Verwendung des Multimaster-Replikationsmodells von AD DS sind keine sekundären Zonen mehr erforderlich, wenn alle Zonen in AD DS gespeichert sind.


Sie sind als Netzwerkadministrator für das Unternehmen CertBase tätig. Das Firmennetzwerk besteht aus einer einzelnen Active Directory Gesamtstruktur. Die Gesamtstruktur enthält eine Domäne mit dem Namen certba-se.de. Auf allen Domänencontrollern ist das Betriebssystem Windows Server 2008 R2 installiert. Alle Domä-nencontroller sind als DNS-Server konfiguriert.

Es bestehen zwei Active Directory-integrierte DNS-Zonen mit den Namen certbase.de und traincert.de.

Sie müssen sicherstellen, dass ein Benutzer die Möglichkeit hat, Einträge in der Zone certbase.de zu ändern. Sie müssen jedoch verhindern, dass der Benutzer den SOA-Eintrag (Autoritätsursprung) der Zone traincert.de mo-difizieren kann.

Wie gehen Sie vor?

A Verwenden Sie die Konsole DNS-Manager und bearbeiten Sie die Sicherheitseinstellungen für die Zone certbase.de.

B Verwenden Sie die Konsole DNS-Manager und bearbeiten Sie die Sicherheitseinstellungen für die Zone traincert.de.

C Öffnen Sie die Konsole Active Directory-Benutzer und –Computer und starten Sie den Assistent zum Zu-weisen der Objektverwaltung.

D Öffnen Sie die Konsole Active Directory-Benutzer und –Computer und bearbeiten Sie die Sicherheitsein-stellungen der Organisationseinheit (OU) Domain Controllers.


Erläuterungen:

Standardmäßig haben Domänen-Benutzer nur lesenden Zugriff auf eine Active Directory-integrierte Zone. Wir müssen dem Benutzer die Berechtigung Schreiben - Zulassen für die Zone certbase.de erteilen, damit dieser die Möglichkeit erhält Einträge zu bearbeiten.


Sie sind als Netzwerkadministrator für das Unternehmen CertBase tätig. Das Firmennetzwerk besteht aus einer einzelnen Active Directory Domäne mit dem Namen intranet.certbase.de. Auf allen Domänencontrollern ist das Betriebssystem Windows Server 2008 mit der Serverrolle DNS-Server installiert.

Alle Computer, einschließlich Computer, die nicht zur Domäne gehören, registrieren ihre DNS-Einträge dy-namisch.

Sie müssen die Zone intranet.certbase.de so konfigurieren, dass ausschließlich Domänenmitgliedern die dyna-mische Registrierung ihrer DNS-Einträge gestattet wird.

Wie gehen Sie vor?

A Konfigurieren Sie die Funktion Dynamische Updates mit dem Wert Nur sichere.

B Aktivieren Sie die Zonenübertragung an Server, die in der Registerkarte „Namenserver“ aufgeführt sind.

C Entfernen Sie die Gruppe Authentifizierte Benutzer aus den Sicherheitseinstellungen der Zone intra-net.certbase.de.

D Verweigern Sie der Gruppe Jeder die Berechtigung Alle untergeordneten Objekte erstellen für die Zone intranet.certbase.de.


Erläuterungen:

DNS-Clientcomputer (Domain Name System) können dynamische Updates verwenden, um ihre Ressourcen-einträge auf einem DNS-Server zu registrieren und dynamisch zu aktualisieren, sobald Änderungen auftreten. Dadurch wird der manuelle Verwaltungsaufwand für Zoneneinträge speziell bei Clients verringert, die häufig verschoben werden oder den Standort wechseln und eine IP-Adresse mithilfe von DHCP (Dynamic Host Con-figuration Protocol) abrufen.

Der DNS-Clientdienst und der DNS-Serverdienst unterstützen die Verwendung von dynamischen Updates gemäß RFC 2136 (Request for Comments), in dem dynamische Updates in DNS beschrieben werden. Der DNS-Serverdienst ermöglicht die zonenweise Aktivierung oder Deaktivierung von dynamischen Updates auf jedem Server, der für das Laden einer primären Standardzone oder einer Directory-integrierten Zone konfigu-riert ist. Der DNS-Clientdienst führt standardmäßig dynamische Updates der Hostressourceneinträge (A) in DNS durch, wenn der Dienst für TCP/IP konfiguriert ist.

Dynamische Updates können sicher oder unsicher erfolgen. Die DNS-Updatesicherheit ist nur für Zonen ver-fügbar, die in den Active Directory-Domänendiensten (Active Directory Domain Services, AD DS) integriert sind.

So lassen Sie ausschließlich sichere dynamische Updates mithilfe der Windows-Benutzeroberfläche zu:

• Öffnen Sie den DNS-Manager. • Klicken Sie in der Konsolenstruktur mit der rechten Maustaste auf die betreffende Zone, und klicken

Sie dann auf Eigenschaften. • Stellen Sie sicher, dass auf der Registerkarte Allgemein der Zonentyp auf Active Directory-integriert

festgelegt ist. • Klicken Sie unter Dynamische Updates auf Nur sichere.

In der Folge können ausschließlich authentifizierte Domänenmitglieder Einträge in DNS registrieren und Ak-tualisieren.


Sie sind als Netzwerkadministrator für das Unternehmen CertBase tätig. Das Firmennetzwerk besteht aus einer Active Directory-Domänendienste Domäne mit dem Namen certbase.de. Auf allen Domänencontrollern wird Windows Server 2008 R2 ausgeführt. Alle Domänencontroller sind als DNS Server konfiguriert.

Ein Domänencontroller mit dem Namen DC1 stellt eine primäre Standardzone für den Namensraum certba-se.de. bereit. Ein Domänencontroller mit dem Namen DC2 hostet eine sekundäre Standardzone für den Na-mensraum certbase.de.

Sie müssen sicherstellen, dass die Replikation der Zonendaten verschlüsselt erfolgt.

Wie gehen Sie vor?

A Bearbeiten Sie auf beiden Servern die Schnittstelle, die vom DNS-Serverdienst abgehört wird.

B Konvertieren Sie die primäre Standardzone in eine Active Directory-integrierte Zone. Löschen Sie die se-kundäre Zone.

C Konvertieren Sie die primäre Standardzone in eine Active Directory-integrierte Stubzone. Löschen Sie die sekundäre Zone.

D Konfigurieren Sie die Einstellungen für die Zonenübertragung der primären Standardzone certbase.de. Be-arbeiten Sie die Liste der Master-DNS-Server für die sekundäre Zone.

Konfigurieren von DNS (Domain Name System) für Active Directory Korrekte Antwort: B

Erläuterungen:

Die Replikation Active Directory-integrierter Zonendaten erfolgt im Gegensatz zur Übertragung von Informa-tionen aus Standardzonen grundsätzlich verschlüsselt.


Sie sind als Netzwerkadministrator für das Unternehmen CertBase tätig. Das Unternehmen betreibt eine Active Directory Domäne mit dem Namen ad.certbase.de. Ein Partnerunternehmen, die TrainCert GmbH, betreibt eine Active Directory Domäne mit dem Namen intranet.traincert.de.

Die Sicherheitsrichtlinien der TrainCert GmbH verbieten die Übertragung von internen Zonendaten außerhalb des TrainCert Firmennetzwerkes.

Sie müssen sicherstellen, dass die Mitarbeiter von CertBase Hostnamen der Domäne intranet.traincert.de auflö-sen können.

Wie gehen Sie vor?

A Erstellen Sie eine neue Stubzone für die Domäne intranet.traincert.de.

B Konfigurieren Sie eine bedingte Weiterleitung für die Domäne intranet.traincert.de.

C Konfigurieren Sie eine sekundäre Standardzone für die Domäne intranet.traincert.de.

D Konfigurieren Sie eine Active Directory-integrierte Zone für die Domäne intranet.traincert.de.


Erläuterungen:

Eine Weiterleitung ist ein DNS-Server (Domain Name System) in einem Netzwerk, der DNS-Abfragen für externe DNS-Namen an DNS-Server außerhalb dieses Netzwerks weiterleitet. Mithilfe von bedingten Weiter-leitungen können Sie Abfragen auch anhand von bestimmten Domänennamen weiterleiten.

Sie legen einen DNS-Server in einem Netzwerk als Weiterleitung fest, indem Sie die anderen DNS-Server im Netzwerk für die Weiterleitung von Abfragen, die sie nicht lokal auflösen können, an diesen DNS-Server konfi-gurieren. Durch die Verwendung einer Weiterleitung können Sie die Namensauflösung für Namen verwalten, die sich außerhalb Ihres Netzwerks befinden, z. B. für Namen im Internet, und die Effizienz der Namensauflö-sung für die Computer in Ihrem Netzwerk steigern.

Die anderen drei Lösungsansätze (A, C und D) kommen als Lösung nicht in Frage, da in allen drei Fällen Daten der Zone intranet.traincert.de aus dem Netzwerk der Traincert GmbH zum Netzwerk von CertBase übermittelt werden müssten.


Sie sind als Netzwerkadministrator für das Unternehmen CertBase tätig. Sie administrieren einen Windows Server 2008 R2 Domänencontroller mit dem Namen DC1. DC1 ist als DNS Server konfiguriert.

Sie müssen alle eingehenden DNS-Abfragen auf DC1 protokollieren. Sie öffnen die Konsole DNS-Manager auf DC1.

Wie gehen Sie weiter vor?

A Aktivieren Sie die Debugprotokollierung.

B Aktivieren Sie den automatischen Test für einfache Abfragen.

C Aktivieren Sie den automatischen Test für rekursive Abfragen.

D Konfigurieren Sie die Ereignisprotokollierung für die Protokollierung von Fehlern und Warnungen.


Erläuterungen:

Die DNS-Server-Debugprotokollierungsoptionen ermöglichen eine detailierte Konfiguration zur Überwachung und Protokollierung des Datenverkehrs mit dem DNS Server. Unter anderem lassen sich die Paketrichtung, Paketinhalt und das Transportprotokoll als Filter für die Protokollierung einstellen.


Sie sind als Netzwerkadministrator für das Unternehmen CertBase tätig. Das Unternehmen hat eine Hauptge-schäftsstelle und eine Zweigstelle. Das Firmennetzwerk besteht aus einer einzelnen Active Directory Gesamt-struktur mit dem Namen certbase.de.

Die Hauptgeschäftsstelle verfügt über zwei Windows Server 2008 R2 Domänencontroller mit den Namen DC1 und DC2. Die Zweigstelle verfügt über einen schreibgeschützten Windows Server 2008 R2 Domänencontroller (RODC) mit dem Namen DC3.

Auf allen Domänencontrollern ist die Serverrolle DNS-Server installiert. Die DNS Zonen sind als Active Direc-tory-integrierte Zonen konfiguriert und erlauben nur sichere Updates.

Sie müssen dynamische DNS Updates auf DC3 aktivieren.

Wie gehen Sie vor?

A Führen Sie auf DC3 den Befehl Ntdsutil.exe /DS Behavior aus.

B Führen Sie auf DC3 den Befehl Dnscmd.exe /ZoneResetType aus.

C Installieren Sie die Active Directory-Domänendienste auf DC3 erneut und konfigurieren Sie den Server als beschreibbaren Domänencontroller.

D Erstellen Sie auf DC3 eine benutzerdefinierte Anwendungsverzeichnispartition. Konfigurieren Sie die Parti-tion für das Speichern von Active Directory-integrierten Zonen.

Konfigurieren von DNS (Domain Name System) für Active Directory Korrekte Antwort: C

Erläuterungen:

Mit Windows Server 2008 wurde der schreibgeschützte Domänencontroller (Read-Only Domain Controller, RODC) als neuer Domänencontrollertyp eingeführt. Ein RODC stellt letztlich eine Schattenkopie eines Do-mänencontrollers bereit. Sie können ihn an Standorten installieren, an denen die physische Sicherheit nicht garantiert werden kann, etwa in Zweigstellenbüros.

Zur Unterstützung von RODCs unterstützt der DNS-Server unter Windows Server 2008 und Windows Server 2008 R2 einen neuen Typ von Zone, die primäre schreibgeschützte Zone (bisweilen auch als Zweigstellenzone bezeichnet). Die primäre schreibgeschützte Zone wird automatisch erstellt, wenn ein Computer mit der Rolle DNS-Server zu einem RODC heraufgestuft wird. Die Zone enthält eine schreibgeschützte Kopie der DNS-Daten, die in der schreibgeschützten Active Directory-Domänendienstdatenbank auf dem RODC gespeichert ist.

Die beschreibbare Version der Daten ist auf einem zentralen Domänencontroller gespeichert, z. B. auf einem Domänencontroller am Hubstandort. Die DNS-Zonendaten auf dem RODC werden aktualisiert, wenn die DNS-Daten von den zentralen Domänencontrollern auf den RODC nach dem konfigurierten Replikationsplan repliziert werden.

Der Administrator des RODC kann den Inhalt der schreibgeschützten primären Zone anzeigen, jedoch können die Zonendaten nur von einem Domänenadministrator mit entsprechenden Berechtigungen für den zentralen Domänencontroller geändert werden.


Sie sind als Netzwerkadministrator für das Unternehmen CertBase tätig. Das Firmennetzwerk besteht aus einer einzelnen Active Directory Domäne mit dem Namen ad.certbase.de. Die Domäne enthält zwei Windows Server 2008 R2 Domänencontroller mit den Namen DC1 und DC2. Auf beiden Domänencontrollern ist die Server-rolle DNS-Server installiert.

Sie installieren einen neuen DNS-Server mit dem Namen dns1.certbase.de im Umkreisnetzwerk des Unter-nehmens. Anschließend konfigurieren Sie DC1 für die Weiterleitung aller nicht aufgelösten Namensauflö-sungsanfragen an dns1.certbase.de.

Sie stellen fest, dass die Optionen für die DNS-Weiterleitung auf DC2 nicht verfügbar sind.

Sie müssen den DNS-Server auf DC2 mit einer Weiterleitung an dns1.certbase.de konfigurieren.

Welche zwei Schritte werden Sie durchführen? (Jede korrekte Antwort stellt einen Teil der Lösung dar. Wählen Sie zwei Antworten.)

A Leeren Sie den DNS-Cache auf DC2.

B Löschen Sie die Stammzone (.) auf DC2.

C Konfigurieren Sie die Weiterleitung auf DC2.

D Konfigurieren Sie die Option Folgende Adressen abhören auf DC2.

Konfigurieren von DNS (Domain Name System) für Active Directory Korrekte Antwort: B, C

Erläuterungen:

Sie können auf einem DNS-Server eine Stammzone (Root Zone) mit der Bezeichnung .(Stamm) erstellen, um den Server als Stammserver für das interne Netzwerk zu konfigurieren. Da ein Stammserver keine übergeordne-ten Server bzw. Zonen kennt und in der DNS-Hierarchie an oberster Stelle steht, werden in diesem Fall keine Weiterleitungen unterstützt.

Bevor Weiterleitungen erstellt werden können, muss zunächst die Stammzone entfernt werden.


Sie sind als Netzwerkadministrator für das Unternehmen CertBase tätig. Das Firmennetzwerk besteht aus einer einzelnen Active Directory Gesamtstruktur mit dem Namen certbase.de. Auf allen Servercomputern ist das Be-triebssystem Windows Server 2008 R2 installiert. Alle Domänencontroller sind als DNS-Server konfiguriert.

Die DNS Zone certbase.de ist in der Active Directory Anwendungsverzeichnispartition ForestDNSZones ge-speichert. Auf einem Mitgliedsserver ist eine primäre Standardzone für den Namensraum dev.certbase.de ge-speichert.

Sie müssen sicherstellen, dass alle Domänencontroller Hostnamen aus dem Namensraum dev.certbase.de auflö-sen können.

Wie gehen Sie vor?

A Erstellen Sie einen neuen Namenserver (NS) Eintrag in der Zone certbase.de.

B Erstellen Sie eine neue Delegierung in der Zone certbase.de.

C Erstellen Sie eine sekundäre Standardzone auf einem globalen Katalogserver (GC).

D Bearbeiten Sie die Eigenschaften des SOA (Start of Authority, Autoritätsursprung) Eintrages der Zone cert-base.de.


Erläuterungen:

In DNS (Domain Name System) ist es möglich, den Namespace in eine oder mehrere Zonen zu unterteilen, die dann auf anderen DNS-Servern gespeichert, verteilt und repliziert werden können. Wenn Sie entscheiden, ob Sie Ihren DNS-Namespace unterteilen sollen, um zusätzliche Zonen zu erstellen, sollten Sie die folgenden Gründe für eine Verwendung zusätzlicher Zonen berücksichtigen:

Sie möchten die Verwaltung eines Teils des DNS-Namespace an einen anderen Standort oder an eine andere Abteilung in Ihrem Unternehmen delegieren.

Sie möchten eine große Zone in kleinere Zonen unterteilen, um den Datenverkehr auf mehrere Server aufzu-teilen, die Leistung der DNS-Namensauflösung zu verbessern oder eine DNS-Umgebung mit einer besseren Fehlertoleranz zu erstellen.

Sie möchten den Namespace durch gleichzeitiges Hinzufügen mehrerer untergeordneter Domänen erweitern, beispielsweise bei Eröffnung einer neuen Filiale oder Einrichtung eines neuen Standorts.

Wenn Sie aus einem oder mehreren der oben genannten Gründe von einer Zonendelegierung profitieren kön-nen, ist es sinnvoll, Ihren Namespace durch das Hinzufügen weiterer Zonen neu zu strukturieren. Verwenden Sie zur Entscheidung für ein neue Zonenstruktur einen Plan, der der Struktur Ihres Unternehmens entspricht.

Wenn Sie Zonen innerhalb Ihres Namespace delegieren, müssen Sie beachten, dass für jede neue Zone, die Sie erstellen, in anderen Zonen Delegierungseinträge benötigt werden, die auf die autorisierenden DNS-Server für die neue Zone verweisen. Dies ist sowohl für die Übertragung der Autorität als auch für die Bereitstellung rich-tiger Verweise auf andere DNS-Server und die Clients der neuen Server erforderlich, die als autorisierende Ser-ver für die neue Zone verwendet werden.


Sie sind als Netzwerkadministrator für das Unternehmen CertBase tätig. Das Firmennetzwerk besteht aus einer einzelnen Active Directory-Domänendienste Domäne mit dem Namen certbase.de. Die Domäne enthält 10 Domänencontroller. Auf allen Domänencontrollern wird Windows Server 2008 R2 ausgeführt. Alle Domänen-controller sind als DNS-Server konfiguriert.

Sie planen die Erstellung einer neuen Active Directory-integrierten Zone. Sie müssen sicherstellen, dass die neue Zone nur auf vier ausgewählte Domänencontroller repliziert wird.

Welchen Schritt werden Sie als Erstes durchführen?

A Erstellen Sie eine neue Delegierung in der Anwendungsverzeichnispartition ForestDnsZones.

B Erstellen Sie eine neue Delegierung in der Anwendungsverzeichnispartition DomainDnsZones.

C Verwenden Sie die Eingabeaufforderung und führen Sie den Befehl Dnscmd.exe mit dem Parameter /EnlistDirectoryPartition aus.

D Verwenden Sie die Eingabeaufforderung und führen Sie den Befehl Dnscmd.exe mit dem Parameter /CreateDirectoryPartition aus.


Erläuterungen:

DNS-Zonen (Domain Name System) können in den Domänen- oder Anwendungsverzeichnispartitionen der Active Directory-Domänendienste (Active Directory Domain Services, AD DS) gespeichert werden. Eine Parti-tion ist eine Datenstruktur in AD DS, mit der Daten für verschiedene Replikationszwecke unterschieden wer-den. Wenn Sie eine Anwendungsverzeichnispartition für DNS erstellen, können Sie den Replikationsbereich für die Zone überwachen, die in dieser Partition gespeichert ist.

So erstellen Sie eine DNS-Anwendungsverzeichnispartition:

1. Öffnen Sie eine Eingabeaufforderung. 2. Geben Sie den folgenden Befehl ein, und drücken Sie dann die EINGABETASTE:

dnscmd [Servername] /CreateDirectoryPartition [FQDN] Dnscmd.exe gibt den Namen des Befehlszeilentools für die DNS-Serververwaltung an.

Servername gibt den DNS-Hostnamen des DNS-Servers an. Sie können auch die IP-Adresse des DNS-Servers eingeben. Sie können auch einen Punkt (.) eingeben, um den DNS-Server auf dem lokalen Computer anzuge-ben.

CreateDirectoryPartition erstellt eine DNS-Anwendungsverzeichnispartition.

FQDN gibt den Namen der neuen DNS-Anwendungsverzeichnispartition an. Hierbei müssen Sie den vollqua-lifizierten DNS-Domänennamen (FQDN, Fully Qualified Domain Name) verwenden.

Nachdem Sie eine DNS-Anwendungsverzeichnispartition (Domain Name System) für die Speicherung einer Zone erstellt haben, müssen Sie den DNS-Server, der als Host für die Zone dient, in die Anwendungsverzeich-nispartition eintragen. Hierzu wird der Parameter /EnlistDirectoryPartition verwendet.

So tragen Sie einen DNS-Server in eine DNS-Anwendungsverzeichnispartition ein:

1. Öffnen Sie eine Eingabeaufforderung. 2. Geben Sie den folgenden Befehl ein, und drücken Sie dann die EINGABETASTE:

dnscmd [Servername] /EnlistDirectoryPartition [FQDN]


Sie sind als Netzwerkadministrator für das Unternehmen CertBase tätig. Das Firmennetzwerk besteht aus einer Active Directory-Domänendienste (AD DS) Domäne mit dem Namen certbase.de. Sie administrieren einen Windows Server 2008 R2 Domänencontroller mit dem Namen DC1. DC1 ist als DNS-Server für die Domäne certbase.de konfiguriert.

Sie installieren die Serverrolle DNS-Server auf einem Windows Server 2008 R2 Mitgliedsserver mit dem Na-men Server1. Anschließend erstellen Sie eine sekundäre Standardzone für den Namensraum certbase.de und legen DC1 als Masterserver fest.

Sie müssen sicherstellen, dass Server1 Zonenaktualisierungen von DC1 erhält.

Wie gehen Sie vor?

A Ergänzen Sie eine bedingte Weiterleitung auf Server1.

B Bearbeiten Sie die Sicherheitseinstellungen für die Zone certbase.de auf DC1.

C Bearbeiten Sie die Einstellungen für Zonenübertragungen für die Zone certbase.de auf DC1.

D Nehmen Sie das Computerkonto von Server1 in die Sicherheitsgruppe DnsUpdateProxy auf.


Erläuterungen:

Auf der Registerkarte Zonenübertragungen in den Eigenschaften einer Zone können Sie die Replikation von Zonendaten auf andere Servern aktivieren und angeben, welche Server Zonendaten empfangen können.


Sie sind als Netzwerkadministrator für das Unternehmen CertBase tätig. Das Firmennetzwerk besteht aus einer einzelnen Active Directory Domäne mit dem Namen certbase.de. Das Netzwerk enthält zwei Windows Server 2008 R2 DNS-Server mit den Namen DNS1 und DNS2.

Die Konfiguration der DNS-Server wird in der Abbildung gezeigt (klicken Sie auf die Schaltfläche Zeichnung).

Domänenbenutzer, die DNS2 als bevorzugten DNS-Server verwenden, sind nicht in der Lage, Verbindungen mit Websites im Internet herzustellen.

Sie müssen die Auflösung von Internetnamen für alle Clientcomputer sicherstellen.

Wie gehen Sie vor?

A Erstellen Sie auf DNS1 eine Kopie der Zone .(Stamm).

B Aktualisieren Sie die Liste der Stammhinweise auf DNS2.

C Aktualisieren Sie die Datei Cache.dns auf DNS2 und konfigurieren Sie auf DNS1 eine bedingte Weiterlei-tung.

D Entfernen Sie die Zone .(Stamm) auf DNS2. Konfigurieren Sie auf DNS2 eine Weiterleitung.


Erläuterungen:

Unter bestimmten Bedingungen wird bei der Installation von DNS automatisch eine Stammzone (.(Stamm)) erstellt. Der DNS Server wird dadurch als Server der obersten Hierarchieebene gekennzeichnet. Die Stamm-hinweise und die Möglichkeit für die Konfiguration von Weiterleitungen werden automatisch deaktiviert.

Um die Stammhinweise oder eine Weiterleitung für die Auflösung von externen Namen zu verwenden, muss die Stammzone zunächst gelöscht werden.


Sie sind als Netzwerkadministrator für das Unternehmen CertBase tätig. Das Unternehmen hat zwei Active Directory Gesamtstrukturen mit den Namen certbase.de und traincert.de.

Das Netzwerk enthält drei DNS Server mit den Namen DNS1, DNS2 und DNS3. Die Konfiguration der drei Server wird in der Abbildung dargestellt (klicken Sie auf die Schaltfläche Zeichnung).

Alle Computer, die zur Domäne traincert.de gehören, haben DNS3 als bevorzugten DNS Server eingetragen. Alle anderen Computer verwenden DNS1 als bevorzugten DNS Server.

Benutzer der Domäne traincert.de sind nicht in der Lage, Verbindungen mit Servercomputern der Domäne certbase.de herzustellen.

Sie müssen sicherstellen, dass Benutzer der Domäne traincert.de erfolgreich Namen aus dem Namensraum certbase.de auflösen können.

Wie gehen Sie vor?

A Erstellen Sie auf DNS3 eine Kopie der Zone _msdcs.certbase.de.

B Erstellen Sie auf DNS1 und DNS2 eine Kopie der Zone traincert.de.

C Erstellen Sie auf DNS3 eine bedingte Weiterleitung für Abfragen der Domäne certbase.de an DNS1.

D Erstellen Sie auf DNS1 und DNS2 jeweils eine bedingte Weiterleitung für Abfragen der Domäne train-cert.de an DNS3.


Erläuterungen:

Eine Weiterleitung ist ein DNS-Server (Domain Name System) in einem Netzwerk, der DNS-Abfragen für externe DNS-Namen an DNS-Server außerhalb dieses Netzwerks weiterleitet. Mithilfe von bedingten Weiter-leitungen können Sie Abfragen auch anhand von bestimmten Domänennamen weiterleiten.

Sie legen einen DNS-Server in einem Netzwerk als Weiterleitung fest, indem Sie die anderen DNS-Server im Netzwerk für die Weiterleitung von Abfragen, die sie nicht lokal auflösen können, an diesen DNS-Server konfi-gurieren. Durch die Verwendung einer Weiterleitung können Sie die Namensauflösung für Namen verwalten, die sich außerhalb Ihres Netzwerks befinden, z. B. für Namen im Internet, und die Effizienz der Namensauflö-sung für die Computer in Ihrem Netzwerk steigern.


Sie sind als Netzwerkadministrator für das Unternehmen CertBase tätig. Das Firmennetzwerk besteht aus einer Active Directory Gesamtstruktur. Auf allen Domänencontrollern ist das Betriebssystem Windows Server 2008 R2 installiert. Alle Domänencontroller sind als DNS Server konfiguriert.

Sie verwalten eine Active Directory integrierte Zone für den Namensraum certbase.de. Das Netzwerk enthält einen Unix basierten DNS Server.

Sie müssen Ihre Windows Server 2008 R2 Umgebung so konfigurieren, dass Zonenübertragungen für die Zone certbase.de auf den Unix basierten DNS Server ermöglicht werden.

Welchen Schritt werden Sie mit Hilfe der Konsole DNS Manager ausführen?

A Deaktivieren Sie die Rekursion.

B Erstellen Sie eine Stubzone.

C Erstellen Sie eine sekundäre Zone.

D Aktivieren Sie die Serveroption BIND-Sekundärzonen.


Erläuterungen:

Da der DNS-Serverdienst unter Windows Server 2008 R2 RFC-kompatibel ist und standardmäßige DNS-Datendateien und Ressourceneintragsformate verwenden kann, kann er mit den meisten anderen DNS-Serverimplementierungen zusammenarbeiten, z. B. mit Implementierungen, die die BIND-Software (Berkeley Internet Name Domain) verwenden.

Um Zonenübertragungen auf BIND DNS-Server zu ermöglichen, muss die Serveroption BIND-Sekundärzonen in den erweiterten Eigenschaften des DNS-Servers aktiviert werden.


Sie sind als Netzwerkadministrator für das Unternehmen CertBase tätig. Das Unternehmen betreibt einen DNS-Server auf dem 10 Active Directory-integrierte Zonen gespeichert sind.

Sie müssen der Sicherheitsabteilung Dateien mit Kopien der DNS-Zonen übermitteln.

Wie gehen Sie vor?

A Führen Sie den Befehl Dnscmd /ZoneInfo aus.

B Führen Sie den Befehl Ipconfig /RegisterDNS aus.

C Führen Sie den Befehl Dnscmd /ZoneExport aus.

D Führen Sie die Befehlsfolge Ntdsutil > Patition Management > List aus.


Erläuterungen:

DnsCMD.exe bietet eine Befehlszeilenschnittstelle für die DNS-Serververwaltung. Dieses Dienstprogramm erleichtert Ihnen das Verfassen von Skripts für Batchdateien zur Automatisierung von routinemäßigen DNS-Verwaltungsaufgaben oder zur Durchführung einfacher unbeaufsichtigter Installations- und Konfigurations-schritte für neue DNS-Server im Netzwerk.

Für den Export der Informationen einer Active Directory-integrierten Zone können Sie beispielsweise folgen-den Befehl verwenden:

Dnscmd.exe /ZoneExport certbase.de MeineZone.txt

Die gespeicherte Textdatei finden Sie anschließend im Verzeichnis C:\Windows\System32\DNS.


Sie sind als Netzwerkadministrator für das Unternehmen CertBase tätig. Das Firmennetzwerk besteht aus einer Active Directory-Domänendienste (AD DS) Domäne mit dem Namen certbase.de. Sie administrieren einen Domänencontroller und einen Mitgliedsserver. Auf beiden Computern ist das Betriebssystem Windows Server 2008 R2 installiert.

Beide Servercomputer sind als DNS-Server konfiguriert. Auf dem Domänencontroller wird eine primäre Stan-dardzone gehostet. Der Mitgliedsserver hostet eine sekundäre Kopie der Zone.

Auf den Clientcomputern wird entweder Windows XP Professional Service Pack 3 (SP3) oder Windows 7 aus-geführt.

Sie müssen sicherstellen, dass ausschließlich authentifizierte Benutzer Host (A) Einträge der DNS Zone aktuali-sieren können.

Welchen Schritt werden Sie als Erstes ausführen?

A Konfigurieren Sie auf dem Mitgliedsserver eine bedingte Weiterleitung.

B Installieren Sie die Active Directory-Domänendienste auf dem Mitgliedsserver.

C Nehmen Sie beide Computer in die Gruppe DNSUpdateProxy auf.

D Konvertieren Sie die primäre Standardzone in eine Active Directory-integrierte Zone.


Erläuterungen:

DNS-Clientcomputer (Domain Name System) können dynamische Updates verwenden, um ihre Ressourcen-einträge auf einem DNS-Server zu registrieren und dynamisch zu aktualisieren, sobald Änderungen auftreten. Dadurch wird der manuelle Verwaltungsaufwand für Zoneneinträge speziell bei Clients verringert, die häufig verschoben werden oder den Standort wechseln und eine IP-Adresse mithilfe von DHCP (Dynamic Host Con-figuration Protocol) abrufen.

Dynamische Updates können sicher oder unsicher erfolgen. Die DNS-Updatesicherheit ist nur für Zonen ver-fügbar, die in den Active Directory-Domänendiensten (Active Directory Domain Services, AD DS) integriert sind. Wenn Sie eine Zone in AD DS integrieren, stehen Ihnen im DNS-Manager Features für die Bearbeitung der Zugriffssteuerungsliste (Access Control List, ACL) zur Verfügung, mit denen Sie in der Zugriffssteuerungs-liste für eine angegebene Zone oder einen Ressourceneintrag Benutzer oder Gruppen hinzufügen oder entfernen können.


Sie sind als Netzwerkadministrator für das Unternehmen CertBase tätig. Das Firmennetzwerk umfasst zwei Windows Server 2008 R2 Domänencontroller, die als interne DNS-Server konfiguriert sind. Alle Zonen auf den beiden Domänencontrollern sind als Active Directory-integrierte Zonen konfiguriert und erlauben dynami-sche Updates.

Sie stellen fest, dass die Zone certbase.de mehrere Einträge für Hostnamen enthält, die schon länger nicht mehr existieren.

Sie müssen die Zone certbase.de so konfigurieren, dass abgelaufene Einträge automatisch entfernt werden.

Wie gehen Sie vor?

A Konfigurieren Sie die Zone certbase.de so, dass nur sichere dynamische Updates zugelassen werden.

B Aktivieren Sie die Serveralterung und konfigurieren Sie das Aktualisierungsintervall für die Zone certbase.de.

C Öffnen Sie das Register Autoritätsursprung (SOA) der Zone certbase.de und verringern Sie das Aktualisie-rungsintervall.

D Öffnen Sie das Register Autoritätsursprung (SOA) der Zone certbase.de und erhöhen Sie den Wert der Option Läuft ab nach.


Erläuterungen:



Wenn ein DNS-Server einen Aufräumvorgang durchführt, kann er ermitteln, ob Ressourceneinträge veraltet sind, und sie aus den Zonendaten entfernen. Sie können Server für die automatische Durchführung regelmäßi-ger Aufräumvorgänge konfigurieren oder auf dem Server einen Aufräumvorgang unmittelbar initiieren.

Der Serveralterungs- und Aufräummechanismus für den DNS-Serverdienst ist standardmäßig deaktiviert.


Sie sind als Netzwerkadministrator für das Unternehmen CertBase tätig. Das Firmennetzwerk besteht aus einer Active Directory-Domänendienste Domäne mit dem Namen certbase.de. Das Unternehmen betreibt eine Hauptgeschäftsstelle und eine Zweigniederlassung. Auf allen Servercomputern ist das Betriebssystem Windows Server 2008 R2 installiert.

Die Hauptgeschäftsstelle umfasst einen DNS-Server mit dem Namen DNS1. DNS1 ist mit einer Active Direc-tory-integrierten Zone mit dem Namen certbase.de konfiguriert. Die Zweigstelle umfasst einen DNS-Server mit dem Namen DNS2. DNS2 hostet eine sekundäre Zone für den Namensraum certbase.de. Die beiden Standorte sind über eine unzuverlässige WAN-Verbindung miteinander verbunden.

Sie stellen in der Hauptgeschäftsstelle einen neuen Server auf. Fünf Minuten nachdem Sie den neuen Server aufgestellt haben, meldet sich bereits ein Benutzer der Zweigstelle und berichtet, dass er keine Verbindung mit dem neuen Server herstellen kann.

Sie müssen sicherstellen, dass die Benutzer der Zweigstelle Verbindungen mit dem neuen Server in der Haupt-geschäftsstelle herstellen können.

Wie gehen Sie vor?

A Leeren Sie den Cache auf DNS2.

B Führen Sie die Aktion Neu laden für die Zone auf DNS1 durch.

C Führen Sie die Aktion Übertragung vom Master für die Zone auf DNS2 durch.

D Exportieren Sie die Zonendaten auf DNS1 und importieren Sie die Daten anschließend auf DNS2.


Erläuterungen:

Für sekundäre Zonen können Sie die folgenden Aktionen durchführen:

• NEU LADEN - Mit diesem Vorgang wird die Zone aus dem lokalen Speicher des DNS-Servers gela-den, der sie hostet.

• ÜBERTRAGUNG VOM MASTER - Der DNS-Server, der die Zone hostet, stellt fest, ob die Serien-nummer im SOA-Ressourceneintrag der Stubzone abgelaufen ist, und führt darauf hin eine Zonenüber-tragung vom Masterserver der Zone durch.

• ERNEUT VOM MASTER ÜBERTRAGEN - Mit dieser Operation wird ungeachtet der Seriennum-mer im SOA-Ressourceneintrag der Zone eine Zonenübertragung vom Masterserver der Zone durchge-führt.


Sie sind als Netzwerkadministrator für das Unternehmen CertBase tätig. Das Firmennetzwerk besteht aus einer Active Directory Gesamtstruktur mit zwei Domänen. Auf allen Servercomputern wird Windows Server 2008 R2 ausgeführt. Alle Domänencontroller sind als DNS-Server konfiguriert.

Auf einem Mitgliedsserver wird eine primäre Standardzone für den Namensraum dev.certbase.de gehostet. Sie müssen sicherstellen, dass alle Domänencontroller Namen der Zone dev.certbase.de auflösen können.

Wie gehen Sie vor?

A Erstellen Sie auf dem Mitgliedsserver eine Stubzone.

B Erstellen Sie auf dem Mitgliedsserver für jeden Domänencontroller einen Namensserver (NS) Eintrag.

C Erstellen Sie auf einem Domänencontroller eine bedingte Weiterleitung. Speichern Sie die bedingte Weiter-leitung in Active Directory und legen Sie fest, dass die Weiterleitung auf alle DNS-Server der Gesamtstruk-tur repliziert wird.

D Erstellen Sie auf einem Domänencontroller eine bedingte Weiterleitung. Speichern Sie die bedingte Weiter-leitung in Active Directory und legen Sie fest, dass die Weiterleitung auf alle DNS-Server der Domäne repli-ziert wird.


Erläuterungen:

Eine Weiterleitung ist ein DNS-Server (Domain Name System) in einem Netzwerk, der zur Weiterleitung von DNS-Abfragen für externe DNS-Namen an DNS-Server außerhalb dieses Netzwerks verwendet wird. Mithilfe von bedingten Weiterleitungen können Sie Ihren Server auch für die Weiterleitung von Abfragen anhand von bestimmten Domänennamen konfigurieren.

Ein DNS-Server in einem Netzwerk wird als Weiterleitung festgelegt, wenn die anderen DNS-Server im Netz-werk für die Weiterleitung von Abfragen, die sie nicht lokal auflösen können, an diesen DNS-Server konfigu-riert wurden. Durch die Verwendung einer Weiterleitung können Sie die Namensauflösung für Namen verwal-ten, die sich außerhalb Ihres Netzwerks befinden, z. B. für Namen im Internet, was die Effizienz der Namens-auflösung für die Computer in Ihrem Netzwerk steigern kann.

Neu ist die Möglichkeit Weiterleitungen in Active Directory zu speichern und ebenso wie Zoneninformationen mit dem Active Directory zu replizieren.


Sie sind als Netzwerkadministrator für das Unternehmen CertBase tätig. Das Firmennetzwerk besteht aus einer Active Directory-Domänendienste Domäne mit dem Namen certbase.de. Sie installieren einen neuen Domä-nencontroller für eine neue Zweigstelle.

Die Benutzer der Zweigstelle berichten Ihnen später, dass ihnen die Anmeldung an der Domäne nicht möglich ist. Sie müssen die erforderlichen Dienstidentifizierungseinträge (SRV) für den neuen Domänencontroller in DNS registrieren.

Wie gehen Sie vor?

A Führen Sie auf dem neuen Domänencontroller den Befehl Netsh interface reset aus.

B Führen Sie auf dem neuen Domänencontroller den Befehl Ipconfig /flushdns aus.

C Führen Sie auf dem neuen Domänencontroller den Befehl Dnscmd /EnlistDirectoryPartition aus.

D Führen Sie auf dem neuen Domänencontroller zunächst den Befehl SC Stop Netlogon und anschließend SC Start Netlogon aus.


Erläuterungen:

Während der Befehl Ipconfig /registerdns lediglich die IP-Adresse eines Computers in Domain Name System (DNS) registriert, führt das Starten des Anmeldedienstes (Netlogon) auf einem Domänencontroller dazu, dass die Dienstidentifizierungseinträge (SRV) für den Anmeldedienst in DNS registriert werden. Die Clients benöti-gen diese Einträge, um einen Domänencontroller für die Authentifizierung zu ermitteln.

Anstelle des umfangreichen Dienststeuerungsprogramms SC kann auch das einfachere und bekanntere Net Stop Netlogon gefolgt von Net Start Netlogon verwendet werden.


Sie sind als Netzwerkadministrator für das Unternehmen CertBase tätig. Das Firmennetzwerk besteht aus einer einzelnen Active Directory Domäne mit dem Namen certbase.de. Das Unternehmen hat eine Hauptgeschäfts-stelle und mehrere Zweigstellen.

Die Geschäftsführung hat eine neue, verteilte Anwendung angeschafft. Die neue Applikation erfordert eine eigene DNS-Zone.

Sie entschließen sich, die neue DNS Zone in Active Directory zu speichern. Sie wollen die Zonenendaten aber nur auf ausgewählte Domänencontroller replizieren.

Welche zwei Befehlszeilenprogramme werden Sie zu diesem Zweck verwenden? (Jede korrekte Antwort stellt einen Teil der Lösung dar. Wählen Sie zwei Antworten.)

A Dnscmd.exe

B Ntdsutil.exe

C Ipconfig.exe

D Dnsutil.exe

Konfigurieren von DNS (Domain Name System) für Active Directory Korrekte Antwort: A, B

Erläuterungen:

Wir können das Befehlszeilenprogramm Ntdsutil.exe verwenden, um eine neue Anwendungsverzeichnisparti-tion im Active Directory zu erstellen und die ausgewählten Domänencontroller in den Replikationsbereich der Verzeichnispartition aufzunehmen. Anschließend können wir die neue Zone mit Hilfe von Dnscmd erstellen und den Replikationsbereich auf die neue Anwendungsverzeichnispartition festlegen.


Sie sind als Netzwerkadministrator für das Unternehmen CertBase tätig. Das Unternehmen hat eine Hauptge-schäftsstelle und fünf Zweigstellen. Die Standorte sind untereinander durch WAN-Verbindungen miteinander verbunden. Das Firmennetzwerk besteht aus einer Active Directory-Domänendienste Domäne (AD DS) mit dem Namen certbase.de.

Jede Zweigstelle verfügt über einen Windows Server 2008 R2 Mitgliedsserver, der als DNS-Server konfiguriert ist. Die DNS-Server der Zweigstellen hosten sekundäre Zonen für den Namensraum certbase.de.

Sie müssen die Zone certbase.de so konfigurieren, dass Abfragen der DNS-Clients bei einem Ausfall der WAN-Verbindungen ohne Unterbrechung für mindestens vier Tage aufgelöst werden können.

Wie gehen Sie vor?

A Legen Sie die Option Läuft ab nach in den Eigenschaften der Zone certbase.de mit 4 Tagen fest.

B Legen Sie das Wiederholungsintervall in den Eigenschaften der Zone certbase.de mit 4 Tagen fest.

C Legen Sie das Aktualisierungsintervall in den Eigenschaften der Zone certbase.de mit 4 Tagen fest.

D Legen Sie die Minimale Gültigkeitsdauer (Standard) in den Eigenschaften der Zone certbase.de mit 4 Tagen fest.


Erläuterungen:

Auf dem Register Autoritätsursprung (SOA) in den Eigenschaften einer Zone können Sie den SOA-Eintrag der Zone konfigurieren. Der SOA-Ressourceneintrag enthält folgende Informationen:

• Seriennummer Die Revisionsnummer der Zonendatei. Diese Nummer erhöht sich jedes Mal, wenn die Zonendatei verändert wird. Es ist wichtig, diesen Wert jedes Mal zu erhöhen, wenn eine Änderung vor-genommen wird, sodass diese Änderung an alle sekundären DNS-Server verteilt wird.

• Primärer Server Der Host, auf dem die Datei erstellt wurde. • Verwantwortliche Person Die E-Mail-Adresse der für die Verwaltung der Zonendatei der Domäne

verantwortlichen Person. Beachten Sie, dass in dem E-Mail-Namen anstelle des Symbols "@" ein "." verwendet wird.

• Aktualisierungsintervall Die Zeit (in Minuten), die ein sekundärer DNS-Server wartet, bevor er den SOA-Eintrag des primären DNS-Servers nach Änderungen abfragt. Wenn die Aktualisierungszeit ab-läuft, fordert der sekundäre DNS-Server vom primären Server eine Kopie des aktuellen SOA-Eintrags an. Der primäre DNS-Server kommt dieser Anforderung nach. Der sekundäre DNS-Server vergleicht die Seriennummer des aktuellen SOA-Eintrags des primären DNS-Servers mit der Seriennummer in seinem eigenen SOA-Eintrag. Wenn diese Nummern nicht übereinstimmen, fordert der sekundäre DNS-Server von dem primären DNS-Server eine Zonenübertragung an.

• Wiederholungszeit Die Zeit (in Minuten), die ein sekundärer Server wartet, bevor eine fehlgeschlagene Zonenübertragung wiederholt wird. Normalerweise ist die Wiederholungszeit kürzer als die Aktualisie-rungszeit.

• Ablaufzeit Die Zeit (in Tagen), in der ein sekundärer Server weiterhin versucht, eine Zonenübertra-gung auszuführen. Wenn diese Zeit vor einer erfolgreichen Zonenübertragung abläuft, verrwirft der se-kundäre Server seine Zonendatei. Dies hat zur Folge, dass der sekundäre Server die Beantwortung von Abfragen beendet, wenn er seine Daten als zu alt und nicht mehr zuverlässig betrachtet.

• Minimale Gültigkeitsdauer (TTL) Der minimale Wert der Gültigkeitsdauer (TTL-Wert) bezieht sich auf alle Ressourceneinträge in die Zonendatei. Dieser Wert ist in den Antworten auf Abfragen enthal-ten, um andere Server darüber zu informieren, wie lange sie die Daten im Zwischenspeicher behalten sollten.


Sie sind als Netzwerkadministrator für das Unternehmen CertBase tätig. Das Firmennetzwerk besteht aus einer Active Directory-Domänendienste Domäne (AD DS) mit dem Namen certbase.de. Die Domäne umfasst einen Windows Server 2008 R2 Mitgliedserver mit dem Namen Server1.

Sie installieren eine zweite Netzwerkkarte in den Mitgliedsserver. Sie verbinden die neue Schnittstelle mit einem Subnetz, das Computer enthält, die zu einer Domäne mit dem Namen traincert.de gehören.

Das Subnetz der Domäne traincert.de umfasst einen DHCP-Server und einen DNS-Server.

Den Benutzern der Domäne traincert.de ist es nicht möglich, Server1 über seinen DNS-Namen zu erreichen. Sie müssen sicherstellen, dass Server1 einen Host (A) Eintrag in der Zone traincert.de erhält.

Welche zwei Möglichkeiten stehen Ihnen für das Erreichen Ihres Ziels zur Verfügung? (Jede korrekte Antwort stellt eine vollständige Lösung dar. Wählen Sie zwei Antworten.)

A Konfigurieren Sie die Bereichsoption 044 WINS/NBNS-Server auf dem DHCP-Server der Domäne train-cert.de.

B Konfigurieren Sie den DHCP-Server der Domäne traincert.de und legen Sie die Bereichsoption 015 DNS-Domänenname mit dem Domänennamen traincert.de fest.

C Bearbeiten Sie die Einstellungen der neuen Netzwerkkarte und konfigurieren Sie die Option Diese DNS-Suffixe anhängen (in Reihenfolge).

D Bearbeiten Sie die Einstellungen der neuen Netzwerkkarte und konfigurieren Sie die Option DNS-Suffix für diese Verbindung.

E Konfigurieren Sie den DHCP-Server der Domäne certbase.de und legen Sie die Bereichsoption 015 DNS-Domänenname mit dem Domänennamen traincert.de fest.

Konfigurieren von DNS (Domain Name System) für Active Directory Korrekte Antwort: B, D

Erläuterungen:

Die erweiterte TCP/IP-Einstellung Adressen dieser Verbindung in DNS registrieren stellt sicher, dass die IP-Adresse der jeweiligen Netzwerkverbindung in der primären Zone des Computers registriert werden. Server1 ist jedoch mit dem primären DNS-Suffix certbase.de konfiguriert. Damit die IP-Adresse der neuen Schnittstelle in der Zone traincert.de registriert wird, können wir durch die Lösungen aus Antwort B oder D ein verbindungs-spezifisches DNS-Suffix konfigurieren.


Sie sind als Netzwerkadministrator für das Unternehmen CertBase tätig. Das Firmennetzwerk besteht aus einer Active Directory-Domänendienste (AD DS) Domäne mit dem Namen certbase.de. Die Domäne umfasst zwei Windows Server 2008 R2 Domänencontroller. Beide Domänencontroller führen den Dienst DNS-Server aus.

Die Zone certbase.de ist in Active Directory integriert und so konfiguriert, dass nur sichere dynamische Up-dates unterstützt werden.

Eine neue Firmensicherheitsrichtlinie sieht vor, dass die Zone certbase.de ausschließlich durch Domänencon-troller und Mitgliedsserver aktualisiert werden darf.

Sie müssen die Zone certbase.de nach den Vorgaben der neuen Sicherheitsrichtlinie konfigurieren.

Wie gehen Sie vor? (Jede korrekte Antwort stellt einen Teil der Lösung dar. Wählen Sie zwei Antworten.)

A Entfernen Sie die Gruppe Authentifzierte Benutzer auf dem Register Sicherheit in den Eigenschaften der Zone certbase.de.

B Erteilen Sie dem Konto SELBST auf dem Register Sicherheit in den Eigenschaften der Zone certbase.de die Berechtigung Schreiben – Verweigern.

C Erteilen Sie den Computerkonten der Server auf dem Register Sicherheit in den Eigenschaften der Zone certbase.de die Berechtigung Alle Eigenschaften schreiben – Zulassen.

D Erteilen Sie den Computerkonten der Server auf dem Register Sicherheit in den Eigenschaften der Zone certbase.de die Berechtigung Alle untergeordneten Objekte erstellen – Zulassen.

Konfigurieren von DNS (Domain Name System) für Active Directory Korrekte Antwort: A, D

Erläuterungen:

Standardmäßig haben alle authentifizierten Benutzer das Recht Alle untergeordneten Objekte erstellen – Zu-lassen. In einem ersten Schritt müssen wir die Gruppe aus der Zugriffssteuerungsliste (ACL) der Zone certba-se.de entfernen. In einem zweiten Schritt müssen wir die Konten der Domänencontroller und Mitgliedsserver in einer Gruppe zusammenfassen und der Gruppe die erforderlichen Rechte für die Zone certbase.de erteilen.


Sie sind als Netzwerkadministrator für das Unternehmen CertBase tätig. Das Firmennetzwerk besteht aus einer Active Directory-Domänendienste (AD DS) Domäne mit dem Namen certbase.de. Die Domäne umfasst zwei Domänencontroller mit den Namen DC1 und DC2.

DC1 hostet eine primäre Standardzone für die Domäne. Für die Zone sind dynamische Updates zugelassen. DC2 hostet eine sekundäre Standardzone für die Domäne.

Sie müssen DNS so konfigurieren, dass nur sichere dynamische Updates unterstützt werden.

Wie gehen Sie vor?

A Konfigurieren Sie auf DC1 und auf DC2 einen Trust Anchor.

B Konfigurieren Sie auf DC1 und auf DC2 eine Verbindungssicherheitsregel.

C Konfigurieren Sie auf DC1 die Einstellungen für die Zonenübertragung.

D Konfigurieren Sie die Zone auf DC1 so, dass sie in Active Directory gespeichert wird.


Erläuterungen:

Die Option Nur sichere dynamische Updates zulassen wird ausschließlich für Active Directory-integrierte Zonen unterstützt.


Sie sind als Netzwerkadministrator für das Unternehmen CertBase tätig. Das Firmennetzwerk umfasst einen Domänencontroller mit zwei Netzwerkkarten. Die Namen der Netzwerkverbindungen lauten Intern und Pri-vat.

Die LAN-Verbindung Intern ist mit der IP-Adresse 192.168.0.20 konfiguriert. Die LAN-Verbindung Privat ist mit der IP-Adresse 10.10.10.5 konfiguriert.

Sie müssen verhindern, dass der Domänencontroller Host (A) Einträge für die Adresse 10.10.10.5 registriert.

Wie gehen Sie vor?

A Bearbeiten Sie die Datei netlogon.dns auf dem Domänencontroller.

B Ändern Sie die Einstellungen auf dem Register Namenserver in den Eigenschaften der DNS-Zone für die Domäne.

C Ändern Sie die Eigenschaften der LAN-Verbindung Privat.

D Deaktivieren Sie die Netzwerkmaskenanforderung in den erweiterten Einstellungen des DNS-Servers, der die DNS-Zone für die Domäne hostet.


Erläuterungen:

In den erweiterten TCP/IP Einstellungen von Internetprotokoll Version 4 kann über die Option Adressen die-ser Verbindung in DNS registrieren gesteuert werden, ob Host (A) Einträge für die IPv4 Adresse(n) der Schnittstelle in DNS registriert werden. Die Option ist standardmäßig aktiviert.


Sie sind als Netzwerkadministrator für das Unternehmen CertBase tätig. Das Firmennetzwerk besteht aus einer Active Directory-Gesamtstruktur mit dem Namen certbase.de. Alle DNS-Server sind auch als Domänencon-troller konfiguriert. Sie planen die Installation einer neuen Domäne mit dem Namen traincert.de innerhalb der bestehenden Gesamtstruktur.

Sie müssen sicherstellen, dass die Computer der neuen Domäne traincert.de ihre Host (A) Einträge auf einem beliebigen DNS-Server innerhalb der Gesamtstruktur aktualisieren können.

Wie gehen Sie vor?

A Nehmen Sie die Computerkonten aller Domänencontroller in die Gruppe DnsAdmins auf.

B Nehmen Sie die Computerkonten aller Domänencontroller in die Gruppe DnsUpdateProxy auf.

C Erstellen Sie eine primäre Standardzone auf einem Domänencontroller in der Stammdomäne der Gesamt-struktur.

D Erstellen Sie eine Active Directory-integrierte Zone auf einem Domänencontroller in der Stammdomäne der Gesamtstruktur.


Erläuterungen:

Für eine Active Directory-integrierte Zone kann der Bereich der Zonenreplikation so festgelegt werden, dass die Zone auf alle DNS-Server, die auf Domänencontrollern in der Gesamtstruktur ausgeführt werden, repliziert wird. Schreibbare Kopien der Zonendaten auf mehreren DNS-Servern (Multimasterreplikation) werden aus-schließlich durch Active Directory-integrierte Zonen ermöglicht.


Sie sind als Netzwerkadministrator für das Unternehmen CertBase tätig. Das Firmennetzwerk besteht aus einer Active Directory-Domänendienste (AD DS) Domäne mit dem Namen certbase.de. Die Domäne umfasst einen Domänencontroller mit dem Namen DC1. DC1 hostet eine primäre Standardzone für certbase.de.

Sie stellen fest, dass Computer, die der Domäne nicht angehören, Einträge in der Zone certbase.de registrieren.

Sie müssen verhindern, dass Computer, die nicht Mitglied der Domäne sind, Einträge in der Zone certbase.de registrieren. Alle Computer, die Mitglied der Domäne sind, dürfen jedoch nicht daran gehindert werden, Ein-träge in certbase.de zu registrieren.


A Konfigurieren Sie einen Trust Anchor.

B Starten Sie den Sicherheitskonfigurations-Assistenten.

C Ändern Sie die Zone certbase.de zu einer Active Directory-integrierten Zone.

D Bearbeiten Sie die Sicherheitseinstellungen für das Verzeichnis %systemroot%\System32\Dns.


Erläuterungen:

Durch die Integration der Zone in AD DS können Vorteile wie z. B. die AD DS-Replikation, sichere dynami-sche Updates sowie die Aufzeichnung von Alterungs- und Aufräumvorgängen genutzt werden. Wenn für eine Zone nur sichere dynamische Updates zugelassen werden, können ausschließlich Domänenmitglieder Einträge in der DNS-Zone registrieren und aktualisieren.


Sie sind als Netzwerkadministrator für das Unternehmen CertBase tätig. Das Firmennetzwerk besteht aus einer Active Directory-Domänendienste (AD DS) Domäne mit dem Namen certbase.de. Sie erstellen eine Zone mit dem Namen GlobalNames. Anschließend erstellen Sie in der Zone einen Alias (CNAME) Eintrag mit dem Namen Server1. Der Zielhost für den neuen Eintrag lautet server2.certbase.de.

Bei dem Versuch ein Ping an Server1 zu senden, stellen Sie fest, dass die Namensauflösung fehlschlägt. Ein Ping an den vollständigen Namen server2.certbase.de wird erfolgreich beantwortet.

Sie müssen sicherstellen, dass die Zone GlobalNames für die Auflösung flacher Namen verwendet werden kann.

Wie gehen Sie vor?

A Verwenden Sie das Befehlszeilenprogramm Netsh.exe an der Eingabeaufforderung des DNS-Servers.

B Verwenden Sie das Befehlszeilenprogramm Dnscmd.exe an der Eingabeaufforderung des DNS-Servers.

C Verwenden Sie den DNS-Manager und bearbeiten Sie die Eigenschaften der Zone GlobalNames.

D Verwenden Sie den DNS-Manager und bearbeiten Sie die erweiterten Eigenschaften des DNS-Servers.


Erläuterungen:

Bevor die Zone GlobalNames für die Auflösung flacher Namen verwendet werden kann, muss zunächst die Unterstützung auf allen DNS Servern der Gesamtstruktur aktiviert werden. Hierzu kann entweder direkt die Registrierung bearbeitet oder alternativ das Befehlszeilenprogramm Dnscmd.exe verwendet werden.

So aktivieren Sie die Unterstützung für die Zone GlobalNames:

1. Öffnen Sie eine administrative Eingabeaufforderung und führen Sie den folgenden Befehl aus: Dnscmd "Servername" /config /EnableGlobalNamesSupport 1

2. Führen Sie einen Neustart des DNS-Serverdienstes durch.


Sie sind als Netzwerkadministrator für das Unternehmen CertBase tätig. Das Unternehmen hat eine Hauptge-schäftsstelle und eine Zweigstelle. Das Firmennetzwerk besteht aus einer Active Directory-Domänendienste (AD DS) Domäne mit dem Namen certbase.de. Die DNS-Zone für certbase.de ist als Active Directory-integrierte Zone konfiguriert und wird auf alle Domänencontroller der Domäne repliziert.

Die Hauptgeschäftsstelle enthält einen schreibbaren Domänencontroller mit dem Namen DC1. Die Zweigstel-le umfasst einen schreibgeschützten Domänencontroller mit dem Namen RODC1. Auf allen Domänencontrol-lern ist das Betriebssystem Windows Server 2008 R2 installiert und alle Domänencontroller sind als DNS-Server konfiguriert.

Sie deinstallieren die Rolle DNS-Server von RODC1.

Sie müssen verhindern, dass DNS-Einträge weiterhin an RODC1 repliziert werden.

Wie gehen Sie vor?

A Ändern Sie den Bereich der Zonenreplikation für die Zone certbase.de.

B Leeren Sie den DNS Cache und aktivieren Sie Cache Locking.

C Konfigurieren Sie eine bedingte Weiterleitung für die Zone certbase.de.

D Bearbeiten Sie die Einstellungen der Zonenübertragung für die Zone certbase.de.


Erläuterungen:

Der Replikationsbereich einer Active Directory-integrierten Zone, legt fest, auf welche Domänencontroller die Daten repliziert werden. Mit der Standardoption wird festgelegt, dass die Daten nach Entfernen der Serverrolle DNS-Server nicht mehr empfangen werden.

Wissen: Cache Locking

Cache Locking ist eine Neuerung in Windows Server 2008 R2, die verhindert, dass zwischengespeicherte DNS-Einträge überschrieben bzw. aktualisiert werden. Cache Locking ist geeignet, um als DNS-Poisoning bekannte Angriffsszenarien zu verhindern. Die Funktion wird mit dem Befehlszeilenprogramm Dnscmd aktiviert. Über einen Prozentwert wird der prozentuale Zeitwert der TTL eines zwischengespeicherten Eintrags festgelegt, in-nerhalb dem der Eintrag nicht verändert werden kann.


Sie sind als Netzwerkadministrator für das Unternehmen CertBase tätig. Das Firmennetzwerk besteht aus einer Active Directory-Domänendienste (AD DS) Domäne mit dem Namen certbase.de. Die Domäne umfasst die in der Abbildung gezeigten Servercomputer (klicken Sie auf die Schaltfläche Zeichnung).

Die Funktionsebene der Gesamtstruktur sowie die Funktionsebene der Domäne sind jeweils mit Windows Ser-ver 2003 festgelegt.

DNS1 und DNS2 hosten die Zone certbase.de. Auf allen Clientcomputern ist das Betriebssystem Windows 7 installiert.

Sie müssen sicherstellen, dass alle Einträge der Zone certbase.de durch DNSSEC gesichert werden.

Wie gehen Sie vor?

A Ändern Sie die Funktionsebene der Gesamtstruktur.

B Ändern Sie die Funktionsebene der Domäne.

C Aktualisieren Sie DC1 auf Windows Server 2008 R2.

D Aktualisieren Sie DNS1 auf Windows Server 2008 R2.


Erläuterungen:

DNS Security Extensions (DNSSEC) sind eine Sammlung von Erweiterungen für das DNS-Protokoll, die in den RFCs 4033, 4034 und 4035 spezifiziert sind. Windows Srever 2008 R2 und Windows 7 unterstützen diese Sicherheitsanforderungen.

DNSSEC bietet unter anderem Unterstützung für das Signieren von Einträgen. Beim Empfang einer Abfrage für einen signierten Eintrag, wird neben dem Eintrag auch eine digitale Signatur an den Client übermittelt. Windows 7 ist in der Lage, diese Antworten zu verarbeiten und die Signaturen zu prüfen.


Sie sind als Netzwerkadministrator für das Unternehmen CertBase tätig. Das Firmennetzwerk besteht aus einer Active Directory-Domänendienste (AD DS) Domäne mit dem Namen certbase.de. Die Domäne umfasst einen Domänencontroller, der auch als DNS-Server konfiguriert ist. Der Server hostet eine Active Directory-integrierte Zone für die Domäne.

Sie müssen den Zeitraum für das Entfernen veralteter Einträge aus der Zone reduzieren.

Wie gehen Sie vor?

A Ändern Sie den Wert für die Tombstone Lifetime in der Konfigurationspartition der Gesamtstruktur.

B Ändern Sie den Wert für das Intervall des Garbage Collectors in der Konfigurationspartition der Gesamt-struktur.

C Konfigurieren Sie die Zonenalterung und bearbeiten Sie das Intervall für Nichtaktualisierung und das Aktu-alisierungsintervall.

D Bearbeiten Sie den Autoritätsursprung (SOA) der Zone und ändern Sie das Aktualisierungsintervall und das Ablaufintervall.


Erläuterungen:





• DNS-Server (Domain Name System), die Zonen mit veralteten Ressourceneinträgen laden, verwenden möglicherweise veraltete Informationen zur Beantwortung von Clientabfragen, wodurch die Clients Probleme bei der Namensauflösung im Netzwerk haben können.

• Durch Ansammlung veralteter Ressourceneinträge auf dem DNS-Server kann dessen Leistung und Antwortbereitschaft beeinträchtigt werden.



• Zeitstempel, die auf dem aktuellen Datum und der Uhrzeit basieren, die auf dem Servercomputer fest-gelegt sind, und für Ressourceneinträge verwendet werden, die dynamisch zu primären Zonen hinzuge-fügt werden. Darüber hinaus werden Zeitstempel in primären Standardzonen aufgezeichnet, in denen die Serveralterung und der Aufräumvorgang aktiviert sind.


• Alterung von Ressourceneinträgen in lokalen Daten, basierend auf einer angegebenen Aktualisierungs-dauer, für infrage kommende Zonen.

• Nur primäre Zonen, die vom DNS-Serverdienst geladen wurden, kommen für dieses Verfahren infrage. • Aufräumvorgang für Ressourceneinträge, die nach der angegebenen Aktualisierungsdauer weiterhin be-

stehen. • Wenn ein DNS-Server einen Aufräumvorgang durchführt, kann er ermitteln, ob Ressourceneinträge

veraltet sind, und sie aus den Zonendaten entfernen. Sie können Server für die automatische Durchfüh-rung regelmäßiger Aufräumvorgänge konfigurieren oder auf dem Server einen Aufräumvorgang unmit-telbar initiieren.

Konfigurieren von DNS (Domain Name System) für Active Directory Intervall für Nichtaktualisierung

Ein Zeitintervall, das für jede Zone bestimmt und durch die folgenden beiden Ereignisse begrenzt wird:

1. Der Zeitpunkt (Datum und Uhrzeit), an dem der Eintrag zuletzt aktualisiert und sein Zeitstempel fest-gelegt wurde.

2. Der Zeitpunkt (Datum und Uhrzeit), an dem der Eintrag das nächste Mal für die Aktualisierung und das Zurücksetzen seines Zeitstempels infrage kommt.

Dieser Wert wird benötigt, um die Anzahl der Schreibvorgänge in der Active Directory-Datenbank zu verrin-gern. Das Intervall ist standardmäßig auf sieben Tage festgelegt. Dieser Wert sollte nicht übermäßig erhöht werden, da die Vorteile des Alterungs- und Aufräumvorgangs ansonsten wegfallen oder eingeschränkt werden.

Aktualisierungsintervall

Ein Zeitintervall, das für jede Zone bestimmt und durch die folgenden zwei verschiedenen Ereignisse begrenzt wird:

1. Der früheste Zeitpunkt (Datum und Uhrzeit), an dem der Eintrag für die Aktualisierung und das Zu-rücksetzen seines Zeitstempels infrage kommt.

2. Der früheste Zeitpunkt (Datum und Uhrzeit), an dem der Eintrag für den Aufräumvorgang und das Entfernen aus der Zonendatenbank infrage kommt.

Dieser Wert sollte hoch genug sein, damit alle Clients ihre Einträge aktualisieren können. Das Intervall ist stan-dardmäßig auf sieben Tage festgelegt. Dieser Wert sollte nicht übermäßig erhöht werden, da die Vorteile des Alterungs- und Aufräumvorgangs ansonsten wegfallen oder eingeschränkt werden.


Sie sind als Netzwerkadministrator für das Unternehmen CertBase tätig. Das Firmennetzwerk besteht aus einer Active Directory-Domänendienste (AD DS) Domäne mit dem Namen certbase.de. Die Domäne umfasst einen Domänencontroller mit dem Namen DC1. DC1 ist auch als DNS-Server konfiguriert. Der Server hostet eine primäre Standardzone für certbase.de.

Die Konfiguration des DNS-Servers wird in der Abbildung gezeigt (klicken Sie auf die Schaltfläche Zeichnung).

Sie stellen fest, dass Einträge nicht automatisch aus der Zone certbase.de entfernt werden.

Sie müssen sicherstellen, dass veraltete Einträge automatisch aus der Zone certbase.de entfernt werden.

Wie gehen Sie vor?

A Legen Sie das Intervall für den Aufräumvorgang auf DC1 mit 0 Tagen fest.

B Ändern Sie die Einstellungen der Serveralterung.

C Konfigurieren Sie die Alterung für die Zone certbase.de.

D Konvertieren Sie die Zone certbase.de in eine Active Directory-integrierte Zone.


Erläuterungen:

Der Aufräumvorgang muss, wie in der Abbildung gezeigt, grundlegend für den gesamten Server aktiviert wer-den. Anschließend kann das Aufräumen veralteter Einträge für jede Zone individuell aktiviert bzw. deaktiviert werden. Standardmäßig ist der Aufräumvorgang in den Zoneneigenschaften deaktiviert.


Sie sind als Netzwerkadministrator für das Unternehmen CertBase tätig. Das Firmennetzwerk besteht aus einer Active Directory-Domänendienste (AD DS) Domäne mit dem Namen certbase.de.

Sie entfernen mehrere Computer aus dem Netzwerk.

Sie müssen sicherstellen, dass die Host (A) Einträge der entfernten Computer automatisch aus der Zone certba-se.de gelöscht werden.

Wie gehen Sie vor?

A Konfigurieren Sie dynamische Updates.

B Konfigurieren Sie die Zonenalterung und den Aufräumvorgang.

C Erstellen Sie eine geplante Aufgabe für die Ausführung des Befehls Dnscmd /Clearcache.

D Erstellen Sie eine geplante Aufgabe für die Ausführung des Befehls Dnscmd /ZoneReload.


Erläuterungen:





• DNS-Server (Domain Name System), die Zonen mit veralteten Ressourceneinträgen laden, verwenden möglicherweise veraltete Informationen zur Beantwortung von Clientabfragen, wodurch die Clients Probleme bei der Namensauflösung im Netzwerk haben können.

• Durch Ansammlung veralteter Ressourceneinträge auf dem DNS-Server kann dessen Leistung und Antwortbereitschaft beeinträchtigt werden.



• Zeitstempel, die auf dem aktuellen Datum und der Uhrzeit basieren, die auf dem Servercomputer fest-gelegt sind, und für Ressourceneinträge verwendet werden, die dynamisch zu primären Zonen hinzuge-fügt werden. Darüber hinaus werden Zeitstempel in primären Standardzonen aufgezeichnet, in denen die Serveralterung und der Aufräumvorgang aktiviert sind.


• Alterung von Ressourceneinträgen in lokalen Daten, basierend auf einer angegebenen Aktualisierungs-dauer, für infrage kommende Zonen.

• Nur primäre Zonen, die vom DNS-Serverdienst geladen wurden, kommen für dieses Verfahren infrage. • Aufräumvorgang für Ressourceneinträge, die nach der angegebenen Aktualisierungsdauer weiterhin be-

stehen. • Wenn ein DNS-Server einen Aufräumvorgang durchführt, kann er ermitteln, ob Ressourceneinträge

veraltet sind, und sie aus den Zonendaten entfernen. Sie können Server für die automatische Durchfüh-rung regelmäßiger Aufräumvorgänge konfigurieren oder auf dem Server einen Aufräumvorgang unmit-telbar initiieren.

Konfigurieren von DNS (Domain Name System) für Active Directory


Sie sind als Netzwerkadministrator für das Unternehmen CertBase tätig. Das Firmennetzwerk besteht aus einer Active Directory-Domänendienste (AD DS) Domäne mit dem Namen certbase.de. Die Domäne umfasst einen Domänencontroller mit dem Namen DC1.

Sie müssen die Registrierung aller Dienstidentifizierungseinträge (SRV) für DC1 in DNS erzwingen.

Welchen Befehl werden Sie ausführen?

A Ipconfig /RegisterDNS

B Net.exe Stop DNSCache und Net.exe Start DNSCache

C Net.exe Stop Netlogon und Net.exe Start Netlogon

D Regsvr32.exe dnsrslvr.dll


Erläuterungen:

Die Dienstidentifizierungseinträge eines Domänencontrollers werden beim Start des Anmeldedienstes (Netlo-gon) in DNS registriert. In Antwort C wird der Anmeldedienst zunächst beendet und anschließend erneut ge-startet.

Der Befehlsaufruf aus Antwort A weist einen DNS-Client an, seine IP-Adresse beim konfigurierten DNS-Server dynamisch zu registrieren bzw. zu aktualisieren. Dienstidentifizierungseinträge bleiben bei diesem Vorgang je-doch unberücksichtigt.


Sie sind als Netzwerkadministrator für das Unternehmen CertBase tätig. Das Firmennetzwerk besteht aus einer Active Directory-Domänendienste (AD DS) Domäne mit dem Namen certbase.de. Sie planen die Implemen-tierung einer untergeordneten Domäne mit dem Namen vertrieb.certbase.de.

Die Domänencontroller der Domäne vertrieb.certbase.de werden auch als DNS-Server für den Namensraum vertrieb.certbase.de agieren.

Sie müssen sicherstellen, dass die Benutzer der Domäne certbase.de den vollqualifizierten Domänennamen (FQDN) für das Herstellen von Verbindungen mit Servern der Domäne vertrieb.certbase.de verwenden kön-nen.

Wie gehen Sie vor?

A Erstellen Sie eine DNS-Weiterleitung.

B Erstellen Sie eine DNS-Delegierung.

C Konfigurieren Sie die Liste der Stammhinweise.

D Konfigurieren Sie auf allen Clientcomputer einen Eintrag für einen alternativen DNS-Server.


Erläuterungen:

In DNS (Domain Name System) ist es möglich, den Namespace in eine oder mehrere Zonen zu unterteilen, die dann auf anderen DNS-Servern gespeichert, verteilt und repliziert werden können. Wenn Sie entscheiden, ob Sie Ihren DNS-Namespace unterteilen sollen, um zusätzliche Zonen zu erstellen, sollten Sie die folgenden Gründe für eine Verwendung zusätzlicher Zonen berücksichtigen:

• Sie möchten die Verwaltung eines Teils des DNS-Namespace an einen anderen Standort oder an eine andere Abteilung in Ihrem Unternehmen delegieren.

• Sie möchten eine große Zone in kleinere Zonen unterteilen, um den Datenverkehr auf mehrere Server aufzuteilen, die Leistung der DNS-Namensauflösung zu verbessern oder eine DNS-Umgebung mit einer besseren Fehlertoleranz zu erstellen.

• Sie möchten den Namespace durch gleichzeitiges Hinzufügen mehrerer untergeordneter Domänen er-weitern, beispielsweise bei Eröffnung einer neuen Filiale oder Einrichtung eines neuen Standorts.

Wenn Sie aus einem oder mehreren der oben genannten Gründe von einer Zonendelegierung profitieren kön-nen, ist es sinnvoll, Ihren Namespace durch das Hinzufügen weiterer Zonen neu zu strukturieren. Verwenden Sie zur Entscheidung für ein neue Zonenstruktur einen Plan, der der Struktur Ihres Unternehmens entspricht.

Wenn Sie Zonen innerhalb Ihres Namespace delegieren, müssen Sie beachten, dass für jede neue Zone, die Sie erstellen, in anderen Zonen Delegierungseinträge benötigt werden, die auf die autorisierenden DNS-Server für die neue Zone verweisen. Dies ist sowohl für die Übertragung der Autorität als auch für die Bereitstellung rich-tiger Verweise auf andere DNS-Server und die Clients der neuen Server erforderlich, die als autorisierende Ser-ver für die neue Zone verwendet werden.


Sie sind als Netzwerkadministrator für das Unternehmen CertBase tätig. Das Firmennetzwerk besteht aus einer Active Directory-Domänendienste (AD DS) Domäne mit dem Namen certbase.de. Die Domäne umfasst zwei Domänencontroller mit den Namen DC1 und DC2. Auf beiden Domänencontrollern ist das Betriebssystem Windows Server 2008 R2 installiert.

DC1 hostet eine primäre Zone für certbase.de. DC2 hostet eine sekundäre Zone für certbase.de.

Sie konvertieren die Zone auf DC1 in eine Active Directory-integrierte Zone und konfigurieren dynamische Updates so, dass nur sicher dynamische Updates akzeptiert werden.

Sie müssen nun sicherstellen, dass DC2 sichere dynamische Updates für die Zone certbase.de verarbeiten kann.


A Dnscmd.exe dc2.certbase.de /CreateDirectoryPartition dns.certbase.de

B Dnscmd.exe dc2.certbase.de /ZoneResetType certbase.de /Dsprimary

C Dnslint.exe /ql

D Repadmin.exe /SyncAll /Force


Erläuterungen:

Um sicherzustellen, dass DC2 sichere dynamische Updates für die Zone certbase.de verarbeiten kann, muss die vorhandene sekundäre Zone auf DC2 in eine Active Directory-integrierte Zone geändert werden. Dies kann entweder mit dem DNS-Manager oder mit Hilfe der Option ZoneRestType des Befehlszeilenprogramms Dnscmd.exe geschehen.


Sie sind als Netzwerkadministrator für das Unternehmen CertBase tätig. Das Firmennetzwerk besteht aus einer Active Directory-Domänendienste (AD DS) Domäne mit dem Namen cblabs.de. Sie verwenden an der Einga-beaufforderung das Befehlszeilenprogramm Nslookup.exe. Ihre Befehlsausführung wird in der Abbildung ge-zeigt (klicken Sie auf die Schaltfläche Zeichnung).

Sie müssen sicherstellen, dass Sie Nslookup.exe verwenden können, um die Dienstidentifizierungseinträge der Domäne cblabs.de aufzulisten.

Welche Einstellung werden Sie bearbeiten?

A Die Liste der Stammhinweise des DNS-Servers.

B Die Sicherheitseinstellungen der Zone.

C Die Einstellungen der Windows-Firewall auf dem DNS-Server.

D Die Einstellungen für die Zonenübertragung der Zone cblabs.de.


Erläuterungen:

Der Befehl Nslookup –ls –t SRV cblabs.de listet alle Einträge der Zone cblabs.de auf und setzt durch den Para-meter -t SRV einen Filter auf Einträge vom Typ SRV. Für die Auflistung wird eine Zonenübertragung durch-geführt. Ist die Zonenübertragung deaktiviert, schlägt der Befehlsaufruf fehl.


Sie sind als Netzwerkadministrator für das Unternehmen CertBase tätig. Das Firmennetzwerk besteht aus einer Active Directory-Domänendienste (AD DS) Domäne mit dem Namen certbase.de. Die DNS-Zone certbase.de ist in Active Directory gespeichert. Auf allen Domänencontrollern ist das Betriebssystem Windows Server 2008 R2 installiert.

Sie müssen überprüfen, ob alle relevanten DNS-Einträge für die Active Directory Replikation korrekt registriert sind.

Wie gehen Sie vor?

A Verwenden Sie das Befehlszeilenprogramm Netsh.exe.

B Verwenden Sie das Befehlszeilenprogramm .

C Verwenden Sie das Active Directory Modul für die Windows PowerShell und führen Sie das Cmdlet Get-ADRootDSE aus.

D Verwenden Sie das Active Directory Modul für die Windows PowerShell und führen Sie das Cmdlet Get-ADDomainController aus.


Erläuterungen:

DNSLint ist ein Microsoft Windows-Dienstprogramm, das Sie bei der Diagnose häufig auftretender Probleme mit der DNS-Namensauflösung unterstützt.

In DNSLint gibt es drei verschiedene Funktionen, die jeweils DNS-Datensätze (DNS = Domain Name System) überprüfen und einen entsprechenden HTML-Bericht generieren. Diese drei Funktionen sind:

• dnslint /d: Diese Funktion diagnostiziert mögliche Ursachen einer langsamen Delegierung sowie weite-re einschlägige DNS-Probleme.

• dnslint /ql: Diese Funktion überprüft benutzerdefinierte DNS-Datensätze auf mehreren DNS-Servern. • dnslint /ad: Diese Funktion überprüft DNS-Datensätze, die speziell für die Active Directory-

Replikation verwendet werden.


Sie sind als Netzwerkadministrator für das Unternehmen CertBase tätig. Das Firmennetzwerk besteht aus einer Active Directory-Gesamtstruktur. Die Gesamtstruktur umfasst eine Domäne und drei Standorte. Jeder Stand-ort enthält zwei Domänencontroller. Alle Domänencontroller agieren als DNS-Server.

Sie erstellen eine neue Active Directory-integrierte Zone.

Sie müssen sicherstellen, dass die neue Zone nur auf die Domänencontroller an einem der drei Standorte repli-ziert wird.


A Bearbeiten Sie das NTDS-Standorteinstellungsobjekt für den betreffenden Standort.

B Ändern Sie die Replikationseinstellungen der Standortverknüpfung DEFAULTIPSITELINK.

C Erstellen Sie ein Active Directory-Verbindungsobjekt.

D Erstellen Sie eine Anwendungsverzeichnispartition in Active Directory.


Erläuterungen:

Mit Hilfe des Befehlszeilenprogramms Dnscmd.exe kann eine neue DNS-Anwendungsverzeichnispartiton in Active Directory erstellt werden. Der neuen Partition können anschließend Domänencontroller als Replikat-empfänger hinzugefügt werden. In den Eigenschaften der Zone kann der Bereich der Zonenreplikation schließ-lich auf die neue Verzeichnispartition abgeändert werden.

Erstellen einer DNS-Anwendungsverzeichnispartiton auf dem Domänencontroller dc1:

dnscmd dc1.certbase.de /CreateDirectoryPartition myReplikationsbereich.certbase.de

Hinzufügen von dc2.certbase.de zum Replikationsbereich der Verzeichnispartiton:

dnscmd dc2.certbase.de /EnlistDirectoryPartition myReplikationsbereich.certbase.de

Ändern des Replikationsbereiches der Active Directory-integrierten Zone:


Sie sind als Netzwerkadministrator für das Unternehmen CertBase tätig. Das Firmennetzwerk besteht aus einer Active Directory-Gesamtstruktur mit zwei Domänen. Die Namen der Domänen lauten certbase.de und ver-trieb.certbase.de. Die Konfiguration der Domänencontroller wird in der Abbildung gezeigt (klicken Sie auf die Schaltfläche Zeichnung).

Auf allen Domänencontrollern ist das Betriebssystem Windows Server 2008 R2 installiert. Alle DNS-Zonen sind als Active Directory-integrierte Zonen konfiguriert.

Sie müssen sicherstellen, dass die Zone certbase.de auf DC3 verfügbar ist.


A Dnscmd.exe dc1.certbase.de /ZoneChangeDirectoryPartition certbase.de /domain

B Dnscmd.exe dc1.certbase.de /ZoneChangeDirectoryPartition certbase.de /forest

C Dnscmd.exe dc3.certbase.de /ZoneChangeDirectoryPartition certbase.de /domain

D Dnscmd.exe dc3.certbase.de /ZoneChangeDirectoryPartition certbase.de /forest


Erläuterungen:

Der Befehlsaufruf aus Antwort B ändert den Bereich der Zonenreplikation für die Zone certbase.de so, dass die Zonendaten auf alle Domänencontroller der Gesamtstruktur repliziert werden, die auch als DNS-Server konfi-guriert sind.

Documents

Microsoft - 70-640a TS: Konfigurieren von Windows Server