Microsoft - 70-646 PRO: Windows Server 2008

Microsoft - 70-646 PRO: Windows Server 2008, Serveradministrator

Planning for Business Continuity and High Availability

Frage 1

Sie sind als Netzwerkadministrator für das Unternehmen CertBase tätig. Das Firmennetzwerk ent-hält fünf Windows Server 2008 R2 Computer, auf denen die Serverrolle Remotedesktopdienste installiert ist.

Sie planen den Aufbau einer Serverfarm mit dem Host für Remotedesktopsitzungen mit Lasten-ausgleich.

Sie müssen sicherstellen, dass die Serverfarm den folgenden Anforderungen entspricht:

Neue Benutzer sollen automatisch mit dem Remotedesktop-Sitzungshost verbunden werden, der die wenigsten aktiven Sitzungen verwaltet.

Getrennte Benutzer sollen an den Server weitergeleitet werden, der die vorherige Sitzung verwaltet.

Welche Funktion werden Sie implementieren?

A Netzwerklastenausgleich (NLB)

B DNS Round Robin

C Remotedesktop-Gatewayserver

D Remotedesktop-Verbindungsbroker


Korrekte Antwort: D

Erläuterungen:

Obwohl für den Aufbau einer Remotedesktopsitzungs-Hostserverfarm auch ein Lastverteilungs-mechanismus wie der Netzwerklastenausgleich oder Round Robin benötigt wird, ist für die Um-setzung der Anforderungen der Remotedesktop-Verbindungsbroker die primäre Komponente.

Der RD-Verbindungsbroker ist ein Rollendienst, der folgende Funktionen bietet:

Er ermöglicht es einem Benutzer, eine Verbindung mit seiner vorhandenen Sitzung in einer Serverfarm mit dem Host für Remotedesktopsitzungen mit Lastenausgleich wiederherzustel-len.

Er ermöglicht Ihnen die gleichmäßige Verteilung der Sitzungslast zwischen Servern in einer Serverfarm mit dem Host für Remotedesktopsitzungen mit Lastenausgleich.

Der RD-Sitzungsbroker speichert Sitzungsstatusinformationen, d. h., Sitzungs-IDs, ihre zugeordne-ten Benutzernamen sowie den Namen des Servers, auf dem sich die einzelnen Sitzungen befin-den.

Wenn ein Benutzer die Verbindung mit einer Sitzung trennt (absichtlich oder aufgrund eines Netzwerkfehlers), werden die entsprechenden Anwendungen weiterhin ausgeführt. Wenn ein Benutzer eine Verbindung wiederherstellt, wird der RD-Sitzungsbroker abgefragt, um zu bestim-men, ob dieser Benutzer über eine vorhandene Sitzung verfügt und wenn ja, auf welchem Server in der Farm. Gibt es eine vorhandene Sitzung, leitet der RD-Sitzungsbroker den Client auf den Remotedesktop-Sitzungshost um, auf dem sich die entsprechende Sitzung befindet.

Beim Lastenausgleich des RD-Sitzungsbrokers wird der Benutzer auf den Remotedesktop-Sitzungshost mit den wenigsten Sitzungen umgeleitet, wenn der Benutzer ohne vorhandene Sit-zung eine Verbindung mit einem Remotedesktop-Sitzungshost in der Farm mit Lastenausgleich herstellt. (Wenn Sie die Sitzungslast zwischen leistungsstarken und weniger leistungsstarken Ser-vern in der Farm verteilen möchten, können Sie einem Server einen relativen Sitzungslastwert zuweisen.) Wenn ein Benutzer mit einer vorhandenen Sitzung eine Verbindung wiederherstellt, wird dieser auf den Remotedesktop-Sitzungshost umgeleitet, auf dem sich die entsprechende Sitzung befindet.

Planning Application and Data Provisioning

Frage 2

Sie sind als Netzwerkadministrator für das Unternehmen CertBase tätig. Das Firmennetzwerk enthält einen Windows Server 2008 R2 Computer mit dem Namen Server2. Server2 dient als Dateiserver.

Als Clientcomputer werden ausschließlich tragbare Computer mit dem Betriebssystem Windows 7 einge-setzt. Das Firmennetzwerk ist nicht mit dem Internet verbunden.

Benutzer speichern Dateien, die sie anderen zur Verfügung stellen wollen, in ein freigegebenes Verzeichnis auf Server2.

Sie müssen eine Lösung implementieren, die es den Benutzern ermöglicht auf die freigegebenen Dateien zuzugreifen, wenn sie nicht mit dem Netzwerk verbunden sind.

Wie gehen Sie vor?

A Konfigurieren Sie die Option Zwischenspeichern in den Eigenschaften des freigegebenen Verzeichnis-ses.

B Implementieren Sie Windows SharePoint Foundation 2010.

C Installieren Sie das Feature Background Intelligent Transfer Service (BITS) Servererweiterungen.

D Konfigurieren Sie den Rollendienst Verteiltes Dateisystem (DFS) für das Bereitstellen des freigegebenen Verzeichnisses.


Korrekte Antwort: A

Erläuterungen:

Über die Eigenschaften eines freigegebenen Verzeichnisses können Sie die Optionen für das Zwischenspei-chern der enthaltenen Daten konfigurieren. Sofern Sie das Zwischenspeichern zulassen, kann der Benutzer die Freigabe offline verfügbar machen (Offlinedateien) und auf seinen Clientcomputer synchronisieren.

Wenn Sie eine Netzwerkdatei oder einen Netzwerkordner offline verfügbar machen, erstellt Windows au-tomatisch eine Kopie dieser Datei oder dieses Ordners auf dem Computer. Jedes Mal, wenn die Verbindung mit diesem Netzwerkordner wieder hergestellt wird, synchronisiert Windows die Dateien auf dem Compu-ter und im Netzwerkordner. Sie können sie aber auch jederzeit manuell aktualisieren.

Wenn Sie offline arbeiten und Änderungen an Offlinedateien in einem Netzwerkordner vornehmen, syn-chronisiert Windows automatisch alle Änderungen, wenn die Verbindung mit diesem Netzwerkordner das nächste Mal hergestellt wird.

Wenn Sie offline arbeiten und ein anderer Benutzer Änderungen an Dateien in einem Netzwerkordner vor-nimmt, synchronisiert Windows diese Änderungen mit den Offlinedateien auf dem Computer, wenn die Verbindung mit diesem Netzwerkordner das nächste Mal hergestellt wird. Wenn Sie die Dateien ebenfalls seit der letzten Verbindung mit dem Netzwerkordner geändert haben, tritt ein Synchronisierungskonflikt auf. Sie werden dann von Windows gefragt, welche Version beibehalten werden soll.

Synchronisierungskonflikte können mithilfe des Synchronisierungscenters gelöst werden.

Stellt Windows ein Problem beim Versuch fest, Offlinedateien zwischen dem Computer und einem Netz-werkordner zu synchronisieren (beispielsweise, wenn der zu synchronisierende Netzwerkordner nicht ver-fügbar ist), tritt ein Synchronisierungsfehler auf.


Frage 3

Sie sind als Netzwerkadministrator für das Unternehmen CertBase tätig. Das Firmennetzwerk besteht aus einer einzelnen Active Directory-Domänendienste Domäne mit dem Namen certbase.de. Auf allen Domä-nencontrollern ist das Betriebssystem Windows Server 2008 R2 installiert. Das Netzwerk enthält fünf Windows Server 2003 Computer auf denen die Komponente Terminalserver installiert ist. Auf einem Fire-wallserver wird Microsoft Internet Security and Acceleration (ISA) Server 2006 ausgeführt.

Sie müssen eine Remotezugriffsstrategie für die Terminalserver entwerfen. Ihre Lösung muss den nachfol-genden Anforderungen entsprechen:

Der Zugriff muss auf bestimmte Benutzer beschränkt werden. Die Anzahl der offenen Anschlüsse (Ports) auf der Firewall muss minimiert werden. Alle Remoteverbindungen mit den Terminalservern müssen verschlüsselt sein. Wie gehen Sie vor?

A Implementieren Sie das SSL-Bridging auf dem ISA Server. Erfordern Sie am ISA Server die Authentifizie-rung aller eingehenden Verbindungen.

B Implementieren Sie auf dem ISA Server eine Portweiterleitung. Erfordern Sie am ISA Server die Authenti-fizierung aller eingehenden Verbindungen.

C Aktualisieren Sie einen der Windows Server 2003 Computer auf Windows Server 2008 R2. Installieren Sie auf dem Windows Server 2008 R2 Computer den Rollendienst Remotedesktopgateway und konfigu-rieren Sie eine Remotedesktop-Ressourcenautorisierungsrichtlinie RD RAP).

D Aktualisieren Sie einen der Windows Server 2003 Computer auf Windows Server 2008 R2. Installieren Sie auf dem Windows Server 2008 R2 Computer den Rollendienst Remotedesktopgateway und konfigu-rieren Sie eine Remotedesktop-Verbindungsautorisierungsrichtlinie (RD-CAP).


Korrekte Antwort: D

Erläuterungen:

Remotedesktopgateway (RD-Gateway) ist ein Rollendienst, der autorisierten Remotebenutzern das Herstel-len von Verbindungen mit Ressourcen in einem internen Firmennetzwerk oder privaten Netzwerk von je-dem Gerät aus ermöglicht, das mit dem Internet verbunden ist und auf dem der Remotedesktopverbin-dungs-Client (RDC-Client) ausgeführt werden kann. Netzwerkressourcen können Host für Remotedesktop-sitzungen-Server, Host für Remotedesktopsitzungen-Server, auf denen RemoteApp-Programme ausgeführt werden, oder Computer mit aktiviertem Remotedesktop sein.

RD-Gateway verwendet das Remotedesktopprotokoll (RDP) über HTTPS zur Herstellung einer sicheren, verschlüsselten Verbindung zwischen Remotebenutzern im Internet und den internen Netzwerkressourcen, auf denen Produktivitätsanwendungen ausgeführt werden.

Hinweis:

SSL-Bridging (Secure Sockets Layer, SSL) bezeichnet die Fähigkeit von Microsoft Internet Security & Accele-ration (ISA) Server 2006, Clientanforderungen zu verschlüsseln oder entschlüsseln und die Anforderung an einen Zielwebserver zu übergeben. SSL-Tunneling bezeichnet die Einrichtung eines direkten Tunnels vom Client zum Webserver, ohne dass es zu einer Beeinflussung durch ISA Server kommt.


Frage 4

Sie sind als Netzwerkadministrator für das Unternehmen CertBase tätig. Das Firmennetzwerk besteht aus einer einzelnen Active Directory Gesamtstruktur. Das Netzwerk enthält einen Windows Server 2008 R2 Computer mit dem Namen Server1. Server1 führt die Serverrolle Dateiserver aus.

Die Mitarbeiter der Verkaufsabteilung verwenden tragbare Computer mit dem Betriebssystem Windows 7 Enterprise. Die Mitarbeiter der Verkaufsabteilung arbeiten sowohl von Ihrem Büroarbeitsplatz als auch von Remotestandorten aus.

Sie müssen eine Lösung für die Dateiablage entwerfen, die den folgenden Anforderungen entspricht:

Die Benutzer müssen die Möglichkeit haben, Dateien zu wählen, die verfügbar sind, wenn sie nicht mit dem Netzwerk verbunden sind.

Ihre Lösung muss die Anzahl der Dateien, die auf den tragbaren Computern gespeichert sind, minimie-ren.

Ihre Lösung muss die benötigte Zeit für die Anmeldung der Benutzer am Netzwerk minimieren. Wie gehen Sie vor?

A Konfigurieren Sie Offlinedateien und aktivieren Sie das manuelle Zwischenspeichern.

B Konfigurieren Sie Offlinedateien und aktivieren Sie das automatische Zwischenspeichern.

C Verwenden Sie lokale Benutzerprofile und implementieren Sie die Ordnerumleitung.

D Verwenden Sie servergespeicherte Benutzerprofile und implementieren Sie die Ordnerumleitung.


Korrekte Antwort: A

Erläuterungen:

Offlinedateien sind Kopien von Netzwerkdateien, die auf dem Computer gespeichert werden. Sie können auf die Dateien zugreifen, wenn keine Verbindung mit dem Netzwerk besteht oder wenn der Netzwer-kordner nicht mit den Dateien verbunden ist. Die Größe und Anzahl der Offlinedateien bestimmen den Umfang des verwendeten Speicherplatzes auf der Festplatte, den die Offlinedateien belegen.

Im Unterschied zum automatischen Zwischenspeichern, muss der Benutzer bei der manuellen Zwischen-speicherung von Offlinedateien selber festlegen welchen Verzeichnisse und Dateien er offline verfügbar machen möchte.

Offlinedateien bieten mehrere Vorteile für Benutzer von Dateien, die in freigegebenen Netzwerkordnern gespeichert sind. Das Arbeiten mit Offlinedateien bietet folgende Vorteile:

Schutz vor Netzwerkausfällen. Bei Verwendung von Offlinedateien spielen Ausfälle des Netzwerks oder die mangelnde Verfügbarkeit des Netzwerkordners, auf den zugegriffen wird, keine Rolle. Tritt einer dieser beiden Fälle auf, greift Windows automatisch auf die Offlinekopien der auf dem Computer ge-speicherten Dateien zu, anstatt auf die Dateien im Netzwerkordner. Somit kann die Arbeit ohne Unter-brechung fortgesetzt werden.

Arbeiten mit Dateien ohne Verbindung mit dem Netzwerk. Wenn die Verbindung mit dem Netzwerk getrennt ist, verlieren Sie in der Regel die Fähigkeit, auf Dateien zuzugreifen, die im Netzwerk gespei-chert sind. Bei Verwendung von Offlinedateien können Sie die Verbindung mit dem Netzwerk trennen, und dennoch stehen Ihnen Kopien aller Netzwerkdateien zur Verfügung, die sie offline verfügbar ge-macht haben. Dies ist vor allem nützlich, wenn Sie mit einem mobilen PC unterwegs sind.

Einfaches Synchronisieren mit Netzwerkdateien. Bei Verwendung von Offlinedateien können Sie jeder-zeit mit nur einem Mausklick mit der aktuellsten Version der Dateien in einem Netzwerkordner syn-chronisieren.

Höhere Effizienz beim Arbeiten über eine langsame Verbindung. Wenn Sie über eine langsame Verbin-dung mit dem Netzwerk verbunden sind, kann das Bearbeiten von Dateien in einem freigegebenen Netzwerkordner ineffizient und zeitaufwändig sein. Offlinedateien bringen hier Abhilfe, da Sie prob-lemlos wechseln und jederzeit die Offlinekopien der Netzwerkdateien bearbeiten können.


Frage 5

Sie sind als Netzwerkadministrator für das Unternehmen CertBase tätig. Das Unternehmen hat eine Haupt-geschäftsstelle und eine Zweigstelle. Jeder Standort verfügt über einen Domänencontroller und einen Dat-eiserver. Das Firmennetzwerk besteht aus einer einzelnen Active Directory Domäne mit dem Namen cert-base.de. Auf allen Servercomputern wird Windows Server 2008 R2 ausgeführt.

Sie planen die Implementierung des verteilten Dateisystems (Distributed File System, DFS). Ihre Lösung muss den folgenden Anforderungen entsprechen:

Die Benutzer dürfen nur die Verzeichnisse sehen auf die sie Zugriff haben. Die Benutzer müssen lokal an ihrem Standort Zugriff auf die Daten erhalten. Die Bandbreite, die für die Replikation der Daten erforderlich ist, muss minimiert werden. Wie gehen Sie vor?

A Erstellen Sie einen eigenständigen Namespace. Aktivieren Sie die Access Based Enumeration (ABE) und verwenden Sie die DFS-Replikation.

B Erstellen Sie einen eigenständigen Namespace. Aktivieren Sie die Access Based Enumeration (ABE) und verwenden Sie den Dateireplikationsdienst (File Replication Service, FRS).

C Erstellen Sie einen domänenbasierten Namespace und verwenden Sie die DFS-Replikation. Bearbeiten Sie alle Freigaben und konfigurieren Sie die Freigaben als versteckte Freigaben.

D Erstellen Sie einen domänenbasierten Namespace und verwenden Sie den Dateireplikationsdienst (File Replication Service, FRS). Bearbeiten Sie alle Freigaben und konfigurieren Sie die Freigaben als versteckte Freigaben.


Korrekte Antwort: A

Erläuterungen:

Eine der neuen Funktionalitäten von Windows Server 2008 und Windows Server 2008 R2 ist die Integration von 'Access Based Enumeration' (ABE). In Windows Server 2003 stand diese Funktion bereits zur Verfü-gung, war aber standardmäßig ausgeschaltet. In Windows Server 2008 ist ABE für neu angelegte freigege-bene Verzeichnisse eingeschaltet, außerdem ist die Leistungsfähigkeit nochmals verbessert worden. Erst-mals können Sie jetzt diese Funktion auch als Teil von DFS benutzen. Als Standard ist Sie jedoch für DFS ausgeschaltet. Zum Aktivieren benutzen Sie die Kommandozeile:

dfsutil property abde enable \\.

Voraussetzung für ABE als Teil von DFS ist entweder ein eigenständiger Namespace auf einem Windows Server 2008 / R2 Computer, oder ein domänenbasierter Namespace in einer Domäne mit der Domänen-funktionsebene Windows Server 2008 oder höher.


Frage 6

Sie sind als Netzwerkadministrator für das Unternehmen CertBase tätig. Das Firmennetzwerk besteht aus einer Active Directory-Domänendienste Domäne mit dem Namen certbase.de. Die Domäne enthält einen Windows Server 2008 R2 Computer auf dem die Serverrolle Remotedesktopdienste installiert ist. Auf allen Clientcomputern ist Windows 7 installiert.

Sie planen die Verteilung einer neuen branchenspezifischen Anwendung auf alle Clientcomputer. Die Ver-teilung der Software muss die folgenden Anforderungen erfüllen:

Die Benutzer müssen über ein Desktopsymbol Zugriff auf die Anwendung erhalten. Die Benutzer müssen auch dann Zugriff auf die Anwendung erhalten, wenn sie nicht mit dem Netz-

werk verbunden sind. Wie gehen Sie vor?

A Veröffentlichen Sie die Anwendung als RemoteApp.

B Veröffentlichen Sie die Anwendung über Web Access für Remotedesktop.

C Verwenden Sie ein Gruppenrichtlinienobjekt und weisen Sie die Anwendung dem Remotedesktop-Sitzungshost zu.

D Verwenden Sie ein Gruppenrichtlinienobjekt und weisen Sie die Anwendung allen Clientcomputern zu.


Korrekte Antwort: D

Erläuterungen:

Die Benutzer sollen die Anwendung auch verwenden können, wenn sie nicht mit dem Netzwerk verbunden sind. Eine Bereitstellung der Software über den Remotedesktop-Sitzungshost kommt daher nicht in Frage. Wir können jedoch die Softwareverteilung über ein Gruppenrichtlinienobjekt (GPO) verwenden, um die Anwendung auf allen Clientcomputern lokal zu installieren.


Frage 7

Sie sind als Netzwerkadministrator für das Unternehmen CertBase tätig. Das Firmennetzwerk besteht aus einer einzelnen Active Directory-Domänendienste Domäne mit dem Namen certbase.de. Domänenbenutzer verwenden wechselnde Computer, um sich an der Domäne anzumelden.

Sie müssen eine Lösung für die Datenbereitstellung entwerfen, die den folgenden Anforderungen ent-spricht:

Die Benutzer müssen unabhängig von dem Computer, den sie verwenden, Zugriff auf ihr Dokumenten-verzeichnis erhalten.

Die Dokumente der Benutzer dürfen nicht lokal auf den Clientcomputern gespeichert werden. Ihre Planung muss die Anmeldezeiten der Benutzer minimieren. Wie gehen Sie vor?

A Konfigurieren Sie Offlinedateien.

B Konfigurieren Sie Anmeldeskripte.

C Konfigurieren Sie die Ordnerumleitung.

D Konfigurieren Sie servergespeicherte Profile.


Korrekte Antwort: C

Erläuterungen:

Benutzereinstellungen und Benutzerdateien werden in der Regel im lokalen Benutzerprofil im Ordner Be-nutzer gespeichert. Der Zugriff auf die Dateien in lokalen Benutzerprofilen kann nur vom aktuellen Compu-ter erfolgen. Daher ist es für Benutzer mit mehr als einem Computer schwierig, mit den Daten zu arbeiten und die Einstellungen zwischen mehreren Computern zu synchronisieren. Dieses Problem kann mithilfe von zwei Technologien gelöst werden: servergespeicherte Profile und Ordnerumleitung. Beide Technologien haben ihre Vorteile und können separat oder zusammen verwendet werden, um einen nahtlosen Übergang von einem Computer zu einem anderen Computer zu ermöglichen. Sie bieten außerdem weitere Optionen für Administratoren, die Benutzerdaten verwalten.

Mithilfe der Ordnerumleitung können Administratoren den Pfad eines Ordners an einen neuen Speicherort umleiten. Der Speicherort kann entweder ein Ordner auf dem lokalen Computer oder ein Verzeichnis in einer Netzwerkdateifreigabe sein. Benutzer haben die Möglichkeit, die Dokumente auf einem Server so zu verwenden, als wenn die Dokumente sich auf einem lokalen Laufwerk befänden. Die Dokumente im Ord-ner sind für die Benutzer auf jedem Computer im Netzwerk verfügbar. Die Ordnerumleitung befindet sich in der Konsolenstruktur unter Windows-Einstellungen, wenn die domänenbasierte Gruppenrichtlinie mithilfe der Gruppenrichtlinien-Verwaltungskonsole bearbeitet wird. Der Pfad lautet [Gruppenrichtlinienobjektna-me]\ Benutzerkonfiguration\ Richtlinien\ Windows-Einstellungen\ Ordnerumleitung.

Im vorliegenden Fall sollte das Verzeichnis Dokumente aus dem Benutzerprofil in einen Netzwerkspeicher-ort umgeleitet werden.

Planning for Server Deployment

Frage 8

Sie sind als Netzwerkadministrator für das Unternehmen CertBase tätig. Das Firmennetzwerk be-steht aus einer einzelnen Active Directory-Domänendienste Domäne mit dem Namen certbase.de. Die Domäne enthält einen Windows Server 2008 R2 Computer, der die Serverrolle Remotedesk-topdienste ausführt

Auf dem Remotedesktop-Sitzungshost sind sechs spezifische Anwendungen installiert. Die sechs Anwendungen sind als RemoteApp konfiguriert.

Sie stellen fest, dass bei der Ausführung einer der sechs Anwendungen durch einen Benutzer, die anderen Benutzer über Leistungseinbrüche des Servers berichten und einige Anwendungen nicht mehr reagieren.

Sie müssen sicherstellen, dass die Systemressourcen gleichmäßig auf die aktiven Benutzersitzun-gen verteilt werden.

Wie gehen Sie vor?

A Implementieren Sie Web Access für Remotedesktop.

B Implementieren Sie den Remotedesktop-Verbindungsbroker.

C Konfigurieren Sie die Zuverlässigkeits- und Leistungsüberwachung.

D Implementieren Sie den Windows-Systemressourcen-Manager (WSRM).


Korrekte Antwort: D

Erläuterungen:

Mit dem Windows-Systemressourcen-Manager für das Betriebssystem Windows Server 2008 R2 können Sie die Prozessor- und Speicherauslastung auf dem Server mit standardmäßigen oder benutzerdefinierten Ressourcenrichtlinien verwalten. Durch Verwalten von Ressourcen wird si-chergestellt, dass alle von einem einzelnen Server bereitgestellten Dienste in gleichem Umfang zur Verfügung stehen oder dass für Anwendungen, Dienste oder Benutzer mit einer hohen Priorität immer Ressourcen verfügbar sind.

Der Windows-Systemressourcen-Manager verwaltet Prozessorressourcen nur dann, wenn die zusammengefasste Prozessorlast größer als 70 Prozent ist. Das bedeutet, dass bei einer geringen Prozessorlast die für jeden Benutzer verfügbaren Ressourcen nicht aktiv eingeschränkt werden. Bei einer konkurrierenden Nachfrage an Prozessorressourcen kann mit Ressourcenzuweisungs-richtlinien eine Mindestverfügbarkeit für eine Ressource nach dem von Ihnen definierten Verwal-tungsprofil sichergestellt werden.

Mit dem Windows-Systemressourcen-Manager können Sie folgende Aufgaben ausführen:

Sie können Systemressourcen (Prozessor und Speicher) mit vorkonfigurierten Richtlinien ver-walten oder benutzerdefinierte Richtlinien erstellen, die einzelnen Prozessen, Benutzern oder IIS-Anwendungspools Ressourcen zuweisen.

Sie können mithilfe von Kalenderregeln unterschiedliche Richtlinien zu verschiedenen Zeiten anwenden, ohne dass ein manueller Eingriff oder eine Neukonfiguration erforderlich ist.

Sie können Ressourcenrichtlinien automatisch nach Servereigenschaften und Ereignissen (wie Clusterereignissen oder Bedingungen) oder Änderungen am installierten physischen Speicher oder der Anzahl von Prozessoren auswählen.

Sie können Ressourcenauslastungsdaten lokal oder in einer benutzerdefinierten SQL-Datenbank sammeln. Ressourcenauslastungsdaten von mehreren Servern können auf einem einzigen Computer konsolidiert werden, auf dem der Windows-Systemressourcen-Manager ausgeführt wird.


Frage 9

Sie sind als Netzwerkadministrator für das Unternehmen CertBase tätig. Das Unternehmen setzt mehrere Windows Server 2008 R2 Dateiserver ein.

Sie müssen eine Strategie für die Datenwiederherstellung planen. Ihre Lösung muss die folgenden Anforderungen erfüllen:

Sicherungen dürfen nur minimale Auswirkungen auf die Leistung haben. Alle Datenvolumes der Dateiserver müssen täglich gesichert werden. Für den Fall, dass ein Datenträger ausfällt, muss es möglich sein, einzelne Dateien wiederher-

zustellen. Benutzer müssen die Möglichkeit haben, vorherige Versionen von Dateien ohne die Interven-

tion eines Administrators wiederherstellen zu können. Wie gehen Sie vor?

A Installieren Sie den Ressourcen-Manager für Dateiserver (FSRM). Verwenden Sie Windows Ser-ver-Sicherung, um eine tägliche Sicherung auf einen externen Datenträger durchzuführen.

B Installieren Sie das Windows Automated Installation Kit (WAIK). Aktivieren Sie Schattenkopien für die Volumes, die Benutzerdaten enthalten. Speichern Sie die Schattenkopien auf einem separaten physikalischen Datenträger.

C Verwenden Sie Windows Server-Sicherung, um eine tägliche Sicherung auf einen externen Datenträger durchzuführen. Aktivieren Sie Schattenkopien für die Volumes, die Benutzerdaten enthalten. Speichern Sie die Schattenkopien auf einem separaten physikalischen Datenträger.

D Verwenden Sie Windows Server-Sicherung, um eine tägliche Sicherung in eine Netzwerkfrei-gabe auf einem anderen Server durchzuführen. Aktivieren Sie Schattenkopien für die Volumes, die Benutzerdaten enthalten. Speichern Sie die Schattenkopien im Standard-Speicherort.


Korrekte Antwort: C

Erläuterungen:

Um eine tägliche Datensicherung durchzuführen können wir das Feature Windows Server-Sicherung verwenden. Um den Benutzern Zugriff auf vorherige Versionen ihrer Dateien zu ermög-lichen, können wir Schattenkopien einsetzen.

Windows Server-Sicherung

Das Feature Windows Server-Sicherung in Windows Server 2008 R2 besteht aus einem MMC-Snap-In (Microsoft Management Console) sowie Befehlszeilentools, die zusammen eine vollstän-dige Lösung für tägliche Sicherungs- und Wiederherstellungsaufgaben darstellen. Sie werden von vier Assistenten durch die Ausführung der Sicherungen und Wiederherstellungen geleitet. Mit der Windows Server-Sicherung können Sie einen vollständigen Server (alle Volumes), ausgewählte Volumes oder den Systemstatus sichern. Sie können Volumes, Ordner, Dateien, bestimmte An-wendungen und den Systemstatus wiederherstellen. In Notfällen, z. B. bei Festplattenausfall, können Sie zudem eine Systemwiederherstellung ausführen, mit der das gesamte System auf ei-ner neuen Festplatte wiederhergestellt wird. Dazu werden eine vollständige Serversicherung und die Windows-Wiederherstellungsumgebung verwendet.

Schattenkopien

Mit Schattenkopien für freigegebene Ordner werden zeitnahe Kopien von Dateien auf gemein-sam genutzten Ressourcen, z. B. einem Dateiserver, erstellt. Benutzer können mithilfe von Schat-tenkopien für freigegebene Ordner freigegebene Dateien und Order in einem früheren Zustand anzeigen. Der Zugriff auf vorherige Versionen von Dateien bzw. auf Schattenkopien ermöglicht den Benutzern Folgendes:

Wiederherstellen versehentlich gelöschter Dateien. Falls Sie versehentlich eine Datei löschen, können Sie eine vorherige Version öffnen und an einem sicheren Ort speichern.

Wiederherstellen versehentlich überschriebener Dateien. Falls Sie versehentlich eine Datei überschreiben, können Sie eine vorherige Version der Datei wiederherstellen.

Versionsvergleich einer Datei während der Arbeit. Sie können mithilfe vorheriger Versionen feststellen, was sich zwischen zwei Versionen einer Datei geändert hat.

Standardmäßig werden Schattenkopien auf demselben Laufwerk gespeichert, wie die geschütz-ten Daten selber. Um die Leistung nicht herabzusetzen, sollten wir die Schatenkopien auf einen anderen Datenträger speichern.


Frage 10

Sie sind als Netzwerkadministrator für das Unternehmen CertBase tätig. Das Unternehmen hat einen neuen Server angeschafft. Der neue Server verfügt über fünf interne SCSI Festplatten, die an einen Onboard SCSI Controller angeschlossen sind.

Sie planen den neuen Server als Windows Server 2008 R2 Dateiserver einzusetzen. Sie müssen eine Speicherlösung entwerfen, die den folgenden Anforderungen entspricht:

Die Daten des Betriebssystems müssen physikalisch von den Benutzerdaten getrennt werden. Der verfügbare Plattenplatz für Dateien soll maximiert werden. Es darf nur die Hardware des Servercomputers verwendet werden. Die Integrität der Daten muss auch bei Ausfall eines Datenträgers gewährleistet bleiben. Es muss sichergestellt sein, dass das Betriebssystem auch bei Ausfall eines Datenträgers ge-

startet werden kann. Wie gehen Sie vor?

A Verbinden Sie alle Festplatten zu einem RAID-5 Volume für die Daten des Betriebssystems und die Benutzerdaten.

B Verbinden Sie drei Festplatten zu einem Stripesetvolume für die Benutzerdaten. Verwenden Sie zwei Festplatten, um ein gespiegeltes Volume für die Daten des Betriebssystems zu erstellen.

C Verbinden Sie vier Festplatten zu einem RAID-5 Volume für die Benutzerdaten. Verwenden Sie eine Festplatte, um einen einfaches Volume für die Daten des Betriebssystem zu erstellen.

D Verbinden Sie drei Festplatten zu einem RAID-5 Volume für die Benutzerdaten. Verwenden Sie zwei Festplatten, um ein gespiegeltes Volume für die Daten des Betriebssystems zu erstellen.


Korrekte Antwort: D

Erläuterungen:

Antwort D stellt eine "Standardlösung" für die Festplattenkonfiguration eines Dateiservers dar. Zwei Platten werden verwendet um Fehlertoleranz für den Speicher des Betriebssystem zu erhal-ten und drei oder mehr Festplatten werden zu einem RAID-5 Volume für die Benutzerdaten ver-bunden.

Falsche Antworten:

A: Die Daten des Betriebssystems sollen physikalisch von den Daten der Benutzer getrennt wer-den. Es genügt nicht einen RAID-5 Datenträger mit mehreren Volumes zu erstellen.

B: Ein Stripesetvolume ist ein dynamisches Volume, auf dem Daten in Stripes auf mindestens zwei physikalischen Datenträgern gespeichert werden. Die Daten auf einem Stripesetvolume wer-den abwechselnd und gleichmäßig (in Stripes) auf den Datenträgern verteilt. Stripesetvolumes bieten von allen unter Windows verfügbaren Volumes die beste Leistung; Fehlertoleranz bie-ten sie jedoch nicht. Wenn bei einem der Datenträger in einem Stripesetvolume ein Fehler auf-tritt, gehen die Daten auf dem gesamten Volume verloren.

C: Für die Daten des Betriebssystems wird Fehlertoleranz gefordert.


Frage 11

Sie sind als Netzwerkadministrator für das Unternehmen CertBase tätig. Das Unternehmen hat eine Hauptgeschäftsstelle und eine Zweigstelle. Die beiden Standorte sind über eine WAN-Verbindung miteinander verbunden.

Das Netzwerk besteht aus einer einzelnen Active Directory-Domänendienste Domäne mit dem Namen certbase.de. Für jeden Bürostandort wurde ein Active Directory-Standort erstellt. Auf den Servercomputern beider Standorte wird Windows Server 2008 R2 Enterprise Edition ausgeführt.

Sie planen die Implementierung einer Failoverclusterlösung, um Dienste für die Benutzer beider Standorte bereitzustellen. Ihre Lösung muss die nachstehenden Anforderungen erfüllen:

Die bereitgestellten Dienste müssen auch bei Ausfall eines einzelnen Servers verfügbar blei-ben.

Die Anzahl der benötigten Server soll so gering wie möglich ausfallen. Wie gehen Sie vor?

A Implementieren Sie einen Failovercluster mit einem Knoten in jedem Standort.

B Implementieren Sie einen Failovercluster mit zwei Knoten in jedem Standort.

C Implementieren Sie in der Hauptgeschäftsstelle einen Failovercluster mit einem Knoten. Im-plementieren Sie in der Zweigstelle einen Failovercluster mit einem Knoten.

D Implementieren Sie in der Hauptgeschäftsstelle einen Failovercluster mit zwei Knoten. Imple-mentieren Sie in der Zweigstelle einen Failovercluster mit zwei Knoten.


Korrekte Antwort: A

Erläuterungen:

Failovercluster sind für Anwendungen vorgesehen, die einen In-Memory-Langzeitzustand aufwei-sen oder die Status mit umfangreichen häufig aktualisierten Daten besitzen. Diese Anwendungen werden als statusbehaftete Anwendungen bezeichnet, und sie umfassen Datenbankanwendun-gen und Messaginganwendungen. Zu den typischen Verwendungsmöglichkeiten für Failoverclus-ter zählen Dateiserver, Druckserver, Datenbankserver und Messagingserver.

Mithilfe eines Failoverclusters können Sie sicherstellen, dass Benutzer nahezu gleichbleibenden Zugriff auf wichtige serverbasierte Ressourcen besitzen. Ein Failovercluster besteht aus unabhän-gigen Computern, die miteinander interagieren und somit die Verfügbarkeit von Diensten und Anwendungen erhöhen. Die gruppierten Server (so genannte Knoten) sind durch physische Kabel und durch Software vernetzt. Wenn einer der Knoten ausfällt, werden seine Aufgaben durch ei-nen als Failover bezeichneten Prozess sofort auf einen anderen Knoten übertragen.

Wir der gemeinsam verwendete Datenspeicher beispielsweise über iSCSI angebunden können die Serverknoten auch an verschiedenen physikalischen Standorten aufgestellt werden. Eine stabile Netzwerkverbindung ist dabei jedoch unerlässlich.


Frage 12

Sie sind als Netzwerkadministrator für das Unternehmen CertBase tätig. Sie planen die Installation einer verteilten Datenbankanwendung, die auf Windows Server 2008 R2 ausgeführt wird.

Sie müssen eine Speicherlösung entwerfen, die den folgenden Anforderungen entspricht:

Zuweisung von Speicherplatz an die Server bei Bedarf. Der Datenverkehr für Speichervorgänge muss vom bestehenden Netzwerk isoliert werden. Die Datenverfügbarkeit muss auch bei Ausfall eines einzelnen Datenträgers sichergestellt sein. Die Datenverfügbarkeit muss auch bei Ausfall eines einzelnen Speichercontrollers sicherge-

stellt sein. Wie gehen Sie vor?

A Verwenden Sie ein iSCSI Speichersubsystem, das Microsoft Multipfad E/A verwendet. Konfigu-rieren Sie ein RAID-0 Array.

B Verwenden Sie ein iSCSI Speichersubsystem, das den Dienst für virtuelle Datenträger (Virtual Disk Service, VDS) verwendet. Konfigurieren Sie ein RAID-5 Array.

C Verwenden Sie ein Fibre Channel (FC) Speichersubsystem, das Microsoft Multipfad E/A ver-wendet. Konfigurieren Sie ein RAID-5 Array.

D Verwenden Sie ein Fibre Channel (FC) Speichersubsystem, das den Dienst für virtuelle Daten-träger (Virtual Disk Service, VDS) verwendet. Konfigurieren Sie ein RAID-0 Array.


Korrekte Antwort: C

Erläuterungen:

Windows Server 2008 und Windows Server 2008 R2 enthalten zahlreiche Verbesserungen für die Konnektivität von Computern unter Betriebssystemen der Windows Server-Klasse mit SAN-Geräten (Storage Area Networking).

Zu den Verbesserungen, die eine hohe Verfügbarkeit für Verbindungen zwischen Windows-basierten Servern und SANs bereitstellen, zählt die integrierte Multipfad-E/A-Unterstützung (Multi-Path I/O, MPIO). Die Microsoft MPIO-Architektur unterstützt durch Einrichtung mehrerer Sitzun-gen oder Verbindungen mit dem Speicherarray SAN-Verbindungen für iSCSI, Fibre Channel und SAS (Serial Attached Storage).

In Multipfadlösungen werden redundante physische Pfadkomponenten (Adapter, Kabel und Switches) verwendet, um logische Pfade zwischen dem Server und dem Speichergerät zu erstel-len. Falls eine oder mehrere dieser Komponenten ausfallen und dies zu Fehlern im Pfad führt, wird von der Multipfadlogik ein anderer Pfad für E/A verwendet, sodass Anwendungen weiterhin auf die zugehörigen Daten zugreifen können. Jede Netzwerkkarte (bei iSCSI) und jeder HBA (Hostbusadapter) sollte über redundante Switchinfrastrukturen angeschlossen sein, um bei einem Fehler in der Speicherstrukturkomponente einen fortgesetzten Zugriff zu bieten.

Die Failoverzeiten unterscheiden sich je nach Hersteller des Speichergeräts und können mithilfe von Zeitgebern im Treiber des Microsoft iSCSI-Softwareinitiators oder durch Ändern der Parame-tereinstellungen für den Treiber des Fibre Channel-Hostbusadapters konfiguriert werden.

Zu den neuen MPIO-Features in Windows Server 2008 zählen ein gerätespezifisches Modul (De-vice Specific Module, DSM) für die Verwendung mit Speicherarrays, die das Controllermodell für den asymmetrischen Zugriff auf logische Einheiten (Asymmetrical Logical Unit Access, ALUA, wie in SPC-3 definiert) unterstützen, sowie mit Speicherarrays, die dem Active/Active-Controllermodell folgen.


Frage 13

Sie sind als Netzwerkadministrator für das Unternehmen CertBase tätig. Das Firmennetzwerk be-steht aus einer einzelnen Active Directory Gesamtstruktur. Die Gesamtstruktur enthält eine Active Directory-Domänendienste Domäne. Die Domäne enthält acht Domänencontroller. Auf allen Do-mänencontrollern ist das Betriebssystem Windows Server 2003 installiert.

Sie aktualisieren einen der Domänencontroller auf Windows Server 2008 R2.

Sie müssen eine Lösung für die Wiederherstellung des Active Directory entwerfen. Ihre Lösung muss die Wiederherstellung gelöschter Objekte bis zu einem Jahr nach dem Zeitpunkt des Lösch-vorganges ermöglichen.

Wie gehen Sie vor?

A Erhöhen Sie den Wert der Tombstone Lifetime für die Gesamtstruktur.

B Erhöhen Sie den Wert für das Intervall des Garbage Collection Prozesses für die Gesamtstruk-tur.

C Konfigurieren Sie die tägliche Sicherung des Windows Server 2008 R2 Domänencontrollers.

D Aktivieren Sie Schattenkopien für das Laufwerk des Windows Server 2008 R2 Domänencon-trollers, das die Datei Ntds.dit enthält.


Korrekte Antwort: A

Erläuterungen:

Das Attribut "tombstoneLifetime" im Active Directory bestimmt, wie lange ein gelöschtes Objekt in der Active-Directory-Datenbank bestehen bleibt (Tombstone = Grabstein), bis es von dem "Garbage Collection" Prozess auf einem DC endgültig gelöscht bzw. entfernt wird. Seit Windows 2000 lag die Tomstone Lifetime bei 60 Tagen; mit dem Service Pack 1 für Windows Server 2003 wurde sie auf 180 Tage erweitert. Allerdings gibt es einige Besonderheiten zu entdecken.

Das tombstoneLifetime-Attribut findet man (beispielsweise mit ADSIEdit) unter: CN=Directory Service,CN=Windows NT,CN=Services,CN=Configuration,DC=,DC= Die Tombstone Lifetime gilt für den ganzen Forest und kann nicht für jede Domäne separat eingestellt werden. Entscheidend ist, wie der erste DC eines Forests installiert wurde. Letztlich sieht die TombstoneLifetime auf den einzelnen Serverversionen wie folgt aus:

1. Neu installierter Windows 2000 DC (mit allen SPs) : 60 Tage (Attribut = ) 2. Upgrade von NT / 2000 DC auf 2003 DC : 60 Tage (Attribut = ) 3. Upgrade von NT / 2000 DC auf 2003 SP1 DC : 60 Tage (Attribut = ) 4. Upgrade von NT / 2000 DC auf 2003 SP1 / R2 DC : 60 Tage (Attribut = ) 5. Neu installierter Windows 2003 DC : 60 Tage (Attribut = ) 6. Upgrade von 2003 DC auf 2003 SP1 DC : 60 Tage (Attribut = ) 7. Upgrade von 2003 DC auf 2003 SP1 / R2 DC : 60 Tage (Attribut = ) 8. Neu installierter Windows 2003 SP1 DC : 180 Tage (Attribut = 180) 9. Neu installierter Windows 2003 R2 DC (NUR CD1) : 180 Tage (Attribut : 180) Wenn man sich das Attribut mit ADSI Edit anschaut, und es steht auf "", bedeutet dies immer, dass die Tombstone Lifetime 60 Tage beträgt. Erst wenn dort ein anderer Wert angezeigt wird, gilt dieser - egal, ob er manuell oder über das System eingetragen wurde. Die Systemvorgabe wird bei der Installation des ersten Domänencontroller im Forest durch den Active-Directory-Installationsassistenten (dcpromo) aus der Datei "schema.ini" vom Verzeichnis %win-dir%\system32 erzeugt. Diese Datei enthält Angaben zum Basisschema der jeweiligen Betriebs-systemversion. Installiert man den Server von einer Windows-Server-2003-CD, hat die schema.ini korrekterweise keinen Eintrag zur Tombstone Lifetime. Installiert man den Server von einer CD mit Windows Server 2003 SP1 (slipstreamed), so existiert in der Schema.ini der Eintrag "tombs-toneLifetime=180".


Frage 14

Sie sind als Netzwerkadministrator für das Unternehmen CertBase tätig. Das Firmennetzwerk be-steht aus einer einzelnen Active Directory-Domänendienste Domäne mit dem Namen certbase.de. Auf allen Domänencontrollern wird das Betriebssystem Windows Server 2008 R2 ausgeführt.

Die Sicherheitsrichtlinien des Unternehmens schreiben vor, dass Domänencontroller nicht über optische Laufwerke verfügen dürfen.

Sie müssen eine Lösung für die Sicherung und die Wiederherstellung der Domänencontroller im Fall eines fatalen Serverfehlers entwerfen.

Wie gehen Sie vor?

A Verwenden Sie Windows Server-Sicherung, um jeden Domänencontroller auf eine lokale Fest-platte zu sichern. Erstellen Sie auf jedem Domänencontroller eine Partition für die Windows-Wiederherstellungsumgebung (Windows Recovery Environment, Windows RE).

B Verwenden Sie Windows Server-Sicherung, um jeden Domänencontroller auf eine lokale Fest-platte zu sichern. Verwenden Sie die Windows Bereitstellungsdienste (WDS), um die Windows-Wiederherstellungsumgebung (Windows Recovery Environment, Windows RE) zu verteilen.

C Verwenden Sie Windows Server-Sicherung, um jeden Domänencontroller in eine Netz-werkfreigabe auf einem Remoteserver zu sichern. Erstellen Sie auf jedem Domänencontroller eine Partition für die Windows-Wiederherstellungsumgebung (Windows Recovery Environ-ment, Windows RE).

D Verwenden Sie Windows Server-Sicherung, um jeden Domänencontroller in eine Netz-werkfreigabe auf einem Remoteserver zu sichern. Verwenden Sie die Windows Bereitstel-lungsdienste (WDS), um die Windows-Wiederherstellungsumgebung (Windows Recovery En-vironment, Windows RE) zu verteilen.


Korrekte Antwort: D

Erläuterungen:


Die Windows Bereitstellungsdienste (Windows Deployment Services, WDS)können verwendet werden, um den Netzwerkcomputern bei Bedarf das Laden der Wiederherstellungsumgebung über das Netzwerk zu ermöglichen.


Frage 15

Sie sind als Netzwerkadministrator für das Unternehmen CertBase tätig. Das Firmennetzwerk be-steht aus einer einzelnen Active Directory-Domänendienste Domäne mit dem Namen certbase.de. Das Netzwerk enthält 20 Windows Server 2008 R2 Computer, die als Dateiserver eingesetzt wer-den. Jeder Dateiserver ist mit zwei Volumes konfiguriert. Ein Volume enthält die Dateien des Be-triebssystem und das andere Volume enthält Benutzerdaten.

Sie müssen eine Lösung für die Wiederherstellung planen, die den folgenden Anforderungen ent-spricht:

Unterstützung für die Wiederherstellung des Betriebssystems. Unterstützung für die Wiederherstellung der Benutzerdaten. Die erforderliche Zeit für die Wiederherstellung der Server muss minimiert werden. Welche Ressourcen werden Sie einsetzen?

A Die Windows-Bereitstellungsdienste (WDS).

B Das Windows Automated Installation Kit (WAIK) und die Ordnerumleitung.

C Die Windows Recovery-CD des Systemherstellers und Schattenkopien.

D Das Windows Server-Sicherungsfeature und die Windows Complete PC-Wiederherstellung.


Korrekte Antwort: D

Erläuterungen:

Das Serverbetriebssystem oder einen vollständigen Server können Sie mithilfe eines Windows Setup-Datenträgers und einer zuvor mit Windows Server-Sicherung erstellten Sicherung wieder-herstellen. Mit dem Windows Setup-Datenträger können Sie auf die Seite Systemwiederherstel-lungsoptionen in der Windows-Wiederherstellungsumgebung zugreifen. Auf manchen Compu-tern können Sie möglicherweise auf die Windows-Wiederherstellungsumgebung in einer Wieder-herstellungspartition zugreifen. Sie können die Windows-Wiederherstellungsumgebung auch lokal auf dem Server installieren, wenn Sie die Server so konfigurieren möchten, dass bei einem Startfehler ein Failover auf die Windows-Wiederherstellungsumgebung ausgeführt wird.

Sie stellen das Betriebssystem wieder her, indem Sie alle betriebswichtigen Volumes wiederher-stellen. Volumes ohne Systemkomponenten werden nicht wiederhergestellt. Sie stellen den voll-ständigen Server wieder her, indem Sie alle Volumes wiederherstellen.

Wenn Sie eine Wiederherstellung des Betriebssystems oder eines vollständigen Servers ausführen, müssen Sie Folgendes angeben:

Die zu verwendende Sicherung Den Ort der Wiederherstellung Ob Sie nur eine Wiederherstellung des Betriebssystems oder eine Wiederherstellung des ge-

samten Servers ausführen möchten Ob die Datenträger neu formatiert und neu partitioniert werden sollen So stellen Sie das Betriebssystem oder einen vollständigen Server mithilfe eines Windows Setup-Datenträgers wieder her:

1. Legen Sie den Windows Setup-Datenträger in das CD- oder DVD-Laufwerk ein, und schalten Sie den Computer ein. Drücken Sie bei Bedarf die entsprechende Taste zum Starten von ei-nem Datenträger. Der Assistent für die Windows-Installation sollte angezeigt werden.

2. Wählen Sie die Spracheinstellungen aus, und klicken Sie dann auf Weiter. 3. Klicken Sie auf Computer reparieren. 4. Setup durchsucht die Festplattenlaufwerke nach einer vorhandenen Windows-Installation und

zeigt in Systemwiederherstellungsoptionen dann die Ergebnisse an. Wenn Sie das Betriebssys-tem auf separater Hardware wiederherstellen, muss die Liste leer sein (auf dem Computer darf kein Betriebssystem vorhanden sein). Klicken Sie auf Weiter.

5. Klicken Sie auf der Seite Systemwiederherstellungsoptionen auf Windows Complete PC-Wiederherstellung. Der Assistent für die Windows Complete PC-Wiederherstellung wird ge-öffnet.

6. Führen Sie eine der folgenden Aktionen aus: Klicken Sie auf Neueste verfügbare Sicherung verwenden (empfohlen), und klicken Sie

dann auf Weiter. Klicken Sie auf Andere Sicherung wiederherstellen und dann auf Weiter.

7. Wenn Sie die Option zum Wiederherstellen einer anderen Sicherung aktiviert haben, gehen Sie auf der Seite Wählen Sie den Speicherort der Sicherung aus wie folgt vor: Klicken Sie auf den Computer mit der gewünschten Sicherung, und klicken Sie dann auf

Weiter. Klicken Sie auf der Seite Wählen Sie eine Sicherung zum Wiederherstellen aus auf die ge-

wünschte Sicherung und dann auf Weiter. Klicken Sie auf Erweitert, wenn Sie nach einer Sicherung im Netzwerk suchen möchten,

und dann auf Weiter. 8. Führen Sie auf der Seite Auswählen der Wiederherstellungart für Sicherungen eine der fol-

genden optionalen Tasks aus, und klicken Sie dann auf Weiter: Aktivieren Sie das Kontrollkästchen Datenträger formatieren und neu partitionieren, um

vorhandene Partitionen zu löschen und die Zieldatenträger so neu zu formatieren, dass diese mit der Sicherung identisch sind. Die Schaltfläche Datenträger ausschließen wird da-


raufhin aktiviert. Klicken Sie auf diese Schaltfläche, und aktivieren Sie dann die Kontroll-kästchen für die Datenträger, die Sie vom Formatieren und Partitionieren ausschließen möchten. Der Datenträger mit der verwendeten Sicherung wird automatisch ausgeschlos-sen.

Aktivieren Sie das Kontrollkästchen Nur Systemdatenträger wiederherstellen, um nur eine Wiederherstellung des Betriebssystems auszuführen.

Klicken Sie auf Treiber installieren, um Gerätetreiber für die Hardware zu installieren, auf der die Wiederherstellung vorgenommen werden soll.

Klicken Sie auf Erweitert, um anzugeben, ob der Computer unmittelbar nach der Wieder-herstellung neu gestartet wird und die Datenträger auf Fehler überprüft werden.

9. Geben Sie die Details für die Wiederherstellung ein, und klicken Sie dann auf Fertig stellen.


Frage 16

Sie sind als Netzwerkadministrator für das Unternehmen CertBase tätig. Das Firmennetzwerk be-steht aus einer einzelnen Active Directory-Domänendienste Domäne mit dem Namen certbase.de. Die Domäne enthält einen Windows Server 2008 R2 Dateiserver.

Alle Server verwenden ausschließlich internen Speicher.

Sie planen die Verteilung einer Client/Server Anwendung. Sie müssen die Anwendung so imple-mentieren, dass sie auch bei Ausfall eines einzelnen Servers verfügbar bleibt. Sie müssen Ihr Ziel mit den geringstmöglichen Kosten erreichen.

Wie gehen Sie vor?

A Setzen Sie RemotApp-Programme ein.

B Verwenden Sie einen Failovercluster, der Keine Mehrheit: Nur Datenträger verwendet.

C Verwenden Sie einen Failovercluster, der Knoten- und Dateifreigabemehrheit verwendet.

D Setzen Sie das verteilte Dateisystem (DFS) ein und konfigurieren Sie die Replikation.


Korrekte Antwort: C

Erläuterungen:

Mithilfe eines Failoverclusters können Sie sicherstellen, dass Benutzer nahezu gleichbleibenden Zugriff auf wichtige serverbasierte Ressourcen besitzen. Ein Failovercluster besteht aus unabhängigen Computern, die miteinander interagieren und somit die Verfügbarkeit von Diensten und Anwendungen erhöhen. Die grup-pierten Server (so genannte Knoten) sind durch physische Kabel und durch Software vernetzt. Wenn einer der Knoten ausfällt, werden seine Aufgaben durch einen als Failover bezeichneten Prozess sofort auf einen anderen Knoten übertragen.

Mit der Quorumkonfiguration in einem Failovercluster wird die Anzahl der Ausfälle bestimmt, die vom Clus-ter toleriert werden können. Wenn ein weiterer Ausfall eintritt, darf der Cluster nicht mehr ausgeführt wer-den. Die in diesem Kontext relevanten Ausfälle sind Knotenausfälle oder in einigen Fällen Ausfälle eines Zeugendatenträgers (der eine Kopie der Clusterkonfiguration enthält) oder einer Zeugendateifreigabe. Es ist unbedingt erforderlich, dass der Cluster nicht mehr ausgeführt wird, wenn zu viele Ausfälle eintreten oder wenn ein Problem bei der Kommunikation zwischen den Clusterknoten vorliegt.

Beachten Sie, dass die vollständige Funktionsfähigkeit eines Clusters nicht nur vom Quorum abhängt, son-dern auch von der Kapazität der einzelnen Knoten, die Dienste und Anwendungen zu unterstützen, für die ein Failover zu diesem Knoten ausgeführt wurde. Beispielsweise kann für einen Cluster, der fünf Knoten besitzt, nach dem Ausfall von zwei Knoten weiterhin ein Quorum vorliegen. Jeder einzelne verbleibende Clusterknoten bedient jedoch nur dann weiterhin Clients, wenn er ausreichend Kapazitäten aufweist, um die Dienste und Anwendungen zu unterstützen, für die ein Failover zu diesem Knoten ausgeführt wurde.

Auswahlmöglichkeiten für die Quorumkonfiguration

Sie haben die Wahl zwischen vier möglichen Quorumkonfigurationen:

1. Knotenmehrheit (für Cluster mit einer ungeraden Anzahl von Knoten empfohlen) Kann den Ausfall der Hälfte der Knoten (aufgerundet) abzüglich eines Knotens tolerieren. Beispielsweise kann ein Cluster mit sieben Knoten drei Knotenausfälle tolerieren.

2. Knoten- und Datenträgermehrheit (für Cluster mit einer geraden Anzahl von Knoten empfohlen) Kann den Ausfall der Hälfte der Knoten (aufgerundet) tolerieren, wenn der Zeugendatenträger online geschaltet bleibt. Beispielsweise kann ein Cluster mit sechs Knoten, in dem der Zeugendatenträger onli-ne geschaltet ist, drei Knotenausfälle tolerieren. Kann den Ausfall der Hälfte der Knoten (aufgerundet) abzüglich eines Knotens tolerieren, wenn der Zeugendatenträger offline geschaltet wird oder ausfällt. Beispielsweise kann ein Cluster mit sechs Kno-ten mit einem fehlerhaften Zeugendatenträger zwei (3-1=2) Knotenausfälle tolerieren. In einem Cluster mit der Konfiguration Knoten- und Dateifreigabemehrheit werden für die Berechnung einer Mehrheit die Knoten und die Zeugendateifreigabe gezählt. Dies ist mit der Quorumkonfiguration Knoten- und Datenträgermehrheit vergleichbar, die in der vorherigen Abbildung veranschaulicht wurde. Der Unterschied besteht darin, dass es sich bei dem Zeugen um eine Dateifreigabe handelt, auf die alle Knoten im Cluster zugreifen können, und nicht um einen Datenträger im Clusterspeicher.

3. Knoten- und Dateifreigabemehrheit (für Cluster mit besonderen Konfigurationen) Funktioniert ähnlich wie Knoten- und Datenträgermehrheit, doch statt eines Zeugendatenträgers wird für diesen Cluster eine Zeugendateifreigabe verwendet. Wenn Sie Knoten- und Dateifreigabemehrheit verwenden, muss mindestens einer der verfügbaren Clus-terknoten eine aktuelle Kopie der Clusterkonfiguration enthalten, damit Sie den Cluster starten können. Andernfalls müssen Sie das Starten des Clusters über einen bestimmten Knoten erzwingen.

4. Keine Mehrheit: Nur Datenträger (nicht empfohlen) Kann den Ausfall aller Knoten bis auf einen tolerieren (wenn der Datenträger online geschaltet ist). Die-se Konfiguration wird jedoch nicht empfohlen, da es sich bei dem Datenträger um eine einzelne Fehler-quelle handeln kann.


Frage 17

Sie sind als Netzwerkadministrator für das Unternehmen CertBase tätig. Das Firmennetzwerk be-steht aus einer einzelnen Active Directory-Domänendienste Domäne mit dem Namen certbase.de. Auf allen Servercomputern wird das Betriebssystem Windows Server 2008 R2 ausgeführt.

Sie planen die Veröffentlichung einer Website auf zwei Webservern.

Sie müssen eine Hochverfügbarkeitslösung für Ihre Webserver implementieren, die den folgenden Anforderungen entspricht:

Unterstützung für das Hinzufügen weiterer Webserver, ohne dass Clientverbindungen beein-trächtigt werden.

Sicherstellen, dass die Website auch bei Ausfall eines einzelnen Servers verfügbar bleibt. Wie gehen Sie vor?

A Konfigurieren Sie einen Failovercluster.

B Konfigurieren Sie auf jedem Webserver einen Webgarden.

C Erstellen Sie einen Cluster für den Netzwerklastenausgleich (NLB).

D Erstellen Sie auf jedem Webserver zwei Anwendungspools.


Korrekte Antwort: C

Erläuterungen:

Mit dem Feature Netzwerklastenausgleich (Network Load Balancing, NLB) wird die Verfügbarkeit und Skalierbarkeit von Internetserveranwendungen für Web-, FTP-, Firewall- und Proxyserver so-wie virtuelle private Netzwerke (VPN) und andere unternehmenskritische Server verbessert. Wird Windows Server 2008 R2 nur auf einem einzigen Computer ausgeführt, ist die Serverzuverlässig-keit und Skalierbarkeit eingeschränkt. Wenn allerdings die Ressourcen von zwei oder mehr Com-putern, auf denen eines der Produkte von Windows Server 2008 R2 ausgeführt wird, zu einem einzelnen virtuellen Cluster zusammengeführt werden, kann durch Netzwerklastenausgleich die Zuverlässigkeit und Leistung bereitgestellt werden, die für Webserver und andere unternehmens-kritische Server erforderlich ist.

Auf jedem Host wird eine Kopie der gewünschten Serveranwendungen (z. B. Anwendungen für Web-, FTP- und Telnetserver) ausgeführt. NLB verteilt eingehende Clientanforderungen an die Hosts des Clusters. Das von den einzelnen Hosts zu verarbeitende Lastgewicht kann nach Bedarf konfiguriert werden. Sie können Hosts auch dynamisch dem Cluster hinzufügen, um erhöhte Las-ten verarbeiten zu können. Mit NLB kann außerdem der gesamte Datenverkehr auf einen einzel-nen zugewiesenen Host weitergeleitet werden. Dieser wird als Standardhost bezeichnet.

Mit NLB können alle Computer eines Clusters mit derselben Gruppe von Cluster-IP-Adressen adressiert werden. Dabei wird eine Gruppe von eindeutigen dedizierten IP-Adressen für jeden Host beibehalten. Wenn bei Anwendungen mit Lastenausgleich ein Host ausfällt oder dieser off-line geschaltet wird, wird die Last automatisch auf die anderen noch aktiven Computer verteilt. Wenn ein Computer ausfällt oder unerwartet offline geschaltet wird, werden alle aktiven Verbin-dungen zu diesem Computer getrennt. Wenn ein Host allerdings absichtlich heruntergefahren wird, können Sie den Befehl drainstop verwenden, um alle aktiven Verbindungen aufrechtzuer-halten, bevor der Computer offline geschaltet wird. Wenn der offline geschaltete Computer wie-der bereit ist, kann er in jedem Fall erneut transparent mit dem Cluster verbunden werden und seinen Teil der Auslastung wieder aufnehmen. Dadurch muss von den anderen Computern wie-der weniger Datenverkehr verarbeitet werden.

Von den Hosts eines NLB-Clusters werden Taktmeldungen ausgetauscht, um Daten über die Mit-gliedschaft des Clusters konsistent zu halten. Wenn ein Host nicht innerhalb von 5 Sekunden Taktmeldungen sendet, gilt dieser standardmäßig als fehlerhaft. Gilt ein Host als fehlerhaft, wer-den die verbleibenden Hosts des Clusters zusammengeführt. Sie führen folgende Aufgaben aus:

Identifizieren der Hosts, die noch aktive Mitglieder des Clusters sind Festlegen des Hosts mit der höchsten Priorität als neuen Standardhost Sicherstellen, dass alle neuen Clientanforderungen von den verbleibenden Hosts verarbeitet

werden Bei einer Zusammenführung von Hosts wird von den verbleibenden Hosts nach konsistenten Taktmeldungen gesucht. Wenn der Host, von dem keine Taktmeldungen werden konnten, erneut gesendet mit dem konsistenten Senden von Taktmeldungen beginnt, wird er während der Zu-sammenführung erneut dem Cluster hinzugefügt. Wenn versucht wird, einem Cluster einen neu-en Host hinzuzufügen, sendet dieser Host auch Taktmeldungen, mit denen eine Zusammenfüh-rung ausgelöst wird. Nachdem alle Clusterhosts der aktuellen Clustermitgliedschaft zugestimmt haben, wird die Last des Clients erneut auf die verbleibenden Hosts verteilt, und die Zusammen-führung wird abgeschlossen.

Die Zusammenführung dauert meist nur einige Sekunden, sodass die Unterbrechung des Client-diensts durch den Cluster minimal ist. Hosts, die während der Zusammenführung noch aktiv sind, verarbeiten weiterhin Clientanforderungen, ohne bestehende Verbindungen zu beeinträchtigen. Die Zusammenführung wird abgeschlossen, wenn alle Hosts eine konsistente Ansicht der Clus-termitgliedschaft und der Verteilungsübersicht über mehrere Taktmeldungszeiträume melden.


Frage 18

Sie sind als Netzwerkadministrator für das Unternehmen CertBase tätig. Das Unternehmen hat 100 physikalische Server mit 64-Bit Hardware auf denen Windows Server 2003 ausgeführt wird.

Sie müssen die 100 physikalischen Server auf 30 physikalische Windows Server 2008 R2 Compu-ter konsolidieren Zudem müssen Sie die folgenden Anforderungen der Geschäftsführung erfüllen:

Maximieren der Ressourcenauslastung Verwenden der bestehenden Hard- und Software Unterstützung für virtuelle Computer mit 64-Bit Software Übernehmen der verschiedenen Dienste der Server Wie gehen Sie vor?

A Konsolidieren Sie die Dienste der physikalischen Maschinen und erstellen Sie die notwendigen Host (A) Einträge.

B Installieren Sie Microsoft Virtual PC und konvertieren Sie die physikalischen Maschinen in virtu-elle Maschinen.

C Installieren Sie Microsoft Virtual Server R2 und konvertieren Sie die physikalischen Maschinen in virtuelle Maschinen.

D Installieren Sie Microsoft Hyper-V und konvertieren Sie die physikalischen Maschinen in virtuel-le Maschinen.


Korrekte Antwort: D

Erläuterungen:

Hyper-V stellt eine Softwareinfrastruktur und einfache Verwaltungstools in Windows Server 2008 R2 bereit, mit denen Sie eine virtualisierte Servercomputerumgebung erstellen und verwalten können. Diese virtualisierte Umgebung kann für vielfältige geschäftliche Ziele verwendet werden, bei denen es um die Verbesserung der Effizienz und die Reduzierung der Kosten geht. Eine virtua-lisierte Serverumgebung kann beispielsweise bei Folgendem helfen:

Reduzieren der Kosten für den Betrieb und die Verwaltung physischer Server durch eine höhe-re Hardwarenutzung. Sie können die Menge der für die Arbeitslast der Server benötigten Hardware reduzieren.

Erhöhen der Entwicklungs- und Testeffizienz durch Reduzieren des Zeitbedarfs für das Einrich-ten von Hardware und Software sowie das Reproduzieren von Testumgebungen.

Verbessern der Serververfügbarkeit ohne Verwendung gleich vieler physischer Computer, wie in einer Failoverkonfiguration nur mit physischen Computern benötigt würden.


Frage 19

Sie sind als Netzwerkadministrator für das Unternehmen CertBase tätig. Das Firmennetzwerk ent-hält sowohl Windows Server 2003 als auch Windows Server 2008 R2 Servercomputer. Auf allen Clientcomputern wird Windows 7 ausgeführt.

Das Unternehmen hat eine Public Key Infrastruktur (PKI) mit einer offline Stammzertifizierungs-stelle (CA) und zwei untergeordneten Unternehmenszertifizierungsstellen. Alle Zertifizierungsstel-len werden auf Windows Server 2003 Computern ausgeführt.

Sie veröffentlichen Zertifikate für Benutzer- und Computerkonten in Active Directory.

Das Unternehmen richtet eine Entwicklungsabteilung ein.

Sie müssen die Verteilung von Zertifikaten für die Windows 7 und Windows Server 2008 R2 Computer der neuen Entwicklungsabteilung planen. Ihre Lösung muss den folgenden Anforde-rungen entsprechen:

Die Zertifikate müssen Suite-B Kryptografieeinstellungen und Hashing unterstützen. Die privaten Schlüssel müssen in Active Directory gespeichert werden. Der administrative Aufwand für die Verwaltung der Zertifikate muss minimiert werden. Wie gehen Sie vor?

A Installieren Sie eine neue untergeordnete Windows Server 2008 R2 Unternehmenszertifizie-rungsstelle.

B Installieren Sie eine neue eigenständige untergeordnete Windows Server 2008 R2 Zertifizie-rungsstelle.

C Implementieren Sie eine neue Public Key Infrastruktur (PKI) auf Basis von Windows Server 2008 R2. Konfigurieren Sie die Cross-Certification zwischen den Zertifizierungsstellenhierar-chien.

D Erstellen Sie eine neue Active Directory Gesamtstruktur. Implementieren Sie eine neue Public Key Infrastruktur (PKI) auf Basis von Windows Server 2008 R2. Konfigurieren Sie eine unidirek-tionale Gesamtstrukturvertrauensstellung zwischen den Gesamtstrukturen.


Korrekte Antwort: A

Erläuterungen:

Microsoft-Zertifizierungsstellen unterstützen drei Arten von Zertifikatvorlagen: Version 1, Version 2 und Version 3. Die erforderlichen Features werden von Zertifikatvorlagen der Version 3 unter-stützt. Für diesen Vorlagentyp ist eine Windows Server 2008 oder eine Windows Server 2008 R2 Zertifizierungsstelle erforderlich.

Zertifizierungsstellen, die auf Servern unter Windows Server 2003, Standard Edition oder Windows 2000 Server eingerichtet sind, unterstützen nur Vorlagen der Version 1. Zertifizierungs-stellen, die auf Servern unter Windows Server 2003, Enterprise Edition oder Windows Server 2003 Datacenter Edition eingerichtet sind, unterstützen Vorlagen der Versionen 1 und 2. Zertifi-zierungsstellen, die auf Servern ab Windows Server 2008 eingerichtet sind, unterstützen alle drei Versionen. Darüber hinaus können Zertifikatvorlagen der Version 3 nur von Clients auf Compu-tern ab Windows Server 2008 oder Windows Vista verwendet werden.

Zertifikatvorlagen der Version 1

Zertifikatvorlagen der Version 1 werden aus Gründen der Abwärtskompatibilität bereitgestellt und unterstützen allgemeine Anforderungen bei der Antragstellerzertifizierung. Sie werden bei der Installation einer Zertifizierungsstelle standardmäßig erstellt und können nicht geändert oder ent-fernt werden. Wenn Sie eine Vorlage der Version 1 duplizieren, wird das Duplikat zu einer Vorla-ge der Version 2 oder 3, die verändert werden kann.


Zertifikatvorlagen der Version 2 ermöglichen die Anpassung der meisten Einstellungen in der Vor-lage. In der Standardkonfiguration werden verschiedene vorkonfigurierte Vorlagen der Version 2 bereitgestellt, und Sie können bei Bedarf weitere hinzufügen. Dadurch können Administratoren die Konfiguration völlig flexibel anpassen.


Zertifikate der Version 3 ermöglichen Administratoren das Hinzufügen erweiterter Suite B-Kryptografieeinstellungen zu Zertifikaten. Suite B enthält erweiterte Optionen für Verschlüsse-lung, digitale Signaturen, Schlüsselaustausch und Hashing. Zertifikate, die auf Zertifikatvorlagen der Version 3 basieren, können nur von Zertifizierungsstellen ausgestellt werden, die auf Servern unter Windows Server 2008 installiert sind, und auf Clients unter Windows Server 2008 oder Windows Vista verwendet werden.


Frage 20

Sie sind als Netzwerkadministrator für das Unternehmen CertBase tätig. Das Firmennetzwerk be

steht aus einer einzelnen Active Directory-Domänendienste (AD DS) Domäne mit dem Namen certbase.de. Sie administrieren einen Windows Server 2008 R2 Webserver mit dem Namen Server1.

Das Unternehmen plant den Einsatz einer neuen Webanwendung.

Sie müssen sicherstellen, dass die neue Webanwendung sowohl von internen Benutzern als auch von Inter-netbenutzern verwendet werden kann und dass die Daten sicher zwischen dem Webserver und den Brow-sern der Benutzer übertragen werden. Aus Sicherheitsgründen dürfen keine Domänenbenutzerkonten für die Authentifizierung gegenüber der Webanwendung verwendet werden.

Wie gehen Sie vor?

A Konfigurieren Sie die neue Webanwendung für die Standardauthentifizierung und erstellen Sie Verbin-dungssicherheitsregeln.

B Konfigurieren Sie die neue Webanwendung für die Standardauthentifizierung und die Verwendung von SSL.

C Konfigurieren Sie die neue Webanwendung für die Digestauthentifizierung und erstellen Sie Verbin-dungssicherheitsregeln.

D Konfigurieren Sie die neue Webanwendung für die Digestauthentifizierung und die Verwendung von SSL.


Korrekte Antwort: B

Erläuterungen:

Mit der Standardauthentifizierung können Sie festlegen, dass Benutzer einen gültigen Benutzernamen und ein Kennwort angeben müssen, um auf Inhalte zuzugreifen. Alle wichtigen Browser unterstützen diese Authentifizierungsmethode, die auch über Firewalls und Proxyserver funktioniert. Der Nachteil der Stan-dardauthentifizierung besteht darin, dass Kennwörter mit schwacher Verschlüsselung über das Netzwerk übertragen werden. Sie sollten die Standardauthentifizierung nur verwenden, wenn Sie wissen, dass die Verbindung zwischen Client und Server sicher ist.

Um die Daten sicher zwischen dem Server und den Clients zu übertragen, kann die SSL-Datenverschlüsselung erfordert werden. Verbindungssicherheitsregeln müssten auf allen beteiligten Com-putern konfiguriert werden und sin din diesem Szenario nicht praktikabel.

Digest-Authentifizierung funktioniert ähnlich wie die Standardauthentifizierung. Jedoch überträgt im Ge-gensatz zur Standardauthentifizierung, Digestauthentifizierung Anmeldeinformationen über das Netzwerk als Hashwert, auch bekannt als einen Nachrichtenhash. Der Benutzername und Kennwort können nicht aus dem Hashwert entschlüsselt werden. Für die Digestauthentifizierung ist ein Domänencontroller erforderlich.


Frage 21

Sie sind als Netzwerkadministrator für das Unternehmen CertBase tätig. Das Firmennetzwerk be-steht aus einer Active Directory Gesamtstruktur mit mehreren Domänen. Auf allen Domänencon-trollern ist Windows Server 2008 R2 installiert. Alle Domänencontroller haben die Serverrolle DNS-Server installiert.

Bislang verwendet das Unternehmen eine legacy Windows Internet Name Service (WINS) Umge-bung für die Namensauflösung. Sie wollen zukünftig ausschließlich Domain Name System (DNS) für die Namensauflösung verwenden.

Sie müssen die Infrastruktur für die Namensauflösung planen. Ihre Planung muss die folgenden Anforderungen berücksichtigen:

Unterstützung für IPv4 und IPv6 Umgebungen Unterstützung für die domänenübergreifende Auflösung einfacher Namen Minimieren des NetBIOS over TCP/IP (NetBT) bezogenen Datenverkehrs im Netzwerk Wie gehen Sie vor?

A Erstellen Sie auf jedem Domänencontroller eine GlobalNames-Zone.

B Bearbeiten Sie alle DNS Zonen und aktivieren Sie das WINS-Forward-Lookup.

C Konfigurieren Sie alle DNS Zonen so, dass sie auf alle DNS Server der Gesamtstruktur repliziert werden.

D Konfigurieren Sie alle DNS Zonen so, dass sie als Teil einer benutzerdefinierten Anwendungs-verzeichnispartition repliziert werden.


Korrekte Antwort: A

Erläuterungen:

Eine häufig gestellte Anforderung an Computernetzwerke ist die Fähigkeit, einfache Namen mit nur einer Domänenbezeichnung aufzulösen. Die Verwendung von Namen mit nur einer Domä-nenbezeichnung ermöglicht einem Computer den Zugriff auf Hosts, z. B. Datei- und Webserver, mithilfe von kurzen, einfach zu merkenden Namen anstelle von vollqualifizierten Domänennamen (Fully Qualified Domain Names, FQDN), die die Standardnamenskonvention für DNS (Domain Name System) darstellen. Damit Namen mit nur einer Domänenbezeichnung verwendet werden können, stellen viele Netzwerke in ihrer Umgebung WINS-Technologie und -Server (Windows Internet Name Service) bereit. Als Namensauflösungsprotokoll stellt WINS eine Alternative zu DNS dar. Hierbei handelt es sich um einen älteren Dienst, der NetBIOS über TCP/IP (NetBT) verwendet. WINS und NetBT bieten keine Unterstützung für IPv6 (Internet Protocol Version 6). Daher werden sie in vielen Netzwerken schrittweise nicht mehr verwendet.

Als Hilfestellung für Netzwerkadministratoren bei der Migration der gesamten Namensauflösung zu DNS unterstützt die DNS-Serverrolle unter Windows Server 2008 eine speziell benannte Zone mit der Bezeichnung GlobalNames. Durch Bereitstellung einer Zone mit diesem Namen können Sie statische, globale Einträge mit Namen mit nur einer Domänenbezeichnung verwenden, ohne WINS zu verwenden. Diese Namen mit nur einer Domänenbezeichnung bezeichnen in der Regel Einträge für wichtige, bekannte und häufig verwendete Server – Server, die bereits über statische IP-Adressen verfügen und zurzeit mithilfe von WINS von IT-Administratoren verwaltet werden.

Die GlobalNames-Zone ist nicht als vollständiger Ersatz für WINS gedacht. Sie sollten die Global-Names-Zone auch nicht zur Unterstützung der Namensauflösung für Einträge verwenden, die in WINS dynamisch registriert sind und in der Regel nicht von IT-Administratoren verwaltet werden. Die Unterstützung für diese dynamisch registrierten Einträge ist nicht skalierbar. Dies gilt im Spe-ziellen für Großkunden mit mehreren Domänen oder mehreren Gesamtstrukturen.

Entscheidung für die Bereitstellung einer GlobalNames-Zone

Unter den folgenden Umständen sollten Sie die Bereitstellung einer GlobalNames-Zone in Be-tracht ziehen:

Sie möchten WINS nicht mehr verwenden oder planen die Bereitstellung einer reinen IPv6-Umgebung, sodass die gesamte Namensauflösung von DNS abhängen wird.

Sie benötigen die Namensauflösung mit nur einer Domänenbezeichnung ausschließlich für wichtige Server oder Websites, die in DNS statisch registriert werden können. (In der Regel können diese Namen auch in der WINS-Datenbank statisch und global konfiguriert werden.) Hostnamen können nicht durch dynamische Updates in der GlobalNames-Zone registriert werden.

Sie können sich nicht auf die Suffixsuchlisten auf Clientcomputern verlassen, um eine Na-mensauflösung mit nur einer Domänenbezeichnung bereitzustellen, beispielsweise weil die Anzahl der Zieldomänen zu groß ist oder die Domänen nicht zentral verwaltet werden kön-nen, um die Eindeutigkeit der Hostnamen zu garantieren.

Alle DNS-Server, die für Ihre Zonen autorisierend sind, sind Server unter Windows Server 2008. Zur Auflösung von Namen, die in der GlobalNames-Zone registriert sind, müssen alle DNS-Server, die für eine Zone autorisierend sind und Clientabfrageanforderungen beantwor-ten, unter Windows Server 2008 ausgeführt werden und entweder mit einer lokalen Kopie der GlobalNames-Zone konfiguriert sein oder in der Lage sein, Remote-DNS-Server zu kontak-tieren, die als Host für die GlobalNames-Zone dienen.

Darüber hinaus empfiehlt es sich, die GlobalNames-Zone in Active Directory-Domänendienste (Active Directory Domain Services, AD DS) zu integrieren. Durch die Integration in AD DS wird eine einfachere Verwaltung und zukünftige Skalierbarkeit sichergestellt.


Frage 22

Sie sind als Netzwerkadministrator für das Unternehmen CertBase tätig. Sie müssen eine Windows Server 2008 Konfiguration empfehlen, die den folgenden Anforderungen entspricht:

Unterstützung für die Installation von Microsoft SQL Server 2005 Unterstützung für die Fehlertoleranz der SQL Server Dienste für den Fall, dass ein einzelner

Server ausfällt Was werden Sie empfehlen?

A Die Installation einer Servercore Installation von Windows Server 2008 Enterprise Edition auf zwei Servercomputern und die Konfiguration eines Failoverclusters.

B Die Installation einer Standardinstallation von Windows Server 2008 Standard Edition auf zwei Servercomputern und die Konfiguration eines Clusters für den Netzwerklastenausgleich (NLB).

C Die Installation einer Standardinstallation von Windows Server 2008 Enterprise Edition auf zwei Servercomputern und die Konfiguration eines Clusters für den Netzwerklastenausgleich (NLB).

D Die Installation einer Standardinstallation von Windows Server 2008 Enterprise Edition auf zwei Servercomputern und die Konfiguration eines Failoverclusters.


Korrekte Antwort: D

Erläuterungen:

Unter Windows Server 2008 stehen zwei Clustertechnologien zur Verfügung: Failovercluster und Netzwerklastenausgleich (Network Load Balancing, NLB). Failovercluster bieten vor allem eine hohe Verfügbarkeit. Der Netzwerklastenausgleich bietet Skalierbarkeit und erhöht gleichzeitig die Verfügbarkeit webbasierter Dienste.

Ihre Auswahl von Clustertechnologien (Failovercluster oder Netzwerklastenausgleich) hängt vor allem davon ab, ob die von Ihnen ausgeführten Anwendungen einen In-Memory-Langzeitzustand aufweisen:

Failovercluster sind für Anwendungen vorgesehen, die einen In-Memory-Langzeitzustand aufweisen oder die Status mit umfangreichen häufig aktualisierten Daten besitzen. Diese An-wendungen werden als statusbehaftete Anwendungen bezeichnet, und sie umfassen Daten-bankanwendungen und Messaginganwendungen. Zu den typischen Verwendungsmöglichkei-ten für Failovercluster zählen Dateiserver, Druckserver, Datenbankserver und Messagingser-ver.

Der Netzwerklastenausgleich ist für Anwendungen vorgesehen, die keinen In-Memory-Langzeitzustand aufweisen. Diese werden als statusfreie Anwendungen bezeichnet. Eine sta-tusfreie Anwendung behandelt die einzelnen Clientanforderungen als unabhängige Vorgän-ge. Aus diesem Grund kann für jede Anforderung ein unabhängiger Lastenausgleich erfolgen. Statusfreie Anwendungen verfügen häufig über schreibgeschützte Daten oder Daten, die sich selten ändern. Front-End-Webserver, virtuelle private Netzwerke (VPNs), FTP-Server (File Transfer Protocol) und Firewall- sowie Proxyserver verwenden im Allgemeinen den Netzwer-klastenausgleich. Netzwerklastenausgleich-Cluster können auch weitere TCP- oder UDP-basierte Dienste und Anwendungen unterstützen.

Für die Unterstützung eines Failoverclusters ist Windows Server 2008 Enterprise Edition erforder-lich.


Frage 23

Sie sind als Netzwerkadministrator für das Unternehmen CertBase tätig. Das Firmennetzwerk be-steht aus einer einzelnen Active Directory-Domänendienste Domäne mit dem Namen certbase.de. Das Netzwerk enthält zwei Servercomputer mit den Namen Server1 und Server2. Das Unterneh-men verfügt über zwei identische Druckgeräte.

Sie planen die Implementierung der Druckdienste.

Sie müssen eine Druckdienste Infrastruktur planen, die den folgenden Anforderungen entspricht:

Verwalten der Druckerwarteschlange über einen zentralen Punkt. Die Druckdienste sollen auch dann verfügbar bleiben, wenn ein Druckgerät ausfällt. Wie gehen Sie vor?

A Installieren Sie einen Drucker auf Server1 und geben Sie ihn frei. Aktivieren Sie die Option Dru-ckerpool aktivieren.

B Installieren Sie die Rolle Remotedesktopdienste auf Server1 und auf Server2. Konfigurieren Sie den Remotedesktop-Verbindungsbroker.

C Installieren Sie jeweils einen Drucker auf Server1 und auf Server2. Geben Sie die beiden Dru-cker frei und verwenden Sie die Druckerverwaltungskonsole, um die Drucker auf den Client-computern zu installieren.

D Nehmen Sie Server1 und Server2 in einen Netzwerklastenausgleichscluster (NLB) auf. Installie-ren Sie auf jedem Clusterknoten einen der Drucker.


Korrekte Antwort: A

Erläuterungen:

Mit Druckdiensten unter Windows 7 und Windows Server 2008 R2 können Sie Drucker in einem Netzwerk freigeben und Aufgaben zur Druckserver- und Netzwerkdruckerverwaltung mithilfe des MMC-Snap-Ins Druckverwaltung (Microsoft Management Console) zentralisieren. Sie können Druckwarteschlangen überwachen und sich Benachrichtigungen senden lassen, wenn in Druck-warteschlangen keine Druckaufträge mehr verarbeitet werden. Druckdienste ermöglichen Ihnen außerdem das Migrieren von Druckservern und das Bereitstellen von Druckerverbindungen mithil-fe von Gruppenrichtlinien.

Ein Druckerpool ist ein logischer Drucker, der durch mehrere Anschlüsse des Druckerservers mit mehreren Druckern verbunden ist. Der jeweils im Leerlauf befindliche Drucker erhält das nächste an den logischen Drucker gesendete Dokument. Dies ist in einem Netzwerk mit einem hohen Druckaufkommen von Nutzen, weil so die Zeit verringert wird, während die Benutzer auf ihre Dokumente warten müssen. Ein Druckerpool vereinfacht auch die Verwaltung, da mehrere Dru-cker auf einem Server vom selben logischen Drucker aus verwaltet werden können.

Wenn ein Druckerpool eingerichtet wurde, können Benutzer ein Dokument drucken, ohne zu-nächst nach einem verfügbaren Drucker suchen zu müssen. Der logische Drucker sucht einen freien Anschluss und sendet Dokumente in der Reihenfolge, in der sie hinzugefügt wurden, an die Anschlüsse. Wenn zuerst der Anschluss hinzugefügt wird, der mit dem schnellsten Drucker ver-bunden ist, ist gewährleistet, dass Dokumente zuerst an diesen schnellen Drucker gesendet wer-den, bevor sie an langsamere Drucker im Druckerpool weitergeleitet werden.

Beachten Sie vor dem Einrichten eines Druckerpools die folgenden Hinweise:

Alle Drucker in einem Pool müssen denselben Treiber verwenden. Weil die Benutzer nicht wissen können, auf welchem Drucker in einem Pool ein bestimmtes

Dokument ausgedruckt wird, sollten Sie sicherstellen, dass sich alle Drucker am selben Stand-ort befinden.


Frage 24

Sie sind als Netzwerkadministrator für das Unternehmen CertBase tätig. Das Netzwerk enthält einen DHCP Server, der unter Windows Server 2008 R2 64-Bit ausgeführt wird. Das Firmennetz-werk verwendet ausschließlich IPv4.

Sie planen die Verteilung von 50 neuen Windows Server 2008 Computern. Einige der neuen Ser-ver verfügen über 64-Bit Hardware und andere verfügen über 32-Bit Hardware. Alle neuen Ma-schinen bieten jedoch Unterstützung für die Pre-Boot Execution Environment (PXE).

Sie müssen die automatisierte Installation der neuen Server planen. Sie wollen Ihr Ziel mit mög-lichst geringen Hardwarekosten erreichen.

Wie gehen Sie vor?

A Installieren Sie die Windows-Bereitstellungsdienste (WDS) auf dem DHCP Server.

B Installieren Sie die Remoteinstallationsdienste (RIS) auf einem 64-Bit Servercomputer mit dem Betriebssystem Windows Server 2003.

C Installieren Sie die Windows-Bereitstellungsdienste (WDS) auf zwei Windows Server 2008 Computern. Verwenden Sie einen 64-Bit Servercomputer und einen 32-Bit Servercomputer.

D Installieren Sie die Remoteinstallationsdienste (RIS) auf zwei Servercomputer mit dem Betriebs-system Windows Server 2003 Service Pack 2. Verwenden Sie einen 64-Bit Servercomputer und einen 32-Bit Servercomputer.


Korrekte Antwort: A

Erläuterungen:

Mit den Windows-Bereitstellungsdiensten können Sie Abbilder und Skripts für die unbeaufsichtig-te Installation verwalten. Diese Dienste bieten zudem Optionen für die beaufsichtigte und unbe-aufsichtigte Installation. Die Windows-Bereitstellungsdienste erleichtern die Basiskonfiguration von Installationen, was Folgendes einschließt:

Partitionieren und Formatieren physikalischer Medien Installieren des Betriebssystems und Ausführen von Postkonfigurationsaufgaben Vereinfachen der Installation Bereitstellen von Konsistenz in der gesamten Computerumgebung Sie können über die Windows-Bereitsstellungsdienste sowohl Abbilder von 32-Bit Installationen als auch von 64-Bit Betriebssystemen verteilen. Es sind keine separaten Server für die Verteilung von Abbildern unterschiedlicher Architekturen erforderlich.


Frage 25

Sie sind als Netzwerkadministrator für das Unternehmen CertBase tätig. Das Netzwerk enthält webbasierte Anwendungen, die unter Windows Server 2003 ausgeführt werden.

Sie planen die Migration der webbasierten Anwendungen auf einen Windows Server 2008 R2 Computer.

Sie müssen eine Serverkonfiguration für die Unterstützung der webbasierten Anwendungen emp-fehlen. Ihre Konfiguration muss den folgenden Anforderungen entsprechen:

Es muss sichergestellt sein, dass die Anwendung auch bei Ausfall eines Servers allen Benut-zern zur Verfügung steht.

Die Installation von .Net Anwendungen muss unterstützt werden. Die Kosten für die eingesetzte Software müssen minimiert werden. Was werden Sie empfehlen?

A Die Installation einer Servercore Installation von Windows Server 2008 R2 Standard Edition auf zwei Servercomputern und die Konfiguration eines Clusters für den Netzwerklastenausgleich (NLB).

B Die Installation von Windows Server 2008 R2 Web Edition auf zwei Servercomputern und die Konfiguration eines Clusters für den Netzwerklastenausgleich (NLB).

C Die Installation einer vollständigen Installation von Windows Server 2008 R2 Enterprise Edition auf zwei Servercomputern und die Konfiguration eines Failoverclusters.

D Die Installation einer vollständigen Installation von Windows Server 2008 R2 Datacenter Editi-on auf zwei Servercomputern und die Konfiguration eines Failoverclusters.


Korrekte Antwort: B

Erläuterungen:

Da die Servercore Installation von Windows Server 2008 R2 bislang keine Anwendungen auf Basis von .Net Framework unterstützt, müssen wir eine vollständige Installation durchführen. Die Windows Server 2008 R2 Web Edition stellt die günstigste Version von Windows Server 2008 R2 dar. Sie bietet die volle Unterstützung für den Betrieb eines Webservers und ermöglicht den Auf-bau eines Netzwerklastenausgleichsclusters (NLB).

Monitoring and Maintaining Servers

Frage 26

Sie sind als Netzwerkadministrator für das Unternehmen CertBase tätig. Sie müssen eine Windows Server Update Services (WSUS) Infrastruktur planen, die den folgenden Anforderungen entspricht:

Alle Updates müssen über einen zentralen Punkt verteilt werden. Alle Computer müssen auch weiterhin Updates erhalten, wenn ein Server ausfällt. Wie gehen Sie vor?

A Installieren Sie zwei WSUS Server und einen Microsoft SQL Server 2008 R2 Failovercluster. Konfigurieren Sie die WSUS Server jeweils für die Verwendung einer lokalen Datenbank.

B Konfigurieren Sie einen einzelnen WSUS-Upstreamserver und mehrere Downstreamserver. Konfigurieren Sie alle WSUS Server mit einem RAID-1 Datenträger und einer lokalen Daten-bank.

C Konfigurieren Sie einen einzelnen WSUS-Upstreamserver und mehrere Downstreamserver. Konfigurieren Sie alle WSUS Server mit einem RAID-5 Datenträger und einer lokalen Daten-bank.

D Installieren Sie einen Microsoft SQL Server 2008 R2 Failovercluster. Konfigurieren Sie zwei WSUS Server in einem Cluster für den Netzwerklastenausgleich (NLB). Konfigurieren Sie die Windows Server Update Services (WSUS für die Verwendung der fehlertoleranten SQL Server Instanz.


Korrekte Antwort: D

Erläuterungen:

Die Windows Server Update Services (WSUS) verwenden mit der Datenbank und dem webbasier-ten Dienst zwei Techniken, deren Fehlertoleranz auf unterschiedliche Art und Weise hergestellt werden muss. Für den Datenbankserver ist ein Failovercluster mit einem gemeinsamen Datenträ-ger erforderlich. Fällt einer der beiden Server aus, kann der Verbleibende die Lese- Schreibvor-gänge der WSUS Server übernehmen. Für den webbasierten Updatedienst der WSUS Infrastruktur können wir einen Cluster für den Netzwerklastenausgleich implementieren, um den Ausfall eines einzelnen Servers abzusichern.


Frage 27

Sie sind als Netzwerkadministrator für das Unternehmen CertBase tätig. Das Netzwerk enthält einen Windows Server 2008 R2 Computer auf dem die Windows Server Update Services (WSUS) ausgeführt werden.

Der WSUS Server bezieht Updates direkt online über die Microsoft Update Website.

Sie implementieren ein neues, besonders abgesichertes Netzwerk. Das sichere Netzwerk hat we-der Zugriff auf Internetressourcen noch auf das Netzwerk, welches den online WSUS Server ent-hält.

Sie müssen eine Lösung für das Patchmanagement der Computer empfehlen, die sich in dem neuen, sicheren Netzwerk befinden.

Wie gehen Sie vor?

A Installieren Sie einen neuen WSUS Server im sicheren Netzwerk. Kopieren Sie die Update Me-tadaten und die WSUS Inhalte von dem online WSUS Server auf den neuen WSUS Server im sicheren Netzwerk.

B Installieren Sie einen neuen WSUS Server im sicheren Netzwerk. Kopieren Sie die Datei Web.config und das Inhaltsverzeichnis der Standardwebsite des online WSUS Servers regelmä-ßig auf den neuen WSUS Server im sicheren Netzwerk.

C Importieren Sie die Sicherheitsvorlage Security.inf in das Snap-In Sicherheitskonfiguration- und -analyse. Analysieren Sie jeden Computer innerhalb des sicheren Netzwerks und wählen Sie anschließend die Option Computer jetzt konfigurieren.

D Laden Sie die Datei wsusscn2.cab von der Microsoft Update Website herunter. Kopieren Sie die Datei wsusscn2.cab auf einen Computer im sicheren Netzwerk. Prüfen Sie das gesamte sichere Netzwerk mit Hilfe von Microsoft Security Baseline Analyzer (MBSA) gegen die herun-tergeladene Datei wsusscn2.cab.


Korrekte Antwort: A

Erläuterungen:

Da der WSUS Server innerhalb des sicheren Netzwerks keine Möglichkeit zur Kommunikation mit einem Upstreamserver hat und somit keine Möglichkeit für die Synchronisierung von Updates besteht, müssen wir die Konfigurations- und Inhaltsdateien manuell auf den WSUS Server über-tragen.


Frage 28

Sie sind als Netzwerkadministrator für das Unternehmen CertBase tätig. Das Netzwerk enthält Server auf denen Windows Server 2008 R2 ausgeführt wird. Auf allen Clientcomputern ist Windows 7 installiert. Das lokale Netzwerk ist über eine Firewall mit dem Internet verbunden.

Sie müssen eine Lösung empfehlen, die den Remotezugriff auf die Server im lokalen Netzwerk zulässt. Ihre Lösung muss den folgenden Anforderungen entsprechen:

Alle Remoteverbindungen mit den Servercomputern müssen verschlüsselt sein. Alle Authentifzierungsversuche gegenüber den Servern müssen verschlüsselt sein. Auf der Firewall sind ausschließlich eingehende Verbindungen über Port 80 TCP und Port 443

TCP zugelassen. Wie gehen Sie vor?

A Installieren Sie das Microsoft Secure Tunneling Protokoll (SSTP).

B Implementieren Sie Internetprotokoll-Sicherheit (IPSec) und verwenden Sie Zertifikate.

C Implementieren Sie Internetprotokoll-Sicherheit (IPSec) und verwenden Sie Network Address Translation Traversal (NAT-T).

D Implementieren Sie das Point-to-Point Tunneling Protokoll und verwenden Sie die Microsoft Point-to-Point Verschlüsselung (MPPE).


Korrekte Antwort: A

Erläuterungen:

Tunnelprotokolle ermöglichen die Kapselung eines Pakets eines Protokolltyps innerhalb des Data-gramms eines anderen Protokolls. Beispielsweise wird PPTP von VPN zur Kapselung von IP-Paketen in einem öffentlichen Netzwerk wie dem Internet verwendet. Sie können eine VPN-Lösung konfigurie-ren, die auf PPTP (Point-to-Point Tunneling Protocol), L2TP (Layer Two Tunneling Protocol) oder SSTP (Secure Socket Tunneling Protocol) basiert.

PPTP, L2TP und SSTP sind unbedingt von den Features abhängig, die ursprünglich für das Point-to-Point-Protokoll (PPP) festgelegt wurden. PPP wurde für das Senden von Daten über DFÜ- oder dedi-zierte Punkt-zu-Punkt-Verbindungen entwickelt. Für IP werden von PPP IP-Pakete innerhalb von PPP-Rahmen gekapselt und dann die gekapselten PPP-Pakete über eine Punkt-zu-Punkt-Verbindung über-tragen. PPP war ursprünglich als Protokoll für den Einsatz zwischen einem DFÜ-Client und einem Netzwerkzugriffserver gedacht.

SSTP (Secure Socket Tunneling Protocol) ist ein neues Tunnelprotokoll, das das HTTPS-Protokoll über den TCP-Port 443 für Datenverkehr durch Firewalls und Webproxies verwendet, die den PPTP- und L2TP/IPsec-Datenverkehr blockieren könnten. SSTP bietet einen Mechanismus zur Kapselung von PPP-Datenverkehr über den SSL-Kanal (Secure Sockets Layer) des HTTPS-Protokolls. Die Verwendung von PPP ermöglicht die Unterstützung starker Authentifizierungsmethoden wie EAP-TLS. SSL bietet TLS (Transport Level Security) mit verbesserter Schlüsselaushandlung, Verschlüsselung und Integritätsprü-fung.

Wenn ein Client versucht, eine SSTP-basierte VPN-Verbindung herzustellen, wird von SSTP zuerst eine bidirektionale HTTPS-Ebene zum SSTP-Server erstellt. Über diese HTTPS-Ebene werden diese Protokoll-pakete als Dateninhalt versendet.

Auswählen eines Tunnelprotokolls

Wenn Sie zwischen den RAS-VPN-Lösungen mit PPTP, L2TP/IPsec oder SSTP eine Auswahl treffen, sollten Sie Folgendes beachten:

PPTP kann für eine Vielzahl von Microsoft-Clients, einschließlich Microsoft Windows 2000, Windows XP, Windows Vista und Windows Server 2008, eingesetzt werden. Im Gegensatz zu L2TP/IPsec erfordert PPTP nicht die Verwendung einer Infrastruktur mit öffentlichem Schlüssel (Public Key Infrastructure, PKI). PPTP-basierte VPN-Verbindungen sorgen durch Verschlüsselung für die Vertraulichkeit der Daten (abgefangene Pakete können ohne den Verschlüsselungsschlüssel nicht interpretiert werden). PPTP-basierte VPN-Verbindungen bieten jedoch keine Datenintegrität (Nachweis, dass die Daten bei der Übertragung nicht verändert wurden) oder Datenursprungs-authentifizierung (Nachweis, dass die Daten vom autorisierten Benutzer stammen).

L2TP kann nur für Clientcomputer unter Windows 2000, Windows XP oder Windows Vista ver-wendet werden. L2TP unterstützt entweder Computerzertifikate oder einen vorinstallierten Schlüssel als Authentifizierungsmethode für IPsec. Die Computerzertifikatauthentifizierung, die empfohlene Authentifizierungsmethode, erfordert eine PKI zur Ausstellung von Computerzertifika-ten für den VPN-Servercomputer und alle VPN-Clientcomputer. Durch die Verwendung von IPsec bieten L2TP/IPsec-VPN-Verbindungen Datenvertraulichkeit, Datenintegrität und Datenauthentifi-zierung.

Im Gegensatz zu PPTP und SSTP ermöglicht L2TP/IPsec die Computerauthentifizierung auf IPsec-Ebene und die Benutzerebenenauthentifizierung auf PPP-Ebene.

SSTP kann nur für Clientcomputer ab Windows Vista Service Pack 1 (SP1) oder ab Windows Server 2008 verwendet werden. Durch die Verwendung von SSL bieten SSTP-VPN-Verbindungen Daten-vertraulichkeit, Datenintegrität und Datenauthentifizierung.

Alle drei Tunneltypen verwenden PPP-Rahmen über dem Netzwerkprotokollstapel. Daher sind die allgemeinen Features von PPP wie Authentifizierungsschemas, IPv4- und IPv6-Aushandlung und Netzwerkzugriffsschutz (Network Access Protection, NAP) bei allen drei Tunneltypen identisch.


Frage 29

Sie sind als Netzwerkadministrator für das Unternehmen CertBase tätig. Das Firmennetzwerk be-steht aus einer einzelnen Active Directory-Domänendienste Domäne mit dem Namen certbase.de. Auf allen Servercomputern ist das Betriebssystem Windows Server 2008 R2 installiert.

Auf einem Server mit dem Namen Server1 Microsoft SharePoint Foundation 2010 installiert. Der Server hostet 30 SharePoint Sites.

Sie müssen die Performance von Server1 optimieren. Sie müssen sicherstellen, dass jeder SharePoint Site ein gleicher Anteil der Systemressourcen zur Verfügung gestellt wird, wenn die CPU Auslastung 70 Prozent übersteigt.

Wie gehen Sie vor?

A Konfigurieren Sie jede SharePoint Site für die Verwendung einer separaten IP-Adresse. Installie-ren Sie den Ressourcen Manager für Dateiserver (File Server Ressource Manager, FSRM).

B Konfigurieren Sie jede SharePoint Site für die Verwendung einer separaten IP-Adresse. Installie-ren Sie den Windows-Systemressourcen-Manager (WSRM).

C Konfigurieren Sie jede SharePoint Site für die Verwendung eines separaten Anwendungspools. Installieren Sie den Ressourcen Manager für Dateiserver (File Server Ressource Manager, FSRM).

D Konfigurieren Sie jede SharePoint Site für die Verwendung eines separaten Anwendungspools. Installieren Sie den Windows-Systemressourcen-Manager (WSRM).


Korrekte Antwort: D

Erläuterungen:

Mit dem Windows-Systemressourcen-Manager für das Betriebssystem Windows Server 2008 R2 können Sie die Prozessor- und Speicherauslastung auf dem Server mit standardmäßigen oder benutzerdefinierten Ressourcenrichtlinien verwalten. Durch Verwalten von Ressourcen wird si-chergestellt, dass alle von einem einzelnen Server bereitgestellten Dienste in gleichem Umfang zur Verfügung stehen oder dass für Anwendungen, Dienste oder Benutzer mit einer hohen Priorität immer Ressourcen verfügbar sind.


Der Windows-Systemressourcen-Manager enthält vier integrierte Ressourcenverwaltungsrichtli-nien, mit denen Sie auf schnelle Weise eine Verwaltung implementieren können. Außerdem kön-nen Sie benutzerdefinierte Ressourcenverwaltungsrichtlinien gemäß Ihren eigenen Anforderungen erstellen. Eine der vordefinierten Ressourcenzuweisungsrichtlinien (Für IIS-Anwendungspool iden-tisch) bezieht sich direkt auf die Anwendungspools der Internetinformationsdienste.

Wenn die Ressourcenzuweisungsrichtlinie Equal_Per_IISAppPool das System verwaltet, werden alle aktiven IIS-Anwendungspools gleich behandelt. Anwendungen, die sich nicht in einem IIS-Anwendungspool befinden, können nur Ressourcen verwenden, die nicht von IIS-Anwendungspools belegt sind.


Frage 30

Sie sind als Netzwerkadministrator für das Unternehmen CertBase tätig. Das Firmennetzwerk be-steht aus einer einzelnen Active Directory Domäne mit dem Namen certbase.de. Auf allen Server-computern ist das Betriebssystem Windows Server 2008 R2 installiert. Auf allen Clientcomputern wird Windows Vista ausgeführt.

Sie verwalten eine Unternehmenszertifizierungsstelle (CA).

Sie müssen Zertifikate auf Basis einer neuen Zertifikatsvorlage an alle Benutzer verteilen. Die Ver-teilung muss die folgenden Anforderungen erfüllen:

Die Zertifikate müssen automatisch auf allen Clientcomputern installiert werden. Die Benutzer müssen bei der Anmeldung an einem beliebigen Clientcomputer der Domäne

Zugriff auf die neuen Zertifikate haben. Der administrative Aufwand für die Verteilung der Zertifikate soll so gering wie möglich aus-

fallen. Wie gehen Sie vor?

A Installieren Sie eine untergeordnete Unternehmenszertifizierungsstelle und konfigurieren Sie die Ordnerumleitung.

B Installieren Sie eine untergeordnete Unternehmenszertifizierungsstelle und konfigurieren Sie servergespeicherte Benutzerprofile.

C Konfigurieren Sie die automatische Zertifikatsregistrierung und servergespeicherte Anmeldein-formationen.

D Aktualisieren Sie die Clientcomputer auf Windows 7 und konfigurieren Sie die automatische Zertifikatsregistrierung.


Korrekte Antwort: C

Erläuterungen:

Viele Zertifikate können verteilt werden, ohne dass die Registrierung vom Client überhaupt wahr-genommen wird. Dazu zählen die meisten Zertifikattypen, die an Computer und Dienste ausge-stellt werden, sowie viele an Benutzer ausgestellte Zertifikate. Für die automatische Verteilung von Zertifikaten müssen Sie eine Zertifikatvorlage mit Berechtigungen zur automatischen Regist-rierung und eine Richtlinie zur automatischen Registrierung für die Domäne konfigurieren.

Mithilfe von servergespeicherten Anmeldeinformationen können Organisationen Zertifikate und private Schlüssel in Active Directory getrennt von Anwendungsstatus oder Konfigurationsinforma-tionen speichern.

Servergespeicherte Anmeldeinformationen verwenden vorhandene Mechanismen für die Anmel-dung und automatische Registrierung und müssen auf einem Server unter Windows Server 2008 konfiguriert sein. Diese Mechanismen ermöglichen das sichere Downloaden von Zertifikaten und Schlüsseln auf einen lokalen Computer, wenn sich ein Benutzer anmeldet, und entfernen diese, falls gewünscht, wenn der Benutzer sich abmeldet. Darüber hinaus wird die Integrität dieser An-meldeinformationen unter allen Bedingungen aufrechterhalten, z. B. dann, wenn Zertifikate aktu-alisiert werden oder Benutzer sich an mehreren Computern gleichzeitig anmelden.


Frage 31

Sie sind als Netzwerkadministrator für das Unternehmen CertBase tätig. Das Firmennetzwerk be-steht aus einer einzelnen Active Directory-Domänendienste Domäne mit dem Namen certbase.de. Auf allen Servern und Domänencontrollern ist das Betriebssystem Windows Server 2008 R2 instal-liert.

Das Netzwerk enthält drei Netzwerkrichtlinienserver (Network Policy Server, NPS) mit den Namen Server1, Server2 und Server3. Alle Netzwerkrichtlinienserver dienen als Remote Authentication Dial-In User Service (RADIUS) Server. Auf Server1 wird Microsoft SQL Server 2008 R2 ausgeführt.

Das Netzwerk enthält 30 drahtlose Zugriffspunkte. Alle drahtlosen Zugriffspunkte sind als RADIUS Clients konfiguriert.

Sie planen die Überwachung aller Zugriffe auf die drahtlosen Zugriffspunkte. Ihre Überwachung muss den folgenden Anforderungen entsprechen:

Die gesammelten Überwachungsdaten müssen an einer zentralen Stelle gespeichert werden. Die gesammelten Überwachungsdaten müssen in einem Format gespeichert werden, das

leicht abgefragt werden kann. Es müssen alle RADIUS Attribute und alle RADIUS herstellerspezifischen Attribute aufgezeich-

net werden. Wie gehen Sie vor?

A Überwachen Sie Anmeldeereignisse auf den Domänencontrollern. Konfigurieren Sie die RADI-US Authentifizierung.

B Überwachen Sie Anmeldeereignisse auf den Netzwerkrichtlinienservern. Leiten Sie alle Sicher-heitsereignisse von Server2 und Server3 an Server1 weiter.

C Konfigurieren Sie den SQL Server für die Windows integrierte Authentifizierung. Leiten Sie alle Sicherheitsereignisse von den Netzwerkrichtlinienservern an Server1 weiter.

D Konfigurieren Sie die RADIUS Kontoführung und verwenden Sie auf allen Servern die SQL Ser-ver-Protokollierung. Legen Sie Server1 als Datenbankserver für die RADIUS Kontoführung fest.


Korrekte Antwort: D

Erläuterungen:

NPS ist die Microsoft-Implementierung eines RADIUS-Servers (Remote Authentication Dial-In User Service). Als RADIUS-Server führt NPS die zentralisierte Verbindungsauthentifizierung und Autori-sierung aus sowie die Kontoführung für viele Arten des Netzwerkzugriffs, wie z. B. Verbindungen über Drahtlosnetzwerk, Authentifizierungsswitch, DFÜ- und VPN-Remotezugriff sowie Verbin-dungen zwischen Routern.

NPS ermöglicht die Verwendung eines heterogenen Satzes von Drahtlos-, Switch-, Remotezu-griffs- oder VPN-Geräten. Sie können NPS zusammen mit dem Routing- und RAS-Dienst verwen-den, der unter Microsoft Windows 2000, Windows Server 2003 Standard Edition, Windows Ser-ver 2003 Enterprise Edition und Windows Server 2003 Datacenter Edition verfügbar ist.

Wenn ein Netzwerkrichtlinienserver Mitglied einer Active Directory-Domäne ist, verwendet NPS den Verzeichnisdienst als Benutzerkontodatenbank und ist Bestandteil einer Lösung für einmali-ges Anmelden. Dieselben Anmeldeinformationen werden für die Netzwerkzugriffssteuerung (Au-thentifizierung und Autorisierung des Zugriffs auf ein Netzwerk) und für die Anmeldung an einer Active Directory-Domäne verwendet.

Internetdienstanbieter (Internet Service Providers, ISPs) und Organisationen, die den Netzwerkzu-griff verwalten, stehen zunehmend vor der Herausforderung, alle Arten des Netzwerkzugriffs zentral zu verwalten, und zwar unabhängig vom Typ der verwendeten Netzwerkzugriffsgeräte. Diese Funktionalität wird vom RADIUS-Standard in homogenen und heterogenen Umgebungen unterstützt. RADIUS ist ein Client-Server-Protokoll, mit dem Netzwerkzugriffsgeräte (die als RADI-US-Clients verwendet werden) Authentifizierungs- und Kontoführungsanforderungen an einen RADIUS-Server senden können.

Ein RADIUS-Server hat Zugriff auf Benutzerkontoinformationen und kann die Authenfizierungs-anmeldeinformationen für den Netzwerkzugriff überprüfen. Wenn die Anmeldeinformationen des Benutzers stimmen und der Verbindungsversuch autorisiert wird, autorisiert der RADIUS-Server den Zugriff des Benutzers auf der Grundlage angegebener Bedingungen und protokolliert die Netzwerkzugriffsverbindung in einem Kontoführungsprotokoll. Durch die Verwendung von RA-DIUS kann der Netzwerkzugriffsbenutzer Authentifizierungs-, Autorisierungs- und Kontofüh-rungsdaten zentral, anstatt auf jedem einzelnen Zugriffsserver, sammeln und verwalten.

Sie können den Netzwerkrichtlinienserver (Network Policy Server, NPS) so konfigurieren, dass die RADIUS-Kontoführung für Benutzerauthentifizierungsanforderungen, Access-Accept-Nachrichten, Access-Reject-Nachrichten, Kontoführungsanforderungen und Antworten sowie regelmäßige Statusaktualisierungen ausgeführt wird. Mithilfe der Konsole Netzwerkrichtliienserver können Sie Protokollierungseigenschaften und die Verbindung zum Server mit SQL Server konfigurieren, auf dem Ihre Kontoführungsdaten gespeichert sind.


Frage 32

Sie sind als Netzwerkadministrator für das Unternehmen CertBase tätig. Das Unternehmen hat eine Zweigstelle. Die Zweigstelle enthält einen Windows Server 2008 R2 Computer auf dem die Windows Server Update Services (WSUS) ausgeführt werden. Der WSUS Server ist so konfiguriert, dass Updates lokal gespeichert werden.

Das Unternehmen eröffnet vier neue Satellitenstandorte. Die vier neuen Standorte sind jeweils über eine dedizierte WAN Verbindung mit der Zweigstelle verbunden. Der Internetanschluss für die Satellitenstandorte wird durch die Zweigstelle bereitgestellt.

Sie müssen eine Lösung für das Patchmanagement entwerfen, die den folgenden Anforderungen entspricht:

Die Updates müssen für jeden Satellitenstandort individuell genehmigt werden. Der Datenverkehr über die Internetschnittstelle muss minimiert werden. Wie gehen Sie vor?

A Installieren Sie in jedem Satellitenstandort einen WSUS Server. Konfigurieren Sie jeden neuen WSUS Server als autonomen Server.

B Installieren Sie in jedem Satellitenstandort einen WSUS Server. Konfigurieren Sie jeden neuen WSUS Server als Replikatserver des Servers der Zweigstelle.

C Installieren Sie in jedem Satellitenstandort einen WSUS Server. Konfigurieren Sie jeden neuen WSUS Server so, dass der WSUS Server der Zweigstelle als Upstreamserver verwendet wird.

D Erstellen Sie für jeden Satellitenstandort eine Organisationseinheit (OU). Erstellen und verknüp-fen Sie für jede neue Organisationseinheit ein neues Gruppenrichtlinienobjekt (GPO). Konfigu-rieren Sie für die Clientcomputer der Satellitenstandorte unterschiedliche Zeitpläne für das Herunterladen und Installieren von Updates von dem WSUS Server der Zweigstelle.


Korrekte Antwort: C

Erläuterungen:

Die WSUS Server der Satellitenstandorte müssen unabhängig voneinander verwaltet werden. Für jeden Standort sollen individuell Updates genehmigt werden. Um die Internetverbindung nicht zusätzlich zu belasten, können wir die neuen WSUS Server der Sattelitenstandorte jedoch als Downstreamserver des vorhandenen WSUS Servers in der Zweigstelle konfigurieren.

Ein Downstreamserver ist ein WSUS-Server, der Updatedateien, Metadaten und Genehmigungen von einem anderen, Upstreamserver genannten WSUS-Server empfängt. Eine schnelle Statusan-zeige der mit Ihrem Server verbundenen Downstreamserver erhalten Sie, wenn Sie in der Struktur Update Services für den von Ihnen verwalteten Server Downstreamserver auswählen. Überprüfen Sie die Ergebnisse im Fenster Details.

Ein im Replikatmodus ausgeführter WSUS-Server ist ein Downstreamserver, von dem die auf ei-nem Verwaltungsserver erstellten Updategenehmigungen und Computergruppen übernommen werden. Mit dem Replikatmodus werden normalerweise von einem einzelnen Verwaltungsserver ein oder mehrere WSUS-Replikatserver verwaltet, die entsprechend den örtlichen Gegebenheiten des Standorts oder der Organisation verteilt sind. Das Genehmigen von Updates und Erstellen von Computergruppen erfolgt auf dem Verwaltungsserver, der dann von den Servern im Replikatmo-dus gespiegelt wird. Replikatserver können auf der Seite Optionen eingerichtet werden. Klicken Sie dazu auf Updatequelle und Proxyserver, wählen Sie Von einem anderen Windows Server Up-date Services-Server synchronisieren auf der Registerkarte Updatequelle, und aktivieren Sie an-schließend das Kontrollkästchen Dieser Server ist ein Replikat des Upstreamservers.

Wenn Ihr WSUS-Server im Replikatmodus ausgeführt wird, stehen auf dem Server nur die folgen-den eingeschränkten Verwaltungsfunktionen zur Verfügung:

Festlegen eines Synchronisierungszeitplans Angeben von Proxyservereinstellungen Festlegen der Updatequelle (der Verwaltungsserver oder ein anderer Server) Anzeigen der verfügbaren Updates Überwachen des Update-, Synchronisierungs- und Computerstatus sowie der WSUS-

Einstellungen auf dem Server (alle WSUS-Standardberichte)


Frage 33

Sie sind als Netzwerkadministrator für das Unternehmen CertBase tätig. Das Firmennetzwerk be-steht aus einer einzelnen Active Directory-Domänendienste Domäne mit dem Namen certbase.de. Die Domäne enthält 10 Servercomputer. Auf allen Servern ist Windows Server 2008 R2 mit der Serverrolle Dateiserver installiert.

Sie müssen eine Strategie für die Überwachung der Dateiserver empfehlen. Ihre Lösung muss den folgenden Anforderungen entsprechen:

Administratoren müssen die Möglichkeit erhalten, Berichte zu erstellen, die die Ordnernut-zung für verschiedene Active Directory Gruppen anzeigen.

Die Administratoren müssen per E-Mail informiert werden, wenn ein Volume weniger als 500 MB freien Speicherplatz aufweist.

Es müssen Kontingente für das Speichern von Dateien erzwungen werden. Wie gehen Sie vor?

A Konfigurieren Sie auf allen Servern NTFS-Datenträgerkontingente und Aufgaben auf Basis von Ereignistriggern.

B Konfigurieren Sie auf allen Servern NTFS-Datenträgerkontingente und Systemmonitorwarnun-gen.

C Installieren Sie den Windows-Systemressourcen-Manager (WSRM) auf allen Servern und konfi-gurieren Sie Ereignisabonnements.

D Installieren Sie den Ressourcen Manager für Dateiserver (FSRM) auf allen Servern. Konfigurie-ren Sie die Kontingentverwaltung und die Speicherberichtverwaltung.^


Korrekte Antwort: D

Erläuterungen:

Im Knoten Kontingentverwaltung des MMC-Snap-Ins Ressourcen-Manager für Dateiserver kön-nen Sie die folgenden Aufgaben ausführen:

Erstellen von Kontingenten, um den für ein Volume oder einen Ordner zulässigen Speicher-platz einzuschränken und Benachrichtigungen zu generieren, wenn die Kontingentsgrenzen erreicht oder überschritten werden.

Generieren von automatisch zugewiesenen Kontingenten, die auf alle vorhandenen Unter-ordner eines Volumes oder Ordners sowie auf alle zukünftig erstellten Unterordner angewen-det werden.

Definieren von Kontingentvorlagen, die auf einfache Weise auf neue Volumes oder Ordner angewendet und dann in der gesamten Organisation verwendet werden können.

Sie haben beispielsweise folgende Möglichkeiten:

Sie können eine Beschränkung von 200 Megabyte (MB) für den persönlichen Ordner eines Benutzers auf einem Server festlegen und bestimmen, dass Sie und der Benutzer benachrich-tigt werden, wenn 180 MB Speicherplatz überschritten wurden.

Für den gemeinsam verwendeten Ordner einer Gruppe kann ein flexibles Kontingent von 500 MB festgelegt werden. Wird diese Speicherbeschränkung erreicht, werden alle Benutzer in der Gruppe per E-Mail benachrichtigt, dass das Speicherkontingent temporär auf 520 MB er-weitert wurde. Sie können dann nicht benötigte Dateien löschen, um der voreingestellten Kontingentrichtlinie von 500 MB gerecht zu werden.

Sie können festlegen, dass Sie eine Benachrichtigung erhalten, wenn die Auslastung eines tempo-rären Ordners 2 GB erreicht, ohne jedoch das Kontingent dieses Ordners einzuschränken, da die-ses zum Ausführen eines Diensts auf dem Server erforderlich ist. Im Knoten Speicherberichteverwaltung des MMC-Snap-Ins Ressourcen-Manager für Dateiserver können Sie die folgenden Aufgaben ausführen:

Planen regelmäßiger Speicherberichte, mit denen Sie Trends bei der Datenträgerverwendung identifizieren können.

Überwachen von nicht autorisierten Dateispeicherversuchen für alle Benutzer oder für eine ausgewählte Benutzergruppe.

Direktes Generieren von Speicherberichten. Sie haben beispielsweise folgende Möglichkeiten:

Planen eines Berichts, der jeden Sonntag um Mitternacht ausgeführt wird und eine Liste mit den Dateien generiert, auf die in den beiden vorherigen Tagen zuletzt zugegriffen wurde. Anhand dieser Informationen können Sie die Speicheraktivität am Wochenende überwachen und Serverausfallzeiten mit geringeren Auswirkungen für die Benutzer planen, die am Wo-chenende von zu Hause aus eine Verbindung herstellen.

Ausführen eines Berichts zu jedem beliebigen Zeitpunkt, um alle doppelt vorhandenen Datei-en in einem Volume auf einem Server zu identifizieren. So lässt sich Speicherplatz schnell und ohne Datenverlust freigeben.

Ausführen eines Berichts für Dateien nach Dateigruppe, um zu identifizieren, wie Speicherres-sourcen zwischen verschiedenen Dateigruppen aufgeteilt sind, oder eines Berichts nach Da-teibesitzern, um zu analysieren, wie einzelne Benutzer die gemeinsamen Speicherressourcen verwenden.


Frage 34

Sie sind als Netzwerkadministrator für das Unternehmen CertBase tätig. Das Firmennetzwerk be-steht aus einer einzelnen Active Directory-Domänendienste Domäne mit dem Namen certbase.de. Auf allen Domänencontrollern ist das Betriebssystem Windows Server 2008 R2 installiert.

Das Netzwerk enthält drei Netzwerkrichtlinienserver (Network Policy Server, NPS) mit den Namen Server1, Server2 und Server3. Alle Netzwerkrichtlinienserver sind als Remote Authentication Dial-In User Service (RADIUS) Server konfiguriert.

Das Netzwerk enthält 30 drahtlose Zugriffspunkte. Alle drahtlosen Zugriffspunkte sind als RADIUS Clients konfiguriert.

Sie planen die Überwachung aller Zugriffe auf die drahtlosen Zugriffspunkte. Ihre Überwachung muss den folgenden Anforderungen entsprechen:

Die gesammelten Überwachungsdaten müssen an einer zentralen Stelle gespeichert werden. Es müssen alle RADIUS Attribute und alle RADIUS herstellerspezifischen Attribute aufgezeich-

net werden. Die Kosten müssen minimiert werden. Wie gehen Sie vor?

A Überwachen Sie Anmeldeereignisse auf den Domänencontrollern. Konfigurieren Sie die RADI-US Authentifizierung.

B Überwachen Sie Anmeldeereignisse auf den Netzwerkrichtlinienservern. Leiten Sie alle Sicher-heitsereignisse von Server2 und Server3 an Server1 weiter.

C Installieren Sie Microsoft SQL Server 2008 R2 Standard Edition auf Server1. Konfigurieren Sie die RADIUS Kontoführung und legen Sie die SQL Server-Protokollierung fest.

D Konfigurieren Sie auf allen Netzwerkrichtlinienservern die RADIUS Kontoführung und verwen-den Sie die Protokollierung für lokale Dateien. Speichern Sie die Protokolldateien im Format Internet Authentication Service (IAS) in einer Freigabe auf Server1.


Korrekte Antwort: C

Erläuterungen:

NPS ist die Microsoft-Implementierung eines RADIUS-Servers (Remote Authentication Dial-In User Service). Als RADIUS-Server führt NPS die zentralisierte Verbindungsauthentifizierung und Autori-sierung aus sowie die Kontoführung für viele Arten des Netzwerkzugriffs, wie z. B. Verbindungen über Drahtlosnetzwerk, Authentifizierungsswitch, DFÜ- und VPN-Remotezugriff sowie Verbin-dungen zwischen Routern.

NPS ermöglicht die Verwendung eines heterogenen Satzes von Drahtlos-, Switch-, Remotezu-griffs- oder VPN-Geräten. Sie können NPS zusammen mit dem Routing- und RAS-Dienst verwen-den, der unter Microsoft Windows 2000, Windows Server 2003 Standard Edition, Windows Ser-ver 2003 Enterprise Edition und Windows Server 2003 Datacenter Edition verfügbar ist.

Wenn ein Netzwerkrichtlinienserver Mitglied einer Active Directory-Domäne ist, verwendet NPS den Verzeichnisdienst als Benutzerkontodatenbank und ist Bestandteil einer Lösung für einmali-ges Anmelden. Dieselben Anmeldeinformationen werden für die Netzwerkzugriffssteuerung (Au-thentifizierung und Autorisierung des Zugriffs auf ein Netzwerk) und für die Anmeldung an einer Active Directory-Domäne verwendet.

Internetdienstanbieter (Internet Service Providers, ISPs) und Organisationen, die den Netzwerkzu-griff verwalten, stehen zunehmend vor der Herausforderung, alle Arten des Netzwerkzugriffs zentral zu verwalten, und zwar unabhängig vom Typ der verwendeten Netzwerkzugriffsgeräte. Diese Funktionalität wird vom RADIUS-Standard in homogenen und heterogenen Umgebungen unterstützt. RADIUS ist ein Client-Server-Protokoll, mit dem Netzwerkzugriffsgeräte (die als RADI-US-Clients verwendet werden) Authentifizierungs- und Kontoführungsanforderungen an einen RADIUS-Server senden können.

Ein RADIUS-Server hat Zugriff auf Benutzerkontoinformationen und kann die Authenfizierungs-anmeldeinformationen für den Netzwerkzugriff überprüfen. Wenn die Anmeldeinformationen des Benutzers stimmen und der Verbindungsversuch autorisiert wird, autorisiert der RADIUS-Server den Zugriff des Benutzers auf der Grundlage angegebener Bedingungen und protokolliert die Netzwerkzugriffsverbindung in einem Kontoführungsprotokoll. Durch die Verwendung von RA-DIUS kann der Netzwerkzugriffsbenutzer Authentifizierungs-, Autorisierungs- und Kontofüh-rungsdaten zentral, anstatt auf jedem einzelnen Zugriffsserver, sammeln und verwalten.

Planning for Server Management

Frage 35

Sie sind als Netzwerkadministrator für das Unternehmen CertBase tätig. Das Firmennetzwerk be-steht aus einer einzelnen Active Directory Gesamtstruktur. Die Funktionsebene der Gesamtstruk-tur ist mit Windows Server 2008 R2 festgelegt. Die Gesamtstruktur enthält zwei Domänen mit den Namen certbase.de und nord.certbase.de.

Die Domäne certbase.de enthält ein Benutzerkonto mit dem Namen Benutzer1. Die Domäne nord.certbase.de enthält eine Organisationseinheit (OU) mit dem Namen Sicherheit.

Sie müssen Benutzer1 die erforderlichen Berechtigungen für die Verwaltung von Gruppenrichtli-nien für die Organisationseinheit Sicherheit erteilen. Zusätzlich müssen Sie die folgenden Anforde-rungen berücksichtigen:

Benutzer1 muss in der Lage sein, Gruppenrichtlinienobjekte (GPOs) in der Domäne nord.certbase.de zu erstellen und zu konfigurieren.

Benutzer1 muss in der Lage sein, Gruppenrichtlinienobjekte (GPOs) mit der OU Sicherheit zu verknüpfen.

Benutzer1 darf nur die minimal erforderlichen Berechtigungen für seine Aufgaben erhalten. Wie gehen Sie vor?

A Nehmen Sie Benutzer1 in die Gruppe der Administratoren der Domäne nord.certbase.de auf.

B Nehmen Sie Benutzer1 in die Gruppe Richtlinien-Ersteller-Besitzer der Domäne certbase.de auf. Bearbeiten Sie die Sicherheitseinstellungen der Organisationseinheit Sicherheit.

C Benutzen Sie den Assistent zum Zuweisen der Objektverwaltung für die OU Sicherheit. Ver-wenden Sie die Konsole Gruppenrichtlinienverwaltung und bearbeiten Sie die Sicherheitsein-stellungen für den Container Gruppenrichtlinienobjekte der Domäne nord.certbase.de.

D Benutzen Sie den Assistent zum Zuweisen der Objektverwaltung für die Domäne nord.certbase.de. Verwenden Sie die Konsole Gruppenrichtlinienverwaltung und bearbeiten Sie die Sicherheitseinstellungen für den Container Gruppenrichtlinienobjekte der Domäne cert-base.de.


Korrekte Antwort: C

Erläuterungen:

Mit Hilfe des Assistenten zum Zuweisen der Objektverwaltung können wir Benutzer1 das Recht Verwaltet Gruppenrichtlinien-Verknüpfungen für die OU Sicherheit erteilen. Um neue Gruppen-richtlinienobjekte zu erstellen und vorhandene bearbeiten zu können, müssen wir Benutzer1 zu-sätzlich Berechtigungen für den Container Gruppenrichtlinienobjekte der Domäne nord.certbase.de zuweisen.


Frage 36

Sie sind als Netzwerkadministrator für das Unternehmen CertBase tätig. Das Firmennetzwerk be-steht aus einer einzelnen Active Directory-Domänendienste Domäne mit dem Namen certbase.de. Die Domäne enthält drei Organisationseinheiten mit den Namen Test, Anwendung und Daten-bank.

Sie müssen die Struktur der Organisationseinheiten mit den folgenden Zielen überarbeiten:

Es muss verhindert werden, dass Gruppenrichtlinienobjekte (GPOs), die mit der Domäne ver-knüpft werden, auf Computer in der Organisationseinheit Anwendung angewendet werden.

Die Anzahl der GPOs muss minimiert werden. Die Anzahl der OUs muss minimiert werden. Was werden Sie in Ihre Umstrukturierung einbeziehen?

A Das Erstellen eines Starter-Gruppenrichtlinienobjektes.

B Das Erstellen eines Windows Management Instrumentation (WMI) Filters.

C Das Delegieren von Berechtigungen für die Organisationseinheit Anwendung.

D Das Deaktivieren der Vererbung für die Organisationseinheit Anwendung.


Korrekte Antwort: D

Erläuterungen:

Sie können die Vererbung für eine Domäne oder Organisationseinheit blockieren. Durch das Blo-ckieren der Vererbung wird verhindert, dass Gruppenrichtlinienobjekte (Group Policy Objects, GPOs), die mit übergeordneten Standorten, Domänen oder Organisationseinheiten verknüpft sind, automatisch an die untergeordnete Ebene vererbt werden.


Frage 37

Sie sind als Netzwerkadministrator für das Unternehmen CertBase tätig. Das Firmennetzwerk ent-hält zwei Servercomputer auf denen eine Windows Server 2008 R2 Servercore Installation ausge-führt wird. Die beiden Server sind Teil eines Clusters für den Netzwerklastenausgleich (NLB).

Der Cluster hostet eine Website. Administratoren verwenden Clientcomputer mit dem Betriebs-system Windows 7.

Sie müssen eine Lösung empfehlen, die es den Administratoren gestattet, den Cluster für den Netzwerklastenausgleich remote zu verwalten. Ihre Lösung muss die Automatisierung von Ver-waltungsaufgaben ermöglichen.

Welches Vorgehen werden Sie empfehlen?

A Aktivieren Sie Windows Remote Management (WinRM) auf den Servercomputern.

B Nehmen Sie die Benutzerkonten der Administratoren in die Gruppe der Remotedesktopadmi-nistratoren auf den Servern auf.

C Aktivieren Sie Windows Remote Management (WinRM) auf den Windows 7 Clientcomputern.

D Nehmen Sie die Benutzerkonten der Administratoren in die Gruppe der Remotedesktopadmi-nistratoren auf den Windows 7 Clientcomputern auf.


Korrekte Antwort: A

Erläuterungen:

Windows Remote Management (WinRM) ist die Microsoft-Implementierung des Standard WS-Management. WS-Management dient dem Austausch von Verwaltungsinformationen zwischen heterogenen Computersystemen. WS-Management ist ein Netzwerprotokoll auf Basis von XML-Webservices unter Verwendung des Simple Object Access Protocols (SOAP).

WinRM ist auf Windows 7 / Windows Server 2008 R2 schon von Haus aus mit dabei - aber nicht aktiv. Zur Aktivierung von WinRM sind lediglich einige wenige Handgriffe notwendig. In der Kon-sole (CMD)

Winrm quickconfig

eingetippt - und schon kann’s losgehen. WinRM muss natürlich auf beiden Rechnern, also dem Client und dem Server, installiert und aktiviert sein.

Je nach dem ob sich die beiden Rechner in der selben Domäne, in der selben Arbeitsgruppe oder in komplett unterschiedlichen Infrastrukturen befinden, sind noch weitere, kleine Einstellungen umzusetzen. Sind die beiden Computer nicht in einer gemeinsamen Verwaltungseinheit vereint, müssen noch der Authentifizierungstyp und die vertrauenswürdigen Partner eingestellt werden.

Auf der Serverseite…

Winrm set winrm/config/service/auth @{Basic="true"}

Winrm set winrm/config/client @{TrustedHosts="CLIENTNAMEODERIP"}

…und auf der Clientseite…

Winrm set winrm/config/client/auth @{Basic="true"}

Winrm set winrm/config/client @{TrustedHosts="SERVERNAMEODERIP"}

Für den Zugriff via WinRM wird das Kommandozeilen-Tool WinRS verwendet. In einer offenen Konsole (oder Powershell) kann man mit WinRS jedes beliebige Kommando serverseitig ausge-führt werden.

Windows Remote Management in Aktion

Mit dem Befehl:

Winrs -r:http://servernameoderip -u:administrator dir

kann man beispielsweise einen Blick auf die Festplatte werfen.


Frage 38

Sie sind als Netzwerkadministrator für das Unternehmen CertBase tätig. Das Firmennetzwerk be-steht aus einer einzelnen Active Directory-Domänendienste Domäne mit dem Namen certbase.de. Das Netzwerk enthält eine Zweigstelle mit dem Namen Branch1.

Branch1 enthält einen schreibgeschützten Domänencontroller (RODC) mit dem Namen Server1. Eine globale Gruppe mit dem Namen Branch1-Admins enthält die Benutzerkonten der Adminis-tratoren der Zweigstelle. Die Administratoren verwalten sowohl die Clientcomputer als auch die Servercomputer der Zweigstelle.

Sie müssen eine Lösung für die Delegation der Verwaltung von Server1 empfehlen. Ihre Lösung muss den folgenden Anforderungen entsprechen:

Mitglieder der Gruppe Branch1-Admins müssen in der Lage sein, Server1 zu administrieren. Dies schließt die Installation von Treibern und Updates für das Betriebssystem über Windows Update ein.

Mitglieder der Gruppe Branch1-Admins sollen ausschließlich Berechtigungen für Server1 er-halten.

Mitglieder der Gruppe Branch1-Admins dürfen keine Änderungen an Active Directory Objek-ten durchführen.

Was werden Sie empfehlen?

A Nehmen Sie die globale Gruppe Branch1-Admins in die domänenlokale Gruppe Server-Operatoren auf.

B Nehmen Sie die globale Gruppe Branch1-Admins in die lokale Gruppe Administratoren auf Server1 auf.

C Erteilen Sie der globalen Gruppe Branch1-Admins Vollzugriff auf das Computerkonto von Ser-ver1 in der Domäne.

D Verschieben Sie das Computerkonto von Server1 in eine neue Organisationseinheit (OU) mit dem Namen Branch1-Server. Erteilen Sie der globalen Gruppe Branch1-Admins Vollzugriff auf die neue Organisationseinheit.


Korrekte Antwort: B

Erläuterungen:

RODCs bieten eine Lösung für einige der Probleme, die durch Zweigstellenstandorte verursacht werden, die keinen Domänencontroller besitzen oder zwar einen schreibbaren Domänencontrol-ler aufweisen, aber weder über die physische Sicherheit, die erforderliche Netzwerkbandbreite noch die lokalen Kenntnisse verfügen, um diesen zu verwenden.

Die Unterstützung für die Aufteilung der Administratorrolle ermöglicht, dass jeder Domänenbe-nutzer oder jede Sicherheitsgruppe als lokaler Administrator eines RODC eingesetzt werden kann, ohne dass dem Benutzer oder der Gruppe Rechte für die Domäne oder andere Domänencontrol-ler erteilt werden müssen. Ein delegierter Administrator kann sich an einem RODC anmelden, um Wartungsarbeiten auf dem Server auszuführen, z. B. um einen Treiber zu aktualisieren. Der dele-gierte Administrator ist jedoch nicht in der Lage, sich an einem anderen Domänencontroller an-zumelden oder andere Verwaltungsaufgaben in der Domäne auszuführen. Auf diese Weise kann die effektive Verwaltung des RODCs einer Zweigstelle an eine Sicherheitsgruppe aus Zweigstel-lenbenutzern anstatt an einzelne Mitglieder der Gruppe Domänen-Admins delegiert werden, oh-ne die Sicherheit der restlichen Domäne zu gefährden.

Frage 39

Sie sind steht auDer relevche Zeic

Benutzeten, dasnisations

Sie müsskräfte niwerden.

Wie geh

A Vers

B Erzw

C Bloc

D Verbnage

9

als Netzwers einer einzevante Aussc

chnung).

r, deren Bens sie die Einsseinheit Mita

sen sichersteicht von GPO.

hen Sie vor?

schieben Sie

wingen Sie d

kieren Sie d

binden Sie mement Instru

rkadministraelnen Activehnitt der Do

nutzerkontenstellungen varbeiter verk

ellen, dass dOs, die mit d

die Organis

ie GPOs, die

ie Vererbung

mit jedem GPumentation (

tor für das U Directory-D

omäne wird

n sich in deron Gruppenknüpft sind.

ie Benutzerkder Organisa

ationseinhei

e mit der Org

g von Richtli

PO, das mit d(WMI) Filter.

UnternehmeDomänendiein der Abbil

r Organisationrichtlinienob

konten innerationseinheit

it Führungsk

ganisationse

inien für die

der OU Mita.

Plan

en CertBase tnste Domändung gezeig

onseinheit Fübjekten (GPO

rhalb der Ort Mitarbeiter

kräfte in die

einheit Mitar

Organisatio

arbeiter verk

nning for Se

tätig. Das Fine mit dem Ngt (klicken Si

ührungskräftOs) erhalten,

rganisationser verknüpft w

OU Angeste

rbeiter verkn

onseinheit Fü

nüpft ist, ein

erver Mana

rmennetzweNamen certbe auf die Sc

te befinden,, die mit der

einheit Führwerden, bee

ellte.

nüpft sind.

ührungskräft

nen Window

agement

erk be-base.de. haltflä-

, berich-r Orga-

ungs-einflusst

te.

ws Ma-


Korrekte Antwort: C

Erläuterungen:

Sie können die Vererbung von Grupenrichtlinien für eine Domäne oder Organisationseinheit blo-ckieren. Durch das Blockieren der Vererbung wird verhindert, dass Gruppenrichtlinienobjekte (Group Policy Objects, GPOs), die mit übergeordneten Standorten, Domänen oder Organisations-einheiten verknüpft sind, automatisch an die untergeordnete Ebene vererbt werden.

So blockieren Sie die Vererbung:

1. Doppelklicken Sie in der Konsolenstruktur der Gruppenrichtlinien-Verwaltungskonsole (Group Policy Management Console, GPMC) auf die Gesamtstruktur mit der Domäne oder Organisa-tionseinheit, für die Sie die Vererbung von Gruppenrichtlinienobjekt-Verknüpfungen blockie-ren möchten, und führen Sie eine der folgenden Aktionen aus: Zum Blockieren der Vererbung von Gruppenrichtlinienobjekt-Verknüpfungen für eine ge-

samte Domäne doppelklicken Sie auf Domänen, und klicken Sie dann mit der rechten Maustaste auf die Domäne.

Zum Blockieren der Vererbung für eine Organisationseinheit doppelklicken Sie auf Domä-nen, doppelklicken Sie auf die Domäne mit der entsprechenden Organisationseinheit, und klicken Sie dann mit der rechten Maustaste auf die Organisationseinheit.

2. Klicken Sie auf Vererbung deaktivieren.


Frage 40

Sie sind als Netzwerkadministrator für das Unternehmen CertBase tätig. Das Netzwerk besteht aus einer einzelnen Active Directory-Domänendienste Domäne mit dem Namen certbase.de.

Eine Firmensicherheitsrichtlinie schreibt vor, dass bei der Anmeldung eines Benutzers an der Do-mäne ein gesetzlicher Hinweis angezeigt werden muss.

Sie wollen dieses Ziel mit dem geringstmöglichen administrativen Aufwand erreichen.

Wie gehen Sie vor?

A Erstellen Sie ein neues Gruppenrichtlinienobjekt (GPO) und verknüpfen Sie es mit der Domäne. Konfigurieren Sie das GPO so, dass es erzwungen wird.

B Bearbeiten Sie die Default Domain Controllers Policy (DDCP). Führen Sie anschließend den As-sistenten zum Zuweisen der Objektverwaltung aus.

C Konfigurieren Sie die lokale Sicherheitsrichtlinie auf einem Referenzcomputer. Erteilen Sie allen Domänenbenutzern Zugriff auf das Snap-In Richtlinienergebnissatz.

D Erstellen Sie eine neue Organisationseinheit (OU) und verschieben Sie alle Computerkonten in die neue OU. Führen Sie den Assistenten zum Zuweisen der Objektverwaltung aus.


Korrekte Antwort: A

Erläuterungen:

Wir können ein neues Gruppenrichtlinienobjekt (GPO) für die Domäne erstellen und den Nach-richtentitel sowie den Nachrichtentext über zwei Gruppenrichtlinien im Abschnitt Computerkonfi-guration\ Richtlinien\ Windows-Einstellungen\ Sicherheitseinstellungen\ Lokale Richtlinien\ Sicher-heitsoptionen konfigurieren. Die Namen der erforderlichen Richtlinien lauten:

Interaktive Anmeldung: Nachricht für Benutzer, die sich anmelden wollen und Interaktive Anmeldung: Nachrichtentitel für Benutzer, die sich anmelden wollen

Um zu verhindern, dass die Einstellungen durch ein detaillierteres GPO überschrieben werden, müssen wird die Einstellungen des neuen Gruppenrichtlinienobjekts erzwingen.

So erzwingen Sie eine Gruppenrichtlinienobjekt-Verknüpfung

1. Doppelklicken Sie in der Konsolenstruktur der Gruppenrichtlinien-Verwaltungskonsole (Group Policy Management Console, GPMC) auf die Gesamtstruktur mit der Domäne, dem Standort oder der Organisationseinheit, für die bzw. den Sie die Verknüpfung deaktivieren möchten, und führen Sie eine der folgenden Aktionen aus: Zum Erzwingen einer Gruppenrichtlinienobjekt-Verknüpfung auf Domänenebene doppel-

klicken Sie auf Domänen, und doppelklicken Sie dann auf die Domäne, in der die Grup-penrichtlinienobjekt-Verknüpfung enthalten ist.

Zum Erzwingen einer Gruppenrichtlinienobjekt-Verknüpfung auf Organisationseinheits-ebene doppelklicken Sie auf Domänen, und doppelklicken Sie dann auf die Domäne, in der die Gruppenrichtlinienobjekt-Verknüpfung enthalten ist.

Zum Erzwingen einer Gruppenrichtlinienobjekt-Verknüpfung auf Standortebene doppel-klicken Sie auf Standorte und dann auf den Standort, in dem die Gruppenrichtlinienob-jekt-Verknüpfung enthalten ist.

2. Klicken Sie mit der rechten Maustaste auf die Gruppenrichtlinienobjekt-Verknüpfung, und klicken Sie dann auf Erzwungen, um das Erzwingen der Verknüpfung zu aktivieren oder zu deaktivieren. Durch ein Häkchen neben Erzwungen wird angezeigt, dass die Verknüpfung er-zwungen wird.


Frage 41

Sie sind als Netzwerkadministrator für das Unternehmen CertBase tätig. Sie planen, 50 Windows Server 2008 R2 Computer von einem bestehenden Netzwerksegment in ein neues Netzwerkseg-ment zu verschieben.

Sie müssen eine Lösung für das Ändern der TCP/IP Adressen der 50 Server entwerfen.

Sie wollen Ihr Ziel mit dem geringstmöglichen administrativen Aufwand erreichen.

Wie gehen Sie vor?

A Suchen Sie jeden Server einzeln auf, um die Änderungen durchzuführen.

B Führen Sie das Befehlszeilenprogramm Netsh.exe auf einem administrativen Clientcomputer aus.

C Führen Sie das Befehlszeilenprogramm ServerManagerCMD.exe auf einem administrativen Clientcomputer aus.

D Verwenden Sie den Remotedesktop und verbinden Sie sich mit jedem Server, um die Änderun-gen durchzuführen.


Korrekte Antwort: B

Erläuterungen:

Das Befehlszeilenprogramm Netsh.exe ist in Windows XP, Windows Server 2003 und natürlich auch in Windows 7 und Windows Server 2008 R2 integriert. Es ermöglicht zahlreiche Konfigura-tionsarbeiten in Verbindung mit den Netzwerkeinstellungen per Befehlszeile bzw. über einen Sta-pelverarbeitungsauftrag.

Die allgemeine Syntax lautet: netsh interface ip set address [Verbindungsname] [typ] [[ipaddr] [netmask] [gateway] [metric]] Beispiel für statische IP-Konfiguration: netsh interface ip set address "LAN-Verbindung" static 192.168.0.2 255.255.255.0 192.168.0.1 1Beispiel für IP-Autokonfiguration über DHCP: netsh interface ip set address "LAN-Verbindung" dhcp


Frage 42

Sie sind als Netzwerkadministrator für das Unternehmen CertBase tätig. Das Unternehmen hat eine Hauptgeschäftsstelle und eine Zweigstelle.

Sie planen die Installation eines schreibgeschützten Domänencontrollers (RODCs) für die Zweig-stelle und müssen eine Lösung für die Verwaltung des neuen RODCs entwerfen. Ihre Lösung muss den folgenden Anforderungen entsprechen:

Supporttechniker der Zweigstelle müssen die Möglichkeit erhalten, Treiber und Datenträger auf dem neuen schreibgeschützten Domänencontroller zu verwalten.

Supporttechniker der Zweigstelle dürfen keine Domänenbenutzerkonten bearbeiten. Wie gehen Sie vor?

A Konfigurieren Sie den neuen schreibgeschützten Domänencontroller für die Aufteilung der Administratorrolle.

B Konfigurieren Sie den neuen schreibgeschützten Domänencontroller so, dass die Kennwörter der Supporttechniker der Zweigstelle repliziert werden.

C Konfigurieren Sie die NTFS Berechtigungen für die Active Directory Datenbank und erteilen Sie den Supporttechnikern der Zweigstelle die Berechtigung Lesen, Ausführen - Zulassen.

D Konfigurieren Sie die NTFS Berechtigungen für die Active Directory Datenbank und erteilen Sie den Supporttechnikern der Zweigstelle die Berechtigung Vollzugriff - Verweigern.


Korrekte Antwort: A

Erläuterungen:

Die Aufteilung der Administratorrolle bedeutet, dass jeder Domänenbenutzer oder jede Sicher-heitsgruppe als lokaler Administrator eines RODC eingesetzt werden kann, ohne dass dem Benut-zer oder der Gruppe Rechte für die Domäne oder andere Domänencontroller erteilt werden müs-sen. Ein delegierter Administrator kann sich an einem RODC anmelden, um Wartungsarbeiten auf dem Server auszuführen, z. B. um einen Treiber zu aktualisieren. Der delegierte Administrator ist jedoch nicht in der Lage, sich an einem anderen Domänencontroller anzumelden oder andere Verwaltungsaufgaben in der Domäne auszuführen. Auf diese Weise kann die effektive Verwal-tung des RODCs einer Zweigstelle an eine Sicherheitsgruppe aus Zweigstellenbenutzern anstatt an einzelne Mitglieder der Gruppe Domänen-Admins delegiert werden, ohne die Sicherheit der restlichen Domäne zu gefährden.


Frage 43

Sie sind als Netzwerkadministrator für das Unternehmen CertBase tätig. Das Firmennetzwerk be-steht aus einer einzelnen Active Directory-Domänendienste Domäne mit dem Namen certbase.de. Auf allen Servercomputern ist das Betriebssystem Windows Server 2008 R2 installiert. Auf allen Clientcomputern wird Windows 7 ausgeführt.

Sie müssen die Benutzer an der Installation von Wechselspeichermedien auf ihren Clientcompu-tern hindern. Zudem wollen Sie die folgenden Anforderungen erfüllen:

Domänenadministratoren und Desktopsupporttechniker müssen auch weiterhin in der Lage sein, Wechselspeichermedien auf Clientcomputern zu installieren.

Der administrative Aufwand soll so gering wie möglich ausfallen. Wie gehen Sie vor?

A Konfigurieren Sie die Benutzerkontensteuerung auf allen Clientcomputern.

B Wenden Sie ein Gruppenrichtlinienobjekt (GPO) auf alle Clientcomputer an.

C Verteilen Sie das Verbindungs-Manager-Verwaltungskit (CMAK) auf alle Clientcomputer.

D Implementieren Sie den Windows-Systemressourcen-Manager (WSRM) auf allen Domänencon-trollern.


Korrekte Antwort: B

Erläuterungen:

Wir können die Richtlinien im Abschnitt Computerkonfiguration\ Administrative Vorlagen\ Sys-tem\ Wechselmedienzugriff eines Gruppenrichtlinienobjekts (GPOs) verwenden, um den Zugriff auf Wechselmedienspeicher zu steuern. Das GPO kann entsprechend gefiltert werden, um die Anwendung auf bestimmte Sicherheitsgruppen zu beschränken bzw. einzelne Sicherheitsgruppen von den Einstellungen auszunehmen.


Frage 44

Sie sind als Netzwerkadministrator für das Unternehmen CertBase tätig. Das Unternehmen hat eine einzelne Active Directory-Domänendienste Domäne mit dem Namen certbase.de.

Sie administrieren 30 Datenbankserver auf denen Windows Server 2008 R2 ausgeführt wird. Die Computerkonten der Datenbankserver sind in einer Organisationseinheit (OU) mit dem Namen Data gespeichert. Die Benutzerkonten der Datenbankadministratoren sind in einer Organisations-einheit mit dem Namen Admin gespeichert.

Die Datenbankadministratoren sind Mitglied einer globalen Sicherheitsgruppe mit dem Namen D_Admins. Sie müssen den Datenbankadministratoren die Ausführung von administrativen Auf-gaben auf den Datenbankservern ermöglichen. Sie müssen jedoch verhindern, dass die Daten-bankadministratoren administrative Rechte auf anderen Servern erhalten.

Wie gehen Sie vor?

A Erstellen und konfigurieren Sie ein neues Gruppenrichtlinienobjekt (GPO) und verknüpfen Sie es mit der Organisationseinheit Data.

B Erstellen und konfigurieren Sie ein neues Gruppenrichtlinienobjekt (GPO) und verknüpfen Sie es mit der Organisationseinheit Admin.

C Nehmen Sie die Gruppe D_Admins in die globale Gruppe Domänen-Admins auf.

D Nehmen Sie die Gruppe D_Admins in die domänenlokale Gruppe Server-Operatoren auf.


Erläuterungen:

Wir können ein Gruppenrichtlinienobjekt verwenden und der Gruppe D_Admins die entsprechen-den Berechtigungen erteilen oder die Gruppe D_Admins über das GPO in die lokale Gruppe Ad-ministratoren auf den Datenbankservern aufnehmen.

Korrekte Antwort: A


Frage 45

Sie sind als Netzwerkadministrator für das Unternehmen CertBase tätig. Das Firmennetzwerk be-steht aus einer einzelnen Active Directory Domäne mit dem Namen certbase.de. Auf allen Server-computern ist das Betriebssystem Windows Server 2008 R2 installiert.

Ihr Unternehmen plant die Zusammenarbeit mit einem externen Partner an einem Projekt. Der externe Partner hat eine Active Directory Domäne, die Windows Server 2008 R2 Domänencon-troller enthält.

Sie müssen eine Lösung für die Zusammenarbeit entwerfen, die den folgenden Anforderungen entspricht:

Benutzer müssen die Möglichkeit haben, sensible Dokumente vor dem Weiterleiten an nicht vertrauenswürdige Empfänger und dem Ausdrucken zu schützen.

Benutzer des externen Partners müssen Zugriff auf geschützte Inhalte erhalten, sofern ihnen die entsprechenden Rechte erteilt wurden.

Der gesamte Datenverkehr zwischen den Organisationen soll über Port 443 TCP gesendet werden.

Der administrative Aufwand für die Verwaltung der externen Benutzer soll minimiert werden. Wie gehen Sie vor?

A Erstellen Sie eine Verbundvertrauensstellung zwischen Ihrem Unternehmen und dem externen Partner. Installieren Sie einen Windows Server 2008 R2 Servercomputer und Microsoft SharePoint Foundation 2010.

B Erstellen Sie eine Verbundvertrauensstellung zwischen Ihrem Unternehmen und dem externen Partner. Installieren Sie einen Windows Server 2008 R2 Servercomputer, der Microsoft SharePoint Server 2010 und die Serverrolle Active Directory-Rechteverwaltungsdienste (AD RMS) ausführt.

C Erstellen Sie eine externe Gesamtstrukturvertrauensstellung zwischen Ihrem Unternehmen und dem externen Partner. Installieren Sie einen Windows Server 2008 R2 Servercomputer mit der Rolle Active Directory-Zertifikatsdienste (AD CS) und implementieren Sie das verschlüsselnde Dateisystem (EFS).

D Erstellen Sie eine externe Gesamtstrukturvertrauensstellung zwischen Ihrem Unternehmen und dem externen Partner. Installieren Sie einen Windows Server 2008 R2 Servercomputer, der Microsoft SharePoint Server 2010 und die Serverrolle Active Directory-Rechteverwaltungsdienste (AD RMS) ausführt.


Korrekte Antwort: B

Erläuterungen:

Microsoft SharePoint Server 2010 kann im Gegensatz zu Microsoft SharePoint Foundation 2010 in die Technologien Active Directory-Verbunddienste und Active Directory-Rechteverwaltungsdienste integriert werden.

Active Directory-Verbunddienste

Active Directory-Verbunddienste (Active Directory Federation Services, AD FS) ist ein Feature in den Betriebssystemen Microsoft Windows Server 2003 R2 und Windows Server 2008, das einma-lige Webanmeldungstechnologien (Single-Sign-On, SSO) bereitstellt. Mithilfe dieser Technologien kann ein Benutzer während einer Onlinesitzung bei mehreren Webanwendungen authentifiziert werden. AD FS realisiert dies durch die sichere gemeinsame Nutzung der digitalen Identität und von Anspruchsberechtigungen bzw. "Ansprüchen" über Sicherheits- und Unternehmensgrenzen hinweg.

Active Directory-Rechteverwaltungsdienste

Ein AD RMS-System umfasst einen Windows Server 2008-basierten Server, auf dem die Serverrol-le "Active Directory-Rechteverwaltungsdienste (Active Directory Rights Management Services, AD RMS)" zur Verarbeitung von Zertifikaten und Lizenzierungen ausgeführt wird, einen Datenbank-server und den AD RMS-Client. Die neueste Version des AD RMS-Clients ist im Betriebssystem Windows Vista enthalten. Die Bereitstellung eines AD RMS-Systems bietet Unternehmen die fol-genden Vorteile:

Schützen vertraulicher Informationen Anwendungen wie Textverarbeitungsprogramme, E-Mail-Clients und Branchenanwendungen können für AD RMS aktiviert werden, um vertrauli-che Informationen zu schützen. Die Benutzer können definieren, wer die Informationen öff-nen, ändern, drucken, weiterleiten oder sonstige Aktionen hinsichtlich der Informationen aus-führen darf. Unternehmen können benutzerdefinierte Vorlagen für Verwendungsrichtlinien erstellen (z. B. "Vertraulich – Schreibgeschützt") die direkt auf die Informationen angewendet werden können.

Dauerhafter Schutz AD RMS verbessert vorhandene, umkreisbasierte Sicherheitslösungen (z. B. Firewalls und Zugriffssteuerungslisten für einen optimierten Schutz von Informationen) in-dem die Verwendungsrechte im Dokument selbst gesperrt werden. Somit kann gesteuert werden, wie die Informationen selbst nach dem Öffnen durch den jeweiligen Empfänger ver-wendet werden.

Flexible und anpassbare Technologie Unabhängige Softwarehersteller (Independent Software Vendors, ISVs) und Entwickler können alle Anwendungen für AD RMS aktivieren oder andere Server (z. B. Inhaltsverwaltungssysteme oder Portalserver), auf denen Windows oder andere Betriebssysteme ausgeführt werden, für die Verwendung mit AD RMS einrichten, um vertrau-liche Informationen zu schützen. Die unabhängigen Softwarehersteller können den Informa-tionsschutz in serverbasierte Lösungen integrieren. Dazu zählen beispielsweise die Dokument- und Datensatzverwaltung, E-Mail-Gateways und -Archivierungssysteme, automatisierte Work-flows und Inhaltsprüfungen.


Frage 46

Sie sind als Netzwerkadministrator für das Unternehmen CertBase tätig. Das Netzwerk besteht aus einer einzelnen Active Directory-Domänendienste Domäne mit dem Namen certbase.de. Auf allen Domänencontrollern wird Windows Server 2008 R2 ausgeführt. Das Netzwerk enthält 1000 Clientcomputer auf denen das Betriebssystem Windows 7 installiert ist. Alle Windows 7 Clients sind über verwaltbare Switche mit dem Netzwerk verbunden.

Sie müssen eine Lösung für den Netzwerkzugriff entwerfen, die den folgenden Anforderungen entspricht:

Die Benutzer dürfen nicht in der Lage sein, Einschränkungen für den Netzwerkzugriff zu um-gehen.

Ausschließlich Clientcomputer mit aktuellen Service Packs dürfen Zugriff auf das Netzwerk erhalten.

Ausschließlich Clientcomputer mit aktueller Anti-Malware Software dürfen Zugriff auf das Netzwerk erhalten.

Wie gehen Sie vor?

A Implementieren Sie den Netzwerkzugriffsschutz (Network Access Protection, NAP). Verwenden Sie die Erzwingungsmethode DHCP.

B Implementieren Sie den Netzwerkzugriffsschutz (Network Access Protection, NAP). Verwenden Sie die Erzwingungsmethode 802.1x.

C Implementieren Sie einen Netzwerkrichtlinienserver (Network Policy Server, NPS) und aktivie-ren Sie IPSec auf den Domänencontrollern.

D Implementieren Sie einen Netzwerkrichtlinienserver (Network Policy Server, NPS) und aktivie-ren Sie die Remote Authentication Dial-In User Service (RADIUS) Authentifizierung auf den verwaltbaren Switchen.


Korrekte Antwort: B

Erläuterungen:

Netzwerkzugriffsschutz (Network Access Protection, NAP): NAP ist eine Technologie zu Erstel-lung, Erzwingung und Wartung von Integritätsrichtlinien für Clients. NAP ist in das Clientbetriebs-system Windows 7 und in das Betriebssystem Windows Server 2008 R2 integriert. Mithilfe von NAP können Systemadministratoren Integritätsrichtlinien erstellen und automatisch erzwingen, die Softwareanforderungen, Sicherheitsupdateanforderungen, erforderliche Computerkonfigura-tionen und weitere Einstellungen enthalten können. Der Netzwerkzugriff kann für Clientcompu-ter, die die Integritätsrichtlinien nicht erfüllen, eingeschränkt werden, bis ihre Konfiguration aktu-alisiert wird und sie die Richtlinien erfüllen. Je nachdem, für welche Art der NAP-Bereitstellung Sie sich entscheiden, werden nicht konforme Clients automatisch aktualisiert, damit die Benutzer schnell wieder vollen Netzwerkzugriff erhalten, ohne ihre Computer manuell zu aktualisieren oder neu zu konfigurieren.

Wenn Sie 802.1X-Authentifizierungsswitches bereitstellen, können Sie mit dem verkabelten Zu-griff Ihr Netzwerk sichern, indem Sie sicherstellen, dass Intranetbenutzer authentifiziert werden, bevor sie eine Verbindung mit dem Netzwerk herstellen oder mithilfe von DHCP eine IP-Adresse abrufen.


Frage 47

Sie sind als Netzwerkadministrator für das Unternehmen CertBase tätig. Das Unternehmen hat eine Zweigstelle, die über einen Windows Server 2008 R2 Computer verfügt. Auf dem Server werden die Windows Server Update Services (WSUS) ausgeführt.

Das Unternehmen eröffnet vier neue Satellitenstandorte. Jeder der neuen Stallitenstandorte ist mit der Zweigstelle über eine dedizierte WAN-Verbindung verbunden.

Sie müssen eine Lösung für das Patchmanagement der Satellitenstandorte entwerfen, die den folgenden Anforderungen entspricht:

WSUS Updates müssen von einer zentralen Stelle genehmigt werden. Der Datenverkehr über die WAN Verbindungen zwischen der Zweigstelle und den Satelliten-

standorten muss minimiert werden. Wie gehen Sie vor?

A Installieren Sie an jedem Satellitenstandort einen neuen WSUS Server. Konfigurieren Sie jeden neuen WSUS Server als Replikatserver des WSUS Servers der Zweigstelle.

B Installieren Sie an jedem Satellitenstandort einen neuen WSUS Server. Konfigurieren Sie jeden neuen WSUS Server als autonomen Server, der mit dem WSUS Servers der Zweigstelle syn-chronisiert.

C Erstellen Sie auf dem WSUS Server der Zweigstelle für jeden Satellitenstandort eine Computer-gruppe. Nehmen Sie die Clientcomputer der Zweigstellen in die entsprechende Computer-gruppe auf.

D Erstellen Sie für jeden Satellitenstandort eine Organisationseinheit (OU). Erstellen Sie für jede Organisationseinheit ein neues Gruppenrichtlinienobjekt (GPO) und verknüpfen Sie es entspre-chend. Konfigurieren Sie für Clientcomputer der Zweigstellen unterschiedliche Zeitpläne für das Herunterladen von Updates über den WSUS Server der Zweigstelle.


Korrekte Antwort: A

Erläuterungen:






Frage 48

Sie sind als Netzwerkadministrator für das Unternehmen CertBase tätig. Sie installieren eine Anwendung auf einem Windows Server 2008 R2 Failovercluster. Der Cluster enthält einen Knoten mit dem Namen Ser-ver1.

Ihr Unternehmen hat ein Service Level Agreement (SLA), dass der Anwendung 50 Prozent der Prozessor- und der Speicherkapazitäten zusichert.

Sie müssen eine Lösung empfehlen, die der Anwendung die in dem SLA garantierte Leistung zusichert.

Wie gehen Sie vor?

A Implementieren Sie den Ressourcen Manager für Dateiserver (FSRM) und konfigurieren Sie Kontingente.

B Implementieren Sie den Speicher-Manager für SANs und konfigurieren Sie LUN (Logical Unit Num-bers)Verwaltungseinstellungen.

C Implementieren Sie den Windows-Systemressourcen-Manager (WSRM) und konfigurieren Sie eine Res-sourcenverwaltungsrichtlinie auf Benutzerbasis.

D Implementieren Sie den Windows-Systemressourcen-Manager (WSRM) und konfigurieren Sie eine Res-sourcenverwaltungsrichtlinie auf Prozessbasis.


Korrekte Antwort: D

Erläuterungen:

Mit dem Windows-Systemressourcen-Manager für das Betriebssystem Windows Server 2008 können Sie die Prozessor- und Speicherauslastung auf dem Server mit standardmäßigen oder benutzerdefinierten Res-sourcenrichtlinien verwalten. Durch Verwalten von Ressourcen wird sichergestellt, dass alle von einem ein-zelnen Server bereitgestellten Dienste in gleichem Umfang zur Verfügung stehen oder dass für Anwendun-gen, Dienste oder Benutzer mit einer hohen Priorität immer Ressourcen verfügbar sind.

Der Windows-Systemressourcen-Manager verwaltet Prozessorressourcen nur dann, wenn die zusammenge-fasste Prozessorlast größer als 70 Prozent ist. Das bedeutet, dass bei einer geringen Prozessorlast die für jeden Benutzer verfügbaren Ressourcen nicht aktiv eingeschränkt werden. Bei einer konkurrierenden Nach-frage an Prozessorressourcen kann mit Ressourcenzuweisungsrichtlinien eine Mindestverfügbarkeit für eine Ressource nach dem von Ihnen definierten Verwaltungsprofil sichergestellt werden.


Frage 49

Sie sind als Netzwerkadministrator für das Unternehmen CertBase tätig. Das Firmennetzwerk be-steht aus einer einzelnen Active Directory Gesamtstruktur. Die Verkaufsabteilung des Unterneh-mens verfügt über 600 Windows Server 2008 R2 Computer.

Sie müssen eine Lösung für die Leistungsüberwachung der 600 Server empfehlen. Ihre Lösung muss die folgenden Anforderungen erfüllen:

Auslösen eines Alarms, wenn die durchschnittliche Prozessorauslastung 90 Prozent für 20 Minuten übersteigt.

Automatisches Anpassen des Schwellenwertes für die Überwachung der Prozessorauslastung, um temporäre Änderungen der Arbeitslast zu ermöglichen.

Was werden Sie empfehlen?

A Die Installation von Windows-Systemressourcen-Manager (WSRM) auf allen Servercomputern.

B Die Implementierung von System Center Operations Manager (SCOM).

C Die Implementierung von System Center Configuration Manager (SCCM).

D Die Konfiguration der Zuverlässigkeits- und Leistungsüberwachung auf allen Servercomputern.


Korrekte Antwort: B

Erläuterungen:

Operations Manager 2007 bietet einen dienstorientierten Überwachungsansatz, mit dem Sie Ihre End-to-End-Informationstechnologiedienste überwachen, die Überwachung über große Umge-bungen und Organisationen hinweg skalieren und Microsoft-Anwendungs- und -Betriebssystemwissensquellen verwenden können, um operative Probleme zu lösen. Nachfolgend finden Sie Informationen zu einigen der reichhaltigen Funktionen von Operations Manager 2007.

Mit den sich selbst optimierenden Schwellenwerten (STT) in Operations Manager 2007 können Sie die Aktivität des Leistungsindikators eines Computers überwachen, beispielsweise die Pro-zessornutzung. Dadurch können Sie die Notwendigkeit beseitigen, Schwellenwerte für Warnun-gen manuell festzulegen. Genauer ausgedrückt spiegelt STT die Nutzung der IT-Infrastruktur eines Unternehmens wider, indem normale Abweichungen bei der Nutzung berücksichtigt werden.

Operations Manager 2007 erstellt eine Basislinie, die fortlaufend aktualisiert wird und die die normale Aktivität für den Leistungsindikator darstellt. Operations Manager 2007 verwendet diese Basislinie, um automatisch Schwellenwerte für Warnungen festzulegen und anzupassen, indem bestimmte Muster berücksichtigt werden, z. B. eine Spitze in der Prozessornutzung am Montag-morgen um 9:00 Uhr.


Frage 50

Sie sind als Netzwerkadministrator für das Unternehmen CertBase tätig. Das Netzwerk enthält mehrere Windows Server 2008 R2 Computer, auf denen Windows Server Update Services (WSUS) ausgeführt wird. Die WSUS Server verteilen Updates an alle Computer des internen Netzwerks.

Remotebenutzer verbinden sich mit dem internen Netzwerk über Split-Tunneling VPN-Verbindungen.

Sie müssen eine Lösung für das Patchmanagement der Computer der Remotebenutzer planen. Ihre Lösung muss den folgenden Anforderungen entsprechen:

Minimieren der Bandbreitennutzung über die VPN-Verbindungen. Updates müssen auf den WSUS Servern genehmigt werden, bevor sie auf den Clientcompu-

tern installiert werden. Wie gehen Sie vor?

A Erstellen Sie ein Gruppenrichtlinienobjekt (GPO) und konfigurieren Sie die clientseitige Zielzu-ordnung.

B Erstellen Sie eine neue Computergruppe für die Computer der Remotebenutzer. Konfigurieren Sie die Computer der Remotebenutzer für die Verwendung eines internen WSUS Servers.

C Erstellen Sie mit Hilfe des Verbindungs-Manager-Verwaltungskits (CMAK) eine neue benutzer-definierte Verbindung. Verteilen Sie die neue benutzerdefinierte Verbindung auf alle Computer der Remotebenutzer.

D Installieren Sie einen zusätzlichen WSUS Server. Konfigurieren Sie die Computer der Remot-ebenutzer für die Verwendung des neuen WSUS Servers. Konfigurieren Sie den neuen WSUS Server so, dass die Updates auf der Microsoft Update Website belassen werden.


Korrekte Antwort: D

Erläuterungen:

Split-Tunneling bezeichnet eine VPN-Verbindung, die den internetbezogenen Datenverkehr nicht über die VPN-Verbindung sondern weiterhin über den lokalen Internetanschluss abwickelt.

Über die Option Dateien und Sprachen aktualisieren in der WSUS-Verwaltungskonsole können wir festlegen, von welcher Quelle die Clientcomputer Updates erhalten. So ist es möglich, Up-dates auf dem WSUS Server zu genehmigen, die anschließend von den Clientcomputer über die Microsoft Update Website heruntergeladen werden.


Frage 51

Sie sind als Netzwerkadministrator für das Unternehmen CertBase tätig. Das Firmennetzwerk be-steht aus einer einzelnen Active Directory-Domänendienste Domäne mit dem Namen certbase.de. Auf allen Domänencontrollern und Mitgliedsservern ist das Betriebssystem Windows Server 2008 R2 installiert. Auf allen Clientcomputern wird Windows 7 ausgeführt.

Sie müssen einen monatlichen Bericht über den Status der Softwareupdates auf den Clientcom-putern erstellen. Ihre Lösung muss den folgenden Anforderungen entsprechen:

Auflistung aller Updates für das Betriebssystem, die erfolgreich installiert wurden. Auflistung aller Updates für Microsoft Anwendungen, die erfolgreich installiert wurden. Auflistung aller Updates für das Betriebssystem, deren Installation fehlgeschlagen ist. Auflistung aller Updates für Microsoft Anwendungen, deren Installation fehlgeschlagen ist. Der administrative Aufwand für die Berichterstellung muss minimiert werden. Die Kosten für die Berichterstellung müssen minimiert werden. Wie gehen Sie vor?

A Installieren Sie Microsoft System Center Essentials (Essentials) 2007. Verteilen Sie Verwaltungs-agenten auf alle Clientcomputer.

B Installieren Sie Microsoft System Center Configuration Manager (SCCM) 2007. Verteilen Sie Verwaltungsagenten auf alle Clientcomputer.

C Installieren Sie die Windows Server Update Services (WSUS) 3.0. Verwenden Sie ein Gruppen-richtlinienobjekt (GPO) und konfigurieren Sie die Windows-Update Einstellungen.

D Installieren Sie Microsoft Baseline Security Analyzer (MBSA) 2.1 auf allen Clientcomputern. Führen Sie MBSA auf allen Clientcomputern aus und speichern Sie den Bericht in ein freigege-benes Verzeichnis im Netzwerk.


Korrekte Antwort: C

Erläuterungen:

Mithilfe der Berichte von WSUS 3.0 können Sie Updates, Computer und Synchronisierungsergeb-nisse für die Computer und WSUS-Server überwachen, die von Ihrem Server verwaltet werden. Außerdem kann ein Rollup der Daten von den Downstreamservern ausgeführt werden, die eine Verbindung mit Ihrem Server herstellen. Mitglieder der Sicherheitsgruppe "WSUS-Berichterstatter" haben die Berechtigung, WSUS-Berichte zu erstellen und anzuzeigen.

Sie können von verschiedenen Bereichen der WSUS-Konsole aus auf die Computer- und Upda-testatus zugreifen. Sie können in jeder Computer- oder Updateansicht einen oder mehrere Com-puter oder Updates auswählen, mit der rechten Maustaste auf Ihre Auswahl klicken und an-schließend auf Statusbericht klicken. Im Bericht wird der jeweilige Status der ausgewählten Ele-mente angezeigt. Außerdem können Sie weitere Elemente auswählen oder die Ergebnisse filtern. Sie können Berichte auch in der Struktur Update Services von dem Knoten Berichte aus erstellen. Die über diesen Knoten verfügbaren Berichte sind in folgende Kategorien eingeteilt:

Updates: "Updatestatus-Zusammenfassung", "Detaillierter Updatestatus" und "Tabellarischer Updatestatus"

Computer: "Computerstatus-Zusammenfassung", "Detaillierter Computerstatus" und "Tabel-larischer Computerstatus"

Synchronisierung: "Synchronisierungsergebnisse" Sie können durch Klicken auf Berichtsansicht für jeden Bericht zwischen den Modi "Zusammen-fassung", "Details" und "Tabellarisch" wechseln.

Updatestatusterminologie

Von WSUS werden verschiedene Updatestatus angezeigt. In der folgenden Auflistung sind alle möglichen Status definiert, die von WSUS für ein Update gemeldet werden können. Normaler-weise wird von WSUS der Updatestatus für einen bestimmten Computer (z. B. der Status eines Updates auf einem Computer) oder für eine Computergruppe (z. B. der Status für die fünf Com-puter der Computergruppe, auf der das Update installiert wurde) angezeigt.

Installiert: Das Update wurde auf dem Computer installiert. Nicht zutreffend: Das Update ist für den Computer nicht zutreffend. Erforderlich: "Erforderlich" bedeutet in Bezug auf den Status eines Computers, dass das Up-

date auf dem Computer installiert werden sollte. Wenn sich das Ergebnis auf den Status einer Computergruppe bezieht, wird in der Spalte "Erforderlich" die Anzahl der Computer in der Gruppe angezeigt, auf denen das Update installiert werden sollte.

Fehlgeschlagen: Die Installation auf dem Computer ist fehlgeschlagen. Kein Status: Von WSUS konnte kein Updatestatus ermittelt werden. Normalerweise bedeutet

dies, dass vom Computer keine Verbindung zum WSUS-Server hergestellt werden konnte, nachdem das Update mit dem WSUS-Server synchronisiert wurde. Dies ist das Datum, an dem der Compuetr zum letzten Mal eine Verbindung mit dem WSUS-Server hergestellt hat.


Frage 52

Sie sind als Netzwerkadministrator für das Unternehmen CertBase tätig. Das Firmennetzwerk be-steht aus einer einzelnen Active Directory-Domänendienste Domäne mit dem Namen certbase.de. Auf allen Domänencontrollern ist das Betriebssystem Windows Server 2008 R2 installiert. Auf allen Clientcomputern werden Windows Vista und Microsoft Office Outlook 2010 ausgeführt.

Die Benutzer verwenden folgende Netzwerkressourcen:

Windows Server 2008 R2 Dateiserver Einen Datenbankserver auf Port 47182 TCP Microsoft Exchange Server 2010 unter Verwendung von Outlook 2010

Sie planen, den Benutzern Remotezugriff auf das Netzwerk zu ermöglichen. Die Remotebenutzer arbeiten von Orten, die ausschließlich HTTP- und HTTPS-Zugriff über das Internet zulassen.

Sie müssen eine Lösung für den Remotezugriff empfehlen, die den folgenden Anforderungen entspricht:

Remotebenutzer müssen Zugriff auf den Datenbankserver erhalten. Remotebenutzer müssen die Möglichkeit haben, eine sichere Verbindung mit dem Netzwerk

herzustellen. Remotebenutzer müssen Zugriff auf E-Mail und Dateiressourcen im Netzwerk erhalten. Was werden Sie empfehlen?

A Die Aktualisierung aller Clientcomputer auf Windows 7. Die Implementierung von Outlook Anywhere für Exchange Server 2010.

B Die Aktualisierung aller Clientcomputer auf Windows 7. Die Implementierung einer VPN-Lösung, die das Secure Socket Tunneling Protokoll (SSTP) verwendet.

C Die Implementierung einer VPN-Lösung, die das Point-to-Point Tunneling Protokoll (PPTP) ver-wendet. Die Verteilung von Verbindungs-Manager-Verwaltungskit (CMAK) Profilen auf alle Clientcomputer.

D Die Implementierung einer VPN-Lösung, die das Layer Two Tunneling Protokoll (L2TP) verwen-det. Die Verteilung von Verbindungs-Manager-Verwaltungskit (CMAK) Profilen auf alle Client-computer.


Korrekte Antwort: B

Erläuterungen:

Tunnelprotokolle ermöglichen die Kapselung eines Pakets eines Protokolltyps innerhalb des Data-gramms eines anderen Protokolls. Beispielsweise wird PPTP von VPN zur Kapselung von IP-Paketen in einem öffentlichen Netzwerk wie dem Internet verwendet. Sie können eine VPN-Lösung konfigurieren, die auf PPTP (Point-to-Point Tunneling Protocol), L2TP (Layer Two Tunne-ling Protocol) oder SSTP (Secure Socket Tunneling Protocol) basiert.

PPTP, L2TP und SSTP sind unbedingt von den Features abhängig, die ursprünglich für das Point-to-Point-Protokoll (PPP) festgelegt wurden. PPP wurde für das Senden von Daten über DFÜ- oder dedizierte Punkt-zu-Punkt-Verbindungen entwickelt. Für IP werden von PPP IP-Pakete innerhalb von PPP-Rahmen gekapselt und dann die gekapselten PPP-Pakete über eine Punkt-zu-Punkt-Verbindung übertragen. PPP war ursprünglich als Protokoll für den Einsatz zwischen einem DFÜ-Client und einem Netzwerkzugriffserver gedacht.

SSTP (Secure Socket Tunneling Protocol) ist ein neues Tunnelprotokoll, das das HTTPS-Protokoll über den TCP-Port 443 für Datenverkehr durch Firewalls und Webproxies verwendet, die den PPTP- und L2TP/IPsec-Datenverkehr blockieren könnten. SSTP bietet einen Mechanismus zur Kap-selung von PPP-Datenverkehr über den SSL-Kanal (Secure Sockets Layer) des HTTPS-Protokolls. Die Verwendung von PPP ermöglicht die Unterstützung starker Authentifizierungsmethoden wie EAP-TLS. SSL bietet TLS (Transport Level Security) mit verbesserter Schlüsselaushandlung, Ver-schlüsselung und Integritätsprüfung.

Wenn ein Client versucht, eine SSTP-basierte VPN-Verbindung herzustellen, wird von SSTP zuerst eine bidirektionale HTTPS-Ebene zum SSTP-Server erstellt. Über diese HTTPS-Ebene werden diese Protokollpakete als Dateninhalt versendet.

Von SSTP werden PPP-Rahmen in IP-Datagrammen für die Übertragung über das Netzwerk ge-kapselt. Von SSTP wird eine TCP-Verbindung (über Port 443) für die Tunnelverwaltung sowie für PPP-Datenrahmen verwendet.

Die SSTP-Nachricht wird mit dem SSL-Kanal des HTTPS-Protokolls verschlüsselt.


Frage 53

Sie sind als Netzwerkadministrator für das Unternehmen CertBase tätig. Das Unternehmen hat 10000 Computer.

Sie müssen eine Speicherlösung für die Windows Server Update Services (WSUS) planen.

Zudem müssen Sie die Hochverfügbarkeit der Windows Server Update Services sicherstellen.

Wie gehen Sie vor?

A Speichern Sie die WSUS Updates in einer Netzwerkfreigabe auf einem Remotecomputer.

B Speichern Sie die WSUS Updates in einem Distributed File System (DFS) Ordner, der mehrere Replikationsziele verwendet.

C Speichern Sie die WSUS Updates auf mehreren WSUS Servern. Konfigurieren Sie jeden WSUS Server für die Verwendung eines RAID 0 Hardware Controllers.

D Speichern Sie die WSUS Updates auf einem mehrfach vernetzten Dateiserver. Erstellen Sie je-weils zwei Host (A) Einträge für die WSUS Server.


Korrekte Antwort: B

Erläuterungen:

Wir können einen domänenbasierten DFS-Namespace mit mehreren Ordnerzielen verwenden. Das Inhaltsverzeichnis der Windows Server Update Services kann in diesem Fall über eine Domä-nenfreigabe eingebunden werden. Fällt einer der Namespace-Server aus, wird automatisch ein Fallback auf einen weiteren verfügbaren Server durchgeführt.


Frage 54

Sie sind als Netzwerkadministrator für das Unternehmen CertBase tätig. Das Unternehmen hat eine Hauptgeschäftsstelle und eine Zweigstelle.

Das Netzwerk enthält eine einzelne Active Directory-Domänendienste Domäne mit dem Namen certbase.de. Für jeden Standort wurde ein Active Directory-Standort erstellt. Auf allen Domänen-controllern ist das Betriebssystem Windows Server 2008 R2 installiert.

Sie planen eine Neustrukturierung der DNS-Infrastruktur.

Sie müssen die DNS-Infrastruktur so planen, dass die folgenden Anforderungen unterstützt wer-den:

Sicherstellen, dass der DNS-Serverdienst auch bei Ausfall eines einzelnen Servers verfügbar ist. Der Datenaustausch zwischen den DNS-Servern muss verschlüsselt erfolgen. Unterstützung für dynamische Updates auf allen DNS-Servern. Wie gehen Sie vor?

A Installieren Sie die Rolle DNS-Server auf zwei Servercomputern. Erstellen Sie eine primäre Stan-dardzone auf dem DNS Server der Hauptgeschäftsstelle. Erstellen Sie eine sekundäre Zone auf dem DNS-Server der Zweigstelle.

B Installieren Sie die Rolle DNS-Server auf einem Domänencontroller in der Hauptgeschäftsstelle und auf einem Domänencontroller in der Zweigstelle. Konfigurieren Sie DNS für die Verwen-dung Active Directory-integrierter Zonen.

C Installieren Sie die Rolle DNS-Server auf einem Domänencontroller in der Hauptgeschäftsstelle und auf einem schreibgeschützten Domänencontroller (RODC) in der Zweigstelle. Konfigurie-ren Sie DNS für die Verwendung Active Directory-integrierter Zonen.

D Installieren Sie die Rolle DNS-Server auf zwei Servercomputern. Erstellen Sie eine primäre Stan-dardzone und eine GlobalNames Zone auf dem DNS-Server der Hauptgeschäftsstelle. Erstellen Sie eine GlobalNames Zone auf dem DNS-Server der Zweigstelle.


Korrekte Antwort: B

Erläuterungen:

Für Netzwerke, die DNS zur Unterstützung von AD DS bereitstellen, werden Directory-integrierte primäre Zonen dringend empfohlen. Sie bieten die folgenden Vorteile:

DNS bietet eine Multimaster-Datenreplikation und verbesserte Sicherheit basierend auf den Funktionen von AD DS. In einem standardmäßigen Zonenspeichermodell werden DNS-Updates anhand eines Einzelmaster-Updatemodells durchgeführt. Bei diesem Modell wird ein einzelner autorisierender DNS-Server für eine Zone als primäre Quelle für die Zone definiert. Dieser Server verwaltet die Masterkopie der Zone in ei-ner lokalen Datei. Bei diesem Modell stellt der primäre Server für die Zone die einzige feste Fehlerquelle dar. Wenn dieser Server nicht verfügbar ist, werden keine Updateanforderungen von DNS-Clients für die Zone verarbeitet. Bei der Directory-integrierten Speicherung werden dynamische Updates von DNS an AD DS-integrierte DNS-Server gesendet und auf allen anderen AD DS-integrierten DNS-Servern mithilfe der AD DS-Replikation repliziert. Bei diesem Modell können alle AD DS-integrierten DNS-Server dynamische Up-dates für die Zone akzeptieren. Da die Masterkopie der Zone in der AD DS-Datenbank verwaltet wird, die auf allen Domänencontrollern vollständig repliziert wird, kann die Zone von jedem DNS-Server ak-tualisiert werden, der auf einem Domänencontroller für die Domäne ausgeführt wird. Mithilfe des Mul-timaster-Updatemodells von AD DS kann jeder primäre Server für die Directory-integrierte Zone Anfor-derungen von DNS-Clients verarbeiten, um die Zone zu aktualisieren, so lange ein Domänencontroller verfügbar und über das Netzwerk erreichbar ist. Bei Verwendung von Directory-integrierten Zonen können Sie zudem Zugriffssteuerungslisten (Access Control Lists, ACLs) verwenden, um einen dnsZone-Objektcontainer in der Verzeichnisstruktur zu si-chern. Dieses Feature ermöglicht einen genau festgelegten Zugriff auf die Zone oder auf einen Res-sourceneintrag in der Zone. Eine ACL für einen Zonenressourceneintrag kann beispielsweise so einge-schränkt werden, dass dynamische Updates nur für einen bestimmten Clientcomputer oder eine sichere Gruppe, z. B. eine Gruppe von Domänenadministratoren, zulässig sind. Dieses Sicherheitsfeature ist für standardmäßige primäre Zonen nicht verfügbar.

Zonen werden automatisch auf neuen Domänencontrollern repliziert und synchronisiert, sobald einer AD DS-Domäne eine neue Zone hinzugefügt wird. Der DNS-Serverdienst kann von einem einzelnen Domänencontroller entfernt werden. Allerdings sind die Directory-integrierten Zonen dann bereits auf jedem Domänencontroller gespeichert. Daher stellt die Zonenspeicherung und -verwaltung keine zusätzliche Ressource dar. Darüber hinaus bewirken die Methoden, die zur Synchronisierung von Informationen verwendet werden, die in AD DS gespeichert sind, eine Verbesserung der Leistung im Vergleich mit den standardmäßigen Zonenupdatemethoden, die mitunter eine Übertragung der gesamten Zone erfordern können.

Durch die Integration der Speicherung Ihrer DNS-Zonendatenbanken in AD DS können Sie die Planung der Datenbankreplikation für Ihr Netzwerk optimieren. Wenn Ihr DNS-Namespace und die AD DS-Domänen einzeln gespeichert und repliziert werden, müssen Sie diese Elemente auch einzeln planen und möglicherweise auch einzeln verwalten. Wenn Sie bei-spielsweise die standardmäßige DNS-Zonenspeicherung und AD DS zusammen verwenden, müssen Sie zwei verschiedene Datenbank-Replikationstopologien entwerfen, implementieren, testen und verwal-ten. Eine der Replikationstopologien wird beispielsweise zur Replikation von Verzeichnisdaten zwischen Domänencontrollern benötigt und die andere Topologie zur Replikation von Zonendatenbanken zwi-schen DNS-Servern. Dadurch kann die Planung und Entwicklung Ihres Netzwerks sowie eine künftige Erweiterung komplexer werden. Durch die Integration des DNS-Speichers werden die Speicherverwal-tung und Replikation für DNS und AD DS vereinheitlicht und beide Komponenten in einer gemeinsa-men Verwaltungseinheit zusammengeführt.

Die Directory-integrierte Replikation ist schneller und effizienter als die Standard-DNS-Replikation. Da die Verarbeitung der AD DS-Replikation pro Eigenschaft erfolgt, werden nur relevante Änderungen

propagiert. Bei Updates für Zonen, die in AD DS gespeichert werden, werden weniger Daten verwen-det und übermittelt.

Nur primäre Zonen können in AD DS gespeichert werden. Ein DNS-Server kann keine sekundären Zonen in AD DS speichern. Diese müssen in standardmäßigen Textdateien gespeichert werden. Bei Verwendung des Multimaster-Replikationsmodells von AD DS sind keine sekundären Zonen mehr erforderlich, wenn alle Zonen in AD DS gespeichert sind.


Frage 55

Sie sind als Netzwerkadministrator für das Unternehmen CertBase tätig. Das Firmennetzwerk be-steht aus einer einzelnen Active Directory-Domänendienste Domäne mit dem Namen certbase.de. Auf allen Domänencontrollern wird das Betriebssystem Windows Server 2008 R2 ausgeführt.

Die Firmensicherheitsrichtlinien schreiben vor, dass die Domänencontroller nicht über optische Laufwerke verfügen dürfen.

Sie müssen einen Sicherungs- und Wiederherstellungsplan entwerfen, der es ermöglicht die Do-mänencontroller im Schadensfall wiederherzustellen.

Wie gehen Sie vor?

A Verwenden Sie Windows Server-Sicherung und sichern Sie jeden Domänencontroller auf eine lokale Festplatte. Erstellen Sie auf jedem Domänencontroller eine Partition für die Windows Wiederherstellungsumgebung (Windows Recovery Environment, Windows RE).

B Verwenden Sie Windows Server-Sicherung und sichern Sie jeden Domänencontroller auf eine lokale Festplatte. Verwenden Sie die Windows Bereitstellungsdienste, um die Windows Wie-derherstellungsumgebung (Windows RE) zu verteilen.

C Verwenden Sie Windows Server-Sicherung und sichern Sie jeden Domänencontroller in eine Netzwerkfreigabe auf einem anderen Server. Erstellen Sie auf jedem Domänencontroller eine Partition für die Windows Wiederherstellungsumgebung (Windows RE).

D Verwenden Sie Windows Server-Sicherung und sichern Sie jeden Domänencontroller in eine Netzwerkfreigabe auf einem anderen Server. Verwenden Sie die Windows Bereitstellungs-dienste, um die Windows Wiederherstellungsumgebung (Windows RE) zu verteilen.


Korrekte Antwort: D

Erläuterungen:


Mit der Windows Server-Sicherung können Sie Sicherungen für den lokalen Computer oder einen Remotecomputer erstellen und verwalten. Außerdem können Sie die automatische Ausführung von Sicherungen planen.


Frage 56

Sie sind als Netzwerkadministrator für das Unternehmen CertBase tätig. Das Firmennetzwerk besteht aus einer Active Directory-Domänendienste Domäne mit dem Namen certbase.de. Auf den Domänencontrol-lern ist Windows Server 2008 R2 installiert. Auf den Clientcomputern wird entweder Windows Vista oder Windows XP Service Pack 2 (SP2) ausgeführt.

Sie müssen das verschlüsselnde Dateisystem (Encrypting File System, EFS) für alle Clientcomputer implemen-tieren. Zugleich wollen Sie die folgenden Anforderungen unterstützen:

Der Datenverkehr, der über das Netzwerk übertragen wird, wenn ein Benutzer sich an einem Client-computer an- oder abmeldet soll minimiert werden.

Benutzer müssen auf allen Clientcomputern auf ihre EFS Zertifikate zugreifen können. EFS Zertifikate müssen auch weiterhin verfügbar bleiben, wenn die Festplatte eines Clientcomputers

ausfällt. Wie gehen Sie vor?

A Aktivieren Sie servergespeicherte Anmeldeinformationen (Credential Roaming).

B Aktivieren Sie servergespeicherte Benutzerprofile.

C Konfigurieren Sie einen Datenwiederherstellungsagenten.

D Verteilen Sie Smartcards an alle Benutzer.


Korrekte Antwort: A

Erläuterungen:

Mithilfe der Serverspeicherung von Anmeldeinformationen können X.509-Zertifikate, Zertifikatanforderun-gen und private Schlüssel eines Benutzers in AD DS unabhängig vom Benutzerprofil gespeichert und auf einem beliebigen Computer im Netzwerk verwendet werden.

Bis vor kurzem wurden Zertifikate und private Schlüssel auf Computern unter Windows Teil des Benutzer-profils, nachdem sie ausgestellt und im Zertifikatspeicher des Benutzers gespeichert wurden. Diese Zertifika-te und privaten Schlüssel konnten nur dann auf mehreren Computern verwendet werden, wenn das Benut-zerprofil von einem Computer auf den anderen kopiert wurde. was jedoch extrem große Datenmengen mit einbezog, auf die von jeder Person zugegriffen werden konnte, die über die entsprechenden Verwaltungs-rechte verfügte.

Digitale Zertifikate und private Schlüssel umfassen vergleichsweise geringe Datenmengen, die auf sichere Weise gespeichert werden müssen. Mithilfe der Richtlinie für die Serverspeicherung von Anmeldeinformati-onen kann die Verwendung dieser Anmeldeinformationen auf mehreren Computern verwaltet werden, wobei die Anforderungen digitaler Zertifikate und privater Schlüssel in Bezug auf die sichere Speicherung und Größe erfüllt werden.

Die Serverspeicherung von Anmeldeinformationen stand zuerst Domänencontrollern unter Windows Server 2003 mit Service Pack 1 (SP1) zur Verfügung. Die auf Computern unter Windows Vista und Windows Ser-ver 2008 / Windows Server 2008 R2 implementierte Serverspeicherung von Anmeldeinformationen kann einfacher konfiguriert und verwaltet werden. Außerdem können mit der unter Windows Server 2008 / Windows Server 2008 R2 verfügbaren Richtlinie für die Serverspeicherung von Anmeldeinformationen ge-speicherte Benutzernamen, Kennwörter sowie Zertifikate und Schlüssel auf dem Server gespeichert werden.


Frage 57

Sie sind als Netzwerkadministrator für das Unternehmen CertBase tätig. Das Unternehmen hat eine Haupt-geschäftsstelle und eine Zweigstelle.

Das Netzwerk besteht aus einer einzelnen Active Directory-Domänendienste Domäne mit dem Namen cert-base.de. Die Funktionsebene der Domäne ist mit Windows Server 2008 festgelegt. Für jeden Bürostandort wurde ein Active Directory-Standort erstellt. Auf allen Servercomputern ist Windows Server 2008 R2 instal-liert.

Sie planen die Installation von Dateiservern für jeden Standort. Sie müssen eine Strategie für den gemein-samen Dateizugriff entwerfen, die den folgenden Anforderungen entspricht:

Benutzer beider Standorte müssen in der Lage sein, auf dieselben Dateien zuzugreifen. Benutzer beider Standorte müssen denselben Universal Naming Convention (UNC) Pfad für den Zugriff

auf die Dateien verwenden. Ihr Entwurf muss die benötigte Bandbreite für den Zugriff auf die Dateien reduzieren. Was werden Sie in Ihre Planung aufnehmen?

A Einen eigenständigen DFS-Namespace und die DFS-Replikation.

B Einen domänenbasierten DFS-Namespace und die DFS-Replikation.

C Einen standortübergreifenden Failovercluster mit einem Knoten in der Hauptgeschäftsstelle und einem zweiten Knoten in der Zweigstelle.

D Einen Cluster für den Netzwerklastenausgleich (NLB) mit einem Knoten in der Hauptgeschäftsstelle und einem zweiten Knoten in der Zweigstelle.


Korrekte Antwort: B

Erläuterungen:

Wenn Sie einen Namespace erstellen, müssen Sie einen von zwei Namespacetypen auswählen: einen ei-genständigen Namespace oder einen domänenbasierten Namespace. Zudem müssen Sie einen Name-spacemodus auswählen, wenn Sie einen domänenbasierten Namespace auswählen: Windows 2000 Server-Modus oder Windows Server 2008-Modus.

Auswählen eines Namespacetyps

Wenn Sie einen Namespace erstellen, müssen Sie einen eigenständigen Namespace oder einen domänen-basierten Namespace auswählen. Wählen Sie einen eigenständigen Namespace aus, wenn eine der folgen-den Bedingungen auf Ihre Umgebung zutrifft:

In Ihrer Organisation werden die Active Directory-Domänendienste (Active Directory Domain Services, AD DS) nicht verwendet.

Sie müssen einen einzelnen Namespace mit mehr als 5.000 DFS-Ordnern in einer Domäne erstellen, die die Anforderungen für einen domänenbasierten Namespace nicht erfüllt.

Sie möchten die Verfügbarkeit des Namespaces mithilfe eines Failoverclusters erhöhen. Wählen Sie einen domänenbasierten Namespace aus, wenn eine der folgenden Bedingungen auf Ihre Um-gebung zutrifft:

Sie möchten die Verfügbarkeit des Namespaces mithilfe mehrerer Namespaceserver sicherstellen. Sie möchten den Namen des Namespaceservers für Benutzer ausblenden. Somit ist es einfacher,

den Namespaceserver zu ersetzen oder den Namespace zu einem anderen Server zu migrieren.

Auswählen eines Modus für einen domänenbasierten Namespace

Wenn Sie einen domänenbasierten Namespace auswählen, müssen Sie festlegen, ob der Windows 2000 Server-Modus oder der Windows Server 2008-Modus verwendet werden soll. Der Windows Server 2008-Modus bietet Unterstützung für zugriffsbasierte Aufzählung und optimierte Skalierbarkeit. Der mit Windows 2000 Server eingeführte domänenbasierte Namespace wird jetzt als "domänenbasierter Name-space (Windows 2000 Server-Modus)" bezeichnet.

Für die Verwendung des Windows Server 2008-Modus müssen die Domäne und der Namespace die fol-genden Mindestanforderungen erfüllen:

Für die Domäne wird die Windows Server 2008-Domänenfunktionsebene verwendet. Alle Namespaceserver werden unter Windows Server 2008 ausgeführt. Wählen Sie den Windows Server 2008-Modus aus, wenn Sie neue domänenbasierte Namespaces erstellen, sofern dieser Modus in Ihrer Umgebung unterstützt wird. Mit diesem Modus werden zusätzliche Features und Skalierbarkeit bereitgestellt, und zudem ist es nicht mehr erforderlich, einen Namespace aus dem Windows 2000 Server-Modus zu migrieren.

Wenn in Ihrer Umgebung im Windows Server 2008-Modus keine domänenbasierten Namespaces unter-stützt werden, verwenden Sie den vorhandenen Windows 2000 Server-Modus für den Namespace.

Vergleichen von Namespacetypen und -modi

Die Merkmale der einzelnen Namespacetypen und -modi werden in der folgenden Tabelle beschrieben.


Merkmal Eigenständiger Namespace Domänenbasierter Namespace (Windows 2000 Server-Modus)

Domänenbasierter Namespace (Windows Server 2008-Modus)

Pfad des Namespaces \\Servername\Stammname \\NetBIOS-Domänenname\Stammname

\\DNS-Domänenname\Stammname \\NetBIOS-Domänenname\Stammname

\\DNS-Domänenname\Stammname

Speicherort der Namespaceinfor-mationen

In der Registrierung und in einem Arbeitsspeichercache auf dem Namespaceserver

In AD DS und in einem Arbeitsspeichercache auf jedem Namespaceserver

In AD DS und in einem Arbeits-speichercache auf jedem Name-spaceserver

Empfehlungen für die Name-spacegröße

Der Namespace kann mehr als 5.000 Ordner mit Zielen enthalten

Die Größe des Namespaceobjekts in AD DS darf maximal 5 Megabyte (MB) betragen, damit die Kompatibilität mit Domänencontrollern aufrechterhalten werden kann, die nicht unter Windows Server 2008 ausgeführt werden. Dies bedeutet, es dürfen nicht mehr als circa 5.000 Ordner mit Zielen vorhanden sein.

Der Namespace kann mehr als 5.000 Ordner mit Zielen enthal-ten

Minimale AD DS-Domänenfunktionsebene

AD DS nicht erforderlich Windows 2000 gemischt Windows Server 2008

Mindestanforderung an die unter-stützten Namespaceserver

Windows 2000 Server Windows 2000 Server Windows Server 2008

Unterstützung der zugriffsbasier-ten Aufzählung (sofern aktiviert)

Ja, Windows Server 2008-Namespaceserver erforderlich

Nein Ja

Unterstützte Methoden zum Si-cherstellen der Namespaceverfüg-barkeit

Erstellen eines eigenständigen Namespaces auf einem Failover-cluster

Verwenden mehrerer Namespaceserver zum Hosten des Namespaces (Die Namespaceserver müssen sich in dersel-ben Domäne befinden.)

Verwenden mehrerer Name-spaceserver zum Hosten des Namespaces (Die Namespaceser-ver müssen sich in derselben Domäne befinden.)

Unterstützung für die Verwendung der DFS-Replikation zum Replizie-ren von Ordnerzielen

Unterstützt, wenn die Aufnahme in eine AD DS-DomÃ¤ne erfolgt ist

Unterstützt Unterstützt


Frage 58

Sie sind als Netzwerkadministrator für das Unternehmen CertBase tätig. Das Netzwerk enthält einen Windows Server 2008 R2 Computer, auf dem Microsoft SQL Server 2008 R2 ausgeführt wird. Der Server verfügt über zwei RAID-1 Datenträger und einen RAID-5 Datenträger.

Sie müssen einen Plan für die Nutzung des Festplattenspeichers entwerfen. Ihre Planung muss die folgenden Anforderungen berücksichtigen:

Der Datenverlust bei Ausfall einer einzelnen Festplatte muss verhindert werden. Die Leistung für die SQL Server Anwendung muss maximiert werden. Der Leistungsverlust für das Schreiben von Daten bei Ausfall einer einzelnen Festplatte muss

minimiert werden. Wie gehen Sie vor?

A Speichern Sie alle Daten auf dem RAID-5 Datenträger.

B Speichern Sie die Daten des Betriebssystems auf einem RAID-1 Datenträger. Speichern Sie die Transaktionsprotokolle des SQL Servers auf einem RAID-1 Datenträger. Speichern Sie die SQL Server Datenbankdateien auf dem RAID-5 Datenträger.

C Speichern Sie die Daten des Betriebssystems auf einem RAID-1 Datenträger. Speichern Sie die Transaktionsprotokolle des SQL Servers auf dem RAID-5 Datenträger. Speichern Sie die SQL Server Datenbankdateien auf einem RAID-1 Datenträger.

D Speichern Sie die Daten des Betriebssystems auf dem RAID-5 Datenträger. Speichern Sie die Transaktionsprotokolle des SQL Servers auf einem RAID-1 Datenträger. Speichern Sie die SQL Server Datenbankdateien auf einem RAID-1 Datenträger.


Korrekte Antwort: B

Erläuterungen:

Mit SQL Server werden gewöhnlich die RAID-Stufen (Redundant Array of Independent Disks, Redundantes Festplattenarray) 0, 1 und 5 implementiert.

Stufe 0 Diese Stufe wird auch als Festplattenstriping bezeichnet, da sie ein als Stripeset bezeichnetes Dateisystem verwendet. Die Daten werden in Blöcke aufgeteilt und in einer festen Reihenfolge auf alle Festplatten des Arrays verteilt. RAID 0 verbessert die Lese- und Schreibleistung, indem Operationen auf mehrere Datenträ-ger verteilt werden. Die Operationen können dann unabhängig voneinander und gleichzeitig ausgeführt werden.

Die RAID-Stufe 0 ist mit RAID 5 vergleichbar, letztere bietet jedoch zusätzlich Fehlertoleranz.

Stufe 1 Diese Stufe wird auch als Festplattenspiegelung bezeichnet, da sie ein als Spiegelset bezeichnetes Dateisys-tem verwendet. Die Datenträgerspiegelung erzeugt eine redundante, identische Kopie einer ausgewählten Festplatte. Alle auf die primäre Festplatte geschriebenen Daten werden auch auf die Spiegelplatte ge-schrieben. RAID 1 bietet Fehlertoleranz und verbessert im Allgemeinen die Leseleistung, vermindert aber möglicherweise die Schreibleistung.

Stufe 2 Diese Stufe fügt Redundanz hinzu, indem sie eine Fehlerkorrekturmethode verwendet, die Paritätsdaten auf alle Datenträger schreibt. RAID 2 verwendet auch eine Datenträgerstriping-Strategie, bei der eine Datei byteweise in mehrere Datenträger unterteilt wird. Diese Strategie erzielt nur eine geringfügige Verbesse-rung der Festplattenausnutzung und der Schreib-/Leseleistung gegenüber der Spiegelung (RAID 1). Die RAID-Stufe 2 ist weniger effizient als andere RAID-Stufen und wird im Allgemeinen nicht verwendet.

Stufe 3 Diese Stufe verwendet dieselbe Striping-Methode wie RAID-Stufe 2, die Fehlerkorrekturmethode erfordert jedoch nur eine Festplatte für Paritätsdaten. Der verwendete Speicherplatz richtet sich nach der Anzahl der für Daten verfügbaren Datenträger. RAID 3 bietet eine gewisse Verbesserung der Lese-/Schreibleistung.

Stufe 4 Diese Stufe verwendet für die Datenstripes wesentlich größere Blöcke oder Segmente als RAID 2 und 3. Wie bei RAID 3 ist für die Fehlerkorrekturmethode nur ein Datenträger für Paritätsdaten erforderlich. Mit diesem Feature werden Benutzerdaten getrennt von den Fehlerkorrekturdaten gehalten. Die RAID-Stufe 4 ist weniger effizient als andere RAID-Stufen und wird im Allgemeinen nicht verwendet.

Stufe 5 Diese Stufe, auch als Striping mit Parität bezeichnet, ist die am häufigsten verwendete Strategie für neue Entwürfe. RAID 5 ähnelt RAID 4, da in dieser Stufe die Daten in großen Blöcken über alle Festplatten des Arrays verteilt werden. Im Unterschied zu RAID 4 werden bei RAID 5 jedoch die Paritätsdaten auf alle Da-tenträger geschrieben. Datenredundanz wird durch die Paritätsinformationen erzielt. Daten und Paritätsin-formationen werden so auf dem Festplattenarray angeordnet, dass sich die beiden Informationstypen stets auf verschiedenen Festplatten befinden. Durch Striping mit Parität wird eine bessere Leistung erzielt als durch Datenträgerspiegelung (RAID 1). Wenn jedoch ein Stripeelement fehlt (beispielsweise durch Ausfall einer Festplatte), vermindert sich die Leseleistung.

Stufe 10 (1+0) Diese Stufe wird auch als Festplattenspiegelung mit Striping bezeichnet. RAID 10 verwendet ein verteiltes Festplattenarray, das dann auf ein identisches Festplattenarray gespiegelt wird. Beispielsweise kann ein verteiltes Array mit fünf Festplatten erstellt werden. Das verteilte Festplattenarray wird dann auf einen an-deren Satz von fünf verteilten Festplatten gespiegelt. RAID 10 verbindet die Leistungsvorteile des Festplat-tenstripings mit der Festplattenredundanz durch Spiegelung. RAID 10 bietet die größte Lese-/Schreibleistung aller RAID-Stufen auf Kosten des doppelten Festplattenbedarfs.

Höhere RAID-Stufen als 10 (1 + 0) bieten zusätzliche Fehlertoleranz- oder Leistungserweiterungen. Bei die-sen Stufen handelt es sich in der Regel um proprietäre Systeme.


Frage 59

Sie sind als Netzwerkadministrator für das Unternehmen CertBase tätig. Das Unternehmen plant den Einsatz von 8 neuen Windows Server 2008 R2 Dateiservern. Alle Dateiserver werden mit Ethernet Switches verbunden.

Sie müssen eine Lösung für den Datenspeicher planen, die den folgenden Anforderungen ent-spricht:

Speicherzuweisung an die Server bei Bedarf Auslastung der bestehenden Netzwerkinfrastruktur Maximieren der Leistung Maximieren der Fehlertoleranz Wie gehen Sie vor?

A Installieren Sie Windows Server 2008 R2 Datacenter Edition auf allen Servern. Führen Sie die Server in einem Failovercluster zusammen. Verwenden Sie ein iSCSI Storage Area Network (SAN).

B Installieren Sie Windows Server 2008 R2 Standard Edition auf allen Servern. Führen Sie die Server in einem Cluster für den Netzwerklastenausgleich (NLB) zusammen. Implementieren Sie auf jedem Server ein RAID-5 Array.

C Installieren Sie Windows Server 2008 R2 Enterprise Edition auf allen Servern. Führen Sie die Server in einem Failovercluster zusammen. Verwenden Sie ein Fibre Channel (FC) Storage Area Network (SAN).

D Installieren Sie Windows Server 2008 R2 Enterprise Edition auf allen Servern. Führen Sie die Server in einem Cluster für den Netzwerklastenausgleich (NLB) zusammen. Verbinden Sie auf jedem Server ein Netzlaufwerk von einem externen Speicherarray.


Korrekte Antwort: A

Erläuterungen:

iSCSI (internet Small Computer System Interface) ist ein Verfahren, welches die Nutzung des SCSI-Protokolls über TCP ermöglicht. Wie beim gewöhnlichen SCSI gibt es einen Controller (Initiator), der die Kommunikation steuert. Die Speichergeräte (Festplatten, Bandlaufwerke, optische Lauf-werke etc.) heißen Target.

Schematischer Aufbau eines iSCSI-NetzwerkesiSCSI spezifiziert die Übertragung und den Betrieb direkter Speicherprotokolle nativ über TCP. Bei diesem Verfahren werden SCSI-Daten vom Initia-tor in TCP/IP-Pakete verpackt und über IP-Netze transportiert. Die verpackten SCSI-Kommandos gelangen so zu einem SCSI-Router, der auf Basis vorhandener Mapping-Tabellen das entspre-chende Zielsystem (Target) zur Kommunikation mit der SCSI-Datenquelle auswählt.

iSCSI wird eingesetzt, um über eine virtuelle Punkt-zu-Punkt-Verbindung den Zugriff auf das Spei-chernetz zu ermöglichen, ohne dass eigene Speichergeräte aufgestellt werden müssen. Vorhan-dene Netzwerkkomponenten (Switch) können genutzt werden, da keine neue Hardware für die Knotenverbindungen nötig ist. Der Zugriff auf die Festplatten erfolgt blockbasierend, ist also auch für Datenbanken geeignet. Der Zugriff über iSCSI ist darüber hinaus transparent, erscheint auf Anwendungsebene also als Zugriff auf eine lokale Festplatte.


Frage 60

Sie sind als Netzwerkadministrator für das Unternehmen CertBase tätig. Das Firmennetzwerk be-steht aus einer einzelnen Active Directory Domäne mit dem Namen certbase.de. Die Domäne enthält drei Domänencontroller. Auf allen Domänencontrollern wird das Betriebssystem Windows Server 2008 R2 ausgeführt.

Sie führen täglich eine vollständige Sicherung der Domänencontroller durch.

Sie müssen eine Strategie für die Wiederherstellung von Active Directory Objekten empfehlen. Ihre Lösung muss den folgenden Anforderungen entsprechen:

Unterstützung für den Vergleich von Objekten in der gesicherten Datenbank mit Objekten in der produktiven Active Directory Datenbank.

Minimierung des administrativen Aufwandes. Was werden Sie empfehlen?

A Die Wiederherstellung der Sicherung auf einen Domänencontroller in der Gesamtstruktur.

B Die Wiederherstellung der Sicherung an den ursprünglichen Ort. Das Erstellen eines Snapshots mit Hilfe des Befehlszeilenprogramms Ntdsutil.exe.

C Die Wiederherstellung der Sicherung an einen alternativen Ort. Die Verwendung des Active Directory Installationsassistenten für die Installation eines neuen Domänencontrollers.

D Die Wiederherstellung der Sicherung an einen alternativen Ort. Das Mounten der Datenbank mit dem Active Directory-Datenbankbereitstellungstool Dsamain.exe.


Korrekte Antwort: D

Erläuterungen:

Das Active Directory-Datenbankbereitstellungstool (Dsamain.exe) kann den Wiederherstellungs-prozess deutlich verbessern. Es bietet die Möglichkeit, Daten verschiedener Snapshots, die zu unterschiedlichen Zeitpunkten erstellt wurden, zu vergleichen. So können Sie schneller entschei-den, welche Daten Sie nach einem Datenverlust wiederherstellen müssen. Dadurch wird vermie-den, dass mehrere Sicherungen wiederhergestellt werden müssen, um die darin enthaltenen Acti-ve Directory-Daten zu vergleichen.


Frage 61

Sie sind als Netzwerkadministrator für das Unternehmen CertBase tätig. Das Firmennetzwerk be-steht aus einer einzelnen Active Directory-Domänendienste Domäne mit dem Namen certbase.de. Die Hauptgeschäftsstelle verfügt über einen Internetanschluss.

Das Unternehmen plant die Eröffnung einer Zweigstelle. Die Zweigstelle soll mit der Hauptge-schäftsstelle über eine dedizierte WAN-Verbindung verbunden werden. Die WAN-Verbindung wird eine eingeschränkte Bandbreite haben. Die Zweigstelle wird keinen Zugriff auf Ressourcen im Internet erhalten. Die Zweigstelle wird 30 Windows Server 2008 R2 Computer enthalten.

Sie planen die Installation der Server in der Zweigstelle. Ihre Planung muss die folgenden Anfor-derungen unterstützen:

Die Installationen müssen automatisiert werden. Die Computer müssen automatisch aktiviert werden. Der Datenübertragung zwischen den Geschäftsstellen muss minimiert werden. Wie gehen Sie vor?

A Implementieren Sie den Key Management Service (KMS), einen DHCP Server und die Windows-Bereitstellungsdienste (WDS) in der Zweigstelle.

B Verwenden Sie die Multiple Activation Key (MAK) Independent Aktivierung auf den Server-computern. Implementieren Sie einen DHCP Server und die Windows-Bereitstellungsdienste (WDS) in der Hauptgeschäftsstelle.

C Implementieren Sie die Windows-Bereitstellungsdienste (WDS) in der Hauptgeschäftsstelle. Implementieren Sie den Key Management Service (KMS) und einen DHCP Server in der Zweig-stelle.

D Verwenden Sie die Multiple Activation Key (MAK) Independent Aktivierung auf den Server-computern. Implementieren Sie einen DHCP Server in der Hauptgeschäftsstelle. Implementie-ren Sie die Windows-Bereitstellungsdienste (WDS) in der Zweigstelle.


Korrekte Antwort: A

Erläuterungen:

Beginnend mit Windows Vista werden im Rahmen von Volume Activation 2.0 (VA 2.0) zwei Ty-pen von Volume License Keys (VLKs) eingeführt: Multiple Activation Keys und Key Management Service.

Multiple Activation Keys (MAK)

Multiple Activation Keys (MAK) aktivieren entweder einzelne Computer oder eine Gruppe von Computern, indem sie über das Internet oder per Telefon direkt mit Microsoft-Servern verbunden werden. Die Schlüssel können nicht unbegrenzt oft verwendet werden. Angaben dazu, wie Sie Ihr Aktivierungslimit erhöhen können, erhalten Sie im Microsoft Activation Center.

Sie haben zwei Möglichkeiten, einen PC mithilfe eines MAK zu aktivieren:

1. Proxy Activation: Mit dieser Methode werden mehrere Computer gleichzeitig über eine ein-zelne Verbindung zu Microsoft aktiviert.

2. Independent Activation: Jeder Computer stellt eine eigene Verbindung zu Microsoft-Servern her und wird einzeln aktiviert.

Key Management Service (KMS)

Ihr Unternehmen kann den Key Management Service (KMS) intern einsetzen und Computer unter Windows Vista automatisch aktivieren. Um KMS verwenden zu können, benötigen Sie mindes-tens 25 miteinander verbundene Computer, die unter Windows Vista ausgeführt werden. Com-puter, die über KMS aktiviert wurden, müssen mindestens alle sechs Monate über eine Verbin-dung zu Ihrem Unternehmensnetzwerk reaktiviert werden. Die KMS-Software kann derzeit auf einem lokalen Computer unter Windows Vista oder dem Betriebssystem Microsoft Windows Ser-ver 2008 ausgeführt werden.


Frage 62

Sie sind als Netzwerkadministrator für das Unternehmen CertBase tätig. Das Firmennetzwerk um-fasst einen einzelnen Active Directory-Standort.

Sie planen die Verteilung von 1000 neuen Computern, auf denen Windows 7 Enterprise Edition ausgeführt werden soll. Die neuen Computer sind mit Pre-boot Execution Environment (PXE) kompatiblen Netzwerkkarten ausgestattet.

Sie müssen die Verteilung der neuen Computer so planen, dass die folgenden Anforderungen unterstützt werden:

Unterstützung für 50 simultane Installationen von Windows 7. Minimale Auswirkungen auf andere Netzwerkoperationen, während der Verteilung der neuen

Computer. Minimaler Zeitaufwand für die Installation von Windows 7 auf den neuen Computern. Wie gehen Sie vor?

A Implementieren Sie die Serverrolle Windows-Bereitstellungsdienste (WDS). Konfigurieren Sie auf allen Routern die IP Helper Tables.

B Implementieren Sie die Serverrolle Windows-Bereitstellungsdienste (WDS). Konfigurieren Sie alle Bereitstellungsdiensteserver für den Betrieb im Legacymodus.

C Implementieren Sie die Serverrolle Windows-Bereitstellungsdienste (WDS) und den Rollen-dienst Transportserver. Konfigurieren Sie den Transportserver für die Verwendung eines be-nutzerdefinierten Namespaces.

D Implementieren Sie die Serverrolle Windows-Bereitstellungsdienste (WDS) und den Rollen-dienst Transportserver. Konfigurieren Sie den Transportserver für die Verwendung eines stati-schen Multicast Adressbereichs.


Korrekte Antwort: D

Erläuterungen:

Sie können während der Installation der Serverrolle Windows-Bereitstellungsdienste (WDS) festle-gen, dass nur der Transportserver installiert wird. Dieser Rollendienst bietet einen Teil der Funkti-onalität der Windows-Bereitstellungsdienste. Er beinhaltet lediglich die zentralen Netzwerkkom-ponenten. Mit dem Transportserver können Sie Multicastnamespaces erstellen, mit denen Daten (einschließlich Betriebssystemabbilder) von einem eigenständigen Server übertragen werden. Für den eigenständigen Server ist weder Active Directory noch DHCP noch DNS erforderlich. Sie kön-nen diese Option in erweiterten Szenarien als Teil einer benutzerdefinierten Bereitstellungslösung auswählen.

Wenn mehrere Server die Multicastfunktionalität in einem Netzwerk verwenden (Transportserver, Bereitstellungsserver oder eine andere Lösung) ist es wichtig, dass jeder Server so konfiguriert wird, dass die Multicast-IP-Adressen nicht kollidieren. Andernfalls kann das Aktivieren von Multi-casting zu übermäßigem Datenverkehr führen. Beachten Sie, dass jeder Windows-Bereitstellungsdiensteserver über denselben Standardbereich verfügt. Zum Umgehen dieses Prob-lems geben Sie statische Bereiche an, die sich nicht überschneiden, um auf diese Weise sicherzu-stellen, dass für jeden Server eine eindeutige IP-Adresse verwendet wird.

IP Helper Tables

Das Anpassen von unterstützenden Routingtabellen in Zusammenhang mit dem Laden von Boo-tinformationen aus dem Netzwerk wird allgemein als IP Helper Tables Aktualisierung bezeichnet. Beispielsweise kann dies die Weiterleitung von DHCP Paketen in ein bestimmtes Netzwerkseg-ment umfassen, um sicherzustellen, dass die DHCP Pakete der Clientcomputer sowohl den DHCP Server als auch den Netzwerkstartserver erreichen. Befinden sich alle relevanten Komponenten innerhalb eines gemeinsamen Segmentes, sind in der Regel keine zusätzlichen Schritte erforder-lich.


Frage 63

Sie sind als Netzwerkadministrator für das Unternehmen CertBase tätig. Das Netzwerk enthält zwei DHCP Server. Die Namen der DHCP Server lauten DHCP1 und DHCP2.

Das interne Netzwerk enthält 1000 DHCP Clientcomputer, die sich in einem einzelnen Subnetz befinden. Ein Router trennt das interne Netzwerk vom Internet. Der Router ist mit einer einzelnen IP-Adresse auf der internen Schnittstelle ausgestattet.

DHCP1 ist mit folgenden Bereichsinformationen konfiguriert:

Start-IP-Adresse: 172.16.0.1 End-IP-Adresse: 172.16.7.254 Subnetzmaske: 255.255.240.0 Sie müssen eine fehlertolerante DHCP Infrastruktur bereitstellen, die alle Clientcomputer des in-ternen Netzwerks unterstützt. Falls ein DHCP Server ausfällt, müssen alle Clientcomputer weiter-hin in der Lage sein, eine gültige IP-Adresse zu beziehen.

Wie konfigurieren Sie DHCP2?

A Konfigurieren Sie einen Bereich für das Subnetz 172.16.0.0/20. Legen Sie die Start-IP-Adresse des Bereichs mit 172.16.8.1 und die End-IP-Adresse mit 172.16.15.254 fest.

B Konfigurieren Sie einen Bereich für das Subnetz 172.16.0.0/21. Legen Sie die Start-IP-Adresse des Bereichs mit 172.16.0.1 und die End-IP-Adresse mit 172.16.15.254 fest.

C Konfigurieren Sie einen Bereich für das Subnetz 172.16.0.0/21. Legen Sie die Start-IP-Adresse des Bereichs mit 172.16.8.1 und die End-IP-Adresse mit 172.16.10.254 fest.

D Konfigurieren Sie einen Bereich für das Subnetz 172.17.0.0/16. Legen Sie die Start-IP-Adresse des Bereichs mit 172.17.0.1 und die End-IP-Adresse mit 172.17.255.254 fest.


Korrekte Antwort: A

Erläuterungen:

Das für den Adressbereich von DHCP1 verwendet Subnetz 172.16.0.0/20 umfasst die Adressen von 172.16.0.1 bis 172.16.15.254. Insgesamt stehen 4094 IP-Adressen für die Adressierung der Clientcomputer bereits. Da DHCP1 nur rund die Hälfte der Adressen für die Verteilung zur Verfü-gung gestellt wurden, können wir auf DHCP2 einen Adressbereich erstellen, der die zweite Hälfte der Adressen des gewählten Subnetzes umfasst.


Frage 64

Sie sind als Netzwerkadministrator für das Unternehmen CertBase tätig. Das Unternehmen hat eine Hauptgeschäftsstelle und drei Zweigstellen. Das Firmennetzwerk besteht aus einer einzelnen Active Directory-Domänendienste Domäne mit dem Namen certbase.de. Jeder Standort verfügt über einen Active Directory Domänencontroller.

Sie müssen eine DNS-Infrastruktur für das Netzwerk erstellen, die den folgenden Anforderungen entspricht:

Die DNS-Infrastruktur muss es den Clientcomputern in allen Standorten ermöglichen, ihre DNS Namen in ihrem jeweiligen Standort zu registrieren.

Die Clientcomputer müssen Namen von Hosts aller Standorte auflösen können. Wie gehen Sie vor?

A Erstellen Sie eine Active Directory-integrierte Zone in der Hauptgeschäftsstelle.

B Erstellen Sie eine primäre Standardzone in der Hauptgeschäftsstelle und in jeder Zweigstelle.

C Erstellen Sie eine primäre Standardzone in der Hauptgeschäftsstelle. Erstellen Sie in jeder Zweigstelle eine sekundäre Zone.

D Erstellen Sie eine primäre Standardzone in der Hauptgeschäftsstelle. Erstellen Sie in jeder Zweigstelle eine Active Directory-integrierte Stubzone.


Korrekte Antwort: A

Erläuterungen:


DNS bietet eine Multimaster-Datenreplikation und verbesserte Sicherheit basierend auf den Funktionen von AD DS. In einem standardmäßigen Zonenspeichermodell werden DNS-Updates anhand eines Einzelmaster-Updatemodells durchgeführt. Bei diesem Modell wird ein einzelner autorisierender DNS-Server für eine Zone als primäre Quelle für die Zone definiert. Dieser Server verwaltet die Masterkopie der Zone in ei-ner lokalen Datei. Bei diesem Modell stellt der primäre Server für die Zone die einzige feste Fehlerquelle dar. Wenn dieser Server nicht verfügbar ist, werden keine Updateanforderungen von DNS-Clients für die Zone verarbeitet. Bei der Directory-integrierten Speicherung werden dynamische Updates von DNS an AD DS-integrierte DNS-Server gesendet und auf allen anderen AD DS-integrierten DNS-Servern mithilfe der AD DS-Replikation repliziert. Bei diesem Modell können alle AD DS-integrierten DNS-Server dynamische Up-dates für die Zone akzeptieren. Da die Masterkopie der Zone in der AD DS-Datenbank verwaltet wird, die auf allen Domänencontrollern vollständig repliziert wird, kann die Zone von jedem DNS-Server ak-tualisiert werden, der auf einem Domänencontroller für die Domäne ausgeführt wird. Mithilfe des Mul-timaster-Updatemodells von AD DS kann jeder primäre Server für die Directory-integrierte Zone Anfor-derungen von DNS-Clients verarbeiten, um die Zone zu aktualisieren, so lange ein Domänencontroller verfügbar und über das Netzwerk erreichbar ist. Bei Verwendung von Directory-integrierten Zonen können Sie zudem Zugriffssteuerungslisten (Access Control Lists, ACLs) verwenden, um einen dnsZone-Objektcontainer in der Verzeichnisstruktur zu si-chern. Dieses Feature ermöglicht einen genau festgelegten Zugriff auf die Zone oder auf einen Res-sourceneintrag in der Zone. Eine ACL für einen Zonenressourceneintrag kann beispielsweise so einge-schränkt werden, dass dynamische Updates nur für einen bestimmten Clientcomputer oder eine sichere Gruppe, z. B. eine Gruppe von Domänenadministratoren, zulässig sind. Dieses Sicherheitsfeature ist für standardmäßige primäre Zonen nicht verfügbar.

Zonen werden automatisch auf neuen Domänencontrollern repliziert und synchronisiert, sobald einer AD DS-Domäne eine neue Zone hinzugefügt wird. Der DNS-Serverdienst kann von einem einzelnen Domänencontroller entfernt werden. Allerdings sind die Directory-integrierten Zonen dann bereits auf jedem Domänencontroller gespeichert. Daher stellt die Zonenspeicherung und -verwaltung keine zusätzliche Ressource dar. Darüber hinaus bewirken die Methoden, die zur Synchronisierung von Informationen verwendet werden, die in AD DS gespeichert sind, eine Verbesserung der Leistung im Vergleich mit den standardmäßigen Zonenupdatemethoden, die mitunter eine Übertragung der gesamten Zone erfordern können.

Durch die Integration der Speicherung Ihrer DNS-Zonendatenbanken in AD DS können Sie die Planung der Datenbankreplikation für Ihr Netzwerk optimieren. Wenn Ihr DNS-Namespace und die AD DS-Domänen einzeln gespeichert und repliziert werden, müssen Sie diese Elemente auch einzeln planen und möglicherweise auch einzeln verwalten. Wenn Sie bei-spielsweise die standardmäßige DNS-Zonenspeicherung und AD DS zusammen verwenden, müssen Sie zwei verschiedene Datenbank-Replikationstopologien entwerfen, implementieren, testen und verwal-ten. Eine der Replikationstopologien wird beispielsweise zur Replikation von Verzeichnisdaten zwischen Domänencontrollern benötigt und die andere Topologie zur Replikation von Zonendatenbanken zwi-schen DNS-Servern. Dadurch kann die Planung und Entwicklung Ihres Netzwerks sowie eine künftige Erweiterung komplexer werden. Durch die Integration des DNS-Speichers werden die Speicherverwal-tung und Replikation für DNS und AD DS vereinheitlicht und beide Komponenten in einer gemeinsa-men Verwaltungseinheit zusammengeführt.

Die Directory-integrierte Replikation ist schneller und effizienter als die Standard-DNS-Replikation. Da die Verarbeitung der AD DS-Replikation pro Eigenschaft erfolgt, werden nur relevante Änderungen propagiert. Bei Updates für Zonen, die in AD DS gespeichert werden, werden weniger Daten verwen-det und übermittelt.

Nur primäre Zonen können in AD DS gespeichert werden. Ein DNS-Server kann keine sekundären Zonen in AD DS speichern. Diese müssen in standardmäßigen Textdateien gespeichert werden. Bei Verwendung des Multimaster-Replikationsmodells von AD DS sind keine sekundären Zonen mehr erforderlich, wenn alle Zonen in AD DS gespeichert sind.


Frage 65

Sie sind als Netzwerkadministrator für das Unternehmen CertBase tätig. Das Unternehmen hat 250 Zweigstellen. Das Netzwerk besteht aus einer Active Directory-Domänendienste Domäne. Auf allen Domänencontrollern ist das Betriebssystem Windows Server 2008 R2 installiert.

Sie planen die Verteilung von schreibgeschützten Domänencontrollern (RODCs) in den Zweigstel-len. Sie müssen die Verteilung so planen, dass folgende Anforderungen unterstützt werden:

Installation jedes schreibgeschützten Domänencontrollers (RODCs) in der zugehörigen Zweig-stelle.

Sicherstellen, dass die Quelldateien für die Installation der schreibgeschützten Domänencon-troller (RODCs) keine zwischengespeicherten Kennwörter enthalten.

Minimieren der verwendeten Bandbreite während der Erstsynchronisation der Active Directo-ry Domänendienste (AD DS).

Wie gehen Sie vor?

A Verwenden Sie Windows Server-Sicherung, um eine vollständige Sicherung eines bestehenden Domänencontrollers zu erstellen. Verwenden Sie die Sicherung für die Installation der neuen schreibgeschützten Domänencontroller.

B Verwenden Sie Windows Server-Sicherung, um eine Sicherung wichtiger Volumes eines beste-henden Domänencontrollers zu erstellen. Verwenden Sie die Sicherung für die Installation der neuen schreibgeschützten Domänencontroller.

C Erstellen Sie einen DFS Namespace, der die Active Directory Datenbank eines bestehenden Domänencontrollers enthält. Installieren Sie die neuen schreibgeschützten Domänencontroller mit Hilfe einer Antwortdatei.

D Erstellen Sie ein RODC-Installationsmedium. Installieren Sie die neuen schreibgeschützten Do-mänencontroller unter Einbeziehung des RODC-Installationsmedium.


Korrekte Antwort: D

Erläuterungen:

In Windows Server 2008 R2 gibt es zwei Methoden zum Erstellen von Installationsmedien für zusätzliche Domänencontroller, auf denen Windows Server 2008 R2 ausgeführt wird. Sie können Sicherungen wichtiger Volumes verwenden, um Installationsmedien für die IFM-Methode der AD DS-Installation vorzubereiten. Diese Methode ist jedoch veraltet und nicht immer effizient. Die empfohlene Methode zum Erstellen von Installationsmedien für einen Domänencontroller, auf dem Windows Server 2008 R2 ausgeführt wird, ist die Verwendung des Unterbefehls ntdsutil ifm.

Während die Windows Server-Sicherung mindestens eine Sicherung der wichtigen Volumes er-fordert, erfasst der Unterbefehl ntdsutil ifm den Mindestsatz an Daten, die zum Ausführen des IFM-Vorgangs benötigt werden (d. h. nur Volumes, die Systemstatusdaten enthalten).

Außerdem entfernt ntdsutil ifm Schlüssel, z. B. Kennwörter, von RODC-Installationsmedien. Auf diese Weise wird ein Transport von Installationsmedien sicherer. Selbst wenn ein RODC-Installationsmedium einem böswilligen Benutzer in die Hände fallen sollte, kann dieser keine Schlüssel aus dem Medium extrahieren.

Durch die Verwendung von Sicherungen wichtiger Volumes für die Vorbereitung von Installati-onsmedien können Sie eine Sicherung der wichtigen Volumes auf einem lokalen Volume oder einer Netzwerkfreigabe wiederherstellen, anstatt auf einem Volume, das wiederhergestellt wer-den soll. Für den IFM-Vorgang können Sie die Medien auf eine der beiden folgenden Weisen vor-bereiten:

Sie stellen die Sicherung direkt auf einer Netzwerkfreigabe auf dem Server wieder her, den Sie als Domänencontroller installieren möchten.

Sie stellen die Sicherung an einem anderen Speicherort auf dem lokalen Computer oder auf einem Remotecomputer im Netzwerk wieder her. Anschließend kopieren Sie die wiederher-gestellten Dateien auf Wechseldatenträger, z. B. CD oder DVD, oder auf eine mobile Festplat-te. Der Vorteil bei dieser Methode besteht darin, dass Sie nach einmaliger Wiederherstellung der Sicherung mit diesem Medium dann so viele Domänencontroller wie erforderlich installie-ren können.

Kopieren Sie die nicht wiederhergestellte Sicherung auf Wechseldatenträger. Bringen Sie die Medien an den Installationsort. Stellen Sie dann die Sicherung von den Wechseldatenträgern an einem anderen Speicherort auf jedem Server, den Sie installieren möchten, wieder her.

Mithilfe von IFM können Sie die Quellreplikation der gesamten Active Directory-Datenbank ver-meiden. Es müssen nur Änderungen, die nach dem Ausführen des Unterbefehls ntdsutil ifm statt-gefunden haben (sowie alle Partitionen, die für den zusätzlichen Domänencontroller erforderlich, jedoch auf dem Installationsmedium nicht verfügbar sind) repliziert werden. So ist IFM zum Bei-spiel ideal zum Installieren von Domänencontrollern an Remotestandorten geeignet.


Frage 66

Sie sind als Netzwerkadministrator für das Unternehmen CertBase tätig. Das Netzwerk enthält drei Server, auf denen Windows 2000 Server ausgeführt wird. Auf jedem der Server ist eine spe-ziell für das Unternehmen entwickelte Anwendung installiert.

Die Anwendungen...

... sind inkompatibel zueinander. ... sind inkompatibel mit Windows Server 2008 R2. ... verbrauchen weniger als 10 Prozent der Systemressourcen. Eine Firmensicherheitsrichtlinie schreibt vor, dass auf allen neuen physikalischen Servercomputern das Betriebssystem Windows Server 2008 R2 ausgeführt werden muss.

Sie müssen die Migration der drei Anwendungen auf neue Windows Server 2008 R2 Computer planen. Sie wollen Ihr Ziel mit möglichst geringen Hardwarekosten erreichen.

Welche Aktionen werden Sie in Ihre Planung einbeziehen?

A Installieren Sie drei neue Servercomputer mit dem Betriebssystem Windows Server 2008 R2 Standard Edition. Konfigurieren Sie für alle drei Anwendungen den Windows 2000 R2 Kompa-tibilitätsmodus.

B Installieren Sie einen neuen Servercomputer mit dem Betriebssystem Windows Server 2008 R2 Datacenter Edition. Installieren Sie das Feature Desktopdarstellung.

C Installieren Sie einen neuen Servercomputer mit dem Betriebssystem Windows Server 2008 R2 Enterprise Edition. Installieren Sie das Feature Windows-Systemressourcen-Manager (WSRM).

D Installieren Sie einen neuen Servercomputer mit dem Betriebssystem Windows Server 2008 R2 Enterprise Edition. Installieren Sie das Feature Hyper-V und erstellen Sie drei virtuelle Compu-ter.


Korrekte Antwort: D

Erläuterungen:

Aus dem Aufgabentext geht hervor, dass die drei Anwendungen nicht unter Windows Server 2008 R2 ausgeführt werden können. Wir können Windows Server 2008 R2 mit der Rolle Hyper-V jedoch verwenden, um drei virtuelle Windows 2000 Servercomputer bereitzustellen, auf denen die Anwendungen anschließend ausgeführt werden können.


Frage 67

Sie sind als Netzwerkadministrator für das Unternehmen CertBase tätig. Das Firmennetzwerk besteht aus einer einzelnen Active Directory Domäne mit dem Namen certbase.de. Das Netzwerk enthält 10 Server-computer und 500 Clientcomputer. Auf allen Domänencontrollern ist das Betriebssystem Windows Server 2008 R2 installiert.

Auf einem der Windows Server 2008 R2 Computer sind die Remotedesktopdienste installiert. Auf allen Clientcomputern wird Windows XP Professional Service Pack 2 (SP2) ausgeführt.

Sie planen die Verteilung einer neuen branchenspezifischen Anwendung. Die Applikation erfordert die Aktivierung von Desktopthemes.

Sie müssen eine Lösung für die Verteilung der Software planen, die den folgenden Anforderungen ent-spricht:

Ausschließlich autorisierte Benutzer dürfen Zugriff auf die Anwendung erhalten. Autorisierte Benutzer müssen die Anwendung von jedem Clientcomputer nutzen können. Ihre Lösung darf nur minimale Änderungen auf den Clientcomputern erfordern. Ihre Lösung muss die Softwarekosten gering halten. Wie gehen Sie vor?

A Aktualisieren Sie alle Clientcomputer auf Windows 7. Verteilen Sie die Anwendung mit Hilfe eines Gruppenrichtlinienobjekts (GPOs) auf alle Clientcomputer.

B Aktualisieren Sie alle Clientcomputer auf Windows 7. Verteilen Sie die Anwendung mit Hilfe eines Gruppenrichtlinienobjekts (GPOs) an alle autorisierten Benutzer.

C Verteilen Sie die Remote Desktop Connection (RDC) 7.0 Clientsoftware auf alle Clientcompu-ter. Installieren Sie die Anwendung auf dem Remotedesktop-Sitzungshost und implementieren Sie den Remotedesktop-Verbindungsbroker.

D Verteilen Sie den Remote Desktop Connection (RDC) 7.0 Clientsoftware auf alle Clientcompu-ter. Aktivieren Sie das Feature Desktopdarstellung auf dem Remotedesktop-Sitzungshost und installieren Sie die Anwendung auf dem Remotedesktop-Sitzungshost.


Korrekte Antwort: D

Erläuterungen:

Wir können den Benutzern die branchenspezifische Anwendung als RemoteApp-Programme zur Verfügung stellen. Voraussetzung ist jedoch die Verwendung des neuen Remote Desktop Connection (RDC) 7.x Cli-ents. Da die Anwendung Desktopthemes verwendet, müssen wir zusätzlich das Feature Desktopdarstellung auf dem Remotedesktop-Sitzungshost installieren.

Feature Desktopdarstellung Mithilfe des Features Desktopdarstellung können Sie eine Reihe von Windows 7-Features auf einem Server unter Windows Server 2008 R2 installieren. Wenn Sie Windows Server 2008 R2 als primäres Betriebssystem verwenden, möchten Sie eventuell einige dieser Windows 7-Features zur täglichen Verwendung zu Ihrer Verfügung haben.

Die Desktopdarstellung umfasst folgende Windows 7-Komponenten und -Features:

Windows Media Player Desktopdesigns Video für Windows (AVI-Unterstützung) Windows SideShow Windows Defender Datenträgerbereinigung Synchronisierungscenter Audiorekorder Zeichentabelle Snipping Tool

RemoteApp-Programme Mithilfe von RemoteApp können Sie festlegen, dass sich Programme, auf die remote über die Remotedesk-topdienste zugegriffen wird, so verhalten, als ob sie auf dem lokalen Computer des Endbenutzers ausge-führt werden würden. Diese Programme werden als RemoteApp-Programme bezeichnet. Anstatt auf dem Desktop des Host für Remotedesktopsitzungen-Server angezeigt zu werden, wird das RemoteApp-Programm in den Desktop des Clients integriert. Das RemoteApp-Programm wird in einem eigenen Fenster mit veränderbarer Größe ausgeführt, kann von einem Bildschirm in einen anderen Bildschirm gezogen wer-den und verfügt über einen eigenen Eintrag in der Taskleiste. Wenn ein Benutzer mehr als ein RemoteApp-Programm auf demselben Host für Remotedesktopsitzungen-Server ausführt, nutzen die RemoteApp-Programme dieselbe Remotedesktopdienste-Sitzung.


Frage 68

Sie sind als Netzwerkadministrator für das Unternehmen CertBase tätig. Das Firmennetzwerk besteht aus einer einzelnen Active Directory-Domänendienste Domäne mit dem Namen certbase.de. Auf allen Client-computern ist Windows 7 installiert. Einige Mitarbeiter verfügen über tragbare Computer und arbeiten häufig von zu Hause aus.

Sie müssen eine Datenbereitstellungslösung für die Absicherung sensitiver Dateien planen. Ihre Planung muss den folgenden Anforderungen entsprechen:

Dateien müssen verschlüsselt gespeichert werden. Dateien müssen für Remotebenutzer über das Internet zugänglich sein. Dateien müssen während der Übertragung über das Internet verschlüsselt sein. Wie gehen Sie vor?

A Implementieren Sie eine Microsoft SharePoint Foundation 2010 Site. Erfordern Sie, dass die Benutzer eine Secure Socket Transmission Protokoll (SSTP) Verbindung für den Zugriff auf die SharePoint Site verwenden.

B Implementieren Sie zwei Microsoft SharePoint Foundation 2010 Sites. Konfigurieren Sie eine Site für die internen Benutzer und die andere Site für Remotebenutzer. Veröffentlichen Sie die SharePoint Sites über das HTTPS Protokoll.

C Konfigurieren Sie einen Netzwerkrichtlinien- und Zugriffsschutzserver (NPAS) für den Betrieb als VPN Server. Erfordern Sie, dass Remotebenutzer eine IPSec Verbindung mit dem neuen VPN Server für den Zugriff auf die Dateien verwenden.

D Speichern Sie alle sensitiven Dateien in Verzeichnissen, die mit Hilfe des verschlüsselnden Da-teisystem (EFS) verschlüsselt sind. Erfordern Sie, dass die Benutzer eine Secure Socket Trans-mission Protokoll (SSTP) Verbindung für den Zugriff auf die Dateien verwenden.


Korrekte Antwort: D

Erläuterungen:

Wir können das verschlüsselnde Dateisystem (Encrypting File System, EFS) verwenden, um die Dateien ver-schlüsselt zu speichern. Um die Dateien auch verschlüsselt zu übertragen, können wir für den Remotezu-griff der Benutzer eine VPN-Verbindung auf Basis des Secure Socket Transmission Protokolls (SSTP) einset-zen.


Frage 69

Sie sind als Netzwerkadministrator für das Unternehmen CertBase tätig. Das Firmennetzwerk besteht aus einer einzelnen Active Directory-Domänendienste Domäne mit dem Namen certbase.de . Auf allen Domä-nencontrollern ist das Betriebssystem Windows Server 2008 R2 installiert.

Das Netzwerk enthält 5 Server, auf denen Windows Server 2003 installiert ist. Die Windows Server 2003 Computer haben die Komponente Terminaldienste installiert. Ein Firewallserver führt Microsoft Internet Security and Acceleration (ISA) Server 2006 aus. Auf allen Clientcomputern ist Windows 7 installiert.

Sie planen, den Remotebenutzern Zugriff auf die Terminalserver zu ermöglichen.

Sie müssen eine Remotezugriffslösung für die Terminalserver planen, die den folgenden Anforderungen entspricht:

Die Anzahl der offenen Ports auf der Firewall muss minimiert werden. Alle Remoteverbindungen mit den Terminalservercomputern müssen verschlüsselt erfolgen. Clientcomputer mit deaktivierter Windows Firewall müssen am Zugriff auf das Netzwerk gehindert

werden. Wie gehen Sie vor?

A Konfigurieren Sie eine Portweiterleitung und die Quarantänesteuerung für VPN-Clients auf dem ISA Servercomputer.

B Aktualisieren Sie einen Windows Server 2003 Computer auf Windows Server 2008 R2. Imple-mentieren Sie den Rollendienst Remotedesktopgateway und die Rolle Netzwerkrichtlinien- und Zugriffsdienste (NAP) auf dem Windows Server 2008 R2 Computer.

C Aktualisieren Sie einen Windows Server 2003 Computer auf Windows Server 2008 R2. Imple-mentieren Sie den Rollendienst Remotedesktopgateway auf dem Windows Server 2008 R2 Computer und konfigurieren Sie eine Remotedesktop-Verbindungsautorisierungsrichtlinie (RD-CAP).

D Aktualisieren Sie einen Windows Server 2003 Computer auf Windows Server 2008 R2. Imple-mentieren Sie den Rollendienst Remotedesktopgateway auf dem Windows Server 2008 R2 Computer und konfigurieren Sie eine Remotedesktop-Ressourcenautorisierungsrichtlinie RD RAP).


Korrekte Antwort: B

Erläuterungen:

Remotedesktopgateway (RD-Gateway) ist ein Rollendienst, der autorisierten Remotebenutzern das Herstel-len von Verbindungen mit Ressourcen in einem internen Firmennetzwerk oder privaten Netzwerk von je-dem Gerät aus ermöglicht, das mit dem Internet verbunden ist und auf dem der Remotedesktopverbin-dungs-Client (RDC-Client) ausgeführt werden kann. Netzwerkressourcen können Host für Remotedesktop-sitzungen-Server, Host für Remotedesktopsitzungen-Server, auf denen RemoteApp-Programme ausgeführt werden, oder Computer mit aktiviertem Remotedesktop sein.

RD-Gateway verwendet das Remotedesktopprotokoll (RDP) über HTTPS zur Herstellung einer sicheren, verschlüsselten Verbindung zwischen Remotebenutzern im Internet und den internen Netzwerkressourcen, auf denen Produktivitätsanwendungen ausgeführt werden.

Mithilfe von RD CAPs können Sie angeben, wer eine Verbindung mit einem RD-Gatewayserver herstellen kann. Sie können eine Benutzergruppe angeben, die auf dem lokalen RD-Gatewayserver oder in den Active Directory-Domänendiensten vorhanden ist. Darüber hinaus können Sie andere Bedingungen angeben, die Benutzer für den Zugriff auf einen RD-Gatewayserver erfüllen müssen. In jeder RD CAP können Sie be-stimmte Bedingungen auflisten. Beispielsweise können Sie festlegen, dass eine Gruppe von Benutzern eine Smartcard verwenden muss, um über RD-Gateway eine Verbindung herzustellen.

RD-RAPs ermöglichen Ihnen das Angeben der internen Netzwerkressourcen, mit denen Remotebenutzer über einen RD-Gatewayserver eine Verbindung herstellen können. Wenn Sie eine RD-RAP erstellen, können Sie eine Computergruppe erstellen (eine Liste der Computer im internen Netzwerk, mit denen die Remot-ebenutzer Verbindungen herstellen können) und diese der RD-RAP zuordnen.


Frage 70

Sie sind als Netzwerkadministrator für das Unternehmen CertBase tätig. Das Firmennetzwerk enthält einen Windows Server 2008 R2 Computer, der als Dateiserver eingesetzt wird. Alle Benutzer verfügen über trag-bare Computer mit dem Betriebssystem Windows 7.

Das Firmennetzwerk ist nicht mit dem Internet verbunden.

Die Benutzer speichern ihre Dateien in einem freigegebenen Verzeichnis auf dem Dateiserver. Sie müssen eine Lösung für die Datenbereitstellung entwerfen, die den folgenden Anforderungen entspricht:

Benutzer, die nicht mit dem Firmennetzwerk verbunden sind, müssen in der Lage sein, auf Verzeichnis-se und Dateien im Firmennetzwerk zuzugreifen.

Nicht autorisierte Benutzer dürfen keinen Zugriff auf die zwischengespeicherten Verzeichnisse und Dateien erhalten.

Wie gehen Sie vor?

A Implementieren Sie eine Zertifizierungsstelle (CA). Konfigurieren Sie die IPSec Domänenisolati-on.

B Implementieren Sie eine Zertifizierungsstelle (CA). Konfigurieren Sie das verschlüsselnde Datei-system (EFS) für das Laufwerk, auf dem die Dateien gespeichert sind.

C Implementieren Sie Microsoft SharePoint Foundation 2010. Aktivieren Sie die Secure Socket Layer (SSL) Verschlüsselung.

D Konfigurieren Sie die Optionen für das Zwischenspeichern des freigegebenen Verzeichnisses. Konfigurieren Sie die Offlinedateien für die Verwendung der Verschlüsselung.


Korrekte Antwort: D

Erläuterungen:

Offlinedateien sind auf dem Computer gespeicherte Kopien von Netzwerkdateien, die den Zugriff auch dann ermöglichen, wenn keine Verbindung mit dem Netzwerk besteht oder wenn der Netzwerkordner mit den Dateien nicht verbunden ist. Offlinedateien werden nur dann verschlüs-selt, wenn Sie dies entsprechend auswählen. Offlinedateien sollten verschlüsselt werden, wenn sie vertrauliche Informationen enthalten und ihre Sicherheit durch Einschränken des Zugriffs ver-bessert werden soll. Die Verschlüsselung der Offlinedateien sorgt für zusätzlichen Netzwerkzu-griffsschutz, unabhängig von den Berechtigungen des NTFS-Dateisystems. So können Sie den Schutz der Dateien verbessern, falls der Computer je gestohlen wird oder verloren geht.

Führen Sie die folgenden Schritte aus, um die Offlinedateien zu verschlüsseln:

Öffnen Sie die Optionen für Offlinedateien in der Systemsteuerung. Klicken Sie auf die Registerkarte Verschlüsselung. Klicken Sie zum Verschlüsseln der Offlinedateien auf Verschlüsseln, und klicken Sie dann auf

OK. Beim Verschlüsseln der Offlinedateien verschlüsseln Sie nur die auf dem Computer gespeicherten Offlinedateien, nicht die Netzwerkversionen der Dateien. Vor dem Verwenden ist es nicht not-wendig, eine auf dem Computer gespeicherte, verschlüsselte Datei bzw. einen verschlüsselten Ordner zu entschlüsseln. Dies wird automatisch für Sie ausgeführt.

Unter Windows-Versionen ohne EFS (Encrypting File System, verschlüsselndes Dateisystem) wird die Registerkarte Verschlüsselung nicht angezeigt.


Frage 71

Sie sind als Netzwerkadministrator für das Unternehmen CertBase tätig. Das Firmennetzwerk be-steht aus einer einzelnen Active Directory-Domänendienste Domäne mit dem Namen certbase.de. Auf allen Domänencontrollern ist das Betriebssystem Windows Server 2008 R2 installiert. Auf allen Clientcomputern wird Windows 7 ausgeführt.

Alle Benutzerkonten sind in einer Organisationseinheit (OU) mit dem Namen Mitarbeiter gespei-chert. Die Konten aller Clientcomputer sind in einer Organisationseinheit (OU) mit dem Namen Clients gespeichert.

Sie planen die Verteilung einer neuen Anwendung.

Sie müssen sicherstellen, dass die Verteilung der neuen Anwendung den folgenden Anforderun-gen entspricht:

Die Benutzer müssen die Anwendung über ein Symbol im Startmenü öffnen können. Die Anwendung muss Remotebenutzern auch dann zur Verfügung stehen, wenn sie offline

sind. Wie gehen Sie vor?

A Veröffentlichen Sie die Anwendung für die Benutzer in der Organisationseinheit (OU) Mitarbei-ter.

B Veröffentlichen Sie die Anwendung für die Computer in der Organisationseinheit (OU) Clients.

C Weisen Sie die Anwendung den Benutzern in der Organisationseinheit (OU) Mitarbeiter zu.

D Weisen Sie die Anwendung den Computern in der Organisationseinheit (OU) Clients zu.


Korrekte Antwort: D

Erläuterungen:

Im Unterschied zu einer Softwareveröffentlichung wird die Anwendung bei der Zuweisung sofort installiert, es sind keine weiteren Aktionen des Benutzers erforderlich. Indem wir die Anwendung den Computern in der OU Clients zuweisen, stellen wir sicher, dass die Software auf allen Client-computern installiert wird.


Frage 72

Sie sind als Netzwerkadministrator für das Unternehmen CertBase tätig. Das Netzwerk enthält einen Windows Server 2008 R2 Servercomputer.

Sie müssen eine Lösung entwerfen, die den Benutzern die Zusammenarbeit ermöglicht. Ihre Lö-sung muss den folgenden Anforderungen entsprechen:

Unterstützung für den Remotezugriff auf Dateien über einen Webbrowser. Unterstützung für die Erweiterung durch zusätzliche Webserver, wenn das Unternehmen

wächst. Unterstützung für den sicheren Zugriff auf Dateien durch Zuweisung von Berechtigungen. Unterstützung für die Volltextindizierung des gesamten Benutzerinhalts. Was werden Sie in Ihre Planung einbeziehen?

A Die Serverrolle Webserver

B Die Serverrolle Anwendungsserver

C Microsoft SharePoint Server 2010

D Microsoft System Center Operations Manager (SOM) 2007 R2


Korrekte Antwort: C

Erläuterungen:

Microsoft SharePoint Server 2010 ist die Plattform für die geschäftliche Zusammenarbeit in Un-ternehmen und im Web, mit der Sie es den Mitarbeitern eines Unternehmens anhand integrierter und umfangreicher Features ermöglichen, in Verbindung zu bleiben und produktiv zu arbeiten. Unabhängig davon, ob die Bereitstellung vor Ort oder als gehosteter Dienst erfolgt.

Es gibt vier Versionen von SharePoint Server 2010:

SharePoint Server 2010 (Enterprise-Clientzugriffslizenz-Funktionen) Für Unternehmen, die ihre Plattform zur geschäftlichen Zusammenarbeit für erweiterte Szena-rien ausbauen möchten. Nutzen Sie die Enterprise-Funktionen von SharePoint, die in vollem Umfang zusammen mit externen Branchenanwendungen, Webdiensten und Microsoft Office-Clientanwendungen eingesetzt werden können. Umfassende Datenvirtualisierung, Dash-boards und erweiterte Analysen erleichtern es Ihnen, fundierte Entscheidungen zu treffen und stabile Formular- und workflowbasierte Lösungen zu erstellen.

SharePoint Server 2010 für Internetsites, Enterprise Für Unternehmen, die kundenorientierte Internetsites und private Extranets mithilfe der um-fassenden Unternehmensfunktionen von SharePoint erstellen möchten. Auf diese Weise kön-nen die SharePoint Enterprise-Funktionen ohne weitere technische Einschränkungen in vollem Umfang genutzt werden.

SharePoint Server 2010 (Standard-Clientzugriffslizenz-Funktionen) Für Unternehmen, die eine Plattform für die geschäftliche Zusammenarbeit für alle Inhaltsty-pen bereitstellen möchten. Verwenden Sie die zentralen Funktionen von SharePoint, um In-halt und Geschäftsprozesse zu verwalten, nach Informationen und Know-how zu suchen und auszutauschen und die organisationsübergreifende Zusammenarbeit zu vereinfachen.

SharePoint Server 2010 für Internetsites, Standard Für kleine und mittelständische Organisationen, die öffentliche Internetsites oder grundlegen-de Extranetarbeitsbereiche mithilfe der Features der Standardversion von SharePoint Server 2010 erstellen möchten.


Frage 73


Sie müssen sicherstellen, dass Administratoren die Möglichkeit haben, USB-Laufwerke an Ihren Computern zu installieren. Benutzer ohne administrative Privilegien müssen an der Installation von USB-Laufwerken gehindert werden.

Wie gehen Sie vor?

A Implementieren Sie die Bitlocker-Laufwerksverschlüsselung.

B Implementieren Sie die Serverrolle Universal Description, Discovery, Integration (UDDI).

C Verwenden Sie ein Gruppenrichtlinienobjekt (GPO) und konfigurieren Sie die Richtlinien im Abschnitt Einschränkungen bei der Geräteinstallation.

D Verwenden Sie den Windows-Systemressourcen-Manager (WSRM) und konfigurieren Sie ein benutzerbezogene Ressourcenverwaltungsrichtlinie.


Korrekte Antwort: C

Erläuterungen:

Eine der wichtigsten Neuerungen im Bereich der Gruppenrichtlinien ist die Steuerung der Gerä-teinstallation. Bei den administrativen Vorlagen im Bereich System findet man im Abschnitt Gerä-teinstallation die Einschränkungen bei der Geräteinstallation. Dort können für Geräteklassen und Geräte-IDs Einschränkungen vorgenommen werden. Insbesondere kann angegeben werden, wel-che Klassen von Geräten installiert werden dürfen oder eben nicht.

Besonders einfach ist die Nutzung von Geräte-IDs, die sich über den Geräte-Manager bei den Gerätekennungen einfach ermitteln lassen. Die IDs sind Zeichenketten, die deutlich einfacher sind als beispielsweise die GUIDs, die für Klassen von Geräten verwendet werden.

Um die unkontrollierte Nutzung insbesondere von USB-Geräten zu verhindern, bietet es sich an, eine Liste von zulässigen Geräten zu erstellen.


Frage 74

Sie sind als Netzwerkadministrator für das Unternehmen CertBase tätig. Das Firmennetzwerk be-steht aus einer Active Directory Gesamtstruktur mit einer Stammdomäne und zwei untergeordne-ten Domänen. Auf allen Servercomputern ist Windows Server 2008 R2 installiert.

Eine Firmensicherheitsrichtlinie stellt die folgenden Anforderungen:

Alle lokalen Gastkonten müssen umbenannt und deaktiviert werden. Alle lokalen Administratorkonten müssen umbenannt werden. Sie müssen eine Lösung empfehlen, die sicherstellt, dass die Firmenrichtlinie eingehalten wird.

Wie gehen Sie vor?

A Implementieren Sie ein Gruppenrichtlinienobjekt (GPO) für jede Domäne.

B Implementieren Sie ein Gruppenrichtlinienobjekt (GPO) für die Stammdomäne.

C Implementieren Sie die Serverrolle Netzwerkrichtlinien- und Zugriffsdienste (NPAS) auf allen Domänencontrollern in allen Domänen.

D Implementieren Sie die Active Directory-Rechteverwaltungsdienste (AD RMS) auf den Domä-nencontrollern der Stammdomäne.


Korrekte Antwort: A

Erläuterungen:

Wir können die folgenden drei Richtlinien im Abschnitt Computerkonfiguration\ Richtlinien\ Windows-Einstellungen\ Sicherheitseinstellungen\ Lokale Richtlinien\ Sicherheitsoptionen verwen-den, um die Änderungen an den lokalen Benutzern der Clientcomputer zu konfigurieren.

Konten: Administrator umbenennen Konten: Gastkontostatus Konten: Gastkonto umbenennen Da ein Gruppenrichtlinienobjekt aber nur lokal innerhalb einer Domäne angewendet werden kann, müssen wir für jede der drei Domänen ein separates GPO erstellen.


Frage 75

Sie sind als Netzwerkadministrator für das Unternehmen CertBase tätig. Das Firmennetzwerk be-steht aus einer einzelnen Active Directory Gesamtstruktur. Die Gesamtstruktur enthält drei Domä-nen mit den Namen certbase.de, nord.certbase.de und sued.certbase.de. Die Funktionsebenen aller drei Domänen sind mit Windows Server 2008 festgelegt.

Die Mitarbeiter des Helpdesks der Domäne certbase.de sind Mitglied in der Gruppe Konten-Operatoren der Domäne certbase.de. Die Helpdeskmitarbeiter sind zuständig für das Bearbeiten der Eigenschaften von Benutzerkonten der Domäne certbase.de. Im Helpdesk kommt es zu einem häufigen Wechsel der Mitarbeiter.

Sie müssen eine Lösung für die Verwaltung von Benutzerkonten implementieren, die den folgen-den Anforderungen entspricht:

Die Mitarbeiter des Helpdesk sollen die Möglichkeit erhalten, Benutzerobjekte in allen Domä-nen zu verwalten.

Der administrative Aufwand für die Verwaltung der häufigen Mitarbeiterwechsel im Helpdesk soll minimiert werden.

Wie gehen Sie vor?

A Erteilen Sie der Gruppe Konten-Operatoren der Domäne certbase.de Vollzugriff für alle Benut-zerkonten in allen drei Domänen.

B Nehmen Sie die Benutzerkonten der Helpdeskmitarbeiter in die Gruppe Konten-Operatoren der Domäne nord.certbase.de und in die Gruppe Konten-Operatoren der Domäne su-ed.certbase.de auf.

C Erstellen Sie in der Domäne certbase.de eine neue globale Gruppe mit dem Namen Helpdesk-mitarbeiter. Nehmen Sie die Benutzerkonten der Helpdeskmitarbeiter in die neue Gruppe auf. Nehmen Sie die Gruppe Helpdeskmitarbeiter in allen drei Domänen in die Gruppe Konten-Operatoren auf.

D Erstellen Sie in der Domäne certbase.de eine neue globale Gruppe mit dem Namen Helpdesk-mitarbeiter. Nehmen Sie die Benutzerkonten der Helpdeskmitarbeiter in die neue Gruppe auf. Nehmen Sie die Gruppe Helpdeskmitarbeiter auf allen Mitgliedsservern in allen drei Domänen in die Gruppe Konten-Operatoren auf.


Korrekte Antwort: C

Erläuterungen:

Mitglieder der Gruppe Konten-Operatoren können Domänenbenutzer und -gruppenkonten ihrer Domäne verwalten. Antwort C stellt eine gängige Lösung zur Vergabe von domänenübergreifen-den Berechtigungen dar. Zukünftig muss lediglich die Mitgliedschaft in der globalen Gruppe Hel-pdeskmitarbeiter der Domäne certbase.de angepasst werden, um den Mitarbeitern die Möglich-keit zur Kontenverwaltung in allen drei Domänen zu ermöglichen.


Frage 76

Sie sind als Netzwerkadministrator für das Unternehmen CertBase tätig. Das Netzwerk enthält 50 Windows Server 2003 DNS-Server. Einer der DNS-Server hat den Namen Server1.

Auf Server1 wurden die administrativen Verwaltungstools (Adminpak.msi) installiert. Die Adminis-tratoren verwenden Clientcomputer mit dem Betriebssystem Windows 7. Die Administratoren verwalten die DNS-Server, indem sie Remotedesktopverbindungen mit Server1 herstellen.

Sie ersetzen die 50 DNS-Server durch neue Computer auf denen Windows Server 2008 R2 Server-core ausgeführt wird. Die Windows Server 2008 R2 Servercore Computer haben die Rolle DNS-Server installiert.

Sie müssen die Administration der neuen DNS-Server planen. Die Administratoren müssen die Serverrolle DNS-Server mit Hilfe einer Microsoft Management Konsole (MMC) verwalten.

Wie gehen Sie vor?

A Verwenden Sie ein Gruppenrichtlinienobjekt (GPO) und verteilen Sie die Windows PowerShell an alle Administratoren.

B Verwenden Sie ein Gruppenrichtlinienobjekt (GPO) und verteilen Sie die administrativen Ver-waltungstools (Adminpak.msi) an alle Administratoren.

C Ermöglichen Sie den Administratoren den Remotezugriff auf die Windows Server 2008 R2 Servercore Server.

D Ermöglichen Sie den Administratoren den Remotezugriff auf einen Windows Server 2008 R2 Computer, auf dem die Remote Server Administration Tools (RSAT) installiert sind.


Korrekte Antwort: D

Erläuterungen:

Die Microsoft Remoteserver-Verwaltungstools (RSAT) stellen den Nachfolger der administrativen Verwaltungstools (Adminpak.msi) dar, die unter Windows Server 2003 bzw. Windows XP Profes-sional genutzt wurden. IT-Administratoren können Rollen und Features in Windows Server 2008 und Windows Server 2008 R2 remote von einem Computer aus verwalten, dessen Betriebssystem Windows Vista mit Service Pack 1 (SP1) oder höher ist. Im Unterschied zum Adminpak besteht die Installation der RSAT aus zwei Schritten. Nach der Installation der Tools müssen die einzelnen Konsolen über die Option Windows-Funktionen separat aktiviert werden.

Unter Windows Server 2008 und Windows Server 2008 R2 können die Komponenten der Remo-teserver-Verwaltungstools unabhängig von den installierten Rollen und Features über die Fea-tureauswahl installiert werden, um einen Remoteserver zu verwalten.


Frage 77

Sie sind als Netzwerkadministrator für das Unternehmen CertBase tätig. Das Firmennetzwerk be-steht aus einer einzelnen Active Directory-Domänendienste Domäne mit dem Namen certbase.de. Das Netzwerk schließt eine Zweigstelle mit dem Namen Branch1 ein.

Die Zweigstelle Branch1 enthält einen Mitgliedsserver mit dem Namen Server1. Auf Server1 wird Windows Server 2008 R2 mit der Rolle Dateidienste ausgeführt.

Eine Organisationseinheit (OU) mit dem Namen Branch1-Server enthält die Computerkonten der Server der Zweigstelle. Eine globale Gruppe mit dem Namen Branch1-Admins enthält die Benut-zerkonten der Zweigstellenadministratoren. Die Zweigstellenadministratoren verwalten die frei-gegebenen Verzeichnisse auf den Servern der Zweigstelle.

Sie müssen sicherstellen, dass die Mitglieder der Gruppe Branch1-Admins Freigaben auf Server1 erstellen können.

Wie gehen Sie vor?

A Nehmen Sie die Gruppe Branch1-Admins in die lokale Gruppe Hauptbenutzer auf Server1 auf.

B Nehmen Sie die Gruppe Branch1-Admins in die lokale Gruppe Administratoren auf Server1 auf.

C Erteilen Sie der Gruppe Branch1-Admins die Berechtigung Vollzugriff - Zulassen für die Orga-nisationseinheit (OU) Branch1-Server.

D Erteilen Sie der Gruppe Branch1-Admins die Berechtigung für das Erstellen freigegebener Ver-zeichnisse für die


Korrekte Antwort: B

Erläuterungen:

Im Ordner Gruppen im MMC-Snap-In (Microsoft Management Console) Lokale Benutzer und Gruppen werden die lokalen Standardgruppen sowie die erstellten lokalen Gruppen angezeigt. Standardbenutzerkonten werden automatisch beim Installieren des Betriebssystems erstellt. Die Zugehörigkeit zu einer Gruppe gewährt einem Benutzer das Recht und die Möglichkeit, verschie-dene Aufgaben auf dem lokalen Computer auszuführen.

Mitglieder der Gruppe Administratoren verfügen über Vollzugriff auf den Computer und können Benutzern nach Bedarf Benutzerrechte und Zugriffssteuerungsberechtigungen zuweisen. Das Administratorkonto ist standardmäßig Mitglied dieser Gruppe. Wenn dieser Computer einer Do-mäne hinzugefügt wird, wird die Gruppe Domänen-Admins dieser Gruppe automatisch hinzuge-fügt. Da diese Gruppe über Vollzugriff auf den Computer verfügt, sollten Sie beim Hinzufügen von Benutzern zu der Gruppe mit Bedacht vorgehen.

Mitglieder der Gruppe Administratoren verfügen über folgende Standardbenutzerrechte:

Auf diesen Computer vom Netzwerk aus zugreifen Anpassen der Arbeitsspeicherquoten für einen Prozess Lokal anmelden zulassen Anmelden über Terminaldienste zulassen Sichern von Dateien und Verzeichnissen Auslassen der durchsuchenden Überprüfung Ändern der Systemzeit Ändern der Zeitzone Erstellen einer Auslagerungsdatei Globale Objekte erstellen Erstellen symbolischer Verknüpfungen Debuggen von Programmen Erzwingen des Herunterfahrens von einem Remotesystem Identitätswechsel eines Clients nach der Authentifizierung Anheben der Zeitplanungspriorität Laden und Entfernen von Gerätetreibern Anmelden als Stapelverarbeitungsauftrag Verwalten von Überwachungs- und Sicherheitsprotokollen Ändern der Umgebungsvariablen für Firmware Ausführen von Volumewartungsaufgaben Erstellen eines Profils für einen Einzelprozess Erstellen eines Profils der Systemleistung Entfernen des Computers aus der Dockingstation Wiederherstellen von Dateien und Verzeichnissen Herunterfahren des Systems Übernehmen des Besitzes an Dateien und Objekten

Hauptbenutzer

Standardmäßig haben Mitglieder der Gruppe Hauptbenutzer nicht mehr Benutzerrechte oder Berechtigungen als ein Standardbenutzerkonto. Die Gruppe Hauptbenutzer diente in vorherigen Windows-Versionen dazu, Benutzern bestimmte Administratorrechte und -berechtigungen zu geben, um allgemeine Systemaufgaben ausführen zu können. In dieser Windows-Version können Standardbenutzerkonten von vornherein die meisten allgemeinen Konfigurationsaufgaben aus-führen, darunter auch das Ändern von Zeitzonen. Bei älteren Anwendungen, die dieselben Hauptbenutzerrechte und -berechtigungen erfordern wie in vorherigen Versionen von Windows, können Administratoren eine Sicherheitsvorlage anwenden, die der Gruppe Hauptbenutzer die-selben Rechte und Berechtigungen erteilt wie in vorherigen Versionen von Windows.

Frage 78

Sie sind steht auDer relevauf die S

Die Orgader Führkräfte un

Verk Buch EntwSie erstemit der O

Benutzeden Befelungen v

Sie müssDialog A

Wie geh

A Konf

B Aktiv

C Konf

D Ersteterhanisat

8

als Netzwers einer einzevante AusscSchaltfläche

anisationseinrungskräfte. nd die folge

kauf hhaltung wicklung ellen ein neuOU Mitarbe

r, die Mitglieehl Ausführevon GPO1 ve

sen sichersteAusführen im

hen Sie vor?

figurieren Si

vieren Sie di

figurieren Si

ellen Sie einealb der OU Mtionseinheit.

rkadministraelnen Activehnitt der AcZeichnung)

nheit (OU) PDie Organisnden global

ues Gruppeniter.

ed der Grupen aus dem erursacht wi

ellen, dass dm Startmenü

e GPO1 so,

e Option Ve

e die Sicherh

e neue unterMitarbeiter. .

tor für das U Directory-Dtive Director.

ersonal enthsationseinheen Gruppen

richtlinienob

pe EntwickluStartmenü z

ird.

ie Mitgliedeü erhalten.

dass die Ein

ererbung dea

heitsfilterung

rgeordnete OVerschieben

UnternehmeDomänendiery Domäne w

hält alle Beneit Leitung en sowie die K

bjekt (GPO) m

ung sind, bezu öffnen. S

er der global

stellungen e

aktivieren fü

g von GPO1

Organisationn Sie die glo

Plan

en CertBase tnste Domänwird in der A

utzerkontennthält die BeKonten der d

mit dem Nam

erichten, dasie stellen fes

en Gruppe E

erzwungen w

ür die Organ

für die glob

nseinheit mibale Gruppe

nning for Se

tätig. Das Fine mit dem NAbbildung g

n, bis auf dieenutzerkontedarin enthalt

men GPO1 u

ss sie nicht inst, dass dies

Entwicklung

werden.

isationseinhe

bale Gruppe

t dem Namee Entwicklun

erver Mana

rmennetzweNamen certbezeigt (klick

e Benutzerkoen der Führutenen Benut

und verknüp

n der Lage sdurch die E

Zugriff auf

eit Leitung.

e Entwicklun

en Entwicklung in die neu

agement

erk be-base.de. ken Sie

onten ungs-tzer:

pfen es

sind, instel-

den

g.

ung un-ue Orga-


Korrekte Antwort: C

Erläuterungen:

Die Sicherheitsfilterung eines Gruppenrichtlinienobjekts legt fest von welchen Benutzern bzw. Computern die Einstellungen des GPO übernommen werden. Ein Benutzer bzw. eine Gruppe be-nötigt zumindest die Berechtigungen Lesen - Zulassen und Gruppenrichtlinie übernehmen - Zulassen, damit die Einstellungen angewendet werden können. Standardmäßig sind diese Be-rechtigungen der Gruppe authentifizierte Benutzer zugewiesen. Über die erweiterte Delegierung können einer einzelnen Gruppe Berechtigungen auch verweigert werden so, dass sie von den Einstellungen des GPO nicht länger betroffen sind.


Frage 79

Sie sind als Netzwerkadministrator für das Unternehmen CertBase tätig. Das Firmennetzwerk be-steht aus einer einzelnen Active Directory-Domänendienste Domäne mit dem Namen certbase.de.

Sie müssen sicherstellen, dass Supporttechniker Gruppenrichtlinienobjekte (GPOs) in der Domäne erstellen können.

Sie müssen den Supporttechnikern ein GPO zur Verfügung stellen, das die vorkonfigurierten Ein-stellungen enthält, die als Basis für neue GPOs verwendet werden sollen.

Wie gehen Sie vor?

A Konfigurieren Sie die Berechtigungen für das Sysvol Verzeichnis.

B Nehmen Sie die Supporttechniker in die Gruppe Richtlinien-Ersteller-Besitzer auf. Erstellen Sie ein neues Starter-Gruppenrichtlinienobjekt.

C Nehmen Sie die Supporttechniker in die Gruppe Konten-Operatoren auf. Delegieren Sie admi-nistrative Berechtigungen für den Container Users und erstellen Sie eine neue *.adml Datei.

D Nehmen Sie die Supporttechniker in die Gruppe Konten-Operatoren auf. Delegieren Sie admi-nistrative Berechtigungen für die Organisationseinheit (OU) Domain Controllers und erstellen Sie eine neue *.admx Datei.


Korrekte Antwort: B

Erläuterungen:

Mitglieder der Gruppe Richtlinien-Ersteller-Besitzer können Gruppenrichtlinien für die Domäne erstellen und ändern.

Starter-Gruppenrichtlinienobjekte werden von einem Gruppenrichtlinienobjekt abgeleitet und ermöglichen das Speichern einer Sammlung von Richtlinieneinstellungen für administrative Vorla-gen in einem einzelnen Objekt. Starter-Gruppenrichtlinienobjekte können importiert und expor-tiert und somit problemlos in anderen Umgebungen verteilt werden. Beim Erstellen eines neuen Gruppenrichtlinienobjekts aus einem Starter-Gruppenrichtlinienobjekt verfügt das neue Gruppen-richtlinienobjekt über alle Richtlinieneinstellungen für administrative Vorlagen sowie über die da-zugehörigen Werte, die im Starter-Gruppenrichtlinienobjekt definiert wurden.


Frage 80

Sie sind als Netzwerkadministrator für das Unternehmen CertBase tätig. Das Firmennetzwerk be-steht aus einer einzelnen Active Directory-Domänendienste Domäne mit dem Namen certbase.de. Die Funktionsebene der Domäne ist mit Windows Server 2008 festgelegt. Die Domäne enthält 200 Windows Server 2008 R2 Computer.

Sie müssen eine Lösung für die Überwachung planen, die den folgenden Anforderungen ent-spricht:

Wenn auf einem der Server ein Anwendungsfehler auftritt, soll eine E-Mail Benachrichtigung an einen Administrator gesendet werden.

Ihre Lösung soll einen möglichst geringen administrativen Aufwand erfordern. Wie gehen Sie vor?

A Erstellen Sie auf einem Server Ereignisabonnements für alle anderen Server. Binden Sie einen Task an das Ereignis Anwendungsfehler.

B Erstellen Sie auf einem Server einen Sammlungssatz für eine Ereignisablaufverfolgungssitzung. Erstellen Sie auf allen anderen Servern einen Sammlungssatz vom Typ System Performance (Systemleistung).

C Erstellen Sie auf allen Servercomputern Ereignisabonnements für einen ausgewählten Server. Binden Sie auf allen Servern einen Task an das Ereignis Anwendungsfehler.

D Erstellen Sie auf allen Servern einen Sammlungssatz vom Typ System Performance (System-leistung). Konfigurieren Sie auf einem Server die Berichterstellung für den neuen Sammlungs-satz.


Korrekte Antwort: A

Erläuterungen:

Mit der Ereignisanzeige können Sie Ereignisse auf einem einzelnen Computer betrachten. Bei der Problembehandlung kann es jedoch erforderlich sein, eine Reihe von Ereignissen zu untersuchen, die in verschiedenen Protokollen auf verschiedenen Computern gespeichert sind.

Windows 7 und Windows Server 2008 R2 bieten die Möglichkeit, Kopien der Ereignisse von meh-reren Remotecomputern zu sammeln und lokal zu speichern. Um anzugeben, welche Ereignisse gesammelt werden sollen, erstellen Sie ein Ereignisabonnement. Neben anderen Einzelheiten gibt das Abonnement genau an, welche Ereignisse gesammelt und in welchem Protokoll sie lokal ge-speichert werden. Sobald ein Abonnement aktiv ist und die Ereignisse gesammelt werden, kön-nen Sie diese weitergeleiteten Ereignisse wie lokal gespeicherte Ereignisse betrachten und bear-beiten.

Um die Ereignissammlungsfunktion verwenden zu können, müssen Sie sowohl die weiterleiten-den als auch die sammelnden Computer konfigurieren. Diese Funktionalität stützt sich auf den Windows-Remoteverwaltungsdienst (WinRM) und den Windows-Ereignissammlungsdienst (Wecsvc). Beide Dienste müssen auf den Computern ausgeführt werden, die an diesem Weiterlei-tungs- und Sammlungsprozess teilnehmen.

Sie können einen Task einrichten, der dann ausgeführt wird, wenn ein Ereignis mit bestimmten Kriterien aufgezeichnet wird.

So lassen Sie einen Task als Reaktion auf ein Ereignis ausführen

1. Starten Sie die Ereignisanzeige. 2. Wechseln Sie in der Konsolenstruktur zu dem Protokoll, das das gewünschte Ereignis enthält. 3. Klicken Sie mit der rechten Maustaste auf das Ereignis, und wählen Sie Task an dieses Ereignis

anfügen aus. 4. Führen Sie jeden Schritt des Assistenten für die Erstellung einfacher Tasks aus.


Frage 81

Sie sind als Netzwerkadministrator für das Unternehmen CertBase tätig. Das Unternehmen hat eine Hauptgeschäftsstelle und eine Zweigstelle. Alle Domänenadministratoren haben Ihren Ar-beitsplatz in der Hauptgeschäftsstelle. Zwei Supporttechniker arbeiten in der Zweigstelle.

Sie planen die Installation eines neuen Windows Server 2008 R2 Computers für die Zweigstelle.

Sie müssen eine Lösung für die Administration des neuen Windows Server 2008 R2 Computers entwerfen. Ihre Lösung muss den folgenden Anforderungen entsprechen:

Die Supporttechniker sollen die Möglichkeit erhalten, Serverrollen zu installieren. Die Supporttechniker sollen die Möglichkeit erhalten, Dienste zu beenden und zu starten. Die Sicherheitsprivilegien der Supporttechniker sollen minimiert werden. Wie gehen Sie vor?

A Nehmen Sie die Supporttechniker in die Gruppe Domänen-Admins auf.

B Nehmen Sie die Supporttechniker in die Gruppe der Administratoren auf dem neuen Windows Server 2008 R2 Computer auf.

C Konfigurieren Sie eingeschränkte Registrierungs-Agenten auf dem neuen Windows Server 2008 R2 Computer. Erstellen Sie eine Liste mit Berechtigungen für die Supporttechniker.

D Verschieben Sie das Computerkonto des neuen Windows Server 2008 R2 Computers in eine neue Organisationseinheit (OU). Erteilen Sie den Supporttechnikern Berechtigungen, um Ob-jekte in der Organisationseinheit zu bearbeiten.


Korrekte Antwort: B

Erläuterungen:

Wir können einen schreibgeschützten Domänencontroller (RODC) für die Zweigstelle installieren und die neuen Funktionen zur Aufteilung der Administratorrolle verwenden, um den Support-technikern die erforderlichen Rechte auf dem Zweigstellenserver zu gewähren. Die Supporttech-niker erhalten in diesem Fall keine Rechte in der gesamten Domänen.

Aufteilung der Administratorrolle

Die Aufteilung der Administratorrolle bedeutet, dass jeder Domänenbenutzer oder jede Sicher-heitsgruppe als lokaler Administrator eines RODC eingesetzt werden kann, ohne dass dem Benut-zer oder der Gruppe Rechte für die Domäne oder andere Domänencontroller erteilt werden müs-sen. Ein delegierter Administrator kann sich an einem RODC anmelden, um Wartungsarbeiten auf dem Server auszuführen, z. B. um einen Treiber zu aktualisieren. Der delegierte Administrator ist jedoch nicht in der Lage, sich an einem anderen Domänencontroller anzumelden oder andere Verwaltungsaufgaben in der Domäne auszuführen. Auf diese Weise kann die effektive Verwal-tung des RODCs einer Zweigstelle an eine Sicherheitsgruppe aus Zweigstellenbenutzern anstatt an einzelne Mitglieder der Gruppe Domänen-Admins delegiert werden, ohne die Sicherheit der restlichen Domäne zu gefährden.


Frage 82

Sie sind als Netzwerkadministrator für das Unternehmen CertBase tätig. Das Firmennetzwerk be-steht aus einer einzelnen Active Directory-Domänendienste Domäne mit dem Namen certbase.de. Alle Benutzerkonten sind in einer Organisationseinheit (OU) mit dem Namen Mitarbeiter abgelegt. Die Domäne enthält eine globale Gruppe mit dem Namen PersoAdmins.

Sie müssen die Delegierung administrativer Berechtigungen nach den folgenden Anforderungen planen:

Mitglieder der Gruppe PersoAdmins müssen Benutzerkonten in der Organisationseinheit Mit-arbeiter erstellen.

Mitglieder der Gruppe PersoAdmins müssen die Attribute für persönliche Informationen und Telefon- und Postoptionen für bestehende Benutzerkonten ändern können.

Mitglieder der Gruppe PersoAdmins müssen daran gehindert werden, Kennwörter für beste-hende Benutzerkonten zurückzusetzen.

Wie gehen Sie vor?

A Verschieben Sie die Gruppe PersoAdmins in die Organisationseinheit Domain Controllers.

B Nehmen Sie die Gruppe PersoAdmins in die Gruppe Konten-Operatoren auf.

C Führen Sie den Assistenten zum Zuweisen der Objektverwaltung für die Organisationseinheit Mitarbeiter aus.

D Erstellen Sie eine neue Organisationseinheit (OU) mit dem Namen Perso. Verschieben Sie die Gruppe PersoAdmins in die neue OU und führen Sie anschließend den Assistenten zum Zuwei-sen der Objektverwaltung für die Organisationseinheit Perso aus.


Korrekte Antwort: C

Erläuterungen:

Der Assistent zum Zuweisen der Objektverwaltung ermöglicht das Delegieren von detailierten Berechtigungen für Benutzer oder Gruppen auf ausgewählte Objekte innerhalb einer Organisati-onseinheit.

Delegieren der Verwaltung einer Organisationseinheit

Als Mindestanforderung zum Ausführen dieses Verfahrens ist die Mitgliedschaft in Konten-Operatoren, Domänen-Admins oder Organisations-Admins bzw. in einer vergleichbaren Gruppe erforderlich.

So delegieren Sie die Verwaltung einer Organisationseinheit:

1. Klicken Sie zum Öffnen von Active Directory-Benutzer und -Computer auf Start, klicken Sie auf Systemsteuerung, doppelklicken Sie auf Verwaltung, und doppelklicken Sie dann auf Acti-ve Directory-Benutzer und -Computer.

2. Klicken Sie in der Konsolenstruktur mit der rechten Maustaste auf die Organisationseinheit (Organizational Unit, OU), für die die Verwaltung delegiert werden soll.

3. Klicken Sie auf Objektverwaltung zuweisen, um den Assistenten zum Zuweisen der Objekt-verwaltung zu starten, und folgen Sie dann den Anweisungen des Assistenten.

Frage 83

Sie sind steht auDie Konfche Zeic

Jeder Stadienste Ressourc

Sie müssfolgende

Die Verb

Die ServNetz

Ihre Was we

A Eineverw

B Einegie v

C Einelogie

D EineTopo

3

als Netzwers einer einzefiguration d

chnung).

andort verfüinstalliert istcen.

sen die Dateen Anforder

Dateien innebindung an aDateien inne

vercomputerzlaufwerk wPlanung murden Sie in I

n eigenständwendet.

n domänenbverwendet.

n eigenstände verwendet

n domänenbologie verwe

rkadministraelnen Activees Netzwerk

ügt über einet. Ein Server

enverfügbarkrungen berüc

erhalb des Vallen Standoerhalb des Vrs in allen Zweiterhin verwuss den Datehre Planung

digen DFS N

basierten DF

digen DFS Nt.

basierten DFendet.

tor für das U Directory-D

ks wird in de

en Windowsder Hauptge

keit des Verzcksichtigen:

Verzeichnisseorten verfügbVerzeichnisseweigstellen vwenden könenverkehr übg einbeziehe

Namespace,

FS Namespac

Namespace,

FS Namespac

Plan

UnternehmeDomänendieer Abbildung

s Server 200eschäftsstell

zeichnisses R

es Ressourcebar sein. es Ressourceverfügbar seinnen. ber die WANn?

der die DFS-

ce, der die D

der die DFS-

ce, der die D

nning Appli

en CertBase tnste Domän

g dargestellt

08 R2 Compue hostet ein

Ressourcen p

en müssen a

en müssen ain. Die Benu

N-Verbindun

-Replikation

DFS-Replikat

-Replikation

DFS-Replikat

ication and

tätig. Das Fine mit dem N

(klicken Sie

uter, auf deme Freigabe m

planen. Ihre

uch bei Ausf

uch bei Ausftzer müssen

gen möglich

mit einer Fu

ion mit eine

mit einer Hu

ion mit eine

d Data Prov

rmennetzweNamen certbauf die Sch

m die Rolle Dmit dem Nam

Planung mu

fall einer WA

fall eines einn das besteh

hst gering ha

ull-Mesh Top

er Full-Mesh

ub-und-Spo

er Hub-und-S

visioning

erk be-base.de. altflä-

Datei-men

uss die

AN-

nzelnen ende

alten.

pologie

Topolo-

ke Topo-

Spoke


Korrekte Antwort: D

Erläuterungen:

Wenn Sie einen Namespace erstellen, müssen Sie einen eigenständigen Namespace oder einen domänenbasierten Namespace auswählen. Im vorliegenden Fall sollen die Dateien auch bei Aus-fall eines Dateiservers verfügbar bleiben, ohne dass der Pfad zur Freigabe verändert werden muss. Dies wird ausschließlich durch einen domänenbasierten Namespace unterstützt.

Wir können das Netzlaufwerk über einen domänenbasierten Pfad in der Form \\Domänenname\Stammname einbinden. Fällt der nächstgelegene DFS-Server aus, wird automa-tisch ein Fallback auf den nächst verfügbaren Server durchgeführt.

Replikationstopologie

Die Replikationstopologie besteht aus den logischen Verbindungen, mit denen bei der DFS-Replikation Dateien zwischen Servern repliziert werden. Beachten Sie beim Auswählen einer To-pologie, dass zwischen den ausgewählten Mitgliedern bidirektionale Verbindungen erstellt wer-den. Diese beiden Verbindungen ermöglichen den Datenfluss in beide Richtungen.

Die folgenden beiden Topologien werden unterstützt:

Hub-und-Spoke Für diese Topologie sind mindestens drei Mitglieder erforderlich. Wählen Sie für jedes Spokemitglied ein erforderliches Hubmitglied und aus Gründen der Redundanz ein optionales zweites Hubmitglied aus. Durch diesen optionalen Hub wird sichergestellt, dass Spokemitglieder auch dann replizieren können, wenn eines der Hubmitglieder nicht zur Ver-fügung steht. Wenn Sie zwei Hubmitglieder angeben, besteht zwischen den Hubmitgliedern eine Full-Mesh-Topologie.

Full-Mesh In dieser Topologie wird jedes Mitglied mit allen anderen Mitgliedern der Replika-tionsgruppe repliziert. Diese Topologie eignet sich gut, wenn die Replikationsgruppe maximal zehn Mitglieder hat.


Frage 84


Das Netzwerk enthält 100 Server und 5000 Clientcomputer. Auf den Clientcomputern wird ent-weder Windows XP Professional Service Pack 1 (SP1) oder Windows Vista ausgeführt.

Sie müssen eine Lösung für den VPN-Zugriff auf das Netzwerk planen. Ihre Lösung muss den fol-genden Anforderungen entsprechen:

VPN Kennwörter müssen als verschlüsselter Text gespeichert werden. Ihre Lösung muss Suite-B Kryptografieeinstellungen und Hashing unterstützen. Ihre Lösung muss die automatische Zertifikatsregistrierung unterstützen. Ihre Lösung muss Clientcomputer unterstützen, die als Mitglied einer Arbeitsgruppe konfigu-

riert sind. Wie gehen Sie vor?

A Aktualisieren Sie die Clientcomputer auf Windows XP Professional Service Pack 2 (SP2). Im-plementieren Sie eine eigenständige Zertifizierungsstelle (CA) und eine IPSec basierte VPN-Lösung, die zertifikatsbasierte Authentifizierung unterstützt.

B Aktualisieren Sie die Clientcomputer auf Windows XP Professional Service Pack 2 (SP2). Im-plementieren Sie eine Unternehmenszertifizierungsstelle (CA) auf Basis von Windows Server 2008 R2 und eine VPN-Lösung, die Kerberos Authentifizierung verwendet.

C Aktualisieren Sie die Clientcomputer auf Windows Vista. Implementieren Sie eine Unterneh-menszertifizierungsstelle (CA) auf Basis von Windows Server 2008 R2 und eine VPN-Lösung, die vorinstallierte Schlüssel (Pre Shared Keys, PSKs) verwendet.

D Aktualisieren Sie die Clientcomputer auf Windows Vista. Implementieren Sie eine Unterneh-menszertifizierungsstelle (CA) auf Basis von Windows Server 2008 R2 und eine VPN-Lösung, die zertifikatsbasierte Authentifizierung unterstützt.


Korrekte Antwort: D

Erläuterungen:

Microsoft-Zertifizierungsstellen unterstützen drei Arten von Zertifikatvorlagen: Version 1, Version 2 und Version 3. Die erforderlichen Features werden von Zertifikatvorlagen der Version 3 unter-stützt. Für diesen Vorlagentyp ist eine Windows Server 2008 oder Windows Server 2008 R2 Zerti-fizierungsstelle erforderlich.

Zertifizierungsstellen, die auf Servern unter Windows Server 2003, Standard Edition oder Windows 2000 Server eingerichtet sind, unterstützen nur Vorlagen der Version 1. Zertifizierungs-stellen, die auf Servern unter Windows Server 2003, Enterprise Edition oder Windows Server 2003 Datacenter Edition eingerichtet sind, unterstützen Vorlagen der Versionen 1 und 2. Zertifi-zierungsstellen, die auf Servern unter Windows Server 2008 eingerichtet sind, unterstützen alle drei Versionen. Darüber hinaus können Zertifikatvorlagen der Version 3 nur von Clients auf Com-putern unter Windows Server 2008 und höher oder Windows Vista und höher verwendet wer-den.


Zertifikatvorlagen der Version 1 werden aus Gründen der Abwärtskompatibilität bereitgestellt und unterstützen allgemeine Anforderungen bei der Antragstellerzertifizierung. Sie werden bei der Installation einer Zertifizierungsstelle standardmäßig erstellt und können nicht geändert oder ent-fernt werden. Wenn Sie eine Vorlage der Version 1 duplizieren, wird das Duplikat zu einer Vorla-ge der Version 2 oder 3, die verändert werden kann.


Zertifikatvorlagen der Version 2 ermöglichen die Anpassung der meisten Einstellungen in der Vor-lage. In der Standardkonfiguration werden verschiedene vorkonfigurierte Vorlagen der Version 2 bereitgestellt, und Sie können bei Bedarf weitere hinzufügen. Dadurch können Administratoren die Konfiguration völlig flexibel anpassen.


Zertifikate der Version 3 ermöglichen Administratoren das Hinzufügen erweiterter Suite B-Kryptografieeinstellungen zu Zertifikaten. Suite B enthält erweiterte Optionen für Verschlüsse-lung, digitale Signaturen, Schlüsselaustausch und Hashing. Zertifikate, die auf Zertifikatvorlagen der Version 3 basieren, können nur von Zertifizierungsstellen ausgestellt werden, die auf Servern unter Windows Server 2008 installiert sind, und auf Clients unter Windows Server 2008 oder Windows Vista verwendet werden.


Frage 85

Sie sind als Netzwerkadministrator für das Unternehmen CertBase tätig. Das Unternehmen hat eine Zweigstelle. Die Zweigstelle enthält einen Windows Server 2008 R2 Computer, auf dem die Windows Server Update Services (WSUS) ausgeführt werden. Der WSUS Server ist so konfiguriert, dass Updates lokal gespeichert werden.

Das Unternehmen eröffnet vier neue Satellitenstandorte, die jeweils über eine dedizierte WAN-Verbindung mit der Zweigstelle verbunden sind. Der Internetzugang wird ausschließlich über die Zweigstelle zur Verfügung gestellt.

Sie müssen eine Lösung für das Patchmanagement der Satellitenstandorte entwerfen. Ihre Lösung muss den folgenden Anforderungen entsprechen:

Updates müssen für jeden Satellitenstandort separat genehmigt werden. Der Datenverkehr mit dem Internet muss minimiert werden. Wie gehen Sie vor?

A Installieren Sie in jedem Satellitenstandort einen WSUS Server. Konfigurieren Sie die WSUS Server der Satellitenstandorte jeweils als autonome Server.

B Installieren Sie in jedem Satellitenstandort einen WSUS Server. Konfigurieren Sie die WSUS Server der Satellitenstandorte jeweils als Replikatserver des WSUS Servers der Zweigstelle.

C Installieren Sie in jedem Satellitenstandort einen WSUS Server. Konfigurieren Sie die WSUS Server der Satellitenstandorte jeweils so, dass der WSUS Server der Zweigstelle als Upstream-server verwendet wird.

D Erstellen Sie für jeden Satellitenstandort eine neue Organisationseinheit (OU). Erstellen und verknüpfen Sie neue Gruppenrichtlinienobjekte (GPOs) mit den Organisationseinheiten. Konfi-gurieren Sie unterschiedliche Zeitpläne für das Herunterladen von Updates von dem WSUS Server der Zweigstelle auf die Clientcomputer der Satellitenstandorte.


Korrekte Antwort: C

Erläuterungen:

Ein Downstreamserver ist ein WSUS-Server, der Updatedateien, Metadaten und Genehmigungen von einem anderen, Upstreamserver genannten WSUS-Server empfängt. Wir können die Downstreamserver der Satellitenstandorte so konfigurieren, dass die Updates vom WSUS Server der Zweigstelle heruntergeladen werden und auf jedem Downstreamserver separat für die Client-computer des Standortes genehmigt werden.


Frage 86

Sie sind als Netzwerkadministrator für das Unternehmen CertBase tätig. Das Firmennetzwerk ent-hält eine eigenständige Stammzertifizierungsstelle (CA). Sie administrieren einen Windows Server 2008 R2 Computer mit dem Namen Server1.

Sie stellen ein Serverzertifikat für Server1 aus und implementieren das Secure Socket Tunneling Protokoll (SSTP) auf Server1.

Sie müssen eine Lösung entwerfen, die es externen Partnern ermöglicht, Zugriff auf interne Netzwerkressourcen über das SSTP-Protokoll zu erhalten.

Wie gehen Sie vor?

A Implementieren Sie den Netzwerkzugriffsschutz (Network Access Protection, NAP) im Netz-werk.

B Verteilen Sie das Zertifikat der Stammzertifizierungsstelle auf die Computer der externen Part-ner.

C Implementieren Sie den Rollendienst Remotedesktop-Verbindungsbroker.

D Konfigurieren Sie die Firewall für das Zulassen von eingehendem Datenverkehr über Port 1723 TCP.


Korrekte Antwort: B

Erläuterungen:

SSTP (Secure Socket Tunneling-Protokoll) stellt einen neuen VPN-Tunneltyp (virtuelles privates Netzwerk) dar, dessen Features es ermöglichen, dass Datenverkehr Firewalls passiert, die den PPTP- und L2TP/IPsec-Datenverkehr blockieren. SSTP bietet einen Mechanismus zur Kapselung von PPP-Datenverkehr über den SSL-Kanal des HTTPS-Protokolls. Die Verwendung von PPP er-möglicht die Unterstützung starker Authentifizierungsmethoden wie EAP-TLS. Die Verwendung von HTTPS bedeutet, dass der Datenverkehr über den TCP-Port 443 erfolgt, einen Port, der übli-cherweise für den Webzugriff verwendet wird. SSL (Secure Sockets Layer) bietet TLS (Transport Level Security) mit verbesserter Schlüsselaushandlung, Verschlüsselung und Integritätsprüfung.

Um das SSTP Protokoll für VPN Verbindungen verwenden zu können, müssen Sie zuvor ein Com-puterzertifikats auf dem SSTP-Server (Secure Socket Tunneling-Protokoll) installieren und das Stammzertifizierungsstellen-Zertifikats auf den SSTP-VPN-Clientcomputern installieren. Wenn die Clientcomputer das Zertifikat des VPN-Servercomputers nicht als vertrauenswürdig einstufen, kann keine VPN-Verbidnung hergestellt werden.


Frage 87

Sie sind als Netzwerkadministrator für das Unternehmen CertBase tätig. Das Firmennetzwerk be-steht aus einer einzelnen Active Directory-Domänendienste Domäne mit dem Namen certbase.de. Die Domäne enthält Windows Server 2008 R2 Servercomputer und Domänencontroller sowie Windows 7 Clientcomputer.

Sie müssen eine Lösung für den Netzwerkzugriff planen, die den folgenden Anforderungen ent-spricht:

Ausschließlich Clientcomputer, die über aktuelle Service Packs verfügen, dürfen Zugriff auf das Netzwerk erhalten.

Alle Clientcomputer, die der Vorgabe nicht entsprechen müssen auf eine bestimmte Website geleitet werden.

Was werden Sie in Ihre Planung einbeziehen?

A Das Implementieren der Active Directory-Rechteverwaltungsdienste (AD RMS).

B Die Server- und Domänenisolation.

C Das Implementieren des Netzwerkzugriffsschutzes (NAP).

D Das Implementieren der Windows Server Update Services (WSUS).


Korrekte Antwort: C

Erläuterungen:

Netzwerkzugriffsschutz (Network Access Protection, NAP) ist eine Technologie zu Erstellung, Er-zwingung und Wartung von Integritätsrichtlinien für Clients. NAP ist in das Clientbetriebssystem Windows Vista und in das Betriebssystem Windows Server 2008 integriert. Mithilfe von NAP kön-nen Systemadministratoren Integritätsrichtlinien erstellen und automatisch erzwingen, die Soft-wareanforderungen, Sicherheitsupdateanforderungen, erforderliche Computerkonfigurationen und weitere Einstellungen enthalten können. Der Netzwerkzugriff kann für Clientcomputer, die die Integritätsrichtlinien nicht erfüllen, eingeschränkt werden, bis ihre Konfiguration aktualisiert wird und sie die Richtlinien erfüllen. Je nachdem, für welche Art der NAP-Bereitstellung Sie sich entscheiden, werden nicht konforme Clients automatisch aktualisiert, damit die Benutzer schnell wieder vollen Netzwerkzugriff erhalten, ohne ihre Computer manuell zu aktualisieren oder neu zu konfigurieren.


Frage 88

Sie sind als Netzwerkadministrator für das Unternehmen CertBase tätig. Das Firmennetzwerk be-steht aus einer einzelnen Active Directory-Domänendienste Domäne mit dem Namen certbase.de. Auf allen Servercomputern wird das Betriebssystem Windows Server 2008 R2 ausgeführt. Auf einem Servercomputer mit dem Namen Server1 sind die Remotedesktopdienste installiert.

Sie stellen fest, dass mehrere Benutzer über den Tag verteilt jeweils mehr als 30 Prozent der Pro-zessorressourcen beanspruchen.

Sie müssen verhindern, dass Benutzer mehr als 15 Prozent der Prozessorressourcen verbrauchen. Die Administratoren sollen in der Nutzung der Prozessorzeit nicht limitiert werden.

Wie gehen Sie vor?

A Implementieren Sie den Windows-Systemressourcen-Manager (WSRM) und konfigurieren Sie die Ressourcenzuweisungsrichtlinie pro Benutzer.

B Implementieren Sie den Windows-Systemressourcen-Manager (WSRM) und konfigurieren Sie die Ressourcenzuweisungsrichtlinie pro Sitzung.

C Konfigurieren Sie die Zuverlässigkeits- und Leistungsüberwachung und erstellen Sie einen be-nutzerdefinierten Sammlungssatz.

D Konfigurieren Sie die Zuverlässigkeits- und Leistungsüberwachung und erstellen Sie einen Sammlungssatz vom Typ Ereignisablaufverfolgungssitzung.


Korrekte Antwort: A

Erläuterungen:

Mit dem Windows-Systemressourcen-Manager für das Betriebssystem Windows Server 2008 können Sie die Prozessor- und Speicherauslastung auf dem Server mit standardmäßigen oder benutzerdefinierten Ressourcenrichtlinien verwalten. Durch Verwalten von Ressourcen wird si-chergestellt, dass alle von einem einzelnen Server bereitgestellten Dienste in gleichem Umfang zur Verfügung stehen oder dass für Anwendungen, Dienste oder Benutzer mit einer hohen Priorität immer Ressourcen verfügbar sind.


Features des Windows-Systemressourcen-Managers


Sie können Systemressourcen (Prozessor und Speicher) mit vorkonfigurierten Richtlinien ver-walten oder benutzerdefinierte Richtlinien erstellen, die einzelnen Prozessen, Benutzern oder IIS-Anwendungspools Ressourcen zuweisen.


Sie können Ressourcenrichtlinien automatisch nach Servereigenschaften und Ereignissen (wie Clusterereignissen oder Bedingungen) oder Änderungen am installierten physischen Speicher oder der Anzahl von Prozessoren auswählen.


Der Windows-Systemressourcen-Manager enthält vier integrierte Ressourcenverwaltungsrichtli-nien, mit denen Sie auf schnelle Weise eine Verwaltung implementieren können. Außerdem kön-nen Sie benutzerdefinierte Ressourcenverwaltungsrichtlinien gemäß Ihren eigenen Anforderungen erstellen.

Integrierte Ressourcenverwaltungsrichtlinien

Durch Auswählen des zu verwendenden Richtlinientyps können Sie integrierte Ressourcenverwal-tungsrichtlinien aktivieren. Es ist keine weitere Konfiguration erforderlich.

Gleich pro Prozess

Wenn die Ressourcenzuweisungsrichtlinie Equal_Per_Process das System verwaltet, wird jeder aktive Prozess gleich behandelt. Wenn beispielsweise ein Server, auf dem zehn Prozesse ausge-führt werden, eine Prozessorauslastung von 70 Prozent erreicht, schränkt der Windows-Systemressourcen-Manager jeden Prozess so ein, dass er während der Konkurrenzsituation 10 Prozent der Prozessorressourcen verwendet. Beachten Sie, dass Ressourcen, die von Prozessen mit geringer Auslastung nicht verwendet werden, anderen Prozessen zugeteilt werden.

Gleich pro Benutzer

Wenn die Ressourcenzuweisungsrichtlinie Equal_Per_User das System verwaltet, werden Prozesse nach dem Benutzerkonto gruppiert, unter dem sie ausgeführt werden, und jede dieser Prozess-gruppen wird dann gleich behandelt. Wenn beispielsweise vier Benutzer Prozesse auf dem Server ausführen, werden jedem Benutzer zum Ausführen seiner Prozesse 25 Prozent der Systemres-sourcen zugeordnet. Einem Benutzer, der nur eine einzige Anwendung ausführt, werden diesel-


ben Ressourcen zugeordnet wie einem Benutzer, der mehrere Anwendungen ausführt. Diese Richtlinie ist besonders für Anwendungsserver hilfreich.

Für Sitzung identisch

Wenn die Ressourcenzuweisungsrichtlinie Equal_Per_Session das System verwaltet, werden Res-sourcen gleichmäßig zwischen allen mit dem System verbundenen Sitzungen aufgeteilt. Diese Richtlinie ist besonders bei Terminalservern hilfreich.

Für IIS-Anwendungspool identisch

Wenn die Ressourcenzuweisungsrichtlinie Equal_Per_IISAppPool das System verwaltet, werden alle aktiven IIS-Anwendungspools gleich behandelt. Anwendungen, die sich nicht in einem IIS-Anwendungspool befinden, können nur Ressourcen verwenden, die nicht von IIS-Anwendungspools belegt sind.


Frage 89


Die Benutzer speichern ihre gesamten Dateien in ihrem Dokumente-Verzeichnis. Viele Benutzer speichern große Dateien.

Sie planen die Implementierung von servergespeicherten Benutzerprofilen für alle Benutzer mit Hilfe eines Gruppenrichtlinienobjektes (GPOs).

Sie müssen eine Lösung entwerfen, um die Zeiten für die An- und Abmeldung der Benutzer mit servergespeicherten Profilen zu minimieren.

Wie gehen Sie vor?

A Bearbeiten Sie das Gruppenrichtlinienobjekt (GPO) und konfigurieren Sie die Richtlinien für die Ordnerumleitung.

B Bearbeiten Sie das Gruppenrichtlinienobjekt (GPO) und konfigurieren Sie die Richtlinien für den intelligenten Hintergrundübertragungsdienst (Background Intelligent Transfer Service, BITS).

C Aktivieren Sie das Zwischenspeichern für die Freigabe, die die servergespeicherten Profile ent-hält.

D Installieren und konfigurieren Sie das Feature Background Intelligent Transfer Service (BITS) Servererweiterungen auf dem Server, der die servergespeicherten Profile bereitstellt.


Korrekte Antwort: A

Erläuterungen:

Wir können die Richtlinien für die Ordnerumleitung konfigurieren, um das Verzeichnis Dokumente aus den servergespeicherten Profilen auszuschließen und auf das Basisverzeichnis der Benutzer umzuleiten. Das Verzeichnis Dokumente wird in der Folge nicht mehr als Bestandteil des Profils zwischen Server- und Clientcomputer synchronisiert, wodurch die An- und Abmeldezeiten sich deutlich verbessern.


Frage 90

Sie sind als Netzwerkadministrator für das Unternehmen CertBase tätig. Das Unternehmen hat zwei Zweigstellen, die über eine WAN-Verbindung miteinander verbunden sind. Jeder der beiden Standorte enthält einen Windows Server 2008 R2 Computer, der als Dateiserver eingesetzt wird.

Die Benutzer beider Standorte speichern ihre Dateien jeweils auf ihrem lokalen Dateiserver. Die Benutzer haben Zugriff auf Daten des jeweils anderen Standortes.

Sie müssen eine Lösung für den Datenzugriff entwerfen, die den folgenden Anforderungen ent-spricht:

Verzeichnisse, die auf den Dateiservern gespeichert sind, müssen den Benutzern beider Standorte zur Verfügung stehen.

Die Auslastung der Bandbreite zwischen den Standorten muss minimiert werden. Die Benutzer müssen auch bei einem Ausfall der WAN-Verbindung zwischen den Standorten

Zugriff auf alle Dateien erhalten. Wie gehen Sie vor?

A Implementieren Sie auf beiden Dateiservern die DFS-Replikation (Distributed File System Repli-cation, DFSR)

B Installieren und konfigurieren Sie auf beiden Dateiservern den Ressourcen Manager für Datei-server (File Server Ressource Manager, FSRM) und den Dateireplikationsdienst (File Replication Service, FRS).

C Installieren und konfigurieren Sie den Ressourcen Manager für Dateiserver (File Server Res-source Manager, FSRM) auf einem der beiden Dateiserver. Installieren und konfigurieren Sie den Dateireplikationsdienst (File Replication Service, FRS) auf dem anderen Dateiserver.

D Installieren und konfigurieren Sie das verteilte Dateisystem (Distributed File System, DFS) auf einem der beiden Dateiserver. Installieren und konfigurieren Sie den intelligenten Hintergrund-übertragungsdienst (Background Intelligent Transfer Service, BITS) auf dem anderen Server.


Korrekte Antwort: A

Erläuterungen:

Bei der DFS-Replikation handelt es sich um ein effizientes Replikationsmodul mit mehreren Mas-tern, mit dem Ordner zwischen Servern über Netzwerkverbindungen mit begrenzter Bandbreite fortlaufend synchronisiert werden können. Damit wird der Dateireplikationsdienst (File Replication Service, FRS) als Replikationsmodul für DFS-Namespaces ersetzt sowie für die Replikation des Ordners SYSVOL der Active Directory-Domänendienste (Active Directory Domain Services, AD DS) in Domänen, für die mindestens die Windows Server 2008-Domänenfunktionsebene verwendet wird.


Frage 91

Sie sind als Netzwerkadministrator für das Unternehmen CertBase tätig. Das Firmennetzwerk be-steht aus einer einzelnen Active Directory-Domänendienste Domäne mit dem Namen certbase.de. Das Netzwerk enthält 100 Windows Server 2008 R2 Computer und 5000 Windows 7 Clientcom-puter.

Sie planen die Verteilung mehrerer neuer Anwendungen auf die Clientcomputer. Ihre Lösung muss die folgenden Anforderungen berücksichtigen:

Anwendungen dürfen nur auf Clientcomputern installiert werden, die die Mindesthardware-voraussetzungen erfüllen.

Die Verteilung der Anwendungen muss so geplant werden, dass sie außerhalb der Geschäfts-zeiten stattfindet.

Es müssen detailierte Berichte über den Erfolg bzw. den Misserfolg der Verteilung bereitge-stellt werden.

Wie gehen Sie vor?

A Verteilen Sie die Anwendungen mit Hilfe von Gruppenrichtlinienobjekten (GPOs).

B Implementieren Sie die Windows Server Update Services (WSUS).

C Implementieren Sie Microsoft System Center Operations Manager (SCOM) 2007 R2.

D Implementieren Sie Microsoft System Center Configuration Manager (SCCM) 2007 R2.


Korrekte Antwort: D

Erläuterungen:

Microsoft System Center Configuration Manager (SCCM) ist eine auf die Softwareverteilung spe-zialisierte Serversoftware. Dabei bietet der SCCM dem Administrator ein "Push-Verfahren" an, mit dem die Clients Software automatisch geliefert bekommen und diese nicht erst abfragen müssen.


Frage 92

Sie sind als Netzwerkadministrator für das Unternehmen CertBase tätig. Das Firmennetzwerk be-steht aus einer einzelnen Active Directory-Domänendienste Domäne mit dem Namen certbase.de. Das Netzwerk enthält 100 Server- und 5000 Clientcomputer. Auf allen Servercomputern ist das Betriebssystem Windows Server 2008 R2 installiert. Auf allen Clientcomputern werden Windows 7 und Microsoft Office Outlook 2010 ausgeführt.

Die Marketingabteilung benötigt Zugriff auf Outlook 2003, um eine branchenspezifische Anwen-dung nutzen zu können.

Sie müssen die Softwarebereitstellung für die Marketingabteilung planen. Ihre Lösung muss den folgenden Anforderungen entsprechen:

Die Mitarbeiter der Marketingabteilung benötigen Zugriff auf Outlook 2003 und Outlook 2010.

Konflikte zwischen Outlook 2003 und Outlook 2010 müssen verhindert werden. Bis zu 50 konkurrierende Sitzungen müssen unterstützt werden. Der zusätzliche Schulungsaufwand muss minimiert werden. Wie gehen Sie vor?

A Installieren Sie Outlook 2003 auf einem Servercomputer. Aktivieren Sie den Remotedesktop auf dem Server.

B Verwenden Sie ein Gruppenrichtlinienobjekt (GPO) und weisen Sie Outlook 2003 allen Compu-tern der Marketingabteilung zu.

C Verteilen Sie ein Microsoft Application Compatibility Toolkit (ACT) Shim an alle Computer der Marketingabteilung.

D Konfigurieren Sie auf einem Servercomputer die Rolle Remotedesktopdienste. Installieren Sie Outlook 2003 auf dem Remotedesktop-Sitzungshost und veröffentlichen Sie Outlook 2003 als RemoteApp-Programm.


Korrekte Antwort: D

Erläuterungen:

Mithilfe von RemoteApp können Sie festlegen, dass sich Programme, auf die remote über die Remotedesktopdienste zugegriffen wird, so verhalten, als ob sie auf dem lokalen Computer des Endbenutzers ausgeführt werden würden. Diese Programme werden als RemoteApp-Programme bezeichnet. Anstatt auf dem Desktop des Host für Remotedesktopsitzungen-Server angezeigt zu werden, wird das RemoteApp-Programm in den Desktop des Clients integriert. Das RemoteApp-Programm wird in einem eigenen Fenster mit veränderbarer Größe ausgeführt, kann von einem Bildschirm in einen anderen Bildschirm gezogen werden und verfügt über einen eigenen Eintrag in der Taskleiste. Wenn ein Benutzer mehr als ein RemoteApp-Programm auf demselben Host für Remotedesktopsitzungen-Server ausführt, nutzen die RemoteApp-Programme dieselbe Remote-desktopdienste-Sitzung.

Microsoft Application Compatibility Toolkit (ACT) Shim

Als Shim wird allgemein ein kleines Stück Software bezeichnet, das der Behebung von Kompatibi-litätsproblemen zwischen Windows und einer Anwendung dient.


Frage 93

Sie sind als Netzwerkadministrator für das Unternehmen CertBase tätig. Das Firmennetzwerk be-steht aus einer einzelnen Active Directory-Domänendienste Domäne mit dem Namen certbase.de. Auf allen Servercomputern wird das Betriebssystem Windows Server 2008 R2 ausgeführt. Auf allen Clientcomputern wird Windows XP Professional Service Pack 1 (SP1) ausgeführt.

Sie planen die Implementierung des verteilten Dateisystems (Distributed File System, DFS) so, dass die nachstehenden Anforderungen erfüllt werden:

Fehlertoleranz für den Fall, dass ein einzelner Server ausfällt. Sicherstellen, dass Clientcomputer sich erneut mit ihrem bevorzugten Server verbinden, nach-

dem ein Serverausfall behoben wurde. Minimierung der Betriebskosten. Wie gehen Sie vor?

A Implementieren Sie einen domänenbasierten DFS-Namespace und fügen Sie einen zweiten Namespaceserver hinzu. Aktivieren Sie die Option Clientfailback zu bevorzugten Zielen und aktualisieren Sie alle Clientcomputer auf Windows 7.

B Implementieren Sie einen eigenständigen DFS-Namespace. Erstellen Sie Ordner und fügen Sie mehrere Ordnerziele hinzu. Aktivieren Sie die Option Clientfailback zu bevorzugten Zielen und aktualisieren Sie alle Clientcomputer auf Windows 7.

C Implementieren Sie einen domänenbasierten DFS-Namespace und fügen Sie einen zweiten Namespaceserver hinzu. Aktivieren Sie die Option Clientfailback zu bevorzugten Zielen und aktualisieren Sie alle Clientcomputer auf Windows XP Service Pack 2 (SP2).

D Implementieren Sie einen eigenständigen DFS-Namespace. Erstellen Sie Ordner und fügen Sie mehrere Ordnerziele hinzu. Aktivieren Sie die Option Clientfailback zu bevorzugten Zielen und aktualisieren Sie alle Clientcomputer auf Windows XP Service Pack 2 (SP2).


Korrekte Antwort: C

Erläuterungen:

Ein Verweis ist eine sortierte Zielliste, die ein Clientcomputer von einem Domänencontroller oder Namespaceserver empfängt, wenn der Benutzer auf einen Namespacestamm oder Ordner mit Zielen im Namespace zugreift. Nachdem der Client den Verweis empfangen hat, versucht der Client, auf das erste Ziel in der Liste zuzugreifen. Wenn das Ziel nicht verfügbar ist, versucht der Client, auf das nächste Ziel zuzugreifen. Wenn ein Ziel nicht mehr zur Verfügung steht, können Sie Clients so konfigurieren, dass ein Failback zum Ziel ausgeführt wird, wenn es wiederherge-stellt ist.

Die folgenden Betriebssysteme bieten eine vollständige Unterstützung für DFS-Namespaces, ein-schließlich der Unterstützung für Clientfailback zum bevorzugten Ordnerziel:

Windows Server 2008 Windows Server 2008 R2 Windows Vista Windows 7 Windows Server 2003 R2 Windows Storage Server 2003 R2 Windows Server 2003 mit SP2 oder SP1 und dem Windows Server 2003-Clientfailbackhotfix Windows XP Professional mit SP3 oder SP2 und dem Windows XP-Clientfailbackhotfix


Frage 94

Sie sind als Netzwerkadministrator für das Unternehmen CertBase tätig. Sie planen die Installation von Windows Server 2008 Servercore auf 10 neuen Servercomputern. Die Server werden aus-schließlich über die Ports 80 TCP und 443 TCP erreichbar sein.

Sie müssen die Administration der neuen Server gemäß den folgenden Anforderungen planen:

Administratoren müssen die Möglichkeit erhalten, Serverrollen remote zu installieren und zu administrieren.

Administratoren müssen in der Lage sein, die Server vollständig remote zu verwalten. Wie gehen Sie vor?

A Verwenden Sie auf allen Servercomputern das Befehlszeilenprogramm Oclist.exe.

B Verwenden Sie auf allen Servercomputern das Befehlszeilenprogramm Ocsetup.exe.

C Aktivieren Sie auf allen Servercomputern die Unterstützung für Remotedesktopverbindungen.

D Aktivieren Sie auf allen Servercomputern die Unterstützung für Windows Remote Management (WinRM).


Korrekte Antwort: D

Erläuterungen:

Bei Windows 2008 Server besteht die Option, das Betriebssystem ohne eine grafische Schnittstel-le – als so genannte Server Core-Version – zu betreiben. Dabei stehen dem Administrator aller-dings so gut wie keine grafischen Tools zur Verfügung, und viele Dienste sind standardmäßig gar nicht aktiv. Zum Beispiel fehlt auch das DotNet-Framework auf dem System. Das reduziert die Angriffsfläche des Systems.

Üblicherweise wollen die Administratoren den Remote Desktop aktivieren, wenn die Basiskonfi-guration des Servers passt. Doch beim Server Core bedarf es einer Alternativen. Denn ein derarti-ges System kann grob geschätzt etwa 95 Prozent aller GUI-basierten Applikationen gar nicht lau-fen lassen. Daher scheidet in der Regel das Aktivieren des Remote Desktops aus. Unter Windows Server 2008 und Windows Vista bietet sich eine interessante Option an: die sichere remote Kommando-Shell Winrs.

Dieses Tool erfordert kein Öffnen der fünf üblicherweise gefährdeten Ports (TCP 135, 139 und 445 sowie UDP 137 und 138). Winrs läuft über Port 80 – sprich es verwendet praktisch das HTTP – genauer gesagt die zugehörige sichere Variante: HTPS. Dazu muss Winrs aber auf das relative neue Windows Remote Management Protokoll (WinRM) zurückgreifen – das sowohl der Windows Server 2008 als auch Windows Vista unterstützen. Aktivieren lässt sich WinRM über die Eingabe von:

winrm quickconfig -quiet


Frage 95

Sie sind als Netzwerkadministrator für das Unternehmen CertBase tätig. Das Netzwerk enthält einen DNS-Server, der unter Windows Server 2008 R2 Servercore ausgeführt wird. Die Domänen-administratoren verwenden Clientcomputer, auf denen Windows 7 installiert ist.

Sie müssen eine Lösung empfehlen, die es den Administratoren ermöglicht, den DNS-Serverdienst von Ihren Clientcomputern aus zu administrieren.

Wie gehen Sie vor?

A Legen Sie den Starttyp des Dienstes Windows-Remoteverwaltung auf dem DNS-Server mit Automatisch fest.

B Installieren Sie die Remote Server Administration Tools (RSAT) auf den Windows 7 Clientcom-putern.

C Führen Sie auf den Windows 7 Clientcomputern den Befehl Setup.exe /u von einem Windows Server 2008 R2 Installationsmedium aus.

D Erstellen Sie auf den Windows 7 Clientcomputern eine benutzerdefinierte Microsoft Manage-ment Konsole (MMC). Nehmen Sie das Snap-In Komponentendienste in die neue Konsole auf.


Korrekte Antwort: B

Erläuterungen:

Mit den Microsoft Remoteserver-Verwaltungstools (RSAT) können IT-Administratoren Rollen und Features in Windows Server 2008 und Windows Server 2008 R2 remote von einem Computer aus verwalten, dessen Betriebssystem Windows Vista mit Service Pack 1 (SP1) oder höher ist. Die Re-moteserver-Verwaltungstools stellen den Nachfolger der unter Windows Server 2003 / Windows XP Professional verwendeten administrativen Verwaltungstools (Adminpak.msi) dar.


Frage 96

Sie sind als Netzwerkadministrator für das Unternehmen CertBase tätig. Das Netzwerk umfasst mehrere Zweigstellen. Auf allen Servercomputern ist das Betriebssystem Windows Server 2008 R2 installiert. Jeder Unternehmensstandort enthält einen Dateiserver und einen Domänencontroller.

Auf den Domänencontrollern der Zweigstellen wurde die Serverrolle DHCP-Server installiert. Jede Zweigstelle hat einen eigenen Zweigstellenadministrator.

Sie müssen die Administration der DHCP-Server nach den folgenden Anforderungen delegieren:

Die Zweigstellenadministratoren sollen die Möglichkeit erhalten, Adressbereiche für ihren jeweiligen Standort zu verwalten.

Die Zweigstellenadministratoren müssen daran gehindert werden, Adressbereiche anderer Standorte zu administrieren.

Der administrative Aufwand für Ihre Lösung soll so gering wie möglich ausfallen. Wie gehen Sie vor?

A Nehmen Sie die Zweigstellenadministratoren in die Gruppe Server-Operatoren der Domäne auf.

B Nehmen Sie die Zweigstellenadministratoren in die Gruppe Netzwerkkonfigurations-Operatoren der Domäne auf.

C Migrieren Sie die Rolle DHCP-Server in allen Zweigstellen auf den Dateiserver. Nehmen Sie in jeder Zweigstelle den Zweigstellenadministrator in die lokale Gruppe DHCP-Administratoren auf dem Dateiserver auf.

D Migrieren Sie die Rolle DHCP-Server in allen Zweigstellen auf den Dateiserver. Nehmen Sie die Zweigstellenadministratoren in die Gruppe DHCP-Administratoren der Domäne auf.


Korrekte Antwort: C

Erläuterungen:

Mitglieder der domänenlokalen Gruppe DHCP-Administratoren haben Administratorrechte auf alle DHCP Server der Domäne. Mitglieder der lokalen Gruppe DHCP-Administratoren eines spezifi-schen Servercomputers haben Administratorrechte für den DHCP-Dienst des jeweiligen Servers.


Frage 97

Sie sind als Netzwerkadministrator für das Unternehmen CertBase tätig. Das Firmennetzwerk be-steht aus einer einzelnen Active Directory-Domänendienste Domäne mit dem Namen certbase.de. Das Netzwerk umfasst eine Zweigstelle mit dem Namen Kiel. Die Zweigstelle enthält 50 Mit-gliedsserver, auf denen das Betriebssystem Windows Server 2008 R2 ausgeführt wird.

Eine Organisationseinheit (OU) mit dem Namen Kiel-Server enthält die Computerkonten der Ser-ver des Standortes Kiel. Eine globale Gruppe mit dem Namen Kiel-Admins enthält die Benutzer-konten der Administratoren. Die Administratoren verwalten alle Server der Zweigstelle Kiel.

Sie müssen sicherstellen, dass die Mitglieder der Gruppe Kiel-Admins die folgenden Aufgaben auf den Mitgliedsservern der Zweigstelle Kiel ausführen können:

Beenden und starten von Diensten Bearbeiten von Registrierungseinträgen Wie gehen Sie vor?

A Nehmen Sie die Gruppe Kiel-Admins auf allen Servern der Zweigstelle Kiel in die lokale Gruppe Hauptbenutzer auf.

B Nehmen Sie die Gruppe Kiel-Admins auf allen Servern der Zweigstelle Kiel in die lokale Gruppe Administratoren auf.

C Erteilen Sie der Gruppe Kiel-Admins die Berechtigungen Lesen - Zulassen und Schreiben - Zu-lassen für die Organisationseinheit Kiel-Server und alle untergeordneten Objekte.

D Erteilen Sie der Gruppe Kiel-Admins die Berechtigung Vollzugriff - Zulassen für die Organisati-onseinheit Kiel-Server und alle untergeordneten Objekte.


Korrekte Antwort: B

Erläuterungen:

Um den Mitgliedern der globalen Domänengruppe Kiel-Admins die gewünschten Berechtigungen auf den Mitgliedsservern zu erteilen, können wir die Domänengruppe auf allen Mitgliedsserver in die lokale Gruppe Administratoren aufnehmen. Dies gewährt den Mitgliedern der Gruppe Kiel-Admins volle administrative Berechtigungen auf den Mitgliedsservern, ohne ihnen Berechtigun-gen innerhalb des Active Directory oder für andere Computer zu erteilen.

Die lokale Gruppe Hauptbenutzer ist aus Gründen der Rückwärtskompatibilität unter Windows Server 2008 R2 eingeschlossen. Mitglieder dieser Gruppe besitzen eingeschränkte administrative Rechte, die für die erforderlichen Aufgaben jedoch nicht ausreichen.


Frage 98

Sie sind als Netzwerkadministrator für das Unternehmen CertBase tätig. Das Firmennetzwerk be-steht aus einer einzelnen Active Directory-Domänendienste Domäne mit dem Namen certbase.de. Die Domäne enthält eine Top-Level Organisationseinheit (OU) mit dem Namen Buchhaltung.

Alle Computer- und Benutzerkonten der Buchhaltungsabteilung befinden sich in der Organisati-onseinheit Buchhaltung.

Sie müssen die Verteilung einer neuen Finanzsoftware planen. Ausschließlich Benutzer der Buch-haltungsabteilung sollen diese Anwendung erhalten.

Was werden Sie in Ihre Planung einschließen?

A Die Implementierung von Windows Server Update Services (WSUS).

B Das Verknüpfen eines neuen Gruppenrichtlinienobjekts (GPOs) mit der Organisationseinheit Buchhaltung.

C Die Implementierung von Microsoft System Center Operations Manager (SCOM).

D Die Implementierung des Rollendienstes Remotedesktop-Verbindungsbroker.


Korrekte Antwort: B

Erläuterungen:

Wir können ein Gruppenrichtlinienobjekt (GPO) verwenden, um die Anwendung über die Soft-wareverteilung im Abschnitt Benutzerkonfiguration an die Benutzer der Buchhaltungsabteilung zu verteilen. Hierzu ist es erforderlich ein Gruppenrichtlinienobjekt mit der Organisationseinheit Buchhaltung zu verknüpfen und entsprechend zu konfigurieren.


Frage 99

Sie sind als Netzwerkadministrator für das Unternehmen CertBase tätig. Das Firmennetzwerk be-steht aus einer einzelnen Active Directory-Domänendienste Domäne mit dem Namen certbase.de. Das Netzwerk enthält fünf Windows Server 2008 R2 Computer. Die Servercomputer werden für die Bereitstellung von Webanwendungen eingesetzt.

Sie müssen eine Lösung für die Remoteverwaltung der Webserver planen. Ihre Planung muss die folgenden Anforderungen berücksichtigen:

Webentwickler müssen die Möglichkeit erhalten, Features für Websites zu konfigurieren. Webentwickler müssen daran gehindert werden, vollständige administrative Kontrolle über

die Webserver zu erlangen. Wie gehen Sie vor?

A Konfigurieren Sie Request Filtering auf jedem Webserver.

B Konfigurieren Sie auf jedem Webserver Autorisierungsregeln für die Webentwickler.

C Verwenden Sie ein Gruppenrichtlinienobjekt (GPO) und konfigurieren Sie die Internet Explorer Sicherheitseinstellungen für alle Webentwickler.

D Nehmen Sie die Benutzerkonten der Webentwickler in die Gruppe Konten-Operatoren der Domäne auf.


Korrekte Antwort: B

Erläuterungen:

Mit Hilfe von Autorisierungsregeln kann festgelegt werden, welche Benutzer den Internetinfor-mationsdienste-Manager verwenden dürfen, um sich zu Verwaltungszwecken mit dem Webserver zu verbinden. Allgemeine Einstellungen lassen sich dabei auf Serverebene festlegen und für ein-zelne Websites auf Websiteebene ergänzen oder überschreiben. Dieses Feature ist neu in IIS 7.0 und IIS 7.5 und ermöglicht neben der Verwendung von lokalen- und Domänenbenutzerkonten auch die Verwendung von IIS-Manager-Benutzerkonten, die speziell zu diesem Zweck in Interne-tinformationsdienste-Manager erstellt werden können.


Frage 100

Sie sind als Netzwerkadministrator für das Unternehmen CertBase tätig. Das Unternehmen hat eine Hauptgeschäftsstelle und eine Zweigstelle. Das Firmennetzwerk besteht aus einer einzelnen Active Directory-Domänendienste Domäne mit dem Namen certbase.de. Auf allen Domänencon-trollern ist das Betriebssystem Windows Server 2008 R2 installiert.

Alle Benutzer der Hauptgeschäftsstelle verwenden die englischsprachige Version von Windows 7. Alle Benutzer der Zweigstelle verwenden die spanische Version von Windows 7.

Sie planen die Konfiguration benutzerdefinierter Anwendungseinstellungen mit Hilfe eines Grup-penrichtlinienobjekts (GPOs).

Sie müssen die Verwaltung von Gruppenrichtlinien nach den folgenden Anforderungen planen:

Administratoren sollen das Gruppenrichtlinienobjekt in ihrer eigenen Sprache einsehen und bearbeiten können.

Die Anzahl der verwendeten Gruppenrichtlinienobjekte soll minimiert werden. Wie gehen Sie vor?

A Erstellen Sie eine ADM Datei. Konfigurieren Sie das Gruppenrichtlinienobjekt (GPO) und ver-knüpfen Sie es mit der Domäne.

B Erstellen Sie ADMX und ADML Dateien. Konfigurieren Sie das Gruppenrichtlinienobjekt (GPO) und verknüpfen Sie es mit der Domäne.

C Konfigurieren Sie ein Starter-Gruppenrichtlinienobjekt und verknüpfen Sie es mit dem Standort der Hauptgeschäftsstelle. Sichern Sie das Starter-Gruppenrichtlinienobjekt und importieren Sie es in ein neues Gruppenrichtlinienobjekt, das mit dem Standort der Zweigstelle verknüpft ist.

D Installieren Sie das englische und das spanische Sprachpaket auf allen Domänencontrollern. Konfigurieren Sie ein Gruppenrichtlinienobjekt und verknüpfen Sie es mit dem Standort der Hauptgeschäftsstelle. Sichern Sie das Gruppenrichtlinienobjekt und importieren Sie es in ein neues Gruppenrichtlinienobjekt, das mit dem Standort der Zweigstelle verknüpft ist.


Korrekte Antwort: B

Erläuterungen:

Windows 7 und Windows Server 2008 R2 ermöglichen die Verwendung mehrerer XML-basierter Sprachdateien (ADML Dateien) in Verbindung mit administrativen Vorlagen (ADMX Dateien). Die Gruppenrichtlinienverwaltungskonsole erkennt automatisch die verwendete Sprache des Betriebs-systems und lädt die entsprechende Sprachdatei für die Anzeige und Beschreibung der Richtli-nien. Auf diese Weise kann ein einzelnes Gruppenrichtlinienobjekt bzw. die enthaltenen Richtli-nien auf unterschiedlichen Systemen in den jeweils konfigurierten Sprachen angezeigt und bear-beitet werden.


Frage 101

Sie sind als Netzwerkadministrator für das Unternehmen CertBase tätig. Das Firmennetzwerk be-steht aus einer einzelnen Active Directory-Domänendienste Domäne mit dem Namen certbase.de. Die Funktionsebene der Domäne ist mit Windows Server 2008 festgelegt.

Eine Firmensicherheitsrichtlinie erfordert, dass Benutzer der Forschungsabteilung eine höhere Sicherheitsstufe für Konto- und Kennwortrichtlinien einhalten, als andere Benutzer der Domäne.

Sie müssen eine Lösung zur Einhaltung der Firmensicherheitsrichtlinie empfehlen. Ihre Lösung muss die Hardware- und Softwarekosten möglichst gering halten.

Wie gehen Sie vor?

A Erstellen Sie einen neuen Active Directory-Standort. Verknüpfen Sie ein Gruppenrichtlinienob-jekt (GPO) mit dem neuen Standort.

B Erstellen Sie eine neue abgestimmte Kennwortrichtlinie (Password Setting Objekt, PSO) für die Benutzer der Forschungsabteilung.

C Erstellen Sie in der bestehenden Domäne eine neue Organisationseinheit (OU) mit dem Namen Forschung. Verknüpfen Sie ein Gruppenrichtlinienobjekt (GPO) mit der neuen Organisations-einheit.

D Erstellen Sie eine neue Domäne in der bestehenden Gesamtstruktur. Migrieren Sie die Benut-zerkonten der Forschungsabteilung in die neue Domäne und konfigurieren Sie eine entspre-chende Sicherheitsrichtlinie für die neue Domäne.


Korrekte Antwort: B

Erläuterungen:

Mit dem Betriebssystem Windows Server 2008 / Windows Server 2008 R2 erhalten Organisatio-nen die Möglichkeit, verschiedene Kennwort- und Kontosperrungsrichtlinien für verschiedene Benutzergruppen in einer Domäne zu definieren. In Active Directory-Domänen von Microsoft Windows 2000 und Windows Server 2003 konnte nur eine Kennwortrichtlinie und Kontosper-rungsrichtlinie auf alle Benutzer in der Domäne angewendet werden. Diese Richtlinien wurden in der Standarddomänenrichtlinie für die Domäne angegeben. Daher mussten Organisationen, die verschiedene Kennwort- und Kontosperrungsrichtlinien für verschiedene Benutzergruppen ver-wenden wollten, einen Kennwortfilter erstellen oder mehrere Domänen bereitstellen. Beide Opti-onen sind aus unterschiedlichen Gründen aufwändig.

Sie können abgestimmte Kennwortrichtlinien verwenden, um mehrere Kennwortrichtlinien in einer einzigen Domäne anzugeben. Sie können abgestimmte Kennwortrichtlinien verwenden, um verschiedene Einschränkungen für Kennwort- und Kontosperrungsrichtlinien auf verschiedene Benutzergruppen in einer Domäne anzuwenden.

Sie können z. B. striktere Einstellungen für Konten mit höheren Berechtigungen und weniger strikte Einstellungen für die Konten anderer Benutzer anwenden. In anderen Fällen möchten Sie möglicherweise eine spezielle Kennwortrichtlinie auf Konten anwenden, deren Kennwörter mit anderen Datenquellen synchronisiert werden.

Abgestimmte Kennwortrichtlinien gelten nur für Benutzerobjekte (oder inetOrgPerson-Objekte, wenn sie anstelle von Benutzerobjekten verwenden werden) und globale Sicherheitsgruppen. Standardmäßig können nur Mitglieder der Gruppe Domänen-Admins abgestimmte Kennwort-richtlinien festlegen. Sie können die Fähigkeit zum Festlegen dieser Richtlinien jedoch auch an andere Benutzer delegieren. Die Domänenfunktionsebene muss Windows Server 2008 entspre-chen.

Abgestimmte Kennwortrichtlinien können nicht direkt auf eine Organisationseinheit angewendet werden. Zum Anwenden einer abgestimmten Kennwortrichtlinie auf Benutzer einer Organisati-onseinheit können Sie eine Schattengruppe verwenden.

Eine Schattengruppe ist eine globale Sicherheitsgruppe, die einer Organisationseinheit logisch zugeordnet ist, um eine abgestimmte Kennwortrichtlinie zu erzwingen. Sie fügen Benutzer der Organisationseinheit als Mitglieder der neu erstellten Schattengruppe hinzu und wenden dann die abgestimmte Kennwortrichtlinie auf diese Schattengruppe an. Sie können nach Bedarf zusätzliche Schattengruppen für andere Organisationseinheiten erstellen. Wenn Sie einen Benutzer von einer Organisationseinheit in eine andere verschieben, müssen Sie die Mitgliedschaft in den entspre-chenden Schattengruppen aktualisieren.

Speichern abgestimmter Kennwortrichtlinien

Zum Speichern abgestimmter Kennwortrichtlinien enthält Windows Server 2008 zwei neue Ob-jektklassen im AD DS-Schema (Active Directory Domain Services, Active Directory-Domänendienste):

Kennworteinstellungscontainer Kennworteinstellungen Ein Kennworteinstellungscontainer wird standardmäßig unterhalb des Systemcontainers in der Domäne erstellt. Sie können ihn mithilfe des Active Directory-Benutzer und -Computer-Snap-Ins anzeigen. Dabei müssen die erweiterten Features aktiviert sein. Dort werden die Kennworteinstel-lungsobjekte für die Domäne gespeichert.

Sie können diesen Container nicht umbenennen, verschieben oder löschen. Sie können zwar zu-sätzliche benutzerdefinierte Kennworteinstellungsobjekte erstellen, diese werden jedoch nicht berücksichtigt, wenn der Richtlinienergebnissatz für ein Objekt berechnet wird. Daher werden sie


nicht empfohlen.

Ein Kennworteinstellungsobjekt hat Attribute für alle Einstellungen, die in der Standarddomänen-richtlinie definiert werden können (mit Ausnahme von Kerberos-Einstellungen). Diese Einstellun-gen enthalten Attribute für die folgenden Kennworteinstellungen:

Kennwortchronik erzwingen Maximales Kennwortalter Minimales Kennwortalter Minimale Kennwortlänge Kennwort muss Komplexitätsvoraussetzungen entsprechen Kennwörter mit umkehrbarer Verschlüsselung speichern Diese Einstellungen enthalten außerdem Attribute für die folgenden Kontosperrungseinstellun-gen:

Kontosperrdauer Kontensperrungsschwelle Zurücksetzungsdauer des Kontosperrungszählers Außerdem hat ein Kennworteinstellungsobjekt die folgenden zwei neuen Attribute:

Kennworteinstellungsobjekt-Linkattribut. Dies ist ein Mehrfachwertattribut, das mit Benutzern und/oder Gruppenobjekten verknüpft ist.

Vorrangattribut. Dies ist ein ganzzahliger Wert, der zum Auflösen von Konflikten verwendet wird, wenn mehrere Kennworteinstellungsobjekte auf einen Benutzer oder ein Gruppenob-jekt angewendet sind.

Diese neun Attribute sind mustHave-Attribute. Das heißt, Sie müssen für jedes einen Wert definie-ren. Es ist nicht möglich, Einstellungen mehrerer Kennworteinstellungsobjekte zusammenzufüh-ren.

Abgestimmte Kennwortrichtlinien sind in allen Editionen von Windows Server 2008 verfügbar.


Frage 102

Sie sind als Netzwerkadministrator für das Unternehmen CertBase tätig. Das Unternehmen hat 20 Zweigstellen. Jede Zweigstelle enthält einen Windows Server 2008 R2 Dateiserver. Das Firmen-netzwerk besteht aus einer einzelnen Active Directory-Domänendienste Domäne mit dem Namen certbase.de.

Sie müssen eine Lösung für die Sicherung der Dateiserver planen. Ihre Sicherung muss den fol-genden Anforderungen entsprechen:

Unterstützung für geplante Sicherungen Unterstützung für die Wiederherstellung einzelner Dateien Unterstützung für die vollständige Wiederherstellung des Servercomputers Unterstützung für die dezentrale Steuerung von Sicherungs- und Wiederherstellungsvorgän-

gen Geringer administrativer Aufwand Wie gehen Sie vor?

A Konfigurieren Sie Volumeschattenkopien.

B Verwenden Sie Windows Server-Sicherung und sichern Sie auf DVD-Medien.

C Verwenden Sie Windows Server-Sicherung und sichern Sie auf ein externes USB-Laufwerk.

D Installieren Sie das Windows Recovery Disk Feature und erstellen Sie eine geplante Aufgabe für das Ausführen von Recdisc.exe.


Korrekte Antwort: C

Erläuterungen:


Mit der Windows Server-Sicherung können Sie Sicherungen für den lokalen Computer oder einen Remotecomputer erstellen und verwalten. Außerdem können Sie die automatische Ausführung von Sicherungen planen.


Frage 103

Sie sind als Netzwerkadministrator für das Unternehmen CertBase tätig. Das Firmennetzwerk be-steht aus einer einzelnen Active Directory-Domänendienste Domäne mit dem Namen certbase.de. Das Unternehmen hat mehrere Zweigstellen.

Jede Zweigstelle verfügt über Domänencontroller und Mitgliedsserver. Auf den Domänencontrol-lern wird Windows 2000 Server ausgeführt. Auf den Mitgliedsservern ist das Betriebssystem Windows Server 2008 R2 installiert.

Die physikalische Sicherheit der Server in den Zweigstellen ist von hoher Bedeutung.

Sie planen die Implementierung der BitLocker-Laufwerksverschlüsselung auf den Mitgliedsservern.

Sie müssen sicherstellen, dass Sie auch dann noch Zugriff auf die verschlüsselten Volumes erhal-ten, wenn die BitLocker Verschlüsselungsschlüssel der Mitgliedsserver korrupt sind. Die Wieder-herstellungsinformationen müssen an einem zentralen Ort gespeichert werden.

Wie gehen Sie vor?

A Aktualisieren Sie alle Domänencontroller auf Windows Server 2008 R2. Verwenden Sie ein Gruppenrichtlinienobjekt (GPO) und konfigurieren Sie Richtlinien für öffentliche Schlüssel.

B Aktualisieren Sie alle Domänencontroller auf Windows Server 2008 R2. Verwenden Sie ein Gruppenrichtlinienobjekt (GPO) und konfigurieren Sie die Richtlinie TPM-Sicherung in Active Directory-Domänendienste aktivieren.

C Aktualisieren Sie den Domänencontroller, der die Betriebsmasterrolle Schemamaster hält, auf Windows Server 2008 R2. Verwenden Sie ein Gruppenrichtlinienobjekt (GPO) und aktivieren Sie einen Datenwiederherstellungs-Agenten (DRA).

D Aktualisieren Sie den Domänencontroller, der die Betriebsmasterrolle primärer Domänencon-troller (PDC) hält, auf Windows Server 2008 R2. Verwenden Sie ein Gruppenrichtlinienobjekt (GPO) und aktivieren Sie einen Datenwiederherstellungs-Agenten (DRA).


Korrekte Antwort: B

Erläuterungen:

Die Richtlinie TPM-Sicherung in Active Directory-Domänendienste aktivieren ermöglicht das Ver-walten der Active Directory-Domänendienste-Sicherung (AD DS, Active Directory Domain Ser-vices) von TPM-Besitzerinformationen (Trusted Platform Module).

Die TPM-Besitzerinformationen umfassen einen kryptografischen Hash des TPM-Besitzerkennworts. Bestimmte TPM-Befehle können nur vom TPM-Besitzer ausgeführt werden. Dieser Hash autorisiert das TPM, diese Befehle auszuführen.

Wenn Sie diese Richtlinieneinstellung aktivieren, werden die TPM-Besitzerinformationen automa-tisch und im Hintergrund in AD DS gesichert, wenn Sie Windows verwenden, um das TPM-Besitzerkennwort festzulegen oder zu ändern.

Wenn Sie die Option "TPM-Sicherung in AD DS erforderlich" wählen, kann ein TPM-Besitzerkennwort nur dann festgelegt oder geändert werden, wenn der Computer mit einer Do-mäne verbunden ist und die AD DS-Sicherung erfolgreich ausgeführt wird. Diese Option ist stan-dardmäßig ausgewählt, um sicherzustellen, dass die TPM-Besitzerinformationen verfügbar sind. Andernfalls wird eine AD DS-Sicherung versucht, aber Netzwerk- oder andere Sicherungsfehler haben keinen Einfluss auf die TPM-Verwaltung. Die Sicherung wird nicht automatisch wiederholt, und die TPM-Besitzerinformationen wurden beim BitLocker-Setup möglicherweise nicht gespei-chert.

Wenn Sie diese Richtlinieneinstellung deaktivieren oder nicht konfigurieren, werden keine TPM-Besitzerinformationen in AD DS gesichert.

Hinweis: Sie müssen zuerst geeignete Schemaerweiterungen und Zugriffssteuerungseinstellungen in der Domäne einrichten, damit die AD DS-Sicherung erfolgreich ausgeführt werden kann.


Frage 104

Sie sind als Netzwerkadministrator für das Unternehmen CertBase tätig. Das Firmennetzwerk be-steht aus einer einzelnen Active Directory-Domänendienste Domäne mit dem Namen certbase.de. Auf allen Clientcomputern wird das Betriebssystem Windows 7 ausgeführt. Alle Anwendungen auf den Clientcomputern sind so konfiguriert, dass Dokumente im lokalen Ver-zeichnis Dokumente gespeichert werden.

Sie müssen eine Lösung für die Datensicherung planen. Ihre Lösung muss den folgenden Anforde-rungen entsprechen:

Sicherung des Verzeichnisses Dokumente von allen Benutzern Der administrative Aufwand muss so weit wie möglich reduziert werden Wie gehen Sie vor?

A Konfigurieren Sie System Center Operations Manager (SCOM) und verteilen Sie Agenten auf alle Clientcomputer.

B Verwenden Sie einen Windows Server 2008 R2 Servercomputer, führen Sie Windows Server-Sicherung aus und verbinden Sie sich mit jedem Clientcomputer.

C Verwenden Sie ein Gruppenrichtlinienobjekt (GPO) und konfigurieren Sie die Ordnerumleitung. Sichern Sie das Ziel der Ordnerumleitung.

D Erstellen Sie ein freigegebenes Verzeichnis auf einem Dateiserver. Konfigurieren Sie auf jedem Clientcomputer eine geplante Sicherung und speichern Sie die gesicherten Daten in das freige-gebene Verzeichnis.


Korrekte Antwort: C

Erläuterungen:

Mit der Ordnerumleitung können Sie den Speicherort bestimmter Ordner innerhalb von Benutzer-profilen zu einem neuen Speicherort umleiten, beispielsweise an eine freigegebene Netzwerkad-resse. Die Ordnerumleitung wird beim Verwalten von Benutzerprofilen und für servergespeicherte Benutzerprofile verwendet. Sie können die Ordnerumleitung mithilfe der Gruppenrichtlinien-Verwaltungskonsole konfigurieren, um bestimmte Benutzerprofilordner umzuleiten und Richtli-nieneinstellungen für die Ordnerumleitung zu bearbeiten.

Benutzereinstellungen und Benutzerdateien werden in der Regel im lokalen Benutzerprofil im Ordner Anwender gespeichert. Der Zugriff auf die Dateien in lokalen Benutzerprofilen kann nur vom aktuellen Computer erfolgen. Daher ist es für Benutzer mit mehr als einem Computer schwierig, mit den Daten zu arbeiten und die Einstellungen zwischen mehreren Computern zu synchronisieren. Dieses Problem kann mithilfe von zwei Technologien gelöst werden: serverge-speicherte Profile und Ordnerumleitung. Beide Technologien haben ihre Vorteile und können separat oder zusammen verwendet werden, um einen nahtlosen Übergang von einem Computer zu einem anderen Computer zu ermöglichen. Sie bieten außerdem weitere Optionen für Adminis-tratoren, die Benutzerdaten verwalten.

Mithilfe der Ordnerumleitung können Administratoren den Pfad eines Ordners an einen neuen Speicherort umleiten. Der Speicherort kann entweder ein Ordner auf dem lokalen Computer oder ein Verzeichnis in einer Netzwerkdateifreigabe sein. Benutzer haben die Möglichkeit, die Doku-mente auf einem Server so zu verwenden, als wenn die Dokumente sich auf einem lokalen Lauf-werk befänden. Die Dokumente im Ordner sind für die Benutzer auf jedem Computer im Netz-werk verfügbar. Die Ordnerumleitung befindet sich in der Konsolenstruktur unter Windows-Einstellungen, wenn die domänenbasierte Gruppenrichtlinie mithilfe der Gruppenrichtlinien-Verwaltungskonsole bearbeitet wird. Der Pfad lautet [Gruppenrichtlinienobjektna-me]\Benutzerkonfiguration\Richtlinien\Windows-Einstellungen\Ordnerumleitung.

Nachdem wir das lokale Verzeichnis Dokumente beispielsweise in das Basisverzeichnis der Domä-nenbenutzer umgeleitet haben, können die Dokumentverzeichnisse aller Benutzer über ein zent-rales Verzeichnis auf dem Server gesichert werden.


Frage 105

Sie sind als Netzwerkadministrator für das Unternehmen CertBase tätig. Sie planen die Installation einer verteilten Datenbankanwendung, die auf mehreren Windows Server 2008 R2 Servercompu-tern ausgeführt wird.

Sie müssen eine Speicherlösung entwerfen, die den folgenden Anforderungen entspricht:

Zuweisung von Speicherplatz an die Server bei Bedarf. Es soll die bestehende Netzwerkinfrastruktur verwendet werden. Es sollen die standardmäßigen Windows-Verwaltungstools verwendet werden. Die Datenverfügbarkeit muss auch bei Ausfall eines einzelnen Datenträgers sichergestellt sein. Wie gehen Sie vor?

A Verwenden Sie ein iSCSI Speichersubsystem, das Microsoft Multipfad E/A verwendet. Konfigu-rieren Sie ein RAID-0 Array.

B Verwenden Sie ein iSCSI Speichersubsystem, das den Dienst für virtuelle Datenträger (Virtual Disk Service, VDS) verwendet. Konfigurieren Sie ein RAID-5 Array.

C Verwenden Sie ein Fibre Channel (FC) Speichersubsystem, das Microsoft Multipfad E/A ver-wendet. Konfigurieren Sie das Speichersubsystem als RAID-0 Array.

D Verwenden Sie ein Fibre Channel (FC) Speichersubsystem, das den Dienst für virtuelle Daten-träger (Virtual Disk Service, VDS) verwendet. Konfigurieren Sie das Speichersubsystem als RAID-5 Array.


Korrekte Antwort: B

Erläuterungen:

Windows Server 2008 R2 enthält zahlreiche Verbesserungen für die Konnektivität von Computern unter Betriebssystemen der Windows Server-Klasse mit SAN-Geräten (Storage Area Networking).

Im Gegensatz zu einer Fibre Channel-Umgebung werden LUNs, die auf einem iSCSI-Datenträger-Speichersubsystem erstellt wurden, einem Server oder Cluster nicht direkt zugewiesen. Bei iSCSI werden LUNs zunächst logischen Entitäten zugewiesen, die Ziele genannt werden.

Ziele werden zum Verwalten der Verbindungen zwischen einem iSCSI-Gerät und den Servern, die auf das Gerät zugreifen müssen, erstellt. Ein Ziel definiert die Portale (IP-Adressen), über die eine Verbindung mit dem iSCSI-Gerät hergestellt werden kann. Außerdem definiert ein Ziel ggf. die Sicherheitseinstellungen, die das iSCSI-Gerät zum Authentifizieren der Server benötigt, die Zugriff auf die Ressourcen des iSCSI-Geräts anfordern.

Zum Herstellen der Verbindung mit einem Ziel verwenden Server in einem SAN (Storage Area Network) einen iSCSI-Initiator. Ein iSCSI-Initiator ist eine logische Entität, mit deren Hilfe der Ser-ver mit dem Ziel kommunizieren kann. Zunächst meldet sich der iSCSI-Initiator beim Ziel an. Wenn das Ziel den Zugriff gewährt hat, kann der Server mit Lese- und Schreibvorgängen in den LUNs beginnen, die diesem Ziel zugewiesen sind. Jeder iSCSI-Initiator kann über eine oder mehre-re Netzwerkkarten verfügen, über die kommuniziert wird.

Wie in Fibre Channel-Umgebungen müssen Sie nur den Server oder Cluster identifizieren, der auf die LUN zugreift. Der Speicher-Manager für SANs ermittelt die iSCSI-Initiatoren auf diesem Server oder Cluster automatisch und listet alle für diese Initiatoren verfügbaren Adapter auf. Nach dem Ermitteln der iSCSI-Initiatoradapter können Sie auswählen, welche Adapter für den LUN-Verkehr verwendet werden sollen.


Frage 106

Sie sind als Netzwerkadministrator für das Unternehmen CertBase tätig. Sie planen die Installation von neuen Dateiservern auf Basis von Windows Server 2008 R2.

Sie müssen sicherstellen, dass die Dateiserver die folgenden Anforderungen erfüllen:

Unterstützung für Volumes, die größer als 2 Terabyte (TB) sind. Der Datenzugriff muss auch bei Ausfall eines einzelnen Servercomputers gewahrt bleiben. Die Fehlertoleranz der Daten muss auch bei Ausfall eines einzelnen Datenträgers gewahrt

bleiben. Es muss eine maximale Datenträgerleistung erzielt werden. Wie gehen Sie vor?

A Implementieren Sie einen Zwei-Knoten-Failovercluster. Verbinden Sie ein externes Spei-chersubsystem und konfigurieren Sie das externe Speichersubsystem als RAID-10 Datenträger. Formatieren Sie das Array als GPT Datenträger.

B Implementieren Sie einen Zwei-Knoten-Failovercluster. Verbinden Sie ein externes Spei-chersubsystem und konfigurieren Sie das externe Speichersubsystem als RAID-1 Datenträger. Formatieren Sie das Array als MBR Datenträger.

C Installieren Sie einen Windows Server 2008 R2 Computer, der über ein internes Speicherarray mit Unterstützung für Microsoft Multipfad E/A verfügt. Konfigurieren Sie den internen Speicher als RAID-1 Datenträger. Formatieren Sie das Array als MBR Datenträger.

D Installieren Sie einen Windows Server 2008 R2 Computer. Verbinden Sie ein externes Spei-chersubsystem mit Unterstützung für Microsoft Multipfad E/A. Konfigurieren Sie das externe Speichersubsystem als RAID-0 Datenträger. Formatieren Sie das Array als GPT Datenträger.


Korrekte Antwort: A

Erläuterungen:

RAID steht für "Redundant Array of Independent Disks" und bezeichnet einen zusammenhängen-den Verbund einzelner Festplatten. Gebräuchlich ist auch die Bezeichnung "Redundant Array of Inexpensive Disks" - insbesondere dann, wenn günstige IDE-Laufwerke zum Einsatz kommen.

Im Vordergrund steht bei RAID die Redundanz: Die gleichen Daten sind auf verschiedenen Lauf-werken mehrfach vorhanden, um einem Datenverlust vorzubeugen.

Festplatten können in sehr unterschiedlicher Art und Weise zu einem Verbund zusammengefügt werden. Für jede Konfiguration gibt es eine eigene Bezeichnung, die so genannten RAID-Level. Insgesamt sind acht RAID-Level gebräuchlich: von RAID 0 bis 7. Hinzu kommen noch die Misch-formen RAID 10 und 0+1. Am Markt durchgesetzt haben sich RAID 0, 1, 5 sowie RAID 10 und 0+1.

Bei RAID 10, dem »Mirrored Striping Array«, handelt es sich um eine Kombination aus RAID 0 und RAID 1, die die Eigenschaften dieser beiden Level besitzt. Level 10 arbeitet mit vier Laufwerken, da Level 10 aus zwei Paaren gespiegelter Disk-Arrays besteht, die sich zu einem Level 0 zusam-menfassen lassen. Dieser Level ist speziell geeignet zur redundanten Speicherung großer Dateien.

GUID Partition Table (GPT)

GUID-Partitionstabelle, ist ein Standard für das Format von Partitionstabellen auf Festplatten oder anderen Datenträgern. Die Spezifikation ist Teil des EFI-Standards, der das BIOS in PCs ersetzen sollte. GPT ist somit der Nachfolger der MBR-Partitionstabellen.

Das GPT-Schema teilt einen Datenträger in folgender Bereiche ein:

MBR primäre GPT bestehend aus Header und Partitionseinträgen Partitionen sekundäre GPT bestehend aus Partitionseinträgen und Header Die sekundäre GPT am Ende des Datenträgers ist eine Kopie der primären GPT am Anfang des Datenträgers. Durch diese Redundanz kann im Fehlerfall die Partitionstabelle wiederhergestellt werden. Da die GPT eine Prüfsumme enthält, kann festgestellt werden, welcher der beiden GPT konsistent ist.

Die GPT verwendet Logical Block Addressing (LBA) mit 64 Bit, so dass Festplatten bei 512 Byte Sektorgröße bis zu einer Gesamtgröße von 8192 Exabyte adressiert werden und diese in bis zu 128 Partitionen aufgeteilt werden können.

MBR Datenträger können Festplatten bzw. Partitionen bis zu einer Größe von 2 TB adressieren.


Frage 107

Sie sind als Netzwerkadministrator für das Unternehmen CertBase tätig. Das Firmennetzwerk ent-hält zwei Windows Server 2003 Servercomputer. Einer der beiden Server stellt eine Anwendung mit dem Namen App1 bereit. Der andere Server hostet eine Anwendung mit dem Namen App2.

App1 benötigt eine 32-Bit Installation von Windows Server 2003. App2 erfordert eine 64-Bit In-stallation von Windows Server 2003.

Sie müssen eine Lösung für den Austausch der Server, die App1 und App2 hosten, empfehlen. Ihre Lösung muss auf Windows Server 2008 R2 basieren und die Kosten für die Serverhardware minimieren.

Wie gehen Sie vor?

A Installieren Sie Windows Server 2008 R2 Enterprise Edition auf einem neuen Servercomputer. Installieren Sie anschließend die Serverrolle Hyper-V und installieren Sie App1 und App2 jeweils auf separaten virtuellen Computern.

B Installieren Sie Windows Server 2008 R2 Datacenter Edition auf einem neuen Servercomputer. Installieren Sie anschließend das Feature Windows-Systemressourcen-Manager (WSRM) und die Anwendungen App1 und App2 auf dem neuen Servercomputer.

C Installieren Sie Windows Server 2008 R2 Enterprise Edition auf zwei neuen Servercomputer. Installieren Sie anschließend auf beiden Servercomputern die Serverrolle Hyper-V. Installieren Sie App1 auf einem virtuellen Computer auf einem der beiden Server und installieren Sie App2 auf einem virtuellen Computer auf dem anderen Server.

D Installieren Sie zwei neue Servercomputer. Installieren Sie auf beiden Computern Windows Server 2008 R2 Enterprise Edition und das Feature Windows-Systemressourcen-Manager (WSRM). Installieren Sie App1 auf einem und App2 auf dem anderen der beiden Servercompu-ter.


Korrekte Antwort: A

Erläuterungen:

Hyper-V stellt eine Softwareinfrastruktur und einfache Verwaltungstools in Windows Server 2008 R2 bereit, mit denen Sie eine virtualisierte Servercomputerumgebung erstellen und verwalten können. Diese virtualisierte Umgebung kann für vielfältige geschäftliche Ziele verwendet werden, bei denen es um die Verbesserung der Effizienz und die Reduzierung der Kosten geht.

Hyper-V unter Windows Server 2008 R2 kann sowohl 32-Bit als auch 64-Bit Gastsysteme parallel auf demselben Hostsystem ausführen.


Frage 108

Sie sind als Netzwerkadministrator für das Unternehmen CertBase tätig. Das Firmennetzwerk be-steht aus einer einzelnen Active Directory-Domänendienste Domäne mit dem Namen certbase.de. Die Hauptgeschäftsstelle verfügt über eine Anbindung an das Internet.

Das Unternehmen plant die Eröffnung einer Zweigstelle. Die Zweigstelle wird mit der Hauptge-schäftsstelle über eine dedizierte WAN-Verbindung verbunden, jedoch keinen eigenen Internet-anschluss erhalten. Die WAN-Verbindung hat eine eingeschränkte Bandbreite.

Sie müssen die Installation der Servercomputer in der Zweigstelle planen. Ihre Planung muss den folgenden Anforderungen entsprechen:

Die Installationen müssen automatisiert werden. Computer müssen automatisch aktiviert werden. Der Datenverkehr zwischen den beiden Standorten muss minimiert werden. Wie gehen Sie vor?

A Implementieren Sie in der Zweigstelle einen DHCP-Server, die Windows-Bereitstellungsdienste (WDS) und den Schlüsselverwaltungsdienst (Key Management Service, KMS).

B Verwenden Sie die Multiple Activation Key (MAK) unabhängige Aktivierung auf den Server-computern. Implementieren Sie einen DHCP-Server und die Windows-Bereitstellungsdienste (WDS) in der Hauptgeschäftsstelle.

C Implementieren Sie die Windows-Bereitstellungsdienste (WDS) in der Hauptgeschäftsstelle. Implementieren Sie einen DHCP-Server und den Schlüsselverwaltungsdienst (Key Management Service, KMS) in der Zweigstelle.

D Verwenden Sie die Multiple Activation Key (MAK) unabhängige Aktivierung auf den Server-computern. Implementieren Sie einen DHCP-Server in der Hauptgeschäftsstelle. Implementie-ren Sie die Windows-Bereitstellungsdienste (WDS) in der Zweigstelle.


Korrekte Antwort: A

Erläuterungen:

Die Windows-Bereitstellungsdienste (Windows Deployment Services, WDS) sind für Administrato-ren vorgesehen, die für die Bereitstellung von neuen Computern in mittleren und großen Organi-sationen verantwortlich sind.


Partitionieren und Formatieren physikalischer Medien Installieren des Betriebssystems und Ausführen von Postkonfigurationsaufgaben Vereinfachen der Installation Bereitstellen von Konsistenz in der gesamten Computerumgebung Der Microsoft-Schlüsselverwaltungsdienst (KMS) für Windows Server 2003 ab SP1 ist eine Kom-ponente der Microsoft Windows-Volumenaktivierung 2.0. Benutzer in Unternehmen können da-mit KMS unter Windows Server 2003 hosten, um die Aktivierung von Windows Vista und Windows Server 2008 mit einem KMS-Schlüssel zu ermöglichen.

Die Microsoft-Volumenaktivierung 2.0 besteht aus richtlinienbezogenen technischen Lösungen, die von der Microsoft Software Protection Platform (SPP) bereitgestellt werden, um Microsoft-Kunden sichere und einfache Methoden zur Verwaltung ihrer Volumen-Lizenzschlüssel zur Verfü-gung zu stellen.

Mit der KMS-Aktivierung können Unternehmenskunden einen lokalen Dienst in ihrer Umgebung hosten, um die Aktivierung von Computern mit Volumeneditionen von Windows Vista und Windows Server 2008 in ihrer Umgebung zu ermöglichen, anstatt die Aktivierung über Microsoft vornehmen zu müssen. Computer, die mit KMS aktiviert wurden, müssen spätestens alle sechs Monate über eine Verbindung mit dem KMS-Host erneut aktiviert werden.

KMS-Schlüssel werden von Microsoft Volumen-Lizenzsystem-Portalen (MVLS, eOpen) zur Verfü-gung gestellt. Der KMS-Host muss bei Microsoft einmal online oder telefonisch aktiviert werden.

MAKs sind im Wesentlichen Produktaktivierungsschlüssel, die mehrfach verwendet werden kön-nen. Jedes System, auf dem ein MAK verwendet wird, nimmt Verbindung mit Microsoft-Aktivierungsservern im Internet auf und verwendet den Schlüssel, um die Aktivierung zu erhalten. Weisen Sie MAKs nach der Installation des Betriebssystems zu, entweder manuell oder per Skriptprogrammierung.


Frage 109

Sie sind als Netzwerkadministrator für das Unternehmen CertBase tätig. Das Netzwerk enthält einen einzelnen Active Directory-Standort. Sie administrieren einen Windows Server 2008 R2 Computer mit dem Namen Server1. Server1 dient als DHCP-Server für das Netzwerk.

Sie müssen die automatisierte Verteilung von Betriebssystemen planen. Ihre Planung muss den folgenden Anforderungen entsprechen:

Unterstützung für die Verteilung von Windows 7. Unterstützung für die Verteilung von Windows Server 2008 R2. Unterstützung für Computer, die über Netzwerkadapter mit Unterstützung für Pre-Boot Exe-

cution Environment (PXE) gestartet werden können. Einsatz einer möglichst geringen Anzahl von Servercomputern. Wie gehen Sie vor?

A Installieren Sie das Windows Automated Installation Kit (WAIK) auf Server1.

B Installieren Sie das Windows Automated Installation Kit (WAIK) auf einem neuen Servercompu-ter.

C Installieren Sie die Serverrolle Windows-Bereitstellungsdienste (Windows Deployment Services, WDS) auf Server1.

D Installieren Sie die Serverrolle Windows-Bereitstellungsdienste (Windows Deployment Services, WDS) auf einem neuen Servercomputer.


Korrekte Antwort: C

Erläuterungen:

Windows-Bereitstellungsdienste sind für Administratoren vorgesehen, die für die Bereitstellung von neuen Computern in mittleren und großen Organisationen verantwortlich sind.


Partitionieren und Formatieren physikalischer Medien Installieren des Betriebssystems und Ausführen von Postkonfigurationsaufgaben Vereinfachen der Installation Bereitstellen von Konsistenz in der gesamten Computerumgebung IT-Experten, die die Windows-Bereitstellungsdienste verwenden, sollten mit Folgendem vertraut sein:

Active Directory und DHCP-Konzepte (Dynamic Host Configuration Protocol) Windows Preinstallation Environment (Windows PE) Windows PXE (Pre-Boot Execution Environment) WIM-Format (Windows Image) Die Windows-Bereitstellungsdienste umfassen die folgenden Komponenten:

Serverkomponenten Dazu zählen ein PXE-Server und ein TFTP-Server (Trivial File Transfer Protocol) zum Starten eines Clients über das Netzwerk, um ein Betriebssystem zu laden und schließlich zu installieren. Zudem umfassen sie ein Repository für freigegebene Ordner und Abbilder, das Startabbilder, Installationsabbilder und Dateien enthält, die insbesondere für den Netzwerkstart erforderlich sind. Außerdem umfassen sie eine Netzwerkschicht, eine Mul-ticastkomponente und eine Diagnosekomponente.

Clientkomponenten Diese Komponenten verfügen über eine grafische Benutzeroberfläche, die in Windows PE ausgeführt wird. Wenn ein Benutzer ein Betriebssystemabbild auswählt, kommunizieren die Clientkomponenten zum Installieren des Abbilds mit den Serverkompo-nenten.

Verwaltungskomponenten Diese Komponenten umfassen eine Gruppe von Tools, mit denen Sie den Server, Betriebssystemabbilder und Clientcomputerkonten verwalten.

Die Windows-Bereitstellungsdienste bieten folgende Vorteile:

Reduzierung der Komplexität von Bereitstellungen sowie der Kosten aufgrund ineffizienter manueller Installationsvorgänge

Ermöglichung der netzwerkbasierten Installation von Windows-Betriebssystemen, einschließ-lich Windows Vista und Windows Server 2008

Bereitstellung von Windows-Abbildern für Computer ohne Betriebssysteme Unterstützung gemischter Umgebungen, einschließlich Windows 7, Windows Server 2008 R2,

Windows Vista, Windows Server 2008, Microsoft Windows XP und Microsoft Windows Ser-ver 2003

Umfassende Lösung für die Bereitstellung von Windows-Betriebssystemen für Clientcomputer und Server

Basierend auf Windows Server 2008-Setuptechnologien (einschließlich Windows PE, WIM-Dateien und der imagebasierten Installation)

Frage 1

Sie sind des Netz

Sie implekonfigur

Sie müssindividuering halt

Wie geh

A Insta

B Instawerk

C Instacominter

D InstaUmkpond

10

als Netzwerzwerks wird

ementieren rieren Sie de

sen eine sicheller Zertifikaten.

hen Sie vor?

allieren Sie e

allieren Sie ekgeräte auf

allieren Sie eputer im Umrnen Netzwe

allieren Sie dkreisnetzwerder im intern

rkadministrain der Abbi

eine Unternen Microsoft

here Methodate zu prüfe

eine unterge

eine eigenstäeinem Serve

einen Netzwemkreisnetzwerk weiter.

die Microsoftrk. Konfigurinen Netzwe

Plan

tor für das Uldung darge

ehmenszertt Online Resp

de empfehleen. Ihre Lösu

ordnete Zert

ändige Zertifercomputer i

erkrichtlinienerk. Leiten S

t Internetinfoeren Sie IIS rk.

nning for B

Unternehmeestellt (klicke

ifizierungsstponder Dien

en, die es Intung muss die

tifizierungss

fizierungssteim Umkreisn

nserver (NetSie Authentif

ormationsdifür die Weit

Business Co

en CertBase ten Sie auf die

telle (CA) im nst im intern

ternetbenutze Auslastung

telle im Umk

elle und den netzwerk.

twork Policy fizierungsan

enste (IIS) aterleitung vo

ontinuity an

tätig. Der ree Schaltfläch

internen Neen Netzwerk

zern ermöglig der Netzwe

kreisnetzwer

Registrierun

Server, NPSforderungen

uf einem Seon Anfragen

nd High Ava

elevante Aushe Zeichnung

etzwerk. Zusk.

icht, die Gülerkbandbrei

rk.

ngsdienst für

S) auf einem n an einen S

rvercomputean den Onl

ailability

schnitt g).

sätzlich

tigkeit te ge-

r Netz-

Server-Server im

er im ine Res-


Korrekte Antwort: D

Erläuterungen:

Jedes Zertifikat wird mit einer bestimmten Gültigkeitsdauer ausgestellt. Durch die Sperrung eines Zertifikats werden die in ihm enthaltenen vertrauenswürdigen Sicherheitsanmeldeinformationen vor Ablauf der ursprünglichen Gültigkeitsdauer des Zertifikats ungültig. Es gibt zahlreiche Gründe, warum ein Zertifikat und die darin enthaltenen Sicherheitsanmeldeinformationen vor Ablauf der geplanten Gültigkeitsdauer ungültig werden können. Beispiele:

Der private Schlüssel des Zertifikatantragstellers ist gefährdet oder vermutlich gefährdet. Der private Schlüssel einer Zertifizierungsstelle (Certification Authority, CA) ist gefährdet oder

vermutlich gefährdet. Es wurde entdeckt, dass ein Zertifikat ohne notwendige Autorisierung abgerufen wurde. Der Status des Zertifikatantragstellers als vertrauenswürdige Entität hat sich geändert. Der Name des Zertifikatantragstellers hat sich geändert. Es ist nicht immer möglich, eine Zertifizierungsstelle oder andere vertrauenswürdige Server zu kontaktieren, um Informationen zur Gültigkeit eines Zertifikats abzurufen. Zur effektiven Unter-stützung der Zertifikatstatusüberprüfung muss ein Client in der Lage sein, auf Sperrdaten zugrei-fen zu können, um zu bestimmen, ob ein Zertifikat gültig ist oder gesperrt wurde. Zur Unterstüt-zung verschiedener Szenarien unterstützen die Active Directory-Zertifikatsdienste (Active Directory Certificate Services, AD CS) Zertifikatsperrungsmethoden nach Industriestandard. Dazu gehört die Veröffentlichung von Zertifikatsperrlisten (Certificate Revocation Lists, CRLs) und Deltasperrlisten, auf die Clients von verschiedenen Orten zugreifen können, einschließlich Active Directory-Domänendiensten (Active Directory Domain Services, AD DS), Webservern und Dateifreigaben in Netzwerken.

Unter Windows Server 2008 kann ein Online-Responder verwendet werden, damit in komplexen Netzwerkumgebungen auf Zertifikatsperrlistendaten leichter zugegriffen werden kann. Ein Onli-ne-Responder verwendet die Zertifikatsperrdaten von Zertifikatsperrlisten und verarbeitet Zertifi-katstatusanforderungen von Clients nacheinander.

Ein Online-Responder kann auf jedem Computer unter Windows Server 2008 Enterprise oder Windows Server 2008 Datacenter installiert werden. Die Daten zur Zertifikatsperrung können von einer Zertifizierungsstelle auf einem Computer unter Windows Server 2008, einer Zertifizierungs-stelle auf einem Computer unter Windows Server 2003 oder von einer Zertifizierungsstelle eines Drittanbieters stammen.

Bevor der Online-Responder installiert werden kann, müssen zunächst die Internetinformations-dienste (Internet Information Services, IIS) auf diesem Computer installiert werden.


Frage 111

Sie sind als Netzwerkadministrator für das Unternehmen CertBase tätig. Das Netzwerk besteht aus einer Active Directory Gesamtstruktur mit dem Namen certbase.de.

Sie planen die Installation einer neuen untergeordneten Domäne mit dem Namen nord.certbase.de. Die untergeordnete Domäne wird zwei Domänencontroller enthalten. Auf bei-den Domänencontrollern soll die Serverrolle DNS-Server installiert werden. Alle Benutzer und Computer einer neuen Zweigstelle werden Mitglied der neuen Domäne nord.certbase.de sein.

Sie müssen die DNS-Infrastruktur der neuen untergeordneten Domäne gemäß den folgenden Anforderungen planen:

Es muss sichergestellt werden, dass auf Ressourcen der Stammdomäne über einen vollqualifi-zierten Domänennamen zugegriffen werden kann.

Es muss sichergestellt werden, dass auf Ressourcen der untergeordneten Domäne über einen vollqualifizierten Domänennamen zugegriffen werden kann.

Die Namensauflösung muss auch bei Ausfall eines einzelnen Servers sichergestellt sein. Es muss automatisch erkannt werden, wenn neue DNS-Server in die Domäne certbase.de

aufgenommen oder aus dieser entfernt werden. Wie gehen Sie vor?

A Konfigurieren Sie auf beiden Domänencontrollern eine bedingte Weiterleitung und erstellen Sie eine primäre Standardzone für den Namensraum nord.certbase.de.

B Bearbeiten Sie auf beiden Domänencontrollern die Stammhinweise so, dass die Domänencon-troller für certbase.de enthalten sind. Erstellen Sie auf einem Domänencontroller eine Active Directory-integrierte Zone für den Namensraum nord.certbase.de.

C Erstellen Sie auf einem Domänencontroller eine Active Directory-integrierte Zone für den Na-mensraum nord.certbase.de. Erstellen Sie zudem eine Active Directory-integrierte Stubzone für certbase.de.

D Erstellen Sie auf einem Domänencontroller eine primäre Standardzone für den Namensraum certbase.de. Erstellen Sie auf dem anderen Domänencontroller eine sekundäre Standardzone für certbase.de.


Korrekte Antwort: C

Erläuterungen:

Der DNS-Serverdienst stellt drei Zonentypen bereit:

Primäre Zone Sekundäre Zone Stubzone Wenn der DNS-Server auch ein AD DS-Domänencontroller (Active Directory Domain Services, Active Directory-Domänendienste) ist, können primäre Zonen und Stubzonen in AD DS gespei-chert werden.

Primäre Zone

Wenn eine Zone, für die dieser DNS-Server als Host dient, eine primäre Zone ist, stellt der DNS-Server die primäre Quelle für Informationen zu dieser Zone dar und speichert die Masterkopie der Zonendaten in einer lokalen Date oder in AD DS. Wenn die Zone in einer Datei gespeichert wird, erhält die primäre Zonendatei standardmäßig den Namen zonenname.dns und wird im Ordner %windir%\System32\Dns auf dem Server gespeichert.

Sekundäre Zone

Wenn eine Zone, für die dieser DNS-Server als Host dient, eine sekundäre Zone ist, stellt der DNS-Server die sekundäre Quelle für Informationen zu dieser Zone dar. Die Zone auf diesem Server muss von einem anderen Remote-DNS-Servercomputer abgerufen werden, der ebenfalls als Host für die Zone fungiert. Dieser DNS-Server muss über Netzwerkzugriff für den Remote-DNS-Server verfügen, der aktualisierte Zoneninformationen für diesen Server bereitstellt. Da eine sekundäre Zone nur eine Kopie einer primären Zone darstellt, die auf einem anderen Server gehostet wird, kann sie nicht in AD DS gespeichert werden.

Stubzone

Wenn eine Zone, für die dieser DNS-Server als Host dient, eine Stubzone ist, stellt dieser DNS-Server nur eine Quelle für Informationen zu den autorisierenden Namenservern für diese Zone dar. Die Zone auf diesem Server muss von einem anderen DNS-Server abgerufen werden, der als Host für die Zone fungiert. Dieser DNS-Server muss über Netzwerkzugriff für den Remote-DNS-Server verfügen, um die Informationen zu den autorisierenden Namenservern für diese Zone zu kopieren.

Stubzonen können für folgende Aufgaben verwendet werden:

Zur Aktualisierung der Informationen für die delegierte Zone. Durch regelmäßige Aktualisie-rung einer Stubzone für eine der untergeordneten Zonen erhält der DNS-Server, der als Host für die übergeordnete Zone und die Stubzone dient, eine aktuelle Liste der autorisierenden DNS-Server für die untergeordnete Zone.

Zur Verbesserung der Namensauflösung. Stubzonen ermöglichen einem DNS-Server die Durchführung einer Rekursion anhand der Namenserverliste für die Stubzone, ohne eine Ab-frage an das Internet oder an einen internen Stammserver für den DNS-Namespace zu sen-den.

Zur Vereinfachung der DNS-Verwaltung. Durch die Verwendung von Stubzonen innerhalb Ihrer DNS-Infrastruktur können Sie eine Liste der autorisierenden DNS-Server für eine Zone verteilen, ohne sekundäre Zonen zu verwenden. Stubzonen erfüllen jedoch nicht denselben Zweck wie sekundäre Zonen und stellen keine Alternative zur Verbesserung der Redundanz und des Lastenausgleichs dar.

Zum Laden und zur Verwaltung einer Stubzone werden zwei Listen von DNS-Servern benö-tigt:

Die Liste der Masterserver, über die der DNS-Server eine Stubzone lädt und aktualisiert. Ein Masterserver kann ein primärer oder sekundärer DNS-Server für die Zone sein. In beiden Fäl-len ist eine vollständige Liste der DNS-Server für die Zone vorhanden.


Die Liste der autorisierenden DNS-Server für eine Zone. Diese Liste wird mithilfe von Namen-server-Ressourceneinträgen (NS) in der Stubzone gespeichert.

Wenn ein DNS-Server eine Stubzone wie widgets.tailspintoys.com lädt, sendet er Abfragen an die Masterserver, die sich an verschiedenen Standorten befinden können, um die erforderlichen Res-sourceneinträge der autorisierenden Server für die Zone widgets.tailspintoys.com abzurufen. Die Liste der Masterserver kann einen einzelnen Server oder mehrere Server enthalten und jederzeit geändert werden.

Vorteile der AD DS-Integration


DNS bietet eine Multimaster-Datenreplikation und verbesserte Sicherheit basierend auf den Funktionen von AD DS.

In einem standardmäßigen Zonenspeichermodell werden DNS-Updates anhand eines Einzelmas-ter-Updatemodells durchgeführt. Bei diesem Modell wird ein einzelner autorisierender DNS-Server für eine Zone als primäre Quelle für die Zone definiert. Dieser Server verwaltet die Masterkopie der Zone in einer lokalen Datei. Bei diesem Modell stellt der primäre Server für die Zone die einzi-ge feste Fehlerquelle dar. Wenn dieser Server nicht verfügbar ist, werden keine Updateanforde-rungen von DNS-Clients für die Zone verarbeitet. Bei der Directory-integrierten Speicherung werden dynamische Updates von DNS an AD DS-integrierte DNS-Server gesendet und auf allen anderen AD DS-integrierten DNS-Servern mithilfe der AD DS-Replikation repliziert. Bei diesem Modell können alle AD DS-integrierten DNS-Server dynamische Updates für die Zone akzeptieren. Da die Masterkopie der Zone in der AD DS-Datenbank verwaltet wird, die auf allen Domänencontrollern vollständig repliziert wird, kann die Zone von jedem DNS-Server aktualisiert werden, der auf einem Domänencontroller für die Domä-ne ausgeführt wird. Mithilfe des Multimaster-Updatemodells von AD DS kann jeder primäre Ser-ver für die Directory-integrierte Zone Anforderungen von DNS-Clients verarbeiten, um die Zone zu aktualisieren, so lange ein Domänencontroller verfügbar und über das Netzwerk erreichbar ist. Bei Verwendung von Directory-integrierten Zonen können Sie zudem Zugriffssteuerungslisten (Access Control Lists, ACLs) verwenden, um einen dnsZone-Objektcontainer in der Verzeich-nisstruktur zu sichern. Dieses Feature ermöglicht einen genau festgelegten Zugriff auf die Zone oder auf einen Ressourceneintrag in der Zone. Eine ACL für einen Zonenressourceneintrag kann beispielsweise so eingeschränkt werden, dass dynamische Updates nur für einen bestimmten Clientcomputer oder eine sichere Gruppe, z. B. eine Gruppe von Domänenadministratoren, zuläs-sig sind. Dieses Sicherheitsfeature ist für standardmäßige primäre Zonen nicht verfügbar. Zonen werden automatisch auf neuen Domänencontrollern repliziert und synchronisiert, so-

bald einer AD DS-Domäne eine neue Zone hinzugefügt wird. Der DNS-Serverdienst kann von einem einzelnen Domänencontroller entfernt werden. Allerdings sind die Directory-integrierten Zonen dann bereits auf jedem Domänencontroller gespeichert. Daher stellt die Zonenspeicherung und -verwaltung keine zusätzliche Ressource dar. Darüber hin-aus bewirken die Methoden, die zur Synchronisierung von Informationen verwendet werden, die in AD DS gespeichert sind, eine Verbesserung der Leistung im Vergleich mit den standardmäßigen Zonenupdatemethoden, die mitunter eine Übertragung der gesamten Zone erfordern können. Durch die Integration der Speicherung Ihrer DNS-Zonendatenbanken in AD DS können Sie die

Planung der Datenbankreplikation für Ihr Netzwerk optimieren. Wenn Ihr DNS-Namespace und die AD DS-Domänen einzeln gespeichert und repliziert werden, müssen Sie diese Elemente auch einzeln planen und möglicherweise auch einzeln verwalten. Wenn Sie beispielsweise die standardmäßige DNS-Zonenspeicherung und AD DS zusammen ver-wenden, müssen Sie zwei verschiedene Datenbank-Replikationstopologien entwerfen, implemen-tieren, testen und verwalten. Eine der Replikationstopologien wird beispielsweise zur Replikation von Verzeichnisdaten zwi-schen Domänencontrollern benötigt und die andere Topologie zur Replikation von Zonendaten-banken zwischen DNS-Servern. Dadurch kann die Planung und Entwicklung Ihres Netzwerks so-


wie eine künftige Erweiterung komplexer werden. Durch die Integration des DNS-Speichers wer-den die Speicherverwaltung und Replikation für DNS und AD DS vereinheitlicht und beide Kom-ponenten in einer gemeinsamen Verwaltungseinheit zusammengeführt. Die Directory-integrierte Replikation ist schneller und effizienter als die Standard-DNS-

Replikation. Da die Verarbeitung der AD DS-Replikation pro Eigenschaft erfolgt, werden nur relevante Ände-rungen propagiert. Bei Updates für Zonen, die in AD DS gespeichert werden, werden weniger Daten verwendet und übermittelt. Nur primäre Zonen können in AD DS gespeichert werden. Ein DNS-Server kann keine sekundären Zonen in AD DS speichern. Diese müssen in standardmäßigen Textdateien gespeichert werden. Bei Verwendung des Multimaster-Replikationsmodells von AD DS sind keine sekundären Zonen mehr erforderlich, wenn alle Zonen in AD DS gespeichert sind.


Frage 112


Das Netzwerk enthält fünf Windows Server 2003 Computer auf denen die Komponente Termi-nalserver installiert ist. Auf einem Firewallserver wird Microsoft Internet Security and Acceleration (ISA) Server 2006 ausgeführt.

Sie müssen eine Remotezugriffsstrategie für die Terminalserver entwerfen. Ihre Lösung muss den nachfolgenden Anforderungen entsprechen:

Der Zugriff muss auf bestimmte Terminalserver beschränkt werden. Die Anzahl der offenen Anschlüsse (Ports) auf der Firewall muss minimiert werden. Alle Remoteverbindungen mit den Terminalservern müssen verschlüsselt sein. Wie gehen Sie vor?

A Implementieren Sie das SSL-Bridging auf dem ISA Server. Erfordern Sie am ISA Server die Au-thentifizierung aller eingehenden Verbindungen.

B Implementieren Sie auf dem ISA Server eine Portweiterleitung. Erfordern Sie am ISA Server die Authentifizierung aller eingehenden Verbindungen.

C Aktualisieren Sie einen der Windows Server 2003 Computer auf Windows Server 2008 R2. Installieren Sie auf dem Windows Server 2008 R2 Computer den Rollendienst Remotedesk-topgateway und konfigurieren Sie eine Remotedesktop-Ressourcenautorisierungsrichtlinie RD RAP).

D Aktualisieren Sie einen der Windows Server 2003 Computer auf Windows Server 2008 R2. Installieren Sie auf dem Windows Server 2008 R2 Computer den Rollendienst Remotedesk-topgateway und konfigurieren Sie eine Remotedesktop-Verbindungsautorisierungsrichtlinie (RD-CAP).


Korrekte Antwort: C

Erläuterungen:

Remotedesktopgateway (RD-Gateway) ist ein Rollendienst, der autorisierten Remotebenutzern das Herstellen von Verbindungen mit Ressourcen in einem internen Firmennetzwerk oder privaten Netzwerk von jedem Gerät aus ermöglicht, das mit dem Internet verbunden ist und auf dem der Remotedesktopverbindungs-Client (RDC-Client) ausgeführt werden kann. Netzwerkressourcen können Host für Remotedesktopsitzungen-Server, Host für Remotedesktopsitzungen-Server, auf denen RemoteApp-Programme ausgeführt werden, oder Computer mit aktiviertem Remotedesk-top sein.

RD-Gateway verwendet das Remotedesktopprotokoll (RDP) über HTTPS zur Herstellung einer si-cheren, verschlüsselten Verbindung zwischen Remotebenutzern im Internet und den internen Netzwerkressourcen, auf denen Produktivitätsanwendungen ausgeführt werden.

Mithilfe von RD CAPs können Sie angeben, wer eine Verbindung mit einem RD-Gatewayserver herstellen kann. Sie können eine Benutzergruppe angeben, die auf dem lokalen RD-Gatewayserver oder in den Active Directory-Domänendiensten vorhanden ist. Darüber hinaus können Sie andere Bedingungen angeben, die Benutzer für den Zugriff auf einen RD-Gatewayserver erfüllen müssen. In jeder RD CAP können Sie bestimmte Bedingungen auflisten. Beispielsweise können Sie festlegen, dass eine Gruppe von Benutzern eine Smartcard verwenden muss, um über RD-Gateway eine Verbindung herzustellen.

RD-RAPs ermöglichen Ihnen das Angeben der internen Netzwerkressourcen, mit denen Remot-ebenutzer über einen RD-Gatewayserver eine Verbindung herstellen können. Wenn Sie eine RD-RAP erstellen, können Sie eine Computergruppe erstellen (eine Liste der Computer im internen Netzwerk, mit denen die Remotebenutzer Verbindungen herstellen können) und diese der RD-RAP zuordnen.

Hinweis:

SSL-Bridging (Secure Sockets Layer, SSL) bezeichnet die Fähigkeit von Microsoft Internet Security & Acceleration (ISA) Server 2006, Clientanforderungen zu verschlüsseln oder entschlüsseln und die Anforderung an einen Zielwebserver zu übergeben. SSL-Tunneling bezeichnet die Einrichtung eines direkten Tunnels vom Client zum Webserver, ohne dass es zu einer Beeinflussung durch ISA Server kommt.


Frage 113

Sie sind als Netzwerkadministrator für das Unternehmen CertBase tätig. Das Unternehmen kauft 15 neue 64-Bit Server mit folgender Hardwareausstattung:

5 Server mit einem Single Core Prozessor 5 Server mit einem Dual Core Prozessor 5 Server mit je zwei Quad Core Prozessoren Sie wollen die Windows-Bereitstellungsdienste (WDS) verwenden, um Windows Server 2008 R2 auf die neuen Computer zu verteilen. Sie müssen die Abbilderstellung für die Installation planen und folgende Anforderungen berücksichtigen:

Die Anzahl der Installationsabbilder soll möglichst gering ausfallen. Ihre Lösung muss die Verteilung von Windows Server 2008 R2 unterstützen. Wie gehen Sie vor?

A Erstellen Sie eine Abbilddatei mit drei Installationsabbildern.

B Erstellen Sie eine Abbilddatei mit einem einzelnen Installationsabbild.

C Erstellen Sie zwei Abbilddateien mit je einem einzelnen Installationsabbild.

D Erstellen Sie drei Abbilddateien mit je einem einzelnen Installationsabbild.


Korrekte Antwort: B

Erläuterungen:

Mithilfe der Windows-Bereitstellungsdienste lassen sich benutzerdefinierte Installationsabbilder erstellen. Erstellen Sie hierzu ein Aufzeichnungsabbild, bereiten Sie mithilfe von Sysprep einen Abbildcomputer vor, und zeichnen Sie anschließend mithilfe des Assistenten zur Abbildaufzeich-nung das Betriebssystem auf.

Beachten Sie, dass es sich bei Installationsabbildern vor Windows Vista um HAL-spezifische (Hardware Abstraction Layer) Abbilder handelt. Das bedeutet, dass ein Abbild eines bestimmten HAL-Typs nicht auf einem Computer eines anderen HAL-Typs bereitgestellt werden kann.

Windows Vista-Abbilder und Abbilder nachfolgender Windows Versionen sind jedoch nicht HAL-spezifisch, weshalb pro Architektur jeweils nur ein einzelnes Abbild benötigt wird.


Frage 114

Sie sind als Netzwerkadministrator für das Unternehmen CertBase tätig. Das Firmennetzwerk be-steht aus einer einzelnen Active Directory-Domänendienste (AD DS) Domäne mit dem Namen certbase.de. Die Domäne umfasst einen einzelnen Active Directory-Standort, der zwei Netzwerk-segmente einschließt. Die beiden Netzwerksegmente sind über einen RFC 1542 kompatiblen Rou-ter miteinander verbunden.

Sie planen die Verteilung von Windows Server 2008 R2 mit Hilfe der Windows-Bereitstellungsdienste auf mehrere neu angeschaffte Servercomputer. Alle neuen Server unter-stützen die PreBoot Execution Environment (PXE) .

Sie müssen eine Verteilungsstrategie nach folgenden Anforderungen planen:

Ihre Lösung muss die Verteilung von Windows Server 2008 R2 unterstützen. Ihre Lösung muss die Verteilung auf Server in beiden Netzwerksegmenten unterstützen. Die Anzahl der benötigten Server für den Verteilungsprozess muss minimiert werden. Wie gehen Sie vor?

A Verwenden Sie einen Server. Installieren Sie die Windows-Bereitstellungsdienste und den DHCP-Server auf dem Server. Konfigurieren Sie die IP-Helper Tabelle auf dem Router zwischen den beiden Netzwerksegmenten.

B Verwenden Sie zwei Server. Installieren Sie die Windows-Bereitstellungsdienste und den DHCP-Server auf beiden Servern und platzieren Sie je einen Server in den beiden Netzwerksegmen-ten. Konfigurieren Sie beide Server für die Unterstützung der DHCP-Option 60.

C Verwenden Sie zwei Server. Installieren Sie die Windows-Bereitstellungsdienste und den DHCP-Server auf beiden Servern und platzieren Sie je einen Server in den beiden Netzwerksegmen-ten. Konfigurieren Sie beide Server für die Unterstützung der DHCP-Option 252.

D Verwenden Sie zwei Server. Installieren Sie die Windows-Bereitstellungsdienste und den DHCP-Server auf einem Server und installieren Sie den DHCP-Server auf dem anderen Server. Platzie-ren Sie je einen Server in den beiden Netzwerksegmenten. Konfigurieren Sie beide Server für die Unterstützung der DHCP-Option 60.


Korrekte Antwort: A

Erläuterungen:

Die Windows-Bereitstellungsdienste erfordern, dass Clientcomputer über DHCP Informationen zum Download eines Startprogramms für das Netzwerk erhalten. Wir müssen sicherstellen, dass die Clientcomputer in beiden Segmenten Kontakt mit dem DHCP-Server herstellen können.

RFC 1542 beschreibt die Fähigkeiten für DHCP/BOOTP-Relay-Agenten, sprich für die Weiterleitung von DHCP-bezogenem Datenverkehr über Routergrenzen hinweg. Da der Router kompatibel nach RFC 1542 ist, genügt ein einzelner DHCP-Server für DHCP-Clients in beiden Segmenten und es ist kein zusätzlicher DHCP-Relay Agent erforderlich. Der DHCP-Server und die Windows-Bereitstellungsdienste können auf einem gemeinsamen Servercomputer betrieben werden.

DHCP Option 60

Die Option 60 signalisiert dem DHCP-Client, dass es sich bei dem DHCP-Server auch um einen PXE-Serverhandelt.

DHCP Option 252

Die Option 252 ermöglicht es, automatische Proxyeinstellungen für Internet Explorer-Clients zu konfigurieren. Dem Client wird dabei eine URL übergeben unter der eine Datei für die Autokonfi-guration heruntergeladen werden kann (WPAD.dat).


Frage 115

Sie sind als Netzwerkadministrator für das Unternehmen CertBase tätig. Das Firmennetzwerk be-steht aus einer einzelnen Active Directory-Domänendienste (AD DS) Domäne mit dem Namen certbase.de. Die Domäne umfasst einen einzelnen Active Directory-Standort mit einem Netzwerk-segment. Das Subnetz verwendet den Adressraum 172.16.0.0/23.

Das Unternehmen stellt temporär mehrere Zeitarbeiter ein. Sie stellen den Zeitarbeitern Benutzer-konten und Computer zur Verfügung.

Die Zeitarbeiter erhalten Computer, die nicht Mitglied der Domäne sind. Die Zeitarbeiter nutzen sowohl drahtgebundene als auch drahtlose Verbindungen, um Zugriff auf das Netzwerk zu erhal-ten.

Die Firmensicherheitsrichtlinien schreiben vor, dass alle Computer, die Verbindungen mit dem Netzwerk herstellen, aktuelle Updates für das Betriebssystem installiert haben müssen.

Sie müssen die Netzwerksicherheit in Bezug auf die Computer der Zeitarbeiter so planen, dass die Vorgaben der Firmensicherheitsrichtlinien eingehalten werden.

Wie gehen Sie vor?

A Implementieren Sie den Netzwerkzugriffsschutz (Network Access Protection, NAP) für das Subnetz 172.16.0.0/23.

B Erstellen Sie eine Extranet-Domäne innerhalb der bestehenden Gesamtstruktur. Migrieren Sie die Benutzerkonten der Zeitarbeiter in die neue Domäne.

C Verschieben Sie die Benutzerkonten der Zeitarbeiter in eine neue Organisationseinheit. Erstel-len Sie ein neues Gruppenrichtlinienobjekt (GPO) für die Zuweisung eines internen Windows Server Update Services (WSUS) Server und verknüpfen Sie das GPO mit der neuen Organisati-onseinheit.

D Erstellen Sie ein neues Subnetz in einem Umkreisnetzwerk. Verschieben Sie die Drahtloszu-griffspunkte in das neue Umkreisnetzwerk und erfordern Sie die Authentifizierung gegenüber einem VPN-Server bevor der Zugriff auf interne Ressourcen zugelassen wird.


Korrekte Antwort: A

Erläuterungen:

Mit Hilfe der Netzwerkrichtlinien- und Zugriffsdienste können Verbindungsanforderungsrichtlinien sowohl für drahtgebundene als auch für drahtlose Verbindungen konfiguriert werden. Vorausset-zung sind entsprechende Netzwerkswitche bzw. Drahtloszugriffspunkte.

IEEE 802.11 Wireless

Mithilfe des NPS-MMC-Snap-Ins können Sie auf 802.1X basierende Verbindungsanforderungs-richtlinien für IEEE 802.11 Drahtlosclient-Netzwerkzugriff konfigurieren. Sie können auch drahtlo-se Zugriffspunkte als RADIUS-Clients in NPS konfigurieren und NPS als RADIUS-Server verwenden, um Verbindungsanforderungen zu verarbeiten, Authentifizierungen und Autorisierungen sowie die Kontoführung für drahtlose 802.11-Verbindungen auszuführen. Sie können drahtlosen IEEE 802.11-Zugriff in NAP vollständig integrieren, wenn Sie eine drahtlose 802.1X-Authentifizierungsinfrastruktur bereitstellen, sodass der Integritätsstatus von Drahtlosclients an-hand der Integritätsrichtlinie überprüft wird, bevor Clients eine Verbindung zum Netzwerk auf-bauen dürfen.

IEEE 802.3 Wired

Mithilfe des NPS-MMC-Snap-Ins können Sie 802.1X-basierte Verbindungsanforderungsrichtlinien für den IEEE 802.3-Ethernet-Kabelnetzwerkclientzugriff konfigurieren. Sie können auch 802.1X-kompatible Switches als RADIUS-Clients in NPS konfigurieren und NPS als RADIUS-Server verwen-den, um Verbindungsanforderungen zu verarbeiten, Authentifizierungen und Autorisierungen sowie die Kontoführung für 802.3-Kabelnetzwerkverbindungen vorzunehmen. Sie können den IEEE 802.3-Kabelnetzwerkclientzugriff vollständig in NAP integrieren, wenn Sie eine verkabelte 802.1X-Authentifizierungsinfrastruktur bereitstellen.


Frage 116

Sie sind als Netzwerkadministrator für das Unternehmen CertBase tätig. Das Unternehmen hat seine Hauptgeschäftsstelle in Bremen und jeweils eine Zweigstelle in Fulda und in Dresden.

Das Firmennetzwerk besteht aus einer einzelnen Active Directory Gesamtstruktur mit drei Domä-nen. Die Namen der Domänen lauten certbase.de, fulda.certbase.de und dresden.certbase.de. Auf allen Domänencontrollern wird das Betriebssystem Windows Server 2008 R2 ausgeführt und alle Domänencontroller sind als DNS-Server konfiguriert.

Die Domänencontroller der Domäne certbase.de befinden sich am Standort Bremen. Die Domä-nencontroller der Domäne fulda.certbase.de befinden sich am Standort Fulda und die Domänen-controller der Domäne dresden.certbase.de befinden sich in der Zweigstelle Dresden.

An jedem Standort hostet jeweils einer der Domänencontroller eine primäre Standardzone für die Domäne des Standortes.

Sie müssen die Namensauflösung für den Standort Dresden planen und folgenden Anforderun-gen berücksichtigen:

Die Clientcomputer müssen auch bei Ausfall einer WAN-Verbindung Namen aus dem Na-mensraum certbase.de auflösen können.

Die Clientcomputer müssen auch bei Ausfall einer WAN-Verbindung Namen aus dem Na-mensraum fulda.certbase.de auflösen können.

Die DNS-Server am Standort Dresden müssen aktualisiert werden, wenn neue, autorisierende DNS-Server für die Zone fulda.certbase.de konfiguriert werden.

Wie gehen Sie vor?

A Konfigurieren Sie eine bedingte Weiterleitung für den Namensraum certbase.de und eine be-dingte Weiterleitung für den Namensraum fulda.certbase.de.

B Erstellen Sie eine sekundäre Standardzone für den Namensraum certbase.de und eine sekun-däre Standardzone für den Namensraum fulda.certbase.de.

C Konvertieren Sie die Standardzone dresden.certbase.de in eine Active Directory-integrierte Zone. Nehmen Sie alle DNS-Server der Gesamtstruktur in die Liste der Stammhinweise auf.

D Erstellen Sie eine Active Directory-integrierte Stubzone für den Namensraum certbase.de und eine Active Directory-integrierte Stubzone für den Namensraum fulda.certbase.de.


Korrekte Antwort: B

Erläuterungen:

Wir müssen die Informationen der Zonen certbase.de und fulda.certbase.de auf einem DNS-Server am Standort Dresden vorhalten. Antwort B ist die einzige Lösung, bei der eine Kopie der Daten auf einem Server am Standort Dresden erstellt wird.


Frage 117

Sie sind als Netzwerkadministrator für das Unternehmen CertBase tätig. Das Firmennetzwerk be-steht aus einer einzelnen Active Directory-Domänendienste (AD DS) Domäne mit dem Namen certbase.de. Auf allen Domänencontrollern ist das Betriebssystem Windows Server 2008 R2 in-stalliert.

Sie müssen eine Lösung auf Basis der Active Directory-Zertifikatdienste implementieren, die fol-gende Anforderungen erfüllt:

Automatisieren der Verteilung von Zertifikaten an interne Benutzer. Gewährleistung einer bestmöglichen Sicherheit für die Infrastruktur der Zertifikatdienste. Zugriffsmöglichkeiten für externe Benutzer auf Ressourcen, die eine zertifikatsbasierte Au-

thentifizierung erfordern. Wie gehen Sie vor?

A Implementieren Sie eine eigenständige Online-Stammzertifizierungsstelle des Unternehmens und eine eigenständige, untergeordnete Offline-Zertifizierungsstelle.

B Implementieren Sie eine Offline-Stammzertifizierungsstelle des Unternehmens und eine unter-geordnete Offline-Unternehmenszertifizierungsstelle.

C Implementieren Sie eine eigenständige Offline-Stammzertifizierungsstelle, eine untergeordnete Online-Unternehmenszertifizierungsstelle und eine eigenständige, untergeordnete Online-Zertifizierungsstelle.

D Implementieren Sie eine eigenständige Online-Stammzertifizierungsstelle, eine untergeordnete Online-Unternehmenszertifizierungsstelle und eine eigenständige, untergeordnete Online-Zertifizierungsstelle.


Korrekte Antwort: C

Erläuterungen:

Eine Public Key-Infrastruktur (Public Key Infrastructure, PKI) ist ein System aus digitalen Zertifika-ten, Zertifizierungsstellen (Certification Authorities, CAs) und Registrierungsstellen, mit denen die Gültigkeit jeder Entität überprüft und authentifiziert wird, die an einer elektronischen Übertra-gung mithilfe der Kryptografie mit öffentlichem Schlüssel beteiligt ist.

Die Microsoft-PKI unterstützt ein hierarchisches Zertifizierungsstellenmodell, das skalierbar ist und mit einer zunehmenden Anzahl an kommerziellen und anderen Zertifizierungsstellenprodukten Konsistenz bietet.

In ihrer einfachsten Form besteht eine Zertifizierungsstellenhierarchie aus einer einzigen Zertifizie-rungsstelle. Eine Hierarchie enthält jedoch meist mehrere Zertifizierungsstellen mit klar definierten Beziehungen zwischen den über- und untergeordneten Zertifizierungsstellen. In diesem Modell werden die untergeordneten Zertifizierungsstellen durch Zertifikate ihrer übergeordneten Zertifi-zierungsstelle zertifiziert, die den öffentlichen Schlüssel einer Zertifizierungsstelle an ihre Identität binden. Die Zertifizierungsstelle, die sich an der obersten Position in einer Hierarchie befindet, wird als Stammzertifizierungsstelle bezeichnet. Die Zertifizierungsstelle unterhalb einer Stammzer-tifizierungsstelle wird als untergeordnete Zertifizierungsstelle bezeichnet.

Um eine bestmögliche Sicherheit für die Stammzertifizierungsstelle zu gewährleisten, wird diese nach der Installation untergeordneter Zertifizierungsstelle häufig offline geschaltet. Um die An-forderungen für interne und externe Benutzer gleichermaßen optimal zu erfüllen, benötigen wir jeweils eine untergeordnete Unternehmenszertifizierungsstelle und eine untergeordnete eigen-ständige Zertifizierungsstelle für die Ausstellung von Zertifikaten.


Frage 118

Sie sind als Netzwerkadministrator für das Unternehmen CertBase tätig. Das Firmennetzwerk be-steht aus einer einzelnen Active Directory-Domänendienste (AD DS) Domäne mit dem Namen certbase.de. Auf allen Servercomputern ist Windows Server 2008 R2 installiert. Die Funktionsebe-ne der Domäne ist mit Windows Server 2008 R2 festgelegt.

Eine Firmensicherheitsrichtlinie schreibt vor, dass alle Benutzerkonten mit administrativen Privile-gien über komplexe Kennwörter verfügen müssen.

Sie müssen eine Lösung planen, die sicherstellt, dass Administratoren komplexe Kennwörter ver-wenden. Die Anzahl der erforderlichen Server für die Unterstützung Ihrer Lösung muss so gering wie möglich ausfallen.

Welche der folgenden Aktionen werden Sie in Ihre Planung einbeziehen?

A Das Implementieren des Netzwerkzugriffsschutzes.

B Das Implementieren der Active Directory-Rechteverwaltungsdienste.

C Das Erstellen einer neuen abgestimmten Kennwortrichtlinie (Password Setting Objekt, PSO) für die Benutzerkonten der Administratoren.

D Das Erstellen einer neuen, untergeordneten Domäne in der bestehenden Gesamtstruktur. Das Verschieben aller nicht-administrativen Konten in die neue Domäne und das erfordern kom-plexer Kennwörter für die Stammdomäne.


Korrekte Antwort: C

Erläuterungen:

Seit Windows Server 2008 erhalten Organisationen die Möglichkeit, verschiedene Kennwort- und Kontosperrungsrichtlinien für verschiedene Benutzergruppen in einer Domäne zu definieren. In Active Directory-Domänen von Microsoft Windows 2000 und Windows Server 2003 konnte nur eine Kennwortrichtlinie und Kontosperrungsrichtlinie auf alle Benutzer in der Domäne angewen-det werden. Diese Richtlinien wurden in der Standarddomänenrichtlinie für die Domäne angege-ben. Daher mussten Organisationen, die verschiedene Kennwort- und Kontosperrungsrichtlinien für verschiedene Benutzergruppen verwenden wollten, einen Kennwortfilter erstellen oder meh-rere Domänen bereitstellen. Beide Optionen sind aus unterschiedlichen Gründen aufwändig.


Frage 119

Sie sind als Netzwerkadministrator für das Unternehmen CertBase tätig. Das Firmennetzwerk be-steht aus einer einzelnen Active Directory-Domänendienste (AD DS) Domäne mit dem Namen certbase.de. Auf allen Servercomputern wird Windows Server 2008 R2 ausgeführt.

Sie müssen eine Strategie für die Implementierung von Gruppenrichtlinienobjekten (GPOs) emp-fehlen. Ihre Lösung muss die folgenden Anforderungen erfüllen:

Gruppenrichtlinienobjekte auf Domänenebene dürfen nicht durch GPOs auf Ebene von Orga-nisationseinheiten überschrieben werden.

Gruppenrichtlinienobjekte dürfen nicht auf Mitglieder der Gruppe Server-Operatoren ange-wendet werden.

Wie gehen Sie vor?

A Aktivieren Sie die Option Vererbung deaktivieren für die Domäne und bearbeiten Sie die Be-rechtigungen aller GPOs, die mit Organisationseinheiten verknüpft sind.

B Aktivieren Sie die Option Vererbung deaktivieren für die Domäne und aktivieren Sie den Loopbackverarbeitungsmodus. Nehmen Sie die Gruppe Server-Operatoren in die Richtlinie Eingeschränkte Gruppen auf.

C Aktivieren Sie die Option Erzwungen für alle Gruppenrichtlinienobjekte auf Domänenebene und bearbeiten Sie die Berechtigungen aller GPOs, die mit Organisationseinheiten verknüpft sind.

D Aktivieren Sie die Option Erzwungen für alle Gruppenrichtlinienobjekte auf Domänenebene und aktivieren Sie den Loopbackverarbeitungsmodus. Nehmen Sie die Gruppe Server-Operatoren in die Richtlinie Eingeschränkte Gruppen auf.


Korrekte Antwort: C

Erläuterungen:

Um zu verhindern, dass die Gruppenrichtlinienobjekte auf Domänenebene durch untergeordnete GPOs überschrieben werden, können wir die GPOs auf Domänenebene erzwingen.

Um zu verhindern, dass die GPOs, die mit Organisationseinheiten verknüpft sind, auf Mitglieder der Gruppe Server-Operatoren angewendet werden, können wir die Berechtigungen bzw. die Sicherheitsfilterung der GPOs bearbeiten und der Gruppe Server-Operatoren das Recht zur Über-nahme der Einstellungen verweigern.


Frage 120

Sie sind als Netzwerkadministrator für das Unternehmen CertBase tätig. Das Firmennetzwerk um-fasst drei Active Directory Gesamtstrukturen. Zwischen den Gesamtstrukturen bestehen bidirekti-onale Gesamtstrukturvertrauensstellungen. Jede Gesamtstruktur enthält eine Domäne. Auf allen Domänencontrollern wird das Betriebssystem Windows Server 2008 R2 ausgeführt.

Das Unternehmen beschäftigt insgesamt drei Netzwerkadministratoren. Jeder Administrator ver-waltet eine der Gesamtstrukturen einschließlich der Gruppenrichtlinienobjekte (GPOs) innerhalb der Gesamtstruktur.

Sie müssen standardisierte Gruppenrichtlinienobjekte erstellen, die von allen Netzwerkadministra-toren verwendet werden können. Ihre GPOs müssen den folgenden Anforderungen entsprechen:

Jedes GPO darf entweder nur Einstellungen der Computerkonfiguration oder nur Einstellun-gen der Benutzerkonfiguration enthalten.

Die Anzahl der GPOs muss möglichst gering gehalten werden. Welche zwei Schritte werden Sie durchführen? (Jede korrekte Antwort stellt einen Teil der Lösung dar. Wählen Sie zwei Antworten.)

A Exportieren Sie die neuen GPOs in *.cab Dateien und stellen Sie den Netzwerkadministratoren der Gesamtstrukturen die *.cab Dateien zur Verfügung.

B Erstellen Sie zwei Gruppenrichtlinienobjekte. Konfigurieren Sie beide GPOs mit den erforderli-chen Computer- und Benutzereinstellungen.

C Erstellen Sie zwei Gruppenrichtlinienobjekte. Konfigurieren Sie ein GPO mit den erforderlichen Computereinstellungen und das andere GPO mit den erforderlichen Benutzereinstellungen.

D Erstellen Sie auf dem Domänencontroller, auf dem Sie die neuen GPOs erstellt haben, eine Sicherung des Sysvol Verzeichnisses und stelen Sie den Netzwerkadministratoren der Ge-samtstrukturen die Sicherungen zur Verfügung.


Korrekte Antwort: A, C

Erläuterungen:

Starter-Gruppenrichtlinienobjekte werden von einem Gruppenrichtlinienobjekt (Group Policy Ob-ject, GPO) abgeleitet und ermöglichen das Speichern einer Sammlung von Richtlinieneinstellun-gen für administrative Vorlagen in einem einzelnen Objekt. Starter-Gruppenrichtlinienobjekte können importiert und exportiert und somit problemlos in anderen Umgebungen verteilt werden. Beim Erstellen eines neuen Gruppenrichtlinienobjekts aus einem Starter-Gruppenrichtlinienobjekt verfügt das neue Gruppenrichtlinienobjekt über alle Richtlinieneinstellungen für administrative Vorlagen sowie über die dazugehörigen Werte, die im Starter-Gruppenrichtlinienobjekt definiert wurden.

Mit dem Feature zum Importieren und Exportieren von Starter-Gruppenrichtlinienobjekten wird das Freigeben von Starter-Gruppenrichtlinienobjekten für andere Umgebungen vereinfacht.

Importieren eines Starter-Gruppenrichtlinienobjekts

1. Öffnen Sie die Gruppenrichtlinien-Verwaltungskonsole. Klicken Sie auf den Knoten Starter-Gruppenrichtlinienobjekte.

2. Klicken Sie auf CAB-Datei laden. Klicken Sie dann auf CAB-Datei suchen. 3. Suchen Sie mithilfe des Dialogfelds Starter-Gruppenrichtlinienobjekt laden die zu ladende

CAB-Datei des Starter-Gruppenrichtlinienobjekts. Klicken Sie auf den Dateinamen, und klicken Sie dann auf Öffnen.

4. Klicken Sie auf OK, um den Import abzuschließen.

Exportieren eines Starter-Gruppenrichtlinienobjekts

1. Öffnen Sie die Gruppenrichtlinien-Verwaltungskonsole. Klicken Sie auf den Knoten Starter-Gruppenrichtlinienobjekte.

2. Klicken Sie auf Sichern als CAB-Datei. 3. Geben Sie im Fenster Starter-Gruppenrichtlinienobjektbericht speichern den Namen der

Datei in das Feld Dateiname ein. Sie können optional auf Ordner durchsuchen klicken, um den Speicherort der CAB-Datei zu ändern.

4. Klicken Sie auf Speichern.


Frage 121

Sie sind als Netzwerkadministrator für das Unternehmen CertBase tätig. Das Firmennetzwerk be-steht aus einer einzelnen Active Directory-Domänendienste (AD DS) Domäne mit dem Namen certbase.de. Auf allen Domänencontrollern wird Windows Server 2008 R2 ausgeführt.

Sie müssen eine Überwachungsstrategie nach folgenden Anforderungen planen:

Es müssen alle Änderungen an den Active Directory-Domänendiensten (AD DS) überwacht werden.

Alle Daten der Überwachung müssen an einem zentralen Ort gespeichert werden. Wie gehen Sie vor?

A Konfigurieren Sie eine Überwachungsrichtlinie für die Domäne und die Ereignisweiterleitung.

B Konfigurieren Sie eine Überwachungsrichtlinie für die Domänencontroller und benutzerdefi-nierte Sammlungssätze.

C Implementieren Sie den Windows-Systemressourcen-Manager (WSRM) und verwenden Sie eine der integrierten Ressourcenverwaltungsrichtlinien.

D Implementieren Sie den Windows-Systemressourcen-Manager (WSRM) und verwenden Sie eine benutzerdefinierte Ressourcenverwaltungsrichtlinie.


Korrekte Antwort: A

Erläuterungen:

Mit der globalen Überwachungsrichtlinie Verzeichnisdienstzugriff überwachen können Sie steu-ern, ob die Überwachung für Verzeichnisdienstereignisse aktiviert oder deaktiviert ist. Die Sicher-heitseinstellung bestimmt, ob Ereignisse im Sicherheitsprotokoll protokolliert werden, wenn be-stimmte Vorgänge für Objekte im Verzeichnis ausgeführt werden. Sie können steuern, welche Vorgänge überwacht werden, indem Sie die Systemzugriff-Steuerungsliste (System Access Control List, SACL) für ein Objekt ändern.

Wenn Sie diese Richtlinieneinstellung definieren, können Sie angeben, ob Erfolge oder Fehler oder keines von beiden überwacht werden soll. Bei Erfolgsüberwachungen wird ein Überwa-chungseintrag generiert, wenn Benutzer erfolgreich auf ein AD DS-Objekt zugreifen, für das eine SACL angegeben ist. Bei Fehlerüberwachungen wird ein Überwachungseintrag generiert, wenn Benutzer erfolglos auf ein AD DS-Objekt zuzugreifen versuchen, für das eine SACL angegeben ist.

Sie können eine SACL für ein AD DS-Objekt auf der Registerkarte Sicherheit im Eigenschaftendia-logfeld des Objekts festlegen. Verzeichnisdienstzugriff überwachen wird auf die gleiche Weise angewendet wie Objektzugriffsversuche überwachen; diese Einstellung gilt jedoch nur für AD DS-Objekte und nicht für Dateisystemobjekte und Registrierungsobjekte.

Es wäre im Grunde treffender die Richtlinieneinstellung in der Standarddomänencontrollerrichtli-nie zu aktivieren (wie in Antwort B vorgeschlagen), da wird die auf den einzelnen Domänencon-trollern gesammelten Ereignisse jedoch an einer zentralen Stelle zusammenführen müssen, bleibt nur Antwort A als gültige Lösung.


Frage 122

Sie sind als Netzwerkadministrator für das Unternehmen CertBase tätig. Das Firmennetzwerk um-fasst einen Windows Server 2008 R2 Computer, der als Host für die Remotedesktopdienste ver-wendet wird. Auf allen Clientcomputern wird das Betriebssystem Windows 7 ausgeführt.

Sie müssen eine neue, branchenspezifische Anwendung bereitstellen. Ihre Bereitstellung muss den folgenden Anforderungen entsprechen:

Die Benutzer müssen über das Firmenportal Zugriff auf die Anwendung erhalten. Die Benutzer müssen immer Zugriff auf die aktuellste Version der Anwendung haben. Wie gehen Sie vor?

A Verwenden Sie ein Gruppenrichtlinienobjekt (GPO) und veröffentlichen Sie die Anwendung für die Benutzer.

B Aktivieren Sie den Web Access für Remotedesktop und veröffentlichen Sie die Anwendung als RemotApp.

C Verwenden Sie ein Gruppenrichtlinienobjekt (GPO) und weisen Sie die Anwendung den Client-computern zu.

D Verwenden Sie Microsoft System Center Configuration Manager (SCCM) 2007 R2 um die An-wendung zu verteilen.


Korrekte Antwort: B

Erläuterungen:

Web Access für Remotedesktop bietet eine flexible und einfache Möglichkeit für die Bereitstel-lung von Anwendungen innerhalb eines lokalen Netzwerks.

Mithilfe von Web Access für Remotedesktop (Web Access für RD), früher als Web Access für Ter-minaldienste bezeichnet, können Benutzer über das Startmenü auf einem Computer unter Windows 7 oder über einen Webbrowser auf RemoteApp und Remotedesktopverbindung zugrei-fen. RemoteApp und Remotedesktopverbindung stellen eine angepasste Ansicht von RemoteApp-Programme und virtuellen Desktops für Benutzer bereit.

Darüber hinaus umfasst Web Access für Remotedesktop das Feature Remotedesktop-Webverbindung, das den Benutzern das Herstellen einer Remoteverbindung von einem Webbrowser mit dem Desktop jedes Computers ermöglicht, auf dem Remotedesktopzugriff ver-fügbar ist.

Wenn ein Benutzer ein RemoteApp-Programm startet, wird auf dem Host für Remotedesktopsit-zungen-Server eine Remotedesktopdienste-Sitzung gestartet, die das RemoteApp-Programm hos-tet. Wenn ein Benutzer eine Verbindung mit einem virtuellen Desktop herstellt, wird eine Remo-tedesktopverbindung mit einem virtuellen Computer hergestellt, der auf einem Remotedesktop-Virtualisierungshost (RD Virtualization Host)-Server ausgeführt wird.

Um Benutzern Zugriff auf RemoteApp und Remotedesktopverbindung zu gewähren, müssen Sie Web Access für Remotedesktop so konfigurieren, dass die Quelle angegeben wird, die die für Benutzer angezeigten RemoteApp-Programme und virtuellen Desktops bereitstellt. Sie können Web Access für Remotedesktop so konfigurieren, dass eine der folgenden Möglichkeiten ver-wendet wird:

Remotedesktop-Verbindungsbroker (RD-Verbindungsbroker)-Server RemoteApp-Quelle Ein Remotedesktop-Verbindungsbroker-Server bietet Benutzern Zugriff auf virtuelle Desktops, die auf Remotedesktop-Virtualisierungshostservern gehostet werden, und auf RemoteApp-Programme, die auf Host für Remotedesktopsitzungen-Servern gehostet werden. Verwenden Sie das Tool Remotedesktopverbindungs-Manager, um den Remotedesktop-Verbindungsbroker-Server zu konfigurieren.

Ein RemoteApp-Quelle ist ein einzelner Host für Remotedesktopsitzungen-Server oder eine Farm identisch konfigurierter Host für Remotedesktopsitzungen-Server, auf dem RemoteApp-Programme konfiguriert wurden. Sie können mehrere RemoteApp-Quellen angeben. Verwenden Sie RemoteApp-Manager, um RemoteApp-Programme auf einem Host für Remotedesktopsitzun-gen-Server zu konfigurieren.


Frage 123

Sie sind als Netzwerkadministrator für das Unternehmen CertBase tätig. Das Firmennetzwerk be-steht aus einer einzelnen Active Directory-Domänendienste (AD DS) Domäne mit dem Namen certbase.de. Die Benutzer verwenden einen DFS-Namensraum für den gemeinsamen Zugriff auf Dokumente.

Sie müssen eine Lösung für den verwalteten Zugriff auf Dokumente empfehlen. Ihre Lösung muss folgende Anforderungen unterstützen:

Unterstützung einer Versionsverwaltung für Dokumente. Unterstützung für die Online-Zusammenarbeit. Welche der folgenden Technologien werden Sie empfehlen?

A Ressourcen-Manager für Dateiserver (FSRM)

B Volumeschattenkopie-Dienst (VSS)

C Microsoft SharePoint Foundation 2010

D Windows-Systemressourcen-Manager (WSRM)


Korrekte Antwort: C

Erläuterungen:

Microsoft SharePoint Foundation 2010 ist die neue Version von Microsoft Windows SharePoint Services. Es handelt sich dabei um die unerlässliche Lösung für Organisationen, die eine sichere, verwaltbare, webbasierte Zusammenarbeitsplattform benötigen. SharePoint unterstützt Teams, weiterhin in Verbindung und produktiv zu bleiben, indem es einfachen Zugriff auf Personen, Do-kumente und Informationen bietet, die sie benötigen, um gut informierte Entscheidungen zu treffen und ihre Arbeit zu erledigen. Verwenden Sie SharePoint Foundation zum Koordinieren von Zeitplänen, Organisieren von Dokumenten und Teilnehmen an Diskussionen durch Team-Arbeitsbereiche, Blogs, Wikis und Dokumentbibliotheken auf der Plattform, die der Infrastruktur für SharePoint Server zugrunde liegt.


Frage 124

Sie sind als Netzwerkadministrator für das Unternehmen CertBase tätig. Das Firmennetzwerk be-steht aus einer einzelnen Active Directory-Domänendienste (AD DS) Domäne mit dem Namen certbase.de. Die Domäne umfasst einen Windows Server 2008 R2 Dateiserver mit dem Namen Server1.

Server1 hostet eine Freigabe mit dem Namen BenutzerDoks. Jeder Benutzer hat in der Freigabe ein Unterverzeichnis für das Speichern persönlicher Dateien.

Sie müssen eine Lösung für die Datenverwaltung entwerfen, die folgenden Anforderungen ge-recht wird:

Der Speicherplatz, der jedem Benutzer in der Freigabe BenutzerDoks zur Verfügung steht, muss beschränkt werden.

Administratoren müssen eine Benachrichtigung erhalten, wenn Benutzer versuchen Multime-diadateien in der Freigabe zu speichern.

Der administrative Aufwand muss so gering wie möglich ausfallen. Welche Aktionen werden Sie in Ihre Planung einbeziehen?

A Konfigurieren Sie NTFS-Datenträgerkontingente und erstellen Sie eine geplante Aufgabe für das Versenden einer E-Mail Benachrichtigung.

B Konfigurieren Sie NTFS-Datenträgerkontingente. Erstellen Sie eine geplante Aufgabe für ein Skript, das die Inhalte von BenutzerDoks überwacht und eine E-Mail versendet, sobald eine Multimediadatei gefunden wird.

C Installieren Sie den Rollendienst Ressourcen-Manager für Dateiserver auf Server1. Konfigurie-ren Sie Ereignisabonnements.

D Installieren Sie den Rollendienst Ressourcen-Manager für Dateiserver auf Server1. Konfigurie-ren Sie harte Kontingente und Dateiprüfungen.


Korrekte Antwort: D

Erläuterungen:

Die Kontingentverwaltung im Ressourcen-Manager für Dateiserver bietet folgende Möglichekiten:




Die Dateiprüfungsverwaltung im Ressourcen-Manager für Dateiserver bietet folgende Möglicheki-ten:

Erstellen von Dateiprüfungen, um zu steuern, welche Dateitypen von Benutzern gespeichert werden können, und um Benachrichtigungen zu senden, wenn Benutzer versuchen, nicht au-torisierte Dateien zu speichern.

Definieren von Dateiprüfungsvorlagen, die auf einfache Weise auf neue Volumes oder Ordner angewendet und dann in der gesamten Organisation verwendet werden können.

Erstellen von Dateiprüfungsausnahmen zur Erweiterung der Flexibilität von Dateiprüfungsre-geln.


Frage 125

Sie sind als Netzwerkadministrator für das Unternehmen CertBase tätig. Das Firmennetzwerk be-steht aus einer einzelnen Active Directory-Domänendienste (AD DS) Domäne mit dem Namen certbase.de. Das Unternehmen hat eine Hauptgeschäftsstelle und eine Zweigstelle.

Sie planen die Installation von 25 neuen Windows Server 2008 R2 Mitgliedsservern für die Zweig-stelle. Sie müssen eine Lösung für das Speichern der Daten entwerfen, die folgende Anforderun-gen erfüllt:

Alle Daten auf den Festplatten müssen verschlüsselt werden. Das Betriebssystem darf nur dann starten, wenn ein autorisierter Benutzer anwesend ist. Welche der folgenden Technologien werden Sie in Ihre Planung einbeziehen?

A Das verschlüsselnde Dateisystem (Encrypting File System, EFS)

B Den Ressourcen-Manager für Dateiserver (FSRM)

C Die BitLocker-Laufwerksverschlüsselung

D Den Windows-Systemressourcen-Manager (WSRM)


Korrekte Antwort: C

Erläuterungen:

BitLocker-Laufwerkverschlüsselung ist ein Datenschutzfeature, das unter Windows Server 2008 R2 und in einigen Versionen von Windows 7 zur Verfügung steht. Durch die Integration von Bit-Locker im Betriebssystem wird Bedrohungen durch Datendiebstahl oder Folgen bei verlorenen, gestohlenen oder nicht ordnungsgemäß außer Betrieb gesetzten Computern entgegengewirkt.

Daten auf einem verloren gegangenen oder gestohlenen Computer sind nicht autorisierten Zu-griffen durch die Ausführung von Softwareangriffstools oder das Kopieren der Festplatte auf ei-nen anderen Computer schutzlos ausgesetzt. Mit BitLocker können Sie das Risiko von nicht auto-risiertem Datenzugriff durch die Verbesserung des Datei- und Computerschutzes verringern. Bit-Locker kann auch verwendet werden, um Daten unzugänglich zu machen, wenn mit BitLocker geschützte Computer außer Betrieb gesetzt oder wiederverwendet werden.

Bei Verwendung mit einem Trusted Platform Module (TPM), Version 1.2, bietet BitLocker größt-möglichen Schutz. Das TPM ist eine Hardwarekomponente, die von den Computerherstellern in vielen neuen Computern installiert wird. Das TPM kann mit BitLocker verwendet werden, um Benutzerdaten zu schützen und um sicherzustellen, dass ein Computer nicht manipuliert wurde, während das System offline geschaltet wurde.

Auf Computern, die nicht über das TPM (Version 1.2) verfügen, können Sie dennoch BitLocker verwenden, um das Windows-Betriebssystemlaufwerk zu verschlüsseln. Diese Implementierung erfordert jedoch den Anschluss eines USB-Geräts mit Systemstartschlüssel, damit der Computer gestartet wird bzw. seinen Betrieb aus dem Ruhezustand aufnimmt. Die Systemintegritätsprüfung vor dem Start, die BitLocker mit einem TPM bietet, steht in diesem Fall nicht zur Verfügung.

Darüber hinaus kann mit BitLocker der normale Systemstart solange gesperrt werden, bis der Benutzer eine PIN (Personal Identification Number) eingibt oder ein Wechselmedium (z. B. ein USB-Flashlaufwerk) mit einem Systemstartschlüssel anschließt. Diese zusätzlichen Sicherheitsmaß-nahmen bieten eine mehrstufige Authentifizierung und stellen sicher, dass der Computer erst dann gestartet wird oder den Betrieb aus dem Ruhezustand wieder aufnimmt, wenn die richtige PIN eingegeben oder der richtige Systemstartschlüssel erkannt wird.


Frage 126

Sie sind als Netzwerkadministrator für das Unternehmen CertBase tätig. Das Firmennetzwerk be-steht aus einer einzelnen Active Directory-Domänendienste (AD DS) Domäne mit dem Namen certbase.de. Das Netzwerk umfasst 20 Windows Server 2008 R2 Computer, die als Dateiserver verwendet werden. Jeder der 20 Dateiserver ist mit zwei Volumes konfiguriert. Ein Volume ent-hält das Betriebssystem und das andere Volume wird für das Speichern der Dateien verwendet.

Sie müssen eine Lösung für die Wiederherstellung planen, die folgende Aspekte berücksichtigt:

Ihre Lösung muss eine Wiederherstellung des Betriebssystems ermöglichen. Ihre Lösung muss eine Wiederherstellung der Datendateien ermöglichen. Ihre Lösung muss die Betriebskontinuität sicherstellen. Welche der folgenden Technologien werden Sie in Ihre Planung einbeziehen?

A Die Windows-Bereitstellungsdienste (WDS).

B Das Windows Automated Installation Kit (Windows AIK) und die Ordnerumleitung.

C Das Feature Multipath E/A und Volumeschattenkopien.

D Die Windows Server-Sicherungsfeatures und die Systemabbildwiederherstellung.


Korrekte Antwort: D

Erläuterungen:

Die Windows Server-Sicherung besteht aus einem Microsoft Management Console-Snap-In (MMC-Snap-In), Befehlszeilentools sowie Windows PowerShell-Cmdlets, die zusammen eine voll-ständige Lösung für tägliche Sicherungs- und Wiederherstellungsaufgaben darstellen. Mit der Windows Server-Sicherung können Sie einen vollständigen Server (alle Volumes), ausgewählte Volumes, den Systemstatus oder bestimmte Dateien und Ordner sichern und eine Sicherung er-stellen, die Sie für die Bare-Metal-Recovery verwenden können. Sie können Volumes, Ordner, Dateien, bestimmte Anwendungen und den Systemstatus wiederherstellen. In Notfällen, bei-spielsweise bei Festplattenausfall, können Sie eine Bare-Metal-Recovery ausführen. (Dazu ist eine vollständige Sicherung des Servers oder der Volumes mit Betriebssystemdateien sowie der Windows-Wiederherstellungsumgebung erforderlich. Damit wird das gesamte System auf dem alten System oder einer neuen Festplatte wiederhergestellt.)

Mit Windows Server-Sicherung können Sie Sicherungen für den lokalen Computer oder einen Remotecomputer erstellen und verwalten. Außerdem können Sie die automatische Ausführung von Sicherungen planen.


Frage 127

Sie sind als Netzwerkadministrator für das Unternehmen CertBase tätig. Das Firmennetzwerk be-steht aus einer einzelnen Active Directory-Domänendienste (AD DS) Domäne mit dem Namen certbase.de. Das Unternehmen hat eine Hauptgeschäftsstelle und eine Zweigstelle. Für jeden der beiden Standorte wurde ein Active Directory-Standort konfiguriert.

Sie planen die Installation eines zwei-Knoten-Failoverclusters, um einen hochverfügbaren Druck-server für die Zweigstelle bereitzustellen.

Die Firmensicherheitsrichtlinien sehen vor, dass die Angriffsfläche und der Verwaltungsaufwand für Server, die in der Zweigstelle aufgestellt werden, minimiert werden muss.

Welches Betriebssystem werden Sie auf den beiden Knoten des Failoverclusters installieren?

A Eine vollständige Installation von Windows Server 2008 R2 Enterprise.

B Eine vollständige Installation von Windows Server 2008 R2 Standard.

C Eine Server Core-Installation von Windows Server 2008 R2 Enterprise.

D Eine Server Core-Installation von Windows Server 2008 R2 Standard.


Korrekte Antwort: C

Erläuterungen:

Die Server Core-Installationsoption des Microsoft Windows Server 2008-Betriebssystems ist eine neue Opti-on zur Installation von Windows Server 2008. Eine Server Core-Installation stellt eine minimale Umgebung zur Ausführung bestimmter Server-Rollen dar. Neben dem Wartungs- und Verwaltungsaufwand wird dadurch auch die Angriffsfläche für diese Server-Rollen reduziert. Bei einer Server Core-Installation sind die folgenden Server-Rollen auswählbar:

Active Directory Domain Services (AD DS) Active Directory Lightweight Directory Services (AD LDS) Dynamic Host Configuration Protocol (DHCP) -Server DNS (Domain Name Service) -Server Dateiserver Druckserver Streaming Media Services Webserver (IIS) Die folgenden optionalen Funktionen werden ebenfalls unterstützt:

Microsoft Failover Cluster Netzwerklastenausgleich Subsystem für UNIX-basierte Anwendungen Windows Backup Multipath I/O Removable Storage Management Windows Bitlocker-Laufwerksverschlüsselung Simple Network Management Protocol (SNMP) Windows Internet Naming Service (WINS) Telnet-Client Quality of Service (QoS) Zur Bereitstellung dieser minimalen Umgebung werden bei einer Server Core-Installation nur eine Unter-menge der ausführbaren Dateien respektive nur solche Binaries installiert, die zur Ausübung der gewählten Server-Rollen erforderlich sind. Der Windows-Explorer beispielsweise wird bei einer Server Core-Installation nicht mit installiert. Stattdessen stellt die Befehlszeile die standardmäßige Benutzerschnittstelle für eine Server Core-Installation dar. Ist der Server fertig installiert und konfiguriert, lässt sich dieser entweder lokal über die Befehlszeile oder aus der Ferne per Remotedesktop verwalten. Ebenso können Sie den Server re-mote über die Microsoft Management Console (MMC) oder Befehlszeilen-Tools verwalten, die einen Remo-teeinsatz gestatten.

Vorteile einer Server Core-Installation

Die Server Core-Installationsoption von Windows Server 2008 bietet die folgenden Vorteile:

Weniger Wartung: Da bei einer Server Core-Installation nur das installiert wird, was zur Verwaltung eines DHCP-, Datei-, Druck-, DNS-, Media Services-, AD LDS- oder Active Directory-Servers erforderlich ist, fällt weniger Wartungsaufwand an.

Weniger Angriffsfläche: Bei Server Core-Installationen sind Systemdateien nur in minimalem Umfang installiert, und es laufen nur wenig Dienste und Anwendungen. Dies verringert die Angriffsfläche.

Weniger Verwaltung: Da auf einem Server bei der Server Core-Installation nur wenige Anwendungen und Dienste vorhanden sind, sinkt der Verwaltungsaufwand.

Weniger Speicherplatzbedarf: Eine Server Core-Installation benötigt zur Installation nur etwa 1 Giga-byte (GB) Festplattenspeicher. Im Anschluss daran sind beim Betrieb lediglich rund 2 GB erforderlich.

Das Feature Failovercluster ist erst in der Enterprise Edition von Windows Srever 2008 R2 enthalten. Um den Anforderungen der Firmensicherheitsrichtlinien gerecht zu werden, sollte die Server Core-Installation gewählt werden.


Frage 128

Sie sind als Netzwerkadministrator für das Unternehmen CertBase tätig. Das Firmennetzwerk be-steht aus einer einzelnen Active Directory-Domänendienste (AD DS) Domäne mit dem Namen certbase.de.

Das Unternehmen verwendet ein separates Netzwerk mit einem Bereitstellungsserver, um Windows Server 2008 R2 automatisiert auf neue Servercomputer zu verteilen. Der Bereitstel-lungsserver ist nur sporadisch mit der Domäne verbunden.

Sie wollen den Prozess der Serverinstallation verbessern und die Anzahl der erforderlichen Neu-starts nach der Installation minimieren.

Was werden Sie in den Prozess der Serverinstallation einbeziehen?

A Einen Offline-Domänenbeitritt.

B Das Starten von einer virtuellen Festplatte (VHD).

C Die Offline-Wartung des Installationsabbildes.

D Die Online-Wartung des Installationsabbildes.


Korrekte Antwort: A

Erläuterungen:

Ein Offline-Domänenbeitritt ist ein neuer Prozess, bei dem Computer unter Windows® 7 oder Windows Server 2008 R2 einer Domäne beitreten, ohne mit einem Domänencontroller Kontakt aufnehmen zu müs-sen. So können Computer auch dann einer Domäne beitreten, wenn keine Verbindung mit einem Unter-nehmensnetzwerk besteht.

Angenommen, eine Organisation möchte viele virtuelle Computer in einem Datencenter bereitstellen. Durch den Offline-Domänenbeitritt ist es möglich, dass die virtuellen Computer beim ersten Starten nach der Installation des Betriebssystems der Domäne beitreten. Für die Ausführung eines Offline-Domänenbeitritts ist kein zusätzlicher Neustart erforderlich. Dadurch kann die Gesamtdauer für umfangrei-che Bereitstellungen virtueller Computer deutlich gesenkt werden.

Durch einen Domänenbeitritt wird eine Vertrauensstellung zwischen einem Computer unter einem Windows-Betriebssystem und einer Active Directory-Domäne hergestellt. Dieser Vorgang setzt Statusände-rungen in den Active Directory-Domänendiensten (Active Directory Domain Services, AD DS) und Statusän-derungen auf dem Computer voraus, der der Domäne beitritt. Für die Ausführung eines Domänenbeitritts war es unter älteren Windows-Betriebssystemen erforderlich, dass der Computer, der der Domäne beitrat, in Betrieb war und über eine Netzwerkverbindung mit dem Domänencontroller verfügte. Der Offline-Domänenbeitritt zeichnet sich im Vergleich dazu durch folgende Vorteile aus:

Die Active Directory-Statusänderungen werden ohne Netzwerkverkehr mit dem Computer ausgeführt. Die Statusänderungen des Computers werden ohne Netzwerkverkehr mit einem Domänencontroller

ausgeführt. Alle Änderungen können zu unterschiedlichen Zeiten ausgeführt werden. Durch den Offline-Domänenbeitritt können die Gesamtbetriebskosten für Computer gesenkt werden, da die Startzeit der einzelnen Server reduziert und die Zuverlässigkeit von Domänenbeitritten in Produktion-sumgebungen gesteigert werden können.

Datencenter verfügen üblicherweise über einen Bereitstellungsserver, der ein Abbild konfiguriert und dieses Abbild dann zur Bereitstellung an einen Produktionscomputer sendet. Die Installation des Produktionscom-puters wird ausgeführt, der Computer wird der Domäne hinzugefügt und anschließend neu gestartet. Wenn Probleme im Zusammenhang mit dem Domänenbeitritt auftreten, wie z. B. Netzwerkverbindungs-probleme oder Probleme mit notwendigen Servern, die offline sind, müssen diese Probleme zu diesem Zeitpunkt diagnostiziert und behoben werden. In einer solchen Situation können Probleme im Zusammen-hang mit der Kommunikation zwischen Produktionsserver und Domänencontroller durch den Offline-Domänenbeitritt verhindert werden, indem die Domänenbeitrittsinformationen während der Installation des Produktionscomputers konfiguriert werden. Die Gesamtdauer für die Installation der einzelnen Server sinkt, da der zusätzliche Neustart am Ende eines Online-Domänenbeitritts nicht notwendig ist.

Für einen Offline-Domänenbeitritt führen Sie die entsprechenden Befehle mit einem neuen Tool namens Djoin.exe aus. Mit Djoin.exe stellen Sie die nötigen Computerkontodaten in den Active Directory-Domänendiensten bereit. Mit diesem Tool fügen Sie außerdem die Computerkontodaten in das Windows-Verzeichnis auf dem Zielcomputer ein, also dem Computer, der der Domäne beitreten soll.

Sie können Djoin.exe nur auf Computern unter Windows 7 oder Windows Server 2008 R2 ausführen. Auf dem Computer, auf dem Sie Djoin.exe zur Bereitstellung von Computerkontodaten in den Active Directory-Domänendiensten ausführen, muss Windows 7 oder Windows Server 2008 R2 ausgeführt werden. Auf dem Computer, der der Domäne beitreten soll, muss ebenfalls Windows 7 oder Windows Server 2008 R2 ausgeführt werden.

Standardmäßig richten sich die Djoin.exe-Befehle an einen Domänencontroller, auf dem Windows Server 2008 R2 ausgeführt wird. Sie können jedoch einen optionalen Parameter /downlevel angeben, wenn das Ziel ein Domänencontroller unter einer Windows Server-Version sein soll, die älter als Windows Server 2008 R2 ist.


Frage 129

Sie sind als Netzwerkadministrator für das Unternehmen CertBase tätig. Das Firmennetzwerk be-steht aus einer einzelnen Active Directory-Domänendienste (AD DS) Domäne mit dem Namen certbase.de.

Sie planen die Bereitstellung einer Webanwendung in einer Serverfarm mit 10 neuen Windows Server 2008 R2 Webservern.

Sie müssen sicherstellen, dass alle Server der Serverfarm identische Verschlüsselungsschlüssel für die Verschlüsselung der Zustandsinformationen der Benutzersitzungen verwenden.

Sie wollen Ihr Ziel mit einem geringstmöglichen Verwaltungsaufwand erreichen.


A Die Serverrolle Active Directory-Lightweight Directory Services (AD LDS).

B Das Feature Failovercluster.

C Das Internetinformationsdienste (IIS) Feature HTTP-Umleitung .

D Das Internetinformationsdienste (IIS) Feature Freigegebene Konfiguration.


Korrekte Antwort: D

Erläuterungen:

Mit dem Feature Freigegebene Konfiguration können Sie die folgenden Aktionen ausführen:

Konfigurieren Sie den Webserver so, dass Konfigurationsdateien und Verschlüsselungsschlüs-sel von einem zentralen Speicherort verwendet werden.

Exportieren Sie die Konfigurationsdateien und Verschlüsselungsschlüssel von Ihrem Webserver in einen zentralen Speicherort, der mit anderen Servern gemeinsam genutzt oder zur Speiche-rung einer Sicherungskopie der Konfigurationsdateien und Verschüsselungsschlüssel verwen-det werden kann.

Diese Option ist nützlich, wenn Sie eine Webfarm haben und jeder Webserver der Farm dieselben Konfigurationsdateien und Verschlüsselungsschlüssel verwenden soll.


Frage 130

Sie sind als Netzwerkadministrator für das Unternehmen CertBase tätig. Das Firmennetzwerk be-steht aus einer einzelnen Active Directory-Domänendienste (AD DS) Domäne mit dem Namen certbase.de. Die Domäne umfasst einen Windows Server 2008 R2 Dateiserver mit dem Namen Server1. Die Rechtsabteilung verwendet Server1 für das Speichern von Dokumenten.

Die Mitarbeiter der Rechtsabteilung führen häufig Suchabfragen nach einzelnen Dokumenten durch. Die Mitarbeiter berichten, dass die Dauer der Suche nach Dokumenten in der Freigabe zugenommen hat.

Sie müssen die Zeit, die für die Suche nach Dokumenten in der Freigabe der Rechtsabteilung be-nötigt wird, minimieren.

Wie gehen Sie vor?

A Installieren Sie den Rollendienst Ressourcen-Manager für Dateiserver.

B Installieren Sie die Rolle Druck- und Dokumentdienste.

C Installieren Sie den Rollendienst Dienste für NFS (Network File System).

D Installieren Sie den Rollendienst Windows Search.


Korrekte Antwort: D

Erläuterungen:

Beim Windows-Suchdienst (Windows Search) handelt es sich um eine neue Indizierungslösung, die im Umfang von Windows Server 2008 als Rollendienst in der Dateidienste-Rolle enthalten ist. Mit dem Dienst wird ein Index der gebräuchlichsten Datentypen (dateibasiert und nicht dateiba-siert) auf dem Server erstellt – beispielsweise E-Mail, Kontakte, Termine, Dokumente, Fotos, Mul-timedia und weitere Formate, die durch Nicht-Microsoft-Dateien erweitert werden. Durch das Indizieren von Dateien und Datentypen können Sie schnelle Dateisuchvorgänge für den Server auf Computern unter Windows Vista oder auf Computern unter Windows XP bzw. Windows Server 2003 mit installierter Windows-Desktopsuche ausführen.

Wenn Sie den Windows-Suchdienst mithilfe des Assistenten zum Hinzufügen von Rollen oder des Assistenten zum Hinzufügen von Rollendiensten im Server-Manager installieren, können Sie die Volumes auswählen, die Sie indizieren möchten. Es empfiehlt sich, ein Volume nur dann auszu-wählen, wenn dieses Volume ausschließlich zum Hosten von freigegebenen Ordnern verwendet wird. Das Indizieren von Dateien und Datentypen in Ordnern, die nicht im Netzwerk freigegeben sind, bringt keine Vorteile für Clientcomputer mit sich, auf denen Verbindungen mit dem Server hergestellt werden. Vielmehr werden Systemressourcen verbraucht.

Wenn Sie einzelne freigegebene Ordner indizieren möchten, können Sie sie mithilfe der Indizie-rungsoptionen in der Systemsteuerung später der Liste der Indizierungsspeicherorte hinzufügen.


Frage 131

Sie sind als Netzwerkadministrator für das Unternehmen CertBase tätig. Das Firmennetzwerk be-steht aus einer einzelnen Active Directory-Domänendienste (AD DS) Domäne mit dem Namen certbase.de. Auf allen Servercomputern ist das Betriebssystem Windows Server 2008 R2 instal-liert. Das Unternehmen hat eine Active Directory Lightweight Directory Services (AD LDS) Instanz für die Unterstützung einer branchenspezifischen Anwendung.

Sie müssen eine Lösung entwerfen, die die Administration der AD LDS-Instanz über eine sichere Verbindung ermöglicht.

Was werden Sie in Ihre Lösung einbeziehen?

A Ein Zertifikat für die Serverauthentifizierung.

B Zertifikate für die Clientauthentifizierung.

C Die Digestauthentifizierung.

D Die Windows-integrierte Authentifizierung.


Korrekte Antwort: A

Erläuterungen:

Das Lightweight Directory Access-Protokoll (LDAP) wird für Lese- und Schreibvorgänge in Active Directory Lightweight Directory Services (AD LDS) verwendet. Standardmäßig wird LDAP-Datenverkehr nicht sicher übertragen. Mit den Technologien SSL (Secure Sockets Layer) und TLS (Transport Layer Security) können Sie den LDAP-Datenverkehr vertraulich und sicher übertragen.

Wenn Sie verschlüsselte SSL-basierte Verbindungen mit AD LDS aktivieren möchten, müssen Sie ein Zertifikat für die Serverauthentifizierung bei einer vertrauenswürdigen Zertifizierungsstelle (Certification Authority, CA) Ihrer Organisation oder der Zertifizierungsstelle eines vertrauenswür-digen Drittanbieters anfordern und erhalten.

Sie müssen das Zertifikat nach Erhalt von einer vertrauenswürdigen Zertifizierungsstelle auf dem Server, auf dem AD LDS ausgeführt wird, installieren oder auf diesen importieren. Zum Installie-ren oder Importieren der Zertifikate können Sie das Snap-In Zertifikate von Windows Server 2008 verwenden.

Wenn Sie ein Zertifikat von einer vertrauenswürdigen Zertifizierungsstelle auf dem Computer, auf dem AD LDS ausgeführt wird, installieren oder dieses importieren, sollten Sie das Zertifikat im persönlichen Speicher von AD LDS speichern. Wenn Sie das Zertifikat für andere Anwendungen verwenden möchten als AD LDS, müssen Sie dieses im persönlichen Zertifikatspeicher des lokalen Computers speichern.

Zum Testen des Zertifikats für die Serverauthentifizierung können Sie Ldp.exe auf dem Computer öffnen, auf dem die Instanz von AD LDS ausgeführt wird. Stellen Sie dann mit dieser AD LDS-Instanz, für die die SSL-Option aktiviert ist, eine Verbindung her.

So stellen Sie mithilfe von "Ldp.exe" über LDAPS eine Verbindung mit der AD LDS-Instanz her:

Klicken Sie auf Start und anschließend auf Server-Manager. Doppelklicken Sie in der Konsolenstruktur auf Rollen, und klicken Sie dann auf Active Direc-

tory Lightweight Directory Services. Klicken Sie im Detailbereich unter Weitere Tools auf Ldp.exe. Klicken Sie im Menü Verbindung auf Verbinden. Geben Sie unter Server den FQDN des Computers ein, auf dem die Instanz von AD LDS aus-

geführt wird. Geben Sie unter Port die SSL-Kommunikationsportnummer ein, die durch die AD LDS-Instanz

verwendet wird, mit der Sie eine Verbindung herstellen möchten. Überprüfen Sie, ob das Kontrollkästchen SSL aktiviert ist, und klicken Sie dann auf OK.


Frage 132

Sie sind als Netzwerkadministrator für das Unternehmen CertBase tätig. Das Firmennetzwerk be-steht aus einer einzelnen Active Directory-Domänendienste (AD DS) Domäne mit dem Namen certbase.de. Die Domäne umfasst einen Windows Server 2008 R2 Computer, auf dem die Rolle Hyper-V installiert.

Sie müssen eine Lösung entwerfen, die es einem Mitarbeiter der Buchhaltung ermöglicht, be-stimmte Eigenschaften der virtuellen Server der Buchhaltungsabteilung einzusehen. Der Benutzer darf jedoch keine Einstellungen der virtuellen Server verändern.


A Den Assistenten zum Zuweisen der Objektverwaltung.

B Den Autorisierungs-Manager und die rollenbasierte Zugriffssteuerung.

C Lokale Sicherheitsgruppen auf dem Hyper-V Server.

D Lokale Gruppen auf den virtuellen Computern.


Korrekte Antwort: B

Erläuterungen:

Die rollenbasierte Zugriffssteuerung für Hyper-V wird mithilfe des MMC-Snap-Ins (Microsoft Ma-nagement Console) Autorisierungs-Manager (AzMan.msc) bereitgestellt.

Zum Implementieren der rollenbasierten Zugriffssteuerung müssen Sie zunächst Bereiche definie-ren. Anschließend fassen Sie die Vorgänge, die zum Ausführen von Aufgaben erforderlich sind, in Gruppen zusammen. Sie weisen bestimmten Rollen Aufgaben zu und weisen dann Benutzer oder Gruppen der Rolle zu. Jeder Benutzer, der einer Rolle zugewiesen ist, kann alle Vorgänge in allen der Rolle zugewiesenen Aufgaben ausführen.

Das Einrichten der rollenbasierten Zugriffssteuerung für Hyper-V umfasst vier allgemeine Schritte:

1. Definieren von Bereichen entsprechend den Anforderungen der Organisation. Sie können Bereiche beispielsweise nach der Geografie, der Organisationsstruktur, der Funktion (Entwick-ler/Test oder Produktion) oder entsprechend den Active Directory-Verzeichnisdiensten definie-ren.

2. Definieren von Aufgaben. Im Autorisierungs-Manager können Sie keine Vorgänge ändern oder erstellen. Sie können jedoch beliebig viele Aufgaben erstellen und diese zu Rollendefini-tionen zusammenfassen.

3. Erstellen von Rollen. Wenn Sie beispielsweise eine Rolle IT-Monitor erstellen möchten, mit der Sie Eigenschaften eines virtuellen Computers anzeigen, aber nicht mit dem virtuellen Compu-ter interagieren möchten, erstellen Sie im Autorisierungs-Manager eine neue Aufgabe mit der Bezeichnung Virtuellen Computer überwachen mit folgenden Vorgängen: Lesen der Dienstkonfiguration Anzeigen externer Ethernet-Anschlüsse Anzeigen interner Ethernet-Anschlüsse Anzeigen von LAN-Endpunkten Anzeigen von Switchports Anzeigen von Switches Anzeigen des Verwaltungsdiensts für virtuelle Switches Anzeigen von LAN-Einstellungen

4. Zuweisen von Benutzern oder Gruppen zu Rollen. Angenommen, Sie verwenden zwei Sätze von virtuellen Computern, von denen einer zur Perso-nalabteilung gehört und der andere zur Finanzabteilung. Die Administratoren virtueller Computer für die Personalabteilung sollen über Vollzugriff auf die virtuellen Computer für diese Abteilung verfügen, aber keinen Zugriff auf die virtuellen Computer der Finanzabteilung haben. Entspre-chend sollen die Administratoren virtueller Computer für die Finanzabteilung keinen Zugriff auf die virtuellen Computer der Personalabteilung erhalten. Zu diesem Zweck definieren Sie eine Rolle Abteilungsadministrator virtueller Computer, definieren die entsprechenden Aufgaben und wei-sen dann jeden Administrator dieser Rolle im entsprechenden Bereich zu. Den Bereich der Admi-nistratoren virtueller Computer für die Personalabteilung legen Sie auf die virtuellen Computer in der Personalabteilung fest und den Bereich der Administratoren virtueller Computer für die Fi-nanzabteilung auf die virtuellen Computer in der Finanzabteilung. Anschließend weisen Sie die virtuellen Computer ihren jeweiligen Bereichen zu.


Frage 133

Sie sind als Netzwerkadministrator für das Unternehmen CertBase tätig. Das Firmennetzwerk be-steht aus einer einzelnen Active Directory-Domänendienste (AD DS) Domäne mit dem Namen certbase.de. Die Domäne umfasst mehrere Windows Server 2008 R2 Webserver.

Die Firmensicherheitsrichtlinien sehen vor, dass ausschließlich Angestellte des Unternehmens Do-mänenbenutzerkonten erhalten dürfen.

Im Rahmen eines Wartungsvertrages müssen Sie den externen Mitarbeitern einer Beraterfirma administrative Berechtigungen für die Websites Ihrer Webserver erteilen. Sie müssen Ihr Ziel unter Einhaltung der Firmensicherheitsrichtlinien erreichen.

Wie gehen Sie vor?

A Erstellen Sie lokale Benutzerkonten.

B Erstellen Sie Domänenbenutzerkonten.

C Erstellen Sie IIS-Manager-Benutzerkonten.

D Installieren Sie die Active Directory Lightweight Directory Services.


Korrekte Antwort: C

Erläuterungen:

Mit der Featureseite IIS-Manager-Benutzer werden Benutzerkonten erstellt und verwaltet, denen die Herstellung einer Verbindung mit Sites oder Anwendungen des Webservers gewährt werden kann. IIS-Manager-Anmeldeinformationen sind nur für IIS gültig. Sie werden von Windows und anderen Anwendungen auf dem Server nicht erkannt. Sie können den IIS-Manager-Berechtigungen detailierte Berechtigungen für einzelne Websites, FTP-Sites oder Anwendungen erteilen.


Frage 134

Sie sind als Netzwerkadministrator für das Unternehmen CertBase tätig. Das Firmennetzwerk be-steht aus einer einzelnen Active Directory-Domänendienste (AD DS) Domäne mit dem Namen certbase.de. Das Unternehmen hat eine Hauptgeschäftsstelle und eine Zweigstelle. Für jeden der beiden Standorte ist ein Active Directory-Standort konfiguriert.

Das Unternehmen hat einen neuen Administrator angestellt. Der neue Administrator soll aus-schließlich die Clientcomputer der Zweigstelle verwalten. Zu seinen Aufgaben wird unter anderem das Installieren von Software und Gerätetreibern gehören. Der neue Administrator darf keine administrativen Berechtigungen für die Domäne und die Clientcomputer der Hauptgeschäftsstelle erhalten.

Sie müssen dem neuen Administrator die erforderlichen, administrativen Berechtigungen erteilen.

Wie gehen Sie vor?

A Verwenden Sie ein Gruppenrichtlinienobjekt und konfigurieren Sie die Kontorichtlinien.

B Verwenden Sie ein Gruppenrichtlinienobjekt und konfigurieren Sie Voreinstellungselemente für lokale Benutzer und Gruppen.

C Verwenden Sie ein Gruppenrichtlinienobjekt und konfigurieren Sie Eingeschränkte Gruppen.

D Verwenden Sie ein Gruppenrichtlinienobjekt und konfigurieren Sie die Sicherheitsoptionen.


Korrekte Antwort: B

Erläuterungen:

Voreinstellungselemente für lokale Benutzer ermöglichen das zentrale Erstellen, Löschen und Umbenennen lokaler Benutzer. Darüber hinaus lassen sich mithilfe dieses Voreinstellungselements die Kennwörter lokaler Benutzer ändern. Überprüfen Sie vor dem Erstellen eines Voreinstellungs-elements für lokale Benutzer das Verhalten jedes für die Erweiterung möglichen Aktionstyps.

Erstellen eines Elements für lokale Benutzer

1. Öffnen Sie die Gruppenrichtlinien-Verwaltungskonsole. Klicken Sie mit der rechten Maustas-te auf das Gruppenrichtlinienobjekt (GPO), das das neue bevorzugte Element enthält, und kli-cken Sie auf Bearbeiten.

2. Erweitern Sie in der Konsolenstruktur unter Computerkonfiguration oder Benutzerkonfigu-ration den Ordner Einstellungen und anschließend den Ordner für die Einstellungen der Sys-temsteuerung.

3. Klicken Sie mit der rechten Maustaste auf den Knoten Lokale Benutzer und Gruppen, zeigen Sie auf Neu, und wählen Sie Lokaler Benutzer.

4. Wählen Sie im Dialogfeld Neuer lokaler Benutzer eine auszuführende Aktion für die Grup-penrichtlinie aus.

5. Geben Sie die Einstellungen für den lokalen Benutzer ein, die von der Gruppenrichtlinie konfi-guriert oder entfernt werden sollen.

6. Klicken Sie auf die Registerkarte Allgemein, konfigurieren Sie die gewünschten Optionen, und geben Sie dann Ihre Kommentare im Feld Beschreibung ein.

7. Klicken Sie auf OK. Das neue bevorzugte Element wird im Detailbereich angezeigt. Bei diesem Typ von bevorzugten Elementen können Sie aus vier Aktionen auswählen: Erstellen, Ersetzen, Aktualisieren und Löschen. Das Verhalten des Voreinstellungselements unterscheidet sich je nach ausgewählter Aktion und abhängig davon, ob ein Benutzer mit diesem Namen (oder – bei integrierten Konten – mit dieser Sicherheits-ID [SID]) vorhanden ist.

Erstellen Erstellt einen neuen lokalen Benutzer auf dem lokalen Computer. Ist der lokale Be-nutzer vorhanden, wird er nicht geändert.

Löschen Entfernt einen lokalen Benutzer mit entsprechendem Namen vom lokalen Computer. Ist der lokale Benutzer nicht vorhanden, wird keine Aktion ausgeführt.

Ersetzen Entfernt einen lokalen Benutzer mit entsprechendem Namen vom lokalen Computer und erstellt ihn neu. Das Endergebnis der Aktion Ersetzen besteht im Überschreiben aller vor-handenen Einstellungen, die dem lokalen Benutzer zugeordnet waren. Ist der lokale Benutzer nicht vorhanden, wird mithilfe der Aktion Ersetzen ein neuer lokaler Benutzer erstellt. Von Windows wird jedem Benutzer eine SID zugewiesen. Anhand dieser Information wird von Windows ermittelt, ob ein Benutzer zum Zugreifen auf eine bestimmte Ressource berech-tigt ist. Beachten Sie beim Verwenden der Aktion Ersetzen, dass der neu erstellte Benutzer auch eine neue SID erhält. Dadurch kann der Benutzer auf bestimmte Ressourcen möglicher-weise nicht mehr zugreifen.

Aktualisieren Dient zum Umbenennen eines Benutzers oder zum Ändern der Benutzereinstel-lungen. Diese Aktion unterscheidet sich insofern von der Aktion Ersetzen, als dass die im Vor-einstellungselement definierten Einstellungen aktualisiert werden. Alle anderen Einstellungen bleiben so, wie sie vorher konfiguriert waren. Ist der lokale Benutzer nicht vorhanden, wird mithilfe der Aktion Aktualisieren ein neuer lokaler Benutzer erstellt.

Durch Ausführen der Aktion Aktualisieren wird die SID des Benutzers nicht geändert.


Frage 135

Sie sind als Netzwerkadministrator für das Unternehmen CertBase tätig. Das Firmennetzwerk be-steht aus einer einzelnen Active Directory-Domänendienste (AD DS) Domäne mit dem Namen certbase.de. Die Domäne umfasst mehrere Standorte, die jeweils über einen eigenen Domänen-controller verfügen. Auf allen Domänencontrollern ist das Betriebssystem Windows Server 2008 R2 installiert.

Das Unternehmen setzt mehrere branchenspezifische Anwendungen ein und verwendet benut-zerdefinierte administrative Vorlagen, um die Anwendungen mit Hilfe von Gruppenrichtlinienob-jekten (GPOs) zu konfigurieren.

Sie müssen sicherstellen, dass die Administratoren die Richtlinieneinstellungen der administrativen Vorlagen unabhängig von dem verwendeten Domänencontroller einsehen und bearbeiten kön-nen.

Wie gehen Sie vor?

A Erstellen Sie einen zentralen Speicher.

B Aktivieren Sie die Ordnerumleitung.

C Bearbeiten Sie die Einstellungen des Dateireplikationsdienstes (File Replication Service, FRS) für die Replikation des Sysvol-Verzeichnisses.

D Konfigurieren Sie das Sysvol-Verzeichnis so, dass das verteilte Dateisystem (Distributed File System, DFS) für die Replikation verwendet wird.


Korrekte Antwort: A

Erläuterungen:

Mit den administrativen Vorlagen eines Gruppenrichtlinienobjekts können Registrierungswerte auf Client- und Servercomputern konfiguriert werden. Die Vorlagendateien (ADMX-Dateien) wer-den getrennt von den Einstellungen auf dem lokalen Computer gespeichert. Um die benutzerde-finierten Vorlagen unabhängig vom verwendeten Verwaltungscomputer einsehen zu können, kann ein zentraler Speicher im Sysvol Verzeichnis der Domäne erstellt werden.


Frage 136

Sie sind als Netzwerkadministrator für das Unternehmen CertBase tätig. Das Unternehmen hat eine Hauptgeschäftsstelle und mehrere Zweigstellen. Das Firmennetzwerk besteht aus einer ein-zelnen Active Directory-Domänendienste (AD DS) Domäne mit dem Namen certbase.de. Auf allen Domänencontrollern ist das Betriebssystem Windows Server 2008 R2 installiert.

In den Fluren der Zweigstellen sind mehrere Computer für die öffentliche Verwendung aufge-stellt. Die Computerkonten der Kioskcomputer befinden sich in einer Organisationseinheit (OU) mit dem Namen Kioskcomputer.

Sie müssen sicherstellen, dass für alle Benutzer, die sich an einem der Kioskcomputer anmelden, dieselben Benutzerkonfigurationseinstellungen wirksam werden.

Wie gehen Sie vor?

A Erstellen Sie ein Gruppenrichtlinienobjekt und verknüpfen Sie es mit der Domäne. Konfigurie-ren Sie die Sicherheitsfilterung für das GPO.

B Erstellen Sie ein Gruppenrichtlinienobjekt und verknüpfen Sie es mit der Organisationseinheit Kioskcomputer. Konfigurieren Sie die Sicherheitsfilterung für das GPO.

C Erstellen Sie ein Gruppenrichtlinienobjekt und verknüpfen Sie es mit der Organisationseinheit Kioskcomputer. Aktivieren Sie den Loopbackverarbeitungsmodus für das GPO.

D Erstellen Sie ein Gruppenrichtlinienobjekt und verknüpfen Sie es mit der Domäne. Aktivieren Sie die Option Vererbung deaktivieren für die Organisationseinheit Kioskcomputer.


Korrekte Antwort: C

Erläuterungen:

Die Richtlinieneinstellung Loopbackverarbeitungsmodus für Benutzergrupenrichtlinie im Abschnitt Computerkonfiguration\ Administrative Vorlagen\ System\ Gruppenrichtlinie wendet alternative Benutzereinstellungen an, wenn sich ein Benutzer an einem von den Einstellung des GPO be-troffenen Computer anmeldet.

Durch diese Einstellung wird der Satz von Gruppenrichtlinienobjekten für diesen Computer für jeden Benutzer angewendet, der sich an einem Computer anmeldet, für den diese Einstellung gilt. Diese Einstellung ist für Computer mit besonderem Zweck gedacht, z. B. für Computer in der Öf-fentlichkeit, in Labors oder Klassenzimmern, wo die Benutzereinstellungen je nach Computer geändert werden müssen.

Standardmäßig wird durch das Gruppenrichtlinienobjekt festgelegt, welche Benutzereinstellungen angewendet werden. Wenn Sie diese Einstellung aktivieren, bestimmt jedoch das Gruppenrichtli-nienobjekt des Computers bei der Benutzeranmeldung, welcher Satz von Gruppenrichtlinienob-jekten angewendet wird.

Wählen Sie einen der folgenden Einstellungsmodi aus dem Feld "Modus", wenn Sie diese Einstel-lung verwenden möchten:

Ersetzen gibt an, dass die in den Gruppenrichtlinienobjekten für diesen Computer festgeleg-ten Benutzerprofile die Benutzereinstellungen ersetzen, die normalerweise auf den Benutzer angewendet werden würden.

Zusammenführen gibt an, dass die in den Gruppenrichtlinienobjekten für diesen Computer festgelegten Benutzereinstellungen und die normalerweise angewendeten Benutzereinstel-lungen kombiniert werden. Falls die Einstellungen in Konflikt stehen, setzen die Benutzerein-stellungen in den Gruppenrichtlinien des Computers die normalen Einstellungen des Benut-zers außer Kraft.


Frage 137

Sie sind als Netzwerkadministrator für das Unternehmen CertBase tätig. Das Firmennetzwerk be-steht aus einer einzelnen Active Directory-Domänendienste (AD DS) Domäne mit dem Namen certbase.de. Das Netzwerk umfasst einen Windows Server 2008 R2 Computer mit dem Namen Server1.

Auf Server1 ist die Rolle Hyper-V installiert. Server1 hostet mehrere virtuelle Computer. Die Com-puterkonten der virtuellen Maschinen befinden sich in einer Organisationseinheit mit dem Namen VMs. Die virtuellen Gastbetriebssysteme sind mit unterschiedlichen Zeitzonen konfiguriert.

Sie planen ein neues Gruppenrichtlinienobjekt zu erstellen und automatische Updates für die vir-tuellen Computer zu konfigurieren.

Sie müssen sicherstellen, dass nur Computer, die mit der Zeitzone Mitteleuropäische Zeit konfigu-riert sind Updates automatisch erhalten.


A Die Option Vererbung deaktivieren.

B Den Loopbackverarbeitungsmodus.

C Die Sicherheitsfilterung.

D Einen WMI-Filter.


Korrekte Antwort: D

Erläuterungen:

Mit WMI-Filtern (Windows Management Instrumentation, Windows-Verwaltungsinstrumentation) können Sie den Bereich von Gruppenrichtlinienobjekten (Group Policy Objects, GPOs) basierend auf den Attributen des Zielcomputers dynamisch bestimmen.

Beim Anwenden eines mit einem WMI-Filter verknüpften Gruppenrichtlinienobjekts auf den Ziel-computer wird der Filter auf dem Zielcomputer ausgewertet. Wenn der WMI-Filter als False aus-gewertet wird, wird das Gruppenrichtlinienobjekt nicht angewendet (außer wenn auf dem Client-computer Windows 2000 ausgeführt wird; in diesem Fall wird der Filter ignoriert, und das Grup-penrichtlinienobjekt wird immer angewendet). Wenn der WMI-Filter als True ausgewertet wird, wird das Gruppenrichtlinienobjekt angewendet.

Der nachstehende WMI-Filter stellt sicher, dass ein Gruppenrichtlinienobjekt nur auf Computer angewendet wird, für die die Zeitzone Mitteleuropäische Zeit konfiguriert ist:

Root\cimv2 ; Select * from win32_timezone where bias = 60


Frage 138

Sie sind als Netzwerkadministrator für das Unternehmen CertBase tätig. Das Firmennetzwerk be-steht aus einer einzelnen Active Directory-Domänendienste (AD DS) Domäne mit dem Namen certbase.de. Das Unternehmen verwendet eine Serverfarm mit dem Host für Remotedesktopsit-zungen mit Lastenausgleich, um den Benutzern eine branchenspezifische Anwendungen bereitzu-stellen. Die Computerkonten der Remotedesktop-Sitzungshosts befinden sich in einer gemeinsa-men Organisationseinheit (OU).

Sie müssen sicherstellen, dass das Verzeichnis Dokumente der Benutzer bei der Anmeldung an der Remotedesktopsitzungs-Hostserverfarm auf einen speziellen Dateiserver umgeleitet wird, der nur im Rahmen von Remotedesktopsitzungen verwendet werden darf.

Was werden Sie in Ihre Konfiguration einbeziehen?

A Die Option Vererbung deaktivieren

B Den Loopbackverarbeitungsmodus

C Die Sicherheitsfilterung

D Einen WMI-Filter


Korrekte Antwort: B

Erläuterungen:

Die Richtlinieneinstellung Loopbackverarbeitungsmodus für Benutzergrupenrichtlinie im Ab-schnitt Computerkonfiguration\ Administrative Vorlagen\ System\ Gruppenrichtlinie wendet alter-native Benutzereinstellungen an, wenn sich ein Benutzer an einem von den Einstellung des GPO betroffenen Computer anmeldet.

Durch diese Einstellung wird der Satz von Gruppenrichtlinienobjekten für diesen Computer für jeden Benutzer angewendet, der sich an einem Computer anmeldet, für den diese Einstellung gilt. Diese Einstellung ist für Computer mit besonderem Zweck gedacht, z. B. für Computer in der Öf-fentlichkeit, in Labors oder Klassenzimmern, wo die Benutzereinstellungen je nach Computer geändert werden müssen.

Standardmäßig wird durch das Gruppenrichtlinienobjekt festgelegt, welche Benutzereinstellungen angewendet werden. Wenn Sie diese Einstellung aktivieren, bestimmt jedoch das Gruppenrichtli-nienobjekt des Computers bei der Benutzeranmeldung, welcher Satz von Gruppenrichtlinienob-jekten angewendet wird.

Wählen Sie einen der folgenden Einstellungsmodi aus dem Feld "Modus", wenn Sie diese Einstel-lung verwenden möchten:

Ersetzen gibt an, dass die in den Gruppenrichtlinienobjekten für diesen Computer festgeleg-ten Benutzerprofile die Benutzereinstellungen ersetzen, die normalerweise auf den Benutzer angewendet werden würden.

Zusammenführen gibt an, dass die in den Gruppenrichtlinienobjekten für diesen Computer festgelegten Benutzereinstellungen und die normalerweise angewendeten Benutzereinstel-lungen kombiniert werden. Falls die Einstellungen in Konflikt stehen, setzen die Benutzerein-stellungen in den Gruppenrichtlinien des Computers die normalen Einstellungen des Benut-zers außer Kraft.


Frage 139

Sie sind als Netzwerkadministrator für das Unternehmen CertBase tätig. Das Firmennetzwerk be-steht aus einer einzelnen Active Directory-Domänendienste (AD DS) Domäne mit dem Namen certbase.de. Auf allen Servercomputern ist das Betriebssystem Windows Server 2008 R2 instal-liert.

Die Domäne umfasst einen Windows Server Update Services (WSUS) Server mit dem Namen WSUS1.

Sie installieren drei neue Webserver mit den Namen Web1, Web2 und Web3 für die Bereitstel-lung öffentlicher Websites. Die Firmensicherheitsrichtlinien schreiben vor, dass öffentlich zugäng-liche Server nicht als Mitglieder der Domäne konfiguriert werden dürfen.

Sie müssen sicherstellen, dass die drei neuen Webserver Windows Updates von WSUS1 herunter-laden.

Wie gehen Sie vor?

A Bearbeiten Sie die Default Domain Policy.

B Bearbeiten Sie die lokale Gruppenrichtlinie auf Web1, Web2 und Web3.

C Importieren Sie eine Sicherheitsvorlage auf Web1, Web2 und Web3.

D Erstellen Sie einen Dienstidentifizierungseintrag (SRV) in der Zone _msdcs.certbase.de.


Korrekte Antwort: B

Erläuterungen:

Da die drei neuen Webserver nicht als Mitglieder der Domäne konfiguriert werden dürfen, müs-sen die Windows Update-Einstellungen jeweils einzeln in den lokalen Gruppenrichtlinien (Gpe-dit.msc) der drei Server konfiguriert werden.


Frage 140

Sie sind als Netzwerkadministrator für das Unternehmen CertBase tätig. Das Firmennetzwerk be-steht aus einer einzelnen Active Directory-Domänendienste (AD DS) Domäne mit dem Namen certbase.de. Sie administrieren einen Windows Server 2008 R2 Dateiserver mit dem Namen Ser-ver1.

Um die Speicherauslastung und die Verwendung des Dateiservers zu kontrollieren, wollen Sie sich per E-Mail benachrichtigen lassen, wenn ein Benutzer eine Audio- oder Videodatei auf dem Dat-eiserver speichert. Sie dürfen den Benutzer jedoch in keinem Fall daran hindern, Dateien auf Ser-ver1 zu speichern.

Wie gehen Sie vor?

A Erstellen Sie eine aktive Dateiprüfung.

B Erstellen Sie eine passive Dateiprüfung.

C Erstellen Sie Klassifizierungsregeln.

D Verwenden Sie den Ressourcen-Manager für Dateiserver und erstellen Sie Kontingente.

Korrekte

Erläuter

Mit eineArt der agungen,chert od

Der RessstimmteBerichtetyp konf

Beim aktgruppenautorisiegesende

e Antwort:

rungen:

er Dateiprüfuauszuführen, die automader zu speich

sourcen-Mane Benutzer see generieren.figurieren.

tiven Prüfenn gehören, uerte Dateien et, aber Benu

B

ung definierenden Prüfungatisch generhern versuch

nager für Daenden, ein E. Für ein Dat

n wird verhinund es werde

zu speicherutzer werde

en Sie eine Rg (aktiv oderiert werden,

ht.

ateiserver kareignis prototeiprüfungse

ndert, dass Ben Benachricn. Beim passn nicht dara

Reihe von Dar passiv) und, wenn ein B

ann E-Mail-Nokollieren, eereignis könn

Benutzer Datchtigungen siven Prüfen

an gehindert

Monito

ateigruppend (optional) eBenutzer ein

Nachrichten aeinen Befehl nen Sie meh

teien speichegeneriert, w

n werden kot, Dateien zu

oring and M

, die geprüfteine Reihe voe nicht auto

an Administoder ein Skr

hr als einen B

ern, die zu bwenn Benutz

nfigurierte Bu speichern.

Maintaining

t werden soon Benachri

orisierte Date

tratoren odeript ausführeBenachrichti

blockierten Der versuchen

Benachrichti

Servers

ollen, die chti-

ei spei-

er be-en oder gungs-

Datei-n, nicht gungen


Frage 141

Sie sind als Netzwerkadministrator für das Unternehmen CertBase tätig. Das Firmennetzwerk be-steht aus einer einzelnen Active Directory-Domänendienste (AD DS) Domäne mit dem Namen certbase.de. Die Domäne umfasst einen Windows Server 2008 R2 Computer mit dem Namen Server1. Auf Server1 ist der Rollendienst Remotedesktop-Sitzungshost installiert.

Server1 stellt eine branchenspezifische Anwendung für die Mitarbeiter der Vertriebsabteilung bereit. Die Führungskräfte aus dem Vertrieb stellen regelmäßig Remotedesktopverbindungen mit Server1 her, um Berichte für die Geschäftsführung zu generieren.

Der Vertriebsleiter berichtet Ihnen, dass die Erstellung der Berichte zu viel Zeit in Anspruch nimmt.

Sie müssen eine Lösung empfehlen, die den Zeitaufwand für das Erstellen der Berichte reduziert.

Was werden Sie in Ihre Empfehlung einbeziehen?

A Das Microsoft Desktop Optimization Pack

B Den Ressourcen-Manager für Dateiserver (FSRM)

C Den Remotedesktop-Verbindungsbroker

D Den Windows-Systemressourcen-Manager (WSRM)


Korrekte Antwort: D

Erläuterungen:

Mit dem Windows-Systemressourcen-Manager für das Betriebssystem Windows Server® 2008 R2 können Sie die Prozessor- und Speicherauslastung auf dem Server mit standardmäßigen oder benutzerdefinierten Ressourcenrichtlinien verwalten. Durch das Verwalten von Ressourcen wird sichergestellt, dass alle von einem einzelnen Server bereitgestellten Dienste in gleichem Umfang zur Verfügung stehen oder dass für Anwendungen, Dienste oder Benutzer mit einer hohen Priori-tät immer Ressourcen verfügbar sind.

Der Windows-Systemressourcen-Manager verwaltet Prozessorressourcen nur dann, wenn die zusammengefasste Prozessorlast größer als 70 % ist. Das bedeutet, dass bei einer geringen Pro-zessorlast die für jeden Benutzer verfügbaren Ressourcen nicht aktiv eingeschränkt werden. Bei einer konkurrierenden Nachfrage an Prozessorressourcen kann mit Ressourcenzuordnungsrichtli-nien eine Mindestverfügbarkeit für eine Ressource nach dem von Ihnen definierten Verwaltungs-profil sichergestellt werden.


Sie können Systemressourcen (Prozessor und Speicher) mit vorkonfigurierten Richtlinien ver-walten oder benutzerdefinierte Richtlinien erstellen, die einzelnen Prozessen, Benutzern, Re-motedesktopdienste-Sitzungen oder IIS-Anwendungspools Ressourcen zuordnen.


Sie können Ressourcenrichtlinien automatisch nach Servereigenschaften und Ereignissen (wie Clusterereignissen oder Bedingungen) oder Änderungen am installierten physikalischen Spei-cher oder der Anzahl von Prozessoren auswählen.


Sie können eine Computergruppe erstellen, um die von Ihnen verwalteten Remotedesktop-server zu organisieren. Richtlinien können für eine komplette Computergruppe auf einfache Weise exportiert und geändert werden.


Frage 142

Sie sind als Netzwerkadministrator für das Unternehmen CertBase tätig. Das Unternehmen hat eine Hauptgeschäftsstelle und mehrere Zweigstellen. Das Firmennetzwerk besteht aus einer ein-zelnen Active Directory-Domänendienste (AD DS) Domäne mit dem Namen certbase.de. Jede Zweigstelle verfügt über einen Windows Server 2008 R2 Dateiserver, der von den Mitarbeitern des Standortes für das Speichern von Dateien und Dokumenten verwendet wird.

Jeder Benutzer verfügt auf dem Dateiserver seines Standortes über ein Basisverzeichnis als Unter-ordner im Pfad D:\Benutzer. Die Speicherkapazitäten der Dateiserver sind begrenzt.

Sie müssen eine Lösung empfehlen, die sicherstellt, dass jeder Benutzer maximal 500 MB Daten in seinem Basisverzeichnis speichern kann.


A Den Ressourcen-Manager für Dateiserver (FSRM) und Kontingente.

B Den Netzwerkrichtlinienserver (NPS) und Verbindungsanforderungsrichtlinien.

C NTFS-Datenträgerkontingente.

D Den Windows-Systemressourcen-Manager (WSRM) und Ressourcenverwaltungsrichtlinien.


Korrekte Antwort: A

Erläuterungen:

Der Ressourcen-Manager für Dateiserver ist eine Suite aus Tools für Windows Server 2008, mit deren Hilfe Administratoren Menge und Typ der Daten, die auf den Servern gespeichert sind, verstehen, steuern und verwalten können. Mithilfe des Ressourcen-Managers für Dateiserver können Administratoren Kontingente für Ordner und Volumes festlegen, Dateien aktiv prüfen und umfassende Speicherberichte generieren. Diese erweiterten Instrumente helfen Administrato-ren nicht nur bei der effizienten Überwachung vorhandener Speicherressourcen, sondern sie sind auch bei der Planung und Implementierung zukünftiger Richtlinienänderungen nützlich.

Im Knoten Kontingentverwaltung des MMC-Snap-Ins Ressourcen-Manager für Dateiserver kön-nen Sie die folgenden Aufgaben ausführen:




Sie haben beispielsweise folgende Möglichkeiten:

Sie können eine Beschränkung von 200 Megabyte (MB) für den persönlichen Ordner eines Benutzers auf einem Server festlegen und bestimmen, dass Sie und der Benutzer benachrich-tigt werden, wenn 180 MB Speicherplatz überschritten wurden.

Für den gemeinsam verwendeten Ordner einer Gruppe kann ein flexibles Kontingent von 500 MB festgelegt werden. Wird diese Speicherbeschränkung erreicht, werden alle Benutzer in der Gruppe per E-Mail benachrichtigt, dass das Speicherkontingent temporär auf 520 MB er-weitert wurde. Sie können dann nicht benötigte Dateien löschen, um der voreingestellten Kontingentrichtlinie von 500 MB gerecht zu werden.

Sie können festlegen, dass Sie eine Benachrichtigung erhalten, wenn die Auslastung eines temporären Ordners 2 GB erreicht, ohne jedoch das Kontingent dieses Ordners einzuschrän-ken, da dieses zum Ausführen eines Diensts auf dem Server erforderlich ist.


Frage 143

Sie sind als Netzwerkadministrator für das Unternehmen CertBase tätig. Das Firmennetzwerk be-steht aus einer einzelnen Active Directory-Domänendienste (AD DS) Domäne mit dem Namen certbase.de. Auf allen Servercomputern ist Windows Server 2008 R2 installiert. Auf allen Client-computern wird Windows 7 ausgeführt.

Das Unternehmen plant die Eröffnung einer neuen Zweigstelle, um eine neue Region für den Vertrieb zu erschließen. Die Vertriebsmitarbeiter des neuen Standortes werden häufig bei Privat- und Unternehmenskunden vor Ort sein und von den verschiedenen Orten Zugang zum Firmen-netzwerk der Zweigstelle benötigen.

Sie müssen eine VPN-Lösung für die neue Zweigstelle entwerfen, die den Anforderungen der Vertriebsmitarbeiter entspricht.


A Das Internet Key Exchange Version 2 (IKEv2) Protokoll

B Das Layer 2 Tunneling Protokoll (L2TP)

C Das Point-to-Point Tunneling Protokoll (PPTP)

D Das Secure Socket Tunneling Protokoll (SSTP)


Korrekte Antwort: D

Erläuterungen:

Tunnelprotokolle ermöglichen die Kapselung eines Pakets eines Protokolltyps innerhalb des Data-gramms eines anderen Protokolls. Beispielsweise wird PPTP von VPN zur Kapselung von IP-Paketen in einem öffentlichen Netzwerk wie dem Internet verwendet. Sie können eine VPN-Lösung konfigurieren, die auf PPTP (Point-to-Point Tunneling Protocol), L2TP (Layer Two Tunne-ling Protocol) oder SSTP (Secure Socket Tunneling Protocol) basiert.

PPTP, L2TP und SSTP sind unbedingt von den Features abhängig, die ursprünglich für das Point-to-Point-Protokoll (PPP) festgelegt wurden. PPP wurde für das Senden von Daten über DFÜ- oder dedizierte Punkt-zu-Punkt-Verbindungen entwickelt. Für IP werden von PPP IP-Pakete innerhalb von PPP-Rahmen gekapselt und dann die gekapselten PPP-Pakete über eine Punkt-zu-Punkt-Verbindung übertragen. PPP war ursprünglich als Protokoll für den Einsatz zwischen einem DFÜ-Client und einem Netzwerkzugriffserver gedacht.

SSTP (Secure Socket Tunneling Protocol) ist ein neues Tunnelprotokoll, das das HTTPS-Protokoll über den TCP-Port 443 für Datenverkehr durch Firewalls und Webproxies verwendet, die den PPTP- und L2TP/IPsec-Datenverkehr blockieren könnten. SSTP bietet einen Mechanismus zur Kap-selung von PPP-Datenverkehr über den SSL-Kanal (Secure Sockets Layer) des HTTPS-Protokolls. Die Verwendung von PPP ermöglicht die Unterstützung starker Authentifizierungsmethoden wie EAP-TLS. SSL bietet TLS (Transport Level Security) mit verbesserter Schlüsselaushandlung, Ver-schlüsselung und Integritätsprüfung.

Wenn ein Client versucht, eine SSTP-basierte VPN-Verbindung herzustellen, wird von SSTP zuerst eine bidirektionale HTTPS-Ebene zum SSTP-Server erstellt. Über diese HTTPS-Ebene werden diese Protokollpakete als Dateninhalt versendet.

Von SSTP werden PPP-Rahmen in IP-Datagrammen für die Übertragung über das Netzwerk ge-kapselt. Von SSTP wird eine TCP-Verbindung (über Port 443) für die Tunnelverwaltung sowie für PPP-Datenrahmen verwendet.

Die SSTP-Nachricht wird mit dem SSL-Kanal des HTTPS-Protokolls verschlüsselt.

Das SSTP-Protokoll hat den Vorteil, dass es praktisch von allen Routern und Internetzugangslö-sungen unterstützt wird.


Frage 144

Sie sind als Netzwerkadministrator für das Unternehmen CertBase tätig. Das Firmennetzwerk be-steht aus einer einzelnen Active Directory-Domänendienste (AD DS) Domäne mit dem Namen certbase.de. Das Netzwerk umfasst einen Windows Server 2008 R2 Dateiserver mit dem Namen Server1.

Server1 hostet die Basisverzeichnisse und die servergespeicherten Profile der Domänenbenutzer sowie Daten, die gemeinsam von den Mitarbeitern der verschiedenen Abteilungen verwendet werden. Eines der Verzeichnisse enthält vertrauliche Informationen der Geschäftsführung.

Das Unternehmen setzt häufig Administratoren eines externen Dienstleisters ein, um Spitzen der Arbeitsauslastung abzudecken.

Sie müssen sicherstellen, dass die externen Administratoren in interaktiven Sitzungen mit Server1, keinen Einblick in die vertraulichen Dokumente der Geschäftsführung erhalten. Sie dürfen die administrativen Privilegien der Administratoren nicht einschränken.

Welche der folgenden Technologien werden Sie einsetzen?

A Das verschlüsselnde Dateisystem (EFS)

B Dateiprüfungen des Ressourcen-Managers für Dateiserver

C NTFS-Berechtigungen

D Die BitLocker-Laufwerksverschlüsselung


Korrekte Antwort: A

Erläuterungen:

Um die vertraulichen Dokumente der Geschäftsführung vor dem Zugriff durch die externen Ad-ministratoren zu schützen ohne die administrativen Privilegien der Administratoren einzuschrän-ken, können die Daten mit Hilfe des verschlüsselnden Dateisystems verschlüsselt werden.


Frage 145

Sie sind als Netzwerkadministrator für das Unternehmen CertBase tätig. Das Firmennetzwerk be-steht aus einer einzelnen Active Directory-Domänendienste (AD DS) Domäne mit dem Namen certbase.de. Das Unternehmen hat eine Hauptgeschäftsstelle und mehrere Zweigstellen. Jede Zweigstelle verfügt über einen Windows Server 2008 R2 Dateiserver.

Sie müssen sicherstellen, dass die Daten der Zweigstellen im Falle eines Diebstahls des Dateiser-vers geschützt sind.

Wie gehen Sie vor?

A Verwenden Sie das verschlüsselnde Dateisystem (EFS).

B Verwenden Sie NTFS-Berechtigungen.

C Verwenden Sie das Programm Syskey.exe.

D Verwenden Sie die BitLocker-Laufwerksverschlüsselung.


Korrekte Antwort: D

Erläuterungen:







Frage 146

Sie sind als Netzwerkadministrator für das Unternehmen CertBase tätig. Das Firmennetzwerk um-fasst einen Windows Server 2008 R2 Webserver mit dem Namen Web1. Der Webserver hostet eine Webanwendung mit dem Namen WebApp1.

Sie planen die Bereitstellung einer zweiten Webanwendung mit dem Namen WebApp2. Die neue Webanwendung soll ebenfalls auf Web1 gehostet werden.

Sie müssen sicherstellen, dass die Ressourcen des Webservers bei hoher Auslastung gleichmäßig auf beide Webanwendungen verteilt werden können.

Wie gehen Sie vor?

A Konfigurieren Sie Web1 mit einer zusätzlichen IP-Adresse.

B Konfigurieren Sie die Anforderungsfilterung.

C Konfigurieren Sie separate Anwendungspools für die beiden Webanwendungen.

D Konfigurieren Sie einen zusätzlichen Arbeitsprozess für den DefaultAppPool.


Korrekte Antwort: C

Erläuterungen:

Wir können die Integrierte Ressourcenverwaltungsrichtlinie Für IIS-Anwendungspool identisch des Windows-Systemressourcen-Managers (WSRM) verwenden, um die Ressourcen gleichmäßig auf die konfigurierten Webanwendungen zu verteilen. Voraussetzung ist jedoch, dass jede Weban-wendung in einem eigenen Anwendungspool ausgeführt wird.

Wenn die Ressourcenzuordnungsrichtlinie Equal_Per_IISAppPool das System verwaltet, werden alle aktiven IIS-Anwendungspools gleich behandelt. Anwendungen, die sich nicht in einem IIS-Anwendungspool befinden, können nur Ressourcen verwenden, die nicht von IIS-Anwendungspools belegt sind.


Frage 147

Sie sind als Netzwerkadministrator für das Unternehmen CertBase tätig. Das Unternehmen hat eine Hauptgeschäftsstelle und mehrere Zweigstellen. Das Firmennetzwerk besteht aus einer ein-zelnen Active Directory-Domänendienste (AD DS) Domäne mit dem Namen certbase.de. Für jeden Firmenstandort ist ein separater Active Directory-Standort konfiguriert. Jeder Standort verfügt über einen Windows Server 2008 R2 Domänencontroller. Auf allen Clientcomputern ist das Be-triebssystem Windows 7 installiert.

Das Unternehmen verwendet Gruppenrichtlinienobjekte (GPOs) in Verbindung mit Softwareein-stellungsrichtlinien für die Verteilung neuer Anwendungen auf alle Clientcomputer. Die Anwen-dungen für die Verteilung werden auf einem Dateiserver in der Hauptgeschäftsstelle bereitge-stellt.

Die Benutzer der Zweigstellen berichten über sehr lange Startzeiten ihrer Computer, während die Anwendungen zugewiesen werden.

Sie müssen den Verteilungsprozess für Anwendungen beschleunigen und sicherstellen, dass die Benutzer Ihre Computer so schnell wie möglich nach dem Einschalten verwenden können.

Welche der folgenden Technologien werden Sie in Ihre Optimierung einbeziehen?

A BranchCache im Modus für verteilte Caches

B BranchCache im Modus für gehostete Caches

C Das verteilte Dateisystem (DFS) und einen domänenbasierten Namespace

D Das verteilte Dateisystem (DFS) und einen eigenständigen Namespace


Korrekte Antwort: C

Erläuterungen:

Wir können das verteilte Dateisystem (DFS) und einen domänenbasierten Namespace verwenden. Die zu verteilenden Daten können über die DFS-Replikation auf die Domänencontroller der Zweigstellen repliziert werden. Anschließend kann in den Richtlinien für Softwareeinstellung ein Verweis auf den DFS-Namespace in der Form

\\certbase.de\SoftwareVerteilung\Anwendung1\App1.msi

verwendet werden.

BranchCache

Mithilfe von BranchCache wird die Verwendung von WAN-Links (Wide Area Network, Fernnetz) reduziert, die Zweigniederlassungen mit dem Datenzentrum oder dem Hauptsitz verbinden, und die Zugriffsgeschwindigkeit für Inhalte erhöht, die bereits von der Zweigniederlassung herunter-geladen wurden.

Mithilfe von BranchCache können Computer in einer Zweigniederlassung Dateien und HTTP-Datenverkehr von Intranetservern, auf denen BranchCache aktiviert ist, zwischenspeichern. Der zwischengespeicherte Inhalt kann von den Computern in der Zweigniederlassung abgerufen wer-den, wenn sie über entsprechende Zugriffsberechtigungen verfügen und vom Quellserver autori-siert wurden. Nach der Autorisierung wird von den Computern der zwischengespeicherte Inhalt von einem gehosteten Cacheserver in der Zweigniederlassung (im Modus für gehostete Caches) oder von anderen Clientcomputern in der Zweigniederlassung (im Modus für verteilte Caches) abgerufen.


Frage 148

Sie sind als Netzwerkadministrator für das Unternehmen CertBase tätig. Das Unternehmen hat eine Hauptgeschäftsstelle und mehrere Zweigstellen. Das Firmennetzwerk besteht aus einer ein-zelnen Active Directory-Domänendienste (AD DS) Domäne mit dem Namen certbase.de. Für jeden Firmenstandort ist ein separater Active Directory-Standort konfiguriert. Jeder Standort verfügt über einen Windows Server 2008 R2 Domänencontroller. Auf allen Clientcomputern ist das Be-triebssystem Windows 7 installiert.

Die Zentralabteilungen der Hauptgeschäftsstelle erstellen häufig neue Verfahrensanweisungen und Dokumentvorlagen, die von allen Mitarbeitern eingesehen bzw. verwendet werden müssen. Die Benutzer der Zweigstellen verbinden sich mit einer Freigabe auf einem Dateiserver der Haupt-geschäftsstelle, um Zugriff auf die Dokumente zu erhalten.

Sie stellen fest, dass die Internetanbindung der Hauptgeschäftsstelle während der Geschäftszeiten stark ausgelastet ist. Sie ermitteln den WAN-Verkehr, der durch den Zugriff auf die freigegeben Dokumente entsteht, als Ursache.

Sie müssen eine Lösung entwerfen, die den Benutzern Zugriff auf die Dokumente der Zentralab-teilungen ermöglicht und den Datenverkehr über die WAN-Verbindungen so gering wie möglich hält.

Welche der folgenden Technologien werden Sie in Ihre Lösung einbeziehen?



C Das verteilte Dateisystem (DFS) und einen domänenbasierten Namespace

D Das verteilte Dateisystem (DFS) und einen eigenständigen Namespace


Korrekte Antwort: B

Erläuterungen:

Mithilfe von BranchCache wird die Verwendung von WAN-Links (Wide Area Network, Fernnetz) reduziert, die Zweigniederlassungen mit dem Datenzentrum oder dem Hauptsitz verbinden, und die Zugriffsgeschwindigkeit für Inhalte erhöht, die bereits von der Zweigniederlassung herunter-geladen wurden.

Mithilfe von BranchCache können Computer in einer Zweigniederlassung Dateien und HTTP-Datenverkehr von Intranetservern, auf denen BranchCache aktiviert ist, zwischenspeichern. Der zwischengespeicherte Inhalt kann von den Computern in der Zweigniederlassung abgerufen wer-den, wenn sie über entsprechende Zugriffsberechtigungen verfügen und vom Quellserver autori-siert wurden. Nach der Autorisierung wird von den Computern der zwischengespeicherte Inhalt von einem gehosteten Cacheserver in der Zweigniederlassung (im Modus für gehostete Caches) oder von anderen Clientcomputern in der Zweigniederlassung (im Modus für verteilte Caches) abgerufen.


Frage 149

Sie sind als Netzwerkadministrator für das Unternehmen CertBase tätig. Das Firmennetzwerk be-steht aus einer einzelnen Active Directory-Domänendienste (AD DS) Domäne mit dem Namen certbase.de. Auf allen Servercomputern ist das Betriebssystem Windows Server 2008 R2 instal-liert. Auf allen Clientcomputern wird Windows 7 ausgeführt.

Die Mitarbeiter verwenden häufig wechselnde Clientcomputer.

Sie müssen eine Lösung entwerfen, die den Benutzern von jedem Arbeitsplatz Zugriff auf Ihre persönlichen Dokumente ermöglicht. Zudem müssen Sie die Dauer für den An- und Abmeldevor-gang minimieren.


A Ordnerumleitung

B Basisverzeichnisse

C Verbindliche Benutzerprofile

D Servergespeicherte Benutzerprofile


Korrekte Antwort: A

Erläuterungen:

Im Gruppenrichtlinienobjekt-Editor können Sie mithilfe der Ordnerumleitung einige besondere Ordner an Netzwerkpfade umleiten. Zu diesen Spezialordnern gehören z. B. die Ordner Doku-mente und Bilder. Die Ordnerumleitung befindet sich unter Benutzerkonfiguration\ Windows-Einstellungen in der Konsolenstruktur des Gruppenrichtlinienobjekt-Editors.

Vorteile beim Umleiten des Ordners "Dokumente"

Einige der nachstehend aufgeführten Vorteile bestehen darin, dass alle Ordner weitergeleitet werden können. Hierbei ist jedoch das Umleiten des Ordners Dokumente besonders vorteilhaft, da dieser Ordner erfahrungsgemäß im Laufe der Zeit einen erheblichen Umfang annimmt.

Bei Verwendung servergespeicherter Benutzerprofile wird lediglich der Netzwerkpfad des Ordners Dokumente in das Benutzerprofil einbezogen, nicht jedoch der Ordner. Aus diesem Grund ist es nicht erforderlich, den Inhalt des Ordners bei jedem An- oder Abmeldevorgang des Benutzers auf den Clientcomputer bzw. den Server zu kopieren.

Auch wenn ein Benutzer sich an verschiedenen Computern im Netzwerk anmeldet, stehen die eigenen Dokumente stets zur Verfügung.

Mithilfe der Technologie für Offlinedateien können Benutzer auch dann auf ihre Dokumente zugreifen, wenn keine Verbindung mit dem Netzwerk besteht. Diese Funktion ist besonders für Benutzer von tragbaren Computern geeignet.

Daten, die in einem freigegebenen Netzwerkordner gespeichert sind, können im Rahmen der routinemäßigen Systemverwaltung gesichert werden. Durch diese Vorgehensweise ist höhere Sicherheit gewährleistet, da keine Benutzerinteraktion erforderlich ist.

Administratoren können mithilfe Kontingente festlegen und somit den Speicherplatz für die Spezialordner eines Benutzers begrenzen.

Es ist möglich, die Daten eines bestimmten Benutzers von der Festplatte mit den Betriebssys-temdateien an eine andere Festplatte im lokalen Computer des betreffenden Benutzers umzu-leiten. Auf diese Weise bleiben die Daten des Benutzers auch dann erhalten, wenn das Be-triebssystem erneut installiert wird.


Frage 150

Sie sind als Netzwerkadministrator für das Unternehmen CertBase tätig. Das Firmennetzwerk be-steht aus einer einzelnen Active Directory-Domänendienste (AD DS) Domäne mit dem Namen certbase.de. Auf allen Servercomputern ist das Betriebssystem Windows Server 2008 R2 instal-liert. Auf den Clientcomputern wird Windows 7 ausgeführt.

Die Benutzer verwenden Microsoft Word 2010 für das Verfassen technischer Artikel und Be-triebsanleitungen. Die Geschäftsführung hat von einem Lektorat ein benutzerdefiniertes Wörter-buch für die Rechtschreibkorrektur erstellen lassen. Das Wörterbuch ist speziell auf die Bedürfnis-se des Unternehmens abgestimmt.

Sie müssen eine Lösung für die Verteilung des benutzerdefinierten Word-Wörterbuchs entwerfen.

Welche Technologie werden Sie in Ihre Lösung einbeziehen?

A Das verteilte Dateisystem (DFS)

B Gruppenrichtlinienerweiterungen

C Die Offline-Wartung

D Die Windows-Bereitstellungsdienste


Korrekte Antwort: B

Erläuterungen:

In den Gruppenrichtlinieneinstellungen, die in Windows Server 2008 eingeführt wurden, werden mehr als zwanzig Gruppenrichtlinienerweiterungen bereitgestellt, mit denen der Umfang der kon-figurierbaren Einstellungen in einem Gruppenrichtlinienobjekt (Group Policy Object, GPO) erwei-tert wird. Sie können mithilfe einer Gruppenrichtlinie Laufwerkzuordnungen, Registrierungsein-stellungen, lokale Benutzer und Gruppen, Dienste, Dateien und Ordner verwalten, ohne eine Skriptsprache lernen zu müssen.

Mit den Voreinstellungselementen können Sie alle diese zusätzlichen Einstellungen über die be-kannte Gruppenrichtlinien-Verwaltungskonsole (Group Policy Management Console, GPMC) ver-walten. In den meisten Einstellungselementen wird auf der Benutzeroberfläche die relevante End-benutzeroberfläche zum Konfigurieren dieser Einstellungen nachgeahmt. Dies ermöglicht eine intuitivere Konfiguration.

Mit Dateieinstellungselementen können Sie die Dateien kopieren, ersetzen, löschen und ihre At-tribute ändern.


Frage 151

Sie sind als Netzwerkadministrator für das Unternehmen CertBase tätig. Das Firmennetzwerk be-steht aus einer einzelnen Active Directory-Domänendienste (AD DS) Domäne mit dem Namen certbase.de. Auf allen Servercomputern ist das Betriebssystem Windows Server 2008 R2 instal-liert. Das Netzwerk umfasst Fibre Channel- und iSCSI-Datenträger-Speichersubsysteme, die den Dienst für virtuelle Datenträger (Virtual Disk Service, VDS) unterstützen.

Sie planen die Installation eines Windows Server 2008 R2 Failoverclusters.

Sie müssen ein Tool für die Verwaltung der Speichersubsysteme empfehlen. Ihre Lösung muss die Verwaltung aller vorhandenen SANs unterstützen.

Welches Tool werden Sie empfehlen?

A Die Datenträgerverwaltung

B Die Freigabe- und Speicherverwaltung

C Den Speicher-Explorer

D Den Speicher-Manager für SANs


Korrekte Antwort: D

Erläuterungen:

Mit dem Speicher-Manager für SANs können Sie LUNs (Logical Unit Numbers, logische Geräte-nummern) auf Fibre Channel- und iSCSI-Datenträger-Speichersubsystemen erstellen und verwal-ten, die den Dienst für virtuelle Datenträger (Virtual Disk Service, VDS) unterstützen.

Unterschiede bei Hardware, Protokollen und Sicherheit führen dazu, dass die Konfiguration und Verwaltung von LUNs in Fibre Channel- und iSCSI-Umgebungen unterschiedlich ist.

Verwalten von LUNs in einer Fibre Channel-Umgebung

In einer Fibre Channel-Umgebung werden LUNs, die auf einem Datenträger-Speichersubsystem erstellt wurden, einem Server oder Cluster, der über einen oder mehrere Fibre Channel-HBA-Ports (Host Bus Adapter, Hostbusadapter) auf die LUN zugreift, direkt zugewiesen. Sie müssen lediglich den Server oder Cluster identifizieren, der auf die LUN zugreift, und dann auswählen, welche HBA-Ports auf diesem Server oder Cluster für den LUN-Verkehr verwendet werden sollen.

Nach dem Identifizieren des Servers ermittelt der Speicher-Manager für SANs automatisch die verfügbaren Fibre Channel-HBA-Ports auf diesem Server oder Cluster. Sie können Ports auch ma-nuell hinzufügen, indem Sie ihren WWN (World Wide Name) eingeben.

Verwalten von LUNs in einer iSCSI-Umgebung

Im Gegensatz zu einer Fibre Channel-Umgebung werden LUNs, die auf einem iSCSI-Datenträger-Speichersubsystem erstellt wurden, einem Server oder Cluster nicht direkt zugewiesen. Bei iSCSI werden LUNs zunächst logischen Entitäten zugewiesen, die Ziele genannt werden.

Ziele werden zum Verwalten der Verbindungen zwischen einem iSCSI-Gerät und den Servern, die auf das Gerät zugreifen müssen, erstellt. Ein Ziel definiert die Portale (IP-Adressen), über die eine Verbindung mit dem iSCSI-Gerät hergestellt werden kann. Außerdem definiert ein Ziel ggf. die Sicherheitseinstellungen, die das iSCSI-Gerät zum Authentifizieren der Server benötigt, die Zugriff auf die Ressourcen des iSCSI-Geräts anfordern.

Meistens können Sie Ziele selbst erstellen und verwalten. Manche iSCSI-Speichersubsysteme un-terstützen jedoch nur einfache Zielkonfigurationen, bei denen Ziele beim Erstellen einer LUN au-tomatisch erstellt werden. Bei einfachen Zielkonfigurationen können Sie ein Ziel jedoch nicht ma-nuell löschen oder dem Ziel eine LUN zuweisen. LUNs werden automatisch zugewiesen, wenn Sie erstellt werden. Bei dieser Art von Subsystem müssen Sie nur den Server oder Cluster identifizie-ren, der auf die LUN zugreift, und das iSCSI-Subsystem aktiviert den Zugriff von diesem Server auf die LUN.

Zum Herstellen der Verbindung mit einem Ziel verwenden Server in einem SAN (Storage Area Network) einen iSCSI-Initiator. Ein iSCSI-Initiator ist eine logische Entität, mit deren Hilfe der Ser-ver mit dem Ziel kommunizieren kann. Zunächst meldet sich der iSCSI-Initiator beim Ziel an. Wenn das Ziel den Zugriff gewährt hat, kann der Server mit Lese- und Schreibvorgängen in den LUNs beginnen, die diesem Ziel zugewiesen sind. Jeder iSCSI-Initiator kann über eine oder mehre-re Netzwerkadapter verfügen, über die kommuniziert wird.

Wie in Fibre Channel-Umgebungen müssen Sie nur den Server oder Cluster identifizieren, der auf die LUN zugreift. Der Speicher-Manager für SANs ermittelt die iSCSI-Initiatoren auf diesem Server oder Cluster automatisch und listet alle für diese Initiatoren verfügbaren Adapter auf. Nach dem Ermitteln der iSCSI-Initiatoradapter können Sie auswählen, welche Adapter für den LUN-Verkehr verwendet werden sollen.


Frage 152

Sie sind als Netzwerkadministrator für das Unternehmen CertBase tätig. Das Firmennetzwerk be-steht aus einer einzelnen Active Directory-Domänendienste (AD DS) Domäne mit dem Namen certbase.de. Die Domäne umfasst mehrere Windows Server 2008 R2 Dateiserver.

Die Dateiserver verfügen jeweils über eine separate Festplatte für Dateifreigaben. Sie evaluieren, die Installation einer zusätzlichen Festplatte und das Erstellen von Stripesetvolumes für die Bereit-stellung der Dateien.

Welche der folgenden Speicheranforderungen wird durch das Erstellen von Stripesetvolumes er-füllt?

A Stripesetvolumes verbessern die Datenverfügbarkeit der Dateiserver.

B Stripesetvolumes verbessern die Leistung der Dateiserver.

C Stripesetvolumes ermöglichen zusätzlichen Speicherplatz für die Daten ohne Ausfallzeiten des Servers zu verursachen.

D Stripesetvolumes ermöglichen Benutzern den Zugriff auf vorherige Versionen für alle auf dem Dateiserver gespeicherten Dateien.


Korrekte Antwort: B

Erläuterungen:

Ein Stripesetvolume ist ein dynamisches Volume, auf dem Daten in Stripes auf mindestens zwei physikalischen Datenträgern gespeichert werden. Die Daten auf einem Stripesetvolume werden abwechselnd und gleichmäßig (in Stripes) auf den Datenträgern verteilt. Stripesetvolumes bieten von allen unter Windows verfügbaren Volumes die beste Leistung; Fehlertoleranz bieten sie je-doch nicht. Wenn bei einem der Datenträger in einem Stripesetvolume ein Fehler auftritt, gehen die Daten auf dem gesamten Volume verloren.

Stripesetvolumes können nur auf dynamischen Datenträgern erstellt werden. Stripesetvolumes können nicht erweitert werden. Ein Stripesetvolume kann auf bis zu 32 dynamischen Datenträ-gern erstellt werden.


Frage 153

Sie sind als Netzwerkadministrator für das Unternehmen CertBase tätig. Das Unternehmen hat eine Hauptgeschäftsstelle und mehrere Zweigstellen. Das Firmennetzwerk besteht aus einer ein-zelnen Active Directory-Domänendienste (AD DS) Domäne mit dem Namen certbase.de. Die Hauptgeschäftsstelle umfasst einen Windows Server 2008 R2 Dateiserver mit dem Namen Ser-ver1.

Um die Speicherkapazität des Dateiservers zu erweitern, evaluieren Sie das Einbinden eines iSCSI-Targets.

Welche der folgenden Speicheranforderungen können Sie bei der Verwendung eines iSCSI-Targets nicht erfüllen?

A Sicherstellen, dass die Daten durch die BitLocker-Laufwerksverschlüsselung geschützt sind.

B Sicherstellen, dass der Dateiserver den zusätzlichen Speicherplatz als lokalen Datenträger ver-wenden kann.

C Sicherstellen, dass die neue Speicherlösung durch das Windows-Failovercluster Feature unter-stützt wird.

D Sicherstellen, dass das Bereitstellen des neuen Speichers keinen Ausfall des Servers verursacht.


Korrekte Antwort: A

Erläuterungen:


Die BitLocker-Laufwerkverschlüsselung kann nicht in Verbindung mit iSCSI-Zielen verwendet wer-den.


Frage 154


Das Unternehmen verwendet eine Intranet Website für die interne Kommunikation und die Be-reitstellung wichtiger Dokumente. Die Website wird auf einem Windows Server 2008 R2 Webser-ver mit dem Namen Web1 gehostet.

Sie müssen eine Lösung entwerfen, mit der die Leistung der Intranet Website verbessert wird. Zudem müssen Sie Fehlertoleranz für die Website implementieren.


A Zusätzliche Anwendungspools

B Zusätzliche Arbeitsprozesse

C Das Feature Failover-Clusterunterstützung

D Das Feature Netzwerklastenausgleich


Korrekte Antwort: D

Erläuterungen:

Unter Windows Server 2008 R2 stehen zwei Clustertechnologien zur Verfügung: Failovercluster und Netzwerklastenausgleich (Network Load Balancing, NLB). Failovercluster bieten vor allem eine hohe Verfügbarkeit. Der Netzwerklastenausgleich bietet Skalierbarkeit und erhöht gleichzei-tig die Verfügbarkeit webbasierter Dienste.

Eine Webanwendung kann jeweils nur einem Anwendungspool zugeordnet werden. Mehrere Arbeitsprozesse verbessern zwar die Leistung bieten aber keine Fehlertoleranz.


Frage 155

Sie sind als Netzwerkadministrator für das Unternehmen CertBase tätig. Das Unternehmen hat eine Hauptgeschäftsstelle und mehrere Zweigstellen. Das Firmennetzwerk besteht aus einer ein-zelnen Active Directory-Domänendienste (AD DS) Domäne mit dem Namen certbase.de. Die Hauptgeschäftsstelle umfasst einen Windows Server 2008 R2 Druckserver mit dem Namen Ser-ver1.

Sie müssen die Zuverlässigkeit des Druckservers verbessern.

Wie gehen Sie vor?

A Erstellen Sie Druckerpools.

B Konfigurieren Sie die Druckerumleitung.

C Konfigurieren Sie die Treiberisolation.

D Ändern Sie den Speicherort des Spoolordners.

Korrekte

Erläuter

Mit WinModi arIsolation

Folgend

Keinvorh

Freigden zess

Isolitreibwen

Syst

e Antwort:

rungen:

dows Serverbeiten zu las

n) führt zu ei

e 4 Isolation

n - dies ist dihanden ist. Dgegeben - din einem ein. ert - dies ist

ber in untersndet werdentemstandard

C

r 2008 R2 isssen. Die neinem zuverlä

nsstufen sind

ie bisher verDer Druckertdie Druckertrnem eigenen

t der neue Mschiedlichen , wenn es Pd - entsprich

t es möglichue Möglichkässigen, stab

d konfigurier

wendete Eintreiber läuft reiber sind un Task ausge

Modus unter Prozessen arobleme mit

ht dem Modu

h, einzelne okeit mit der bileren Betrie

rbar:

nstellung, wimmer im Ko

unabhängig eführt. Die D

Windows Sausgeführt. Dt dem Druckus Freigegeb

Pla

oder alle DruBezeichnungeb der Druck

ie sie z.b. auontext der Dvon der Dru

Druckertreibe

erver 2008 RDiese Einstelkertreiber gibben

anning for S

ckertreiber ig Treiberisolkerwartesch

uf einem WinDruckerwarteckerwartescer teilen sich

R2. Dabei wlung sollte im

bt.

Server Dep

in verschiedeation (Printelange.

ndows Serveeschlange. chlange und h einen Host

werden die Dmmer dann

loyment

enen er Driver

er 2003

wer-t Pro-

rucker-ver-


Frage 156

Sie sind als Netzwerkadministrator für das Unternehmen CertBase tätig. Das Firmennetzwerk be-steht aus einer einzelnen Active Directory-Domänendienste (AD DS) Domäne mit dem Namen certbase.de. Das Netzwerk umfasst einen Webserver mit dem Namen Web1. Auf Web1 ist das Betriebssystem Windows Server 2008 R2 Server Core installiert.

Sie wollen einen Windows Server 2008 R2 Sicherungsserver mit dem Namen Backup1 verwen-den, um regelmäßig Sicherungen der Websites von Web1 durchzuführen.

Sie müssen sicherstellen, dass Sie Backup1 verwenden können, um die Sicherungen auf Web1 zu erstellen.

Welche zwei Schritte werden Sie auf Web1 ausführen? (Jede korrekte Antwort stellt einen Teil der Lösung dar. Wählen Sie zwei Antworten.)

A Installieren Sie die Windows PowerShell.

B Installieren Sie die Windows Server-Sicherungsfeatures.

C Bearbeiten Sie die Einstellungen der Windows-Firewall.

D Installieren Sie den Internetinformationsdienste (IIS) Verwaltungsdienst.

Korrekte

Erläuter

Mit WinRemotecvon Sich

Um eineSicherun

e Antwort:

rungen:

dows Servercomputer erherungen pla

en Remotecong so konfig

B, C

r-Sicherung rstellen und anen.

omputer zu suriert werde

Plan

können Sie verwalten. A

sichern müssen, dass eing

nning for B

SicherungenAußerdem k

sen die vordgehende Ver

Business Co

n für den lokkönnen Sie d

definierten Rrbindungen

ontinuity an

kalen Compudie automatis

Regeln für diezugelassen w

nd High Ava

uter oder einsche Ausfüh

e Windows-werden:

ailability

nen hrung

-


Frage 157

Sie sind als Netzwerkadministrator für das Unternehmen CertBase tätig. Das Firmennetzwerk be-steht aus einer einzelnen Active Directory-Domänendienste (AD DS) Domäne mit dem Namen certbase.de. Die Domäne enthält einen Windows Server 2008 R2 Computer mit dem Namen Ser-ver1. Auf Server1 ist die Rolle Hyper-V installiert.

Server1 hostet mehrere virtuelle Servercomputer. Die virtuellen Festplatten der VMs sind auf ei-nem Dateiserver mit dem Namen Server2 gespeichert.

Sie planen eine Sicherungsstrategie für Server1. Sie müssen sicherstellen, dass Server1 und alle virtuellen Computer vollständig wiederhergestellt werden können. Eventuelle Beeinträchtigungen auf Server1 sollen so gering wie möglich ausfallen.

Wie gehen Sie vor?

A Erstellen Sie für jeden virtuellen Computer einen Snapshot. Verwenden Sie anschließend Windows Server-Sicherung und führen Sie eine vollständige Sicherung des Hyper-V Hosts durch.

B Fahren Sie die virtuellen Computer herunter und führen Sie eine vollständige Sicherung des Hyper-V Hosts durch. Starten Sie die virtuellen Computer, nachdem der Sicherungsvorgang abgeschlossen wurde.

C Verwenden Sie Windows Server-Sicherung auf jedem virtuellen Server und führen Sie eine vollständige Sicherung durch. Verwenden Sie Windows Server-Sicherung anschließend auf dem Hyper-V Host und führen Sie eine vollständige Sicherung durch.

D Verwenden Sie Windows Server-Sicherung auf jedem virtuellen Server und führen Sie eine vollständige Sicherung durch. Fahren Sie die virtuellen Computer anschließend herunter und verwenden Sie Windows Server-Sicherung auf dem Hyper-V Host, um eine vollständige Siche-rung durchzuführen. Starten Sie die virtuellen Computer, nachdem der Sicherungsvorgang abgeschlossen wurde.


Korrekte Antwort: C

Erläuterungen:

Mit der Windows Server-Sicherung können Sie das Betriebssystem, den Systemstatus, Volumes, Dateien und Anwendungsdaten schützen. Die Sicherungen können auf einzelnen oder mehreren Datenträgern oder Volumes, DVDs, Wechselmedien oder in freigegebenen Remoteordnern ge-speichert werden. Sicherungsvorgänge können für die automatische Ausführung geplant oder manuell ausgeführt werden.

Sicherungen können Sie erstellen, indem Sie mit dem Assistenten für den Sicherungszeitplan die regelmäßige Ausführung von Sicherungen aktivieren oder mit dem Assistenten für die Einmalsi-cherung eine einmalige Sicherung ausführen. Auf beide Assistenten können Sie im MMC-Snap-In (Microsoft Management Console) Windows Server-Sicherung zugreifen.

Virtuelle Computer oder andere Dienste müssen während einer vollständigen Sicherung des Host-systems nicht heruntergefahren bzw. beendet werden.


Frage 158

Sie sind als Netzwerkadministrator für das Unternehmen CertBase tätig. Das Firmennetzwerk be-steht aus einer einzelnen Active Directory-Domänendienste (AD DS) Domäne mit dem Namen certbase.de. Die Buchhaltungsabteilung verwendet die Virtualisierungssoftware eines Drittanbie-ters für die Bereitstellung virtueller Windows Server 2008 R2 Computer.

Sie müssen eine Lösung für die automatisierte Bereitstellung neuer Server für die Buchhaltungsab-teilung entwerfen.


A Microsoft Hyper-V Server 2008 R2

B Microsoft System Center virtual Machine Manager (VMM)

C Die Windows-Bereitstellungsdienste

D Die Windows Server-Migrationstools


Korrekte Antwort: C

Erläuterungen:

Bei den Windows-Bereitstellungsdiensten handelt es sich um eine Serverrolle, die Ihnen die Remo-tebereitstellung von Windows-Betriebssystemen ermöglicht. Mithilfe der Windows-Bereitstellungsdienste können neue Computer unter Verwendung einer netzwerkbasierten Instal-lation eingerichtet werden. Das bedeutet, dass nicht jedes Betriebssystem direkt von einer CD oder DVD installiert werden muss. Zum Verwenden der Windows-Bereitstellungsdienste benöti-gen Sie ausreichend praktische Kenntnisse über gängige Desktopbereitstellungstechnologien und Netzwerkkomponenten, einschließlich Dynamic Host Configuration-Protokoll (DHCP), Domain Name System (DNS) und Active Directory-Domänendienste.

Falsche Antworten:

A: Der Hyper-V Server 2008 R2 ist ein eigenständiger und kostenloser Virtualisierungsserver. Für die Verwaltung ist zusätzliche Software nötig.

B: Der Virtual Machine Manager besteht aus mehreren Komponenten: Einem Virtual Machine Manager-Server, einer Verwaltungskonsole, einem Agenten auf den verwalteten Systemen und einem Self Service Portal. SCVMM ermöglicht die zentrale Verwaltung von Hyper-V Hosts und virtuellen Computern.

D: Die Migrationsdokumentation und -tools erleichtern das Migrieren von Serverrollen, Betriebs-systemeinstellungen und Daten von einem vorhandenen Server unter Windows Server 2003, Windows Server 2008 oder Windows Server 2008 R2 zu einem Computer unter Windows Ser-ver 2008 R2.


Frage 159

Sie sind als Netzwerkadministrator für das Unternehmen CertBase tätig. Das Firmennetzwerk be-steht aus einer einzelnen Active Directory-Domänendienste (AD DS) Domäne mit dem Namen certbase.de. Das Unternehmen möchte seinen Vertriebsmitarbeitern zukünftig die Möglichkeit geben remote auf das Firmennetzwerk zuzugreifen, um aktuelle Produktinformationen abzurufen.

Sie müssen eine Lösung für die geplanten Neuerungen entwerfen.

Welche zwei Rollendienste werden Sie in Ihre Planung einbeziehen? (Jede korrekte Antwort stellt einen Teil der Lösung dar. Wählen Sie zwei Antworten.)

A Integritätsregistrierungsstelle

B Host Credential Authorization-Protokoll (HCAP)

C Netzwerkrichtlinienserver

D Routing- und RAS-Dienste


Korrekte Antwort: C, D

Erläuterungen:

Alle vier Rollendienste sind Bestandteil der Rolle Netzwerkrichtlinien- und Zugriffsdienste. Um den Zugriff via VPN auf Ressourcen des internen Netzwerks zu ermöglichen, werden die Rollendienste Netzwerkrichtlinienserver und Routing- und RAS-Dienste benötigt. Die beiden anderen Rollen-dienste kommen zum Einsatz, wenn Clients vor der Verbindungsherstellung auf bestimmte Si-cherheitskriterien, wie installierte Updates oder einen aktuellen Antivirenschutz überprüft werden sollen.


Frage 160

Sie sind als Netzwerkadministrator für das Unternehmen CertBase tätig. Das Unternehmen hat eine Hauptgeschäftsstelle und mehrere Zweigstellen. Das Firmennetzwerk besteht aus einer Acti-ve Directory Gesamtstruktur mit mehreren Domänen. Die Domänencontroller der Stammdomäne befinden sich in der Hauptgeschäftsstelle.

Für jede Zweigstelle ist eine eigene, untergeordnete Domäne konfiguriert. In jeder Zweigstelle befindet sich ein Domänencontroller für die eigene Domäne.

Alle Domänencontroller sind auch als DNS-Server konfiguriert.

Sie müssen sicherstellen, dass die Benutzer der Zweigstellen den Domänencontroller ihres Stan-dortes für das Auflösen von Hostnamen aus dem Namensraum der Stammdomäne verwenden können. Zudem müssen Sie sicherstellen, dass bei Änderungen der Namensservereinträge für die Stammzone keine zusätzlichen Verwaltungsaufgaben in den Zweigstellen notwendig werden.

Wie gehen Sie vor?

A Erstellen Sie auf allen DNS-Servern in den Zweigstellen eine Stubzone.

B Erstellen Sie auf allen DNS-Servern in den Zweigstellen eine sekundäre Zone.

C Verschieben Sie die DNS-Zone der Stammdomäne in die Anwendungsverzeichnispartition Fo-restDNSZones.

D Verschieben Sie die DNS-Zonen der Zweigstellen in die Anwendungsverzeichnispartition Fo-restDNSZones.

Korrekte

Erläuter

In den Edardmäßtrollern dzeichnisp

Wir könder Gesa

e Antwort:

rungen:

Eigenschafteßig wird eineder eigenen partition Do

nen den Repamtstruktur

C

n einer DNSe Active Dire Domäne au

omainDNSZo

plikationsbereplizieren.

-Zone kann ectory-integusgeführt weones.

reich ändern

der Replikatrierte Zone aerden, repliz

n und die Zo

Pla

tionsbereichauf alle DNSziert. Dies en

one der Stam

anning for S

konfiguriertS-Server, die ntspricht der

mmdomäne a

Server Dep

rt werden. Stauf Domän

r Anwendun

auf alle DNS

loyment

tan-encon-gsver-

S-Server


Frage 161

Sie sind als Netzwerkadministrator für das Unternehmen CertBase tätig. Das Firmennetzwerk be-steht aus einer einzelnen Active Directory-Domänendienste (AD DS) Domäne mit dem Namen certbase.de. Die Domäne umfasst zwei SQL Server 2008 R2 Servercomputer. Die SQL Server-Dienste werden im Sicherheitskontext speziell konfigurierter Domänenbenutzerkonten mit den Namen _svcSQL1 und _svcSQL2 ausgeführt.

Die Firmensicherheitsrichtlinien schreiben vor, dass die Kennwörter aller Domänenbenutzerkonten nach spätestens 30 Tagen geändert werden müssen.

Sie müssen eine Lösung für die Verwaltung der Dienstkonten _svcSQL1 und _svcSQL2 empfehlen. Ihre Lösung muss den Vorgaben der Firmensicherheitsrichtlinien entsprechen.


A Einen benutzerdefinierten Passwortfilter

B Ein Kennworteinstellungsobjekt (Password Setting Object, PSO)

C Verwaltete Dienstkonten

D Manuelle Kennwortänderungen


Korrekte Antwort: C

Erläuterungen:

Auf einem lokalen Computer kann ein Administrator eine Anwendung so konfigurieren, dass sie unter Lokaler Dienst, Netzwerkdienst oder Lokales System ausgeführt wird. Diese Dienstkonten sind einfach zu konfigurieren und zu verwenden, sie werden jedoch in der Regel von mehreren Anwendungen und Diensten gemeinsam genutzt und können nicht auf einer Domänenebene verwaltet werden.

Wenn Sie die Anwendung zur Verwendung eines Domänenkontos konfigurieren, können Sie die Rechte für die Anwendung isolieren. Sie müssen jedoch die Kennwörter manuell verwalten oder eine benutzerdefinierte Lösung zum Verwalten dieser Kennwörter erstellen.

Das verwaltete Dienstkonto wurde so konzipiert, dass für Anwendungen wie z. B. SQL Server oder Exchange Folgendes bereitgestellt wird:

Automatische Kennwortverwaltung, sodass diese Dienste besser von anderen Diensten auf dem Computer getrennt werden können.

Vereinfachte Dienstprinzipalnamen-Verwaltung (Service Principal Name, SPN), die es Dienstadministratoren ermöglicht, Dienstprinzipalnamen für diese Konten festzulegen. Zudem kann die Dienstprinzipalnamen-Verwaltung an andere Administratoren delegiert werden.

Zum Konfigurieren und Verwalten dieser Konten für einen Dienst, der unter Windows 7 oder Windows Server 2008 R2 ausgeführt wird, müssen Sie Windows PowerShell-Cmdlets verwenden. Für das Erstellen und Verwalten dieser Konten ist keine Benutzeroberflächenunterstützung vor-handen.


Frage 162

Sie sind als Netzwerkadministrator für das Unternehmen CertBase tätig. Das Firmennetzwerk be-steht aus einer einzelnen Active Directory-Domänendienste (AD DS) Domäne mit dem Namen certbase.de. Das Unternehmen ist in mehrere Abteilungen untergliedert. Für jede Abteilung ist eine globale Sicherheitsgruppe konfiguriert, die die Benutzerkonten der jeweiligen Mitarbeiter enthält.

Die Mitarbeiter der Abteilungen Personal und Buchhaltung sollen zukünftig über einen Remote-desktop-Gatewayserver Zugriff auf Ihre Arbeitsplatzcomputer erhalten.

Da auf den Clientcomputern jeweils spezielle Software für die verschiedenen Abteilungen instal-liert ist, müssen Sie sicherstellen, dass nur Mitarbeiter aus der Buchhaltung die Computer der Buchhaltungsabteilung verwenden dürfen. Die Computer der Personalabteilung dürfen aus-schließlich von Mitarbeitern der Personalabteilung verwendet werden.

Sie müssen die Konfiguration des Remotedesktop-Gatewayservers planen. Ihre Lösung muss den Anforderungen des Unternehmens entsprechen.

Wie gehen Sie vor?

A Erstellen Sie zwei Remotedesktop-Verbindungsautorisierungsrichtlinien (TS CAPs) und eine Remotedesktop-Autorisierungsrichtlinie (TS RAP).

B Erstellen Sie eine Remotedesktop-Verbindungsautorisierungsrichtlinien (TS CAPs) und zwei Remotedesktop-Autorisierungsrichtlinie (TS RAP).

C Erstellen Sie eine Remotedesktop-Autorisierungsrichtlinie (TS RAP). Installieren und konfigurie-ren Sie den Rollendienst Remotedesktop-Verbindungsbroker.

D Erstellen Sie eine Remotedesktop- Verbindungsautorisierungsrichtlinien (TS CAP). Installieren und konfigurieren Sie den Rollendienst Remotedesktop-Verbindungsbroker.


Korrekte Antwort: B

Erläuterungen:

Remotedesktopgateway (RD-Gateway) ist ein Rollendienst, der autorisierten Remotebenutzern das Herstellen von Verbindungen mit Ressourcen in einem internen Firmennetzwerk oder privaten Netzwerk von jedem Gerät aus ermöglicht, das mit dem Internet verbunden ist und auf dem der Remotedesktopverbindungs-Client (RDC-Client) ausgeführt werden kann. Netzwerkressourcen können Host für Remotedesktopsitzungen-Server, Host für Remotedesktopsitzungen-Server, auf denen RemoteApp-Programme ausgeführt werden, oder Computer mit aktiviertem Remotedesk-top sein.

Remotedesktop-Verbindungsautorisierungsrichtlinien (RD-CAPs)

Mithilfe von RD CAPs können Sie angeben, wer eine Verbindung mit einem RD-Gatewayserver herstellen kann. Sie können eine Benutzergruppe angeben, die auf dem lokalen RD-Gatewayserver oder in den Active Directory-Domänendiensten vorhanden ist. Darüber hinaus können Sie andere Bedingungen angeben, die Benutzer für den Zugriff auf einen RD-Gatewayserver erfüllen müssen. In jeder RD CAP können Sie bestimmte Bedingungen auflisten. Beispielsweise können Sie festlegen, dass eine Gruppe von Benutzern eine Smartcard verwenden muss, um über RD-Gateway eine Verbindung herzustellen.

Wir können eine RD CAP konfigurieren, die den beiden Gruppen, die die Benutzerkonten der Personalabteilung und der Buchhaltung enthalten, Verbindungen mit dem Remotedesktop-Gatewayserver ermöglicht.

Remotedesktop-Ressourcenautorisierungsrichtlinien (RD-RAPs)

RD-RAPs ermöglichen Ihnen das Angeben der internen Netzwerkressourcen, mit denen Remot-ebenutzer über einen RD-Gatewayserver eine Verbindung herstellen können. Wenn Sie eine RD-RAP erstellen, können Sie eine Computergruppe erstellen (eine Liste der Computer im internen Netzwerk, mit denen die Remotebenutzer Verbindungen herstellen können) und diese der RD-RAP zuordnen.

Wir können eine RD RAP für den Zugriff auf die Computer der Buchhaltung und eine zweite RD RAP für die Steuerung des Zugriffs auf die Computer der Personalabteilung erstellen. In die Ver-bindungsautorisierungsrichtlinie können die Gruppen beider Abteilungen aufgenommen werden.


Frage 163

Sie sind als Netzwerkadministrator für das Unternehmen CertBase tätig. Das Unternehmen hat eine Hauptgeschäftsstelle und mehrere Zweigstellen. Das Firmennetzwerk besteht aus einer ein-zelnen Active Directory-Domänendienste (AD DS) Domäne mit dem Namen certbase.de.

Die Benutzer- und Computerkonten der Zweigstellen sind innerhalb des Active Directory in sepa-raten Organisationseinheiten (OUs) gespeichert. Alle Gruppenkonten sind in einer Organisations-einheit mit dem Namen Gruppen gespeichert.

Sie müssen den Mitarbeitern des Helpdesk das Ändern von Gruppenmitgliedschaften ermögli-chen. Zudem müssen Sie sicherstellen, dass die Helpdeskmitarbeiter Kennörter für Benutzer der Zweigstelle Bremen zurücksetzen können.

Wie gehen Sie vor?

A Nehmen Sie die Mitarbeiter des Helpdesk in die Gruppe Domänen-Admins auf.

B Nehmen Sie die Mitarbeiter des Helpdesk in die Gruppe Konten-Operatoren auf.

C Erteilen Sie den Mitarbeitern des Helpdesk Berechtigungen für die Organisationseinheiten Gruppen und Bremen.

D Erteilen Sie den Mitarbeitern des Helpdesk Berechtigungen für die Domäne und für den Con-tainer Users.

Korrekte

Erläuter

Die erfoObjektvekonfigur

e Antwort:

rungen:

rderlichen Berwaltung oriert werden

C

Berechtigungoder über dien.

gen können e Sicherheits

entweder übseinstellunge

Monito

ber den Assien der betro

oring and M

stenten zumffenen Orga

Maintaining

m Zuweisen anisationsein

Servers

der nheiten


Frage 164

Sie sind als Netzwerkadministrator für das Unternehmen CertBase tätig. Das Unternehmen hat eine Hauptgeschäftsstelle und zahlreiche Zweigstellen. Das Firmennetzwerk besteht aus einer einzelnen Active Directory-Domänendienste (AD DS) Domäne mit dem Namen certbase.de. Für die interne Kommunikation nutzt das Unternehmen eine Intranet Webanwendung.

Die Webanwendung liest Adress- und Kontaktinformationen aus den Eigenschaften der Domä-nenbenutzerkonten aus, um die Daten als Teil eines internen Adressbuchs bereitzustellen. Bei Änderungen müssen die Daten durch die Verwaltungskräfte der Hauptgeschäftsstelle angepasst werden.

Sie müssen eine Lösung für die Verwaltung der Adressinformationen der Domänenbenutzerkon-ten entwerfen. Ihre Lösung muss den Anforderungen des Unternehmens entsprechen.


A Die Active Directory Delegation

B Den Autorisierungs-Manager

C Vordefinierte Sicherheitsgruppen

D Die Zuweisung von Benutzerrechten

Korrekte

Erläuter

Mit demfür die Zman diene Attrib

e Antwort:

rungen:

m AssistentenZuweisung a Option Eigebut Lese- / S

A

n zum Zuwen die Verwaenschaftens

Schreibrechte

isen der Objaltungskräftespezifisch aue vergeben w

jektverwaltue der Hauptguf der Seite werden.

Plan

ung kann eingeschäftssteBerechtigun

nning for Se

ne benutzerdlle erstellt w

ngen, könne

erver Mana

definierte Auwerden. Aktiven für jedes

agement

ufgabe viert einzel-


Frage 165

Sie sind als Netzwerkadministrator für das Unternehmen CertBase tätig. Das Firmennetzwerk be-steht aus einer einzelnen Active Directory-Domänendienste (AD DS) Domäne mit dem Namen certbase.de. Die Entwicklungsabteilung hat eine datenbankbasierte Anwendung für die Verwal-tung von Kontaktinformationen erstellt. Die Benutzer können die Anwendung über eine Da-teifreigabe aufrufen.

Für den Betrieb der Anwendung muss auf den Clientcomputern eine Systemdatenquelle mit dem Namen App1 erstellt werden.

Sie müssen eine Lösung empfehlen, die den Betrieb der Anwendung auf allen Clientcomputern ermöglicht. Ihre Lösung muss den administrativen Aufwand so gering wie möglich halten.


A Eine Gruppenrichtlinienobjekt und administrative Vorlagen

B Ein Gruppenrichtlinienobjekt und Voreinstellungserweiterungen

C Ein Gruppenrichtlinienobjekt und Softwareeinstellungen

D Den Dienst für die Windows-Remoteverwaltung (WinRM)


Korrekte Antwort: B

Erläuterungen:

Die Gruppenrichtlinien-Verwaltungskonsole ermöglicht das Konfigurieren der Voreinstellungen für das Bearbeiten eines domänenbasierten Gruppenrichtlinienobjekts. Der Knoten Voreinstellungen wird unter Computerkonfiguration sowie unter Benutzerkonfiguration angezeigt. Im Editor wer-den Voreinstellungserweiterungen in zwei Kategorien unterteilt: Windows-Einstellungen und Sys-temsteuerungseinstellungen.

Voreinstellungselemente für Datenquellen ermöglichen das Erstellen, Aktualisieren, Ersetzen und Löschen von Benutzer- und Systemdatenquellen. In Datenquellen wird gespeichert, auf welche Weise die Verbindung mit einem Datenanbieter hergestellt wird. Überprüfen Sie vor dem Erstellen eines Voreinstellungselements für Datenquellen das Verhalten jedes für diese Erweiterung mögli-chen Aktionstyps.


Frage 166


In der Vergangenheit kam es zu Ausfallzeiten und eingeschränkter Funktionalität der Clientcom-puter aufgrund fehlerhafter Änderungen an den Gruppenrichtlinieneinstellungen.

Sie müssen eine Lösung entwerfen, die das Testen von Änderungen an den Gruppenrichtlinienob-jekten (GPOs) ermöglicht, bevor diese in der produktiven Umgebung wirksam werden.


A Die Gruppenrichtlinienverwaltungs-Konsole und den Autorisierungs-Manager

B Die Gruppenrichtlinienverwaltungs-Konsole und Microsoft SharePoint Foundation 2010

C Das Microsoft Desktop Optimization Pack (MDOP)

D Den Microsoft System Center Configuration Manager (MSCCM)


Korrekte Antwort: C

Erläuterungen:

Das Microsoft Desktop Optimization Pack for Software Assurance unterstützt Sie mit modernen Technologien, die Verwaltbarkeit zu verbessern und die Komplexität zu reduzieren.

MDOP enthält neben fünf weiteren Produkten das Microsoft Advanced Group Policy Manage-ment

Microsoft Advanced Group Policy Management

Änderungen an Gruppenrichtlinien können Auswirkungen auf jeden Benutzer und Computer im Netzwerk haben. Ohne Change-Management werden Änderungen direkt in Live-GPOs durchge-führt und wirken sich auf Computer aus, bevor diese getestet werden können. Bei Änderungen haben Sie im Fall von unerwünschten Effekten keine Möglichkeit, schnell in einen funktionieren-den Status zurückzukehren.

Microsoft Advanced Group Policy Management erhöht die Kontrolle der Administratoren über die Verwaltung von Gruppenrichtlinienobjekten (GPOs). Durch Implementierung eines Change-Managements und einer rollenbasierten Delegierung verringern Sie die Probleme und Ausfallzei-ten, die durch in Konflikt stehende oder falsch konfigurierte GPOs verursacht werden.

Change-Management Archiv zur Kontrolle von Änderungen in GPOs. Um ein GPO zu ändern, muss der Administrator dieses „auschecken“ und nach der Änderung wieder „einchecken“.

Offlinebearbeitung Durch die Möglichkeit, Gruppenrichtlinien offline zu bearbeiten, können Sie Änderungen konfigurieren und testen, ohne Auswirkungen auf die Live-Umgebung zu be-fürchten.

Rollenbasierte Delegierung Für die Gruppenrichtlinien steht ein umfangreiches Delegie-rungsmodell zur Verfügung, mit dessen Hilfe administrative Aufgaben an Administratoren vor Ort oder an aufgabenbezogene Administratoren delegiert werden.

GPMC-Integration Microsoft Advanced Group Policy Management bietet eine nahtlose In-tegration in die standardmäßige Gruppenrichtlinien-Verwaltungskonsole (GPMC).


Frage 167

Sie sind als Netzwerkadministrator für das Unternehmen CertBase tätig. Das Firmennetzwerk be-steht aus einer einzelnen Active Directory-Domänendienste (AD DS) Domäne mit dem Namen certbase.de. Auf allen Servercomputern ist das Betriebssystem Windows Server 2008 installiert. Auf allen Clientcomputern wird Windows 7 ausgeführt.

Das Unternehmen verwendet benutzerdefinierte, administrative Vorlagen, um Einstellungen für Microsoft Office 2010 zu konfigurieren.

Die Administratoren verwenden die Remoteserver-Verwaltungstools (RSAT) und starten die Kon-sole Gruppenrichtlinienverwaltung (GPMC) lokal auf ihren Computern, wenn Änderungen an den Gruppenrichtlinienobjekten (GPOs) der Domäne vorgenommen werden müssen.

Sie müssen eine Lösung implementieren, die sicherstellt, dass alle Administratoren dieselben ad-ministrativen Vorlagen bearbeiten können.

Wie gehen Sie vor?

A Implementieren Sie einen zentralen Speicher.

B Aktualisieren Sie alle Domänencontroller auf Windows Server 2008 R2.

C Erstellen Sie Starter-Gruppenrichtlinienobjekte.

D Implementieren Sie Microsoft Advanced Group Policy Management (AGPM).


Korrekte Antwort: A

Erläuterungen:

Mit den administrativen Vorlagen eines Gruppenrichtlinienobjekts können Registrierungswerte auf Client- und Servercomputern konfiguriert werden.

Falsche Antworten:

B: Die relevanten Änderungen wurden bereits unter Windows Server 2008 / Windows Vista ein-geführt.

C: Starter-Gruppenrichtlinienobjekte werden von einem Gruppenrichtlinienobjekt (Group Policy Object, GPO) abgeleitet und ermöglichen das Speichern einer Sammlung von Richtlinienein-stellungen für administrative Vorlagen in einem einzelnen Objekt.

D: Microsoft Advanced Group Policy Management ist Bestandteil des Microsoft Desktop Opti-mization Pack (MDOP) und erhöht die Kontrolle der Administratoren über die Verwaltung von Gruppenrichtlinienobjekten (GPOs). Durch Implementierung eines Change-Managements und einer rollenbasierten Delegierung verringern Sie die Probleme und Ausfallzeiten, die durch in Konflikt stehende oder falsch konfigurierte GPOs verursacht werden.


Frage 168

Sie sind als Netzwerkadministrator für das Unternehmen CertBase tätig. Das Firmennetzwerk be-steht aus einer einzelnen Active Directory-Domänendienste (AD DS) Domäne mit dem Namen certbase.de. Das Netzwerk der Hauptgeschäftsstelle umfasst einen Windows Server Update Ser-vices (WSUS) Server mit dem Namen WSUS1.

Die Geschäftsführung plant die Eröffnung einer neuen Zweigstelle. Die Zweigstelle wird über eine dedizierte WAN-Verbindung mit der Hauptgeschäftsstelle verbunden sein. Der Internetzugang für die Zweigstellencomputer erfolgt über einen zentralen Router der Hauptgeschäftsstelle.

Sie müssen eine Lösung für das Patchmanagement der Zweigstelle entwerfen. Ihre Lösung muss den folgenden Anforderungen entsprechen:

Die Updates müssen zentral von den Administratoren der Hauptgeschäftsstelle genehmigt werden.

Alle Clients im Unternehmen müssen dieselben Updates erhalten. Der Datenverkehr über die Internetverbindung muss minimiert werden. Wie gehen Sie vor?

A Installieren Sie einen WSUS-Server im autonomen Modus. Konfigurieren Sie den neuen WSUS-Server so, dass Updates von Microsoft Update synchronisiert werden.

B Installieren Sie einen WSUS-Server im autonomen Modus. Konfigurieren Sie den neuen WSUS-Server so, dass Updates von WSUS1 synchronisiert werden.

C Installieren Sie einen WSUS-Server im Replikatmodus. Konfigurieren Sie den neuen WSUS-Server so, dass Updates von Microsoft Update synchronisiert werden.

D Installieren Sie einen WSUS-Server im Replikatmodus. Konfigurieren Sie den neuen WSUS-Server so, dass Updates von WSUS1 synchronisiert werden.


Korrekte Antwort: D

Erläuterungen:

Wir können in der Hauptgeschäftsstelle einen WSUS-Server im Replikatmodus installieren, der zwar die Genehmigungen von WSUS1 übernimmt, die Clientcomputer jedoch anweist, die Up-dates über das Internet von den Microsoft Update-Servern zu beziehen.






Frage 169

Sie sind als Netzwerkadministrator für das Unternehmen CertBase tätig. Das Firmennetzwerk be-steht aus einer einzelnen Active Directory-Domänendienste (AD DS) Domäne mit dem Namen certbase.de. Auf allen Servercomputern ist das Betriebssystem Windows Server 2008 installiert. Auf allen Clientcomputern wird Windows 7 ausgeführt.

Einige Benutzer haben über Internetwebsites Schadsoftware auf Ihre Clientcomputer herunterge-laden.

Sie müssen eine Lösung empfehlen, die zukünftig Ausfallzeiten und Sicherheitsrisiken durch Schadsoftware aus dem Internet minimiert.

Welche Technologie werden Sie in Ihre Empfehlung einbeziehen?

A Den Ressourcen-Manager für Dateiserver und Gruppenrichtlinienobjekte (GPOs)

B Microsoft Forefront Threat Management Gateway (TMG) 2010

C Microsoft Forefront Unified Access Gateway (UAG) 2010

D Die Windows-Firewall mit erweiterter Sicherheit und Gruppenrichtlinienobjekte (GPOs)


Korrekte Antwort: B

Erläuterungen:

Das Threat Management Gateway 2010 löst den ISA 2006 (Internet Security and Acceleration Server) ab bzw. stellt es die erneuerte Version des ISA 2006 dar.

Die Verbesserungen des Threat Management Gateway 2010 (TMG) gegenüber dem ISA 2006 sind weniger in den traditionellen Kernfunktionen einer Firewall zu suchen als vielmehr in den angrenzenden Funktionen. Das liegt bei Microsoft sicherlich auch darin begründet, dass das Un-ternehmen die eigenen Serversysteme bestmöglich unterstützen will und diese damit gleichzeitig für den Zugriff aus dem Internet optimal vorbereitet. Zu den Neuerungen des TMG zählen vor allem die folgenden Funktionen:

HTTPS-Überprüfung: Diese erlaubt die Prüfung von verschlüsselten Verbindungen aufgrund einer speziellen HTTPS-Kommunikation hinsichtlich Malware oder Sicherheitslücken. Dabei wird die HTTPS-Verbindung aus dem Internet durch das TMG terminiert, das den Datenstrom untersucht und dann eine weitere HTTPS-Verbindung zum Benutzergerät aufbaut. Für die Verbindungen, die aus Datenschutzgründen nicht durch das TMG untersucht werden sollen, wie zum Beispiel bei der Kommunikation mit Websites von Banken, lassen sich Ausnahmen definieren. Benutzer des Forefront-TMG-Clients können außerdem über die Überprüfung der HTTPS-Kommunikation benachrichtigt werden.

Abonnementdienst für E-Mail-Schutz: Zum Umfang von Forefront TMG gehört auch ein Abonnementsdienst für den E-Mail-Schutz, der auf der Technologie von Forefront Protection 2010 für Exchange Server basiert. Forefront TMG fungiert dabei als Vermittler für SMTP-Datenverkehr und überprüft E-Mails auf Viren, Malware, Spam und bestimmte Inhalte wie zum Beispiel ausführbare oder verschlüsselte Dateien, die im Netzwerk übermittelt werden.

URL-Filterung: Durch die URL-Filter lassen sich Webseiten vor dem Aufruf sperren. Hierzu werden diese anhand von URL-Kategorien wie zum Beispiel mit den Wörtern Pornografie, Drogen oder Gewalt gruppiert. Diese Funktion ist heute von vielen Anbietern von Sicherheits-Tools bekannt. Im TMG hat Microsoft diese Sicherheitsfunktionen nun ebenfalls integriert.

Web-Malware-Schutz: Durch den Schutz vor Web-Malware werden Internetseiten auf Viren, Malware und andere Bedrohungen überprüft. Diese Schutzfunktion ist Bestandteil des Abon-nementdiensts für Forefront TMG.

Netzwerküberprüfungssystem: Das Netzwerküberprüfungssystem (NIS) ermöglicht es, den Datenverkehr auf die Ausnutzung von Microsoft-Sicherheitsrisiken zu überprüfen. NIS kann auf der Grundlage von Protokollanalysen Angriffsklassen blockieren und False-Positive-Ergebnisse minimieren. Der Schutz kann bei Bedarf jederzeit aktualisiert werden.

Erweiterte Netzwerkadressübersetzung: Die Network Address Translation (NAT) erlaubt die Bestimmung einzelner E-Mail-Server, die auf einer 1:1-NAT-Basis veröffentlicht werden kön-nen.

Erweitere und verbesserte VoIP-Unterstützung: Diese ermöglicht die Integration von SIP, um damit die Bereitstellung von VoIP im Netzwerk zu vereinfachen.

Support für Windows Server 2008 mit 64-Bit-Unterstützung: Das TMG basiert auf dem Windows Server 2008 und dessen Support für 64-Bit-CPUs. Diese soll für mehr Leistungsfä-higkeit und höheren Datendurchsatz sorgen.


Frage 170

Sie sind als Netzwerkadministrator für das Unternehmen CertBase tätig. Das Firmennetzwerk be-steht aus einer einzelnen Active Directory-Domänendienste (AD DS) Domäne mit dem Namen certbase.de. Die Buchhaltungsabteilung speichert vertrauliche Dokumente auf einem Windows Server 2008 R2 Dateiserver mit dem Namen Server1.

Sie müssen eine Lösung für die Sicherheit der Dokumente entwerfen, die folgenden Anforderun-gen entspricht:

Die Dokumente dürfen nur durch autorisierte Benutzer geöffnet und geändert werden. Die Dokumente dürfen nur durch autorisierte Benutzer auf einem Drucker ausgegeben wer-

den. Was werden Sie in Ihre Lösung einbeziehen?

A Die zugriffsbasierte Aufzählung (ABE) und das verschlüsselnde Dateisystem (EFS)

B Die zugriffsbasierte Aufzählung (ABE) und die BitLocker-Laufwerksverschlüsselung

C Die Active Directory-Rechteverwaltungsdienste (AD RMS)

D Den Ressourcen-Manager für Dateiserver (FSRM) und aktive Dateiprüfungen


Korrekte Antwort: C

Erläuterungen

Mithilfe von Active Directory-Rechteverwaltungsdienste (Active Directory Rights Management Services, AD RMS) und des AD RMS-Clients können Sie die Sicherheitsstrategie eines Unterneh-mens verbessern, indem die Informationen durch dauerhafte Verwendungsrichtlinien geschützt werden. Diese Richtlinien werden immer auf die Informationen angewendet. Dabei ist es uner-heblich, wohin sie verschoben werden. Mithilfe von AD RMS können Sie verhindern, dass vertrau-liche Informationen (z. B. Finanzberichte, Produktspezifikationen, Kundendaten und vertrauliche E-Mail-Nachrichten) absichtlich oder versehentlich in falsche Hände geraten.

Die Bereitstellung eines AD RMS-Systems bietet Unternehmen die folgenden Vorteile:

Schützen vertraulicher Informationen Anwendungen wie Textverarbeitungsprogramme, E-Mail-Clients und Branchenanwendungen können für AD RMS aktiviert werden, um vertrauli-che Informationen zu schützen. Die Benutzer können definieren, wer die Informationen öff-nen, ändern, drucken, weiterleiten oder sonstige Aktionen hinsichtlich der Informationen aus-führen darf. Unternehmen können benutzerdefinierte Vorlagen für Verwendungsrichtlinien erstellen (z. B. "Vertraulich - Schreibgeschützt") die direkt auf die Informationen angewendet werden können.

Dauerhafter Schutz AD RMS verbessert vorhandene, umkreisbasierte Sicherheitslösungen (z. B. Firewalls und Zugriffssteuerungslisten für einen optimierten Schutz von Informationen) in-dem die Verwendungsrechte im Dokument selbst gesperrt werden. Somit kann gesteuert werden, wie die Informationen selbst nach dem Öffnen durch den jeweiligen Empfänger ver-wendet werden.

Flexible und anpassbare Technologie Unabhängige Softwarehersteller (Independent Software Vendors, ISVs) und Entwickler können alle Anwendungen für AD RMS aktivieren oder andere Server (z. B. Inhaltsverwaltungssysteme oder Portalserver), auf denen Windows oder andere Betriebssysteme ausgeführt werden, für die Verwendung mit AD RMS einrichten, um vertrau-liche Informationen zu schützen. Die unabhängigen Softwarehersteller können den Informa-tionsschutz in serverbasierte Lösungen integrieren. Dazu zählen beispielsweise die Dokument- und Datensatzverwaltung, E-Mail-Gateways und -Archivierungssysteme, automatisierte Work-flows und Inhaltsprüfungen.

AD RMS stellt Entwicklertools und Branchensicherheitstechnologien (einschließlich Verschlüs-selung, Zertifikaten und Authentifizierung) bereit, um Unternehmen bei der Erstellung zuver-lässiger Lösungen zum Schutz von Informationen zu unterstützen. Für die Erstellung benut-zerdefinierter AD RMS-Lösungen ist ein AD RMS-SDK (Software Development Kit) verfügbar.


Frage 171


Das Unternehmen verwendet ausschließlich USB-Speichergeräte, die kompatibel nach dem Stan-dard IEEE 1667 sind.

Sie müssen eine Lösung für die Verwendung externer Speichergeräte entwerfen, die folgenden Anforderungen entspricht:

Daten die auf USB-Speichergeräten gespeichert werden müssen im Falle eines Verlustes oder Diebstahls des Speichers vor nicht autorisiertem Zugriff geschützt sein.

Es dürfen ausschließlich vom Unternehmen bereitgestellte Speichergeräte verwendet werden. Für das Entsperren der USB-Speichergeräte dürfen keine Kennwörter verwendet werden. Was werden Sie in Ihre Lösung einbeziehen?


B Gruppenrichtlinieneinstellungen für die Anwendungssteuerung (AppLocker)

C Gruppenrichtlinieneinstellungen für Zugriff auf erweitertes Speichern (Enhanced Storage Ac-cess)

D Die BitLocker-Laufwerksverschlüsselung (BitLocker)


Korrekte Antwort: C

Erläuterungen:

Zu den Neuerungen von Windows Server 2008 R2 und Windows 7 zählen die Einstellungen für erweitertes Speichern (Enhanced Storage Access Settings). Für USB-Speichergeräte, die das Proto-koll IEEE 1667 unterstützen, kann eine zertifikats- und / oder kennwortbasierte Authentifizierung auf der Hardwareebene des Speichergerätes durchgeführt werden. Zu diesem Zweck können Zertifikatsilos für erweitertes Speichern mit Hilfe von Gruppenrichtlinien konfiguriert werden. Die relevanten Einstellungen finden Sie im Abschnitt Computerkonfiguration \ Administrative Vorla-gen\ System\ Zugriff auf erweitertes Speichern.


Frage 172

Sie sind als Netzwerkadministrator für das Unternehmen CertBase tätig. Das Firmennetzwerk be-steht aus einer einzelnen Active Directory-Domänendienste (AD DS) Domäne mit dem Namen certbase.de. Auf allen Servercomputern ist das Betriebssystem Windows Server 2008 R2 instal-liert. Die Mitarbeiter verwenden mobile Windows 7 Computer.

Sie müssen eine Lösung empfehlen, die sicherstellt, dass die Daten der mobilen Computer im Falle eines Verlustes oder Diebstahls des Computers vor nicht autorisiertem Zugriff geschützt sind.



B Anwendungssteuerungsrichtlinien (AppLocker)

C Die NAP-Erzwingung für die IPSec-Kommunikation

D Die BitLocker-Laufwerksverschlüsselung (BitLocker)


Korrekte Antwort: D

Erläuterungen:






Systemintegritätsprüfung

BitLocker kann ein TPM verwenden, um die Integrität von Komponenten für den frühen Start und Startkonfigurationsdaten zu überprüfen. Dadurch wird sichergestellt, dass BitLocker nur dann den Zugriff auf das verschlüsselte Laufwerk zulässt, wenn diese Komponenten nicht manipuliert wur-den und sich das verschlüsselte Laufwerk im ursprünglichen Computer befindet.

Mit den folgenden Aktionen wird die Integrität des Startprozesses von BitLocker sichergestellt:

BitLocker bietet eine Methode zum Überprüfen, ob die Integrität von Dateien für den frühen Start bewahrt wird, und zum Sicherstellen, dass diese Dateien nicht manipuliert wurden (z. B. mit Startsektorviren oder Rootkits).

BitLocker bietet einen verbesserten Schutz, um das Risiko softwarebasierter Angriffe im Offli-nemodus zu verringern. Jeglicher alternativer Software, mit der das System gestartet werden könnte, wird der Zugriff auf die Entschlüsselungsschlüssel für das Windows-Betriebssystemlaufwerk verweigert.

BitLocker sperrt das System bei Manipulation. Wenn überwachte Dateien manipuliert wur-den, wird das System nicht gestartet. Dadurch wird der Benutzer auf die Manipulation auf-merksam gemacht, da das System nicht normal gestartet werden kann. Im Fall einer Sys-temsperrung bietet BitLocker ein einfaches Wiederherstellungsverfahren.


Frage 173

Sie sind als Netzwerkadministrator für das Unternehmen CertBase tätig. Das Firmennetzwerk be-steht aus einer einzelnen Active Directory-Domänendienste (AD DS) Domäne mit dem Namen certbase.de. Auf allen Servercomputern ist das Betriebssystem Windows Server 2008 R2 instal-liert. Auf allen Clientcomputern wird Windows 7 Enterprise ausgeführt.

Die Firmensicherheitsrichtlinien enthalten folgende Vorgaben für die Serversicherheit:

Alle Server müssen über aktuelle Updates verfügen. Auf internen Festplatten darf ausschließlich das Dateisystem NTFS verwendet werden. Alle Benutzerkonten müssen mit ablaufenden Kennwörtern konfiguriert sein. Die lokale Gruppe der Administratoren darf nicht mehr als zwei Konten enthalten. Sie müssen sich vergewissern, dass die Servercomputer den Anforderungen der Firmensicherheits-richtlinien entsprechen.

Welches Tool werden Sie verwenden?

A Microsoft Baseline Security Analyzer (MBSA)

B Microsoft Security Assessment Tool (MSAT)

C Richtlinienergebnissatz (RSOP)

D Sicherheitskonfigurations-Assistent (SCW)


Korrekte Antwort: A

Erläuterungen:

Microsoft Baseline Security Analyzer (MBSA) ist ein benutzerfreundliches Tool, das kleinen und mittelständischen Unternehmen hilft, ihren Sicherheitsstatus entsprechend den Microsoft-Sicherheitsempfehlungen zu bestimmen, und das Anleitungen für konkrete Abhilfemaßnahmen bietet. Verbessern Sie den Sicherheitsverwaltungsprozess, indem Sie mithilfe von MBSA häufig vorkommende Fehler in der Sicherheitskonfiguration und fehlende Sicherheitsupdates auf Com-putersystemen erkennen.

Da MBSA auf dem Windows Update-Agent und der Microsoft Update-Infrastruktur aufbaut, ist die Konsistenz mit anderen Verwaltungsprodukten von Microsoft sichergestellt, wie Microsoft Update (MU), Windows Server Update Services (WSUS), Systems Management Server (SMS), Sys-tem Center Configuration Manager (SCCM) 2007 und Small Business Server (SBS).

Da MBSA von vielen führenden Drittanbietern von Sicherheitsprodukten und Sicherheitsprüfern verwendet wird, werden damit jede Woche durchschnittlich mehr als drei Millionen Computer überprüft. Schließen Sie sich den Tausenden von Benutzern an, die sich bei der Analyse des Si-cherheitsstatus auf MBSA verlassen.

MBSA 2.2 ist jetzt verfügbarUm Unterstützung für Windows 7, Windows Server 2008 R2, ein 64-Bit-Prüfprogramm zur Sicherheitsrisikobewertung sowie erstmals Unterstützung für Windows Embedded und Kompatibilität mit der neuesten Version von Windows Update-Agent (WUA) be-reitzustellen, ist jetzt Microsoft Baseline Security Analyzer (MBSA) 2.2 verfügbar.

Neue Features und Verbesserungen in MBSA 2.2

Es wurde eine Option zum Auswählen des Offlinemodus in der Benutzeroberfläche und der Befehlszeilenschnittstelle hinzugefügt.

Es werden weitere Sicherheitskataloge unterstützt (für zukünftige Verwendungszwecke). Die Befehlszeilenoption „/cabpath“ wurde hinzugefügt, mit der Kataloge aus einem benut-

zerdefinierten Verzeichnis oder einer Netzwerkfreigabe abgerufen werden können. Das automatische Fallback auf den Offlinemodus, wenn die Microsoft Update-Website oder

die WSUS-Server nicht verfügbar sind, wurde korrigiert. Der Downloadlink in abgeschlossenen Überprüfungsberichten wurde entfernt, da das korrek-

te Paket in einem mehrere Pakete umfassenden Download nicht mehr präzise identifiziert werden kann.

Die Produktversion wurde aus dem Cacheverzeichnispfad entfernt, wenn eine Offlinekata-logdatei (CAB) verwendet wird. Aktualisierte und überarbeitete Hilfedateien, die neue und korrigierte Funktionen beschreiben

Unterstützung für Windows 7 und Windows Server 2008 R2 Aktualisierte grafische Benutzeroberfläche Uneingeschränkte Unterstützung für 64-Bit-Plattformen und Sicherheitsrisikobewertungen

von 64-Bit-Plattformen und -Komponenten Verbesserte Unterstützung für die Plattform Windows XP Embedded Verbesserte Unterstützung für Sicherheitsrisikobewertungen von SQL Server 2005 Automatische Microsoft Update-Registrierung und Agentaktualisierung (sofern aktiviert) über

die grafische Benutzeroberfläche oder über das Befehlszeilenprogramm mit der Option „/ia“ Neues Feature zur Ausgabe fertig gestellter Prüfberichte an einen vom Benutzer ausgewähl-

ten Verzeichnispfad oder eine Netzwerkfreigabe (Befehlszeilenoption „/rd“) Kompatibilität mit Windows Server Update Services 2.0 und 3.0


Frage 174

Sie sind als Netzwerkadministrator für das Unternehmen CertBase tätig. Das Firmennetzwerk be-steht aus einer einzelnen Active Directory-Domänendienste (AD DS) Domäne mit dem Namen certbase.de. Die Vertriebsmitarbeiter verfügen über mobile Windows XP Service Pack 3 (SP3) Computer.

Die Vertriebsmitarbeiter sind häufig außer Haus und verwenden unterwegs eine Anwendung mit dem Namen App2. App2 kann ausschließlich unter Windows XP Professional ausgeführt werden.

Sie planen die Aktualisierung aller Clientcomputer des Unternehmens auf Microsoft Windows 7 Enterprise. Sie müssen eine Lösung entwerfen, die sicherstellt, dass die Vertriebsmitarbeiter App2 weiterhin auf Ihren mobilen Computern verwenden können.


A Internet Explorer Administration Kit (IEAK)

B Microsoft Application Compatibility Toolkit (ACT)

C Microsoft Application Virtualization (App-V)

D Microsoft Enterprise Desktop Virtualization (MED-V)


Korrekte Antwort: D

Erläuterungen:

Microsoft Enterprise Desktop Virtualization (MED-V) erweitert die Bereitstellung, Verwaltung und Nutzung von Images virtueller PCs auf Windows-Desktops - und zwar unabhängig von der loka-len Desktopkonfiguration und dem eingesetzten Betriebssystem. MED-V macht aus Microsoft Virtual PC eine Unternehmenslösung zur Desktopvirtualisierung. MED-V vereinfacht außerdem Betriebssystemupgrades, gibt der IT mehr Kontrolle und ermöglicht flexiblere Umgebungen für die Benutzer.

Microsoft Enterprise Desktop Virtualization ist ein integrales Tool des Microsoft Desktop Opti-mization Pack - eine dynamische Lösung, die nur Software Assurance-Kunden bereitsteht, die Kosten für die Anwendungs-bereitstellung senkt, Anwendungen als Dienst bereitstellt und für eine bessere Verwaltung und Kontrolle von Desktopumgebungen in Unternehmen sorgt.

MED-V ermöglicht ein schnelleres Upgrade auf neue Desktopbetriebssysteme durch die Ausfüh-rung von älteren Anwendungen in einer virtuellen Umgebung mit einer älteren Betriebssys-temumgebung (beispielsweise Windows XP oder Windows 2000). Anwendungen, die nicht unter dem neuen Betriebssystem installiert werden können oder mit diesem noch nicht getestet wur-den, können so weiterhin in der erforderlichen Umgebung ausgeführt werden.


Frage 175

Sie sind als Netzwerkadministrator für das Unternehmen CertBase tätig. Das Firmennetzwerk be-steht aus einer einzelnen Active Directory-Domänendienste (AD DS) Domäne mit dem Namen certbase.de. Auf allen Servercomputern ist das Betriebssystem Windows Server 2008 R2 instal-liert. Auf allen Clientcomputern wird Windows 7 ausgeführt. Das Unternehmen hat ca. 200 Mit-arbeiter.

Die Benutzer verwenden Microsoft Office 2003.

Sie müssen eine Lösung empfehlen, um den Benutzern für einen Test kurzfristig Microsoft Office 2010 zur Verfügung zu stellen. Die Mitarbeiter benötigen weiterhin Zugriff auf ihre gewohnten Office 2003-Anwendungen. Konflikte zwischen den Anwendungen müssen verhindert werden.

Wie gehen Sie vor?

A Microsoft Application Virtualization (App-V)

B Microsoft Enterprise Desktop Virtualization (MED-V)

C Microsoft Hyper-V Server 2008 R2

D Windows XP-Modus


Korrekte Antwort: A

Erläuterungen:

Microsoft Application Virtualization Management (App-V) bietet die Möglichkeit, um Anwendun-gen für Computer von Endbenutzern zur Verfügung zu stellen, ohne die direkte Installation der Anwendungen auf diesen Computern zu erfordern. Dies wird durch einen Prozess mit der Be-zeichnung Sequenzieren der Anwendung ermöglicht, der es jeder Anwendung gestattet, in ihrer eigenen, unabhängigen virtuellen Umgebung auf dem Clientcomputer ausgeführt zu werden. Die sequenzierten Anwendungen werden voneinander isoliert, wodurch Anwendungskonflikte besei-tigt werden, diese aber immer noch mit dem Clientcomputer interagieren können.

Der Application Virtualization Client ist die Application Virtualization System-Komponente, die es dem Endbenutzer ermöglicht, mit Anwendungen zu interagieren, nachdem sie auf dem Computer veröffentlicht wurden. Der Client verwaltet die virtuelle Umgebung, in der die virtualisierten An-wendungen auf den einzelnen Computern ausgeführt werden. Nachdem der Client auf einem Computer installiert wurde, müssen die Anwendungen dem Computer über einen Prozess mit der Bezeichnung Veröffentlichen zur Verfügung gestellt werden, wodurch der Endbenutzer die virtu-ellen Anwendungen ausführen kann. Beim Veröffentlichen werden die Symbole und Verknüpfun-gen der virtuellen Anwendung auf dem Computer platziert, normalerweise auf dem Windows-Desktop oder im Menü Start. Außerdem werden die Paketdefinition und die Informationen zur Dateitypzuordnung auf dem Computer abgelegt. Durch das Veröffentlichen wird auch der Inhalt des Anwendungspakets für den Computer des Endbenutzers zur Verfügung gestellt.

Der Inhalt des virtuellen Anwendungspakets kann auf einem oder mehreren Application Virtuali-zation-Servern platziert werden, damit er bei Bedarf zu den Clients gestreamt und lokal zwi-schengespeichert werden kann. Dateiserver und Webserver können ebenfalls als Streaming Server verwendet werden oder der Inhalt kann direkt auf dem Computer des Endbenutzers gespeichert werden, wenn Sie z. B. ein elektronisches Softwareverteilungssystem verwenden wie Microsoft System Center Configuration Manager 2007. Bei einer Implementierung mit mehreren Servern erfordert das Verwalten und regelmäßige Aktualisieren des Paketinhalts auf allen Streaming Ser-vern eine umfassende Verwaltungslösung. In Abhängigkeit von der Größe Ihres Unternehmens müssen Sie den weltweit verteilten Endbenutzern möglicherweise viele virtuelle Anwendungen zur Verfügung stellen. Das Verwalten der Pakete, um sicherzustellen, dass die richtigen Anwen-dungen allen Benutzern am richtigen Ort und zur richtigen Zeit zur Verfügung gestellt werden, ist eine grundlegende Anforderung.

App-V und Office 2010

Als Methode zum Bereitstellen von Office 2010 kann Microsoft Application Virtualization (App-V) verwendet werden. Bei der Virtualisierung werden Anwendungen in virtualisierte, über das Netz-werk verfügbare Dienste umgewandelt, die nicht auf den Computern der Benutzer installiert sind. Stattdessen können Anwendungen bei Bedarf automatisch auf den Computern der Benutzer be-reitgestellt werden.

Mit App-V und Office 2010 zusammen können Sie schnell die neueste Version von Office bereit-stellen, ohne sich Gedanken über Anwendungskonflikte oder Produktivitätseinbußen bei Benut-zern machen zu müssen. Beim Bereitstellen von Office 2010 mit App-V 4.6 wird neuerdings die Integration mit SharePoint-Produkten und -Technologien, mit der Outlook-Suche und Microsoft OneNote 2010 unterstützt.

App-V reduziert die Anzahl der Tests auf Regression und Anwendungsinteroperabilität und mini-miert darüber hinaus die Auswirkungen von Upgrades, Patches und abgelaufenen Benutzerrech-ten, da keine Deinstallationen und Neustarts mehr erforderlich sind.


Frage 176

Sie sind als Netzwerkadministrator für das Unternehmen CertBase tätig. Das Firmennetzwerk be-steht aus einer einzelnen Active Directory-Domänendienste (AD DS) Domäne mit dem Namen certbase.de. Die Mitarbeiter der Buchhaltung verwenden das Betriebssystem Windows XP Service Pack 3 (SP3).

Die Buchhaltungsabteilung nutzt eine Anwendung mit dem Namen App1. App1 kann ausschließ-lich unter Windows XP Professional ausgeführt werden.

Sie planen die Aktualisierung aller Clientcomputer des Unternehmens auf Microsoft Windows 7 Enterprise. Sie müssen eine Lösung entwerfen, die sicherstellt, dass die Mitarbeiter der Buchhal-tungsabteilung App1 weiterhin auf Ihren Computern verwenden können. Was werden Sie in Ihre Lösung einbeziehen?

A Microsoft Application Virtualization (App-V)

B RemoteApp- und Desktopverbindungen

C Den Rollendienst Remotedesktopgateway

D Windows XP-Modus


Korrekte Antwort: D

Erläuterungen:

Mit dem neuen Windows XP-Modus können Sie ältere Windows XP-Geschäftsprogramme direkt auf dem Windows 7-Desktop ausführen. Zu diesem Zweck wird Windows XP im Hintergrund in einer virtuellen Umgebung auf dem Windows 7 Computer ausgeführt. Installierte Anwendungen werden in das Windows 7-Startmenü integriert.

Der Windows XP-Modus, der in erster Linie für kleine und mittelständische Unternehmen entwi-ckelt wurde, steht als separater Download zur Verfügung und kann nur in Verbindung mit Windows 7 Professional, Ultimate und Enterprise eingesetzt werden. Der Windows XP-Modus setzt zudem auch eine Virtualisierungssoftware wie Windows Virtual PC voraus. Beides kann kos-tenlos von der Microsoft-Website heruntergeladen werden.


Frage 177

Sie sind als Netzwerkadministrator für das Unternehmen CertBase tätig. Das Firmennetzwerk be-steht aus einer einzelnen Active Directory-Domänendienste (AD DS) Domäne mit dem Namen certbase.de. Auf allen Servercomputern ist das Betriebssystem Windows Server 2008 R2 instal-liert. Auf allen Clientcomputern wird Windows 7 Enterprise ausgeführt.

Das Unternehmen beschäftigt 10 Vertriebsmitarbeiter. Die Vertriebsmitarbeiter verfügen über mobile Computer, die sie regelmäßig mit dem Firmennetzwerk verbinden.

Sie müssen eine neue branchenspezifische Anwendung auf die mobilen Computer der Vertriebs-mitarbeiter installieren. Die Anwendung muss den Mitarbeitern auch dann zur Verfügung stehen, wenn die mobilen Computer nicht mit dem Netzwerk verbunden sind.

Sie müssen Ihr Ziel mit dem geringstmöglichen administrativen Aufwand erreichen.

Wie gehen Sie vor?

A Verwenden Sie Gruppenrichtlinien für die Softwareinstallation.

B Verwenden Sie Microsoft Application Virtualization (App-V).

C Verwenden Sie Microsoft Enterprise Desktop Virtualization (MED-V).

D Verwenden Sie Microsoft System Center Configuration Manager (SCCM).


Korrekte Antwort: A

Erläuterungen:

Alle vier Technologien sind geeignet, die neue Software auf die mobilen Computer zu verteilen. Die Installation mit Hilfe der Gruppenrichtlinien für die Softwareinstallation erfordert jedoch den geringsten Aufwand.


Frage 178


Sie erstellen auf Server1 eine Freigabe mit dem Namen Daten. Unterhalb von Daten erstellen Sie für jede Abteilung ein eigenes Verzeichnis. Sie konfigurieren die NTFS-Berechtigungen und legen fest, dass die Unterverzeichnisse nur von den Mitarbeitern der jeweiligen Abteilungen eingesehen werden können.

Sie möchten den Dateizugriff für die Mitarbeiter vereinfachen und sicherstellen, dass die Mitarbei-ter beim Zugriff auf die Freigabe Daten nur Verzeichnisse angezeigt bekommen, die sie auch öff-nen können.

Welches Tool werden Sie verwenden?

A Die Konsole DFS-Verwaltung

B Den Ressourcen-Manager für Dateiserver

C Die Konsole Freigabe- und Speicherverwaltung

D Den Speicher-Explorer

Korrekte

Erläuter

Die KonFreigabeOption fsehen, a

e Antwort:

rungen:

sole Freigabe das Aktiviefiltert die Anauf die sie au

C

be- und Speiceren der zugnzeige eines uch Zugriff h

cherverwalturiffsbasiertefreigegeben

haben.

Plan

ung ermöglin Aufzählun

nen Verzeich

nning Appli

cht über dieng (Access Bahnisses so, da

ication and

e erweitertenased Enumeass die Benu

d Data Prov

n Eigenschaferation, ABE)utzer nur Inh

visioning

ften der ). Die halte


Frage 179

Sie sind als Netzwerkadministrator für das Unternehmen CertBase tätig. Das Firmennetzwerk be-steht aus einer einzelnen Active Directory-Domänendienste (AD DS) Domäne mit dem Namen certbase.de. Das Netzwerk umfasst einen Windows Server 2008 R2 Dateiserver mit dem Namen Server1. Die Mitarbeiter der Vertriebsabteilung verwenden mobile Windows 7 Computer.

Server1 hostet eine Freigabe mit dem Namen Vertrieb. Die Freigabe enthält Kataloge und Pro-duktbeschreibungen, die von den Vertriebsmitarbeitern im Rahmen von Verkaufsgesprächen ver-wendet werden.

Sie müssen eine Lösung empfehlen, die den Vertriebsmitarbeitern auch außerhalb des Firmen-netzwerks Zugriff auf die Dateien der Freigabe Vertrieb ermöglicht.




C Offlinedateien

D Transparentes Zwischenspeichern


Korrekte Antwort: C

Erläuterungen:

Mit Offlinedateien ist der Zugriff auf Kopien der Netzwerkdateien auch dann möglich, wenn für den Computer keine Netzwerkverbindung besteht.

Das Arbeiten mit Offlinedateien ist unkompliziert. Wählen Sie im Netzwerk die Dateien (oder Ordner) aus, die Sie offline verfügbar machen möchten. Von Windows werden auf dem Compu-ter automatisch Kopien der einzelnen Dateien erstellt. Diese Kopien werden als Offlinedateien bezeichnet. Diese Dateien können selbst dann bearbeitet werden, wenn keine Netzwerkverbin-dung besteht. Bei der nächsten Verbindungswiederherstellung werden die Offlinedateien dann von Windows automatisch mit den ursprünglichen Dateien im Netzwerk synchronisiert.


Frage 180

Sie sind als Netzwerkadministrator für das Unternehmen CertBase tätig. Das Firmennetzwerk be-steht aus einer einzelnen Active Directory-Domänendienste (AD DS) Domäne mit dem Namen certbase.de. Die Domäne umfasst einen Windows Server 2008 R2 Dateiserver mit dem Namen Server1. Auf allen Clientcomputern wird das Betriebssystem Windows 7 ausgeführt.

Die Mitarbeiter der Abteilung für Forschung und Entwicklung (F&E) verwenden eine Freigabe mit dem Namen Share1 für das Speichern ihrer gemeinsam genutzten Dokumente.

Sie müssen eine Lösung entwerfen, die sicherstellt, dass bei jeder Änderung an einem Dokument der Freigabe Share1 eine neue Version der Datei erstellt wird.

Wie gehen Sie vor?

A Aktivieren Sie Schattenkopien auf allen Clientcomputern und konfigurieren Sie den Zugriff auf vorherige Versionen.

B Aktivieren Sie Schattenkopien auf Server1. Konfigurieren Sie auf allen Clientcomputern den Zugriff auf vorherige Versionen.

C Installieren Sie Microsoft SharePoint Foundation 2010 und migrieren Sie Share1 in eine neue Dokumentbibliothek. Aktivieren Sie die Verwaltung von Inhaltstypen.

D Installieren Sie Microsoft SharePoint Foundation 2010 und migrieren Sie Share1 in eine neue Dokumentbibliothek. Aktivieren Sie die Versionskontrolle.

Korrekte

Erläuter

Microsobei jeder

e Antwort:

rungen:

ft SharePoinr Bearbeitun

D

nt Foundationg einer Date

on 2010 bietei eine neue

Plan

tet über die Ve Version zu

nning Appli

Versionierunerstellen.

ication and

ngseinstellun

d Data Prov

ngen die Mö

visioning

öglichkeit


Frage 181

Sie sind als Netzwerkadministrator für das Unternehmen CertBase tätig. Das Unternehmen hat eine Hauptgeschäftsstelle und eine Zweigstelle. Das Firmennetzwerk besteht aus einer einzelnen Active Directory-Domänendienste (AD DS) Domäne mit dem Namen certbase.de.

Das Netzwerk der Hauptgeschäftsstelle umfasst einen Windows Server 2008 R2 Dateiserver mit dem Namen Server1. Auf allen Clientcomputern ist das Betriebssystem Windows 7 Enterprise installiert. Alle Benutzer verfügen über servergespeicherte Benutzerprofile, die in einer Freigabe mit dem Namen Profile auf Server1 gespeichert sind.

Die Mitarbeiter der Zweigstelle berichten über lange Anmeldezeiten. Weiterhin teilen Ihnen die Mitarbeiter der Zweigstelle mit, dass die Dauer des Anmeldevorgangs im Laufe der Zeit deutlich angestiegen ist.

Sie müssen eine Lösung empfehlen mit der die Anmeldezeiten der Zweigstellenmitarbeiter redu-ziert werden können.


A Die zugriffsbasierte Aufzählung.

B Ordnerumleitung

C Active Directory-Standortverknüpfungskosten

D Das Zwischenspeichern der universellen Gruppenmitgliedschaften


Korrekte Antwort: B

Erläuterungen:

Im Gruppenrichtlinienobjekt-Editor können Sie mithilfe der Ordnerumleitung einige besondere Ordner an Netzwerkpfade umleiten. Zu diesen Spezialordnern gehören z. B. die Ordner Doku-mente und Bilder. Die Ordnerumleitung befindet sich unter Benutzerkonfiguration\ Windows-Einstellungen in der Konsolenstruktur des Gruppenrichtlinienobjekt-Editors.

Vorteile beim Umleiten des Ordners "Dokumente"

Einige der nachstehend aufgeführten Vorteile bestehen darin, dass alle Ordner weitergeleitet werden können. Hierbei ist jedoch das Umleiten des Ordners Dokumente besonders vorteilhaft, da dieser Ordner erfahrungsgemäß im Laufe der Zeit einen erheblichen Umfang annimmt.

Bei Verwendung servergespeicherter Benutzerprofile wird lediglich der Netzwerkpfad des Ordners Dokumente in das Benutzerprofil einbezogen, nicht jedoch der Ordner. Aus diesem Grund ist es nicht erforderlich, den Inhalt des Ordners bei jedem An- oder Abmeldevorgang des Benutzers auf den Clientcomputer bzw. den Server zu kopieren.

Auch wenn ein Benutzer sich an verschiedenen Computern im Netzwerk anmeldet, stehen die eigenen Dokumente stets zur Verfügung.

Mithilfe der Technologie für Offlinedateien können Benutzer auch dann auf ihre Dokumente zugreifen, wenn keine Verbindung mit dem Netzwerk besteht. Diese Funktion ist besonders für Benutzer von tragbaren Computern geeignet.

Daten, die in einem freigegebenen Netzwerkordner gespeichert sind, können im Rahmen der routinemäßigen Systemverwaltung gesichert werden. Durch diese Vorgehensweise ist höhere Sicherheit gewährleistet, da keine Benutzerinteraktion erforderlich ist.

Administratoren können mithilfe Kontingente festlegen und somit den Speicherplatz für die Spezialordner eines Benutzers begrenzen.

Es ist möglich, die Daten eines bestimmten Benutzers von der Festplatte mit den Betriebssys-temdateien an eine andere Festplatte im lokalen Computer des betreffenden Benutzers umzu-leiten. Auf diese Weise bleiben die Daten des Benutzers auch dann erhalten, wenn das Be-triebssystem erneut installiert wird.


Frage 182

Sie sind als Netzwerkadministrator für das Unternehmen CertBase tätig. Das Unternehmen hat eine Hauptgeschäftsstelle und mehrere Zweigstellen. Das Firmennetzwerk besteht aus einer ein-zelnen Active Directory-Domänendienste (AD DS) Domäne mit dem Namen certbase.de. Auf allen Servercomputern wird Windows Server 2008 R2 ausgeführt.

Die Domäne wird in der Funktionsebene Windows Server 2008 ausgeführt.

Einige Abteilungen des Unternehmens sind über mehrere Standorte verteilt. Um den gemeinsa-men Dateizugriff zu ermöglichen, verwendet das Unternehmen einen domänenbasierten DFS-Namespace, der für jede Abteilung ein separates Unterverzeichnis enthält. Der Namespace wird im Windows 2000 Server-Modus ausgeführt.

Die Mitarbeiter haben ausschließlich Zugriff auf die Daten ihrer jeweiligen Abteilung. Einige Mit-arbeiter sind für mehrere Abteilungen tätig.

Sie müssen die Sicherheit für den Dateizugriff verbessern und sicherstellen, dass die Mitarbeiter nur die Verzeichnisse angezeigt bekommen, die sie für ihre Arbeit benötigen.

Wie gehen Sie vor?

A Ändern Sie die Freigabe- und die NTFS-Berechtigungen der DFS-Ordnerziele.

B Ändern Sie die Verweiseigenschaften des DFS-Namespace und die NTFS-Berechtigungen der DFS-Ordnerziele.

C Migrieren Sie den Namespace in den Windows Server 2008-Modus und ändern Sie die Ver-weiseigenschaften.

D Migrieren Sie den Namespace in den Windows Server 2008-Modus und aktivieren Sie die zu-griffsbasierte Aufzählung.

Korrekte

Erläuter

Wenn SiWindowWindowte Skaliejetzt als

Für die Vdie folge

Die Goder

Für d Alle Wählen erstellenzusätzliceinen Na

e Antwort:

rungen:

ie einen domws 2000 Servws Server 200erbarkeit. De"domänenb

Verwendungenden Mind

Gesamtstrukr höher. die DomäneNamespaceSie den Win

n, sofern diesche Featuresamespace au

D

mänenbasierver-Modus o08-Modus ber mit Windobasierter Nam

g des Windoestanforderu

ktur verwend

e wird die Weserver werdndows Serveser Modus in

s und Skalierus dem Win

rten Namespoder der Winbietet Untersows 2000 Semespace (W

ows Server 2ungen erfüll

det die Gesa

indows Serven unter Wi

er 2008-Modn Ihrer Umgrbarkeit beredows 2000

Plan

pace auswähndows Servestützung für erver eingefü

Windows 200

008-Modusen:

amtstrukturf

ver 2008-Doindows Servdus aus, wenebung unte

eitgestellt, uServer-Mod

nning Appli

hlen, müssener 2008-Mod

zugriffsbasiührte domän0 Server-Mo

müssen die

funktionsebe

omänenfunktver 2008 ausnn Sie neue rstützt wird.nd zudem is

dus zu migrie

ication and

n Sie festlegedus verwenderte Aufzählnenbasierte odus)" bezeic

Domäne un

ene von Win

tionsebene vsgeführt. domänenba. Mit diesemt es nicht m

eren.

d Data Prov

en, ob der det werden slung und opNamespace chnet.

nd der Name

ndows Serve

verwendet.

asierte Namem Modus wemehr erforder

visioning

soll. Der ptimier-

wird

espace

er 2003

espaces rden rlich,


Frage 183

Sie sind als Netzwerkadministrator für das Unternehmen CertBase tätig. Das Unternehmen hat eine Hauptgeschäftsstelle und eine Zweigstelle. Das Firmennetzwerk besteht aus einer einzelnen Active Directory-Domänendienste (AD DS) Domäne mit dem Namen certbase.de.

Die Zweigstelle umfasst zwei Dateiserver mit den Namen Server1 und Server2. Auf beiden Server-computern ist das Betriebssystem Windows Server 2008 R2 Standard Edition installiert.

Sie müssen eine Lösung für die Hochverfügbarkeit der Dateidienste in der Zweigstelle empfehlen. Ihre Lösung muss die Kosten und den administrativen Aufwand möglichst gering halten.


A Einen eigenständigen DFS-Namespace und die DFS-Replikation.

B Einen domänenbasierten DFS-Namespace und die DFS-Replikation.

C Einen Failovercluster und Clustered Shared Volumes (CSVs).

D Den Netzwerklastenausgleich (NLB) und den Speicher-Explorer.


Korrekte Antwort: B

Erläuterungen:

Die kostengünstigste Möglichkeit, um hohe Verfügbarkeit für die Dateidienste der Zweigstelle zu erreichen, besteht in der Konfiguration eines domänenbasierten DFS-Namespace mit Server1 und Server2 als Ordnerziel. Die DFS-Replikation stellt sicher, dass die Daten auf beiden Servern syn-chron vorgehalten werden. Fällt einer der beiden Server aus, werden die Benutzer beim Dateizu-grifff automatisch mit dem anderen Server verbunden.

Auswählen eines Namespacetyps

Wählen Sie einen eigenständigen Namespace aus, wenn eine der folgenden Bedingungen auf Ihre Umgebung zutrifft:

In Ihrer Organisation werden die Active Directory-Domänendienste (Active Directory Domain Services, AD DS) nicht verwendet.

Sie möchten die Verfügbarkeit des Namespaces mithilfe eines Failoverclusters erhöhen. Sie müssen einen einzelnen Namespace mit mehr als 5.000 DFS-Ordnern in einer Domäne

erstellen, die die Anforderungen für einen domänenbasierten Namespace nicht erfüllt (Windows Server 2008-Modus). Eine entsprechende Beschreibung finden Sie weiter unten in diesem Thema.

Wählen Sie einen domänenbasierten Namespace aus, wenn eine der folgenden Bedingungen auf Ihre Umgebung zutrifft:

Sie möchten die Verfügbarkeit des Namespaces mithilfe mehrerer Namespaceserver sicher-stellen.

Sie möchten den Namen des Namespaceservers für Benutzer ausblenden. Somit ist es einfa-cher, den Namespaceserver zu ersetzen oder den Namespace zu einem anderen Server zu migrieren.


Frage 184


Das Netzwerk umfasst ein Speicherarray mit iSCSI-Unterstützung. Das Speicherarray ist über re-dundante Switche mit dem Netzwerk verbunden und wird von zwei Dateiservern verwendet, die Daten auf iSCSI-Datenträgern speichern.

Sie müssen eine Lösung empfehlen, die die Verfügbarkeit der Dateien bei Ausfall eines Netz-werkswitches sicherstellt.


A Den Speicher-Manager für SANs

B Das Feature Netzwerklastenausgleich (NLB)

C Die TCP Offload Engine (TOE)

D Das Feature Multipfad-E/A


Korrekte Antwort: D

Erläuterungen:

Zu den Verbesserungen, die eine hohe Verfügbarkeit für Verbindungen zwischen Windows-basierten Servern und SANs bereitstellen, zählt die integrierte Multipfad-E/A-Unterstützung (Multi-Path I/O, MPIO). Die Microsoft MPIO-Architektur unterstützt durch Einrichtung mehrerer Sitzun-gen oder Verbindungen mit dem Speicherarray SAN-Verbindungen für iSCSI, Fibre Channel und SAS (Serial Attached Storage).

In Multipfadlösungen werden redundante physikalische Pfadkomponenten (Adapter, Kabel und Switches) verwendet, um logische Pfade zwischen dem Server und der Speichervorrichtung zu erstellen. Falls eine oder mehrere dieser Komponenten ausfallen und dies zu Fehlern im Pfad führt, wird von der Multipfadlogik ein anderer Pfad für E/A verwendet, sodass Anwendungen weiterhin auf die zugehörigen Daten zugreifen können. Jeder Netzwerkadapter (bei iSCSI) und jeder HBA (Hostbusadapter) sollte über redundante Switchinfrastrukturen angeschlossen sein, um bei einem Fehler in der Speicherstrukturkomponente einen fortgesetzten Zugriff zu bieten.

Die Failoverzeiten unterscheiden sich je nach Hersteller der Speichervorrichtung und können mit-hilfe von Zeitgebern im Treiber des Microsoft iSCSI-Softwareinitiators oder durch Ändern der Pa-rametereinstellungen für den Treiber des Fibre Channel-Hostbusadapters konfiguriert werden.

Zu den neuen MPIO-Features in Windows Server 2008 zählen ein gerätespezifisches Modul (De-vice Specific Module, DSM) für die Verwendung mit Speicherarrays, die das Controllermodell für den asymmetrischen Zugriff auf logische Einheiten (Asymmetrical Logical Unit Access, ALUA, wie in SPC-3 definiert) unterstützen, sowie mit Speicherarrays, die dem Active/Active-Controllermodell folgen.

Was ist: TCP Offload Engine

TCP Offload Engine oder TCP/IP Offload Engine (TOE) ist eine Technologie, die bei Netzwerkkar-ten Verwendung findet, mit dem Ziel, den Hauptprozessor (CPU) von rechenintensiven Aufgaben des Protokollstacks des TCP/IP (TCP/IP-Stack) zu entlasten. Hierzu gehört beispielsweise die Be-rechnung von Prüfsummen. Von einem „Full Offload“ spricht man, wenn auch das Verbindungs-mangement durch die TOE vorgenommen wird.

Eine derartige Entlastung des Hauptprozessors fällt vor allem bei schnellen Verbindungen ins Ge-wicht, beispielsweise Gigabit Ethernet oder 10 Gigabit/s Ethernet.


Frage 185

Sie sind als Netzwerkadministrator für das Unternehmen CertBase tätig. Das Firmennetzwerk be-steht aus einer einzelnen Active Directory-Domänendienste (AD DS) Domäne mit dem Namen certbase.de. Das Unternehmen setzt einen Windows Server 2008 R2 Hyper-V Cluster in Verbin-dung mit freigegebenen Clustervolumes (Cluster Shared Volumes, CSVs) ein.

Sie müssen eine Lösung für die Sicherung der über den Cluster bereitgestellten virtuellen Server empfehlen.


A Eine vollständige Sicherung jeder Virtuellen Maschine (VM) mit Hilfe von Windows Server-Sicherung.

B Eine vollständige Sicherung jedes Clusterknotens mit Hilfe von Windows Server-Sicherung.

C Die Installation von Microsoft System Center Data Protection Manager 2010 und das Erstellen einer neuen Schutzgruppe.

D Die Installation von Microsoft System Center Virtual Machine Manager 2008 R2 und das Pla-nen von Snapshots.


Korrekte Antwort: C

Erläuterungen:

Data Protection Manager 2010 gehört zur System Center-Produktfamilie der Microsoft-Verwaltungslösungen. Es bietet einen einheitlichen Datenschutz für Windows-Server wie SQL Server-, Exchange-, SharePoint-, Virtualisierungs- und Dateiserver – sowie für Windows-Desktops und -laptops. DPM wurde als optimale Sicherungs- und Wiederherstellungslösung für Windows-Umgebungen von Microsoft konzipiert.

Zusammenfassung der Funktionen

Schutz für Windows-Clients sowohl im Online- als auch im Offlinebetrieb mit benutzerfreund-lichen Assistenten für die Einrichtung von Schutz-, Beibehaltungs- und Warnungszeitplänen. Ein einzelner DPM-Server kann über 1000 Windows-Clients schützen und Endbenutzern er-möglichen, ihre eigenen Daten über Windows Explorer oder Microsoft Office wiederherzustel-len.

Schutz von Microsoft Virtualization-Plattformen, einschließlich Konfigurationen mit Hyper-V R2 Live Migration und freigegebenen Clustervolumes (Cluster Shared Volumes, CSV). Mit DPM lassen sich auch einzelne Dateien von hostbasierten VM-Sicherungen wiederherstellen.

Erweiterter Schutz für SQL Server, Skalierbarkeit auf über 2000 Datenbanken pro DPM-Server und Möglichkeit des automatischen Schutzes neuer Datenbanken pro SQL-Instanz. Unter-nehmen können nun ihre eigenen Datenbanken über ein Self-Service-Wiederherstellungsprogramm für SQL Server wiederherstellen.

Erweiterter Schutz für Exchange Server, Skalierbarkeit auf über 40 TB E-Mails und Support für Exchange 2010 Database Availability Groups (DAG) sowie für CCR/SCR in Exchange 2007.

Erweiterter Schutz für SharePoint, ohne dass dafür eine Wiederherstellungsfarm mit SharePoint 2010 benötigt wird, und Skalierbarkeit auf bis zu 25 TB Farmen mit mehr als einer Million Elemente. Neue Inhaltsdatenbanken werden jetzt ohne Administratorinteraktion au-tomatisch geschützt.

DPM 2010 ist die optimale Unternehmenslösung. Es ist auf über 100 Server mit mehr als 80 TB pro DPM-Server skalierbar und liefert dank seiner neuen Funktionen für automatische Er-weiterung, automatische Problembehebung und automatischen Schutz eine zuverlässige Lö-sung für den Datenschutz und die Wiederherstellung.


Frage 186


Sie müssen eine Sicherungsstrategie für den Dateiserver entwerfen und folgende Anforderungen berücksichtigen:

Bei einem Datenverlust darf die letzte Sicherung maximal 12 Stunden zurückliegen. Es müssen mehrere Versionsstände der Dateien wiederherstellbar sein. Was werden Sie in Ihre Planung einbeziehen?

A Den Ressourcen-Manager für Dateiserver (FSRM)

B Microsoft System Center Data Protection Manager

C Windows Server-Sicherung

D Windows Storage Server 2008 R2


Korrekte Antwort: B

Erläuterungen:

Data Protection Manager 2010 gehört zur System Center-Produktfamilie der Microsoft-Verwaltungslösungen. Es bietet einen einheitlichen Datenschutz für Windows-Server wie SQL Server-, Exchange-, SharePoint-, Virtualisierungs- und Dateiserver – sowie für Windows-Desktops und -laptops. DPM wurde als optimale Sicherungs- und Wiederherstellungslösung für Windows-Umgebungen von Microsoft konzipiert.

Zusammenfassung der Funktionen

Schutz für Windows-Clients sowohl im Online- als auch im Offlinebetrieb mit benutzerfreund-lichen Assistenten für die Einrichtung von Schutz-, Beibehaltungs- und Warnungszeitplänen. Ein einzelner DPM-Server kann über 1000 Windows-Clients schützen und Endbenutzern er-möglichen, ihre eigenen Daten über Windows Explorer oder Microsoft Office wiederherzustel-len.

Schutz von Microsoft Virtualization-Plattformen, einschließlich Konfigurationen mit Hyper-V R2 Live Migration und freigegebenen Clustervolumes (Cluster Shared Volumes, CSV). Mit DPM lassen sich auch einzelne Dateien von hostbasierten VM-Sicherungen wiederherstellen.

Erweiterter Schutz für SQL Server, Skalierbarkeit auf über 2000 Datenbanken pro DPM-Server und Möglichkeit des automatischen Schutzes neuer Datenbanken pro SQL-Instanz. Unter-nehmen können nun ihre eigenen Datenbanken über ein Self-Service-Wiederherstellungsprogramm für SQL Server wiederherstellen.

Erweiterter Schutz für Exchange Server, Skalierbarkeit auf über 40 TB E-Mails und Support für Exchange 2010 Database Availability Groups (DAG) sowie für CCR/SCR in Exchange 2007.

Erweiterter Schutz für SharePoint, ohne dass dafür eine Wiederherstellungsfarm mit SharePoint 2010 benötigt wird, und Skalierbarkeit auf bis zu 25 TB Farmen mit mehr als einer Million Elemente. Neue Inhaltsdatenbanken werden jetzt ohne Administratorinteraktion au-tomatisch geschützt.

DPM 2010 ist die optimale Unternehmenslösung. Es ist auf über 100 Server mit mehr als 80 TB pro DPM-Server skalierbar und liefert dank seiner neuen Funktionen für automatische Er-weiterung, automatische Problembehebung und automatischen Schutz eine zuverlässige Lö-sung für den Datenschutz und die Wiederherstellung.


Frage 187

Sie sind als Netzwerkadministrator für das Unternehmen CertBase tätig. Das Firmennetzwerk be-steht aus einer einzelnen Active Directory-Domänendienste (AD DS) Domäne mit dem Namen certbase.de. Das Netzwerk umfasst einen Windows Server 2008 R2 Dateiserver mit dem Namen Server1.

Sie müssen eine Lösung für die Dateiwiederherstellung empfehlen, die den Benutzern die Wie-derherstellung älterer Bearbeitungsstände von Dateien ermöglicht, ohne einen Administrator um Hilfe bitten zu müssen.


A Das verteilte Dateisystem und die DFS-Replikation

B Den Ressourcen-Manager für Dateiserver (FSRM) und aktive Dateiprüfungen

C Schattenkopien

D Windows Storage Server 2008 R2


Korrekte Antwort: C

Erläuterungen:

Mit dem Feature Vorgängerversionen können Benutzer auf Vorgängerversionen ihrer Dateien und Ordner in Ihrem Netzwerk zugreifen. Um den Zugriff auf vorherige Versionen von Dateien zu er-möglichen, müssen Sie Schattenkopien von freigegebenen Ordnern auf dem Dateiserver aktivie-ren. Schattenkopien sind Kopien von Dateien, die auf dem Server gespeichert sind und als vorhe-rige Versionen angezeigt werden.

Sobald Sie Vorgängerversionen aktiviert haben, können Benutzer über das Dialogfeld Eigenschaf-ten von Ordnern auf das Feature zugreifen. Verfügbare Versionen werden auf der Registerkarte Vorherige Versionen unter Ordnerversionen angezeigt.

Dieses Feature ist nützlich, da die Benutzer Folgendes ausführen können:

Wiederherstellen versehentlich gelöschter Dateien. Falls Sie versehentlich eine Datei lö-schen, können Sie eine vorherige Version öffnen und an einem sicheren Ort speichern.

Wiederherstellen versehentlich überschriebener Dateien. Falls Sie versehentlich eine Datei überschreiben, können Sie eine vorherige Version der Datei wiederherstellen. (Die Anzahl der Versionen hängt davon ab, wie viele Snapshots Sie erstellt haben.)

Versionsvergleich einer Datei während der Arbeit. Sie können mithilfe vorheriger Versionen feststellen, was sich zwischen zwei Versionen einer Datei geändert hat.

Vorherige Versionen sind schreibgeschützt. Eine vorherige Version der Datei auf dem Server kann nicht geändert werden. Darüber hinaus werden vorherige Versionen in bestimmten Abständen gelöscht werden. Falls Sie eine Vorgängerversion einer Datei wünschen, sollten Sie diese in einem anderen Ordner speichern, damit sie nicht gelöscht wird.

Documents

Microsoft - 70-646 PRO: Windows Server 2008