MCTS 問題1 / 30 REF:70-642V2.15393
解説:
IPSec 強制は、ネットワーク通信を互換性を持つコンピュータ同士に限定し、ネットワーク接続を通してではなく、端末相互間におけるネットワーク トラフィックを保護します。IPSec 強制を利用すると、IPSec と設定の柔軟性を活用し、IP アドレスごと、または TCP や UDP ポート番号ごとの互換性のあるクライアントとの通信を安全に保つための要件を定義することができます。
企業ネットワークに対して、ネットワーク アクセス保護が設定されています。会社のポリシーは、クライアント コンピュータとサーバーとの間でデータを送信する場合、機密性を確保するよう要求しています。ユーザーは個人のポータブル コンピュータを会社のネットワークに接続し、ネットワーク リソースにアクセスします。あなたは、会社のポリシーの要件を満たさないコンピュータが、ネットワーク リソースにアクセスすることを防止しなければなりません。このためには、どのような操作を行いますか?
解説:
IPSec 強制は、ネットワーク通信を互換性を持つコンピュータ同士に限定し、ネットワーク接続を通してではなく、端末相互間におけるネットワーク トラフィックを保護します。IPSec 強制を利用すると、IPSec と設定の柔軟性を活用し、IP アドレスごと、または TCP や UDP ポート番号ごとの互換性のあるクライアントとの通信を安全に保つための要件を定義することができます。
MCTS 問題2 / 30 REF:70-642V2.15397
解説:
ネットワーク ファイアウォールの TCP ポート1723を開き、John が VPN 接続を確立できるようにします。PPTP ベースの VPN 接続は、VPN サーバーとの接続を確立するために TCP ポート1723を使用します。この TCP ポートは、通常ネットワーク ファイアウォールによりブロックされ、VPN 接続の確立を妨げます。PPTP ベースの VPN 接続は、VPN 接続がファイアウォールをバイパスしにくくなる2つのネットワーク セション、Web プロキシまたは NAT ルータを使用します。このため、John が正常に VPN 接続を確立できるようにするには、ネットワーク ファイアウォールで TCP ポート 1723を開き、またトンネル データのプロトコル ID 47を許可します。
会社には単独の Active Directory ドメインがあり、、ファイアウォールとして ISA 2006を実行しています。あなたは Point-to-Point トンネリング プロトコル (PPTP) を使い、ユーザーが仮想プライベートネットワーク (VPN) サービスを通して接続できるよう、アクセスを設定しました。しかし、ユーザーが VPN サーバーに接続しようとすると、次のようなエラー メッセージが表示されます。 "Error 721:リモート コンピュータが応答しません。"
あなたは、ユーザーが正常に VPN 接続を確立できるよう、保証しなければなりません。このためには、どのような操作を行いますか?
あなたは、ユーザーが正常に VPN 接続を確立できるよう、保証しなければなりません。このためには、どのような操作を行いますか?
解説:
ネットワーク ファイアウォールの TCP ポート1723を開き、John が VPN 接続を確立できるようにします。PPTP ベースの VPN 接続は、VPN サーバーとの接続を確立するために TCP ポート1723を使用します。この TCP ポートは、通常ネットワーク ファイアウォールによりブロックされ、VPN 接続の確立を妨げます。PPTP ベースの VPN 接続は、VPN 接続がファイアウォールをバイパスしにくくなる2つのネットワーク セション、Web プロキシまたは NAT ルータを使用します。このため、John が正常に VPN 接続を確立できるようにするには、ネットワーク ファイアウォールで TCP ポート 1723を開き、またトンネル データのプロトコル ID 47を許可します。
MCTS 問題3 / 30 REF:70-642V2.15584
解説:
発行するコマンドは、dnscmd dns3.verigon.com /zoneadd customers.local /primary /file customers_local です。 /zoneadd パラメータは、DNS サーバーに新しいゾーンの作成に使用しますが、新しいゾーンの名前を含める必要があります。 /primary パラメータは、プライマリ ゾーンが作成されることを指定します。 /file パラメータは、 /primary パラメータと共に含める必要があります。 /file パラメータは、プライマリ ゾーンを保存するために使用される実際のファイル名を提供します。
dnscmd dns3.verigon.com /zoneadd customers.local /dsprimary コマンドは使用しません。 /dsprimary パラメータは、Active Directory統合ゾーンがを作成することを示します。
dnscmd dns3.verigon.com /zonereload customers.local コマンドは、使用しません。 このコマンドは、ゾーン情報をリロードします。 ゾーンが Active Directory統合ゾーンの場合、ゾーンは Active Directory からリロードします。 ゾーンがプライマリ ゾーンの場合、ゾーンはファイルからリロードされます。
dnscmd dns3.verigon.com /zoneresume customers.local コマンドは使用しません。 このコマンドは、一時停止されたゾーンを再開するために使用します。
参考資料:
Dnscmd 構文、http://technet2.microsoft.com/WindowsServer/en/Library/d652a163-279f-4047-b3e0-0c468a4d69f31033.mspx?mfr=true
あなたは会社のネットワーク管理者です。 ネットワークは、verigon.com
ドメインに Windows Vista と Windows Server 2008 コンピュータを含みます。 複数の DNS サーバーがネットワークに存在します。 DNS サーバーの1
つであるDNS3が、Windows Server 2008 Server Core インストールを実行しています。
あなたは、実装される予定の新しい顧客サブネットの使用に備え、DNS3 に customers.local という名前の新しいプライマリ ゾーンを作成するように求められました。
どのコマンドを使用しますか?
あなたは、実装される予定の新しい顧客サブネットの使用に備え、DNS3 に customers.local という名前の新しいプライマリ ゾーンを作成するように求められました。
どのコマンドを使用しますか?
解説:
発行するコマンドは、dnscmd dns3.verigon.com /zoneadd customers.local /primary /file customers_local です。 /zoneadd パラメータは、DNS サーバーに新しいゾーンの作成に使用しますが、新しいゾーンの名前を含める必要があります。 /primary パラメータは、プライマリ ゾーンが作成されることを指定します。 /file パラメータは、 /primary パラメータと共に含める必要があります。 /file パラメータは、プライマリ ゾーンを保存するために使用される実際のファイル名を提供します。
dnscmd dns3.verigon.com /zoneadd customers.local /dsprimary コマンドは使用しません。 /dsprimary パラメータは、Active Directory統合ゾーンがを作成することを示します。
dnscmd dns3.verigon.com /zonereload customers.local コマンドは、使用しません。 このコマンドは、ゾーン情報をリロードします。 ゾーンが Active Directory統合ゾーンの場合、ゾーンは Active Directory からリロードします。 ゾーンがプライマリ ゾーンの場合、ゾーンはファイルからリロードされます。
dnscmd dns3.verigon.com /zoneresume customers.local コマンドは使用しません。 このコマンドは、一時停止されたゾーンを再開するために使用します。
参考資料:
Dnscmd 構文、http://technet2.microsoft.com/WindowsServer/en/Library/d652a163-279f-4047-b3e0-0c468a4d69f31033.mspx?mfr=true
MCTS 問題4 / 30 REF:70-642V2.21074
解説:
管理者が、リモート デスクトップ プロトコル (RDP) を使って CramMedia 7 というサーバーにアクセスできることを保証するには、CramMedia 3 がポート 3389 をCramMedia 7 に転送するように構成します。リモート デスクトップ プロトコルは、TCP ポート 3389 で作業をするように設計されています。ファイアウォールの後方にあるリモート コンピュータに接続したいという場合、トラフィックが TCP ポート 3389 を通過することをファイアウォールが許可する必要があります。
CramMedia の社内ネットワークは、Windows Server 2008 の単一の Active
Directory ドメインにより構成されています。このドメイン内のサーバーはすべて Windows Server 2008 を実行しています。CramMedia3 というドメイン サーバーは、 NAT サーバーとして機能しています。 管理者が、リモート デスクトップ プロトコル (RDP) を使用して
CramMedia 7 というサーバーにアクセスできるようにする必要があります。CramMedia 3 で
CramMedia 7 へのポート転送をどのように構成すればいいですか?
解説:
管理者が、リモート デスクトップ プロトコル (RDP) を使って CramMedia 7 というサーバーにアクセスできることを保証するには、CramMedia 3 がポート 3389 をCramMedia 7 に転送するように構成します。リモート デスクトップ プロトコルは、TCP ポート 3389 で作業をするように設計されています。ファイアウォールの後方にあるリモート コンピュータに接続したいという場合、トラフィックが TCP ポート 3389 を通過することをファイアウォールが許可する必要があります。
MCTS 問題5 / 30 REF:70-642V2.21075
解説:
本社と支店間の VPN 接続が提示された要件に適合することを保証するには、L2TP/IPsec 接続が EAP-TLS 認証を使用するように構成します。 L2TP は、IP トラフィックをカプセル化させて暗号化するために PPP ユーザー認証と IPSec 暗号化を活用します。 この組合せは L2TP/IPSec として知られ、PPP ベースのユーザー認証に加え、ユーザー証明書ベースのコンピュータ ID 認証を使用して IPSec セッションを作成します。 これにより、エンド ツー エンド 暗号化を使用してすべてのデータが暗号化され、VPN 接続がコンピ ュータ レベルの認証を使用することが保証されます。 ユーザー名とパスワードが認証で使用されないことを保証するには、EAP-TLS 認証を使用します。 EAP-TLS では、VPN クライアントがユーザー証明書を認証用に送信し、VPN サーバーがコンピュータ証明書を認証用に送信します。 これは、パスワードに依存しないという性質により最も強力な認証形式になっています。
あなたは、CramMedia のエンタープライズ管理者です。 同社は、本社のほかに 15 の支店があります。 同社の社内ネットワークは単一の Active Directory ドメインにより構成され、ドメイン内のサーバーはすべて Windows Server 2008 を実行しています。支店のコンピュータは VPN 接続を利用して本社のコンピュータに接続しています。
セキュリティ確保のため、VPN 接続でエンド ツー エンド暗号化を利用して本社と支店間のデータを暗号化させたいと考えています。 但し、VPN 接続はコンピュータ レベルの認証を使用するように構成し、ユーザー名やパスワードを認証に使用してはいけません。 このタスクを達成するには、どうすればいいですか?
解説:
本社と支店間の VPN 接続が提示された要件に適合することを保証するには、L2TP/IPsec 接続が EAP-TLS 認証を使用するように構成します。 L2TP は、IP トラフィックをカプセル化させて暗号化するために PPP ユーザー認証と IPSec 暗号化を活用します。 この組合せは L2TP/IPSec として知られ、PPP ベースのユーザー認証に加え、ユーザー証明書ベースのコンピュータ ID 認証を使用して IPSec セッションを作成します。 これにより、エンド ツー エンド 暗号化を使用してすべてのデータが暗号化され、VPN 接続がコンピ ュータ レベルの認証を使用することが保証されます。 ユーザー名とパスワードが認証で使用されないことを保証するには、EAP-TLS 認証を使用します。 EAP-TLS では、VPN クライアントがユーザー証明書を認証用に送信し、VPN サーバーがコンピュータ証明書を認証用に送信します。 これは、パスワードに依存しないという性質により最も強力な認証形式になっています。
MCTS 問題6 / 30 REF:70-642V2.21080
解説:
ワイヤレス接続を利用するポータブル コンピュータのネットワーク アクセスでNAP ポリシーを強制するには、すべてのアクセス ポイントが 802.1X 認証を使用するように構成します。 802.1X 強制は、コンピュータが 802.1X で認証されたネットワーク接続を試行する度に、正常性ポリシーの要件を強制します。 802.1X 強制はまた、接続された NAP クライアントの正常性を積極的に監視し、クライアントが不適合な状態になると、接続に対して制限付きアクセス プロファイルを適用します。
CramMedia の社内ネットワークを構成するサーバーは、Active Directory証明書サービス (AD CS) とネットワーク アクセス保護 (NAP) を展開しています。 数名のモバイルユーザーは、ワイヤレスでネットワークに接続します。 こうしたユーザーに対して、あなたは NAP ポリシーを構成しました。 ワイヤレス接続を利用してネットワークにアクセスするポータブル コンピュータに、NAP ポリシーを強制することを保証する必要があります。 どうすればいい
ですか?
解説:
ワイヤレス接続を利用するポータブル コンピュータのネットワーク アクセスでNAP ポリシーを強制するには、すべてのアクセス ポイントが 802.1X 認証を使用するように構成します。 802.1X 強制は、コンピュータが 802.1X で認証されたネットワーク接続を試行する度に、正常性ポリシーの要件を強制します。 802.1X 強制はまた、接続された NAP クライアントの正常性を積極的に監視し、クライアントが不適合な状態になると、接続に対して制限付きアクセス プロファイルを適用します。
MCTS 問題7 / 30 REF:70-642V2.21081
解説:
CramMedia Staff VPN のメンバだけにネットワークへのアクセスを許可するには、CramMedia Staff に対して、新しいネットワーク ポリシーを作成してグループベースの条件を定義し、その後にアクセス許可を [アクセスを許可する] に設定し、ポリシーの処理順序を 1 に設定します。役割、部署、地域その他の条件をもとに、ユーザーに対して異なる適合基準を作成することができ、これらを元にネットワーク ポリシーを作成できます。 同じ理由で、CramMedia Staff VPN のグループのポリシーを作成して、ポリシーの処理順序を1に設定することもできます。 これは、ポリシーは上から下の順に評価され、ポリシー規則が適合したときに処理が停止するためです。 1 つ目は、 Compliant-Full-Access ポリシーです。このポリシーは、すべての SHV チェックに合格するコンピュータに無制限のネットワーク アクセスが許可されることを意味し、一覧の最初に置かれます このポリシーを一覧の最初に置くことで、NPS の処理負荷と時間を軽減します。 次に使われるポリシーは、Noncompliant-Restricted です。2番目には非遵守または制限付きのマシンに対するポリシーを置いて、3番目には、コンピュータの下位互換性に対するポリシーを置きます。
参考資料: セキュリティ ウォッチ ネットワーク アクセス保護http://technet.microsoft.com/ja-jp/magazine/2007.05.securitywatch.aspx
CramMedia の社内ネットワークには、ネットワーク ポリシー サーバー (NPS) サービスの役割をインストールした Windows Server
2008 を実行するサーバーがあります。 VPN アクセスによるネットワーク アクセスを、CramMedia Staff というグローバル グループに限定して許可するには、どうすればいいですか?
解説:
CramMedia Staff VPN のメンバだけにネットワークへのアクセスを許可するには、CramMedia Staff に対して、新しいネットワーク ポリシーを作成してグループベースの条件を定義し、その後にアクセス許可を [アクセスを許可する] に設定し、ポリシーの処理順序を 1 に設定します。役割、部署、地域その他の条件をもとに、ユーザーに対して異なる適合基準を作成することができ、これらを元にネットワーク ポリシーを作成できます。 同じ理由で、CramMedia Staff VPN のグループのポリシーを作成して、ポリシーの処理順序を1に設定することもできます。 これは、ポリシーは上から下の順に評価され、ポリシー規則が適合したときに処理が停止するためです。 1 つ目は、 Compliant-Full-Access ポリシーです。このポリシーは、すべての SHV チェックに合格するコンピュータに無制限のネットワーク アクセスが許可されることを意味し、一覧の最初に置かれます このポリシーを一覧の最初に置くことで、NPS の処理負荷と時間を軽減します。 次に使われるポリシーは、Noncompliant-Restricted です。2番目には非遵守または制限付きのマシンに対するポリシーを置いて、3番目には、コンピュータの下位互換性に対するポリシーを置きます。
参考資料: セキュリティ ウォッチ ネットワーク アクセス保護http://technet.microsoft.com/ja-jp/magazine/2007.05.securitywatch.aspx
MCTS 問題8 / 30 REF:70-642V2.21082
解説:
社内ネットワークにアクセスを試みるすべてのクライアント コンピュータが NAP によって評価されることを保証するには、EAP-TLS を唯一の認証方法として指定する接続要求ポリシーを作成します。 Windows Server 2008 の既定では、EAP メソッドとして、PEAP-MS-CHAP v2、トランスポート層セキュリティ (TLS) を使用した EAP (EAP-TLS)、および PEAP-TLS がサポートされます。 接続要求ポリシーは、接続条件を課すことができます。 例えば 802.1X および VPNの強制方法の場合、接続要求ポリシーは Protected Extensible Authentication Protocol (PEAP) 認証を使用することを要求します。 接続を試みるクライアントが PEAP を使用していない場合、接続要求は拒否されます。
参考資料: The Cable Guy NAP 強制のトラブル シューティングを行う / 正常性要件ポリシー
http://technet.microsoft.com/ja-jp/magazine/2008.04.cableguy.aspx
参考資料: 変更点 / 802.1X で認証されたワイヤード アクセスおよびワイヤレス アクセス
http://technet.microsoft.com/ja-jp/library/cc730878(WS.10).aspx
CramMedia の社内ネットワークでは、ネットワーク アクセス ポリシー (NAP) が構成されています。 あなたは、ワイヤレスアクセスの安全性を確保するため、社内ネットワークへのアクセスで使用されるすべてのアクセスポイントに対して 802.1x 認証を構成しました。
社内ネットワークにアクセスを試みるすべてのクライアント コンピュータが NAP によって評価されることを保証するには、どうすればいいですか?
解説:
社内ネットワークにアクセスを試みるすべてのクライアント コンピュータが NAP によって評価されることを保証するには、EAP-TLS を唯一の認証方法として指定する接続要求ポリシーを作成します。 Windows Server 2008 の既定では、EAP メソッドとして、PEAP-MS-CHAP v2、トランスポート層セキュリティ (TLS) を使用した EAP (EAP-TLS)、および PEAP-TLS がサポートされます。 接続要求ポリシーは、接続条件を課すことができます。 例えば 802.1X および VPNの強制方法の場合、接続要求ポリシーは Protected Extensible Authentication Protocol (PEAP) 認証を使用することを要求します。 接続を試みるクライアントが PEAP を使用していない場合、接続要求は拒否されます。
参考資料: The Cable Guy NAP 強制のトラブル シューティングを行う / 正常性要件ポリシー
http://technet.microsoft.com/ja-jp/magazine/2008.04.cableguy.aspx
参考資料: 変更点 / 802.1X で認証されたワイヤード アクセスおよびワイヤレス アクセス
http://technet.microsoft.com/ja-jp/library/cc730878(WS.10).aspx
MCTS 問題9 / 30 REF:70-642V2.21098
解説:
CramMedia 2 と CramMedia 101 間の DHCP トラフィックをキャプチャするために Network Monitor アプリケーションでフィルタを作成するには、IPv4.Address == 169.253.98.22 && DHCP を使用します。 フィルタを定義する際は、次の順で指定します。すなわち、IPv4、ピリオド、ソースアドレス、等号記号(2回)、そしてIPアドレス (ソース) の順です。 特定のフィルタを微調整する場合は、AND (&&) や OR (||) のような論理演算子を使用して特定のフィルタで複数の条件を組合せます。 この質問では、169.253.98.22 から発信される DHCP 関 連トラフィックを探す必要があります。 このため、169.253.98.22 && DHCP を使用します。
Crammedia.com の社内ネットワークは、CramMedia 2 という Windows Server 2008 サーバーにより構成されています。このサーバーには DHCP サーバーの役割がインストールされています。 CramMedia 101 というコンピュータを使用しているネットワーク ユーザーから、DHCP サーバーからの IP 構成を取得できないと苦情が寄せられました。 問題を調べるため、あなたは CramMedia 2 の Microsoft
Network Monitor 3.0 を開き、[P-mode] を有効にして、CramMedia 2 と CramMedia 101
間の
DHCP サーバー関連トラフィックだけをキャプチャすることにしました。2 台のコンピュータのネットワーク インターフェイス構成は、提示の通りです。
CramMedia 2 と CramMedia 101 間の DHCP トラフィックをキャプチャするために Network Monitor アプリケーションでフィルタを作成するには、次のどのフィルタを使用すればいいですか?
|
CramMedia 2 と CramMedia 101 間の DHCP トラフィックをキャプチャするために Network Monitor アプリケーションでフィルタを作成するには、次のどのフィルタを使用すればいいですか?
解説:
CramMedia 2 と CramMedia 101 間の DHCP トラフィックをキャプチャするために Network Monitor アプリケーションでフィルタを作成するには、IPv4.Address == 169.253.98.22 && DHCP を使用します。 フィルタを定義する際は、次の順で指定します。すなわち、IPv4、ピリオド、ソースアドレス、等号記号(2回)、そしてIPアドレス (ソース) の順です。 特定のフィルタを微調整する場合は、AND (&&) や OR (||) のような論理演算子を使用して特定のフィルタで複数の条件を組合せます。 この質問では、169.253.98.22 から発信される DHCP 関 連トラフィックを探す必要があります。 このため、169.253.98.22 && DHCP を使用します。
MCTS 問題10 / 30 REF:70-642V2.21100
解説:
DHCP データベースのサイズを圧縮するには、 jetpack dhcp.mdb temp.mdb コマンドを使用します。 (ファイル temp.mdb は圧縮処理の際に、一時データベースとして使用します。) データベースの圧縮が完了すると、「Jetpack は正常に完了しました」というメッセージが表示されます。
参考資料: セクション B: 管理サーバーにスコープと設定を移行する/現在の DHCP サーバーの環境を準備して、その DHCP サーバーの構成をエクスポートする
http://technet.microsoft.com/ja-jp/library/cc463365(WS.10).aspx
あなたは、CramMedia のエンタープライズ管理者です。 CramMedia の社内ネットワークは、Windows Server 2008 を稼動する DHCP サーバーにより構成されています。DHCP データベースのサイズを圧縮するには、どうすればいいですか?
解説:
DHCP データベースのサイズを圧縮するには、 jetpack dhcp.mdb temp.mdb コマンドを使用します。 (ファイル temp.mdb は圧縮処理の際に、一時データベースとして使用します。) データベースの圧縮が完了すると、「Jetpack は正常に完了しました」というメッセージが表示されます。
参考資料: セクション B: 管理サーバーにスコープと設定を移行する/現在の DHCP サーバーの環境を準備して、その DHCP サーバーの構成をエクスポートする
http://technet.microsoft.com/ja-jp/library/cc463365(WS.10).aspx
MCTS 問題11 / 30 REF:70-642V2.21103
解説:
CramMedia DHCP1 が DHCP クライアントによる LAN2 へのリクエストを受け付けず、非DHCP クライアントによる LAN2 へのリクエストには応答するように構成するには、DHCP スナップインで DHCP サービスに LAN1 だけが結合するようにバインディングを変更します。DHCP スナップインの [サーバー接続の結合の変更] オプションによって、DHCP サーバーが何の接続を使ってアドレスを提供しているのかを確認することができます。 DHCP サーバー内に複数のネットワーク アダプタを持つ場合、選択したインターフェイスだけを DHCP に使用するように構成できます。 [結合] ボタンをクリックすると、コンピュータのバインディングを表示して、構成することできます。
あなたは、Crammedia.com のエンタープライズ管理者です。同社の社内ネットワークは、単一のActive Directory ドメインにより構成されています。 すべてのコンピュータが、Active
Directory ドメインのメンバです。 社内ネットワーク上のサーバーはすべて Windows Server
2008 を実行しています。ネットワークには、LAN1 と LAN2 という 2 つのネットワーク接続を有する CramMedia
DHCP1 という DHCP サーバーがあります。 CramMedia DHCP1 がDHCP クライアントによる LAN2 へのリクエストを受け付けず、非DHCP クライアントによる LAN2 へのリクエストには応答するように構成するには、どうすればいいですか?
解説:
CramMedia DHCP1 が DHCP クライアントによる LAN2 へのリクエストを受け付けず、非DHCP クライアントによる LAN2 へのリクエストには応答するように構成するには、DHCP スナップインで DHCP サービスに LAN1 だけが結合するようにバインディングを変更します。DHCP スナップインの [サーバー接続の結合の変更] オプションによって、DHCP サーバーが何の接続を使ってアドレスを提供しているのかを確認することができます。 DHCP サーバー内に複数のネットワーク アダプタを持つ場合、選択したインターフェイスだけを DHCP に使用するように構成できます。 [結合] ボタンをクリックすると、コンピュータのバインディングを表示して、構成することできます。
MCTS 問題12 / 30 REF:70-642V2.21105
解説:
サーバーが IPV6 ネットワークのすべてのセグメント上のシステムと通信できることを保証するには、IPV6 アドレスを fd00::2b0:d0ff:fee9:4143/8 として構成します。これは、このアドレス タイプがローカル ユニキャスト でインターネット上にはルートされないためです。 一般に着信時にフィルタ処理されます。
CramMedia
社には、IPV6 ネットワークがあります。 IPV6 ネットワークには 25 のセグメントがあります。 あなたは新しいWindows Server
2008 を IPV6 ネットワークに展開しました。 サーバーが IPV6 ネットワークのすべてのセグメント上のシステムと通信できることを保証するには、どうすればいいですか?
解説:
サーバーが IPV6 ネットワークのすべてのセグメント上のシステムと通信できることを保証するには、IPV6 アドレスを fd00::2b0:d0ff:fee9:4143/8 として構成します。これは、このアドレス タイプがローカル ユニキャスト でインターネット上にはルートされないためです。 一般に着信時にフィルタ処理されます。
MCTS 問題13 / 30 REF:70-642V2.21109
解説:
構成したソリューションが、各セグメントに於いてすべてのコンピュータをサポートすることを保証するには、セグメントA: 131.107.40.0/23, セグメント B: 131.107.42.0/24, セグメント C: 131.107.43.0/25, セグメント D: 131.107.43.128/27 を使用します。
セグメント A:131.107.40.0/23 は、512 台のコンピュータをサポートでき、280台のコンピュータをカバーします。
セグメント B: 131.107.42.0/24 は、254台のコンピュータをサポートでき、130台のコンピュータをカバーします。
セグメント C: 131.107.43.0/25 は、128 台のコンピュータをサポートでき、75 台のコンピュータをカバーします。
セグメント D: 131.107.43.128/27 は、32台のコンピュータをサポートでき、20の台のコンピュータをカバーできます。
参考資料: "サブネットワーク " http://en.wikipedia.org/wiki/Subnetwork
CramMedia は、パブリック ネットワークを設計中で、131.107.40.0/22 の Ipv4 アドレス範囲を使用する予定です。 ネットワークのセグメントに対してサブネットを構成する必要があります。 すべてのセグメントでコンピュータをサポートするには、どのネットワーク アドレスを使用すればいいですか?
解説:
構成したソリューションが、各セグメントに於いてすべてのコンピュータをサポートすることを保証するには、セグメントA: 131.107.40.0/23, セグメント B: 131.107.42.0/24, セグメント C: 131.107.43.0/25, セグメント D: 131.107.43.128/27 を使用します。
セグメント A:131.107.40.0/23 は、512 台のコンピュータをサポートでき、280台のコンピュータをカバーします。
セグメント B: 131.107.42.0/24 は、254台のコンピュータをサポートでき、130台のコンピュータをカバーします。
セグメント C: 131.107.43.0/25 は、128 台のコンピュータをサポートでき、75 台のコンピュータをカバーします。
セグメント D: 131.107.43.128/27 は、32台のコンピュータをサポートでき、20の台のコンピュータをカバーできます。
参考資料: "サブネットワーク " http://en.wikipedia.org/wiki/Subnetwork
MCTS 問題14 / 30 REF:70-642V2.21111
解説:
Private1 ネットワークへの継続的なルートを CramMedia 1のルーティング テーブルに追加するには、Route add -p 10.128.4.0/26 10.128.64.10 というコマンドを追加します。 10.128.4.0/26 は接続を希望する IP サブネットで、10.128.64.10 は第2 のサブネットへの IP ゲートウェイです。
あなたは、CramMedia のエンタープライズ管理者です。 同社の社内ネットワークは、IPv4 Ethernet ネットワークによる単一の Active Directory により構成されています。 R1 (IP アドレス 10.128.64.10) というルーターが、あなたのセグメントをインターネットに接続しています。 R2 というルーターが、Private1 というセグメントを使って、同じサブネットに加入しました。 Private1 セグメントのネットワーク アドレスは
、10.128.4.0/26 です。CramMedia 1 というコンピュータが、Private1 ネットワークへのアクセスを必要としています。 しかし、CramMedia 1 は現在の構成を使用して Private1 ネットワークに接続することができません。 Private1 ネットワークへの継続的なルートを追加するため、CramMedia 1のルーティング テーブルにどのコマンドを使用しますか?
解説:
Private1 ネットワークへの継続的なルートを CramMedia 1のルーティング テーブルに追加するには、Route add -p 10.128.4.0/26 10.128.64.10 というコマンドを追加します。 10.128.4.0/26 は接続を希望する IP サブネットで、10.128.64.10 は第2 のサブネットへの IP ゲートウェイです。
MCTS 問題15 / 30 REF:70-642V2.21137
解説:
より安全性の高い RDP 接続を構成するには、まず内部証明機関からユーザー証明書を取得してから、ネットワーク レベル認証を使用するリモート デスクトップ クライアント コンピュータだけに接続を許可するように各サーバーを構成します。 Windows Server 2008以前のターミナル サーバーでは、サーバーの名前を入力してから接続が初期化され、ログオン画面が表示されていました。 そして、そのログオン画面で認証の試行が行われていました。 しかし、セキュリティの観点からすると、これは良い方法ではありません。 このような方法の場合、認証の前にセーバーへのアクセスを実現していることになります。取得しようとしているアクセスは、そのサーバー上のセッションのための権限です。これは良いセキュリティ プラクティスとは言えま せん。 NLA、すなわちネットワーク レベル認証は、クライアントが接続するために試みる際の順番を逆向きにします。 新しい RDC 6.0 クライアントは、ログオン画面に導く前にユーザー名とパスワードを要求します。 Windows Server 2008 以前のサーバーに接続する場合、初期ログオンで失敗すると旧式のログオン方法にフェールバックします。NLA が構成された Windows Vista コンピュータや Windows Server 2008サーバーに接続 する場合のその優れた点は、認証のフェールバックが全く起きないように阻止することです。これにより、悪意のあるユーザーが正しい認証を獲得していない状態でサーバーへのアクセスを取得することを阻止できます。
あなたは、CramMedia のエンタープライズ管理者です。 同社の社内ネットワークは、Active Directory ドメインで Windows Server 2008 を実行するサーバー 10 台と、Windows Vista を実行する数台のクライアント コンピュータにより構成されています。 サーバーはすべて Remote Desktop
(RDP) が有効で、サーバー管理に対して既定のセキュリティ設定が構成されています。 Windows
Server 2008 サーバーと Windows Vista クライアント コンピュータ間の RDP 接続のセキュリティをできるだけ高く構成する必要があります。どうすればいいですか?
解説:
より安全性の高い RDP 接続を構成するには、まず内部証明機関からユーザー証明書を取得してから、ネットワーク レベル認証を使用するリモート デスクトップ クライアント コンピュータだけに接続を許可するように各サーバーを構成します。 Windows Server 2008以前のターミナル サーバーでは、サーバーの名前を入力してから接続が初期化され、ログオン画面が表示されていました。 そして、そのログオン画面で認証の試行が行われていました。 しかし、セキュリティの観点からすると、これは良い方法ではありません。 このような方法の場合、認証の前にセーバーへのアクセスを実現していることになります。取得しようとしているアクセスは、そのサーバー上のセッションのための権限です。これは良いセキュリティ プラクティスとは言えま せん。 NLA、すなわちネットワーク レベル認証は、クライアントが接続するために試みる際の順番を逆向きにします。 新しい RDC 6.0 クライアントは、ログオン画面に導く前にユーザー名とパスワードを要求します。 Windows Server 2008 以前のサーバーに接続する場合、初期ログオンで失敗すると旧式のログオン方法にフェールバックします。NLA が構成された Windows Vista コンピュータや Windows Server 2008サーバーに接続 する場合のその優れた点は、認証のフェールバックが全く起きないように阻止することです。これにより、悪意のあるユーザーが正しい認証を獲得していない状態でサーバーへのアクセスを取得することを阻止できます。
MCTS 問題16 / 30 REF:70-642V2.21358
解説:
クライアント コンピュータが会社ポリシーの要件を満たすことを保証するには、利用可能なセキュリティ更新プログラムをすべてインストールしていないクライアントに対して検疫を行います。 NAP クライアントの構成ツールを使用して、リモートでアクセスするクライアントに対して別個の強制ポリシーを構成することができます。 管理者は、組織のプライベートネットワークに接続するすべてのコンピュータに対して、接続方法を問わず、NAP を使って正常性要件を強制することができます。 NAP では、ユーザーがプライベート ネットワークに接続する前に、接続を試みるコンピュータに最新の更新プログラムがインストールされていることを保証するため、プライベートネットワークのセキュリティを改善できます。 クライアント コンピュータが正常性要件に準拠しない場合には、コンピュータがプライベート ネットワークに接続することを防止することができます。 リモート アクセスに対して NAP を強制するには、[NAPクライアントの構成] ツールを開き、[リモート アクセス検疫強制クライアント] をダブルクリックして、[この実施クライアントを有効にする] のチェックボックスをオンにします。
あなたは、CramMedia のエンタープライズ管理者です。 CramMedia の社内ネットワークは、Crammedia.com という Active Directory ドメインにより構成されています。ドメインのサーバーはすべて Windows Server 2008 を実行し、クライアント コンピュータはすべてWindows Vista を実行しています。 社内ネットワークは、ネットワークに接続するクライアント
コンピュータに対してポリシーを強制するためにネットワーク アクセス保護 (NAP) を使用しています。 会社のポリシーにより、クライアント コンピュータは「緊急」または「重要」という深刻度に指定された更新プログラムがインストールされている場合に限り、ネットワーク リソースへのアクセスを提供します。 WSUS から更新プログラムを取得するため、クライアント コンピュータはグループポリシーを使用して構成されています。
クライアント コンピュータが会社のポリシーの要件を満たすことを保証するには、どうすればいいですか?
クライアント コンピュータが会社のポリシーの要件を満たすことを保証するには、どうすればいいですか?
解説:
クライアント コンピュータが会社ポリシーの要件を満たすことを保証するには、利用可能なセキュリティ更新プログラムをすべてインストールしていないクライアントに対して検疫を行います。 NAP クライアントの構成ツールを使用して、リモートでアクセスするクライアントに対して別個の強制ポリシーを構成することができます。 管理者は、組織のプライベートネットワークに接続するすべてのコンピュータに対して、接続方法を問わず、NAP を使って正常性要件を強制することができます。 NAP では、ユーザーがプライベート ネットワークに接続する前に、接続を試みるコンピュータに最新の更新プログラムがインストールされていることを保証するため、プライベートネットワークのセキュリティを改善できます。 クライアント コンピュータが正常性要件に準拠しない場合には、コンピュータがプライベート ネットワークに接続することを防止することができます。 リモート アクセスに対して NAP を強制するには、[NAPクライアントの構成] ツールを開き、[リモート アクセス検疫強制クライアント] をダブルクリックして、[この実施クライアントを有効にする] のチェックボックスをオンにします。
MCTS 問題17 / 30 REF:70-642V2.21369
解説:
各拠点が"対称型の (Symmetric)" NAT を実行するファイアウォールにより保護されている全支店間でピア・ツー・ピア通信を実現するには、ファイアウォールが Toredo の使用を許可するように構成します。 Teredo は、IPv6 ホストや IPv4 ホストが 1 つまたは複数の IPv4 ネットワーク アドレス変換器 (NAT) の内側に配置されている場合に、ユニキャスト IPv6 トラフィックに対してアドレスの割り当てとホスト間の自動トンネリングを行う IPv6 移行テクノロジです。 Windows Vista および Windows Server "Longhorn" の Teredo は、1 つの Teredo クライアントだけが対称型 NAT の内側に配置されている場合で、別のクライアントが cone NAT または制限付き NAT の内側に置かれている場合に機能します。
参考資料: Microsoft IPv6 - Teredo の概要
http://technet.microsoft.com/ja-jp/library/bb457011.aspx
あなたは、CramMedia のエンタープライズ管理者です。 同社は、本社のほかに 2つの 支店があります。 同社の社内ネットワークは、 Crammedia.com という単一の Active Directory ドメインにより構成されています。支店にあるコンピュータは、IPv4 プロトコルと IPv6 プロトコルを使用しています。 各支店は "対称型の (Symmetric)" NAT を実行するファイアウォールにより保護されています。全支店間でピア・ツー・ピア通信を有効にするには、どうすればいいですか?
解説:
各拠点が"対称型の (Symmetric)" NAT を実行するファイアウォールにより保護されている全支店間でピア・ツー・ピア通信を実現するには、ファイアウォールが Toredo の使用を許可するように構成します。 Teredo は、IPv6 ホストや IPv4 ホストが 1 つまたは複数の IPv4 ネットワーク アドレス変換器 (NAT) の内側に配置されている場合に、ユニキャスト IPv6 トラフィックに対してアドレスの割り当てとホスト間の自動トンネリングを行う IPv6 移行テクノロジです。 Windows Vista および Windows Server "Longhorn" の Teredo は、1 つの Teredo クライアントだけが対称型 NAT の内側に配置されている場合で、別のクライアントが cone NAT または制限付き NAT の内側に置かれている場合に機能します。
参考資料: Microsoft IPv6 - Teredo の概要
http://technet.microsoft.com/ja-jp/library/bb457011.aspx
MCTS 問題18 / 30 REF:70-642V2.21370
解説:
サーバーへの IPV6 通信をテストするには、ping と入力した後にサーバーのリンク ローカル アドレスを入力します。 リンク ローカル アドレスは、ローカルの データリンク層ネットワーク内だけでの使用を対象とするネットワークアドレスで、ネットワーク範囲外へのルーティング用ではありません。 リンク ローカル アドレスは、ネットワーク アドレス指定情報に関する外部ソースを利用できないネットワーク アドレスの自動構成にしばしば使用されます。 Windows Vista、Windows Server 2008、Windows XP SP1 以降、そしてWindows Server 2003 にはIPv6 が有効なバージョンの Ping.exe ツールがあります。
参考資料: ping コマンドを使って IPv6 構成をテストする
http://technet.microsoft.com/ja-jp/library/cc780986(WS.10).aspx
あなたは、CramMedia のエンタープライズ管理者です。 CramMedia の社内ネットワークは、IPv6 アドレス指定を使用するように構成された Windows Server 2008 コンピュータにより構成され、IP アドレス 172.16.45.9/21 が割り当てられています。IPアドレス 172.16.40.18/21 を持つサーバーへの IPV6 通信をテストする場合、次のどのコマンド プロンプトを使用すればいいですか?
解説:
サーバーへの IPV6 通信をテストするには、ping と入力した後にサーバーのリンク ローカル アドレスを入力します。 リンク ローカル アドレスは、ローカルの データリンク層ネットワーク内だけでの使用を対象とするネットワークアドレスで、ネットワーク範囲外へのルーティング用ではありません。 リンク ローカル アドレスは、ネットワーク アドレス指定情報に関する外部ソースを利用できないネットワーク アドレスの自動構成にしばしば使用されます。 Windows Vista、Windows Server 2008、Windows XP SP1 以降、そしてWindows Server 2003 にはIPv6 が有効なバージョンの Ping.exe ツールがあります。
参考資料: ping コマンドを使って IPv6 構成をテストする
http://technet.microsoft.com/ja-jp/library/cc780986(WS.10).aspx
MCTS 問題19 / 30 REF:70-642V2.22656
解説:
[クライアント側のターゲットを有効にする] 設定を有効にすると、GPO のすべてのコンピューターが特定のコンピューター グループに配置されます。また、[サービスの更新] コンソールでコンピューターを右クリックして [メンバシップの変更] を選択すると、そのコンピューターをコンピューター グループに配置できます。
あなたは Crammedia.com のエンタープライズ管理者です。Crammedia.com のネットワークには
Active Directory ドメインが 1 つあり、Crammedia.com
という名前です。Crammedia.com のネットワーク上のすべてのサーバーで Windows Server 2008 が実行されています。
Crammedia.com には、WSUS がインストールされているサーバーがあります。あなたはネットワーク上のシステムのグループ化を行いました。あなたは、更新のタイミングをずらすため、これらのシステムを複数のグループのメンバーにしようと考えています。あなたは CIO から、コンピューターに対してコンピューター グループを設定するよう指示を受けました。
どうすればよいですか。(当てはまるものをすべて選択してください)
Crammedia.com には、WSUS がインストールされているサーバーがあります。あなたはネットワーク上のシステムのグループ化を行いました。あなたは、更新のタイミングをずらすため、これらのシステムを複数のグループのメンバーにしようと考えています。あなたは CIO から、コンピューターに対してコンピューター グループを設定するよう指示を受けました。
どうすればよいですか。(当てはまるものをすべて選択してください)
解説:
[クライアント側のターゲットを有効にする] 設定を有効にすると、GPO のすべてのコンピューターが特定のコンピューター グループに配置されます。また、[サービスの更新] コンソールでコンピューターを右クリックして [メンバシップの変更] を選択すると、そのコンピューターをコンピューター グループに配置できます。
MCTS 問題20 / 30 REF:70-642V2.22694
解説:
サーバーへのすべての着信接続を直ちに無効にするには、Windows ファイアウォールのドメイン プロファイルで [すべての接続をブロック] オプションを有効にします。
着信接続を [すべての接続をブロック] に設定するには、Windows ファイアウォールでファイアウォールのプロパティを設定します。ドメイン プロファイルで [すべての接続をブロック] が設定されると、セキュリティが強化された Windows ファイアウォールはすべての受信規則を無視し、ドメインへの着信接続をすべてブロックします。
参考資料:ファイアウォールのプロパティの構成 http://technet.microsoft.com/ja-jp/library/cc754962(WS.10).aspx
あなたは Crammedia.com のエンタープライズ管理者です。Crammedia.com のネットワークには
Active Directory ドメインが 1 つあり、Crammedia.com
という名前です。Crammedia.com のネットワーク上のすべてのサーバーで Windows Server 2008 が実行されています。
あなたは CRAMMEDIA-SR24 という Windows Server 2008 サーバーを管理しています。CRAMMEDIA-SR24 には、機密情報が保存されています。通常の監視作業中に、あなたは CRAMMEDIA-SR24 が何回にもわたり攻撃を受けていることに気がつきました。ネットワークのセキュリティを保護するため、あなたは CRAMMEDIA-SR24 での着信接続をすべて無効にすることにしました。
どうすればよいですか。
あなたは CRAMMEDIA-SR24 という Windows Server 2008 サーバーを管理しています。CRAMMEDIA-SR24 には、機密情報が保存されています。通常の監視作業中に、あなたは CRAMMEDIA-SR24 が何回にもわたり攻撃を受けていることに気がつきました。ネットワークのセキュリティを保護するため、あなたは CRAMMEDIA-SR24 での着信接続をすべて無効にすることにしました。
どうすればよいですか。
解説:
サーバーへのすべての着信接続を直ちに無効にするには、Windows ファイアウォールのドメイン プロファイルで [すべての接続をブロック] オプションを有効にします。
着信接続を [すべての接続をブロック] に設定するには、Windows ファイアウォールでファイアウォールのプロパティを設定します。ドメイン プロファイルで [すべての接続をブロック] が設定されると、セキュリティが強化された Windows ファイアウォールはすべての受信規則を無視し、ドメインへの着信接続をすべてブロックします。
参考資料:ファイアウォールのプロパティの構成 http://technet.microsoft.com/ja-jp/library/cc754962(WS.10).aspx
MCTS 問題21 / 30 REF:70-642V2.23276
解説: 支店のサーバーでルーティングを構成するには、最初にサーバーでルーティングとリモート アクセスの役割をサーバーにインストールし、次に [IPv4 ルーター] ルーティングとリモート アクセス オプションを有効にします。
あなたは CramMedia.com のエンタープライズ管理者です。 CramMedia.com のネットワークには Active Directory ドメインが 1 つあり、CramMedia.com という名前です。 CramMedia.com はマイアミに本社があり、トロントに支店があります。
CramMedia.com のネットワークサーバーは Microsoft Windows Server 2008 を実行しており、クライアント コンピューターは Microsoft Windows Vista を実行しています。 CramMedia.com は両方の事業所で IPv4 アドレスを使用することにしました。 ある日、あなたは CramMedia.com から、トロント支店に行き CRAMMEDIA-SR02 という追加サーバーを展開するよう指示を受けました。このサーバーは、ルーティングとリモート アクセスができるよう設定する必要があります。
どうすればよいですか。 (2 つ選択してください。)
解説: 支店のサーバーでルーティングを構成するには、最初にサーバーでルーティングとリモート アクセスの役割をサーバーにインストールし、次に [IPv4 ルーター] ルーティングとリモート アクセス オプションを有効にします。
MCTS 問題22 / 30 REF:70-642V2.23289
解説: このシナリオでは、フォワーダーを設定するか、キャッシュ専用 DNS サーバーでルートヒントを設定するのが最も適切です。 これにより、パブリック DNS クエリが 1 台のキャッシュ専用 DNS サーバー経由でチャネルされます。 キャッシュ専用 DNS サーバーを使用すると、発信 DNS トラフィックが少なくなり、名前解決が速くなります。 キャッシュ専用 DNS サーバーはクライアントからクエリを受信し、他のネーム サーバーに対してクエリを実行し、結果をキャッシュしてから、その結果をクライアントに返します。 キャッシュ専用サーバーを設定するには、DNS サービスに 1 つ以上のフォワーダーを設定します。フォワーダーは、ローカル DNS サーバーによるクエリの転送先となるアップストリーム DNS サーバーです (実質的には、 DNS クライアントとして機能します)。 構成によっては、DNS サーバーにルート ヒントがあり、DNS ルート サーバーにクエリを送信できるようになっていることがあります。 それ以外の構成では、サーバーは回答できないすべてのクエリを他のサーバーに転送します。 転送とルート ヒントはいずれも、DNS サーバーが、解決する権限を持たないクエリを解決するための方法です。 参考資料: Configure a caching-only DNS forwarder in Windows 2000 Server http://articles.techrepublic.com.com/5100-10878_11-5819265.html 参考資料: DNS の概念を確認する http://technet.microsoft.com/ja-jp/library/cc731879(WS.10).aspx
あなたは CramMedia.com のネットワーク管理者です。 CramMedia.com のネットワークには Active Directory フォレストが 1 つあり、CramMedia.com という名前です。 CramMedia.com フォレストには、 4 つのドメインがあります。
CramMedia.com フォレストの DNS サーバーは、Windows Server 2008 を実行するよう設定されています。 あなたは CIO から、パブリック DNS クエリが 1 台のキャッシュ専用 DNS サーバー経由でチャネルされるようにするよう指示を受けました。
どうすればよいですか。 (当てはまるものをすべて選択してください)
解説: このシナリオでは、フォワーダーを設定するか、キャッシュ専用 DNS サーバーでルートヒントを設定するのが最も適切です。 これにより、パブリック DNS クエリが 1 台のキャッシュ専用 DNS サーバー経由でチャネルされます。 キャッシュ専用 DNS サーバーを使用すると、発信 DNS トラフィックが少なくなり、名前解決が速くなります。 キャッシュ専用 DNS サーバーはクライアントからクエリを受信し、他のネーム サーバーに対してクエリを実行し、結果をキャッシュしてから、その結果をクライアントに返します。 キャッシュ専用サーバーを設定するには、DNS サービスに 1 つ以上のフォワーダーを設定します。フォワーダーは、ローカル DNS サーバーによるクエリの転送先となるアップストリーム DNS サーバーです (実質的には、 DNS クライアントとして機能します)。 構成によっては、DNS サーバーにルート ヒントがあり、DNS ルート サーバーにクエリを送信できるようになっていることがあります。 それ以外の構成では、サーバーは回答できないすべてのクエリを他のサーバーに転送します。 転送とルート ヒントはいずれも、DNS サーバーが、解決する権限を持たないクエリを解決するための方法です。 参考資料: Configure a caching-only DNS forwarder in Windows 2000 Server http://articles.techrepublic.com.com/5100-10878_11-5819265.html 参考資料: DNS の概念を確認する http://technet.microsoft.com/ja-jp/library/cc731879(WS.10).aspx
MCTS 問題23 / 30 REF:70-642V2.23290
解説: DNS サーバーが crammedia.root-servers.net にクエリを送信することを禁止するには、DNS サーバーでルート ヒントを無効にする必要があります。 ルート ヒントは、どの DNS サーバーでも DNS ルート サーバーを検索できるようにするために使用します。 ルート ヒントが有効になっていたため、DNS サーバーはすべてのクエリを crammedia.root-servers.net に送信していました。 次に、インターネット ホストの名前を解決するには、会社の ISP の DNS サーバーへの転送を有効にする必要があります。 転送を使用すると、ルート ヒントを使用する代わりに、特定のサーバーを介して名前を解決できるようになります。 参考資料: DNS の概念を確認する/再帰的な名前解決 http://technet.microsoft.com/ja-jp/library/cc731879(WS.10).aspx
あなたは CramMedia.com のネットワーク管理者です。 CramMedia.com のネットワークは、Active Directory 統合 DNS で構成されています。 CramMedia.com のネットワークにあるサーバーはいずれも Windows Server 2008 を実行するよう設定されています。
あなたはネットワーク キャプチャを実行中に、DNS サーバーが DNS 名前解決クエリを crammedia.root-servers.net というサーバーに送信していることに気がつきました。 あなたは CIO から、DNS サーバーが crammedia.root-servers.net にクエリを送信することを禁止するよう指示を受けました。 また、あなたは DNS サーバーがインターネット ホストの名前を解決できるようにする必要があります。
どうすればよいですか。 (当てはまるものをすべて選択してください)
解説: DNS サーバーが crammedia.root-servers.net にクエリを送信することを禁止するには、DNS サーバーでルート ヒントを無効にする必要があります。 ルート ヒントは、どの DNS サーバーでも DNS ルート サーバーを検索できるようにするために使用します。 ルート ヒントが有効になっていたため、DNS サーバーはすべてのクエリを crammedia.root-servers.net に送信していました。 次に、インターネット ホストの名前を解決するには、会社の ISP の DNS サーバーへの転送を有効にする必要があります。 転送を使用すると、ルート ヒントを使用する代わりに、特定のサーバーを介して名前を解決できるようになります。 参考資料: DNS の概念を確認する/再帰的な名前解決 http://technet.microsoft.com/ja-jp/library/cc731879(WS.10).aspx
MCTS 問題24 / 30 REF:70-642V2.23350
解説: 管理者以外のどのユーザーも \\CramMedia.com\dfs 共有のルートで新しいフォルダーやファイルを作成できないようにするには、\\CRAMMEDIA-SR01\dfs 共有フォルダーのアクセス許可として、Authenticated Users グループを [閲覧者] に設定し、Administrators グループを [共同所有者] に設定します。 閲覧者は、ファイルとフォルダーの表示のみができます。共有所有者は、すべてのファイルの表示、追加、変更、削除ができます。 参考資料: Managing Files and Folders in Windows Vista (英語) http://www.informit.com/articles/article.aspx?p=698129&seqNum=29
あなたは CramMedia.com のネットワーク管理者です。 CramMedia.com のネットワークには Active Directory ドメインが 1 つあり、CramMedia.com という名前です。 CramMedia.com のネットワークにあるすべてのサーバーで Windows Server 2008 が実行され、すべてのクライアント コンピューターで Windows Vista が実行されています。
CramMedia.com のネットワークには、CRAMMEDIA-SR01 という名前のサーバーがあります。 CRAMMEDIA-SR01 は、\\CramMedia.com\dfs という名前のドメインベースの DFS 名前空間をホストするよう設定されています。 CramMedia.com のユーザーは、自分のデータを DFS 名前空間内のサブ フォルダーに保存しています。 あなたは CIO から、\\CramMedia.com\dfs 共有のルートに新しいフォルダーやファイルを作成できるユーザーを、管理者に限定するよう指示を受けました。
どうすればよいですか。
解説: 管理者以外のどのユーザーも \\CramMedia.com\dfs 共有のルートで新しいフォルダーやファイルを作成できないようにするには、\\CRAMMEDIA-SR01\dfs 共有フォルダーのアクセス許可として、Authenticated Users グループを [閲覧者] に設定し、Administrators グループを [共同所有者] に設定します。 閲覧者は、ファイルとフォルダーの表示のみができます。共有所有者は、すべてのファイルの表示、追加、変更、削除ができます。 参考資料: Managing Files and Folders in Windows Vista (英語) http://www.informit.com/articles/article.aspx?p=698129&seqNum=29
MCTS 問題25 / 30 REF:70-642V2.23370
解説: : CRAMMEDIA-SR11 でサブスクリプションを構成するには、最初にイベント コレクター サブスクリプション構成ファイルを作成して、subscription.xml という名前を付けます。 その後、CRAMMEDIA-SR11 で wecutil cs subscription.xml コマンドを実行する必要があります。 このコマンドを使うと、WS-Management プロトコルをサポートしているリモート コンピュータから転送されるイベントのサブスクリプションの作成と管理ができるようになります。 wecutil cs subscription.xml コマンドは、CramMedia.com のリモート コンピューターの Windows Vista アプリケーション イベント ログから ForwardedEvents ログへイベントを転送するサブスクリプションを作成します。 参考資料: Wecutil http://technet2.microsoft.com/windowsserver2008/en/library/0c82a6cb-d652-429c-9c3d0f568c78d54b1033.mspx?mfr=true
あなたは CramMedia.com のエンタープライズ管理者です。 CramMedia.com のネットワークには Active Directory ドメインが 1 つあり、CramMedia.com という名前です。 CramMedia.com のネットワーク上のすべてのサーバーで、Windows Server 2008 が実行されています。
CramMedia.com は本社と 1 か所の支店で構成されています。 TesCMig.com の支店には CRAMMEDIA-SR11、CRAMMEDIA-SR12、CRAMMEDIA-SR13 という 3 台のサーバーがあります。 あなたは CRAMMEDIA-SR12 と CRAMMEDIA-SR13 を監視するため、CRAMMEDIA-SR11 でイベント ログのサブスクリプションを設定しています。 しかし、あなたは CRAMMEDIA-SR11 でサブスクリプションを作成できないことに気が付きました。
どうすればよいですか。 (当てはまるものをすべて選択してください)
解説: : CRAMMEDIA-SR11 でサブスクリプションを構成するには、最初にイベント コレクター サブスクリプション構成ファイルを作成して、subscription.xml という名前を付けます。 その後、CRAMMEDIA-SR11 で wecutil cs subscription.xml コマンドを実行する必要があります。 このコマンドを使うと、WS-Management プロトコルをサポートしているリモート コンピュータから転送されるイベントのサブスクリプションの作成と管理ができるようになります。 wecutil cs subscription.xml コマンドは、CramMedia.com のリモート コンピューターの Windows Vista アプリケーション イベント ログから ForwardedEvents ログへイベントを転送するサブスクリプションを作成します。 参考資料: Wecutil http://technet2.microsoft.com/windowsserver2008/en/library/0c82a6cb-d652-429c-9c3d0f568c78d54b1033.mspx?mfr=true
MCTS 問題26 / 30 REF:70-642V2.23937
解説:
2000 サブネットをサポートする必要があると述べていますので、11ビット(2^11=2048)が必要となります。 割り当てられている /53 から、11ビットをサブネット用に確保するので、正解は /64 となります。
あなたの会社はネットワークを設計しています。ネットワークで、IPv6 プレフィックス
2001:DB8:BBCC:0000::/53 を使用します。>
2000 サブネットをサポートする IPv6 アドレッシング設定を行う必要があります。
次のうちどのネットワーク マスクを使用すればよいですか。
2000 サブネットをサポートする IPv6 アドレッシング設定を行う必要があります。
次のうちどのネットワーク マスクを使用すればよいですか。
解説:
2000 サブネットをサポートする必要があると述べていますので、11ビット(2^11=2048)が必要となります。 割り当てられている /53 から、11ビットをサブネット用に確保するので、正解は /64 となります。
MCTS 問題27 / 30 REF:70-642V2.23938
解説:
IPv4 のプロパティ⇒ [代替の構成] タブ内の [ユーザー構成] では、DHCP サーバーが見つからない場合に IPv4 が手動で指定された構成を使用することを指定します。この代替構成は、コンピューターが複数のネットワーク上で使用され、少なくともそのうち 1 つのネットワークに DHCP サーバーがなく、APIPA による構成が使用できない場合に役立ちます。その好例は、オフィスや家庭で使用されるポータブル コンピューターです。会社では、ラップトップは DHCP によって割り当てられた TCP/IP 構成を使用します。家庭には DHCP サーバーはありませんが、ポータブル コンピューターは自動的に代替構成を使用するので、ホーム ネットワーク デバイスやインターネットに簡単にアクセスできます。これにより、IP を手動で構成しなくても、ポータブル コンピューターがどちらのネットワーク上でもシームレスに動作します。
参考イメージ:
参考資料: 「IPv4 の [代替の構成] タブ」
http://technet.microsoft.com/ja-jp/library/cc725638.aspx
あなたの会社では、DHCP を使用して本社のコンピューターに IPv4 アドレスをリースしています。WAN リンクで本社と支店を接続しています。支店のすべてのコンピューターは静的 IP アドレスで構成されています。支店では、DHCP を使用せず、異なるサブネットを使用しています。ポータブル コンピューターを本社および支店のネットワーク リソースに接続できるようにする必要があります。
ポータブル コンピューターをどのように構成すればよいですか。
ポータブル コンピューターをどのように構成すればよいですか。
解説:
IPv4 のプロパティ⇒ [代替の構成] タブ内の [ユーザー構成] では、DHCP サーバーが見つからない場合に IPv4 が手動で指定された構成を使用することを指定します。この代替構成は、コンピューターが複数のネットワーク上で使用され、少なくともそのうち 1 つのネットワークに DHCP サーバーがなく、APIPA による構成が使用できない場合に役立ちます。その好例は、オフィスや家庭で使用されるポータブル コンピューターです。会社では、ラップトップは DHCP によって割り当てられた TCP/IP 構成を使用します。家庭には DHCP サーバーはありませんが、ポータブル コンピューターは自動的に代替構成を使用するので、ホーム ネットワーク デバイスやインターネットに簡単にアクセスできます。これにより、IP を手動で構成しなくても、ポータブル コンピューターがどちらのネットワーク上でもシームレスに動作します。
参考イメージ:
参考資料: 「IPv4 の [代替の構成] タブ」
http://technet.microsoft.com/ja-jp/library/cc725638.aspx
MCTS 問題28 / 30 REF:70-642V2.23976
解説:
ライン プリンター デーモン (LPD) サービスによって、TCP/IP Print Server (LPDSVC) サービスがインストールされ、起動されます。これにより、UNIX ベースのコンピューターまたはライン プリンター リモート (LPR) サービスを使用しているその他のコンピューターから、このサーバーの共有プリンターに印刷できるようになります。
また、Windows Server 2008 R2 のインターネット印刷役割サービスでは、インターネット インフォメーション サービス (IIS) によってホストされる Web サイトを作成します。ユーザーは、Web ブラウザーでインターネット印刷プロトコル (IPP) を使用して、このサーバー上の共有プリンターに接続して印刷する (ユーザーはインターネット印刷クライアントをインストールする必要があります)。
参考資料: 「印刷の管理の概要」
http://technet.microsoft.com/ja-jp/library/cc731857.aspx
あなたの会社には、Windows
Server 2008 R2 を実行している SRV1 というサーバーがあります。既定の印刷サービス サーバーの役割が SRV1 上にインストールされています。>
会社は UNIX と Windows 両方のユーザーのために印刷を SRV1 に一元化したいと考えています。SRV1 で印刷を行う UNIX ユーザーにサポートを提供する必要があります。この目的を達成する方法として考えられるのは次のうちどれですか。(正解はそれぞれ単独で解決方法となります。当てはまるものを 2 つ選択してください。)
会社は UNIX と Windows 両方のユーザーのために印刷を SRV1 に一元化したいと考えています。SRV1 で印刷を行う UNIX ユーザーにサポートを提供する必要があります。この目的を達成する方法として考えられるのは次のうちどれですか。(正解はそれぞれ単独で解決方法となります。当てはまるものを 2 つ選択してください。)
解説:
ライン プリンター デーモン (LPD) サービスによって、TCP/IP Print Server (LPDSVC) サービスがインストールされ、起動されます。これにより、UNIX ベースのコンピューターまたはライン プリンター リモート (LPR) サービスを使用しているその他のコンピューターから、このサーバーの共有プリンターに印刷できるようになります。
また、Windows Server 2008 R2 のインターネット印刷役割サービスでは、インターネット インフォメーション サービス (IIS) によってホストされる Web サイトを作成します。ユーザーは、Web ブラウザーでインターネット印刷プロトコル (IPP) を使用して、このサーバー上の共有プリンターに接続して印刷する (ユーザーはインターネット印刷クライアントをインストールする必要があります)。
参考資料: 「印刷の管理の概要」
http://technet.microsoft.com/ja-jp/library/cc731857.aspx
MCTS 問題29 / 30 REF:70-642V2.23997
解説:
問題中の図から、DHCP サーバーのサービスが停止していることがわかります。
Windows Server 2008 では、DHCP サーバーのサービスを Active Directory に統合することによって、DHCP サーバーの承認が行われます。ネットワーク上に存在する承認されていない DHCP サーバーが誤ったアドレスや構成オプションを割り当てると、ネットワーク操作に混乱が生じるおそれがあります。ドメイン コントローラーまたは Active Directory ドメインのメンバーである DHCP サーバーは、承認されたサーバー (IP アドレスによって識別される) の一覧を Active Directory に照会します。承認された DHCP サーバーの一覧に自身の IP アドレスが含まれていない場合、DHCP サーバーのサービスは起動シーケンスを中断し、自動的にシャットダウンします。
参考資料: 「AD DS で DHCP サーバーを承認する方法の詳細」
http://technet.microsoft.com/ja-jp/library/cc754493(WS.10).aspx
あなたのネットワークに、下図のように構成された DHCP サーバーがあります。
DHCP サーバーが DHCP クライアントに応答できるようにする必要があります。
何を行えばよいですか。
DHCP サーバーが DHCP クライアントに応答できるようにする必要があります。
何を行えばよいですか。
解説:
問題中の図から、DHCP サーバーのサービスが停止していることがわかります。
Windows Server 2008 では、DHCP サーバーのサービスを Active Directory に統合することによって、DHCP サーバーの承認が行われます。ネットワーク上に存在する承認されていない DHCP サーバーが誤ったアドレスや構成オプションを割り当てると、ネットワーク操作に混乱が生じるおそれがあります。ドメイン コントローラーまたは Active Directory ドメインのメンバーである DHCP サーバーは、承認されたサーバー (IP アドレスによって識別される) の一覧を Active Directory に照会します。承認された DHCP サーバーの一覧に自身の IP アドレスが含まれていない場合、DHCP サーバーのサービスは起動シーケンスを中断し、自動的にシャットダウンします。
参考資料: 「AD DS で DHCP サーバーを承認する方法の詳細」
http://technet.microsoft.com/ja-jp/library/cc754493(WS.10).aspx
MCTS 問題30 / 30 REF:70-642V2.24000
解説:
ネットワーク アドレス変換 (NAT) を使用すると、単一のパブリック IP アドレスで単一のインターフェイスを経由して、パブリック インターネットへの接続を共有できます。プライベート ネットワーク上のコンピューターは、ルーティング不可能なプライベート アドレスを使用します。NAT は、プライベート アドレスをパブリック アドレスにマッピングします。
参考資料: 「NAT を有効にして構成する」
http://technet.microsoft.com/ja-jp/library/dd469812.aspx
ネットワークには、ルーティングの役割サービスがインストールされた Server1 というサーバーがあります。Server1 には 2 つのネットワーク接続があります。一方のネットワーク接続は内部ネットワークに接続しています。もう一方のネットワーク接続はインターネットに接続しています。
内部ネットワークに接続するネットワーク接続は、すべてプライベート IP アドレスを使用しています。あなたは Web1 という Web サーバーをインストールしました。Web1 は TCP ポート 8281 上のセキュリティで保護された Web サイトのみをホストします。Web1 は 内部ネットワーク接続しています。インターネットからセキュリティで保護されたネットワークにアクセスできるようにする必要があります。 [ルーティングとリモート アクセス] コンソールで何を行えばよいですか。
内部ネットワークに接続するネットワーク接続は、すべてプライベート IP アドレスを使用しています。あなたは Web1 という Web サーバーをインストールしました。Web1 は TCP ポート 8281 上のセキュリティで保護された Web サイトのみをホストします。Web1 は 内部ネットワーク接続しています。インターネットからセキュリティで保護されたネットワークにアクセスできるようにする必要があります。 [ルーティングとリモート アクセス] コンソールで何を行えばよいですか。
解説:
ネットワーク アドレス変換 (NAT) を使用すると、単一のパブリック IP アドレスで単一のインターフェイスを経由して、パブリック インターネットへの接続を共有できます。プライベート ネットワーク上のコンピューターは、ルーティング不可能なプライベート アドレスを使用します。NAT は、プライベート アドレスをパブリック アドレスにマッピングします。
参考資料: 「NAT を有効にして構成する」
http://technet.microsoft.com/ja-jp/library/dd469812.aspx
0 件のコメント:
コメントを投稿
注: コメントを投稿できるのは、このブログのメンバーだけです。