Windows 2000 Netzwerk-Infrastruktur
Die MCSE-Trainer bieten das Know-How für die MCSE-Zertifizierung. Im Mittelpunkt stehen originalgetreue Fallstudien und Fragen, die auf den in Deutschland abgehaltenenen Prüfungen basieren und eine optimale Prüfungsvorbereitung erlauben. Erläuterungen zu den Prüfungen helfen dabei, sich auf die Prüfungssituation selbst einzustellen.
Windows 2000 Active Directory Design Michael Völk, David Street 240 S., 1 CD-ROM EUR 29,95 [D] / EUR 30,80 [A] ISBN 3-8273-1958-7
Mit Hilfe der originalgetreuen Fragen zur Designprüfung 70-219 „Windows 2000 Active Directory Design“ bereiten Sie sich effizient auf die reale Prüfungssituation vor. Bei den Designprüfungen handelt es sich um Fallstudien, die der Prüfling in vier Stunden lösen muss und die weitaus komplexer angelegt sind als die bisherigen MCSE-Examen. Eine Demo der Prüfungssimulation auf CD rundet das Training ab.
Windows 2000 Netzwerk-Infrastruktur Design Michael Völk, David Street 256 S. EUR 39,95 [D] / EUR 41,10 [A] ISBN 3-8273-1963-3
Diese neue Staffel der MCSE-Trainer zu Windows 2000 enthält originalgetreue Fragen, die auf den in Deutschland abgehaltenen Prüfungen basieren. Mit Hilfe der originalgetreuen Fragen zur Designprüfung 70-221 »Windows 2000 Netzwerk-InfrastrukturDesign« bereitenSie sich effizient auf die reale Prüfungssituation vor. Bei den Designprüfungen handelt es sich um Fallstudien, die der Prüfling in vier Stunden lösen muss und die weitaus komplexer angelegt sind als die bisherigen MCSE-Examen.
Michael Völk, Albert Püll
Windows 2000 Netzwerk-Infrastruktur MCSE-Examen Nr. 70216
eBook Die nicht autorisierte Weitergabe dieses eBooks an Dritte ist eine Verletzung des Urheberrechts!
ADDISON-WESLEY An imprint of Pearson Education München • Boston • San Francisco • Harlow, England Don Mills, Ontario • Sydney • Mexico City • Madrid Amsterdam
Bibliografische Information Der Deutschen Bibliothek Die Deutsche Bibliothek verzeichnet diese Publikation in der Deutschen Nationalbibliografie; detaillierte bibliografische Daten sind im Internet über
abrufbar. 10 9 8 7 6 5 4 3 2 1 06 05 04 03 ISBN 3-8273-2110-7 © 2003 Addison-Wesley Verlag ein Imprint der Pearson Education Deutschland GmbH Lektorat Sylvia Hasselbach, München Fachliche Redaktion Hans-Jörg Merk, München Produktion Philipp Burkart, München Satz reemers publishing services gmbh, Krefeld (www.reemers.de) Druck und Bindung Bosch Druck, Ergolding Umschlaggestaltung vierviertel gestaltung, Köln Das verwendete Papier ist aus chlorfrei gebleichten Rohstoffen hergestellt und alterungsbeständig. Die Produktion erfolgt mit Hilfe umweltschonender Technologien und unter strengsten Auflagen in einem geschlossenen Wasserkreislauf unter Wiederverwertung unbedruckter, zurückgeführter Papiere. Text, Abbildungen und Programme wurden mit größter Sorgfalt erarbeitet. Verlag, Übersetzer und Autoren können jedoch für eventuell verbliebene fehlerhafte Angaben und deren Folgen weder eine juristische Verantwortung noch irgendeine Haftung übernehmen. Die vorliegende Publikation ist urheberrechtlich geschützt. Alle Rechte vorbehalten. Kein Teil dieses Buches darf ohne schriftliche Genehmigung des Verlages in irgendeiner Form durch Fotokopie, Mikrofilm oder andere Verfahren reproduziert oder in eine für Maschinen, insbesondere Datenverarbeitungsanlagen, verwendbare Sprache übertragen werden. Auch die Rechte der Wiedergabe durch Vortrag, Funk und Fernsehen sind vorbehalten. Die in diesem Buch erwähnten Software- und Hardwarebezeichnungen sind in den meisten Fällen auch eingetragene Marken und unterliegen als solche den gesetzlichen Bestimmungen.
Inhaltsverzeichnis
Vorwort Wie ist dieses Buch aufgebaut? Wie sollten Sie dieses Buch nutzen? Danksagung
8 8 8 8
1 Der Weg zum MCSE 1.1 Pflichtexamen 1.1.1 Kurzübersicht der einzelnen Inhalte 1.2 Wahlpflichtexamen 1.3 Wahlexamen 1.4 MCP-Informationen via Internet 1.5 Prüfung bei einem Sylvan Prometric-Testcenter
11 12 13 15 15 16 16
2 Beschreibung der Microsoft-Examen 2.1 Prüfungsarten 2.2 Variationen der Fragestellungen 2.2.1 Multiple-Choice-Frage I (»Wählen Sie die beste Antwort!«) 2.2.2 Multiple-Choice-Frage II (»Wählen Sie alle richtigen Antworten!«) 2.2.3 Antwort in der Grafik angeben (Quick and Drop) 2.2.4 Situationsschilderung mit Multiple-Choice-Teil 2.2.5 Beispiel für eine Aufgabe »Antwort in der Grafik angeben« 2.2.6 Fallstudien 2.3 Testablauf 2.3.1 Was sollten Sie vor, während und nach der Prüfung berücksichtigen?
17 17 18 18
3
Fragen zum MS-Prüfungsreport
4
Lösungen zum MS-Prüfungsreport
20 21 22 24 25 26 26 27
5
183
Vorwort Liebe Leserin, lieber Leser, willkommen zur zweiten, aktualisierten Auflage des MCSE-Trainer 70-216. Dieses Buch ist als Leitfaden und Orientierung für das MCP-Examen 70-216, »Implementieren und Verwalten einer Windows 2000-Netzwerk-Infrastruktur« gedacht. Die MCSE-Examen 70-210, 70-215, 70-216 und 70-217 zu Windows 2000 sind nach wie vor gültig und dienen gewissermaßen als Sprungbrett für den MCSE und den MCSA. Wir haben wieder einmal den Versuch unternommen, dem Leser ein Buch an die Hand zu geben, mit dem er eine wirklich reelle Chance hat, die Prüfung erfolgreich zu bestehen. Sie werden sich nun sicher fragen, warum wir davon so sehr überzeugt sind. Nun, die Antwort liegt darin begründet, dass unsere Kollegen und wir täglich Kontakt mit den Microsoft-Prüfungen zum MCSE für Windows 2000 haben. Seit Ende Oktober 2000 beschäftigen wir uns mit den unterschiedlichen Microsoft Windows 2000-Examen und konnten bis zum heutigen Tag eine durchschnittliche Erstbesteherquote von über 90% erreichen. In dieses Buch haben wir deshalb die Erfahrungen aller im Rahmen dieser Prüfungsvorbereitungen Beteiligten einfließen lassen. Damit erreichen wir einen direkten Bezug zur Prüfung, der sich allein schon in der Fragestellung widerspiegelt. Zudem haben wir uns um eine größtmögliche Aktualität bemüht und den gesamten Fragenpool für diese zweite Auflage überarbeitet. Sie finden daher in diesem Trainer Fragen zum Examen, die Sie vermutlich in ähnlicher Form erst wieder in der Prüfung zu Gesicht bekommen. Dieser MCSE-Trainer kann die Praxis und Erfahrung rund um Windows 2000 nicht ersetzen. Auch wenn in der Vergangenheit manche Leser unsere Bücher auswendig gelernt haben und dadurch die einzelnen Examen bestanden haben, so ist dies nicht der richtige Weg. Setzen Sie sich mit der Thematik ausführlich auseinander und bringen Sie dieses erworbene Wissen in die Lektüre dieses Buchs mit. Es ist ausschließlich zur Prüfungsvorbereitung gedacht und ersetzt kein Fachbuch, keine Schulung oder auch nicht die Erfahrung mit dem Produkt.
7
Vorwort
Wie ist dieses Buch aufgebaut? In Kapitel 1 dieses Buches finden Sie Hinweise auf die Zertifizierungsreihe von Microsoft, d. h., welche Zertifizierungsmöglichkeiten existieren. Von besonderem Interesse dürfte heutzutage die Zertifizierung zum MCSE (Microsoft Certified System Engineer) sein. Kapitel 2 beschäftigt sich mit der Beschreibung der Prüfung, d.h., mit der Art und Weise der Fragestellung und dem Hinweis auf die behandelten Themengebiete. Die Kapitel 3 und 4 dienen dann der individuellen Vorbereitung auf die Prüfung. Bevor Sie aber jetzt direkt zu Kapitel 3 oder noch schlimmer zu Kapitel 4 wechseln, um die ersten Fragen zu beantworten oder gleich die Lösungen anzuschauen, sollten Sie sich einige Minuten Zeit nehmen und zunächst Kapitel 2 (Beschreibung der Microsoft-Examen) lesen. Hier haben wir für Sie einige nützliche Tipps im Umgang mit Prüfungsfragen und deren Interpretation zusammengetragen, die Sie für die Vorbereitung auf Ihre Prüfung sicher gut gebrauchen können. Wie sollten Sie dieses Buch nutzen? In Kapitel 3 finden Sie die Prüfungsfragen ohne Hinweise auf richtige Lösungen etc. Eine Gliederung wie bei den MCSE-Trainern für Windows NT 4.0 gibt es leider nicht mehr, da eine thematische Gliederung bei den Windows 2000-Examen nicht mehr existiert. Kapitel 4 enthält die Lösungen zu den Fragen aus Kapitel 3. Neben der bloßen Angabe der richtigen Lösung(en) erhalten Sie darüber hinaus eine Begründung, weshalb diese angegebene Lösung(en) die richtige(re) ist (sind), sowie Verweise auf die Original-Microsoft-Trainings (grüne Bücher) und auf die Online-Dokumentation. Diese Online-Dokumentation wird oft unterschätzt; sie stellt jedoch eine Informationsquelle dar, die nicht nur kostenlos ist, sondern auch wirklich als Nachschlagewerk dienen kann. Wenn du eine Blume erklären willst, dann musst du auch den dazugehörigen Blumenstrauß kennen! Uns bleibt zu guter Letzt nur, Ihnen viel Erfolg und auch ein wenig Spaß beim erfolgreichen Durcharbeiten dieses Trainers und viel Glück beim Examen 70-216, »Implementieren und Verwalten einer Windows 2000-Netzwerk-Infrastruktur« zu wünschen. Für Ihr Feedback und Ihre Kritik zum Buch nutzen Sie bitte die folgende Mailadresse: [email protected]. Einen weiteren Support (per Mail oder Telefon) zu diesem Buch können wir leider nicht anbieten, da in der Vergangenheit diese Möglichkeit von vielen Lesern zum persönlichen Training missbraucht wurde. Das soll jedoch nicht bedeuten, dass wir Ihre Fragen in den Papierkorb werfen. Danksagung Wir möchten an dieser Stelle all denjenigen ein herzliches Dankeschön aussprechen, die an der Entwicklung dieses Buches mitgewirkt haben, insbesondere unseren Mitarbeitern, Freunden und Kollegen und natürlich auch unseren Teilnehmern. Ohne Ihr Engagement und auch die konstruktive Kritik wäre dieses Buch nicht entstanden.
8
Danksagung
Besonderen Dank möchten wir folgenden Freunden und Mitarbeitern für Ihre Unterstützung aussprechen: Michael Rauschert, Dr. David Street und Hans-Jörg Merk Auch unsere Familien mussten Ihren Zoll für das Entstehen dieses Buches leisten, ein Dankeschön an unsere Ehefrauen und Kinder, die ihre Männer und Väter oft entbehren mussten. München, im Juni 2003 Michael Völk und Albert Püll
9
Kapitel 1
Der Weg zum MCSE Das Zertifizierungsprogramm von Microsoft stellt ein breitgefächertes Spektrum von Zertifikaten dar, die alleine gültig sind, wie z.B. der MCP (Microsoft Certified Professional) für ein bestimmtes Produkt oder der MCSE (Microsoft Certified System Engineer), der insgesamt sieben Examen umfasst. Eine detaillierte Übersicht der Zertifizierungsprogramme erhalten Sie im Internet unter •
www.microsoft.com/traincert/mcp/default.asp
Wenn es um die Zertifizierung zum MCSE geht, gibt es lange oder kurze Wege. Hier muss unterschieden werden, ob es sich um eine grundsätzliche Neuzertifizierung handelt oder um ein Upgrade von Windows NT 4.0 auf Windows 2000. An dieser Stelle sollen beide Wege näher erläutert werden. Grundsätzlich wird die Zertifizierung zum Windows 2000 MCSE in drei Examensbereiche gegliedert: • • •
Pflichtexamen Wahlpflichtexamen Wahlexamen
11
Der Weg zum MCSE
Kapitel 1
1.1
Pflichtexamen
Beim Pflichtexamen muss man sich folgende Frage stellen: Wie viele Einzelprüfungen muss ein potenzieller Windows 2000 MCSE ablegen? Variante 1 Der Kandidat verfügt bereits über die Zertifizierung zum MCSE für Windows NT 4.0, oder er hat mindestens die Examen 70-67, 70-68 und 70-73 abgelegt. In beiden Fällen hat er die Möglichkeit, das Kompaktexamen 70-240 abzulegen. Im Anschluss an dieses Kompaktexamen muss der Kandidat noch ein Wahlpflicht- und zwei Wahlexamen ablegen. Was beinhaltet das Kompaktexamen 70-240? Dieses Examen dauert insgesamt 240 Minuten und beeinhaltet die Themen der folgenden vier Einzelexamen: 70-210 Installieren, Konfigurieren und Verwalten von Windows 2000 Professional 70-215 Installieren, Konfigurieren und Verwalten von Windows 2000 Server 70-216 Implementieren und Verwalten einer Windows 2000 Netzwerk-Infrastruktur 70-217 Implementieren und Verwalten einer Windows 2000 VerzeichnisdienstInfrastruktur Diese vier Examen werden als Pflichtexamen bezeichnet und sind auch in Variante zwei gefragt. Variante 2 Der Kandidat besitzt noch keine MCSE-Zertifizierung für Windows NT 4.0 oder hat keine NT-4.0-Examen, die als Basis für das Kompaktexamen 70-240 dienen. In diesem Fall handelt es sich gewissermaßen um eine Neuzertifizierung und dann müssen alle vier Pflichtexamen einzeln abgelegt werden. Um welche Examen handelt es sich hier? 70-210 Installieren, Konfigurieren und Verwalten von Windows 2000 Professional 70-215 Installieren, Konfigurieren und Verwalten von Windows 2000 Server 70-216 Implementieren und Verwalten einer Windows 2000 Netzwerk-Infrastruktur 70-217 Implementieren und Verwalten einer Windows 2000 VerzeichnisdienstInfrastruktur Welche Inhalte die jeweiligen Examen haben, erfahren Sie von Microsoft direkt im Internet unter www.microsoft.com/traincert/mcp/mcse/requirements.asp in den so genannten Preparation Guides für die jeweiligen Examen.
12
Pflichtexamen
1.1.1
Kurzübersicht der einzelnen Inhalte
70-210 Installieren, Konfigurieren und Verwalten von Windows 2000 Professional • Verwalten und Fehlersuche von Druckern • Festplattenverwaltung (Dateisysteme, Datenträgerkontingent) • Freigabe- und NTFS-Berechtigungen • Installation von Windows 2000 Professional (unattend.txt; RIS; Aktualisierung) • Zugriff auf Ressourcen (Offlinedateien, Überwachung, Sicherheitsvorlagen, Berechtigungen, Komprimierung) • Verteilen von Software (Windows Installer, Gruppenrichtlinien) • Installation und Fehlersuche von Peripheriekarten (Einbau von zusätzlichen Karten wie z.B. Soundblaster, USB, AGP, SCSI-Adapter, Dateisignaturverfizierung) • Benutzerverwaltung und -Rechte • Fehlersuche Startvorgang (abgesicherter Modus, Wiederherstellungskonsole, ARC-Pfade) • TCP/IP-Konfiguration (DNS; DHCP; TCP/IP-Eigenschaften, Fehlersuche; TCP/IPPorts) • Rechnerkonfiguration (Energiemanagement, Eingabeschema, Auslagerungsdatei, Datensicherung) • Geräte-Manager (Ressourcenkonflikte beheben) • DFÜ und RAS (Authentifizierung, Benutzerprofile und Sicherheitsrichtlinien) • Netzwerkgrundlagen (Konfiguration von Netzwerkkarten, Routerkonfiguration) 70-215 Installieren, Konfigurieren und Verwalten von Windows 2000 Server • Wechsel des Servertyps • Domänen und Active Directory (Verbindung, Gruppenrichtlinienobjekte) • Installation von Windows 2000 Server (unattend.txt; RIS; Aktualisierung) • Netzwerkgrundlagen (Konfiguration von Netzwerkkarten, Routerkonfiguration) • Benutzerverwaltung und -Rechte (Gruppenzugehörigkeit, Überwachung) • Fehlersuche Startvorgang (abgesicherter Modus, Wiederherstellungskonsole • TCP/IP-Konfiguration (DNS; DHCP; TCP/IP-Eigenschaften, Fehlersuche; TCP/IPPorts) • Systemüberwachung und -Optimierung • Datensicherung und -Wiederherstellung • Ausführen von Anwendungen (getrennte Speicherbereiche, Taskplaner) • Fehlersuche Startvorgang (abgesicherter Modus, Wiederherstellungskonsole, ARC-Pfade) • Festplattenverwaltung (Dateisysteme, Datenträgerkontingent, dynamische Datenträger) • Fehlertoleranz unter Windows 2000 Server (Spiegelung, Stripeset mit Parität, RAID) • Festplattenverwaltung (Dateisysteme, Datenträgerkontingent) • Freigabe- und NTFS-Berechtigungen • Zugriff auf Ressourcen (Offlinedateien, Überwachung, Sicherheitsvorlagen, Berechtigungen, Komprimierung, Verschlüsselung)
13
Der Weg zum MCSE
Kapitel 1
• • • • • • • • • •
Beheben von Ressourcenkonflikten Modemkonfiguration und -Fehlersuche DNS-Zonenkonfiguration Systemrichtlinien und Benutzerprofile Benutzer- und Gruppenverwaltung (Rechtevergabe) Protokollkonfiguration (NWLink, TCP/IP) Verwalten und Fehlersuche von Druckern Internet und Intranet (IIS, Proxyserver) Zugriff auf Ressourcen (LAN und Internet) Routing und RAS (Anmeldezeiten, Authentifizierung)
70-216 Implementieren und Verwalten einer Windows 2000 NetzwerkInfrastruktur • TCP/IP-Protokollkonfiguration ( IP, Subnetzmaske, Standardgateway) • DHCP-Konfiguration (Leasedauer, Bereichsoptionen, Ausschluss von Adressen) • DNS (DNS-Serverkonfiguration, Fehlersuche, Überwachung) • NAT (Konfiguration, Fehlersuche) • Routing und RAS (BOOTP, Routerkonfiguration, Konfiguration eines RASServers) • Routingstrategien (RIP, OSPF) • Zusammenarbeit mit Novell NetWare • WINS (Push- und Pullpartner, Sichern der Datenbank, Knotentypen, WINSProxy) • Gebrauch von Dienstkommandos (ipconfig, route add) • VPN (Definition, Installation, Zugriff) • Zertifizierung und Verschlüsselung (PKI, Verschlüsselung) • PPTP und L2TP • IGMP (Multicasting) • Netzwerküberwachung und Optimierung (SNMP, Replikation) • IPSec • TCP/IP-Ports und -Filter • RADIUS 70-217 Implementieren und Verwalten einer Windows 2000 VerzeichnisdienstInfrastruktur • DNS (Zonenübertragung, DNS-Zonenkonfiguration, Fehlersuche) • Benutzerprofile und Systemrichtlinien • Domänen (Betriebsmodi, Gruppenrichtlinienobjekte, Organisationseinheiten, Active Directory, Global Catalog Server) • Analyse der Ereignisanzeige • Skripte (Start- und Anmeldeskripte) • Sicherheitsvorlagen • RIS • Benutzer- und Gruppenverwaltung im Active Directory • Wechseln des Servertyps
14
Wahlpflichtexamen
1.2
Wahlpflichtexamen
Die Examen aus diesem Bereich können mit Recht als komplex bezeichnet werden. Bei diesen Prüfungen geht es grundsätzlich um das Design von Windows 2000. Allein schon die Fragestellung ist total anders als man es von den Pflichtprüfungen gewohnt ist. Näheres zu der neuen Art der Fragestellung, die auf Fallstudien basiert, entnehmen Sie bitte Kapitel 2 dieses Buches. Zur Auswahl stehen derzeit drei solcher Examen: 70-219 Designing a Microsoft Windows 2000 Directory Infrastructure 70-220 Designing a Secure Windows 2000 Network 70-221 Designing a Microsoft Windows 2000 Networking Infrastructrue Eines dieser drei Examen muss jeder Kandidat ablegen. Diese Prüfungen dauern alle jeweils 240 Minuten. Bei den Design-Prüfungen ist besonders das Umsetzen von Wissen gefragt und es gibt enormen Spielraum hinsichtlich der Antwortmöglichkeiten. Eine Beschreibung dieser Examen finden Sie unter www.microsoft.com/traincert/mcp/mcse/requirements.asp. Zu den Prüfungen 70-219 und 70-221 sind bei Addison-Wesley MCSETrainer erschienen, mit denen Sie sich in bewährter Weise auf diese Prüfungen vorbereiten können.
1.3
Wahlexamen
Zusätzlich zu einem der Wahlpflichtexamen muss jeder Kandidat noch zwei weitere Wahlexamen ablegen. Diese Examen beinhalten wiederum die Wahlpflichtexamen und zusätzlich noch weitere Examen. Leider ist es nicht zulässig, ein Wahlpflichtexamen auch für den Abschnitt Wahlexamen zur Anerkennung zu bringen. Derzeit stehen folgende Examen zur Auswahl 70-219 Designing a Microsoft Windows 2000 Directory Infrastructure 70-220 Designing a Secure Windows 2000 Network 70-221 Designing a Microsoft Windows 2000 Networking Infrastructure 70-222 Designing a Microsoft Windows 2000 Upgrade Strategy 70-224 Implementing and Managing Microsoft Exchange 2000 70-081 Implementing and Supporting Microsoft Exchange Server 5.5 70-085 Implementing and Supporting Microsoft SNA Server 4.0 70-086 Implementing and Supporting Microsoft System Management Server 2.0
15
Der Weg zum MCSE
Kapitel 1
Details zu diesen Examen und eine Übersicht der jeweils aktuellen gültigen Examen finden Sie auf der Homepage von Microsoft unter www.microsoft.com/trainingandservices/contents/exam.
1.4
MCP-Informationen via Internet
Wenn Sie das erste Microsoft-Examen erfolgreich hinter sich gebracht haben, bekommen Sie am Ende einen Prüfungsreport, der die Ergebnisse in Prozent ausdrückt. Diesen erhalten Sie allerdings nur, wenn Sie auch diesen Prüfungsreport ausdrucken. Nach rund vier bis sechs Wochen schickt Ihnen Microsoft dann ein kleines Päckchen zu, in dem Sie Ihr MCP-Zertifikat, einen Ausweis mit der MCP-Nummer sowie zusätzliches Informationsmaterial finden. Das Wichtigste an diesem Paket ist die MCP-Nummer; diese hat mit der Test-ID nichts zu tun. Mittels dieser MCP-Nummer und Ihrem Namen haben Sie dann Zugriff auf die Microsoft-Webseite »for MCP only«, auf der Sie auch Ihre aktuelle Zertifizierungsübersicht (welche Examen, wann mit Erfolg abgelegt usw.) finden. Beim Zugriff auf diese MCP-Seite erfolgt zunächst die Abfrage des Benutzernamens; hier geben Sie Ihre MCP-Nummer ein. Als nächstes werden Sie nach dem Kennwort gefragt, das maximal 14 Zeichen aufweist; geben Sie hier Ihren Nachnamen ein. Wenn dieser mehr als 14 Zeichen hat, geben Sie die ersten 14 Zeichen ein; hat er weniger als sechs Zeichen, dann füllen Sie die restlichen Stellen so lange mit Nullen (»0«) auf, bis die ersten sechs Stellen gefüllt sind (z.B. »VOELK0«).
1.5
Prüfung bei einem Sylvan Prometric-Testcenter
Die Examen werden nicht direkt bei Microsoft abgenommen, sondern von beauftragten Testcentern wie z.B. Prometric oder VUE. Auf den Websites dieser Firmen finden Sie auch die Informationen, welches Examen in welcher Sprache zur Verfügung steht. VUE: www.vue.com Prometric: www.2test.com
16
Kapitel 2
Beschreibung der MicrosoftExamen Das Ablegen einer Prüfung bedeutet mehr oder weniger auch Unsicherheit und Stress. Egal, wie viele Prüfungen jemand abgelegt hat – ein komisches Gefühl in der Magengrube ist bei jedem vorhanden. Es gibt zwar auch Leute, die diese Gefühle überhaupt nicht kennen und für die eine Prüfung nichts weiter Weltbewegendes ist. Für alle diejenigen aber, die zur Kategorie mit diesem »komischen« Gefühl gehören, sei der Ausspruch eines klugen Mannes zitiert: »Tue das, wovor du Angst hast, und das Ende der Angst ist dir gewiss!« Wir wollen Sie, getreu diesem Motto, so gut wie möglich mit der Prüfungssituation und auch den Inhalten vertraut machen. Denken Sie bitte auch an unsere Bemerkungen in Kapitel 1 –- dieses Buch kann und soll nicht als Ersatz für Wissen und Erfahrung dienen.
2.1
Prüfungsarten
Microsoft-Examen sind immer so genannte konventionelle Tests. Dies sind Tests, in denen Sie eine im voraus festgelegte Anzahl von Fragen erhalten, die Sie in einer bestimmten Zeit beantworten müssen. Das Gegenstück zum konventionellen Test ist der adaptive Test. Dieses Testverfahren wird z.B. von Novell bei seinen Prüfungen vorrangig eingesetzt. Bei einem adaptiven Test ist die Anzahl der Fragen variabel gestaltet, d. h., ein Test beinhaltet 15 bis 25 Fragen, je nachdem wie Sie die Fragen beantworten. Im Klartext bedeutet dies: Sie erhalten als erste Frage eine, die sich auf ein Themengebiet bezieht, in dem Sie nicht hundertprozentig fit sind. Beantworten Sie diese falsch, erhalten Sie die nächste Frage, die wieder in die gleiche Kerbe schlägt.
17
Beschreibung der Microsoft-Examen
Kapitel 2
Wenn dieses Szenario weiter so läuft, haben Sie so gut wie keine Chance auf das erfolgreiche Bestehen dieser Prüfung. Von dieser Warte aus betrachtet ist der konventionelle Test von Vorteil, wenn man in einem Themengebiet nicht so bewandert ist – man kann dies u.U. an anderer Stelle wieder wettmachen. Microsoft bietet derzeit, zumindest auf seiner Website, einen Test nach adaptivem Muster zum Download an.
2.2 Variationen der Fragestellungen Microsoft unterscheidet bei seinen Examen grundsätzlich sechs Möglichkeiten von Fragestellungen: • • • • • •
Multiple-Choice-Frage I (»Wählen Sie die beste Antwort!«) Multiple-Choice-Frage II (»Wählen Sie alle richtigen Antworten!«) Antwort in der Grafik angeben (Quick and Drop) Situationsschilderung mit Multiple-Choice-Teil Antwort direkt in der Grafik angeben Fallstudien
Bei allen Fragestellungen – dies trifft für die Fragen in Kapitel 3 zu – gilt folgende Devise: Lesen Sie sich erst die entsprechende Frage genau durch, filtern Sie im Anschluss daran die Kernaussagen der Frage heraus und entwickeln Sie dann für sich eigene Lösungsvorschläge, ohne sich die angebotenen Lösungsvorschläge anzuschauen. Vergleichen Sie dann den eigenen Lösungsvorschlag mit den für die Frage angebotenen Lösungsvorschlägen, und filtern Sie die beste(n) Antwort(en) heraus. Sie werden sich fragen, warum Sie sich die Zeit nehmen sollen, eigene Lösungsvorschläge zu erarbeiten, wenn doch schon Lösungsvorschläge vorgegeben sind. Nun, die angebotenen Lösungsvorschläge sind manchmal sprachlich derart schwer verständlich, dass man sich bisweilen fragt, was die Antwort einem sagen will. Unsere Erfahrungen haben gezeigt, dass es daher oftmals besser ist, den oben beschriebenen Weg zu beschreiten und eigene Lösungen zu entwickeln, um diese dann mit den angebotenen Lösungsvorschlägen zu vergleichen. Denken Sie in diesem Zusammenhang auch an unseren Hinweis in Kapitel 1. Sie haben für die Beantwortung der Examensfragen zwischen 120 und 240 Minuten Zeit. Setzen Sie sich beim Durcharbeiten von Kapitel 3 ein Zeitlimit, das i.d.R. die Hälfte der tatsächlichen Prüfungszeit betragen sollte.Wenn Sie z.B. 50 Fragen in 120 Minuten beantworten sollen, dann reduzieren Sie einfach die Zeit auf 60 Minuten, bei gleichbleibender Anzahl von Fragen. Kommen wir nun auf die oben genannten verschiedenen Fragestellungen zu sprechen, anhand derer wir Ihnen eine optimale Prüfungsstrategie und -vorbereitung vorschlagen wollen. 2.2.1
Multiple-Choice-Frage I (»Wählen Sie die beste Antwort!«)
Allein schon optisch gesehen, nämlich an dem Kreis vor den einzelnen Lösungsmöglichkeiten, sehen Sie, dass nur eine Antwort richtig ist. Auch wenn mehrere Antworten gut klingen – eine klingt am besten. Im Englischen ist dies ganz klar ausgedrückt (select the best answer!).
18
Variationen der Fragestellungen
1
Sarah ist als Netzwerkadministrator in der Firma Kindernahrung AG beschäftigt. Die Programmierer in der Softwareabteilung modifizieren derzeit eine Anwendungssoftware, damit diese unter Windows 2000 Professional ausgeführt werden kann. Derzeit ist auf allen Rechnern der Softwareabteilung als Betriebssystem Windows 98 installiert. Sarah möchte die Rechner der Softwareabteilung so konfigurieren, dass die Programmierer sowohl Windows 98 als auch Windows 2000 Professional als Betriebssystem verwenden können. Außerdem möchte sie sicher stellen, dass die Rechner für eine optimale Festplattenleistung konfiguriert werden. Es muss sicher gestellt werden, dass die Benutzer der Softwareabteilung mit beiden Betriebssystemen auf alle Dateien zugreifen können. Wie könnte Sarah dies realisieren?
A
�
Sie erstellt eine Partition und richtet auf dieser als Dateisystem FAT32 ein.
B
�
Sie erstellt eine Partition und richtet auf dieser als Dateisystem NTFS ein.
C
�
Sie konfiguriert unter Windows 2000 Professional die Datenträgerkomprimierung.
D
�
Sie konfiguriert Windows 2000 Professional für die Verwendung von dynamischen Datenträgern.
Interpretation der Fragestellung Aus der Aufgabenstellung geht eindeutig hervor, dass als Betriebssystemplattform Windows 98 und auch Windows 2000 Professional genutzt werden soll und die Benutzer auf alle Daten unter den beiden Betriebssystemen zugreifen können. Entwickeln des eigenen Lösungsvorschlages Die Beantwortung der Frage, welches Dateisystem zum Einsatz kommen soll, ist hier ausschlaggebend. FAT 32 kann von beiden Betriebssystemen erkannt werden. Richtige Lösung nach dem Ausschlussverfahren Jetzt wird die Umsetzung des eigenen Lösungsvorschlags geprüft. Lösung A gibt als einzige Lösungsmöglichkeit als Dateisystem FAT32 vor. Die Lösungsvorschläge B, C und D sind nur unter Windows 2000 realisierbar, weswegen Lösungsvorschlag A richtig ist. Die richtige Antwort (in diesem Fall A) klicken Sie einfach in der Antwortübersicht an und fahren dann fort mit der Bearbeitung der Fragen. Wenn Sie sich einmal unsicher sind, ob jetzt B oder C anzukreuzen ist, markieren Sie einfach die Frage (Überprüfungsoption). Am Ende der Prüfung können Sie (vorausgesetzt, Sie haben dafür noch Zeit) dann noch einmal ein Review Ihrer Prüfung durchlaufen. Die von Ihnen markierten Fragen werden gelb markiert; rote Markierungen bedeuten, dass die Frage nicht oder unvollständig beantwortet worden ist.
19
Beschreibung der Microsoft-Examen
Kapitel 2
2.2.2
Multiple-Choice-Frage II (»Wählen Sie alle richtigen Antworten!«) Anstelle von Kreisen können vor den diversen Lösungsmöglichkeiten auch Quadrate stehen. Dies bedeutet für Sie, dass gleich mehrere Antworten (also mindestens zwei) für die komplette Beantwortung erforderlich sind. Es wird nicht immer angegeben, ob Sie nun zwei oder drei Antworten geben müssen. Es können durchaus auch alle richtig sein. 2
Der Benutzer Claudius berichtet, dass einige Anwendungen auf seinem Windows 2000 Professional-Rechner langsam ausgeführt werden. Claudius Rechner verfügt über 64 MB RAM und 100 MB freien Festplattenspeicher. Wie können Sie die Leistung von Claudius Rechner verbessern? (Wählen Sie alle zutreffenden Antworten aus.)
A
�
Sie nehmen Claudius Konto in die Gruppe »Hauptbenutzer« auf.
B
�
Sie stellen die Gesamtgröße der Auslagerungsdatei auf 75 Prozent des realen Speichers ein.
C
�
Sie führen eine Festplattenanalyse durch und verwenden ggf. ein Defragmentierungsprogramm.
D
�
Sie verwenden die Datenträgerbereinigung um temporäre Dateien und unnötige Programmdateien zu löschen.
E
�
Sie stellen sicher, dass das Fenster Leistungsoptionen für die Hintergrunddienste optimiert wurde.
Interpretation der Fragestellung Die Frage zielt auf Performanceprobleme ab, die entweder durch zuwenig Speicher (64 MB) oder zu wenig freien Festplattenspeicher (100 MB) entstehen. Entwickeln des eigenen Lösungsvorschlages Grundsätzlich muss man hier zwei Ansätze berücksichtigen. Liegt es am Speicher, so ist es am effektivsten, diesen zu erweitern. Liegt es am freien Festplattenspeicher, so kann das Problem mehrere Ursachen haben: • • •
Ist der Datenträger fragmentiert? Sind temporäre Dateien vorhanden? Benötigt man alle Daten, die auf den betreffenden Datenträger vorhanden sind?
Im Falle des Festplattenspeichers bedeutet das entweder Defragmentieren oder nicht mehr benötigte Dateien löschen. Richtige Lösung nach dem Ausschlussverfahren Lösungsvorschlag A hat mit der geschilderten Problematik nichts zu tun, da die Gruppe der Hauptbenutzer nicht mit der Perfomance zusammenhängt. Lösungsvorschlag B reduziert zwar den Platz für die Auslagerungsdatei, aber dadurch hat man das nächste Performance-Problem. Die Frage zielt ja auf Optimierung und nicht auf das Produzieren von zusätzlichen Fehlern.
20
Variationen der Fragestellungen
Lösungsvorschlag C hat als erster Lösungsvorschlag entwas mit der Lösung des geschilderten Problems zu tun. Der Hinweis auf das Defragmentierungsprogramm ist richtig. Lösungsvorschlag D entspricht unserem eigenen Lösungsvorschlag, dass nicht mehr benötigte Dateien gelöscht werden sollen und ist deswegen auch richtig. Lösungsvorschlag E hat wiederum mit der Lösung des Performance-Problems nichts zu tun, und ist deswegen auszuschließen. C und D Nun werden Sie sich vielleicht fragen, was geschieht, wenn Sie nur zwei Antworten angeben, drei Antworten aber für die komplette Beantwortung der Frage notwendig gewesen wären. Nun, wenn bei der Frage nicht erwähnt wird, wie viele Antworten erforderlich sind, und wenn Sie eine Antwortmöglichkeit vergessen, dann können Sie davon ausgehen, dass zumindest eine Teilbewertung der Frage erfolgt; dies ist zumindest meine Erfahrung. Eine hundertprozentig klare Aussage kann an dieser Stelle nicht gegeben werden, und bis heute hat auch Microsoft keine klare Stellungnahme hierzu abgegeben. 2.2.3 Antwort in der Grafik angeben (Quick and Drop) Diese Variante der Fragestellung besteht aus der Fragestellung und einer Grafik mit so genannten Aktionsfeldern. Hier ist es erforderlich, die gestellte Aufgabe durch Positionieren der jeweiligen Aktionen zu lösen. Eine andere Möglichkeit ist die der Beantwortung direkt durch Positionieren des Mauszeigers in der Grafik. Die Kombination von Grafiken bei anderen Fragearten (Kreis bzw. Quadrat) steht hierbei in keinem Zusammenhang mit dieser Art von Fragestellung. Bei anderen Fragearten ist die Grafik nur als Informationsquelle (Exhibit) gedacht. Bei dieser Art von Fragestellung dagegen ist die Grafik Bestandteil von Frage und Lösung zugleich. 3
Ihr Rechner verfügt über ein internes 33.6-kBit/s-Modem. Sie installieren Windows 2000 Professional auf Ihrem Rechner. Zu einem späteren Zeitpunkt installieren Sie ein ISA-konformes 56-kBit/s-Modem. Nach Abschluss der Installation stellen Sie fest, dass das 56-kBit/s-Modem nicht funktioniert. Sie verwenden die Computerverwaltung, um die Modems für Ihren Rechner anzuzeigen. Der Geräte-Manager zeigt an, dass ein Konflikt zwischen dem 33.6-kBit/sModem und dem 56-kBit/s-Modem festgestellt wurde. Sie möchten, dass Windows 2000 Professional nur das 56-kBit/s-Modem verwendet. Wie gehen Sie vor? Klicken Sie zur Beantwortung der Frage auf die Schaltfläche Auswählen und Platzieren und ziehen Sie dann die entsprechenden Aktionen für jedes Modem im Diagramm in das zutreffende Feld Aktion (Hinweis: Es müs-
21
Beschreibung der Microsoft-Examen
Kapitel 2
sen beide Felder ausgefüllt werden). Wenn ein Feld keine spezifische Aktion erfordert, verwenden Sie Keine Aktion notwendig Aktion
Mit Hilfe des Gerätemanagers deaktivieren
33.6-KB/s-Modem Mit Hilfe des Gerätemanagers entfernen MVSWS01 Windows 2000 Professional
In einen anderen Steckplatz einsetzen
Keine Aktion notwendig Aktion
56-KB/s-Modem
Interpretation der Fragestellung Das Problem in der Fragestellung ist, dass ein internes Modem bereits vorhanden ist und auf dem betreffenden Rechner Windows 2000 Professional installiert wird. Nachträglich installiert man ein zusätzliches Modem und dieses funktioniert nicht, auf Grund eines Ressourcenkonfliktes. Wenn man das Ziel erreichen soll, dass nur das neue Modem zum Einsatz kommt, muss man das alte Modem entfernen. Entwickeln des eigenen Lösungsvorschlages Das interne Modem (33.6-kBit/s) muss entfernt (ausbauen) bzw. deaktiviert (Gerätemanager) werden. Richtige Lösung nach dem Ausschlussverfahren Wir haben verschiedene Aktionsmöglichkeiten. In unserem Fall müssen wir das interne Modem entfernen bzw. deaktivieren. Damit verbunden ist der Wegfall der Aktion »In einen anderen Steckplatz einsetzen«, weil beim nächsten Neustart wieder nach Geräten gesucht wird. Die Aktion »Mit Hilfe des Gerätemanagers entfernen« fällt ebenfalls weg. Es bleiben zu diesem Zeitpunkt nur noch zwei Aktionen übrig. »Keine Aktion notwendig« (betrifft das neue Modem) und die Aktion »Mit Hilfe des Gerätemanagers deaktivieren« für das alte Modem. 2.2.4
Situationsschilderung mit Multiple-Choice-Teil
Solche Situationsaufgaben sind aus einem ganz einfachen Grunde relativ unproblematisch: Sie bestehen immer aus einer Zieldefinition (Was soll erreicht werden?) und der Übersicht der Konfigurationsschritte (Was wurde gemacht?). Der nächste Schritt ist dann relativ einfach: man muss die erreichten Ziele oder Ergebnisse anklicken. Beim Beantworten derartiger Situationsaufgaben sollten Sie folgende Hinweise beachten: • • •
Achten Sie sehr genau auf die Aufgabenstellung! Lassen Sie sich nicht durch die Aufteilung von Frage, Antwort und dem Exhibit (der Grafik zur Frage) durcheinander bringen! Bewahren Sie Ruhe, und lesen Sie sich die Aufgabe und den Lösungsvorschlag konzentriert durch!
22
Variationen der Fragestellungen
4
Sie sind der Administrator eines Windows 2000-Netzwerke. Ihr Netzwerk besteht aus fünf Subnetzen, die über einen Router miteinander verbunden sind, auf dem BOOTP-Relay aktiviert ist. Im Netzwerk befinden sich 80 Windows 2000-Server und 800 Windows 2000-Professional-Rechner. Diese Rechner sind relativ gleichmäßig über die Subnetze verteilt. Zusätzlich befinden sich im Netz 20 UNIX-Server und 100 DHCP-aktivierte Netzwerkdrucker. Sie sollen das Netzwerk optimieren, um folgende Ziele zu erreichen: • • • •
Die korrekte Zuordnung von IP-Adressen an alle Clients in den Subnetzen soll automatisiert werden. Adresskonflikte zwischen Servern und Clients sollen verhindert werden. Es sollen korrekte Bereichsoptionen für alle Clients in den Subnetzen verwendet werden. Inaktive Clients sollen IP-Adressen nicht länger als drei Tage behalten.
Jeder Netzwerkdrucker soll immer die gleiche IP-Adresse erhalten. Sie führen folgende Schritte durch: • • • • •
Sie konfigurieren einen der Windows 2000-Server als DHCP-Server Sie erstellen fünf Bereiche. Jeder dieser Bereiche enthält den Adressbereich für ein bestimmtes Subnetz. Sie legen in der DHCP-Konsole im Container »Bereichsoptionen« für jeden Adressbereich optionale Client-Konfigurationen fest. Sie schließen den von den Servern verwendeten Adressbereich aus. Sie schließen den von den Netzwerkdruckern verwendeten Adressbereich aus.
Welches Ergebnis bzw. welche Ergebnisse werden durch Ihre Maßnahmen erzeugt? (Wählen Sie alle zutreffenden Antworten aus.) A
�
B
�
C
�
D E
� �
Die korrekte Zuordnung der IP-Adressen an alle Clients in allen Subnetzen wird automatisiert. Adresskonflikte aufgrund doppelt vorhandener IP-Adressen zwischen den Clients und den Servern werden verhindert. Korrekte Bereichsoptionen werden für alle Clients in den Subnetzen verwendet. Inaktive Clients können eine IP-Adresse maximal drei Tage beanspruchen. Jeder der Netzwerkdrucker erhält immer die gleiche IP-Adresse.
Interpretation der Fragestellung Kernaussage der Frage ist der Einsatz von DHCP. Entwickeln des eigenen Lösungsvorschlages Ziele gleich mit Lösungsmöglichkeiten versehen: •
Korrekte Zuordnung von IP-Adressen an alle Clients in allen Subnetzen Lösung: DHCP-Server (BOOTP bereits aktiviert, d.h. der DHCP-Server ist von allen Stationen erreichbar.
23
Beschreibung der Microsoft-Examen
Kapitel 2
•
Adresskonflikte zwischen Servern und Clients sollen verhindert werden Lösung : DHCP-Server
•
Korrekte Bereichsoptionen für alle Clients in den Subnetzen Lösung: DHCP-Server (Festlegen von Bereichsoptionen)
•
Inaktive Clients sollen IP-Adressen nicht länger als drei Tage erhalten Lösung: DHCP-Server (Festlegen der Lease-Dauer)
•
Jeder Netzwerkdrucker soll immer die gleiche IP-Adresse erhalten Lösung: feste IP-Adressen vergeben oder Reservierung vornehmen
Ermitteln der richtigen Lösung(en): Welche Konfigurationsschritte werden durchgeführt? 1.
Einen der Windows 2000-Server als DHCP-Server konfigurieren
2.
Erstellung von fünf Bereichen (für jedes Subnetz ein Adressbereich)
3.
Bereichsoptionen werden für jeden Adressbereich festgelegt
4.
Ausschluss von Adressbereichen, die von den Servern verwendet werden)
5.
Ausschluss der Adressen, die durch die Netzwerkdrucker verwendet werden
Was wird durch diese Schritte erreicht ? • • •
Automatische und korrekte Zuordnung der IP-Adressen (Konfigurationsschritt 1) Ausschluss von Adresskonflikten (Konfigurationsschritt 4) Verwendung von korrekten Bereichsoptionen (Konfigurationsschritt 2) Umsetzen der erreichten Ziele in die Lösungsvorschläge. Demnach sind die Lösungen A, B und C korrekt.
2.2.5
Beispiel für eine Aufgabe »Antwort in der Grafik angeben«
Die andere Möglichkeit einer Fragestellung bei Microsoft-Examen ist die der Beantwortung direkt durch Positionieren des Mauszeigers in der Grafik. Die Kombination von Grafiken bei anderen Fragearten (Kreis bzw. Quadrat) steht hierbei in keinem Zusammenhang mit dieser Art von Fragestellung. Bei anderen Fragearten ist die Grafik nur als Informationsquelle (Exhibit) gedacht. Bei dieser Art von Fragestellung dagegen ist die Grafik Bestandteil der Frage und der Lösung zugleich.
5
Sie installieren auf dem Rechner MVSNEU Windows 2000 Professional. Ihr Netzwerk verwendet als einziges Netzwerkprotokoll TCP/IP. Sie konfigurieren am Rechner MVSNEU die IP-Adresse 10.10.20.234, als Standardgateway 10.10.13.1 und als WINS-Server 10.10.13.10. Der Rechner MVSWIN1 ist der WINS-Server für das Netzwerk. Sie können unter Verwendung von UNC-Namen keine Verbindungen zu freigegebenen Ressourcen auf dem Rechner MVSRESS2 oder MVSEX1 herstellen.
24
Variationen der Fragestellungen
Welche Adresse sollten Sie für das Standardgateway verwenden, damit MVSNEU Verbindungen zu den Rechnern MVSRESS2 oder MVSEX1 herstellen kann?
T1
MVSRESS1 Windows 2000 Server 10.10.13.39
MVSEX1 Exchange-Server 10.10.13.20
MVSWIN1 WINS-Server 10.10.13.10
10.10.13.1
MVSPRO1 Proxy-Server 10.10.13.254
10.10.30.1 Router
10.10.20.1
MVSWS1 Windows 2000 Professional 10.10.30.20
Internet
MVSWS2 Windows 2000 Professional 10.10.30.200
MVSNEU
MVSRESS2 Windows 2000-Server 10.10.20.167
Klicken Sie zur Beantwortung der Frage auf die IP-Adresse im Diagramm. Interpretation der Fragestellung Der Rechner MVSNEU hat keinen Zugriff auf die Ressourcen der Server MVSRESS2 und MVSEX1. Welchen Standardgateway sollte man eintragen, um dieses Ziel zu erreichen? Entwickeln des eigenen Lösungsvorschlages Die Intepretation der Grafik zeigt, dass der Rechner MVSNEU über den Router auf die Ressourcen der Rechner MVSRESS2 und MVSEX1 zugreifen können muss. Das heißt, er muss die Gatewayadresse eintragen, die sich auf seiner Seite befindet. In unserem Fall handelt es sich hier um die Adresse 10.10.20.1. Anklicken der Adresse 10.10.20.1 in der Grafik 2.2.6 Fallstudien Diese neue Art von Fragestellungen kommt derzeit ausschließlich bei den Design-Examen 70-219, 70-220, 70-221 zum Tragen. Der Aufbau dieser Prüfungen ist recht einfach. Sie erhalten in der Prüfung vier Fallstudien (Case Studies), die Sie erst einmal durchlesen und interpretieren müssen. Im Anschluss daran finden Sie ca. zehn Multiple-Choice-Fragen zu diesen Fallstudien, die Sie beantworten müssen. Eine nähere Beschreibung dieser Art der Fragestellung würde den Rahmen sprengen, und ist für die Realisierung der Examen 70-210, 70-215, 70-216 und 70-217 nicht von Bedeutung. Auf der Homepage von Microsoft erhalten Sie eine Beschreibung dieser Fallstudien nebst Demo: www.microsoft.com/traincert/mcpexams/policies/innovations.asp.
25
Beschreibung der Microsoft-Examen
Kapitel 2
Wir haben uns die ganze Zeit darüber unterhalten, welche Arten von Prüfungsfragen es gibt und wie Sie mit diesen Fragen und der Beantwortung umgehen. Jetzt wird es Zeit, uns einmal den Prüfungsablauf bei einem Testcenter anzuschauen. Nachdem Sie sich, wie in Kapitel 1 erläutert, zu einem Examen angemeldet haben, schreiten Sie zur Prüfung. Wenn Sie diesen Termin nicht wahr nehmen können, verfällt die Prüfung, genauer gesagt: Sie haben 140,00 EUR umsonst ausgegeben. Absagen sind nur bis 48 Stunden vor dem eigentlichen Prüfungstermin kostenfrei. »Absagen« bedeutet dabei übrigens, dass Sie lediglich einen anderen Prüfungstermin festlegen, aber nicht die Prüfung selbst absagen können.
2.3
Testablauf
Der Test beim Testcenter in Ihrer Region ist nicht so dramatisch, wie bisweilen vermutet wird. Wenn Sie sich zum Examen angemeldet haben, sei es bei einem Testcenter in Ihrer Region direkt oder über die Zentrale von Prometric oder Vue, erhalten Sie Informationen zu Prüfungsort und -zeit. Am Tage der Entscheidung erscheinen Sie bitte 15 bis 30 Minuten vor dem eigentlichen Termin beim Testcenter, und bringen Sie bitte Ihren Personalausweis oder Reisepass mit. Es gibt Fälle, in denen ein Prüfling sein Examen nicht absolvieren durfte, weil er nicht nachweisen konnte, »dass er wirklich er ist«. Tragen Sie sich dann mit Namen, Vornamen, Ihrer Test-ID und Ihrer Personalausweisnummer in das Anmeldeformular ein. Dieser Ablauf kann von Testcenter zu Testcenter variieren, ist aber in den Grundzügen meist gleich oder wenigstens ziemlich ähnlich. Im Prüfungsraum werden Sie in der Regel von einem Mitarbeiter des Testcenters am Rechner zur Prüfung angemeldet und können dann loslegen. 2.3.1
Was sollten Sie vor, während und nach der Prüfung berücksichtigen?
Nehmen Sie bitte ein Taschentuch mit in die Prüfung. Sie werden jetzt fragen, wozu das nötig ist. Bei den Testcentern bekommen Sie entweder Papier oder eine Folienunterlage mit einem wasserlöslichen Stift, um sich Notizen zu machen. Wenn Sie Papier erhalten, dann gehören Sie zu der glücklichen Sorte von Prüflingen; die andere Gruppe dagegen stellt irgendwann fest, dass die Folienvorlage vollgeschrieben ist. Diese mit der Hand sauberzumachen, ist immer lästig. Egal, ob Sie nun Papier oder die Folienvorlage bekommen – beides müssen Sie beim Verlassen des Prüfungsraumes wieder abgeben. Denken Sie bei Prüfungsende daran, Ihre Prüfung, sofern noch Zeit bleibt, nochmals durchzugehen, bevor Sie auf BEENDEN gehen. Wenn Sie den Test beenden, wird Ihr Ergebnis berechnet und am Monitor in Form eines (hoffentlich) grünen Balkens angezeigt. Drucken Sie Ihr Ergebnis aus – es ist zumindest für die Dauer von vier bis sechs Wochen Ihr einziger Nachweis dafür, dass Sie das Examen bestanden haben.
26
Kapitel 3
Fragen zum MS-Prüfungsreport 1
Sie sind der Administrator eines Windows 2000-Netzwerks. Ihr Netzwerk besteht aus fünf Subnetzen, die über einen Router miteinander verbunden sind, auf dem BOOTP-Relay aktiviert ist. Im Netzwerk befinden sich 80 Windows 2000 Server und 800 Windows 2000 Professional-Rechner. Diese Rechner sind relativ gleichmäßig über die Subnetze verteilt. Zusätzlich befinden sich im Netz 20 UNIX-Server und 100 für DHCP aktivierte Netzwerkdrucker. Sie sollen das Netzwerk optimieren, um folgende Ziele zu erreichen: • • • • •
Die korrekte Zuordnung von IP-Adressen an alle Clients in den Subnetzen soll automatisiert werden. Adresskonflikte zwischen Servern und Clients sollen verhindert werden. Es sollen korrekte Bereichsoptionen für alle Clients in den Subnetzen verwendet werden. Inaktive Clients sollen IP-Adressen nicht länger als drei Tage behalten. Jeder Netzwerkdrucker soll immer die gleiche IP-Adresse erhalten.
Sie führen folgende Schritte durch: • • •
Sie konfigurieren einen der Windows 2000 Server als DHCP-Server. Sie erstellen fünf Bereiche. Jeder dieser Bereiche enthält den Adressbereich für ein bestimmtes Subnetz. Sie legen in der DHCP-Konsole im Container Bereichsoptionen für jeden Adressbereich optionale Clientkonfigurationen fest.
27
Fragen zum MS-Prüfungsreport
Kapitel 3
• •
Sie schließen den von den Servern verwendeten Adressbereich aus. Sie schließen den von den Netzwerkdruckern verwendeten Adressbereich aus.
Welches Ergebnis bzw. welche Ergebnisse werden durch Ihre Maßnahmen erzeugt? (Wählen Sie alle zutreffenden Antworten aus.) A
�
Die korrekte Zuordnung der IP-Adressen an alle Clients in allen Subnetzen wird automatisiert.
B
�
Adresskonflikte aufgrund doppelt vorhandener IP-Adressen zwischen den Clients und den Servern werden verhindert.
C
�
Korrekte Bereichsoptionen werden für alle Clients in den Subnetzen verwendet.
D
�
Inaktive Clients können eine IP-Adresse maximal drei Tage beanspruchen.
E
�
Jeder der Netzwerkdrucker erhält immer die gleiche IP-Adresse.
2
Sie sind der Netzwerkadministrator der AP-SYSTEME GmbH. Ihr Netzwerk besteht aus zehn Windows 2000 Servern, 150 Windows 2000 Professional-Rechnern und 150 Windows NT 4.0 Workstations. Auf allen Clients ist die Datei- und Druckerfreigabe aktiviert, um die Zusammenarbeit zwischen den jeweiligen Arbeitsgruppen und die gemeinsame Verwendung von Dokumenten zu ermöglichen. Sie setzen einen der Windows 2000 Server als DHCP-Server ein, um die IP-Adresszuordnung auf den Clients zu automatisieren. Sie wollen folgende Ziele erreichen: • • •
•
Alle Clients sollen im Netzwerk anhand des vollqualifizierten Netzwerkdomänennamens gefunden werden können. Die DNS-Zonendateieinträge A (Hosteinträge) sollen für alle Clients automatisch hinzugefügt werden. Die DNS-Zonendateieinträge PTR (Zeigereinträge) sollen für alle Clients automatisch hinzugefügt werden, um Reverse-Lookups von Namen zu unterstützen. Bei Ablauf der DHCP-Lease sollen die A- und PTR-Einträge automatisch aus den DNS-Zonendateien entfernt werden.
Sie führen folgende Schritte durch: • •
•
Sie konfigurieren den DHCP-Server und legen fest, dass die Clientinformationen in DNS nicht aktualisiert werden. Sie konfigurieren den DHCP-Server und legen fest, dass die für Forward-Lookups erforderlichen Einträge bei Ablauf der Lease entfernt werden. Sie konfigurieren den DHCP-Adressbereich und legen fest, dass der Domänenname allen DHCP-Clients zugewiesen wird.
28
Fragen zum MS-Prüfungsreport
Welches Ergebnis bzw. welche Ergebnisse werden durch Ihre Maßnahmen erzeugt? (Wählen Sie alle zutreffenden Antworten aus.) A
�
Alle Clients im Netzwerk können anhand des vollqualifizierten Netzwerkdomänennamens gefunden werden.
B
�
Die DNS-Zonendatei A-Einträge werden für alle Clients automatisch hinzugefügt.
C
�
Die DNS-Zonendatei PTR-Einträge für Reverse-Lookups von Namen werden für alle Clients automatisch hinzugefügt.
D
�
Die A- und PTR-Einträge werden bei Ablauf der DHCP-Lease automatisch aus den DNS-Zonendateien entfernt.
3
Ihr Netzwerk besteht aus zwei Standorten (Altötting und Mühldorf). Jeder dieser Standorte verfügt über einen Windows 2000 Server und 50 Windows 2000 Professional-Rechner. Die beiden Server fungieren als Windows 2000-basierte Router. Die beiden Router sind nicht direkt miteinander verbunden, beide sind jedoch an einen dritten Router mit der Bezeichnung »Zentral« angeschlossen. Dieser Router wird von einer anderen Firma verwaltet.
50 Windows 2000 Professonal
50 Windows 2000 Professonal
Windows 2000 Router
Router-Zentrale
Windows 2000 Router
Die Benutzer an beiden Standorten möchten Multicast-basierte Datacastings durchführen, um Informationen an den anderen Standort übertragen zu können. Sie fügen deshalb auf beiden Servern das Routingprotokoll IGMP hinzu. Der Router Zentral unterstützt jedoch keine Multicast-Weiterleitung bzw. kein Multicast-Routing. Wie konfigurieren Sie das Netzwerk, damit IP-Multicast-Verkehr zwischen den Standorten Altötting und Mühldorf übertragen werden kann? A
�
Sie erstellen auf beiden Servern eine statische Standardroute und verwenden die IP-Adresse des anderen Servers als Gateway.
29
Fragen zum MS-Prüfungsreport
Kapitel 3
B
�
Sie ordnen die Schnittstelle für den Router Zentral auf beiden Servern dem Routingprotokoll IGMP hinzu und führen diese Schnittstellen im IGMPProxymodus aus.
C
�
Sie erstellen zwischen den beiden Servern eine IP-in-IP-Schnittstelle, ordnen die IP-in-IP-Schnittstelle dem Routingprotokoll IGMP hinzu und führen die Schnittstelle im IGMP-Proxymodus aus.
D
�
Sie fügen beiden Servern das Routingprotokoll RIP für IP hinzu, ordnen die Schnittstelle für den Router dem Routingprotokoll RIP hinzu und konfigurieren die Server als gegenseitige Unicast-Nachbarn.
4
Sie sind der Netzwerkadministrator eines mittelständischen Unternehmens. Sie führen den Netzwerkmonitor aus, um Ihr Netzwerk zu überwachen und gegebenenfalls zu optimieren. Sie wollen die Quell-IP-Adresse und die Zielportnummer eines jeden TCP/IP-Rahmens im Netzwerk bestimmen können. Sie wollen diese Informationen über einen Zeitraum von drei Stunden hinweg aufzeichnen. Wie realisieren Sie dieses Vorhaben? (Wählen Sie zwei Antworten aus.)
A
�
Sie erhöhen im Menü EINSTELLUNGEN größe.
B
�
Sie verringern im Menü EINSTELLUNGEN FÜR AUFNAHMEPUFFER die Puffergröße.
C
�
Sie erhöhen im Menü EINSTELLUNGEN FÜR AUFNAHMEPUFFER die Rahmengröße.
D
�
Sie verringern im Menü EINSTELLUNGEN mengröße.
E
�
Sie wechseln das temporäre Sammlungsverzeichnis.
5
FÜR
AUFNAHMEPUFFER die Puffer-
FÜR
AUFNAHMEPUFFER die Rah-
Sie sind der Administrator eines Windows 2000-Netzwerks, das insgesamt über 18.000 Windows 2000 Professional-Rechner und zehn Windows 2000-basierte WINS-Server verfügt. Die WINS-Clients sind in der Regel tragbare Rechner, die eine Netzwerkverbindung häufig von unterschiedlichen Standorten aus herstellen. Die WINS-Clients werden meistens für den Zugriff auf NetBIOS-basierte Ressourcen verwendet. Die TCP/IP-Konfiguration der WINS-Clients wird durch einen DHCP-Server vorgenommen. Einige der WAN-Verbindungen in Ihrem Netzwerk sind unzuverlässig. Sie müssen sicherstellen, dass alle Windows 2000 Professional-Rechner NetBIOS-Namen auch dann auflösen können, wenn nicht alle WINS-Server im Netzwerk verfügbar sind.
30
Fragen zum MS-Prüfungsreport
Wie konfigurieren Sie Ihr Netzwerk, um dieses Ziel zu erreichen? A
�
Sie konfigurieren in jedem Segment einen Rechner als WINS-Proxy.
B
�
Sie konfigurieren die DHCP-Server und stellen jedem Client eine Liste von WINS-Servern zur Verfügung.
C
�
Sie konfigurieren die WINS-Server und aktivieren die Burstverarbeitung. Sie setzen die Anzahl der Anforderungen für die Burstverarbeitung auf Hoch.
D
�
Sie konfigurieren den DHCP-Server und setzen den Knotentyp NetBIOS über TCP/IP für jeden Clientrechner auf Gemischt (M-Knoten).
6
Sie sind der Netzwerkadministrator eines Windows 2000-Netzwerks, das aus einem Windows 2000 Server (AP-SYSTEME_ONE) und 40 Windows 2000 Professional-Rechnern besteht. AP-SYSTEME_ONE verfügt über eine DFÜ-Verbindung für den Zugang ins Internet. Alle Windows 2000 Professional-Rechner sind für die Verwendung der automatischen privaten IP-Adressierung (APIPA) konfiguriert. Das Netzwerk verfügt über keinen DHCP-Server. AP-SYSTEME_ONE verwendet die IP-Adresse 192.168.0.1. Für den Routing und RAS-Dienst sowie für sämtliche Ports auf AP-SYSTEME_ONE ist das Routing für »bei Bedarf herzustellende Wählverbindungen« aktiviert. Das Routingprotokoll Netzwerkadressübersetzung (NAT) wurde hinzugefügt. Sie müssen allen Windows 2000 Professional-Rechnern im Netzwerk den Internetzugang über eine übersetzte, bei Bedarf herzustellende Wählverbindung auf AP-SYSTEME_ONE ermöglichen. Wie konfigurieren Sie das Netzwerk? (Wählen Sie vier Antworten aus.)
A
�
Sie erstellen für die LAN-Verbindung eine neue Schnittstelle für bei Bedarf herzustellende Wählverbindungen.
B
�
Sie erstellen für die DFÜ-Verbindung eine neue Schnittstelle für bei Bedarf herzustellende Wählverbindungen.
C
�
Sie fügen dem NAT-Routingprotokoll eine öffentliche und eine private Schnittstelle hinzu.
D
�
Sie konfigurieren die IP-Adresse des Internetdienstanbieters an der privaten Schnittstelle als Standardgateway.
E
�
Sie konfigurieren das NAT-Routingprotokoll, um die Netzwerkadressübersetzungs-Zuordnung und die Namensauflösung zu aktivieren.
F
�
Sie fügen eine standardmäßige statische Route hinzu, die die öffentliche Schnittstelle verwendet.
G
�
Sie konfigurieren die öffentliche NAT-Schnittstelle mit dem Adresspool 192.168.0.1.
31
Fragen zum MS-Prüfungsreport
Kapitel 3
7
Sie sind der Netzwerkadministrator eines Windows 2000-Netzwerks. Ihr Netzwerk verfügt über acht Windows 2000 Server, die alle als WINS-Server fungieren. Da sich mehrere Netzwerkbenutzer häufig von unterschiedlichen Standorten aus anmelden, möchten Sie für die acht WINS-Server eine Konvergenzzeit von weniger als einer Stunde konfigurieren. Was tun Sie, um dieses Ziel zu erreichen?
A
�
Sie erstellen eine kreisförmige Anordnung der acht WINS-Server und konfigurieren jeden WINS-Server als Push/Pull-Partner der beiden WINS-Server, die sich im Kreis neben diesem Server befinden. Sie verwenden ein Replikationsintervall von 25 Minuten.
B
�
Sie legen einen der acht WINS-Server als zentralen WINS-Server fest. Sie konfigurieren die übrigen WINS-Server als Push/Pull-Partner des zentralen WINS-Servers und konfigurieren den zentralen WINS-Server als Push/ Pull-Partner der übrigen WINS-Server. Sie verwenden ein Replikationsintervall von 25 Minuten.
C
�
Sie konfigurieren die WINS-Server und legen fest, dass die jeweils anderen WINS-Server automatisch als Replikationspartner konfiguriert werden. Sie verwenden das standardmäßige Zeitintervall für die automatische Partnerkonfiguration.
D
�
Sie legen für jeden WINS-Server ein Erneuerungsintervall von 50 Minuten fest und verwenden für das Bestätigungsintervall den Standardwert.
8
Sie sind der Netzwerkadministrator eines Windows 2000-Netzwerks. Ihr Netzwerk verfügt über 20 Windows 2000 Server, 300 Windows 2000 Professional-Rechner, 200 Windows 98- und 25 UNIX-Clients, auf denen SMB-Serversoftware ausgeführt wird. Im Netzwerk wird ausschließlich das Transportprotokoll TCP/IP verwendet. Sie implementieren im Netzwerk WINS zur Vereinfachung der NetBIOS-Namensauflösung. Die Benutzer der Windows-Clients können jedoch auf Ressourcen, die auf den UNIX-Rechnern verfügbar sind, keine NetBIOS-Namen verwenden. Beim Zugriff auf Windows-Rechner funktioniert das Ganze reibungslos. Was tun Sie, um dieses Problem zu lösen?
A
�
Sie installieren auf einem der UNIX-Rechner einen WINS-Proxy-Agenten.
B
�
Sie installieren auf einem Windows-Rechner einen WINS-Proxy-Agenten.
C
�
Sie erstellen auf dem WINS-Server statische Zuordnungen für die UNIXRechner.
D
�
Sie erstellen auf dem WINS-Server statische Zuordnungen für die WindowsRechner.
32
Fragen zum MS-Prüfungsreport
9
Sie sind der Netzwerkadministrator eines Windows 2000-Netzwerks. Das Netzwerk ist, wie im Diagramm dargestellt, konfiguriert.
Firewall
WS 1
Internet
Hub
ns
WS 2
WS 3
Im Netzwerk konfigurieren Sie einen Windows 2000 Server, der als Internet Information Server Verwendung finden soll. Dieser Server verwendet zur Unterstützung von Internetbenutzern die IP-Adresse 131.107.2.2 Intern, zur Unterstützung einer Intranetanwendung verwendet dieser Server die IP-Adresse 10.1.1.2. Sie müssen den Server so konfigurieren, dass nur die Webkommunikation über das Internet zugelassen wird. Zusätzlich soll der Server Intranetbenutzern den Zugriff auf freigegebene Ordner und andere Ressourcen erlauben. Wie setzen Sie diese Anforderung um? A
�
Sie aktivieren einen TCP/IP-Filter und lassen auf der Netzwerkkarte, welche die IP-Adresse 131.107.2.2 verwendet, nur Port 80 zu.
B
�
Sie aktivieren einen TCP/IP-Filter und lassen auf der Netzwerkkarte, welche die IP-Adresse 131.107.2.2 verwendet, nur Port 20 und Port 21 zu.
C
�
Sie lassen auf der Netzwerkkarte, welche die IP-Adresse 131.107.2.2 verwendet, alle Ports zu.
D
�
Sie aktivieren einen TCP/IP-Filter und lassen auf der Netzwerkkarte, welche die IP-Adresse 10.1.1.2 verwendet, nur Port 80 zu.
E
�
Sie aktivieren einen TCP/IP-Filter und lassen auf der Netzwerkkarte, welche die IP-Adresse 10.1.1.2 verwendet, nur Port 20 und Port 21 zu.
F
�
Sie lassen auf der Netzwerkkarte, welche die IP-Adresse 10.1.1.2 verwendet, alle Ports zu.
33
Fragen zum MS-Prüfungsreport
Kapitel 3
10
Sie sind in Ihrer Firma der Netzwerkadministrator. Das Netzwerk besteht aus einer einzigen Windows 2000-Domäne, die insgesamt 15 Windows 2000 Server und 600 Windows 2000 Professional-Rechner enthält. Sie möchten die IP-Adresszuordnung vereinfachen. Sie installieren auf einem der Server den DHCP-Server-Dienst und definieren und aktivieren einen IP-Adressbereich. Die Netzwerkbenutzer können jedoch keine Verbindung mit dem Netzwerk herstellen. Sie stellen fest, dass die Clients keine TCP/ IP-Konfigurationsinformationen vom DHCP-Server erhalten. Wie lösen Sie dieses Problem?
A
�
Sie starten den DHCP-Server-Dienst auf dem DHCP-Server neu.
B
�
Sie starten alle Clients neu.
C
�
Sie autorisieren den DHCP-Server in Active Directory.
D
�
Sie fügen einen DNS-Hosteintrag für den DHCP-Server hinzu.
11
Sie sind der Administrator eines Windows 2000-Netzwerks. Das Netzwerk besteht aus einer einzigen Windows 2000-Domäne und auf allen Rechnern wird Windows 2000 Server bzw. Windows 2000 Professional installiert. Sie haben Ihre primäre DNS-Standardzone konfiguriert, um die Namensauflösung und den Zugriff der Clients auf Serverressourcen zu erleichtern. Ihre primäre DNS-Standardzone enthält alle Adressen der Server. Später fügen Sie dem Netzwerk vier weitere Mitgliedsserver hinzu. Die Benutzer finden diese neuen Server zwar, können jedoch nicht darauf zugreifen. Wie lösen Sie dieses Problem?
A
�
Sie konvertieren die primäre DNS-Standardzone in eine integrierte Active Directory-Zone.
B
�
Sie erstellen für jeden neuen Server in der DNS-Zone einen SRV-DienstEintrag.
C
�
Sie setzen die Einstellung Dynamische Aktualisierung zulassen für die primäre DNS-Standardzone auf Ja.
D
�
Sie setzen die Einstellung Dynamische Aktualisierung zulassen für die primäre DNS-Standardzone auf Nur gesicherte Aktualisierungen.
12
Sie sind der Administrator eines Windows 2000-Netzwerks, das über einen Hauptsitz und eine Nebenstelle verfügt. Sie setzen PPTP ein, um den Hauptsitz mit der Zweigstelle zu verbinden. Sie müssen sicherstellen, dass für die Verbindung eine möglichst starke Datenverschlüsselung verwendet wird. Wie machen Sie das?
A
�
Sie stellen in den Routing und RAS-Konsolen sicher, dass das Einwählprofil, das für die Herstellung der Verbindung zwischen den beiden Geschäftsstellen verwendet wird, ausschließlich MS-CHAP zulässt.
34
Fragen zum MS-Prüfungsreport
B
�
Sie stellen in den Routing und RAS-Konsolen in den Eigenschaften der Routing und RAS-Serverobjekte sicher, dass das Extensible-Authentication-Protokoll MD5-CHAP verwendet wird.
C
�
Sie stellen in den Routing und RAS-Konsolen in den Eigenschaften der PPTP-Schnittstellen sicher, dass MS-CHAP v2 als Authentifizierungsmethode verwendet wird.
D
�
Sie stellen in den Routing und RAS-Konsolen in den Eigenschaften der PPTP-Schnittstellen sicher, dass PAP (Password Authentication Protocol) als Authentifizierungsmethode verwendet wird.
13
Sie sind der Administrator eines Windows 2000-Netzwerks. Das Netzwerk besteht aus Windows 2000 Servern, Windows 2000 ProfessionalRechnern, Windows NT 4.0 Workstations und Windows für Workgroups 3.11-Clients, die über drei Subnetze verteilt sind. Alle Clients verwenden die automatische TCP/IP-Konfiguration. Sie installieren in einem Subnetz einen neuen Windows 2000 Server als WINS-Server. Zusätzlich definieren Sie eine DHCP-Bereichsoption für die Adresse des neuen WINS-Servers. Die Benutzer können zwar auf Ressourcen in ihrem eigenen Subnetz zugreifen, jedoch nicht auf Ressourcen in anderen Subnetzen. Wie lösen Sie dieses Problem?
A
�
Sie aktualisieren die Konfiguration sämtlicher Clients mittels des Befehls ipconfig /renew.
B
�
Sie aktualisieren die Konfiguration sämtlicher Clients mittels des Befehls ipconfig /release.
C
�
Sie installieren einen WINS-Proxy-Agenten in dem Subnetz, in dem sich der neue WINS-Server befindet.
D
�
Sie installieren einen WINS-Proxy-Agenten in den Subnetzen, die den neuen WINS-Server nicht enthalten.
14
Sie sind der Netzwerkadministrator der AP-SYSTEME GmbH. Ihr Netzwerk besteht aus drei Windows 2000-Domänen, die, wie im Diagramm dargestellt, konfiguriert sind.
AP-SYSTEME.de
mue.AP-SYSTEME.de
kc.AP-SYSTEME.de
35
Fragen zum MS-Prüfungsreport
Kapitel 3
Zur Verwaltung des DNS-Namensraums verwenden Sie eine einzige primäre DNS-Standardzone. Die Namensauflösung aller Domänen wird über diese Standardzone abgewickelt. Die Netzwerkbenutzer teilen Ihnen mit, dass die Namensauflösung für die Hosts in allen drei Domänen extrem viel Zeit beansprucht. Sie möchten dieses Problem lösen, jedoch die zentrale Verwaltungskontrolle beibehalten. Wie gehen Sie vor? A
�
Sie erstellen eine neue primäre Zone für die Domäne KC und erstellen eine neue primäre Zone für die Domäne MUE.
B
�
Sie erstellen eine neue sekundäre Zone für die Domäne KC und erstellen eine neue sekundäre Zone für die Domäne MUE.
C
�
Sie erstellen jeweils eine neue integrierte Active Directory-Zone für die Domäne KC und für die Domäne MUE.
D
�
Sie erstellen jeweils eine delegierte Zone für die Domäne KC und für die Domäne MUE.
15
Peter R. ist der Netzwerkadministrator der Firma SRS AG. Die Firma verfügt über Zweigstellen in Burghausen und in Altötting. Jede Zweigstelle soll einen eigenen Routing- und RAS-Server betreiben. Deshalb implementiert Peter RADIUS für die zentrale Verwaltung. Er entfernt die StandardRAS-Richtlinie, weil er eine einzige Unternehmensrichtlinie implementieren soll, die für die gesamte DFÜ-Kommunikation eine 40-Bit-Verschlüsselung erfordert. Er möchte das Netzwerk so konfigurieren, dass die sichere Kommunikation mit möglichst geringem administrativen Aufwand ermöglicht wird. Wie realisiert Peter das? (Wählen Sie zwei Antworten aus.)
A
�
Er definiert auf jedem Routing und RAS-Server eine RAS-Richtlinie.
B
�
Er definiert auf dem RADIUS-Server eine RAS-Richtlinie.
C
�
Er stellt die Verschlüsselung in der/den RAS-Richtlinie(n) auf Basisverschlüsselung ein.
D
�
Er stellt die Verschlüsselung in der/den RAS-Richtlinie(n) auf Starke Verschlüsselung ein.
E
�
Er aktiviert auf dem RADIUS-Server die Richtlinie Secure Server IPSec.
F
�
Er aktiviert auf dem RADIUS-Server die Richtlinie Server IPSec.
16
Sie sind der Netzwerkadministrator eines Windows 2000-Netzwerks. Das Netzwerk verfügt über drei Segmente, die durch einen Router miteinander verbunden sind. Jedes Segment enthält drei Windows 2000 Server, wobei jeweils einer dieser Server als WINS-Server fungiert. Im Netzwerk befin-
36
Fragen zum MS-Prüfungsreport
den sich 300 Windows NT 4.0 Workstations als WINS-Clients. Diese Clients sind gleichmäßig über die drei Segmente verteilt. Allerdings teilen Ihnen die Netzwerkbenutzer mit, dass sie auf Ressourcen in den anderen Segmenten als dem ihren nicht zugreifen können. Wie konfigurieren Sie das Netzwerk, um allen Netzwerkbenutzern das Durchsuchen und den Zugriff auf Ressourcen in allen Segmenten zu ermöglichen? A
�
Sie konfigurieren für alle WINS-Clients den NetBIOS-Knotentyp Gemischt (M-Knoten).
B
�
Sie konfigurieren alle WINS-Clients für die Verwendung aller drei WINSServer.
C
�
Sie konfigurieren auf jedem WINS-Server die Datei lmhosts und fügen dieser Datei Einträge mit #PRE und #DOM für die beiden anderen WINSServer hinzu.
D
�
Sie konfigurieren die drei WINS-Server als gegenseitige Replikationspartner.
17
Sie sind in Ihrer Firma als Netzwerkadministrator tätig. Ihr Windows 2000 Server mit der Bezeichnung AP-SYSTEME_ONE kann mit dem UNIX-Server AP-SYSTEME_TWO keine Verbindung aufbauen. APSYSTEME_ONE kann zu anderen Rechnern im Netzwerk Verbindungen herstellen. Sie senden Ping-Signale an AP-SYSTEME_TWO, erhalten jedoch folgende Fehlermeldung: Unbekannter Host AP-SYSTEME_TWO Daraufhin erstellen Sie in der Forward-Lookupzone einen A-Eintrag und geben Namen und IP-Adresse korrekt an. Beim erneuten Versuch, PingSignale an AP-SYSTEME_TWO zu senden, erhalten Sie wieder die gleiche Fehlermeldung. Wie lösen Sie dieses Problem?
A
�
Sie starten den DNS-Server neu.
B
�
Sie löschen den Cache-Speicherinhalt des DNS-Servers.
C
�
Sie führen auf AP-SYSTEME_ONE den Befehl ipconfig /registerdns aus.
D
�
Sie führen auf AP-SYSTEME_ONE den Befehl ipconfig /flushdns aus.
18
Sie sind der Netzwerkadministrator der AP-SYSTEME GmbH. Sie konfigurieren in Ihrer Windows 2000-Domäne den RAS-Dienst, um Ihren Trainern, wenn diese auswärts sind, den Zugriff auf Netzwerkressourcen zu ermöglichen. Sie möchten, dass die Clients automatisch mit IP-Adressen versorgt werden, wenn diese sich einwählen. Sie konfigurieren den RASServer und richten DHCP ein, um den Clients Adressen und Konfigurationen zuzuweisen.
37
Fragen zum MS-Prüfungsreport
Kapitel 3
Die Trainer können jedoch nicht durch Angabe des Servernamens oder über Active Directory auf die Netzwerkressourcen zugreifen. Sie überprüfen dies und stellen nach Herstellung der Verbindung zum RAS-Server fest, dass der Client zwar seine IP-Adresse, jedoch keine der DHCP-Optionen empfängt. Auf den Rechnern im lokalen Netz tritt dieses Problem nicht auf. Wie lösen Sie das Problem? A
�
Sie aktivieren im Dialogfeld Eigenschaften des RAS-Servers die Option IPROUTING.
B
�
Sie deaktivieren im Dialogfeld Eigenschaften des RAS-Servers die Option IP-ROUTING.
C
�
Sie konfigurieren auf dem RAS-Server einen statischen Adresspool.
D
�
Sie konfigurieren den RAS-Server und legen fest, dass dieser als DHCPRelay-Agent fungieren soll.
19
Michael ist der Netzwerkadministrator der AP-SYSTEME GmbH. Der Webserver der Firma ist so konfiguriert, dass die Webanwendung eines Drittanbieters für die Netzwerkbenutzer ausgeführt wird. Uwe, der zweite Administrator in der Firma, hat aus Gründen der Serversicherheit einige Veränderungen vorgenommen. Die Benutzer erhalten bei jedem Versuch, eine Verbindung zu einer auf dem Webserver gespeicherten Webseite aufzubauen, eine Fehlermeldung mit der Information, dass diese Webseite nicht zur Verfügung steht. Die Benutzer können jedoch ohne Probleme FTP-Verbindungen herstellen und es ist sichergestellt, dass der Webdienst auch gestartet ist. Michael muss jetzt ermitteln, aus welchem Grund die Benutzer die Fehlermeldung erhalten. Was sollte er zur Lösung des Problems unternehmen?
A
�
Bestätigen, dass die Ports 21 und 29 in ihrem TCP/IP-Filter zugelassen werden.
B
�
Bestätigen, dass der Port 443 in seinem TCP/IP-Filter zugelassen wird.
C
�
Bestätigen, dass die korrekten NTFS-Dateiberechtigungen für die in Frage kommenden Webseiten vorhanden sind.
D
�
Bestätigen, dass Port 80 in seinem TCP/IP-Filter zugelassen wird.
20
Sie sind in Ihrer Firma als Netzwerkadministrator angestellt. Das Netzwerk besteht aus einem einzigen Subnetz und es wird ausschließlich TCP/ IP als Transportprotokoll verwendet. Zur Vereinfachung der IP-Adresszuordnung verwenden Sie DHCP. Nach der Analyse des Netzwerks mit dem
38
Fragen zum MS-Prüfungsreport
Netzwerkmonitor stellen Sie fest, dass die Broadcasts hinsichtlich der Namensauflösung überhand nehmen. Sie beschließen deshalb, einen WINS-Server zu installieren, um den Netzwerkverkehr zu reduzieren. Nach einigen Tagen stellen Sie fest, dass Ihr Netzwerk immer noch sehr langsam ist. Sie starten erneut den Netzwerkmonitor und bemerken, dass der Broadcastverkehr nach wie vor nicht reduziert ist. Beim Einsehen der WINS-Datenbank stellen Sie mit Erstaunen fest, dass diese ausschließlich den Eintrag für den WINS-Server selbst enthält. Was tun Sie, um dieses Problem in den Griff zu bekommen? A
�
Sie konfigurieren den WINS-Server als DHCP-Clientrechner.
B
�
Sie konfigurieren den DHCP-Server als einen WINS-Clientrechner.
C
�
Servers bekanntzugeben.
D
�
Sie konfigurieren auf dem WINS-Server für jeden Client statische Zuordnungen.
E
�
Sie konfigurieren im DHCP-Adressbereich für den WINS-Server eine Reservierung.
21
Sie sind in Ihrer Firma als Netzwerkadministrator beschäftigt. Das Netzwerk ist, wie im Diagramm dargestellt, konfiguriert. Freilassing
Salzburg
172.16.64.1
172.16.96.1
Segment A
AP-SYSTEME01
AP-SYSTEME02
Segment B
Router
AP-SYSTEME03
AP-SYSTEME04
AP-SYSTEME05
AP-SYSTEME06
Sie erfahren, dass die Administratoren in der Geschäftsstelle Salzburg den Netzwerkmonitor installiert haben und verwenden. Sie sind etwas erstaunt, da Ihre Firma nur den Administratoren in Freilassing die Installation und Verwendung des Netzwerkmonitors erlaubt. Sie installieren deshalb den Netzwerkmonitor auf AP-SYSTEME01. Sie müssen die Anzahl der derzeit vom Netzwerkmonitor ausgeführten Instanzen ermitteln. Wie ermitteln Sie diese Werte? (Wählen Sie zwei Antworten aus.) A
�
Sie wählen im Menü EXTRA des Netzwerkmonitors die Option BENUTZER VON NETZWERKMONITOR ANZEIGEN.
B
�
Sie wählen im Menü OPTIONEN des Netzwerkmonitors die Option ADRESSNAMEN.
39
Fragen zum MS-Prüfungsreport
Kapitel 3
C
�
Sie wählen im Menü EXTRAS des Netzwerkmonitors die Option ROUTER SUCHEN.
D
�
Sie wählen im Menü ANZEIGE des Netzwerkmonitors die Option ALLE NAMEN SUCHEN.
E
�
Sie installieren den Netzwerkmonitor auf einem Rechner im Segment B.
F
�
Sie aktivieren im TCP/IP-Filter alle Ports auf dem Router.
22
Sie sind der Administrator eines Windows 2000-basierten Netzwerks. Die Rechner AP-SYSTEMEROU01 und AP-SYSTEMEROU02 fungieren im Netzwerk als Router. Auf diesen beiden Rechnern ist der Routing und RAS-Dienst konfiguriert und es sind keine weiteren Router im Netzwerk vorhanden. Auszug aus der IP-Routingtabelle von AP-SYSTEMEROU01: Ziel
Netzwerkmaske
Gateway
Schnittstelle
Anzahl
10.30.0.0 10.30.1.1 10.40.5.0 10.40.5.1 10.255.255.255 10.255.255.255
255.255.0.0 255.255.255.255 255.255.255.0 255.255.255.255 255.255.255.255 255.255.255.255
10.30.1.1 127.0.0.1 10.40.5.1 127.0.0.1 10.30.1.1 10.40.5.1
10.30.1.1 127.0.0.1 10.40.5.1 127.0.0.1 10.30.1.1 10.40.5.1
1 1 1 1 1 1
Sie wollen den dynamischen Austausch von Routinginformationen zwischen AP-SYSTEMEROU01 und AP-SYSTEMEROU02 ermöglichen und aktivieren deshalb auf beiden Routern RIP für IP. Sie konfigurieren RIP für IP auf AP-SYSTEMEROU01 und APSYSTEMEROU02 mit folgenden Parametern: • • • •
Sie stellen als Betriebsmodus den Modus für regelmäßige Aktualisierungen ein. Sie setzen das Protokoll für ausgehende Pakete auf RIP, Version 1-Broadcast. Sie setzen das Protokoll für eingehende Pakete auf RIP, Version 1 und 2. Sie legen die beiden Router als gegenseitige Unicast-Nachbarn fest.
Bei der Überprüfung der IP-Routingtabelle auf AP-SYSTEMEROU02 stellen Sie fest, dass der Server nicht die korrekten Routingdaten von APSYSTEMEROU01 erhält. Sie müssen die Routerkonfiguration ändern, um das korrekte Routen sicherzustellen. Welche Schritte unternehmen Sie?
40
Fragen zum MS-Prüfungsreport
A
�
Sie konfigurieren RIP für TCP/IP und legen dabei fest, dass Hostrouten in die ausgesendeten Ankündigungen einbezogen werden.
B
�
Sie konfigurieren RIP für TCP/IP, um einen Eingangsfilter hinzuzufügen, der den Netzwerkverkehr für den RIP-Port 520 zulässt.
C
�
Sie stellen für RIP für TCP/IP das Protokoll für ausgehende Pakete auf RIP, Version 2-Broadcast ein.
D
�
Sie legen AP-SYSTEMEROU01 und AP-SYSTEMEROU02 als RIP für IPPeerrouter fest.
23
Sie sind der Netzwerkadministrator der Firma SRS AG und konfigurieren einen Windows 2000 Server als DNS-Server für Ihr Netzwerk. Sie erstellen bei der Konfiguration des DNS-Servers eine primäre Standard-Forwardals auch eine Standard-Reverse-Lookupzone. Bei der Überprüfung mit dem Programm nslookup stellen Sie jedoch fest, dass die Auswertung von Hostnamen anhand der zugeordneten IP-Adressen nicht möglich ist. Wenn Sie das Dienstprogramm Tracert.exe verwenden, erhalten Sie folgende Fehlermeldung: Der Zielname konnte nicht aufgelöst werden. Wie lösen Sie das Problem?
A
�
Sie erstellen A (Host)-Einträge in der Forward-Lookupzone.
B
�
Sie erstellen A (Host)-Einträge in der Reverse-Lookupzone.
C
�
Sie erstellen PTR (Zeiger)-Einträge in der Forward-Lookupzone.
D
�
Sie erstellen PTR (Zeiger)-Einträge in der Reverse-Lookupzone.
24
Sie sind der Netzwerkadministrator der Firma AP-SYSTEME GmbH. Ihr Netzwerk ist, wie im Diagramm dargestellt, konfiguriert. Windows 2000 Rechner
AP-SYSTEME02 AP-SYSTEME03
Router
AP-SYSTEME04
AP-SYSTEME05
Router
Segment A
Segment C
172.16.64.1
172.16.64.2 Segment B 172.16.96.1 AP-SYSTEMEWS01
Windows 2000 Rechner
AP-SYSTEMEWIN01
AP-SYSTEME06AP-SYSTEMEWS02
41
Fragen zum MS-Prüfungsreport
Kapitel 3
Alle Clients erhalten ihre IP-Adressinformationen von einem DHCP-Server. Peter R., der Benutzer an AP-SYSTEME04, greift überwiegend auf Ressourcen zu, die von den Rechnern im Segment A bereitgestellt werden. Angelika und Jürgen, die Benutzer an den Rechnern AP-SYSTEME05 und AP-SYSTEME06, greifen größtenteils auf Netzwerkressourcen der Rechner, die sich im Segment C befinden, zu. Sie wollen den DHCP-Server konfigurieren, um den Rechnern AP-SYSTEME04, AP-SYSTEME05 und APSYSTEME06 Gateway-Adressen zuzuweisen. Diese zugewiesenen Gateway-Adressen sollen eine optimale Zugriffszeit sicherstellen. Wie konfigurieren Sie den DHCP-Server, um dies sicherzustellen? (Wählen Sie zwei Antworten aus.) A
�
Sie erstellen eine Reservierung für AP-SYSTEME04 und konfigurieren für diese Reservierung die Routeroption mit dem Wert 172.16.64.2.
B
�
Sie geben in der Option VORDEFINIERTER ROUTER des DHCP-Servers den Wert 172.16.64.2 an.
C
�
Sie konfigurieren im Adressbereich des DHCP-Servers für das Segment B die Option ROUTER und geben den Wert 172.16.64.2 an.
D
�
Sie erstellen eine Reservierung für die Rechner AP-SYSTEME05 und APSYSTEME06 und konfigurieren für diese Reservierungen die Routeroption mit dem Wert 172.16.64.2.
E
�
Sie geben in der Option VORDEFINIERTER ROUTER des DHCP-Servers den Wert 172.16.64.1 an.
F
�
Sie konfigurieren im Adressbereich des DHCP-Servers für das Segment B die Option ROUTER und geben den Wert 172.16.64.1 an.
25
Bernd N. ist der Administrator eines Windows 2000-Netzwerks. Einige Benutzer der Grafikabteilung arbeiten mit Macintosh-Rechnern und verwenden nicht den Internet Explorer als Browser. Diese Benutzer können jedoch bei ihrer Organisations-Zertifizierungsstelle keine gültigen Benutzerzertifikate anfordern. Bernd N. muss den Benutzern der Grafikabteilung das Anfordern von Zertifikaten über eine Web-basierte Registrierung ermöglichen. Was sollte Bernd N. tun?
A
�
Bernd N. greift in der IIS-Konsole auf die Eigenschaften des virtuellen Verzeichnisses CertSrv zu und stellt auf der Registerkarte VERZEICHNISSICHERHEIT den Authentifizierungstyp auf BASISAUTHENTIFIZIERUNG ein.
B
�
Bernd N. fügt im Container Richtlinieneinstellungen in der Zertifizierungskonsole ihrer Zertifizierungsstelle ein neues Registrierungs-AgentZertifikat hinzu.
42
Fragen zum MS-Prüfungsreport
C
�
Bernd N. greift in der IIS-Konsole auf die Eigenschaften des virtuellen Verzeichnisses CertSrv zu und stellt auf der Registerkarte VERZEICHNISSICHERHEIT den Authentifizierungstyp auf INTEGRIERTE WINDOWSAUTHENTIFIZIERUNG ein.
D
�
Bernd N. bearbeitet auf der Benutzerzertifikatsvorlage die ACL, um den Benutzern der Grafikabteilung den Registrierungszugriff zu erteilen.
26
Ihr Netzwerk besteht aus Windows 2000-Rechnern und Novell NetWareServern. Auf einem der Windows 2000-Rechner installieren Sie zusätzlich zum Transportprotokoll TCP/IP auch NWLink IPX/SPX. Zusätzlich wird auf diesem Rechner der Microsoft- und auch der NetWare-Client installiert. Sie schließen den Rechner im Netzwerk an und können mit allen Windows-basierten Rechnern und mit den Novell NetWare Servern 4.11 kommunizieren, die Novell NetWare 3.11 Server werden jedoch in der Netzwerkumgebung nicht angezeigt. Zudem ist es Ihnen nicht möglich, Mappings mit Microsoft- oder mit NetWare-spezifischen Befehlen einzurichten. Wie lösen Sie dieses Problem?
A
�
Sie bearbeiten in der Registrierung den Wert für NetworkNumber, so dass dieser die Netzwerknummer für die NetWare 3.11 Server angibt.
B
�
Sie bearbeiten in der Registrierung den Wert für NetworkNumber, so dass dieser die Netzwerknummer für die NetWare 4.1 Server angibt.
C
�
Sie bearbeiten in der Registrierung den Wert für PktType, so dass dieser den Hexadezimalwert für den Rahmentyp 802.2 enthält.
D
�
Sie bearbeiten in der Registrierung den Wert für PktType, so dass dieser den Hexadezimalwert für den Rahmentyp 802.3 enthält.
E
�
Sie bearbeiten in der Registrierung den Wert für NetworkNumber, so dass dieser die Netzwerknummer für die NetWare 3.11 Server und die NetWare 4.1 Server angibt.
F
�
Sie bearbeiten in der Registrierung den Wert für PktType, so dass dieser den Hexadezimalwert für die Rahmentypen 802.2 und 802.3 enthält.
27
Uwe ist der Administrator eines gemischten Microsoft-Netzwerks, das aus Windows 2000- und Windows NT 4.0-Rechnern besteht. Alle Windows 2000 Server in diesem Netzwerk sind in einer einzigen Windows NT 4.0Domäne integriert. Uwe will zwei dieser Server verwenden, um IPSecKonfigurationen zu testen, die als Authentifizierungsprotokoll Kerberos verwenden.
43
Fragen zum MS-Prüfungsreport
Kapitel 3
Wie sollte Uwe vorgehen? A
�
Uwe erstellt auf beiden Servern eine IPSec-Richtlinie, konfiguriert eine Regel, so dass Tunnel verwendet werden. Dann legt er die Authentifizierung durch einen gemeinsamen geheimen Schlüssel fest und weist die neue Richtlinie zu.
B
�
Uwe installiert auf einem der Server eine eigenständige Stammzertifizierungsstelle und erstellt für beide Server ein digitales Zertifikat. Im Anschluss definiert Uwe auf beiden Servern eine neue IPSec-Richtlinie und spezifiziert das ausgestellte Zertifikat für die Authentifizierung und weist die neue Richtlinie zu.
C
�
Uwe definiert auf beiden Servern eine neue IPSec-Richtlinie und spezifiziert den Tunnelendpunkt als IP-Adresse des Partnerservers. Er legt anschließend einen gemeinsamen geheimen Schlüssel fest, der für die Authentifizierung verwendet werden soll. Dann weist er die neue Richtlinie zu.
D
�
Uwe stuft einen der Server zum Domänencontroller herauf und weist dem Domänencontroller die standardmäßige Sicherer Server-IPSec-Richtlinie zu. Uwe weist dem anderen Server die standardmäßige Client-IPSec-Richtlinie zu.
28
Hans ist der Administrator eines Windows 2000-Netzwerks. Das Netzwerk besteht aus zwei Windows 2000 Servern (Altötting und Mühldorf) sowie aus 400 Windows 2000 Professional-Rechnern. Mühldorf ist ein DHCP-Server und verwaltet alle TCP/IP-Konfigurationen der Windows 2000 Professional-Rechner im Netz. Altötting und Mühldorf verwenden manuell konfigurierte IP-Adressen. Altötting ist der Host für Multicast-basierte Video- und Audiokonferenzen, die sehr häufig stattfinden. Hans möchte die Multicast-Adressen dynamisch zuweisen. Wie sollte er das Netzwerk konfigurieren?
A
�
Hans erstellt und aktiviert auf dem DHCP-Server einen Adressbereich, der eine Reihe von Klasse D-Adressen enthält.
B
�
Hans konfiguriert auf Altötting den Routing und RAS-Dienst und aktiviert an der LAN-Schnittstelle das IGMP-Routingprotokoll im Proxymodus.
C
�
Hans aktiviert auf den Windows 2000 Professional-Rechnern die Routererkennung.
D
�
Hans fügt auf den Windows 2000 Professional-Rechnern eine Route für das Netzwerkziel 224.0.0.0 mit der Netzwerkmaske 224.0.0.0 hinzu.
44
Fragen zum MS-Prüfungsreport
29
Sarah ist die Administratorin eines Webservers, der als Internethost auf einem Windows 2000 Server eingesetzt wird. Die Webentwickler des Unternehmens haben Anwendungen entwickelt, die automatisch ActiveXSteuerelemente in die Browser ihrer Kunden herunterladen. Sarah stellt fest, dass die standardmäßigen Sicherheitseinstellungen der Browser ihrer Kunden dieses automatische Herunterladen verhindern. Sarah möchte dieses automatische Herunterladen von ihrem Webserver jedoch ermöglichen. Was sollte Sarah durchführen?
A
�
Sarah installiert eine untergeordnete Organisations-Zertifizierungsstelle, die eine kommerzielle Zertifizierungsstelle als übergeordnete Zertifizierungsstelle verwendet. Dann erstellt Sarah für die Zertifizierungsstelle eine Richtlinie, die es den Webentwicklern ermöglicht, ein Zertifikat für die Codesignatur anzufordern.
B
�
Sarah installiert eine Organisations-Zertifizierungsstelle und erstellt für die Zertifizierungsstelle eine Richtlinie, die es den Webentwicklern ermöglicht, ein Zertifikat für die Vertrauenslistensignatur anzufordern.
C
�
Sarah installiert eine Organisations-Zertifizierungsstelle und erstellt für die Zertifizierungsstelle eine Richtlinie, die es den Webentwicklern ermöglicht, ein Zertifikat für die Codesignatur anzufordern.
D
�
Sarah installiert eine untergeordnete Organisations-Zertifizierungsstelle, die eine kommerzielle Zertifizierungsstelle als übergeordnete Zertifizierungsstelle verwendet. Dann erstellt Sarah für die Zertifizierungsstelle eine Richtlinie, die es den Webentwicklern ermöglicht, ein Zertifikat für die Vertrauenslistensignatur anzufordern.
30
Dominique ist die Netzwerkadministratorin der Firma Taurus GmbH. Dominique konfiguriert die Notebooks der Benutzer, damit diese über Routing und RAS Verbindungen zum Firmennetz herstellen können. Dominique testet die Notebooks im LAN und überzeugt sich, dass die Benutzer Verbindungen zu den Ressourcen unter Verwendung der Rechnernamen herstellen können. Nachdem dieser Test erfolgreich ist, versucht Dominique, das Gleiche über Remoteeinwahl zu testen. Die Rechner können zwar Verbindungen aufbauen, jedoch ist es nicht möglich, unter Verwendung von Rechnernamen auf Dateien zuzugreifen, die sich auf Rechnern in anderen Segmenten des Firmennetzwerks befinden. Was sollte Dominique unternehmen, um dieses Problem zu lösen?
A
�
Dominique setzt die Authentifizierungsmethode »Remote-Systeme dürfen Verbindungen ohne Authentifizierung herstellen«.
B
�
Dominique aktiviert für jedes Notebook das Computerkonto.
45
Fragen zum MS-Prüfungsreport
Kapitel 3
C
�
Dominique ändert auf jedem Notebook den Computernamen.
D
�
Dominique installiert auf dem RAS-Server den DHCP-Relay-Agenten.
31
Herbert F. ist der Netzwerkadministrator eines Windows 2000-Netzwerks. Das Netzwerk verfügt über zwei Windows 2000 Server (APSYSTEME_ONE und AP-SYSTEME_TWO) mit 250 Windows 2000 Professional-Rechnern als Clients.
Router
AP-SYSTEME_ONE : 192.168.2.1 Servertyp : DHCP Bereich : 192.168.2.0/24
AP-SYSTEME_TWO : 10.17.8.1 Servertyp : DHCP Bereich : 10.17.8.0/24
250 Windows 2000 Professional
AP-SYSTEME_ONE hat die IP-Adresse 192.168.2.1 und wird als DHCPServer eingesetzt. Dieser Server verwaltet die alten TCP/IP-Konfigurationen der Clients. AP-SYSTEME_ONE verwaltet den IP-Adressbereich 192.168.2.0/24. Die Leasedauer beträgt 15 Tage. Herbert F. möchte die IP-Adressen im Netzwerk von 192.168.2.0/24 in 10.17.8.0/24 ändern. AP-SYSTEME_TWO besitzt die IP-Adresse 10.17.8.1. Herbert F. konfiguriert AP-SYSTEME_TWO als weiteren DHCP-Server mit dem IPAdressbereich 10.17.8.0/24 und einer Leasedauer von ebenfalls 15 Tagen. Aus Kompatibilitätsgründen sollen die beiden Adressbereiche drei Monate lang zur gleichen Zeit im gleichen Segment Verwendung finden. Das Routing zwischen den Adressbereichen übernimmt ein im Netzwerk vorhandener Router. Nachdem Herbert F. den DHCP-Adressbereich auf AP-SYSTEME_TWO aktiviert hat, erhalten die Clients keine gültige IP-Adresse mehr. Manfred überprüft dies und stellt fest, dass beide DHCP-Server die Leaseanforderungen der Clients mit negativen Bestätigungen (DHCPNak) beantworten.
46
Fragen zum MS-Prüfungsreport
Was sollte Herbert F. unternehmen, um das Problem zu lösen? A
�
Herbert F. sollte auf den Windows 2000 Professional-Rechnern die automatische private IP-Adressierung (APIPA) deaktivieren.
B
�
Herbert F. sollte auf den Windows 2000 Professional-Rechnern die DHCP-Clientoptionen so konfigurieren, dass die DHCP-Lease beim Herunterfahren wieder freigegeben wird.
C
�
Herbert F. sollte auf beiden DHCP-Servern die Anzahl der Konflikterkennungsversuche, die der DHCP-Server durchführen soll, auf 0 setzen.
D
�
Herbert F. sollte bei beiden DHCP-Servern die Bereichsoption 031 Routersuche durchführen auf 1 setzen, um die Option auf den Windows 2000 Professional-Rechnern zu aktivieren.
E
�
Herbert F. konfiguriert auf beiden DHCP-Servern eine Bereichsgruppierung, die beide Adressbereiche enthält. Dann definiert er einen Ausschlussbereich für den gesamten Adressbereich 10.17.8.0/24 auf APSYSTEME_ONE und 192.168.2.0/24 auf AP-SYSTEME_TWO.
32
Hans-Jörg ist der Administrator der Windows 2000-Domäne merknetworking.de. Die Domäne verfügt über einen Mitgliedsserver MERRAS5. Routing und RAS ist auf dem Server MERRAS5 aktiviert. In der Domäne befindet sich außerdem noch ein Windows NT 4.0-Mitgliedsserver NT4RAS4. Dieser Server dient ebenfalls als RAS-Server. Die Domäne arbeitet im gemischten Modus. Alle Benutzer der Domäne verwenden als Clientplattform Windows 2000 Professional, um sich über die Server MERRAS5 bzw. NT4RAS4 mit dem Firmennetzwerk zu verbinden. NT4RAS4 ist jedoch nicht in der Lage, die Anmeldeinformationen von Domänenkonten für den Remotezugriff zu bestätigen. Wie sollte Hans-Jörg das Netzwerk konfigurieren, um dem Server NT4RAS4 die Möglichkeit zu geben, die Bestätigung für den Remotezugriff der Domänenbenutzer durchzuführen?
A
�
Er soll den Modus der Domäne auf einheitlichen Modus umstellen.
B
�
Er soll eine RAS-Richtlinie erstellen, die das Computerkonto von NT4RAS4 als Bedingung enthält. Dann soll er eine Remotezugriffsberechtigung erteilen, wenn die Bedingung mit den Eigenschaften des Einwählversuchs übereinstimmt.
C
�
Er soll das Computerkonto von NT4RAS4 zur Gruppe »RAS- und IASServer2« hinzufügen.
D
�
Er soll die Gruppe »Jeder« zur Gruppe »Prä-Windows 2000 kompatibler Zugriff« hinzufügen.
47
Fragen zum MS-Prüfungsreport
Kapitel 3
33
Das Netzwerk der WN-LEASING GmbH verfügt über einen internen und einen primären externen DNS-Server. Das Netzwerk umfasst drei weitere sekundäre DNS-Server, die ihre Zoneninformationen vom externen primären DNS-Server beziehen. Die sekundären DNS-Server sind auf zwei Windows 2000 Servern und einem Windows NT 4.0 Server installiert. Der externe DNS-Server verwaltet die Einträge für Ihre Web- und Mailserver. In dessen Zonendatei ist nur eine beschränkte Anzahl von Ressourceneinträgen vorhanden. Ihre Web- und Mailserver verwenden statische IP-Adressen. Sie führen den Systemmonitor aus, um die sekundären DNS-Server zu überwachen. Sie stellen während der Überprüfung des Leistungsindikators DNS: Gesendete Zonenübertragungs-SOA-Anforderungen eine große Anzahl von Treffern fest. Sie möchten die für diesen Datenverkehr verbrauchte Bandbreite reduzieren. Wie realisieren Sie das? (Wählen Sie zwei Antworten aus.)
A
�
Sie aktualisieren den Windows NT 4.0 Server, auf dem sich einer der sekundären DNS-Server befindet, auf Windows 2000 Server.
B
�
Sie verkleinern den Wert des Aktualisierungsintervalls im SOA-Eintrag.
C
�
Sie konfigurieren die Benachrichtigungsliste auf dem externen primären DNS-Server, um die sekundären DNS-Server zu benachrichtigen, wenn Änderungen repliziert werden sollen.
D
�
Sie konfigurieren den externen primären DNS-Server, um auf diesem Server keine dynamischen Aktualisierungen zuzulassen.
E
�
Sie erhöhen den Wert des Aktualisierungsintervalls im SOA-Eintrag.
34
Angelika ist die Netzwerkadministratorin der Bank GREGOR AG. Das Netzwerk ist, wie im Diagramm dargestellt, konfiguriert.
Internet DNS-Server GREGOR02
10.107.3.0/24
Router
10.1.3.0/24 Backbone Router
DNS-Server GREGOR03
10.107.2.0/24
Router
48
DNS-Server GREGOR01
Fragen zum MS-Prüfungsreport
GREGOR02 und GREGOR03 sind ausschließlich als Zwischenspeicherungs-Server konfiguriert. Beide Server leiten Anforderungen an GREGOR01 weiter. Dieser Server dient als primärer Server für die Domäne GREGOR.de. Die Benutzer in den Netzwerken 10.107.2.0 und 10.107.3.0 verwenden häufig eine Internetanwendung, die die aktuellen Aktienkurse von verschiedenen Servern in der Domäne GREGOR.de abfragt. Angelika soll den DNS-Netzwerkverkehr reduzieren. Was sollte sie tun? A
�
Angelika soll den TTL-Wert für den SOA-Eintrag auf GREGOR01 erhöhen.
B
�
Angelika soll auf den Rechnern GREGOR02 und GREGOR03 den Sekundenwert des Zeitlimits für Forwarder erhöhen.
C
�
Angelika soll auf den Rechnern GREGOR02 und GREGOR03 die Option SERVEROPTIMIERUNG auf DATENDURCHSATZ FÜR NETZWERKANWENDUNGEN MAXIMIEREN setzen.
D
�
Angelika soll den TTL-Wert für den SOA-Eintrag auf GREGOR02 und GREGOR03 erhöhen.
35
Claudia ist die Netzwerkadministratorin der SRB GmbH. Das Netzwerk besteht aus einer einzigen Windows 2000-Domäne und verfügt über Windows 2000 Server, Windows 2000 Professional- und Windows NT 4.0Arbeitsstationen. Das Netzwerk ist verteilt auf zwei Subnetze.
Subnetz 1 DC 1 DNS-Server
Subnetz 2 Windows NT 4.0 Arbeitsstationen
DC 2 DNS-Server
Router
Windows 2000 Professional-Rechner
Windows NT 4.0 Arbeitsstationen
WINS-Server
Windows 2000 Professional-Rechner
Im Subnetz 1 sind zwei Windows 2000-Domänencontroller installiert. Diese Domänencontroller arbeiten beide als DNS-Server. Die DNS-Server verwalten eine im Active Directory integrierte Zone. Zur Vereinfachung der Namensauflösung installiert Claudia im Subnetz 2 einen WINS-Server.
49
Fragen zum MS-Prüfungsreport
Kapitel 3
Die Netzwerkbenutzer im Subnetz 2, die mit Windows NT 4.0 Workstations arbeiten, bekommen eine Fehlermeldung mit dem Hinweis, dass der Domänencontroller nicht gefunden werden konnte. Diese Benutzer können deswegen nicht auf die Netzwerkressourcen zugreifen. Bei den Benutzern im Subnetz 1, die ebenfalls an Windows NT 4.0 Arbeitsstationen arbeiten, tritt dieses Problem nicht auf. Die Benutzer im Subnetz 1 klagen nur über enorm langsame Anmeldevorgänge. Die Benutzer im Subnetz 2 haben damit jedoch keine Probleme. Claudia möchte diese Probleme der Benutzer im Subnetz 1 und Subnetz 2 schnellstmöglich lösen. Was sollte Claudia tun? A
�
Claudia konfiguriert den Router für das Weiterleiten der NetBIOS-Broadcast-Pakete.
B
�
Claudia konfiguriert die Windows NT 4.0-Arbeitsstationen als DNSClients in der vorhandenen Zone.
C
�
Claudia konfiguriert die Windows 2000-Server-Domänencontroller als WINS-Clients.
D
�
Claudia konfiguriert die Windows NT 4.0-Arbeitsstationen als WINSClients.
36
Franz F. ist in der Zweigstelle Burghausen als Netzwerkadministrator tätig. Burghausen ist ein Standort eines Großunternehmens mit dem Hauptsitz Mühldorf. Der Standort Burghausen ist mit dem Unternehmensnetz über eine bidirektionale, bei Bedarf herzustellende Wählverbindung über ISDN verbunden. Der Rechner, der die Verbindung herstellt, ist ein Windows 2000 Server, auf dem Routing und RAS konfiguriert ist. Um Kosten einzusparen, soll die ISDN-Verbindung nur einmal am Tag aufgebaut werden, um dann Verkaufsinformationen nach Mühldorf bzw. von Mühldorf zu übertragen. Die Übertragung dieser Informationen soll außerhalb der regulären Geschäftszeit erfolgen. Franz F. stellt fest, dass mehrmals täglich eine ISDN-Verbindung zwischen den Netzwerken initiiert wird. Franz F. analysiert den Netzwerkverkehr und stellt fest, dass Routerankündigungsbroadcasts versendet werden. Welche zwei Schritte sollte Franz F. unternehmen, um zu verhindern, dass Verbindungen während der regulären Geschäftszeit aufgebaut werden können? (Wählen Sie zwei Antworten aus.)
A
�
Franz F. bestimmt im Zeitplan, dass an der Schnittstelle für Wählen bei Bedarf nur während der angegebenen Zeit gewählt wird.
B
�
Franz F. bestimmt im Zeitplan, dass an der Schnittstelle für Wählen bei Bedarf während der angegebenen Zeit nur eingehende Verbindungen akzeptiert werden.
50
Fragen zum MS-Prüfungsreport
C
�
Franz F. definiert an der Schnittstelle für Wählen bei Bedarf einen Filter für das Wählen bei Bedarf.
D
�
Franz F. aktiviert an der Schnittstelle für Wählen bei Bedarf das dynamische Routing.
E
�
Er definiert eine RAS-Richtlinie, um den Zugriff auf den Port, der von Routerbroadcasts verwendet wird, einzuschränken.
F
�
Er definiert eine RAS-Richtlinie, um den Zugriff ausdrücklich auf den Benutzer zu beschränken, der Informationen über die Verbindung überträgt.
37
Otto S. ist der Administrator eines aus drei Subnetzen bestehenden Windows 2000-Netzwerks. Um eine bessere Lastverteilung zu gewährleisten, verwaltet jeder Webserver im Netzwerk den gleichen Inhalt wie die anderen Webserver. Otto S. möchte den DNS-Server so konfigurieren, dass Benutzer in ihrem Browser einen Hostnamen eingeben können, um eine Verbindung mit dem Webserver herzustellen, der sich im gleichen Subnetz wie der Rechner des Benutzers befindet. Sämtliche Benutzer geben unabhängig von ihrem Subnetz den gleichen Hostnamen ein. Wie sollte Otto S. den DNS-Server konfigurieren?
A
�
Er erstellt auf dem primären DNS-Server drei A-Einträge, die für die Subnetze die IP-Adresse des jeweiligen Webservers dem gleichen Hostnamen zuordnen.
B
�
Er erstellt auf dem primären DNS-Server einen einzigen A-Eintrag, der sich im gleichen Subnetz befindet wie der DNS-Server. Dann bearbeitet er auf den sekundären DNS-Servern der restlichen Subnetze die Zonendatei für die Domäne auf jedem DNS-Server, um einen A-Eintrag für den Webserver eines jeden Subnetzes aufzunehmen.
C
�
Er erstellt auf dem primären DNS-Server drei A-Einträge, die der IPAdresse des Webservers in jedem Subnetz einen anderen Hostnamen zuordnen.
D
�
Er erstellt auf dem primären DNS-Server einen einzigen A-Eintrag für einen einzigen Webserver sowie zwei CNAME-Einträge für die beiden verbleibenden Webserver.
38
Franz F. ist in der Zweigstelle Burghausen als Netzwerkadministrator tätig. Burghausen ist ein Standort eines Großunternehmens mit dem Hauptsitz Mühldorf. Der Standort Burghausen ist mit dem Unternehmensnetz über eine bidirektionale, bei Bedarf herzustellende Wählverbin-
51
Fragen zum MS-Prüfungsreport
Kapitel 3
dung über ISDN verbunden. Der Rechner, der die Verbindung herstellt, ist ein Windows 2000 Server, auf dem Routing und RAS konfiguriert ist. Zusätzlich zu E-Mail und Anwendungsverkehr werden über diese Verbindung auch wichtige Unternehmensdaten übertragen. Franz F. soll folgende Ziele durch eine Neukonfiguration erreichen: • • • • •
Alle Daten sollen gesichert über die Verbindung übertragen werden können. Nicht autorisierte Router sollen mit keinem der beiden Router Routerinformationen austauschen können. Beide Router sollen sich über die Verbindung gegenseitig bestätigen können. Beide Router sollen über die Verbindung aktuelle Routingtabellen verwalten. Während der Hauptarbeitszeit soll der Datenverkehr über die bei Bedarf herzustellende Verbindung minimiert werden.
Franz F. unternimmt Folgendes: • • •
Er installiert am Hauptsitz einen Zertifikatsserver. Er aktiviert auf beiden Routing und RAS-Servern EAP-TLS als Authentifizierungsprotokoll. Er aktiviert an den Schnittstellen für Wählen bei Bedarf RIP Version 2.
Welches Ergebnis bzw. welche Ergebnisse werden durch diese Maßnahmen erzielt? (Wählen Sie alle zutreffenden Antworten aus.) A
�
Sämtliche Daten werden sicher über die Verbindung übertragen.
B
�
Nicht autorisierte Router können mit keinem der beiden Router Informationen austauschen.
C
�
Beide Router in der Verbindung können sich gegenseitig bestätigen.
D
�
Beide Router in der Verbindung verwalten aktuelle Routingtabellen.
E
�
Während der Hauptarbeitszeit wird der Verkehr über die bei Bedarf herzustellende Verbindung minimiert.
39
Lisa ist die Administratorin einer Windows 2000-Domäne. Die Domäne verfügt über sechs Windows 2000-basierte Routing und RAS-Server und zwei Windows 2000-basierte Internetauthentifizierungsdienst-Server mit den Rechnernamen AP-SYSTEMEIAS01 und AP-SYSTEMEIAS02. Die sechs Routing und RAS-Server verwenden die beiden IAS-Server zur Authentifizierung der Anmeldeinformationen für den Remotezugriff. Lisa ändert auf AP-SYSTEMEIAS01 die RAS-Richtlinien. Sie möchte sicherstellen, dass die Änderung auch auf dem zweiten IAS-Server erzwungen wird.
52
Fragen zum MS-Prüfungsreport
Was sollte Lisa tun? A
�
Sie erzwingt in der Konsole Active Directory-Standorte und -Dienste die Replikation von AP-SYSTEMEIAS01 auf AP-SYSTEMEIAS02.
B
�
Sie wählt auf AP-SYSTEMEIAS01 den Befehl Dienst im Active Directory registrieren und wiederholt dies auf AP-SYSTEMEIAS02.
C
�
Sie verwendet das Befehlszeilen-Dienstprogramm Netsh, um die IAS-Konfiguration von AP-SYSTEMEIAS01 auf AP-SYSTEMEIAS02 zu kopieren.
D
�
Sie kopiert die Datei Ras.mdb manuell von AP-SYSTEMEIAS01 auf APSYSTEMEIAS02.
40
Kerstin ist die Administratorin eines Windows 2000-Netzwerks. Im Netzwerk befinden sich drei Windows 2000 Server, die als WINS-Server eingesetzt werden. Sie möchte die WINS-Datenbank regelmäßig komprimieren, um dadurch Speicherplatz einzusparen. Die Server mit den Bezeichnungen AP-SYSTEMEWIN01, AP-SYSTEMEWIN02 und AP-SYSTEMEWIN03 befinden sich alle am Firmenhauptsitz in Altötting. Wie sollte Kerstin die manuelle Komprimierung der WINS-Datenbank auf AP-SYSTEMEWIN01 durchführen?
A
�
Kerstin konfiguriert AP-SYSTEMEWIN01 und blockiert die Replikation von WINS-Einträgen von AP-SYSTEMEWIN02 und AP-SYSTEMEWIN03. Kerstin initiiert die Datenbankkonsistenzprüfung und lässt die Replikation der Einträge von den WINS-Servern AP-SYSTEMEWIN02 und APSYSTEMEWIN03 zu.
B
�
Kerstin stoppt AP-SYSTEMEWIN01 und komprimiert die WINS-Datenbank mit dem Befehlszeilenprogramm Jetpack. Dann startet sie APSYSTEMEWIN01 neu.
C
�
Kerstin stoppt AP-SYSTEMEWIN01 und erstellt mit dem Befehl Datenbank sichern eine Sicherung der WINS-Datenbank von AP-SYSTEMEWIN01. Dann komprimiert Sie die Sicherung der Datenbank mit dem Befehlszeilenprogramm compact. Im Anschluss stellt sie die Sicherung der Datenbank mit dem Befehl Datenbank wiederherstellen wieder her und startet APSYSTEMEWIN01 neu.
D
�
Kerstin verwendet in der WINS-Konsole den Befehl Datenbank aufräumen.
41
Johannes G. ist der Netzwerkadministrator Ihrer Firma. Das Netzwerk besteht ausschließlich aus Windows 2000-Rechnern und verfügt über zwei Standorte Mühldorf und Altötting. Im Netzwerk befinden sich vier WINS-Server mit den Bezeichnungen WINAOE01, WINAOE02,
53
Fragen zum MS-Prüfungsreport
Kapitel 3
WINMUE01 und WINMUE02. Die WINS-Server WINAOE01 und WINAOE02 stehen am Standort Altötting, die WINS-Server WINMUE01 und WINMUE02 am Standort Mühldorf. Johannes G. möchte die Replikation zwischen den WINS-Servern konfigurieren, um damit folgende Ergebnisse zu erzielen: •
• •
Die WINS-Server WINAOE01 und WINAOE02 sollen Änderungen der lokalen Datenbank unmittelbar nach einer neuen Registrierung oder IP-Adressänderungsregistrierung gegenseitig replizieren. Die WINS-Server WINMUE01 und WINMUE02 sollen Änderungen der lokalen Datenbank gegenseitig alle 30 Minuten replizieren. An beiden Standorten sollen Änderungen der WINS-Datenbank jeweils alle drei Stunden auf den anderen Standort repliziert werden.
Wie sollte Johannes G. die WINS-Server konfigurieren, um diese Ziele zu erreichen? (Wählen Sie drei Antworten aus.) A
�
Johannes G. konfiguriert die WINS-Server und aktiviert die Burstverarbeitung. Er setzt die Anzahl der Anforderungen für die Burstverarbeitung auf 1.
B
�
Johannes G. konfiguriert die WINS-Server WINAOE01 und WINAOE02 als gegenseitige Push/Pull-Partner. Er konfiguriert beide WINS-Server und legt fest, dass für Push-Replikationspartner fortbestehende Verbindungen verwendet werden. Zusätzlich setzt er die Anzahl der Änderungen vor der Replikation auf 1.
C
�
Johannes G. konfiguriert die WINS-Server WINMUE01 und WINMUE02 als gegenseitige Push/Pull-Partner und legt ein Replikationsintervall von 30 Minuten fest.
D
�
Johannes G. konfiguriert die WINS-Server WINMUE01 und WINMUE02 als gegenseitige Push/Pull-Partner und legt fest, dass alle 30 Minuten eine Datenbankkonsistenzprüfung durchgeführt wird.
E
�
Johannes G. konfiguriert die WINS-Server WINAOE01 und WINMUE01 als gegenseitige Push/Pull-Partner und konfiguriert beide WINS-Server, um die Statistiken alle drei Stunden zu aktualisieren.
F
�
Johannes G. konfiguriert die WINS-Server WINAOE01 und WINMUE01 als gegenseitige Push/Pull-Partner und legt ein Replikationsintervall von 30 Minuten fest.
42
Angelika ist der Administrator einer Windows 2000-Domäne. In dieser Domäne führt ein Windows 2000-Mitgliedserver (AP-SYSTEMEROUTE) den Routing und RAS-Dienst aus. AP-SYSTEMEROUTE ist für Remotezugriff konfiguriert. Die Domäne wird im einheitlichen Modus ausgeführt. Die Einwählberechtigung ist für alle Benutzerkonten so festgelegt, dass der Zugriff über RAS-Richtlinien gesteuert wird.
54
Fragen zum MS-Prüfungsreport
Angelika möchte während der Arbeitszeit allen Benutzern die Einwahl erlauben, zwischen 18:00 Uhr und 08:00 Uhr soll die Einwahl nur Mitgliedern der globalen Sicherheitsgruppe »Supportpersonal« gestattet sein. Diese Gruppe und die darin enthaltenen Benutzer dürfen sich jedoch nicht während der Arbeitszeit (08:00 bis 18:00 Uhr) einwählen. Sie erstellen auf AP-SYSTEMEROUTE vier RAS-Richtlinien, wie nachfolgend dargestellt. Name Domänenbenutzer Alle Richtlinie Supportpersonal Alle Richtlinie Domänenbenutzer 18-08 Richtlinie Supportpersonal 08-18 Richtlinie
Bedingung Windows-Gruppe = Domänenbenutzer Windows-Gruppe = Supportpersonal Datum- und Uhrzeit = 18:0008.00Uhr Windows-Gruppe = Domänenbenutzer Datum- und Uhrzeit = 08.0018.00 Windows-Gruppe = Supportpersonal
Berechtigung Zugriff Zugriff Verweigern
Profil (Standard) (Standard) (Standard)
Verweigern
(Standard)
Klicken Sie auf die Schaltfläche AUSWÄHLEN UND PLATZIEREN, um die korrekte Zugriffssteuerung für AP-SYSTEMEROUTE festzulegen. Ziehen Sie anschließend die RAS-Richtlinien und ordnen Sie diese in der korrekten Reihenfolge an.
43
Michael V. ist der Netzwerkadministrator der Firma AP-SYSTEME AG. In diesem Netzwerk befindet sich ein Windows 2000 Server, der als Router fungiert. AP-SYSTEMEROUTE besitzt zwei Netzwerkschnittstellen NIC01 und NIC02 und führt den Routing und RAS-Dienst aus. Im Netzwerk existiert nur ein DHCP-Server mit der Bezeichnung APSYSTEME_ONE. Dieser Server steht im Netzwerksegment, das über NIC01 mit AP-SYSTEMEROUTE verbunden ist. Das Netzwerk ist, wie im folgenden Diagramm dargestellt, konfiguriert. NIC01
Windows 2000 Professionel Rechner
NIC02
AP-SYSTEMEROUTE Windows 2000 Server Routing und RAS
DHCP-Server AP-SYSTEME_ONE
55
Windows 2000 Professionel Rechner
Fragen zum MS-Prüfungsreport
Kapitel 3
Michael V. möchte den Clients aus dem mit der NIC02-Schnittstelle verbundenen Netzwerksegment die Möglichkeit geben, ihre IP-Adressen von AP-SYSTEME_ONE zu beziehen. Wie sollte Michael V. den Rechner AP-SYSTEMEROUTE konfigurieren, um dieses Ziel zu erreichen? (Wählen Sie alle zutreffenden Antworten aus.) A
�
Er erstellt einen IP-Tunnel, um die NIC01-Schnittstelle mit der NIC02Schnittstelle zu verbinden.
B
�
Er erstellt eine statische Route zur IP-Adresse der NIC02-Schnittstelle.
C
�
Er konfiguriert das DHCP-Relay-Agent-Routingprotokoll, um es auf der NIC01-Schnittstelle auszuführen.
D
�
Er konfiguriert das DHCP-Relay-Agent-Routingprotokoll, um es auf der NIC02-Schnittstelle auszuführen.
E
�
Er konfiguriert das DHCP-Relay-Agent-Routingprotokoll, um die IPAdresse des DHCP-Servers als Serveradresse zu verwenden.
F
�
Er konfiguriert das DHCP-Relay-Agent-Routingprotokoll, um die Portnummer des DHCP-Servers zu verwenden.
44
Michael V. ist der Organisationsadministrator der Windows 2000Domäne AP-SYSTEME.DE. Die Domäne besteht aus drei Windows 2000 Servern mit den Bezeichnungen AP-SYSTEME_ONE, AP-SYSTEME_ TWO und AP-SYSTEME_THRE und 100 Windows 2000 ProfessionalRechnern. Das Netzwerk umfasst drei Netzwerksegmente, die durch einen Router miteinander verbunden sind. In jedem Segment befindet sich einer der Server und die Clients sind gleichmäßig über alle drei Segmente verteilt. AP-SYSTEME_ONE ist der einzige DHCP-Server im Netzwerk und stellt die TCP/IP-Konfigurationen für alle Clients in den drei Segmenten bereit. Insgesamt sind auf AP-SYSTEME_ONE drei Bereiche konfiguriert, also für jedes Segment ein eigener Bereich. Die Leasedauer beträgt für alle Bereiche zehn Tage. Aus Leistungsgründen möchte Michael V. den DHCP-Serverdienst in Zukunft von AP-SYSTEME_TWO ausführen lassen. Er unternimmt folgende Konfigurationsschritte: • • •
Er beendet und deaktiviert den DHCP-Serverdienst auf AP-SYSTEME_ONE. Er installiert, autorisiert und beendet den DHCP-Serverdienst auf AP-SYSTEME_TWO. Er kopiert den gesamten Inhalt des Ordners Systemroot\system32\dhcp von AP-SYSTEME_ONE nach AP-SYSTEME_TWO.
56
Fragen zum MS-Prüfungsreport
Michael V. möchte AP-SYSTEME_TWO zur Verwendung von Bereichsinformationen und geleasten Adressen konfigurieren, die zurzeit auf den Windows 2000 Professional-Rechnern eingesetzt werden. Was sollte Michael V. auf AP-SYSTEME_TWO als Nächstes unternehmen? (Wählen Sie zwei Antworten aus.) A
�
Er aktiviert den DHCP-Relay-Agenten und legt für Zeit seit letztem Neustart (Sekunden) den Wert 0 fest.
B
�
Er verwendet das Dienstprogramm Jetpack, um die DHCP-Datenbank manuell zu reparieren.
C
�
Er verwendet den Registrierungseditor Regedt32.exe, um die DHCPRegistrierungskonfiguration aus Systemroot\system32\dhcp\backup wiederherzustellen.
D
�
Er kopiert die Datei Systemroot\system32\dhcp\i50.chk in die Datei Dhcp.mdb.
E
�
Er startet den DHCP-Server und stimmt alle Bereiche ab.
F
�
Er startet den DHCP-Server und erstellt eine neue Bereichsgruppierung, die die ursprünglichen drei Bereiche enthält.
45
Als Desktopadministrator ist Jürgen dafür verantwortlich, sicherzustellen, dass die Windows 2000 Professional-Rechner der Firma Verbindungen zum Netzwerk und zum Internet herstellen können. Die TCP/IP-Konfiguration sämtlicher Clients erfolgt über einen DHCP-Server. Die Netzwerkadministratoren Andy M und Michael Ro installieren eine neue T1-Leitung und einen Router für den Internetzugang. Ausschließlich das Verwaltungspersonal darf diesen Router verwenden. Jürgen möchte die Rechner des Verwaltungspersonals für die Verwendung dieses neuen Routers konfigurieren und sicherstellen, dass die Mitglieder anderer Personalgruppen über diesen Router keinen Zugriff zum Internet erlangen können. Zusätzlich will Jürgen sicherstellen, dass jeder Client nur einmal konfiguriert werden muss. Was sollte Jürgen unternehmen, um dieses Ziel zu erreichen?
A
�
Er verwendet an jedem Client der Gruppe »Verwaltung« den Befehl route add –f, um die neuen Routerinformationen einzugeben.
B
�
Er verwendet an jedem Client der Gruppe »Verwaltung« den Befehl route add –p, um die neuen Routerinformationen einzugeben.
C
�
Er aktiviert in den Bereichsoptionen für DHCP die Option ROUTERSUCHE DURCHFÜHREN.
D
�
Er gibt in den Bereichsoptionen für DHCP im Feld ROUTERANFRAGEADRESSE die Adresse des neuen Routers ein.
57
Fragen zum MS-Prüfungsreport
Kapitel 3
46
Sie sind Supportmitarbeiter und bekommen eine Anfrage eines Administrators. Seine Domäne hat unter anderem einen Windows 2000-Mitgliedsserver mit dem Namen RAS-Server1 und einen DHCP-Server mit der Bezeichnung MVSDC001, auf dem ebenfalls Windows 2000 eingerichtet ist. Routing und RAS ist auf RAS-Server1 für den Remotezugriff eingerichtet und funktioniert. Das Netzwerk verfügt allerdings über zwei DNSServer mit den folgenden IP-Adressen: 192.168.99.2 und 192.168.99.1. RAS-Server1 ist für die Verwendung von DHCP konfiguriert, damit RASClients automatisch eine IP-Adresse beziehen können. Das folgende Fenster gibt Ihnen einen Überblick über die konfigurierten DHCP-Bereichsoptionen des DHCP-Servers Windows 2000.
Es wurden keine Clientreservierungen in diesem DHCP-Bereich definiert. Bei der Einwahl von RAS-Clients erhalten diese eine Adresse aus dem DHCP-Bereich. Die in der DHCP-Bereichsoption definierte DNS-Adresse erhalten die Clients aber nicht. Die RAS-Clients haben stattdessen laut ipconfig als DNS-Server 192.168.99.2 eingestellt. Der Administrator möchte nun, dass die Clients entsprechend den DHCPOptionen konfiguriert werden. Welche Konfigurationseinstellung würden Sie vornehmen? A
�
Sie richten die RAS-Clientcomputer so ein, dass Sie DHCP bei der RASVerbindung verwenden.
B
�
Sie richten auf RAS-Server1 die Windows-Authentifizierung ein.
C
�
Sie richten das DHCP-Relay-Agent-Routingprotokoll auf der internen Schnittstelle von RAS-Server1 ein.
D
�
Sie richten am DHCP-Server die DNS-Bereichsoption 192.168.99.1 für die Standardklasse für Routing und RAS ein.
58
Fragen zum MS-Prüfungsreport
47
Sie sind der Netzwerkadministrator der AP-SYSTEME GmbH. Ihr Netzwerk besteht aus zehn Windows 2000 Servern, 150 Windows 2000 Professional-Rechnern und 150 Windows NT 4.0 Workstations. Auf allen Clients ist die Datei- und Druckerfreigabe aktiviert, um die Zusammenarbeit zwischen den jeweiligen Arbeitsgruppen und die gemeinsame Verwendung von Dokumenten zu ermöglichen. Sie setzen einen der Windows 2000 Server als DHCP-Server ein, um die IP-Adresszuordnung auf den Clients zu automatisieren. Sie wollen folgende Ziele erreichen: • • •
•
Alle Clients sollen im Netzwerk anhand des FQDN (vollqualifizierter Netzwerkdomänenname) gefunden werden können. Die DNS-Zonendatei A (Hosteinträge) soll für alle Clients automatisch hinzugefügt werden. Die DNS-Zonendatei PTR (Zeigereinträge) soll für alle Clients automatisch hinzugefügt werden, um Reverse-Lookups von Namen zu unterstützen. Bei Ablauf der DHCP-Lease sollen die A- und PTR-Einträge automatisch aus den DNS-Zonendateien entfernt werden.
Sie führen folgende Schritte durch: • •
• •
Sie konfigurieren den DHCP-Server und legen fest, dass die Clientinformationen in DNS stets aktualisiert werden. Sie konfigurieren den DHCP-Server und legen fest, dass die für Forward-Lookups erforderlichen Einträge bei Ablauf der Lease entfernt werden. Sie konfigurieren den DHCP-Adressbereich und legen fest, dass der Domänenname allen DHCP-Clients zugewiesen wird. Sie konfigurieren den DHCP-Server und legen fest, dass der DHCPServer DNS für die Clients aktualisiert, die keine dynamischen Aktualisierungen unterstützen.
Welches Ergebnis bzw. welche Ergebnisse werden durch Ihre Maßnahmen erzeugt? (Wählen Sie alle zutreffenden Antworten aus.) A
�
Alle Clients im Netzwerk können anhand des FQDN gefunden werden.
B
�
Die DNS-Zonendatei-A-Einträge werden für alle Clients automatisch hinzugefügt.
C
�
Die DNS-Zonendatei-PTR-Einträge für Reverse-Lookups von Namen werden für alle Clients automatisch hinzugefügt.
D
�
Die A- und PTR-Einträge werden bei Ablauf der DHCP-Lease automatisch aus den DNS-Zonendateien entfernt.
59
Fragen zum MS-Prüfungsreport
Kapitel 3
48
Andy M. ist der Netzwerkadministrator der Firma AP-SYSTEME GmbH. Das Unternehmen besitzt drei Geschäftsstellen mit jeweils weniger als 40 Rechnern. Die Geschäftsführung plant eine Erweiterung auf insgesamt sechs Geschäftsstellen. Um die zu erwartende Zunahme des Netzwerkverkehrs zu berücksichtigen, entschließt sich Andy M., die Bridges durch zwei Router zu ersetzen. Die neuen Router AP-SYSTEMEROU01 und AP-SYSTEMEROU02 müssen von Andy M. noch konfiguriert werden. Das Netzwerk ist, wie im Diagramm dargestellt, konfiguriert. AP-SYSTEME04 172.16.64.131
AP-SYSTEME05 172.16.64.132
AP-SYSTEME06 172.16.64.133
172.16.64.129
Segment B
AP-SYSTEMEROU2 172.16.64.161
AP-SYSTEMEROU1 Segment C
Segment A
AP-SYSTEME01 172.16.64.98
AP-SYSTEME02 172.16.64.99
AP-SYSTEME03 172.16.64.100
AP-SYSTEME07 172.16.64.162
AP-SYSTEME08 172.16.64.163
AP-SYSTEME09 172.16.64.164
Andy M. konfiguriert AP-SYSTEMEROU01. Welchen Routingeintrag fügt er hinzu? A
�
Execute route add 172.16.64.160 mask 255.255.255.224 172.16.64.129 –p.
B
�
Execute route add 172.16.64.160 mask 255.255.255.240 172.16.64.129 –p.
C
�
Execute route add 172.16.64.96 mask 255.255.255.224 172.16.64.97 –p.
D
�
Execute route add 172.16.64.96 mask 255.255.255.240 172.16.64.130 –p.
E
�
Execute route add 172.16.64.96 mask 255.255.255.224 172.16.64.130 –p.
49
Sarah ist der Administrator eines Windows 2000-Netzwerks. Sarah muss den Rechnern in einer der Zweigstellen des Unternehmens die Hostadressen zuweisen. Eine Einzelroute zur Zweigstelle wird mit 192.168.16.0/21 zusammengefasst. Die Zweigstelle arbeitet mit 150 Windows 2000 Professional-Rechnern in einem einzigen Subnetz: 192.168.16.0/24. Die Geschäftsleitung möchte jedoch in der Zweigstelle bis zu 2000 zusätzliche Rechner hinzufügen können.
60
Fragen zum MS-Prüfungsreport
Sarah möchte diesen Wunsch der Geschäftsleitung berücksichtigen und gleichzeitig auch die Routenzusammenfassung ausnutzen können. Welche Schritte sollte Sarah zur Verwirklichung dieses Ziels durchführen? (Wählen Sie alle zutreffenden Antworten aus.) A
�
Sie fügt in der Zweigstelle eine weitere, als 192.168.32.0/22 angekündigte Route hinzu.
B
�
Sie fügt in der Zweigstelle die zusätzlichen Netzwerkkennungsnummern 192.168.33.0/24 bis 192.168.39.0/24 hinzu.
C
�
Sie fügt in der Zweigstelle die zusätzlichen Netzwerkkennungsnummern 192.168.17.0/24 bis 192.168.23.0/24 hinzu.
D
�
Sie fügt in der Zweigstelle die zusätzlichen Netzwerkkennungsnummern 192.168.24.0/24 bis 192.168.31.0/24 hinzu.
E
�
Sie ändert die Ankündigung an die Zweigstelle auf 192.168.16.0/20.
50
Otto S. ist der Administrator eines Routing und RAS-Servers in Ihrer Firma. Die Administratoren der Firma können sich in das Netzwerk remote einwählen, um Remoteüberwachungs- und Verwaltungsaufgaben durchzuführen. Dies erfordert eine extrem große Netzwerkbandbreite. Otto S. möchte nur den Administratoren die Verwendung mehrerer Telefonleitungen gestatten. Alle anderen Benutzer sollen auf die Verwendung einer einzigen Telefonleitung beschränkt bleiben. Otto S. möchte Netzwerkverbindungen mit mehreren Telefonleitungen so konfigurieren, dass sie an wechselnde Bandbreitenbedingungen angepasst werden. Sobald die Auslastung der Telefonleitungskapazität unter 50% sinkt, soll die Anzahl der verwendeten Telefonleitungen reduziert werden. Darüber hinaus möchte Otto S. allen Benutzern die Möglichkeit geben, die Verbindung zum Netzwerk über Routing und RAS herzustellen. Zurzeit sind keine RAS-Richtlinien vorhanden. Wie sollte Otto S. vorgehen? (Wählen Sie drei Antworten aus.)
A
�
Er erstellt eine einzige RAS-Richtlinie auf dem Routing- und RAS-Server.
B
�
Er erstellt zwei RAS-Richtlinien auf dem Routing- und RAS-Server.
C
�
Er erlaubt Mehrfachverbindung.
D
�
Er reduziert die maximale Anzahl von Ports, die der Routing- und RASServer verwendet.
E
�
Er aktiviert das Kontrollkästchen BAP ist für dynamische Mehrfachverbindung erforderlich.
F
�
Er erhöht die maximale Anzahl von DFÜ-Sitzungen.
61
Fragen zum MS-Prüfungsreport
Kapitel 3
51
Michael ist der Netzwerkadministrator der AP-SYSTEME GmbH. Der Internetdienst-Anbieter stellt für die externen DNS-Server Fehlertoleranz bereit, indem er einen DNS-Server auf einem UNIX-Host verwaltet. Dieser UNIX-Host wird als sekundärer DNS-Server für Michaels primären externen DNS-Server eingesetzt. Benutzer können keine Verbindung mit der URL des Webservers der APSYSTEME GmbH herstellen. Michael geht diesem Problem nach und stellt fest, dass das Problem zu unterschiedlichen Zeiten auftritt, an denen der primäre DNS-Server nicht verfügbar ist. Was sollte Michael unternehmen, um dieses Problem zu lösen? (Klicken Sie zur Beantwortung dieser Frage auf der Registerkarte ERWEIdes Dialogfelds EIGENSCHAFTEN VON S2000 auf das zutreffende Kontrollkästchen.) TERT
52
Maura T. ist die Administratorin in Ihrer Firma. Das Netzwerk besteht, wie im nachfolgenden Diagramm dargestellt, aus einer einzigen Windows 2000-Domäne.
62
Fragen zum MS-Prüfungsreport
SEM01
SEM02
LEIT01
SER01 Internet
Ethernet
Router
PRESS01
PRESS02
SER02
SEM01 und SEM02 gehören zur Seminarabteilung und die Rechner PRESS01 und PRESS02 zur Unterlagenabteilung. SER01 und SER02 sind der Serviceabteilung zugeordnet. LEIT01 gehört zur Geschäftsführung. Als einzige Abteilung greift die Seminarabteilung nicht aufs Internet zu. Maura T. soll auf Anweisung der Geschäftsführung folgende Ziele erreichen: • • • •
Die gesamte Kommunikation für SEM01 und SEM02 soll verschlüsselt werden. Die gesamte Kommunikation über das Internet soll nicht verschlüsselt werden. Die Kommunikation zwischen der Unterlagenabteilung und der Geschäftsführung soll verschlüsselt werden. Der Leistungsaufwand für die Verschlüsselung soll minimiert werden.
Maura T. unternimmt folgende Schritte: •
Sie erstellt eine Struktur von Organisationseinheiten (siehe folgendes Diagramm).
MVS
Seminare
Unterlagen
63
Fragen zum MS-Prüfungsreport
Kapitel 3
• • • •
Sie fügt SEM01 und SEM02 zur OU »Seminare« hinzu. Sie fügt PRESS01 und PRESS02 zur OU »Unterlagen« hinzu. Sie fügt alle anderen Rechner zur OU »AP-SYSTEME« hinzu. Sie ordnet der Domäne die Sicherer Server-IPSec-Standardrichtlinie zu.
Welches Ergebnis bzw. welche Ergebnisse werden durch diese Maßnahmen erzeugt? (Wählen Sie alle zutreffenden Antworten aus.) A
�
Die gesamte SEM01 und SEM02 betreffende Kommunikation wird verschlüsselt.
B
�
Die Kommunikation über das Internet wird nicht verschlüsselt.
C
�
Die Kommunikation zwischen der Geschäftsführung wird verschlüsselt.
D
�
Der Leistungsaufwand für die Verschlüsselung wird minimiert.
53
Unterlagenabteilung
und
der
Ernestine ist die Administratorin eines Windows 2000-Netzwerks. Das Netzwerk, das Ernestine administriert, verfügt über zehn Segmente, die durch Router miteinander verbunden sind. In vier von den zehn Segmenten wurden WINS-Server installiert, auf der Plattform Windows 2000 Server. In den anderen Segmenten sind keine WINS-Server vorhanden, jedoch gibt es in allen Segmenten mehrere NetBIOS B-Knoten-Clients. Die Netzwerkbenutzer, die an den NetBIOS B-Knoten-Clients arbeiten, können nicht auf Ressourcen in anderen Segmenten zugreifen. Mit dem Zugriff auf Ressourcen bzw. Rechner im eigenen Subnetz gibt es keine Probleme. Wie sollte Ernestine das Netzwerk konfigurieren, um den Benutzern das Durchsuchen aller Segmente zu ermöglichen?
A
�
Ernestine bearbeitet auf jedem WINS-Server die Datei Lmhosts und fügt dieser Einträge mit #PRE und #DOM für die beiden anderen WINS-Server hinzu.
B
�
Ernestine konfiguriert die Router für die Weiterleitung von BOOTPAnforderungen.
C
�
Ernestine konfiguriert in jedem Segment einen Rechner als WINS-Proxy.
D
�
Ernestine installiert in jedem Segment einen WINS-Server.
54
Peter W. ist der Organisationsadministrator einer Windows 2000Domäne, die lediglich aus Windows 2000 Professional-Rechnern besteht. Peter konfiguriert einen der Windows 2000-Mitgliedsserver als DHCPServer. Dieser DHCP-Server befindet sich im gleichen Segment wie die Windows 2000 Professional-Rechner. Er erstellt und aktiviert einen
64
Fragen zum MS-Prüfungsreport
DHCP-Adressbereich für das Netzwerksegment. Die Windows 2000Clients sind als DHCP-Clients konfiguriert, bekommen jedoch keine IPAdresskonfigurationen. Was sollte Peter tun, damit jeder DHCP-Client eine IP-Adresse erhält? A
�
Er startet in der Geräte-Manager-Konsole den DHCP-Dienst.
B
�
Er verschiebt den DHCP-Server an den gleichen Standort wie die Windows 2000 Professional-Rechner.
C
�
Er autorisiert den DHCP-Server in Active Directory.
D
�
Er definiert eine DHCP-Optionsklasse für die beiden Windows 2000 Professional-Rechner.
55
Astrid ist die Netzwerkadministratorin eines Windows 2000-Netzwerks. Das Netzwerk besteht aus 300 Windows 2000 Professional-Rechnern, vier Windows 2000 Servern (DHCP-Server) und acht Windows 2000 Servern. Die Windows 2000 Professional-Rechner und die Windows 2000 Server sind auf die vier unterschiedlichen Standorte Sendling, Schwabing, Ottobrunn und Hohenbrunn verteilt. Der WINS-Server der Firma befindet sich in Schwabing. Die TCP/IP-Konfiguration der WINS-Clients wird durch die vier DHCP-Server des Netzwerks sichergestellt. Die Windows 2000 Professional-Rechner greifen häufig auf NetBIOSbasierte Netzwerkressourcen zu. Nachdem beim WINS-Server eine Festplatte ausgefallen war, wurde diese durch eine neue Festplatte ersetzt und die WINS-Datenbank anhand einer Sicherung wiederhergestellt. Das Sicherungsband ist eine Woche alt. Nach der Wiederherstellung des WINS-Servers können die Benutzer keine Ressourcen an den anderen Standorten durchsuchen. Was sollte Astrid unternehmen, um den Benutzern das Durchsuchen der Ressourcen an den anderen Standorten wieder zu ermöglichen?
A
�
Sie verwendet für die WINS-Datenbank auf dem WINS-Server das Dienstprogramm Jetpack.
B
�
Sie verwendet auf dem WINS-Server den Befehl Datenbankkonsistenz überprüfen.
C
�
Sie verwendet auf den Windows 2000 Servern den Befehl nbtstat –RR zur Freigabe und Aktualisierung der WINS-Registrierungen.
D
�
Sie verwendet auf den WINS-Clients den Befehl ipconfig /registerdns zur Registrierung von Namen und IP-Adressen.
65
Fragen zum MS-Prüfungsreport
Kapitel 3
56
Bernd N. ist der Netzwerkadministrator der Staller AG. Die Administratoren der Organisationseinheit Softwareentwicklung möchten für die Benutzer ihrer Abteilung EFS verwalten können. Die Administratoren der Softwareentwicklung sind in einer Gruppe »SoftAdmins« zusammengefasst, die vollständige Verwaltungsberechtigungen für die Organisationseinheit »Softwareentwicklung« besitzt. Um dem Wunsch dieser Administratoren nachzukommen, installieren Sie eine Organisations-Zertifizierungsstelle, die vom gesamten Unternehmen verwendet werden soll. Die Administratoren der Softwareabteilung können jedoch keine Gruppenrichtlinie erstellen, die es ihnen erlauben würde, EFS für die Softwareabteilung zu verwalten. Was sollte Bernd N. unternehmen, um den Administratoren der Organisationseinheit »Softwareabteilung« das Erstellen einer Gruppenrichtlinie zu ermöglichen, mit der diese EFS für die Benutzer ihrer Abteilung verwalten können? (Wählen Sie zwei Antworten aus.)
A
�
Er installiert eine untergeordnete Organisations-Zertifizierungsstelle, die von der Abteilung »Softwareentwicklung« verwendet werden soll.
B
�
Er fügt in der Zertifizierungsstellenkonsole der Zertifizierungsstelle eine neue Richtlinieneinstellung für ein EFS-Wiederherstellungsagent-Zertifikat hinzu.
C
�
Er fügt in der Zertifizierungsstellenkonsole der Zertifizierungsstelle eine neue Richtlinieneinstellung für ein Basis-EFS-Zertifikat hinzu.
D
�
Er erteilt den SoftAdmins in Active Directory-Standorte und -Dienste für die Registrierungs-Agent-Zertifizierungsvorlage die Berechtigung REGISTRIEREN.
E
�
Er erteilt den SoftAdmins in Active Directory-Standorte und -Dienste für die EFS-Wiederherstellungszertifikatsvorlage die Berechtigung REGISTRIEREN.
F
�
Er erteilt den SoftAdmins in Active Directory-Standorte und -Dienste für die EFS-Zertifikatsvorlage die Berechtigung REGISTRIEREN.
57
Johannes ist der Administrator eines Windows 2000-Netzwerks. Er möchte für das Subnetz 192.168.1.32/28 einen DHCP-Adressbereich erstellen. Die Rechner in diesem Subnetz haben MS Windows 95, MS Windows 98 und Windows 2000 Professional als Betriebssystem installiert. Zusätzlich existieren in diesem Subnetz zwei UNIX-Rechner, die statische IP-Adressen brauchen. Diesen UNIX-Rechnern werden die zwei höchsten verfügbaren IP-Adressen im Subnetz zugewiesen, das Standardgateway des Subnetzes erhält die niedrigste verfügbare Adresse. Der neue Adressbereich soll ausschließlich die verfügbaren Adressen enthalten.
66
Fragen zum MS-Prüfungsreport
Welchen Adressbereich konfiguriert Johannes auf dem DHCP-Server für dieses Subnetz? A
�
192.168.1.34 – 192.168.1.46
B
�
192.168.1.34 – 192.168.1.44
C
�
192.168.1.33 – 192.168.1.45
D
�
192.168.1.34 – 192.168.1.61
E
�
192.168.1.33 – 192.168.1.60
58
Connie ist die Netzwerkadministratorin in Ihrem Unternehmen. Das Netzwerk besteht aus 20 Windows 2000 Servern, 150 Windows 2000 Professional-Rechnern und einem NetWare-Server. Die Netzwerkbenutzer müssen auf den Datenträger Sys des NetWare-Servers zugreifen können. Die Administratoren der Firma sollen Vollzugriff auf den Datenträger Sys bekommen, die Netzwerkbenutzer dürfen nur lesend zugreifen. Connie konfiguriert auf einem Windows 2000 Server die Gateway-Service für NetWare-Komponente. Sie möchte jetzt den erforderlichen Zugriff auf den NetWare-Server konfigurieren. Wie sollte Connie vorgehen? (Wählen Sie zwei Antworten aus.)
A
�
Sie fügt der NTGATEWAY-Gruppe auf dem NetWare-Server die Benutzerkonten hinzu, die Zugriff auf den NetWare-Server benötigen.
B
�
Sie fügt der NTGATEWAY-Gruppe auf dem Windows 2000 Server die Benutzerkonten hinzu, die Zugriff auf den NetWare-Server benötigen.
C
�
Sie fügt der NTGATEWAY-Gruppe auf dem NetWare-Server das Gatewaykonto hinzu.
D
�
Sie fügt der NTGATEWAY-Gruppe auf dem Windows 2000 Server das Benutzerkonto NT-Gateway hinzu.
E
�
Sie erteilt auf dem Windows 2000 Server, der als Gateway eingesetzt wird, den Administratoren die Berechtigung Vollzugriff und den Benutzern die Berechtigung Lesen.
59
Willy P. betreut das Netzwerk der Firma AP-SYSTEME GmbH. Das Netzwerk besteht aus einer einzigen Windows 2000-Domäne, die im einheitlichen Modus ausgeführt wird. Derzeit werden in der Domäne keine Zertifikatsdienste verwendet. Die AP-SYSTEME GmbH umfasst derzeit 150 Mitarbeiter. Wenn die Angestellten außer Haus arbeiten, benötigen sie Datei- und Druckdienste, E-Mail und Zugriff auf die Produkt- und Bestandsdatenbank des Unternehmens. Das Verkaufspersonal ist in der Gruppe »ADVerkauf« zusammengefasst. Das Unternehmen ist über eine
67
Fragen zum MS-Prüfungsreport
Kapitel 3
T1-Standleitung mit dem Internet verbunden. Zusätzlich verfügt die APSYSTEME GmbH über ein virtuelles privates Netzwerk, um die bei der Unterstützung der Außendienstmitarbeiter anfallenden Kosten und auch die erforderlichen Hardwarekomponenten zu reduzieren. Willy P. soll folgende Ziele erreichen: • • • • •
Die erforderlichen Netzwerkressourcen sollen für alle Außendienstmitarbeiter zugänglich sein. Nur die Mitglieder der Gruppe »ADVerkauf« sollen eine Verbindung zum Netzwerk herstellen können. Vertrauliche Geschäftsdaten sollen über die VPN-Verbindungen gesichert übertragen werden. Zugriff auf das Netzwerk soll ausschließlich während der Geschäftszeit erfolgen. Alle Mitglieder der Gruppe »ADVerkauf« sollen gleichzeitig eine Verbindung mit dem Netzwerk herstellen können.
Willy P. führt folgende Konfigurationsmaßnahmen durch: • • • •
Er installiert den Routing und RAS-Dienst auf einem Windows 2000 Server und konfiguriert ein virtuelles privates Netzwerk. Er erteilt den Mitgliedern der Gruppe »ADVerkauf« die Einwählberechtigung Zugriff erlauben. Er bearbeitet die Standard-RAS-Richtlinie, um die Remotezugriffsberechtigung zu erteilen. Er bearbeitet das RAS-Profil, um eine starke Datenverschlüsselung einzustellen.
Welches Ergebnis bzw. welche Ergebnisse werden durch Willys Maßnahmen erzielt? (Wählen Sie alle zutreffenden Antworten aus.) A
�
Die Gruppe »ADVerkauf« kann auf alle benötigten Netzwerkressourcen zugreifen.
B
�
Nur die Mitglieder der Gruppe »ADVerkauf« können eine Verbindung zum Netzwerk herstellen.
C
�
Vertrauliche Geschäftsdaten werden gesichert über die VPN-Verbindung übertragen.
D
�
Der Zugriff auf das Netzwerk erfolgt nur während der Geschäftszeiten.
E
�
Alle Mitglieder von »ADVerkauf« können gleichzeitig eine Verbindung zum Netzwerk herstellen.
60
Uwe P., der Netzwerkadministrator von S-R-S GmbH, konfiguriert ein Windows 2000-Netzwerk für den DFÜ-Zugriff. Die Mitarbeiter von S-R-S müssen in der Lage sein, von zu Hause aus auf die Rechner zuzugreifen.
68
Fragen zum MS-Prüfungsreport
Um die Sicherheit zu erhöhen, erhält jeder Benutzer, dem der DFÜ-Zugriff gestattet ist, eine Smartcard. Wie sollte Uwe P. vorgehen, um den Routing und RAS-Server zu konfigurieren? (Wählen Sie zwei Antworten aus.) A
�
Er aktiviert das Kontrollkästchen Extensible-Authentication-Protokoll (EAP).
B
�
Er aktiviert das Kontrollkästchen Microsoft-verschlüsselte Authentifizierung, Version 2 (MS-CHAP v2).
C
�
Er installiert auf dem Routing und RAS-Server ein Computerzertifikat.
D
�
Er installiert auf dem Routing und RAS-Server ein Smartcard-Anmeldungszertifikat.
E
�
Er installiert auf dem DFÜ-Clientrechner ein Computerzertifikat.
61
Carlo administriert den primären DNS-Standardserver und zwei weitere sekundäre DNS-Standardserver in einer Windows 2000-Domäne. Im Netzwerk existieren keine weiteren DNS-Server und als Clients finden Windows 2000 Professional-Rechner und Windows 98-Rechner Verwendung. Die DNS-Zone für die Windows 2000-Domäne unterstützt dynamische Aktualisierungen. Alle drei DNS-Server wurden auf Windows 2000Domänencontrollern installiert. Carlo möchte, dass sich die Clients bei jedem beliebigen DNS-Server registrieren bzw. deregistrieren lassen können. Wie sollte Carlo vorgehen, um dieses Ziel zu erreichen?
A
�
Er ändert bei allen DNS-Servern den Zonentyp der DNS-Zone auf Active Directory-integriert.
B
�
Er ändert die Einstellung beim primären DNS-Server, um die beiden sekundären DNS-Standardserver bei Aktualisierungen der Zone zu benachrichtigen.
C
�
Er ändert die Einstellung beim primären DNS-Server, um Zonenübertragungen nur zu den beiden sekundären DNS-Standardservern zuzulassen.
D
�
Er ändert beim primären DNS-Server die Option für die dynamische Aktualisierung, um nur gesicherte Aktualisierungen zuzulassen.
62
Angelika administriert das Netzwerk der Firma N&W LEASING AG. Sie möchte den Benutzern den Remotezugriff auf die Netzwerkressourcen ermöglichen. Deswegen konfiguriert sie in ihrer Windows 2000-Domäne, die im einheitlichen Modus arbeitet, den Routing und RAS-Dienst.
69
Fragen zum MS-Prüfungsreport
Kapitel 3
Zeit- bzw. Authentifizierungsbeschränkungen braucht Angelika nicht zu berücksichtigen, da in der Firma rund um die Uhr und sieben Tage die Woche gearbeitet wird. Die Netzwerkbenutzer verfügen als Clients über Windows 2000 Professional-, Windows NT 4.0- oder MS Windows 98Rechner. Sie löscht die Standard-RAS-Richtlinie, möchte jedoch den Zugriff durch unberechtigte Benutzer verhindern. Sie erteilt allen Benutzern in der Domäne die DFÜ-Berechtigung Zugriff erlauben, allerdings können die Benutzer keine Verbindungen herstellen. Was sollte Angelika unternehmen, um dieses Problem zu lösen? A
�
Sie sollte eine neue RAS-Richtlinie erstellen, die allen Benutzern der Gruppe »Domänen-Benutzer« den Einwählzugriff erlaubt.
B
�
Sie erstellt eine neue Gruppenrichtlinie, die der Gruppe »Domänen-Benutzer« die Einwählberechtigung erteilt.
C
�
Sie sollte das RAS-Profil bearbeiten, um nur die Verwendung von Verschlüsselte Authentifizierung (CHAP) als Authentifizierungsmethode zuzulassen.
D
�
Sie sollte das RAS-Profil bearbeiten, um nur die Verwendung von Unverschlüsselte Authentifizierung (PAP, SPAP) als Authentifizierungsmethode zuzulassen.
63
Beate R. ist die Netzwerkadministratorin eines Unternehmens, das über mehrere Standorte verfügt. Sie verwaltet eine Windows 2000-Domäne, deren Konfigurationsdaten wie folgt eingestellt sind: • • •
Die Standorte sind per Routing und RAS-Dienst über das Internet miteinander verbunden. Alle Ressourcen werden im Netzwerk von TCP/IP-Hosts bereitgestellt. Im Netzwerk werden ausschließlich Windows 2000 ProfessionalRechner eingesetzt.
Beate R. installiert in der Domäne einen DNS-Server, um die Namensauflösung beim Zugriff der Clients auf die Netzwerkressourcen zu optimieren. Sie möchte jedoch sicherstellen, dass der durch die Zonentransfers generierte Datenverkehr auf den Internetstrecken nicht durch Unberechtigte eingesehen bzw. missbraucht werden kann. Wie sollte Beate R. vorgehen, um dies zu verhindern? A
�
Sie lässt Zonenübertragungen nur zwischen den auf der Registerkarte NAMENS-SERVER aufgelisteten Servern zu.
B
�
Sie richtet eine Active Directory-integrierte Zone ein.
70
Fragen zum MS-Prüfungsreport
C
�
Sie setzt für ihre Zone die Option DYNAMISCHE AKTUALISIERUNG SEN auf Nein.
ZULAS-
D
�
Sie setzt für ihre Zone die Option DYNAMISCHE AKTUALISIERUNG SEN auf Nur gesicherte Aktualisierungen.
ZULAS-
64
Peter W. administriert ein Netzwerk, das ausschließlich aus Windows 2000-Rechnern besteht. Im Netzwerk arbeitet ein Windows 2000 Server mit der Bezeichnung MVSDNS01 als DHCP-Server. Dieser Server verwaltet alle TCP/IP-Konfigurationen im Netzwerk. Das technische Supportpersonal gehört der globalen Gruppe »Supporter« an. Zur effizienten Abwicklung von Supportanfragen möchte Peter dieser Gruppe für die DHCP-Konsole und die DHCP-Leaseinformationen nur Lesezugriff gewähren. Wie sollte Peter vorgehen?
A
�
Peter fügt die globale Gruppe »Supporter« zur Gruppe »DHCP-Benutzer« hinzu.
B
�
Peter fügt die globale Gruppe »Supporter« zur integrierten Gruppe mit der Bezeichnung Prä-Windows 2000-kompatibler Zugriff hinzu.
C
�
Peter wählt auf MVSDNS01 in der DHCP-Konsole die Option AUTORISERVER VERWALTEN und fügt der Liste die globale Gruppe »Supporter« hinzu. SIERTE
D
�
65
Peter erteilt der globalen Gruppe »Supporter« auf dem DHCP-Server MVSDNS01 die Leseberechtigung für den Ordner %Systemroot%\ system32\DHCP.
Evi administriert ein TCP/IP-Netzwerk. Alle TCP/IP-Konfigurationseinstellungen übernimmt ein DHCP-Server. Die Firma verfügt über ein Klasse-B-Subnetz 172.41.48.0/24 und im Netzwerk befinden sich 200 Clients und 15 Server. Am Wochenende fällt die Festplatte des DHCP-Servers aus. Evi ersetzt die defekte Festplatte durch eine neue und will die Daten aufgrund der Sicherungsbänder wiederherstellen. Beim Wiederherstellen stellt sich heraus, dass sämtliche Sicherungen unbrauchbar sind. Leider besitzt Evi auch keine Netzwerkdokumentation, aus der die verteilten IP-Adressen hervorgehen. Sie muss einen neuen DHCP-Server installieren, um potenzielle Verbindungsprobleme zu verhindern. Wie sollte Evi den neuen DHCP-Server konfigurieren? (Wählen Sie zwei Antworten aus.)
71
Fragen zum MS-Prüfungsreport
Kapitel 3
A
�
Sie sollte auf dem DHCP-Server den Wert für die Option ANZAHL KONFLIKTERKENNUNGSVERSUCHE erhöhen.
DER
B
�
Sie sollte auf dem DHCP-Server den Wert für die Option ANZAHL KONFLIKTERKENNUNGSVERSUCHE verringern.
DER
C
�
Sie sollte die 15 Server aus dem Reservierungsbereich ausschließen.
D
�
Sie sollte einen Adressbereich erstellen, der sich von 172.41.48.1 bis 172.41.48.200 erstreckt.
E
�
Sie sollte einen Adressbereich erstellen, der sich von 172.41.48.1 bis 172.41.48.254 erstreckt.
66
Jan ist für die Sicherheit des Netzwerks der AP-SYSTEME GmbH verantwortlich. Er möchte alle Benutzer registrieren, die über den Routing und RAS-Dienst auf das Netzwerk zugreifen. Er konfiguriert einen Windows 2000 Server für den Remotezugriff. Jan muss alle Anmeldungsaktivitäten auf diesem Server protokollieren. Was sollte er tun?
A
�
Jan aktiviert in den Überwachungsrichtlinien der Domäne die Option VERZEICHNISDIENSTZUGRIFF.
B
�
Jan aktiviert in den Überwachungsrichtlinien der Domäne die Option ANMELDEEREIGNISSE ÜBERWACHEN.
C
�
Jan aktiviert in den Überwachungsrichtlinien der Domäne die Option ANMELDEVERSUCHE ÜBERWACHEN.
D
�
Jan aktiviert auf dem Routing und RAS-Server in den Eigenschaften RASProtokollierung die Option AUTHENTIFIZIERUNGSANFORDERUNGEN PROTOKOLLIEREN.
E
�
Jan aktiviert auf dem Routing und RAS-Server in den Eigenschaften RASProtokollierung die Option KONTOFÜHRUNGSANFORDERUNGEN PROTOKOLLIEREN.
67
Willy P. administriert das Netzwerk der Firma Kindernahrung Vertrieb GmbH. Die Außendienstmitarbeiter der Firma brauchen auch unterwegs Zugriff auf die neuesten Geschäftsdaten. Willy P. möchte sicherstellen, dass die Außendienstmitarbeiter unabhängig vom Standort des Anrufs eine Verbindung zum Firmennetzwerk herstellen können. Über den Routing und RAS-Dienst erhalten auch die Lieferanten der Firma Zugriff auf das Netzwerk.
72
Fragen zum MS-Prüfungsreport
Willy P. muss jetzt aus Sicherheitsgründen festlegen, von welchen Standorten aus die Lieferanten der Kindernahrung Vertrieb GmbH eine Verbindung herstellen dürfen. Zusätzlich möchte er den Außendienstmitarbeitern der Kindernahrung Vertrieb GmbH und den Lieferanten den Remotezugriff erleichtern. Was sollte Willy P. konfigurieren, um dieses Ziel zu erreichen? (Wählen Sie drei Antworten aus.) A
�
Willy P. stellt die Option RÜCKRUF für die Außendienstmitarbeiter auf IMMER RÜCKRUF AN ein.
B
�
Willy P. stellt die Option RÜCKRUF für die Außendienstmitarbeiter auf VOM ANRUFER GESETZT ein.
C
�
Willy P. stellt die Option RÜCKRUF für die Lieferanten auf KEIN RÜCKRUF ein.
D
�
Willy P. stellt die Option RÜCKRUF für die Lieferanten auf IMMER RÜCKRUF AN ein.
E
�
Willy P. stellt die Option RÜCKRUF für die Lieferanten auf VOM ANRUFER GESETZT ein.
F
�
Willy P. aktiviert LCP-Objekte.
G
�
Willy P. aktiviert EAP.
68
Herbert administriert das Netzwerk eines privaten Bankhauses. Im Netzwerk wird ausschließlich TCP/IP als Transportprotokoll mit der Adresse 172.30.0.0/16 verwendet. Die Tätigkeiten der Benutzer erfordern keine Verbindung zum Internet. Herbert möchte die Netzwerkleistung verbessern und das Netzwerk auch für zukünftige Erweiterungen flexibel gestalten, weil das Bankhaus sehr stark expandiert. Er muss deshalb auch die Option in Erwägung ziehen, einzelne Teile vom Netzwerk einfach abtrennen zu können. Er plant zuerst 25 Subnetze mit maximal 1000 Hosts je Subnetz. Der Vorstand teilt ihm jedoch mit, dass im nächsten Jahr mindestens 55 Subnetze mit maximal 1000 Hosts je Subnetz benötigt werden. Welche Subnetzmaske sollte Herbert konfigurieren, um die gegenwärtigen und auch die zukünftigen Netzwerkanforderungen zu berücksichtigen?
A
�
255.255.240.0
B
�
255.255.248.0
C
�
255.255.252.0
D
�
255.255.254.0
E
�
255.255.255.0
73
Fragen zum MS-Prüfungsreport
Kapitel 3
69
Ein Unternehmen möchte die ISO- und TP4-Übertragungen eines MS Exchange Servers im Netzwerk analysieren und wendet sich deswegen an die Merk Consulting. Hans-Jörg, der MS-Exchange-Spezialist von Merk Consulting, installiert den Netzwerkmonitor auf einem Windows 2000 Server, der sich im gleichen Segment wie der Exchange-Server befindet. Wie sollte er den Netzwerkmonitor konfigurieren, um die gewünschten Ergebnisse zu bekommen? (Wählen Sie zwei Antworten aus.)
A
�
Er sollte in das temporäre Sammlungsverzeichnis wechseln.
B
�
Er sollte die Datei ISO.dll und T4.dll in das Unterverzeichnis Netmon kopieren.
C
�
Er sollte die Datei ISO.dll und T4.dll in das Unterverzeichnis Netmon\ Parsers kopieren.
D
�
Er sollte die Datei Parser.ini ändern.
E
�
Er sollte die Datei netmon.ini ändern.
70
In einer Windows 2000-Domäne befindet sich ein Windows 2000-Mitgliedsserver, der den Routing und RAS-Dienst ausführt. Sie aktivieren auf AP-SYSTEMEROU01 CHAP, weil ein Teil der RAS-Clients das CHAPProtokoll für die Einwahl benötigt. Zusätzlich konfigurieren Sie die RASRichtlinie für die Verwendung von CHAP. Die Benutzer können sich jedoch nicht an AP-SYSTEMEROU01 einwählen und eine Verbindung herstellen. Wie gehen Sie vor, um das Problem zu lösen?
A
�
Sie konfigurieren AP-SYSTEMEROU01 und lassen die LAN-ManagerAuthentifizierung nicht zu.
B
�
Sie konfigurieren AP-SYSTEMEROU01 und deaktivieren die Verwendung von LCP-Erweiterungen.
C
�
Sie konfigurieren die Benutzerkonten und aktivieren die Option KENNWORT MIT REVERSIBLER VERSCHLÜSSELUNG SPEICHERN. Sie legen fest, dass die Kennwörter der Benutzer bei der nächsten Anmeldung geändert werden.
D
�
Sie konfigurieren die Konten der Benutzer und legen hierbei fest, dass bei der Einwahl ins Netzwerk eine statische IP-Adresse verwendet werden muss.
71
Der Webserver der Firma Fraundienst AG wird auf einem Windows 2000 Server ausgeführt. Dieser Webserver ist kein Mitglied der Windows 2000Domäne Fraundienst.de und soll es auch nicht werden. Die Firmenleitung
74
Fragen zum MS-Prüfungsreport
von Fraundienst AG möchte ihren Kunden die Möglichkeit geben, zur Durchführung von Onlinetransaktionen eine Verbindung mit dem Webserver herzustellen. Diese Transaktionen müssen durch Verschlüsselung geschützt werden, außerdem soll sich der Kunde bei Onlinetransaktionen von der Identität des Webservers überzeugen können. Wie realisieren Sie diese Anforderung? A
�
Sie installieren eine Organisations-Zertifizierungsstelle.
B
�
Sie installieren eine untergeordnete Organisations-Zertifizierungsstelle, die eine kommerzielle Zertifizierungsstelle als übergeordnete Zertifizierungsstelle verwendet.
C
�
Sie installieren eine eigenständige Zertifizierungsstelle.
D
�
Sie installieren eine untergeordnete, eigenständige Zertifizierungsstelle, die eine kommerzielle Zertifizierungsstelle als übergeordnete Zertifizierungsstelle verwendet.
72
Michael V. verwaltet ein Windows 2000-Netzwerk. Die Infrastruktur der öffentlichen Schlüssel besteht aus einer Offline-Stammzertifizierungsstelle und untergeordneten Zertifizierungsstellen. Die Geschäftsführung möchte einen Teilbereich des Unternehmens verkaufen. Diese Abteilung besitzt eine untergeordnete Zertifizierungsstelle, die zum Ausstellen von Zertifikaten verwendet wird. Michael V. möchte sicherstellen, dass nach dem Wegfall der Abteilung die Zertifikate dieser ehemaligen Abteilung von den Anwendungen und den anderen Zertifizierungsstellen im Netzwerk nicht mehr akzeptiert werden. Zusätzlich möchte Michael V. den administrativen Aufwand, der damit verbunden ist, so klein wie möglich halten. Wie sollte Michael V. vorgehen?
A
�
Michael V. sperrt auf der untergeordneten Zertifizierungsstelle der Abteilung alle von dieser ausgestellten Zertifikate und veröffentlicht die Zertifikatssperrliste auf einem Windows 2000 Server im Netzwerk. Zusätzlich entfernt er die Software und die Dateien der Zertifizierungsstelle.
B
�
Michael V. sperrt auf der Stammzertifizierungsstelle der Firma das Zertifikat der untergeordneten Zertifizierungsstelle der Abteilung und veröffentlicht die Zertifikatssperrliste auf einem Windows 2000 Server im Netzwerk. Er kopiert die EDB.LOG-Datei von der Stammzertifizierungsstelle an deren Zertifizierungs-Verteilungspunkt im Netzwerk.
C
�
Michael V. sperrt auf der untergeordneten Zertifizierungsstelle der Abteilung alle von dieser ausgestellten Zertifikate und veröffentlicht die Zertifikatssperrliste auf einem Windows 2000 Server im Netzwerk. Er kopiert
75
Fragen zum MS-Prüfungsreport
Kapitel 3
die EDB.LOG-Datei von der Stammzertifizierungsstelle an deren Zertifizierungs-Verteilungspunkt im Netzwerk und trennt die Zertifizierungsstelle vom Netzwerk. D
�
Michael V. sperrt auf der Stammzertifizierungsstelle der Firma das Zertifikat der untergeordneten Zertifizierungsstelle der Abteilung und veröffentlicht die Zertifikatssperrliste auf einem Windows 2000 Server im Netzwerk. Dann kopiert er die Zertifikatssperrlistendatei an den Zertifizierungs-Verteilungspunkt im Netzwerk.
E
�
Michael V. sperrt auf der untergeordneten Zertifizierungsstelle der Abteilung alle von dieser ausgestellten Zertifikate und veröffentlicht die Zertifikatssperrliste auf einem Windows 2000 Server im Netzwerk. Dann kopiert er die Zertifikatssperrlistendatei an den Zertifizierungs-Verteilungspunkt im Netzwerk und trennt die Zertifizierungsstelle vom Netzwerk.
73
Robert G. betreut ein Windows 2000-Netzwerk. Das Netzwerk ist, wie im Diagramm dargestellt, konfiguriert. (Klicken Sie auf die Schaltfläche DARSTELLUNG.) MVS01
MVS02
MVS03
Router
MVS04
MVS05
172.16.64.1 Segment A
172.16.96.1
172.16.96.1 Segment B
MVSWS01
MVSWINS01
Adresse: 172.16.71.32 Maske: 255.255.224.0 Gateway: 172.16.64.1
MVS06
MVSWS02 Adresse: 172.16.86.76 Maske: 255.255.224.0 Gateway: 172.16.96.1
Im Netzwerk befinden sich sechs Windows 2000 Professional-Rechner und zwei Windows 2000 Server. Der Rechner MVS01 kann die Adresse 172.16.96.1 anpingen und der Rechner MVS04 die Adresse 172.16.64.1. Alle Windows 2000 Professional-Rechner können untereinander kommunizieren. Der Rechner MVSWS01 kann jedoch mit dem Rechner MVSWS02 keine Verbindung aufbauen und diesem Rechner auch keine Ping-Signale senden.
76
Fragen zum MS-Prüfungsreport
Was sollte Robert G. unternehmen, um die Kommunikation zwischen diesen beiden Rechnern zu ermöglichen? A
�
Robert G. ändert die Subnetzmaske des Netzwerks auf den Wert 255.255. 240.0.
B
�
Robert G. ändert die Subnetzmaske des Netzwerks auf den Wert 255.255. 192.0.
C
�
Robert G. ändert die IP-Adresse von MVSWS01 auf 172.16.63.32.
D
�
Robert G. ändert die IP-Adresse von MVSWS02 auf 172.16.103.76.
74
Dominique betreut in ihrer Firma ein Netzwerk, das im folgenden Diagramm dargestellt ist. (Klicken Sie auf die Schaltfläche DARSTELLUNG, um die Konfiguration anzuzeigen.)
10.1.2.0/24 Über 250 Clients
10.1.3.0/24
Router
MVSIIS1 IIS-Server
Backbone
Router
10.1.1.0/24 Über 150 Clients
Router
MVSIIS2 IIS-Server
MVSIIS3 IIS-Server
In der Firma wird eine Intranetanwendung mit der Bezeichnung test eingesetzt, die IIS-Ressourcen nutzt. Aus Performancegründen wird die Anwendung test auf insgesamt drei Webserver (MVSIIS1, MVSIIS2 und MVSIIS3) gespiegelt. Dominique muss das Netzwerk so konfigurieren, dass bei Ausfall eines Webservers der Zugriff auf die anderen Webserver möglich ist. Dominique möchte die DNS-Konfiguration mit möglichst wenig Ressourcen ausführen. Wie sollte sie das realisieren? A
�
Sie konfiguriert nur einen DNS-Server mit einer einzigen DNS-Zone und aktiviert Round Robin. Dann erstellt sie für die IP-Adressen der Rechner MVSIIS1, MVSIIS2 und MVSIIS3 A-Einträge für die Anwendung test.
B
�
Sie konfiguriert nur einen DNS-Server mit einer einzigen DNS-Zone und deaktiviert Round Robin. Dann erstellt sie für die IP-Adressen der Rechner MVSIIS1, MVSIIS2 und MVSIIS3 A-Einträge für die Anwendung test.
77
Fragen zum MS-Prüfungsreport
Kapitel 3
C
�
Sie konfiguriert drei DNS-Server mit jeweils einer einzigen DNS-Zone und aktiviert Round Robin. Dann fügt sie auf jedem DNS-Server einen A-Eintrag für die Anwendung test hinzu.
D
�
Sie konfiguriert drei DNS-Server mit jeweils einer einzigen DNS-Zone und deaktiviert Round Robin. Dann fügt sie auf jedem DNS-Server einen AEintrag für die Anwendung test hinzu.
75
Uwe P. betreut eine Windows 2000-Domäne. In dieser Domäne ist ein Windows 2000 Server mit der Bezeichnung AP-SYSTEMEROU1 verfügbar, der den Routing und RAS-Dienst ausführt. Alle Benutzer der Domäne können sich von ihren Windows 2000 Professional-Rechnern aus in das Netzwerk einwählen. In der Firma existiert eine Gruppe »Trainer«. Uwe P. möchte allen Mitgliedern dieser Gruppe erlauben, bei der Remoteauthentifizierung eine Smartcard zu verwenden. Die Einwählberechtigung ist für alle Benutzer der Gruppe »Trainer« auf »Zugriff über RAS-Richtlinien steuern« gesetzt. Er erstellt deshalb eine neue RAS-Richtlinie namens Trainerzugriff. Diese Richtlinie gewährt den Mitgliedern der Gruppe »Trainer« den Remotezugriff auf das Firmennetzwerk zu jeder beliebigen Tageszeit. Diese Richtlinie ist auf dem Rechner AP-SYSTEMEROU1 als erste Richtlinie in der RAS-Richtlinienliste eingetragen. Die Mitglieder der Gruppe »Trainer« können sich zwar ins Netzwerk einwählen, jedoch nicht die Smartcards zur Remoteauthentifizierung verwenden. Uwe P. möchte den Mitgliedern der Gruppe »Trainer« ihren Wunsch erfüllen und sicherstellen, dass diese in Zukunft Smartcards zur Remoteauthentifizierung verwenden können. Wie sollte er das realisieren?
A
�
Er fügt den Rechner AP-SYSTEMEROU1 zur Gruppe »Prä-Windows 2000-kompatibler Zugriff« hinzu.
B
�
Er aktiviert EAP auf dem RAS-Server AP-SYSTEMEROU1 und auf den Windows 2000-RAS-Clients als Authentifizierungsmethode und aktiviert EAP im Profil der RAS-Richtlinie Trainerzugriff.
C
�
Er wählt für die Mitglieder der Gruppe »Trainer« die Option KENNWORT VERSCHLÜSSELUNG speichern.
MIT REVERSIBLER
D
�
Er konfiguriert die Benutzerkonten aller Mitglieder der Gruppe »Trainer« so, dass ihnen für Delegierungszwecke vertraut wird.
78
Fragen zum MS-Prüfungsreport
76
Ihr Unternehmen, in dem Sie als Netzwerkadministrator tätig sind, verwendet DHCP, um die TCP/IP-Konfiguration der Windows 2000 Professional-Clients im Netzwerk zu automatisieren. Sie konfigurieren die Optionen zur Bereitstellung von Router- und DNS-Server-Informationen für die Clients und berücksichtigen spezifische Adressinformationen für einige Rechner in Ihrem Netzwerk. Diese Rechner benötigen Reservierungen im entsprechenden Adressbereich, die Sie ebenfalls bereitstellen. Ihr Internetdienstanbieter bringt einen neuen Router online, wodurch sich ebenfalls die Adresse Ihres Internetgateways ändert. Daraufhin konfigurieren Sie die Bereichsoptionen neu, um die neue Routeradresse zu berücksichtigen. Allerdings können die Benutzer der Rechner, die reservierte Adressen verwenden, auch nach einem Neustart der Rechner keine Verbindung zum Internet aufbauen. Was tun Sie, um dieses Problem zu lösen? (Wählen Sie zwei Antworten aus.)
A
�
Sie verwenden auf jedem Client den Befehl ipconfig /release.
B
�
Sie verwenden auf jedem Client den Befehl ipconfig /renew.
C
�
Sie aktivieren in den Bereichsoptionen die Option ROUTERSUCHE FÜHREN.
DURCH-
D
�
Sie aktivieren in den Serveroptionen die Option ROUTERSUCHE FÜHREN.
DURCH-
E
�
Sie berücksichtigen die neuen Routerinformationen in der Optionskonfiguration jeder Adressreservierung.
77
Als Netzwerkadministrator Ihrer Firma verwalten Sie insbesondere die Router des Netzwerks. Ihr Internetdienstanbieter hat Ihrem Netzwerk die Netzwerkkennung 172.24.8.0/22 zugeordnet. Wenn andere Administratoren in Ihrer Firma IP-Adressen anfordern, weisen Sie ihnen Blöcke von IP-Adressen zu. Alle Router im Netzwerk verwenden als Routingprotokoll entweder OSPF oder RIP Version 2. Sie müssen zwei Subnetze erstellen. Jedes dieser Subnetze enthält ungefähr 75 Rechner. Die Gesamtanzahl der Rechner in diesen Subnetzen wird aller Voraussicht nach die Zahl von 75 nicht überschreiten. Um die Subnetze zu erstellen, möchten Sie in der Subnetzmaske eine möglichst spezifische Anzahl von Bits verwenden. Darüber hinaus wollen Sie die ersten zwei verfügbaren Netzwerkkennungsnummern verwenden. Klicken Sie für die beiden zu erstellenden Subnetze auf die Schaltfläche AUSWÄHLEN UND PLATZIEREN und ziehen Sie dann die korrekten Netzwerkkennungsnummern in die vorgesehenen Felder.
79
Fragen zum MS-Prüfungsreport
Kapitel 3
Kennungsnummern hier platzieren
Netzwerkkennungsnummern Auswahlmöglichkeiten 172.24.12.0/22 172.24.16.0/22
Router
172.24.24.0/22 172.24.8.128/25 172.24.9.0/25 172.24.16.0/25
Kennungsnummern hier platzieren
78
Kerstin betreut ein Windows 2000-Netzwerk, das wie im Diagramm dargestellt konfiguriert ist. 207.46.179.16 207.46.179.17 Internet
192.168.40.1
30 Windows 2000 Professional Rechner
Nürnberg Windows 2000 Server NAT München Windows 2000 Server 192.168.40.2
Der Windows 2000 Server in Nürnberg verfügt über eine ständige Kabelmodemverbindung zum Internet. Alle Rechner im Netzwerk sind für die Verwendung von APIPA konfiguriert. Im Netzwerk existiert kein DHCP-Server. Kerstin will allen Windows 2000 Professional-Rechnern den Zugang zum Internet über die Kabelmodemverbindung des Windows 2000 Servers in Nürnberg ermöglichen. Deshalb installiert und konfiguriert sie auf dem Windows 2000 Server in München NAT. Als IP-Adressen für das Netzwerk verwendet sie IP-Adressen aus dem Bereich 192.168.40.1 bis 192.168.40.50. Der Windows 2000 Server in Nürnberg verwendet die IP-Adresse 192.168.40.1. Der Windows 2000 Server in München fungiert als Webserver mit der IP-Adresse 192.
80
Fragen zum MS-Prüfungsreport
168.40.2 und dem Standardgateway 192.168.40.1. Von Ihrem Internetdienstanbieter hat Kerstin zwei IP-Adressen (207.46.179.16 und 207.46.179.17) zugewiesen bekommen. Sie möchte Internetbenutzern, die sich außerhalb des internen Netzwerks befinden, die Möglichkeit geben, die IP-Adresse 207.46.179.17 zu verwenden, um über den NAT-Dienst des Windows 2000 Servers in Nürnberg auf die Ressourcen des Windows 2000 Servers in München zugreifen zu können. Wie konfiguriert Kerstin jetzt das Netzwerk? A
�
Kerstin konfiguriert an der privaten Schnittstelle des NAT-Routingprotokolls des Windows 2000 Servers in Nürnberg eine statische Route. Sie verwendet die Zieladresse 207.46.179.17, die Subnetzmaske 255.255. 255.255 und als Gateway-Adresse 192.168.40.2.
B
�
Kerstin konfiguriert an der LAN-Schnittstelle des Windows 2000 Servers in München eine statische Route und verwendet die Zieladresse 192.168.40.1, die Subnetzmaske 255.255.255.255 und als Gateway-Adresse 207.46.179. 17.
C
�
Kerstin konfiguriert die LAN-Schnittstelle des Windows 2000 Servers in München für die Verwendung mehrerer IP-Adressen und ordnet der Schnittstelle die zusätzliche IP-Adresse 207.46.179.17 zu.
D
�
Kerstin konfiguriert die öffentliche Schnittstelle des NAT-Routingprotokolls des Windows 2000 Servers in Nürnberg für die Verwendung eines Adresspools mit der Startadresse 207.46.179.16 und der Subnetzmaske 255.255.255.254. Sie reserviert die öffentliche IP-Adresse 207.46.179.17 als private IP-Adresse von 192.168.40.2.
79
Das Netzwerk der Firma SRS AG umfasst 100 Rechner, die als Netzwerkprotokoll NWLink IPX/SPX verwenden. Jürgen, der Administrator des Netzwerks, möchte in Zukunft als alleiniges Transportprotokoll TCP/IP verwenden, um damit Internetverbindungen herstellen zu können. Vom Internetdienstanbieter hat er die IP-Adresse 192.168.16.0/24 für das Netzwerk zugewiesen bekommen. Das Netzwerk umfasst zehn Subnetze mit jeweils mindestens zehn Hosts je Subnetz. Welche Subnetzmaske sollte Jürgen konfigurieren, um diese Anforderungen zu erfüllen?
A
�
255.255.255.0
B
�
255.255.255.192
C
�
255.255.255.224
D
�
255.255.255.240
E
�
255.255.255.248
81
Fragen zum MS-Prüfungsreport
Kapitel 3
80
Otto S. betreut ein Windows 2000-Netzwerk, das ausschließlich Windows 2000 Server und Windows 2000 Professional-Rechner einsetzt. Er erstellt für die Mitarbeiter der Seminarabteilung eine IPSec-Richtlinie mit der Bezeichnung seminaresich. Die Unternehmensleitung befürchtet, dass die für die Verschlüsselung verwendeten Schlüssel gestohlen und dann zur Entschlüsselung späterer Datenübertragungen verwendet werden könnten. Otto S. soll die wiederholte Verwendung von Schlüsseln aus früheren Sitzungen verhindern und den dadurch bewirkten Leistungsabfall so gering wie möglich halten. Wie sollte Otto S. dies umsetzen?
A
�
Otto S. reduziert die Häufigkeit der Richtlinienüberprüfungen für die Aktualisierungen.
B
�
Otto S. ändert in den Eigenschaften Neuen Schlüssel alle die zugeordneten Zeitintervalle.
C
�
Otto S. aktiviert das Kontrollkästchen Hauptschlüssel für Perfect Forward Secrecy.
D
�
Otto S. aktiviert das Kontrollkästchen Sitzungsschlüssel für Perfect Forward Secrecy.
81
Hans betreut ein Windows 2000-Netzwerk, das insgesamt über 1900 Hosts verfügt. Das Netzwerk erfordert eine Verbindung zum Internet. Die Internetverbindung ist als einzige Verbindung geroutet. Vom Internetdienstanbieter bekommt Hans für sein Netzwerk acht Netzwerkadressen zugewiesen: 192.30.32.0/24 192.30.33.0/24 192.30.34.0/24 192.30.35.0/24 192.30.36.0/24 192.30.37.0/24 192.30.38.0/24 192.30.39.0/24 Hans möchte zwar die Komplexität der Routingtabellen vermindern, jedoch für alle im Netzwerk befindlichen Hosts Internetverbindungen zur Verfügung stellen.
82
Fragen zum MS-Prüfungsreport
Welche Subnetzmaske sollte er dazu verwenden? A
�
255.255.240.0
B
�
255.255.248.0
C
�
255.255.252.0
D
�
255.255.254.0
E
�
255.255.255.0
82
Franz F. betreut das Firmennetzwerk einer großen Firma. Das Netzwerk besteht aus einem Hauptsitz sowie zwei großen und zwei etwas kleineren Zweigstellen. Hauptsitz
T1
T1 ISDN
ISDN
Zweigstelle
Zweigstelle
Zweigstelle
Zweigstelle
Die großen Zweigstellen sind mittels einer T1-Verbindung mit dem Hauptsitz verbunden, die kleineren Zweigstellen verwenden 128-Kbit/sISDN-Leitungen und den Routing und RAS-Dienst, um mittels Internetverbindungen Verbindungen mit dem Netzwerk am Hauptsitz herzustellen. Franz F. möchte DNS einführen, um die Namensauflösung und damit verbunden den Zugriff auf Ressourcen zu vereinfachen. Seine Ziele sind im Einzelnen: • • • •
Der für die DNS-Namensauflösung notwendige Datenverkehr über die WAN-Strecken soll verringert werden. Der für die Replikation zwischen den DNS-Servern notwendige Datenverkehr über die WAN-Strecken soll verringert werden. Der Datenverkehr, der aufgrund der DNS-Replikation über die öffentlichen WAN-Strecken erfolgt, muss gesichert werden. Die Geschwindigkeit der Namensauflösung soll für alle Clients optimiert werden.
83
Fragen zum MS-Prüfungsreport
Kapitel 3
Er unternimmt folgende Schritte: • • • •
Er installiert in jeder Geschäftsstelle auf einem einzigen Domänencontroller den DNS-Serverdienst. Er erstellt in jeder Geschäftsstelle auf jedem DNS-Server eine Active Directory-integrierte Zone. Er konfiguriert die Clients für die Abfrage ihres lokalen DNS-Servers. Er konfiguriert die DNS-Zonen für die Unterstützung dynamischer Aktualisierungen.
Welches Ergebnis bzw. welche Ergebnisse werden durch diese Maßnahmen erzielt? (Wählen Sie alle zutreffenden Antworten aus.) A
�
Der für die DNS-Namensauflösung notwendige Datenverkehr über die WAN-Strecken wird verringert.
B
�
Der für die Replikation zwischen den DNS-Servern notwendige Datenverkehr über die WAN-Strecken wird verringert.
C
�
Der Datenverkehr, der aufgrund der DNS-Replikation über die öffentlichen WAN-Strecken erfolgt, wird gesichert.
D
�
Die Geschwindigkeit der Namensauflösung wird für alle Clients optimiert.
83
Angelika ist in der Zweigstelle Burghausen als Netzwerkadministratorin tätig. Burghausen ist ein Standort eines großen, renommierten Bildungsträgers mit dem Hauptsitz in Altötting. Der Standort Burghausen ist mit dem Unternehmensnetz über eine bidirektionale, bei Bedarf herzustellende Wählverbindung über ISDN verbunden. Die Rechner, die Verbindungen herstellen, sind Windows 2000 Server, auf denen Routing und RAS konfiguriert ist. Zusätzlich zu E-Mail und Anwendungsverkehr werden über diese Verbindung auch wichtige Unternehmensdaten übertragen. Angelika soll folgende Ziele durch eine Neukonfiguration erreichen: • • • • •
Alle Daten sollen gesichert über die Verbindung übertragen werden können. Nicht autorisierte Router sollen mit keinem der beiden Router Routerinformationen austauschen können. Beide Router sollen sich über die Verbindung gegenseitig bestätigen können. Beide Router sollen über die Verbindung aktuelle Routingtabellen verwalten. Während der Hauptarbeitszeit soll der Datenverkehr über die bei Bedarf herzustellende Verbindung minimiert werden.
84
Fragen zum MS-Prüfungsreport
Angelika unternimmt Folgendes: • • •
Sie aktiviert auf beiden Routing und RAS-Servern MS-CHAP als Authentifizierungsprotokoll. Sie aktiviert an den Schnittstellen für Wählen bei Bedarf OSPF. Sie legt auf beiden Routing und RAS-Servern in den Einstellungen für Erweiterte Sicherheit die Option DATENVERSCHLÜSSELUNG ERFORDERLICH fest.
Welches Ergebnis bzw. welche Ergebnisse werden durch diese Maßnahmen erzielt? (Wählen Sie alle zutreffenden Antworten aus.) A
�
Sämtliche Daten werden sicher über die Verbindung übertragen.
B
�
Nicht autorisierte Router können mit keinem der beiden Router Routerinformationen austauschen.
C
�
Beide Router in der Verbindung können sich gegenseitig bestätigen.
D
�
Beide Router in der Verbindung verwalten aktuelle Routingtabellen.
E
�
Während der Hauptarbeitszeit wird der Verkehr über die bei Bedarf herzustellende Verbindung minimiert.
84
Hans-Jörg betreut ein Windows 2000-Netzwerk. Der interne DNS-Server befindet sich hinter einer Firewall. Er testet den DNS-Server unter Verwendung der Registerkarte ÜBERWACHEN des Servers. Der DNS-Server besteht den einfachen Test, der rekursive Test schlägt jedoch fehl. Was sollte Hans-Jörg unternehmen, um das Problem zu lösen?
A
�
Er führt den Befehl ipconfig /registerdns aus.
B
�
Er löscht die Datei %Systemroot%\system32\dns\cache.dns.
C
�
Er kopiert die Datei %Systemroot%\system32\dns\sample\cache.dns in die Datei %Systemroot%\system32\dns\cache.dns.
D
�
Er erstellt für die Stammzone eine Forward-Lookupzone und gibt dieser den Namen ».«.
E
�
Er erstellt eine Reverse-Lookupzone für das Subnetz, in dem die Ressourceneinträge für den primären Namensserver gefunden werden können.
85
Kerstin betreut am Firmenhauptsitz in Nürnberg das Windows 2000Netzwerk. Das Unternehmen besitzt drei weitere Standorte, die über Windows 2000-basierte Router mit dem Sitz in Nürnberg verbunden sind. Das Netzwerk ist wie im folgenden Diagramm dargestellt konfiguriert:
85
Fragen zum MS-Prüfungsreport
Kapitel 3
München
Passau
Nürnberg
Kronach
Jeden Freitag findet in Nürnberg eine Multicast-Videovorführung statt, die an die Standorte übertragen wird. Zusätzlich übernimmt Nürnberg die Hostfunktion von Multicast-Videovorführungen, die ausschließlich für die Mitarbeiter der Seminarentwicklung in den Standorten Nürnberg und Kronach bestimmt sind. Kerstin soll sicherstellen, dass diese für die Mitarbeiter der Seminarentwicklung bestimmten Multicast-Videovorführungen nicht an die anderen Standorte Passau und München gesendet werden. Kerstin ordnet spezifische IP-Multicast-Adressen zu, die mit den für die Seminarentwicklung bestimmten Multicast-Videovorführungen verwendet werden. Wie sollte Kerstin das Netzwerk konfigurieren, um zu verhindern, dass die für die Mitarbeiter der Seminarentwicklung bestimmten Multicast-Videovorführungen an die Standorte in München und Passau weitergeleitet werden? A
�
Sie konfiguriert an den München- und Passau-Schnittstellen des Nürnberger Routers eine Multicast-Bereichsgrenze für die IP-Multicast-Adressen der Seminarentwicklung.
B
�
Sie konfiguriert die DHCP-Server und stellt einen Multicast-Bereich für die IP-Multicast-Adressen der Seminarentwicklung bereit. Des Weiteren konfiguriert sie den Adressbereich an den Standorten München und Passau und verwendet als Gültigkeitsdauer den Wert 0. Für die Standorte Nürnberg und Kronach verwendet sie die standardmäßige Multicast-TTL.
C
�
Sie konfiguriert die Netzwerkverbindungen zu den Standorten München und Passau für die Verwendung der TCP/IP-Filterung und lässt keinen Netzwerkverkehr mit IP-Multicast-Adressen zu.
D
�
Sie konfiguriert auf dem zentralen Router eine statische Route für die IPMulticast-Adressen der Seminarentwicklung und verwendet die RouterIP-Adresse am Standort Kronach als Gateway für diese statische Route.
86
Hans-Jörg betreut ein Windows 2000-Netzwerk. Das Netzwerk besteht ausschließlich aus Windows 2000-Rechnern, einem Windows 2000basierten DHCP-Server, zwei Routern und 100 Windows 2000 Professional-Rechnern. Die Windows 2000 Professional-Clients sind über vier Segmente verteilt. Die gesamte TCP/IP-Konfiguration der Clients wird durch
86
Fragen zum MS-Prüfungsreport
einen DHCP-Server durchgeführt. Der DHCP-Server hat hierzu vier Adressbereiche und steht selbst im Subnetz C. Die Router leiten die DHCP-Anforderungen der Windows 2000 Professional-Rechner nicht weiter. Jeder Router verfügt über drei Schnittstellen. Sie möchten den DHCP-Relay-Agenten aktivieren und konfigurieren, um es allen Windows 2000 Professional-Rechnern zu ermöglichen, eine IP-Adresse vom DHCPServer zu beziehen. An welchen Schnittstellen müssen Sie den DHCP-Relay-Agenten aktivieren bzw. konfigurieren. (Klicken Sie zur Beantwortung dieser Frage auf die Schaltfläche AUSWÄHLEN UND PLATZIEREN und ziehen Sie dann das Kästchen an die betreffenden Routerschnittstellen. Das Kästchen kann mehr als einmal verwendet werden.)
A B 25 Windows 2000 Professional
D
25 Windows 2000 Professional
Router
Router
20 Windows 2000 Professional
C
DHCP-Server mit vier Bereichen
20 Windows 2000 Professional
Schnittstelle mit DHCP-Relay-Agent
87
Claudius installiert und konfiguriert im Netzwerk der Firma MVS Michael Völk Systemberatung einen neuen Windows 2000 Server. Das Netzwerk besteht aus Windows 2000 Servern und Novell NetWare 4.1 Servern in zwei separaten Subnetzen.
87
Fragen zum MS-Prüfungsreport
Kapitel 3
Novell NetWare 4.1 Server
Windows 2000 Server
Windows 2000 Server
Windows-basierte Clients
NetWare-Clients
Im Subnetz 1 soll dieser neue Rechner Datei- und Druckdienste für die Windows-basierten Clients bereitstellen, die alle mit TCP/IP als Netzwerktransportprotokoll arbeiten. Zusätzlich soll dieser neue Server für das Subnetz 2 Anwendungsdienste für die Novell NetWare-Clients bereitstellen, die jedoch als Netzwerktransportprotokoll ausschließlich NWLink IPX/SPX verwenden. Aufgrund dieser Aufgabengebiete verfügt der neue Server, den Claudius konfiguriert, über zwei Netzwerkkarten. Claudius muss den Server so konfigurieren, dass er seine Aufgaben in beiden Subnetzen wahrnehmen kann, ohne jedoch als Router zwischen Subnetz 1 und Subnetz 2 zu fungieren. Claudius möchte die Netzwerkleistung des Windows 2000 Servers optimieren und eine möglichst kurze Reaktionszeit für Server- und Clientdienste gewährleisten. Was sollte Claudius tun? (Wählen Sie zwei Antworten aus.) A
�
Er konfiguriert die Netzwerkbindungen auf dem Windows 2000 Server und bindet TCP/IP getrennt nur an dem mit Subnetz 1 verbundenen Adapter.
B
�
Er konfiguriert die Netzwerkbindungen auf dem Windows 2000 Server und bindet NWLINK IPX/SPX getrennt nur an dem mit Subnetz 1 verbundenen Adapter.
C
�
Er konfiguriert die Netzwerkbindungen auf dem Windows 2000 Server und bindet TCP/IP getrennt nur an dem mit Subnetz 2 verbundenen Adapter.
88
Fragen zum MS-Prüfungsreport
D
�
Er konfiguriert die Netzwerkbindungen auf dem Windows 2000 Server und bindet NWLINK IPX/SPX getrennt nur an dem mit Subnetz 2 verbundenen Adapter.
E
�
Er konfiguriert auf dem Windows 2000 Server für jedes Subnetz eine eindeutige interne Netzwerknummer.
88
Hans konfiguriert das Netzwerk, das er als Administrator betreut, für die Verwendung einer SNMP-Verwaltungsanwendung. MVSSRV1
MVSSRV2
MVSSRV3
Router
MVSSRV5
MVSSRV6
172.16.64.1 mcseausbildung.de 172.16.196.1 mvspress.de
MVSSRV4
Adresse: 172.16.64.32 Maske: 255.255.224.0 Gateway: 172.16.64.1 Community: mcseausbildung
MVSSRV8
MVSSRV7
Adresse: 172.16.96.2 Maske: 255.255.224.0 Gateway: 172.16.96.1 Community: mvspress
Die SNMP-Verwaltungsanwendung wurde auf dem Server MVSSRV8 installiert. Mit der Anwendung können alle Rechner verwaltet werden, mit Ausnahme der Server, die sich in der Domäne mcseausbildung.de befinden. Alle Server in dieser Domäne verfügen über identische SNMPEinstellungen. Hans muss die Verwaltung sämtlicher Rechner mit der SNMP-Verwaltungssoftware durchführen können. Was sollte er tun? A
�
Hans bindet die Server MVSSRV1, MVSSRV2, MVSSRV3 und MVSSRV4 an die Domäne mvspress.de.
B
�
Hans richtet eine Vertrauensstellung ein, die es der Domäne mcseausbildung.de erlaubt, der Domäne mvspress.de zu vertrauen.
89
Fragen zum MS-Prüfungsreport
Kapitel 3
C
�
Hans konfiguriert bei allen Servern den gleichen Community-Namen.
D
�
Hans setzt die Eigenschaft Authentifizierungstrap senden bei allen Servern der Domäne mcseausbildung.de auf 172.16.96.1.
89
Albert P. administriert ein Windows 2000-Netzwerk, das aus dem Hauptsitz und einer Zweigstelle besteht. Die Verbindung der Standorte erfolgt über eine geleaste 128 Kbit/s-ISDN-Leitung. Albert P. installiert und konfiguriert an jedem Standort einen eigenständigen Windows 2000 Server, der den Routing und RAS-Dienst ausführt, um bei Bedarf eine Wählverbindung bereitstellen zu können. Albert P. möchte den Verkehr über die ISDN-Leitung verschlüsseln und unnötige Verbindungen verhindern. Wie sollte Albert P. vorgehen?
A
�
Er konfiguriert eine PPTP-Wählverbindung, die bei Bedarf aufgebaut werden kann, um die beiden Standorte über die geleaste ISDN-Leitung zu verbinden, und stellt sicher, dass die Datenverschlüsselung aktiviert ist. Zusätzlich definiert er die Filter für Wählen bei Bedarf und legt fest, dass NetBIOS-Broadcastverkehr nicht zugelassen wird.
B
�
Er konfiguriert eine PPTP-Wählverbindung, die bei Bedarf aufgebaut werden kann, um die beiden Standorte über die geleaste ISDN-Leitung zu verbinden, und stellt sicher, dass die Datenverschlüsselung aktiviert ist. Zusätzlich definiert er die Filter für Wählen bei Bedarf und legt fest, dass Remoteprozeduraufruf-Verkehr nicht zugelassen wird.
C
�
Er konfiguriert eine L2TP-Wählverbindung, die bei Bedarf aufgebaut werden kann, um die beiden Standorte über die geleaste ISDN-Leitung zu verbinden, und konfiguriert Filter für »eingehend« und »ausgehend« und legt fest, dass kein NetBIOS-Broadcastverkehr zugelassen wird.
D
�
Er konfiguriert eine L2TP-Wählverbindung, die bei Bedarf aufgebaut werden kann, um die beiden Standorte über die geleaste ISDN-Leitung zu verbinden, und konfiguriert Filter in der Filterliste für Wählen bei Bedarf und legt fest, dass kein Remoteprozeduraufruf-Verkehr zugelassen wird.
90
Kerstin betreut ein Windows 2000-Netzwerk, das aus 100 Windows 2000 Professional-Rechnern und den Windows 2000 Servern MVSSRV1 und MVSSRV2 besteht. MVSSRV1 verfügt über eine ständige Kabelmodemverbindung zum Internet. Die gesamten Rechner im Netzwerk sind für die Verwendung von APIPA konfiguriert. Im Netzwerk existiert kein DHCPServer.
90
Fragen zum MS-Prüfungsreport
Kerstin will allen Windows 2000 Professional-Rechnern den Zugang zum Internet über die Kabelmodemverbindung von MVSSRV1 ermöglichen. Deshalb installiert und konfiguriert sie auf MVSSRV1 das Routingprotokoll für die Netzwerkadressübersetzung. Als IP-Adressen für das Netzwerk verwendet sie IP-Adressen aus dem Bereich 172.20.20.1 bis 172.20.20.150. MVSSRV1 verwendet die IPAdresse 172.20.20.1. MVSSRV2 fungiert als Webserver mit der IPAdresse 172.20.20.2 und dem Standardgateway 172.20.20.1. Kerstin möchte Internetbenutzern, die sich außerhalb des internen Netzwerks befinden, die Möglichkeit geben, über die auf MVSSRV1 installierte Netzwerkadressübersetzung auf die Ressourcen von MVSSRV2 zugreifen zu können. Wie sollte Kerstin das Netzwerk konfigurieren, um dieses Ziel zu erreichen? A
�
Sie konfiguriert das NAT-Routingprotokoll und ermöglicht den Einsatz einer Netzwerkanwendung. Kerstin gibt Webserver als Name der Anwendung an und verwendet die Webportnummer als Portnummer des Remoteservers.
B
�
Kerstin konfiguriert die öffentliche Schnittstelle des NAT-Routingprotokolls für die Verwendung eines Adresspools mit der Startadresse 172.20. 20.2.
C
�
Kerstin konfiguriert die öffentliche Schnittstelle des NAT-Routingprotokolls für die Verwendung eines speziellen Ports, der dem Webserverport und der IP-Adresse 172.20.20.2 zugeordnet ist.
D
�
Kerstin konfiguriert für MVSSRV1 an der privaten Schnittstelle eine statische Route und verwendet die Zieladresse 172.20.20.2, die Subnetzmaske 255.255.255.255 und als Gateway 172.20.20.1.
91
Carlo betreut ein Netzwerk, das aus sechs Windows 2000 Servern, 450 Windows 2000 Professional-Rechnern und 300 Windows NT 4.0-Arbeitsstationen besteht. Drei der Windows 2000 Server werden als DHCP-Server eingesetzt. Die restlichen Windows 2000 Server fungieren als DNSServer. Sämtliche TCP/IP-Konfigurationseinstellungen der Clients werden durch die DHCP-Server verwaltet. Aus Sicherheitsgründen verwaltet jeder DHCP-Server auch die Bereiche der anderen zwei DHCP-Server. Carlo konfiguriert die DHCP-Server und legt fest, dass Clientinformationen grundsätzlich auf den konfigurierten DNS-Servern registriert und auch aktualisiert werden. Wiederum aus Sicherheitsgründen legt Carlo fest, dass nur sichere Aktualisierungen auf den DNS-Servern zugelassen werden. Nach Durchführung dieser DNS-Zonenkonfiguration stellt Carlo fest, dass die Clientinformationen in den DNS-Zonen nicht mehr aktuali-
91
Fragen zum MS-Prüfungsreport
Kapitel 3
siert werden, wenn IP-Adressänderungen für die Windows 2000 Professional- und Windows NT 4.0-Arbeitsstationen erfolgen. Carlo möchte, dass IP-Adressänderungen für die Clients in DNS-Zonen, die nur sichere Aktualisierungen zulassen, korrekt angezeigt werden. Wie sollte Carlo vorgehen, um das Problem zu beseitigen? A
�
Er fügt die Computerkonten der drei DHCP-Server zur globalen Sicherheitsgruppe »DNSUpdateProxy« hinzu.
B
�
Er konfiguriert die drei DNS-Server und legt hierbei fest, dass für Ressourceneinträge ein Gültigkeitsdauer-Intervall verwendet wird, das kürzer ist als die von den DHCP-Servern eingestellte Leasedauer.
C
�
Er konfiguriert die drei DNS-Server und legt fest, dass Aktualisierungen für die DNS-Clients, die keine dynamische Aktualisierung unterstützen, durchgeführt werden.
D
�
Er konfiguriert die DHCP-Einstellungen auf allen Clients, um zu verhindern, dass DHCP beim Herunterfahren freigegeben wird.
92
Claudius betreut die sechs WINS-Server und zwei DHCP-Server in einem Windows 2000-Netzwerk. In Zusammenhang mit der bevorstehenden Migration von WINS zu DNS entschließt sich Claudius, den WINS-Server MVSWIN99 aus dem Netzwerk zu entfernen. Er führt folgende Aktionen durch: • •
•
•
Er beendet auf MVSWIN99 den WINS-Dienst und deinstalliert WINS. Er passt auf den DHCP-Servern die Optionen an, um MVSWIN99 nicht mehr als WINS-Server anzugeben. Danach konfiguriert er die DHCP-Optionen und legt hierbei fest, dass an der Stelle von MVSWIN99 die anderen fünf WINS-Server gleichmäßig eingesetzt werden. Er konfiguriert die WINS-Clients, die über eine manuelle IP-Konfiguration verfügen, und stellt dort ein, dass MVSWIN99 nicht mehr als WINS-Server zu verwenden ist. Stattdessen konfiguriert er diese Clients für Verwendung der anderen fünf WINS-Server. Er löscht auf einem der verbleibenden WINS-Server die statischen Zuordnungen, die ursprünglich auf MVSWIN99 vorgenommen wurden.
Nach einiger Zeit bemerkt Claudius, dass die ursprünglich auf MVSWIN99 vorgenommenen Zuordnungen auf allen verbliebenen WINS-Servern immer noch vorhanden sind. Was sollte Claudius unternehmen, um diese unerwünschten statischen Zuordnungen endgültig von den verbleibenden WINS-Servern zu entfernen?
92
Fragen zum MS-Prüfungsreport
A
�
Er verwendet in der WINS-Konsole auf den verbleibenden WINS-Servern den Befehl Datenbank aufräumen.
B
�
Er führt auf den verbleibenden WINS-Servern eine Offline-Komprimierung der WINS-Datenbank durch.
C
�
Er konfiguriert die verbleibenden WINS-Server und verwendet die Option MIGRIEREN, um die statischen Einträge zu behandeln.
D
�
Er markiert auf einem der verbleibenden WINS-Server den MVSWIN99Besitzer in der Datenbank manuell als veraltet.
93
David plant das neue WAN eines Unternehmens. Das Netzwerk besteht derzeit aus 50 Windows 2000 Servern, 2500 Windows 2000 ProfessionalRechnern, 2000 Windows 98-Rechnern und 50 UNIX-Servern. Die Windows-Umgebung besteht aus einer einzigen Windows 2000-Domäne. Die Netzwerkbenutzer speichern ihre Daten derzeit sowohl auf ihren Clientrechnern als auch auf den Servern ab. Dies geschieht nach Meinung der Benutzer, um die Daten in den verschiedenen Abteilungen gemeinsam nutzen zu können. Das physische Netzwerk besteht aus fünf Subnetzen, die die Rechner enthalten, und einem sechsten Subnetz, das zwei BOOTPRouter wie nachfolgend dargestellt verbindet.
Subnetz 2
Subnetz 4
Router1
Subnetz 1
Subnetz 6
Subnetz 3
Subnetz 5
Derzeit wird im Netzwerk keine Internetverbindung benötigt. David entschließt sich, die reservierte Netzwerkadresse 172.16.0.0 einzusetzen, und verwendet DHCP, um die TCP/IP-Konfiguration sämtlicher Clients zu automatisieren. Lediglich auf den Servern wird TCP/IP statisch konfiguriert.
93
Fragen zum MS-Prüfungsreport
Kapitel 3
David möchte im Einzelnen die folgenden Ziele erreichen: • • • •
Alle Benutzer sollen auf die Ressourcen sämtlicher Server zugreifen können. Alle Benutzer sollen auf die Ressourcen aller Clients zugreifen können. Der Netzwerkverkehr zwischen den Subnetzen soll reduziert werden. Das Netzwerk soll im Laufe des nächsten Jahres mit minimaler Neukonfiguration der physischen Struktur ein Wachstum von bis zu 100% bewältigen können.
David unternimmt folgende Konfigurationsschritte: • • • •
• • •
Er positioniert alle Windows 2000 Server im Subnetz 1. Er positioniert alle UNIX-Server im Subnetz 2. Er verteilt die Clients gleichmäßig auf die Subnetze 3, 4 und 5. Er installiert den DHCP-Server-Dienst auf einem der Windows 2000 Server im Subnetz 1 und konfiguriert für jedes Subnetz einen Adressbereich, einschließlich eines vollständigen IP-Adressbereichs, eines Standardgateways und der DNS-Einstellungen. Er konfiguriert einen Windows 2000 Server als DNS-Server. Er konfiguriert alle Windows-Clients für die Verwendung von DHCP. Er teilt den Netzwerkadressraum mit der Subnetzmaske 255.255. 248.0 in Subnetze auf.
Welches Ergebnis bzw. welche Ergebnisse werden durch Davids Maßnahmen erzielt? (Wählen Sie alle zutreffenden Antworten aus.) A
�
Sämtliche Benutzer erhalten Zugriff auf die Ressourcen sämtlicher Server.
B
�
Alle Benutzer können auf die Ressourcen sämtlicher Clients zugreifen.
C
�
Der Netzwerkverkehr zwischen den Subnetzen wird reduziert.
D
�
Das Netzwerk kann im Laufe des nächsten Jahres mit minimaler Neukonfiguration der physischen Struktur ein Wachstum von bis zu 100% bewältigen.
94
Robert G. betreut ein Windows 2000-Netzwerk, das aus 15 Windows 2000 Servern und 200 Windows 2000 Professional-Rechnern besteht. Die 200 Außendienstmitarbeiter der Firma verfügen jeweils über ein Notebook, auf dem ebenfalls Windows 2000 Professional installiert ist. Diese setzen die Notebooks häufig an Orten ein, die nicht ans Netzwerk angeschlossen sind. Die komplette TCP/IP-Konfiguration aller Windows 2000 Professional-Rechner übernehmen zwei DHCP-Server im Netzwerk. Robert G. möchte für die Desktoprechner und die Notebooks unterschiedliche DHCP-Leasezeiten konfigurieren. Alle Desktoprechner sollen die Standard-Leasedauer erhalten und für die Notebooks soll eine Leasedauer von vier Stunden gelten.
94
Fragen zum MS-Prüfungsreport
Welche drei Tätigkeiten sollte Robert G. zur Verwirklichung dieses Wunsches ausführen? (Wählen Sie drei Antworten aus.) A
�
Robert G. setzt auf den Notebooks die Einstellung DHCP-Klassenkennung auf Tragbare Windows 2000-Computer.
B
�
Robert G. setzt auf den Notebooks die Einstellung DHCP-Klassenkennung auf Windows 2000-Optionen.
C
�
Robert G. konfiguriert auf den Notebooks manuell eine DHCP-Leasedauer von vier Stunden und lässt alle weiteren TCP/IP-Parameter über DHCP konfigurieren.
D
�
Robert G. konfiguriert den Adressbereich auf den DHCP-Servern und lässt den Wert für die Leasedauer frei.
E
�
Robert G. definiert auf den DHCP-Servern eine neue Benutzerklasse mit der auf den Notebooks angegebenen Kennung.
F
�
Robert G. konfiguriert auf den DHCP-Servern die Bereichsoptionen und legt fest, dass für die Benutzerklasse »Tragbare Computer« eine Leasedauer von vier Stunden gilt.
G
�
Robert G. erstellt auf den DHCP-Servern eine Bereichsgruppierung mit zwei Bereichen und verwendet einen der Bereiche für die Notebooks und definiert eine Leasedauer von vier Stunden. Den zweiten Adressbereich verwendet er für die Desktoprechner und definiert hierfür eine StandardLeasedauer.
95
Sarah betreut das Netzwerk der Firma AP-SYSTEME AG. Das Netzwerk besteht aus einer einzigen Windows 2000-Domäne mit der Bezeichnung AP-SYSTEME.lokal. Aus Sicherheitsgründen möchte Sarah sicherstellen, dass der interne Datenverkehr zur Namensauflösung die Netzwerkgrenzen unter gar keinen Umständen überschreitet. Zusätzlich möchte sie, dass externe Namensanforderungen durch einen externen DNS-Server verarbeitet werden. Was sollte Sarah unternehmen, um diese Ziele zu erreichen?
A
�
Sarah erstellt eine neue primäre Standardzone für den lokalen Namensraum und trägt nur interne Adressen in die Hosttabelle ein.
B
�
Sarah erstellt für den lokalen Namensraum eine neue integrierte Zone im Active Directory und trägt nur interne Adressen in die Hosttabelle ein.
C
�
Sarah löscht die Stammzone für den lokalen Namensraum und konfiguriert alle internen DNS-Server zur Weiterleitung der Namensauflösungsanforderungen an den externen DNS-Server.
D
�
Sarah erstellt eine neue Stammzone für das Internet und konfiguriert alle internen DNS-Server, um sämtliche Anforderungen an diese Zone weiterzuleiten.
95
Fragen zum MS-Prüfungsreport
Kapitel 3
96
Sonja betreut ein kleines Windows 2000-Netzwerk, das aus einem Windows 2000 Server (MVSDF01) und 50 Windows 2000 Professional-Rechnern besteht. MVSDF01 verfügt über eine DFÜ-Verbindung für den Zugang ins Internet. Sonja möchte allen Clients den Zugang ins Internet über MVSDF01 ermöglichen und installiert und konfiguriert auf MVSDF01 das NAT-Routingprotokoll. Die TCP/IP-Konfiguration im Netzwerk wird manuell vorgenommen und die Clients sind für die Verwendung von APIPA konfiguriert. Sonja möchte das Netzwerk so konfigurieren, dass für MVSDF01 und die Windows 2000 Professional-Clients die IP-Adressen 172.16.65.1 bis 172. 16.65.250 verwendet werden. Wie sollte Sonja MVSDF01 konfigurieren, um dieses Ziel zu erreichen? (Wählen Sie alle zutreffenden Antworten aus.)
A
�
Sie ordnet der LAN-Schnittstelle von MVSDF01 die IP-Adresse 172.16. 65.1 zu.
B
�
Sonja aktiviert für die DFÜ-Verbindung von MVSDF01 die Option GEMEINSAME NUTZUNG DER INTERNETVERBINDUNG.
C
�
Sonja konfiguriert auf MVSDF01 den Routing und RAS-Dienst und ordnet den sich einwählenden Clients automatisch IP-Adressen aus dem Adressbereich 172.16.65.1 bis 172.16.65.250 zu.
D
�
Sonja konfiguriert auf MVSDF01 das Routingprotokoll NAT und ordnet den Rechnern an der privaten Schnittstelle automatisch IP-Adressen aus dem Adressbereich 172.16.65.1 bis 172.16.65.250 zu.
E
�
Sonja konfiguriert die öffentliche NAT-Schnittstelle auf MVSDF01 für die Verwendung eines Adresspoolbereichs von 172.16.65.1 bis 172.16.65. 250.
97
Michael V. betreut ein Windows 2000-Netzwerk, das aus drei Windows 2000-Domänencontrollern und 1000 Windows 2000 Professional-Rechnern besteht. Die Rechner sind in einer einzigen Windows 2000-Domäne gruppiert. Die Geschäftsleitung möchte digitale Zertifikate einsetzen, deswegen soll eine eigene Zertifizierungsstelle eingerichtet werden. Michael V. möchte die Stammzertifizierungsstelle und den privaten Schlüssel schützen. Zusätzlich will er sicherstellen, dass er die Infrastruktur der öffentlichen Schlüssel des Unternehmens effizient verwalten kann. Michael V. möchte Folgendes erreichen: •
•
Der Windows 2000 Server, auf dem sich die Stammzertifizierungsstelle befindet, soll den größtmöglichen Schutz gegen Sicherheitsverletzungen bieten, die im Netzwerk vorkommen können. Der Windows 2000 Server, auf dem sich die Stammzertifizierungsstelle befindet, soll andere Zertifizierungsstellen zertifizieren und Zertifikate sperren können.
96
Fragen zum MS-Prüfungsreport
• •
Alle Server der Domäne sollen auf den Sperrstatus sämtlicher Zertifikate in der Infrastruktur der öffentlichen Schlüssel zugreifen können. Alle durch die Benutzer oder Rechner in der Domäne generierten Anforderungen sollen unverzüglich verarbeitet und entweder gewährt oder abgelehnt werden.
Michael V. unternimmt Folgendes: •
Er installiert auf einem mit dem Netzwerk verbundenen Windows 2000-Mitgliedsserver eine eigenständige Stammzertifizierungsstelle und trennt den Server, auf dem er die eigenständige Stammzertifizierungsstelle installiert hat, vom Netzwerk und platziert diesen Server an einem separaten, sicheren Ort.
Welches Ergebnis bzw. welche Ergebnisse werden durch diese Maßnahmen erzielt? (Wählen Sie alle zutreffenden Antworten aus.) A
�
Der Server, auf dem sich die Stammzertifizierungsstelle befindet, verfügt über den größtmöglichen Schutz gegen Sicherheitsverletzungen, die im Netzwerk vorkommen können.
B
�
Der Windows 2000 Server, auf dem sich die Stammzertifizierungsstelle befindet, kann andere Zertifizierungsstellen zertifizieren und Zertifikate sperren.
C
�
Alle Server der Domäne können auf den Sperrstatus sämtlicher Zertifikate in der Infrastruktur der öffentlichen Schlüssel zugreifen.
D
�
Alle durch die Benutzer oder Rechner in der Domäne generierten Anforderungen werden unverzüglich verarbeitet und entweder gewährt oder abgelehnt.
98
Ruppert betreut ein Windows 2000-Netzwerk. Er muss eine RAS-Umgebung einrichten, die eine hohe Verfügbarkeit und auch Sicherheit gewährleistet. Das Unternehmen verfügt über einen einzigen Standort und eine T3-Verbindung zum Internet. Die Außendienstmitarbeiter Ihres Unternehmens brauchen von jedem Remotestandort aus eine zuverlässige Verbindung zum Firmennetz. Auf allen Servern des Netzwerks ist Windows 2000 Advanced Server installiert, die Clients im Netzwerk verwenden alle als Betriebssystem Windows 2000 Professional. Ruppert möchte folgende Ziele erreichen: •
•
Ein Einzelpunkt-Versagen, mit Ausnahme eines Komplettausfalls der T3-Verbindung, darf nicht zum totalen Versagen der RAS-Verbindungen führen. Authentifizierungsdaten dürfen nicht im Klartext übertragen werden.
97
Fragen zum MS-Prüfungsreport
Kapitel 3
• •
Die Daten dürfen nur verschlüsselt übertragen werden. Der gleichzeitige Netzwerkzugriff von mindestens 200 Remotebenutzern soll jederzeit möglich sein.
Ruppert führt folgende Konfigurationsschritte durch: • • •
Er installiert am Hauptsitz einen VPN-Server. Er konfiguriert den VPN-Server für die Unterstützung von 250 PPTPVerbindungen. Er konfiguriert die Clients und legt hierbei fest, dass als Authentifizierungsprotokoll CHAP verwendet wird.
Welches Ergebnis bzw. welche Ergebnisse werden durch die Konfigurationen von Ruppert erreicht? (Wählen Sie alle zutreffenden Antworten aus.) A
�
Ein Einzelpunkt-Versagen, mit Ausnahme eines Komplettausfalls der T3Verbindung, führt nicht zum totalen Versagen der RAS-Verbindungen.
B
�
Authentifizierungsdaten werden verschlüsselt übertragen.
C
�
Die Daten werden nur verschlüsselt übertragen.
D
�
Der gleichzeitige Netzwerkzugriff von mindestens 200 Remotebenutzern ist jederzeit möglich.
99
Michael V. betreut als Organisationsadministrator eine Windows 2000Domäne. Auf den Clients im Netzwerk ist entweder Windows 98 oder Windows 2000 Professional installiert. Die Benutzer an den Windows 2000 Professional-Rechnern führen eine Internetanwendung aus, die auf Dateien zugreifen muss, die sich auf einem Windows NT 4.0-Rechner mit der Bezeichnung MVSNTSRV001 befinden. Keiner der Windows 2000 Professional-Rechner kann eine Verbindung zu MVSNTSRV001 herstellen. Dieser kann jedoch mit allen Windows 2000 Professional-Rechnern kommunizieren. Wie löst Michael V. dieses Problem?
A
�
Er gibt die IP-Adresse von MVSSRV001 frei und erneuert diese.
B
�
Er aktiviert das Kontrollkästchen Aktualisierung für DNS-Clients, die dynamisches Aktualisieren nicht unterstützen, aktivieren.
C
�
Er deaktiviert das Kontrollkästchen Forward-Lookups (Name zu Adresse) bei Ablauf der Lease löschen.
D
�
Er setzt die DNS-Zone für die Windows 2000-Domäne auf Active Directory-integriert primär.
98
Fragen zum MS-Prüfungsreport
100
Sonja betreut ein Windows 2000-Netzwerk, das wie im folgenden Diagramm dargestellt konfiguriert ist. Netzkarte 1 Adresse: 172.30.1.1 Maske: 255.255.255.0
Netzkarte 2 Adresse: 172.30.2.1 Maske: 255.255.255.0
Router
MVSWS1 Adresse: 172.30.1.39 Maske: 255.255.255.0
MVSWS2 Adresse: 172.30.1.40 Maske: 255.255.255.0
MVSSRVS3 Adresse: 172.30.2.10 Maske: 255.255.255.0
Michael, der Benutzer an MVSWS1, kann nicht auf die Ressourcen von MVSSRV3 zugreifen. Sonja überprüft dies und stellt Folgendes fest: • • • •
MVSWS1 kann mit jedem Host im eigenen Subnetz kommunizieren. Ping-Signale können an den Router gesendet werden. Es ist keine Verbindung zu Hosts im zweiten Subnetz möglich. Es können keine Rechner aus dem zweiten Subnetz angepingt werden.
Die Benutzer an MVSWS2 haben keinerlei Probleme. Sonja führt deswegen auf MVSWS1 den Befehl route print aus und erhält folgende Ausgabe: Aktive Routen: Netzwerkziel
Netzwerkmaske
Gateway
Schnittstelle
Anzahl
0.0.0.0 127.0.0.0 172.30.1.0 172.30.1.39 172.30.255.255 224.0.0.0 255.255.255.255
0.0.0.0 255.0.0.0 255.255.255.0 255.255.255.255 255.255.255.255 224.0.0.0 255.255.255.255
172.30.1.39 127.0.0.1 172.30.1.39 127.0.0.1 172.30.1.39 172.30.1.39 172.30.1.39
172.30.1.39 127.0.0.1 172.30.1.39 127.0.0.1 172.30.1.39 172.30.1.39 172.30.1.39
1 1 1 1 1 1 1
99
Fragen zum MS-Prüfungsreport
Kapitel 3
Was sollte Sonja konfigurieren, um den Kommunikationsfehler von MVSWS1 zu beheben? A
�
Die Subnetzmaske auf MVSWS1.
B
�
Die Subnetzmaske auf MVSSRV3.
C
�
Den Wert bei Standardgateway auf MVSWS1.
D
�
Den Wert bei Standardgateway auf MVSSRV3.
101
Kerstin betreut das Netzwerk der SRB AG. Im Netzwerk ist ein DHCPServer konfiguriert, um die TCP/IP-Konfiguration der Netzwerkclients zu automatisieren. Die Clients in allen drei Subnetzen haben als Betriebssystem Windows 2000 Professional installiert. Die jeweiligen Subnetze sind durch einen Router, auf dem BOOTP aktiviert ist, miteinander verbunden. Am DHCP-Server wurde für jedes Subnetz ein Adressbereich erstellt. Die Netzwerkbenutzer aus den Subnetzen 2 und 3 teilen Ihnen mit, dass sie oft nicht auf Netzwerkressourcen zugreifen können. Sie überprüfen dies und stellen fest, dass die Clients bei starker Netzwerkbelastung mit Adressen aus dem Adressbereich 169.254.0.0 konfiguriert werden. Dieser Adressbereich wird jedoch nicht im Netzwerk unterstützt. Kerstin möchte sicherstellen, dass alle Clients Adressen vom DHCP-Server empfangen können und nicht mit ungültigen Adressen konfiguriert werden. Wie sollte Kerstin vorgehen?
A
�
Sie sollte in jedem Subnetz einen DHCP-Server installieren und auf diesem einen subnetspezifischen Adressbereich konfigurieren.
B
�
Sie sollte in jedem Subnetz einen DHCP-Server installieren und auf diesen identische Bereiche konfigurieren.
C
�
Sie sollte in jedem Subnetz einen DHCP-Relay-Agenten installieren.
D
�
Sie sollte in den Gruppenrichtlinien einen Administrative Vorlagen-Eintrag erstellen, um APIPA in der Registrierung eines jeden Clients zu aktivieren.
102
Claudius betreut ein Windows 2000-Netzwerk mit zwei Standorten (München und Dresden). Das Netzwerk verfügt über zwei DNS-Zonen. Am Standort München gibt es einen primären DNS-Server mit der Bezeichnung mdns1.mvsnet.de. Dieser Server ist autoritativ für die Stammzone mvsnet.de zuständig. Der primäre DNS-Server in Dresden (DDDNS1) ist für die untergeordnete Domäne dresden.mvsnet.de autorisierend.
100
Fragen zum MS-Prüfungsreport
Claudius überprüft auf mdns1.mvsnet.de in der Ereignisanzeige das Protokoll des Verzeichnisdienstes und stellt fest, dass bei der Konsistenzprüfung mehrere Warnungen generiert wurden. Aus diesen Warnungen geht hervor, dass die Konsistenzprüfung keine Replikationsverbindung mit den Verzeichnispartitionen in Dresden herstellen kann. Claudius verwendet deswegen das Nslookup-Dienstprogramm und setzt in der Nslookup-Konsole den Server auf mdns1.mvsnet.de und den Abfragetyp auf Alle. Er gibt in der Nslookup-Konsole den Befehl ls –d mvsnet.de ein und erhält die in der nachfolgenden Übersicht dargestellte Antwort: [mdns1.mvsnet.de] mvsnet.de.
SOA
mdns1.mvsnet.deadministrator. mvsnet.de
mvsnet.de.
A
192.168.1.200
mdns1.mvsnet.de.
A
192.168.1.200
mvsnet.de
NS
mdns1.mvsnet.de
dddns1.dresden.mvsnet.de.
A
192.168.2.200
mvsnet.de.
NS
dddns1.dresden.mvsnet.de
Wie sollte Claudius weiter vorgehen, um das Problem zu lösen? A
�
Er soll auf dem Server mdns1.mvsnet.de eine Hosts-Datei erstellen, die die Adresse für dddns.dresden.mvsnet.de enthält.
B
�
Er soll den NS-Eintrag, der auf dddns1.dresden.mvsnet.de verweist, ändern in dresden.mvsnet.de. NS dddns1.dresden.mvsnet.de.
C
�
Er soll auf dem Server mdns1.mvsnet.de den Befehl nslookup –type=ns – norecurse mvsnet.de ausführen.
D
�
Er soll auf dem Server mdns1.mvsnet.de den Befehl nbtstat –a mdns1. mvsnet.de.dresden.mvsnet.de ausführen
103
Uwe P. administriert zwei WINS-Server in einem Windows 2000-Netzwerk. Uwe P. möchte, dass auf beiden WINS-Servern regelmäßige Sicherungen der WINS-Datenbank durchgeführt werden. Wie sollte er das Netzwerk konfigurieren, um dieses Ziel zu erreichen?
A
�
Er soll in der WINS-Konsole beider WINS-Server den Servernamen wählen, indem er mit der rechten Maustaste das Kontextmenü aufruft. Anschließend soll er den Befehl DATENBANK AUFRÄUMEN wählen.
101
Fragen zum MS-Prüfungsreport
Kapitel 3
B
�
Er soll in der WINS-Konsole beider WINS-Server die Eigenschaft ALLGEMEIN des WINS-Servers wählen, um einen standardmäßigen Sicherungspfad anzugeben.
C
�
Er soll auf beiden WINS-Servern das Windows Backup verwenden, um regelmäßige Sicherungen des Ordners System32\Wins zu planen.
D
�
Er soll auf beiden WINS-Servern den Dateireplikationsdienst konfigurieren, um den Ordner System32\Wins an eine andere Stelle auf der Festplatte zu kopieren.
104
Uwe P. betreut ein heterogenes Netzwerk, das aus Novell NetWare-Servern und Windows 2000 Servern besteht. Das Netzwerk ist wie folgt dargestellt konfiguriert. NovFS1 Novell NetWare Fileserver
NovFS2 Novell NetWare Fileserver
NovFS3 Novell NetWare Fileserver
Ethernet
NovFS4 Novell NetWare Fileserver
MVSSRV1 Windows 2000 Server
MVSSRV2 Windows 2000 Server
Uwe installiert auf dem Windows 2000 Server MVSSRV1 die Clientservices für NetWare und NWLink IPX/SPX als Transportprotokoll mit den Standardeinstellungen. Uwe P. benötigt diese Komponente, um auf Ressourcen, die auf den NetWare Servern gespeichert sind, zuzugreifen. Er kann von MVSSRV1 aus eine Verbindung mit den Servern MVSSRV2, NovFS1 und NovFS3 aufbauen. Zu den NetWare-Servern NovFS2 und NovFS4 funktioniert das nicht. Auf diesen NetWare-Servern sind andere NetWare-Versionen installiert als auf den NetWare-Servern NovFS1 und NovFS4.
102
Fragen zum MS-Prüfungsreport
Uwe P. muss jedoch vom MVSSRV1 Verbindungen zu allen NetWare-Servern aufbauen können. Was sollte Uwe P. tun? A
�
Er aktiviert für den Adapter die NWLink-Protokolloption Rahmentyp manuell erkennen und fügt die Rahmentypen der NetWare-Server manuell hinzu.
B
�
Er konfiguriert die Interne Netzwerknummer manuell und setzt diese auf 00000000.
C
�
Er aktiviert das Direct-Hosting von IPX.
D
�
Er installiert die Datei- und Druckdienste für NetWare.
105
Bernd N. betreut ein Windows 2000-Netzwerk. Das Netzwerk besteht aus zwei Segmenten, die durch einen Router miteinander verbunden sind. In jedem Segment befinden sich zwei Windows 2000 Server und jeweils 50 Windows 2000 Professional-Rechner als Clients. Im Netzwerk steht ein einziger DHCP-Server mit aktiven Bereichen für beide Segmente zur Verfügung. In den beiden Bereichen sind für das eine Segment die IP-Adressen 10.65.1.0/24 und für das andere Segment die IPAdressen 10.65.2.0/24 konfiguriert. MVSDHCP1, der DHCP-Server, weist die IP-Adresse 10.65.1.3/24 auf.
50 Windows 2000 Professional
50 Windows 2000 Professional 10.65.1.2
Router
Windows 2000 Server
MVSDHCP1 Windows 2000 Server Servertyp: DHCP Bereich: 10.65.1.0/24 Bereich: 10.65.2.0/24
Windows 2000 Server
Windows 2000 Server
Die Benutzer, die im Segment ohne DHCP-Server arbeiten, teilen Ihnen auf Anfrage mit, dass ihre Windows 2000 Professional-Stationen den IPAdressbereich 169.254.0.0/16 verwenden. Die Benutzer im anderen Segment verwenden den IP-Adressbereich 10.65.1.0/24.
103
Fragen zum MS-Prüfungsreport
Kapitel 3
Bernd N. möchte, dass die Windows 2000 Professional-Stationen im Segment, das keinen DHCP-Server besitzt, automatisch die IP-Adressen 10.65.2.0/24 verwenden. Wie sollte Bernd N. das Netzwerk konfigurieren, um dieses Ziel zu erreichen? A
�
Er aktiviert und konfiguriert auf dem DHCP-Server den DHCP-RelayAgent-Dienst.
B
�
Er aktiviert und konfiguriert den DHCP-Relay-Agent-Dienst auf einem Windows 2000 Server in jenem Segment, das über keinen DHCP-Server verfügt.
C
�
Er aktiviert auf dem DHCP-Server einen Paketfilter für den Empfang von IP-Paketen, die den BOOTP-Port verwenden.
D
�
Er konfiguriert auf einem Windows 2000 Server in dem Segment, das über keinen DHCP-Server verfügt, einen Paketfilter für den Empfang von IPPaketen, die den BOOTP-Port verwenden.
106
Dominique administriert ein Windows 2000-Netzwerk. Das Netzwerk umfasst einen Windows 2000 Server, der als DHCP-Server eingesetzt wird, zwei Windows 2000-basierte DNS-Server, einen Windows 2000basierten Routing und RAS-Server und 80 Notebooks, die als Betriebssystem Windows 2000 Professional verwenden. Das Netzwerk ist wie im Diagramm dargestellt konfiguriert.
MVSDHCP1 Windows 2000 Server IP: 10.65.4.1
MVSROU1 Windows 2000 Server IP: 10.65.4.5
MVSRDNS1 Windows 2000 Server IP: 10.65.4.12
80 Windows 2000 Professional Rechner
MVSDNS2 Windows 2000 Server IP: 10.65.4.13
104
Fragen zum MS-Prüfungsreport
Der Rechner MVSDHCP1, der als DHCP-Server im Netzwerk arbeitet, verfügt über einen Adressbereich, der die IP-Adressen 10.65.4.20 bis 10.65.4.100 mit der Subnetzmaske 255.255.255.0 einschließt. Dominique möchte, dass die Notebooks bei der Einwahl über den Rechner MVSROU1 den DNS-Server MVSRDNS1 verwenden können. MVSROU1 fordert von MVSDHCP1 IP-Adressen an, um diese an die Notebooks zu verteilen, wenn sich diese an MVSROU1 einwählen. Dominique konfiguriert den DHCP-Adressbereich und legt fest, dass dieser für die Bereichsoption DNS Server die IP-Adresse 10.65.4.12 verwendet. Wie sollte Dominique das Netzwerk konfigurieren, damit alle Notebooks die IP-Adresse 10.65.4.12 für den DNS-Server erhalten? A
�
Dominique konfiguriert den DHCP-Server und legt bei der Konfiguration fest, dass registrierte und aktualisierte Clientrechnerinformationen immer den konfigurierten DNS-Server enthalten.
B
�
Dominique konfiguriert den Routing und RAS-Dienst auf MVSROU1 und legt fest, dass dieser DHCP-, DNS- und WINS-Adressen für die DFÜClients über die LAN-Schnittstelle abruft.
C
�
Dominique konfiguriert die LAN-Schnittstelle des Routing und RAS-Servers MVSROU1. Sie legt bei der Konfiguration fest, dass diese für den DNS-Server keine IP-Adresse verwendet.
D
�
Dominique aktiviert den DHCP-Relay-Agenten an der Schnittstelle Intern des Routing und RAS-Servers MVSROU1. Sie konfiguriert den DHCPRelay-Agenten und legt fest, dass dieser die Adresse 10.65.4.1 als IPAdresse für den DHCP-Server verwendet.
107
In Ihrem Netzwerk wurde eine Netzwerkrouter installiert, auf dem SNMP aktiviert ist. Die Geschäftsleitung möchte den gesamten durch den Router erzeugten SNMP-Verkehr überwachen. Peter W., der Netzwerkadministrator der Firma, installiert den Netzwerkmonitor auf einem im Netzwerk vorhandenen Windows 2000 Server. Der neue Router ist so konfiguriert, dass Traps an einen SNMP-Manager gesendet werden, der auf einem anderen Server installiert ist. Peter möchte grundsätzlich benachrichtigt werden, wenn der Netzwerkrouter einen SNMP-Trap verursacht. Wie sollte Peter vorgehen? (Wählen Sie zwei Antworten aus.)
A
�
Er soll einen Netzwerkmonitorfilter definieren, der eine Schemaübereinstimmung für SNMP-Verkehr enthält.
B
�
Er installiert SNMP auf dem Server.
C
�
Er erstellt einen Netzwerkmonitor-Trigger zur Ausführung des Befehls Net Send.
105
Fragen zum MS-Prüfungsreport
Kapitel 3
D
�
Er definiert einen TCP/IP-Filter auf dem Server.
E
�
Er startet den Windows 2000-Warndienst auf dem Server.
F
�
Er konfiguriert den Netzwerkrouter, um Traps an die IP-Adresse des Servers zu senden.
108
Johannes G. ist der Netzwerkadministrator der AP-SYSTEME GmbH. Das Netzwerk der Firma besteht aus 90 Clientrechnern und 50 Notebooks. Auf allen Rechnern ist als Betriebssystem Windows 2000 Professional installiert. Es werden garantiert nie mehr als 30 Benutzer, die mit Notebooks ausgestattet sind, gleichzeitig im Büro anwesend sein. In Hinblick auf die Anzahl der im Netzwerk arbeitenden Benutzer erwirbt die AP-SYSTEME GmbH ein in Subnetze aufgeteiltes Subnetz der Klasse B mit einer 25 Bit-Maske. Sämtliche Benutzer benötigen bei der Arbeit einen Zugriff auf das Internet. Wie sollte Johannes G. DHCP konfigurieren?
A
�
Er erstellt zwei Bereiche mit unterschiedlicher Lease-Gültigkeitsdauer.
B
�
Er erstellt manuelle Reservierungen für die Benutzer mit ihren Notebooks.
C
�
Er erstellt einen einzigen Adressbereich mit zwei Benutzerklassen und definiert für jede eine unterschiedliche Lease-Gültigkeitsdauer.
D
�
Er erstellt einen einzigen Adressbereich mit zwei Herstellerklassen und definiert für jede eine unterschiedliche Lease-Gültigkeitsdauer.
109
Michael V. betreut das Netzwerk der Domäne mvsnet.de. Das Netzwerk besteht aus 7000 Clients, die gleichmäßig über fünf Standorte (München, Nürnberg, Passau, Kronach und Dresden) verteilt sind. Jeder Standort hat eine eigene Windows 2000-Domäne. Die Autorität zur Verwaltung des eigenen Namensraums wurde vom DNS-Stammserver an jeden Standort delegiert. Am Standort dresden.mvsnet.de hat der dortige lokale Administrator Hermann kürzlich eine Aktualisierung der beiden DNS-Server, die die untergeordnete Domäne verwalten, durchgeführt. Michael V. vermutet, dass die Aktualisierung eine inkorrekte Konfiguration der Zonendelegierung verursacht hat. Was sollte Michael V. unternehmen, um sicherzustellen, dass die Zonendelegierungen ordnungsgemäß konfiguriert sind?
A
�
Er startet den Systemmonitor und vergewissert sich, dass die Leistungsindikatoren für DNS:Fehlgeschlagene rekursive Abfragen gleich Null sind.
B
�
Er startet den Systemmonitor und vergewissert sich, dass die Leistungsindikatoren für DNS:Fehlgeschlagene Zonenübertragungen gleich Null sind.
106
Fragen zum MS-Prüfungsreport
C
�
Er führt den Befehl nslookup –querytype=ns dresden.mvsnet.de aus und verwendet dabei die Serveroption, um den Server dresden.mvsnet.de abzufragen. Er sendet Ping-Signale an die in der Ausgabe des Befehls nslookup angezeigten Einträge.
D
�
Er führt den Befehl nslookup –ls –d dresden.mvsnet.de aus und verwendet dabei die Serveroption, um den Server dresden.mvsnet.de abzufragen. Er sendet Ping-Signale an die in der Ausgabe des Befehls nslookup angezeigten Einträge.
110
Albert P. betreut die DNS-Server der Domäne mvsnet.de. Das Netzwerk verfügt über insgesamt drei Windows 2000-Domänencontroller in einer einzigen Domäne. Der primäre DNS-Server ist auf dem Domänencontroller MVSDC1.mvsnet.de installiert. Zwei sekundäre DNS-Server wurden auf den Windows 2000-Mitgliedsservern MVS1.mvsnet.de und MVS2.mvsnet.de konfiguriert. Albert P. möchte die Fehlertoleranz der DNS-Infrastruktur im Netzwerk erhöhen und zusätzlich die Verwaltung der Replikation und der Zonenübertragungen optimieren und vereinfachen. Was sollte Albert P. alles tun?
A
�
Er stuft die Mitgliedsserver MVS1 und MVS2 zu Domänencontrollern herauf.
B
�
Er fügt auf dem primären DNS-Server die Einträge MVS1.mvsnet.de und MVS2.mvsnet.de zur Benachrichtigungsliste hinzu.
C
�
Er entfernt den DNS-Serverdienst von den Mitgliedsservern MVS1 und MVS2 und installiert den DNS-Dienst auf den Domänencontrollern. Er konvertiert die Zone, in der MVSDC1.mvsnet.de als Host registriert ist, in eine integrierte Active Directory-Zone.
D
�
Er verringert auf dem primären DNS-Server im SOA-Eintrag den TTLWert.
111
Ernestine betreut in München ein kleines Windows 2000-Netzwerk. Das Netzwerk umfasst einen Windows 2000 Server und 180 Windows 2000 Professional-Rechner. Der Windows 2000 Server verfügt über eine DFÜVerbindung zum Internet und hat die Bezeichnung MVSDF1. Sämtliche Windows 2000 Professional-Rechner im Netzwerk benötigen einen Zugang zum Internet. Ernestine installiert und konfiguriert auf MVSDF1 das Routingprotokoll für die Netzwerkadressumsetzung. Vom Internetdienstanbieter hat sie vier IP-Adresse, 207.46.179.4 bis 207.46. 179.7, zugewiesen bekommen. MVSDF1 soll diese vier IP-Adressen für die übersetzte Verbindung zum Internetdienstanbieter verwenden.
107
Fragen zum MS-Prüfungsreport
Kapitel 3
Wie sollte Ernestine MVSDF1 konfigurieren? A
�
Sie konfiguriert das NAT-Routingprotokoll und legt fest, dass für die DHCP-Zuordnung der bei 207.46.179.4 beginnende IP-Adressbereich mit der Subnetzmaske 255.255.255.252 verwendet wird.
B
�
Sie konfiguriert die öffentliche Schnittstelle des NAT-Routingprotokolls und legt fest, dass ein Adresspool mit der Startadresse 207.46.179.4 mit der Subnetzmaske 255.255.255.252 verwendet wird.
C
�
Sie konfiguriert die LAN-Schnittstelle des NAT-Routingprotokolls und legt fest, dass ein Adresspool mit der Startadresse 207.46.179.4 mit der Subnetzmaske 255.255.255.252 verwendet wird.
D
�
Sie konfiguriert das Routingprotokoll und legt fest, dass spezielle Ports an der öffentlichen Schnittstelle verwendet werden. Sie verwendet die privaten Adressen 207.46.179.4 bis 207.46.179.7.
112
Angelika administriert eine Windows 2000-Domäne, die im einheitlichen Modus ausgeführt wird. In dieser Domäne übernimmt der Windows 2000 Server AP-SYSTEMEDF2 die Rolle des Routing und RAS-Servers. Der Routing und RAS-Dienst ist auf AP-SYSTEMEDF2 installiert und für den Remotezugriff konfiguriert. Die IP-Adressierung wird in der Domäne manuell vorgenommen. Die Benutzer der Domäne wählen sich alle von ihren tragbaren Rechnern, auf denen Windows 2000 Professional installiert ist, in das Netzwerk ein. Die DFÜ-Clients sind für den automatischen Empfang einer IP-Adresse konfiguriert. Angelika möchte dies nicht ändern, jedoch möchte sie für jeden Benutzer eine feste IP-Adresse festlegen. Die Benutzer sollen bei der Herstellung der DFÜ-Verbindung unterschiedliche feste IP-Adressen erhalten. Wie sollte Angelika das Netzwerk konfigurieren, um dieses Ziel zu erreichen?
A
�
Angelika erstellt auf AP-SYSTEMEDF2 für den RAS-Dienst einen statischen Adresspool, so dass er nur die IP-Adresse der Einwahlschnittstelle für den Remotezugriff besitzt, und verwendet die Subnetzmaske 0.0.0.0.
B
�
Angelika erstellt auf AP-SYSTEMEDF2 für den RAS-Dienst einen statischen Adresspool für die Zuweisung von IP-Adressen und verwendet als Subnetzmaske 255.255.255.255.
C
�
Angelika erstellt auf dem DHCP-Server eine Reservierung, die für jeden Benutzer eine spezifische IP-Adresse verwendet.
D
�
Angelika weist in der Konsole Active Directory-Benutzer und -Computer für jeden Benutzer eine neue statische IP-Adresse zu.
108
Fragen zum MS-Prüfungsreport
113
Claudia verwaltet die Windows 2000-Domäne der CEYLON AIR GmbH. Sie verwaltet einen lokalen DNS-Server, der die Namensauflösung innerhalb der Internetdomäne durchführt. Dieser DNS-Server wird unter Windows 2000 Server ausgeführt. Im Netzwerk befinden sich fünf Webserver, die zusätzlich zum Online-Flugreservierungssystem Firmen- und Fluginformationen bereitstellen. Aus Performancegründen verfügen alle Webserver über den gleichen Inhalt. Alle Webserver antworten auf den Hostnamen www.CEYLONAIR.de. Die Kunden der Fluglinie beschweren sich, dass die Webserver viel zu langsam reagieren. Daraufhin überwacht Claudia die Webserver und stellt zu ihrem Erstauen fest, dass nur einer der fünf Webserver Kundenanforderungen beantwortet, die anderen vier Webserver befinden sich im Leerlauf. Claudia möchte die Lastverteilung sicherstellen und die Reaktionszeit für Kundenanforderungen verbessern. Welche Schritte kann Claudia an der DNS-Management-Konsole ausführen? (Wählen Sie zwei Antworten aus.)
A
�
Sie aktiviert Round Robin in den Eigenschaften des DNS-Servers.
B
�
Sie deaktiviert Round Robin in den Eigenschaften des DNS-Servers.
C
�
Sie aktiviert Forwarders und lässt diese auf alle Webserver verweisen.
D
�
Sie stellt sicher, dass für jeden Webserver A-Einträge erstellt wurden.
E
�
Sie stellt sicher, dass für jeden Webserver CNAME-Einträge erstellt wurden.
114
Wolfgang betreut das Netzwerk in einem mittelständischen Unternehmen. Das Netzwerk besteht aus zehn Windows 2000 Servern, 250 Windows 2000 Professional-Rechnern und 25 UNIX-Servern. Der DNS-Server ist auf einem der Windows 2000 Server installiert. Die DNS-Zone ist als integrierte Active Directory-Zone konfiguriert. Die Konfiguration der DNSZone lässt dynamische Aktualisierungen zu. Die Netzwerkbenutzer können unter Verwendung des Hostnamens nicht auf die UNIX-Server in der Domäne zugreifen. Wenn Sie das Gleiche mit Windows 2000-Rechnern durchführen, klappt das ohne Probleme. Was sollte Wolfgang unternehmen, um dieses Problem aus der Welt zu schaffen?
A
�
Er fügt für die UNIX-Server A-Einträge in die Zonendatenbank hinzu.
B
�
Er fügt manuell die UNIX-Server zur Windows 2000-Domäne hinzu.
109
Fragen zum MS-Prüfungsreport
Kapitel 3
C
�
Er erstellt auf dem DNS-Server manuell eine HOSTS-Datei, welche die Einträge für die UNIX-Server enthält.
D
�
Er konfiguriert einen UNIX-Rechner als DNS-Server in einer sekundären Zone.
115
Sie sind in Ihrem Unternehmen als Netzwerkadministrator tätig. Das Netzwerk besteht aus zwei Windows 2000 Servern und 50 Windows 2000 Professional-Rechnern. Sie verwenden DHCP, um die Zuweisung der TCP/IP-Konfiguration an die Clientcomputer zu automatisieren. Sie konfigurieren den DHCP-Server, um die Forward- und Reverse-Lookupzonen des DNS-Servers automatisch mit den DHCP-Clientinformationen zu aktualisieren. Sie stellen fest, dass 15 der Clientcomputer in der Reverse-Lookupzone mit entsprechenden PTR-Ressourceneinträgen aufgeführt sind. Für die verbleibenden 35 Clientcomputer sind keine PTR-Einträge vorhanden. Wie lösen Sie dieses Problem?
A
�
Sie konfigurieren die Clientcomputer und legen fest, dass diese ihre A (Host)-Einträge beim DNS-Server registrieren lassen.
B
�
Sie konfigurieren die Clientcomputer und legen fest, dass diese ihren Domänennamen nicht beim DNS-Server registrieren lassen.
C
�
Sie aktivieren auf dem DHCP-Server die Aktualisierung von Clientcomputern, die keine dynamische Aktualisierung unterstützen.
D
�
Sie konfigurieren den DHCP-Server und legen fest, dass DNS grundsätzlich aktualisiert wird, und zwar auch dann, wenn ein Clientcomputer keine Aktualisierung anfordert.
116
Sie sind in Ihrem Unternehmen als Netzwerkadministrator tätig. Das Netzwerk besteht aus einer einzigen Windows 2000-Domäne und verwendet als Transportprotokoll ausschließlich TCP/IP. Sie verwenden DHCP, um den Windows 2000 Professional-Rechnern IP-Adressen zuzuordnen. Sie fügen dem Netzwerk 20 neue Windows 2000 Professional-Rechner hinzu. Die Benutzer berichten, dass der Zugriff auf Netzwerkressourcen ab und zu nicht möglich ist. Arbeitsgruppenressourcen sind jedoch häufiger verfügbar. Dieser Unbeständigkeit beim Serverzugriff scheint kein Verhaltensmuster zugrunde zu liegen. Sie überprüfen die TCP/IP-Konfiguration eines betroffenen Computers und stellen fest, dass der Computer die Adresse 169.254.0.16 verwendet, die in Ihrem Netzwerk nicht unterstützt wird.
110
Fragen zum MS-Prüfungsreport
Was unternehmen Sie, um dieses Problem zu lösen? A
�
Sie konfigurieren die Clientcomputer, um nur durch DHCP zugeordnete Adressen zu verwenden.
B
�
Sie konfigurieren die Clientcomputer, um nur von autorisierten DHCPServern Adressen zu akzeptieren.
C
�
Sie fügen dem vorhandenen DHCP-Adressbereich weitere Adressen in ausreichendem Maße hinzu, um die neuen Clientcomputer im Adressbereich zu berücksichtigen.
D
�
Sie erstellen auf dem DHCP-Server einen neuen Adressbereich, um die neuen Clientcomputer zu berücksichtigen.
117
Sie sind der Administrator eines Windows 2000-Netzwerks. Das Netzwerk besteht aus zehn Segmenten. Die Segmente sind durch vier Windows 2000 Server-basierte Router namens Router1, Router2, Router3 und Router4 miteinander verbunden. Der Routing und RAS-Dienst arbeitet auf diesen vier Servern als Router. Für den Austausch von Routinginformationen verwenden die vier Server RIP, Version 2 für IP. Es sind im Netzwerk noch weitere Router vorhanden, die für den Austausch von Routinginformationen RIP, Version 2 verwenden. Es ist möglich, dass diese anderen Router falsch konfiguriert wurden und daher inkorrekte Routinginformationen enthalten. Sie möchten sicherstellen, dass Router1, Router2, Router3 und Router4 keine Routen verarbeiten, die nicht von Router1, Router2, Router3 oder Router4 stammen. Wie konfigurieren Sie die vier Router, um dieses Ziel zu erreichen? (Wählen Sie alle zutreffenden Antworten aus.)
A
�
Sie konfigurieren das Routingprotokoll RIP auf den vier Routern für die Verwendung von RIP-Peerfiltern. Sie führen jeweils die anderen drei Router als RIP-Peers auf.
B
�
Sie konfigurieren jede RIP-Schnittstelle an den vier Routern und legen fest, dass Unicast-Ankündigungen an RIP-Nachbarn erfolgen. Sie führen jeweils die anderen drei Router als RIP-Nachbarn auf.
C
�
Sie konfigurieren jede RIP-Schnittstelle der vier Router für die Verwendung der Kennwortauthentifizierung. Sie verwenden auf allen vier Routern das gleiche Kennwort.
D
�
Sie konfigurieren an jeder RIP-Schnittstelle der vier Router für ausgehende Routen Routefilter. Sie kündigen nur Routen in den Routenbereichen der Netzwerkkennungen an, die mit den vier Routern verbunden sind.
111
Fragen zum MS-Prüfungsreport
Kapitel 3
118
Sie sind in Ihrem Unternehmen als Netzwerkadministrator tätig. Das Netzwerk besteht aus vier durch einen Router verbundenen IP-Subnetzen und umfasst zwölf Windows 2000 Server sowie 100 Windows 2000 Professional-Rechner, die gleichmäßig über die vier Subnetze verteilt sind. Alle Server werden zur Bereitstellung von Datei- und Druckressourcen für die Clientcomputer eingesetzt. Sie installieren den WINS-Serverdienst auf einem Server in genau einem Subnetz. Sie geben in einem DHCP-Adressbereich eine WINS-Option an, die alle anderen Computer im Netzwerk so konfiguriert, dass sie sich für die NetBIOS-Namensauflösung beim WINS-Server registrieren lassen und diesen abfragen. Innerhalb von vier Stunden nach der Installation und Konfiguration berichten die Benutzer von den Remotesubnetzen, dass es ihnen nicht möglich ist, unter Verwendung des NetBIOS-Namens auf die Ressourcen des WINS-Servers zuzugreifen. Andere TCP/IP-Verbindungen sind davon nicht betroffen. Die Benutzer, die sich im selben Subnetz wie der WINSServer befinden, haben beim Zugriff auf dessen Ressourcen keine Probleme. Was unternehmen Sie, um dieses Problem zu lösen?
A
�
Sie installieren in jedem Remotesubnetz einen WINS-Proxy-Agenten.
B
�
Sie installieren in dem Remotesubnetz, in dem sich der WINS-Server befindet, einen WINS-Proxy-Agenten.
C
�
Sie konfigurieren den WINS-Server und registrieren die IP-Adressen aller Gateways auf dem Router.
D
�
Sie konfigurieren den WINS-Server, um die eigene IP-Adresse als WINSClientcomputer anzugeben.
119
Sie sind der Administrator eines Windows 2000-Netzwerks, das aus einem Windows 2000 Server namens ServerA und 50 Windows 2000 Professionals besteht. ServerA verfügt über eine DFÜ-Verbindung für den Internetzugang. Alle Windows 2000 Professionals im Netzwerk sind für die Verwendung der automatisierten privaten IP-Adressierung (APIPA) konfiguriert. Es gibt im Netzwerk keinen DHCP-Server. Um allen Windows 2000 Professionals im Netzwerk den Internetzugang über die DFÜ-Verbindung von ServerA zu ermöglichen, entschließen Sie sich, das Routingprotokoll für die Netzwerkadressübersetzung (NAT) zu installieren.
112
Fragen zum MS-Prüfungsreport
Sie konfigurieren ServerA wie folgt: • • • • •
Die LAN-Schnittstelle auf ServerA besitzt die IP-Adresse 10.65.3.1 und die Subnetzmaske 255.255.255.0. NAT ordnet den Computern an der privaten Schnittstelle automatisch IP-Adressen aus dem Adressbereich von 10.65.3.2 bis 10.65.3.60 zu. Um die Verbindung zum Internetdienstanbieter (ISP) herzustellen, verwendet NAT eine Wählen-bei-Bedarf-Schnittstelle namens ISP-Wahl. Die Schnittstelle ISP-Wahl verwendet den Adresspoolbereich 207.46. 179.33 bis 207.46.179.36. Die Routingtabelle enthält eine statische Standardroute für die öffentliche Schnittstelle.
Welche Konfiguration verwenden Sie für die statische Route der öffentlichen Schnittstelle? A
�
Schnittstelle: LAN-Verbindung Ziel: 207.46.179.33 Netzwerkmaske: 255.255.255.255 Gateway: 0.0.0.0
B
�
Schnittstelle: LAN-Verbindung Ziel: 10.65.3.0 Netzwerkmaske: 255.255.255.0 Gateway: 10.65.3.1
C
�
Schnittstelle: ISP-Wahl Ziel: 0.0.0.0 Netzwerkmaske: 0.0.0.0 Gateway: (kein)
D
�
Schnittstelle: ISP-Wahl Ziel: 207.46.179.32 Netzwerkmaske: 255.255.255.240 Gateway: 207.46.179.32
120
Hans-Jörg ist der Administrator einer Windows 2000-Domäne namens merknet.de und installiert an einer der Zweigstellen des Unternehmens einen DHCP-Server. Er definiert einen Adressbereich von 60 IP-Adressen. Die Benutzer der Zweigstelle teilen ihm mit, dass bei jedem Neustart eine Fehlermeldung angezeigt wird, die darauf hinweist, dass DHCP nicht verfügbar ist. Hans-Jörg untersucht das Problem im DHCP-Überwachungsprotokoll, das folgenden Hinweis enthält:
113
Fragen zum MS-Prüfungsreport
Kapitel 3
ID Datum, Uhrzeit, Beschreibung, IP-Adresse, Hostname, MAC-Adresse OO, 12/05/99, 01:19:56, Gestartet,,, 54, 12/05/99, 01:19:57, Autorisierung fehlgeschlagen,, merknet.de, Wie geht Hans-Jörg vor, um das DHCP-Problem zu beseitigen? A
�
Er führt den Befehl Jetpack aus.
B
�
Er stimmt alle Bereiche aufeinander ab.
C
�
Er autorisiert den DHCP-Adressbereich.
D
�
Er autorisiert den DHCP-Server.
121
Sie sind der Administrator eines Windows 2000-Netzwerks. Ihr Unternehmen möchte seinen Kunden die Möglichkeit geben, zur Durchführung von Kreditkartentransaktionen eine Verbindung zum Webserver herzustellen. Sie möchten gewährleisten, dass diese Transaktionen durch Verschlüsselung geschützt werden. Sie möchten den Kunden bei Onlinetransaktionen die Identität Ihres Webservers bestätigen. Darüber hinaus möchten Sie Ihre Kunden davon überzeugen, dass Sie in der Lage sind, zertifikatsbasierte Anmeldungen für Angestellte Ihres Unternehmens, die Zugriff auf Privatbereiche des Webservers benötigen, zu unterstützen. Wie gehen Sie vor?
A
�
Sie installieren eine Organisationszertifizierungsstelle.
B
�
Sie installieren eine untergeordnete Organisationszertifizierungsstelle, die eine kommerzielle Zertifizierungsstelle als übergeordnete Zertifizierungsstelle verwendet.
C
�
Sie installieren eine eigenständige Zertifizierungsstelle.
D
�
Sie installieren eine untergeordnete, eigenständige Zertifizierungsstelle, die eine kommerzielle Zertifizierungsstelle als übergeordnete Zertifizierungsstelle verwendet.
122
Sie sind der Administrator eines Windows 2000-Netzwerks, das aus einem Windows 2000 Server-Computer namens Srv1 und zwölf Windows 2000 Professionals besteht. Srv1verfügt über eine DFÜ-Verbindung für den Internetzugang. Srv1 ist für die Gemeinsame Nutzung der Internetverbindung konfiguriert, um den Internetzugang über die DFÜ-Verbindung von Srv1 zu ermöglichen.
114
Fragen zum MS-Prüfungsreport
Die zwölf Windows 2000 Professionals sind für die statische TCP/IPAdressierung konfiguriert. Die IP-Adressen lauten 192.168.0.1 bis 192. 168.0.12 und die Subnetzmaske ist 255.255.255.0. Für die zwölf Windows 2000 Professionals wurde kein Standardgateway konfiguriert. Sie stellen fest, dass die Windows 2000 Professionals nicht in der Lage sind, über die DFÜ-Verbindung von Srv1 Zugang zum Internet zu erhalten. Sie überzeugen sich, dass der bevorzugte DNS-Server auf den Windows 2000 Professionals korrekt konfiguriert ist. Was unternehmen Sie, um allen zwölf Computern den Internetzugang über die DFÜ-Verbindung von Srv1 zu ermöglichen? (Wählen Sie alle zutreffenden Antworten aus.) A
�
Sie ändern auf dem Windows 2000 Professional mit der IP-Adresse 192.168.0.1 die IP-Adresse auf 192.168.0.13.
B
�
Sie ändern auf allen zwölf Windows 2000 Professionals die IP-Adresse auf 169.254.0.2 bis 169.254.0.13.
C
�
Sie ändern auf allen zwölf Windows 2000 Professionals die Subnetzmaske auf 255.255.0.0.
D
�
Sie ändern auf allen zwölf Windows 2000 Professionals das Standardgateway auf 192.168.0.1.
E
�
Sie ändern auf allen zwölf Windows 2000 Professionals das Standardgateway auf 169.254.0.1.
123
Ihr Netzwerk verwendet ausschließlich TCP/IP und umfasst Windows 2000 Professional- sowie Windows NT 4.0-Arbeitsstationen. Einer der Server im Netzwerk arbeitet sowohl als WINS-Server als auch als DNSServer. Die IP-Adresse des Servers lautet 192.168.1.10. Alle Clients verwenden diesen Server für DNS- und WINS-Dienste. Die Benutzer an den Windows NT 4.0-Arbeitsstationen können zum Dateiserver APSYSTEME_ONE keine Verbindung herstellen, die Benutzer an den Windows 2000 Professional-Rechnern haben keinerlei Probleme. AP-SYSTEME_ONE wurde die Adresse 192.168.1.11. statisch zugeordnet. Die TCP/IP-Einstellungen für AP-SYSTEME_ONE sind wie in der Grafik dargestellt vergeben.
115
Fragen zum MS-Prüfungsreport
Kapitel 3
Was sollten Sie ändern, um den Windows NT 4.0-Arbeitsstationen den Aufbau von Verbindungen zu AP-SYSTEME_ONE zu ermöglichen? A
�
Sie fügen die von den Windows NT 4.0-Arbeitsstationen verwendete WINS-Adresse hinzu und aktivieren das Kontrollkästchen LMHOSTSABFRAGE AKTIVIEREN.
B
�
Sie aktivieren das Kontrollkästchen LMHOSTS-ABFRAGE AKTIVIEREN und importieren die von den Windows NT 4.0-Arbeitsstationen verwendete Lmhosts-Datei.
C
�
Sie aktivieren das Kontrollkästchen NETBIOS ÜBER TCP/IP AKTIVIEREN und fügen die von den Windows NT 4.0-Arbeitsstationen verwendete WINS-Adresse hinzu.
D
�
Sie aktivieren das Kontrollkästchen NETBIOS-EINSTELLUNGEN ÜBER DHCP-SERVER BEZIEHEN und fügen die von den Windows NT 4.0Arbeitsstationen verwendete WINS-Adresse hinzu.
124
Astrid, die Administratorin Ihrer Firma, installiert und konfiguriert auf einem Windows 2000 Server den DHCP-Dienst, um die Konfiguration der TCP/IP-Clients, einschließlich der Netzwerkdrucker, zu vereinfachen. Sie erstellt auf dem DHCP-Server einen Adressbereich, der die gültigen IPAdressen umfasst. Astrid möchte sicherstellen, dass die TCP/IP-Drucker immer die gleiche IP-Adresse besitzen, und erstellt deshalb einen Ausschlussbereich für die einzelnen Drucker. Allerdings stellt sie nach kurzer Zeit fest, dass nun die Drucker keine IP-Adressen vom DHCP-Server erhalten.
116
Fragen zum MS-Prüfungsreport
Was sollte Astrid unternehmen, um dieses Problem in den Griff zu bekommen? A
�
Astrid entfernt die Adressreservierungen für die TCP/IP-Drucker.
B
�
Astrid entfernt den Ausschlussbereich für die von den TCP/IP-Druckern verwendeten Adressen..
C
�
Astrid deaktiviert die Funktion zur Erkennung von Adresskonflikten für den DHCP-Serverdienst.
D
�
Astrid aktiviert die Funktion zur Erkennung von Adresskonflikten für den DHCP-Serverdienst.
125
Sie sind in Ihrem Unternehmen als Netzwerkadministrator tätig. Ihr Netzwerk ist wie im Diagramm dargestellt konfiguriert.
A
D 25 Windows 2000 Professional
25 Windows 2000 Professional
ROUTER
ROUTER
B
C
DHCP Server mit 4 Bereichen
20 Windows 2000 Professional
20 Windows 2000 Professional
Schnittstelle mit DHCP Relay Agent
Sie konfigurieren einen Windows 2000 Server. Dieser soll den gesamten Netzwerkverkehr in Ihrem Intranet routen. Die Benutzer in beiden Segmenten benötigen gegenseitig Zugriff auf Dateien in allen Segmenten. Die nachfolgende Tabelle zeigt einen Teil der Routingtabelle.
117
Fragen zum MS-Prüfungsreport
Kapitel 3
Netzwerkziel
Netzwerkmaske
Gateway
Schnittstelle
Anzahl
10.0.0.0 10.0.0.169 192.168.0.0 192.168.0.200
255.0.0.0 255.255.255.255 255.255.0.0 255.255.255.255
10.0.0.169 127.0.0.1 192.168.0.200 127.0.0.1
10.0.0.169 127.0.0.1 192.168.0.200 127.0.0.1
1 1 1 1
Sie installieren und starten auf dem Server auch den Webdienst IIS (Internet Information Services). Benutzer aus beiden Segmenten berichten, dass ihnen der Zugang zum Webdienst nicht möglich ist. Wie gehen Sie vor, um das Problem zu beseitigen? A
�
Sie deaktivieren sämtliche TCP/IP-Portfilter.
B
�
Sie erstellen einen PPTP-Tunnel mit einem Filter, der mit Ausnahme von Protokoll 6 alles filtert.
C
�
Sie führen den Befehl route delete 192.168.0.0 und den Befehl route add 192.168.0.0 mask 255.255.0.0 10.0.0.169 aus.
D
�
Sie führen den Befehl route delete 10.0.0.0 und den Befehl route add 192.168.0.0 mask 255.0.0.0 192.168.0.200 aus.
126
Peter W. administriert ein Netzwerk, bestehend aus zwei Subnetzen: SubnetzA und SubnetzB. In Subnetz A befinden sich drei Windows 2000 Server und 120 Windows 2000 Professionals. Zum Subnetz B gehören drei Windows NT 4.0 Server und 80 NT 4.0 Workstations. Im Netzwerk sind DHCP, DNS und WINS im Einsatz. In jedem Subnetz befindet sich ein WINS-Server, WINSA in SubnetzA und WINSB in SubnetzB. Die beiden WINS-Server sind als Push- und Pull-Partner konfiguriert. Sie replizieren sich täglich um 12.00 Uhr und nach zehn Änderungen. Jeden Tag nach Arbeitsschluss führt Peter eine manuelle Sicherung der WINSDatenbank auf jedem WINS-Server durch. Auf jedem WINS-Server ist die WINS-Datenbank auf Laufwerk C: gespeichert, der Standardsicherungspfad verweist auf Laufwerk F:. Die Sicherung wird immer auf Laufwerk F: durchgeführt. An einem Donnerstag um 09.13 Uhr wird das Laufwerk C: von WINSB defekt. Peter ersetzt die defekte Platte und stellt das Laufwerk mit einer Bandsicherung wieder her. Jetzt will Peter die WINS-Datenbanksicherung vom Mittwochabend zurücksichern.
118
Fragen zum MS-Prüfungsreport
Welche Schritte muss Peter dazu durchführen? A
�
Er löscht alle Dateien im Verzeichnis auf Laufwerk C:, in dem sich die WINS-Datenbank befindet.
B
�
Er kopiert die Dateien aus WINS_BAK\NEW in das Verzeichnis, in dem sich die WINS-Datenbank befindet
C
�
Er ändert in den Eigenschaften von WINSB den Pfad zu den Datenbankdateien in den Pfad zu den Sicherungsdaten.
D
�
Er startet den WINS-Serverdienst manuell, um die Wiederherstellung durchzuführen.
127
Hans-Jörg administriert ein Netzwerk, bestehend aus zwei Subnetzen. Die Rechner in beiden Subnetzen haben eine statische IP-Konfiguration. In jedem Subnetz ist ein WINS-Server, MVSWINS01 und MVSWINS02. Die beiden WINS-Server sind als Push- und Pull-Partner konfiguriert. Die Zeit für die WINS-Konvergenz ist auf eine Stunde eingestellt. Die WINSDatenbank auf jedem WINS-Server wird standardmäßig automatisch gesichert. Auf jedem WINS-Server ist die WINS-Datenbank auf Laufwerk C: gespeichert, der Standardsicherungspfad verweist auf Laufwerk F:. An einem Dienstag um 11.00 Uhr wird das Laufwerk C: von MVSWINS01 defekt. Hans-Jörg ersetzt die defekte Platte und stellt das Laufwerk mit einer älteren Bandsicherung wieder her. Jetzt will Hans-Jörg die WINSDatenbank schnell auf den neuesten Stand bringen. Welche Schritte muss Hans-Jörg dazu durchführen?
A
�
Er löscht alle Dateien im Verzeichnis WINS_BAK\NEW von MVSWINS01.
B
�
Er kopiert die Dateien aus WINS_BAK\NEW in das Verzeichnis, in dem sich die WINS-Datenbank befindet
C
�
Er ändert in den Eigenschaften von WINSB den Pfad zu den Datenbankdateien in den Pfad zu den Sicherungsdaten.
D
�
Er stellt den Registrierungsschlüssel InitTimeReplication bei MVSWINS01 und MVSWINS02 auf Wert 1, den Registrierungsschlüssel InitTimePause bei MVSWINS01 ebenfalls auf 1 und startet MVSWINS01 neu.
128
Sie administrieren das Netzwerk einer Firma mit Hauptsitz in Altötting und einer Nebenstelle in Winhöring. Das Netzwerk besteht aus 20 Windows 2000 Servern und 550 Windows 2000 Professionals in der Hauptstelle und zwei Windows 2000 Servern und 40 Windows 2000 Professionals in der Nebenstelle, die gemeinsam in einer Windows 2000-Domäne verwaltet werden.
119
Fragen zum MS-Prüfungsreport
Kapitel 3
In der Hauptstelle ist ein Domänencontroller als DNS-Server mit einer Active Directory-integrierten Zone konfiguriert. Aufgrund einer unzuverlässigen Verbindung zur Nebenstelle bereitet die Namensauflösung teilweise Probleme. Sie wollen in Winhöring einen DNS-Server installieren, um die Probleme zu beheben und damit auch für Redundanz bei den DNS-Daten zu sorgen. Die Administration von DNS soll weiterhin zentralisiert erfolgen und der Replikationsverkehr zwischen den Standorten soll möglichst gering gehalten werden. Was sollten Sie in Winhöring installieren? A
�
Sie installieren in Winhöring eine neue primäre Zone.
B
�
Sie stufen in Winhöring einen Mitgliedsserver zum Domänencontroller herauf. Danach konfigurieren Sie den DC zum DNS-Server.
C
�
Sie stufen in Winhöring einen Mitgliedsserver zum Domänencontroller herauf. Danach erstellen Sie auf dem DC eine sekundäre Active Directoryintegrierte Zone.
D
�
Sie installieren in Winhöring eine sekundäre Zone.
129
Willy P. ist Administrator eines Windows 2000-Netzwerks. Das Netzwerk besteht bisher aus drei Subnetzen. Als einziges Protokoll ist TCP/IP im Einsatz. Die IP-Konfiguration auf den Clients ist statisch. Im Netz sind auch Netzwerkdrucker, die ebenfalls eine statische IP-Konfiguration besitzen. Wegen des Wachstums der Firma soll das Netzwerk um zwei Subnetze erweitert werden. Willy P. will einen neuen Windows 2000 Server installieren. Der Server wird mit drei Netzwerkkarten ausgestattet und soll als zweiter Router im erweiterten Netzwerk eingesetzt werden. Willy P. soll folgende Ziele erreichen: • • • • •
Der Server soll als Router konfiguriert werden. Routingtabellen sollen automatisch aktualisiert werden. Der administrative Aufwand für die IP-Konfiguration der Clients soll verringert werden. Der administrative Aufwand für die IP-Konfiguration der Netzwerkdrucker soll verringert werden. Die Netzwerkdrucker sollen eine feste IP-Adresse erhalten.
Willy P. führt folgende Schritte durch: • • •
Er konfiguriert den Windows 2000-Server als Router im LAN. Er aktiviert auf den beiden Routern RIP v2. Er installiert den DHCP-Serverdienst und konfiguriert fünf DHCPAdressbereiche.
120
Fragen zum MS-Prüfungsreport
• •
Er installiert auf dem bestehenden Router für die Subnetze mit Rechnern den DHCP-Relay-Agent. Er konfiguriert die Clients und Netzwerkdrucker für DHCP.
Welches Ergebnis oder welche Ergebnisse erreicht Willy P. durch diese Maßnahmen? (Wählen Sie alles Zutreffende) A
�
Der Server ist als Router konfiguriert.
B
�
Routingtabellen werden automatisch aktualisiert.
C
�
Der administrative Aufwand für die IP-Konfiguration der Clients wird verringert.
D
�
Der administrative Aufwand für die IP-Konfiguration der Netzwerkdrucker wird verringert.
E
�
Die Netzwerkdrucker erhalten eine feste IP-Adresse.
130
Sie administrieren ein TCP/IP-Netzwerk mit derzeit 60 Subnetzen, welches aufgrund des Wachstums der Firma in der nächsten Zeit um 40 Segmente erweitert werden muss. Es werden in keinem Subnetz mehr als 500 Rechner eingesetzt. Ihrer Firma wurde die Netzwerkadresse 137.12.0.0 zugewiesen. Welche Subnetzmaske müssen Sie für die Unterteilung verwenden?
A
�
137.12.0.0 / 21
B
�
137.12.0.0 / 22
C
�
137.12.0.0 / 23
D
�
137.12.0.0 / 24
131
RIP Version 1 unterstützt nur klassenbasierte IP-Adressberechnung, da keine Subnetzmaske mit den Ankündigungen übermittelt wird. In einem klassenbasierten Netzwerk hat ein Rechner die IP-Adresse 92.2.5.67. Welches ist seine Hostadresse?
A
�
92
B
�
92.2
C
�
5.67
D
�
2.5.67
E
�
67
121
Fragen zum MS-Prüfungsreport
Kapitel 3
132
Sie wollen einen DHCP-Server in einem TCP/IP-Netzwerk mit sechs Subnetzen einrichten. Das Netzwerk hat zehn Windows 2000 Server und 50 Windows 2000 Professionals. Die Server befinden sich alle in einem Subnetz. Die 50 Professionals sind gleichmäßig auf drei Subnetze verteilt. Die Netzwerkadresse ist 212.47.60.0 / 27. Sie gehen davon aus, dass das Netz später erweitert werden muss, und verteilen die IP-Adressen deshalb wie folgt: Server: 212.47.60.33 bis 212.47.60.62 Clients: 212.47.60.65 bis 212.47.60.94 Clients: 212.47.60.97 bis 212.47.60.126 Clients: 212.47.60.129 bis 212.47.60.158 Sie wollen, dass der DHCP-Server den Servern immer dieselbe eindeutige IP-Adresse zuweist, wenn ein Server ans Netz geht. Wie sollten Sie den DHCP-Server einrichten?
A
�
Sie sollten drei DHCP-Bereiche bilden, einen für die Server, einen für die Clients und einen für die Router. Für die Server und Router müssen Sie eine Clientreservierung einrichten.
B
�
Sie sollten fünf DHCP-Bereiche bilden, einen für die Server, drei für die Clients und einen für die Router. Für die Server müssen Sie eine Clientreservierung einrichten.
C
�
Sie sollten vier DHCP-Bereiche bilden, einen für jedes Subnetz. Sie müssen einen einzigen Bereich für die Server vorsehen und für jeden Server eine Clientreservierung einrichten.
D
�
Sie sollten einen DHCP-Bereich bilden und für jeden Server eine Clientreservierung einrichten.
133
Peter administriert ein TCP/IP-Netzwerk mit den vier Subnetzen Sub1, Sub2, Sub3 und Sub4. Die Netzwerkadresse ist 211.40.88.0 mit der Subnetzmaske 255.255.255. 224. Die IP-Adressbereiche der Subnetze sind folgende: • • • •
Sub1: 211.40.88.33 bis 211.40.88.62 Sub2: 211.40.88.65 bis 211.40.88.94 Sub3: 211.40.88.97 bis 211.40.88.126 Sub4: 211.40.88.129 bis 211.40.88.158
122
Fragen zum MS-Prüfungsreport
Die Netzwerkkarten, welche die drei Router im Netzwerk mit den vier Subnetzen verbinden, haben folgende IP-Adressen: • • •
RouterAB: 211.40.88.33 und 211.40.88.65 RouterBC: 211.40.88.94 und 211.40.88.97 RouterCD: 211.40.88.126 und 211.40.88.129
Ein Benutzer an einem Windows 2000 Professional mit der IP-Adresse 211.40.88.85 beschwert sich bei Peter, dass er keine Verbindung zu einem Windows 2000 Server mit der IP-Adresse 211.40.88.101 bekommt. Er hat keine Probleme mit der Verbindung zu zwei Rechnern in seinem Subnetz und kann sich auch mit einem Windows 2000 Server mit der IP-Adresse 211.40.88.50 verbinden. Peter führt einen PING auf die Adresse 211.40.88.101 durch und erhält eine Time-Out-Meldung. Welche IP-Adresse sollte von Peter zum Testen der Netzwerkverbindungen als Nächstes angepingt werden? A
�
211.40.88.94
B
�
127.0.0.1
C
�
211.40.88.65
D
�
211.40.88.85
134
Sie sind Administrator eines Windows 2000-Netzwerks. Ihr Netzwerk besteht aus fünf Subnetzen, die über einen Router miteinander verbunden sind. Auf diesem Router ist BOOTP-Relay aktiviert. Im Netzwerk befinden sich 80 Windows 2000 Server und 800 Windows 2000 Professional-Rechner. Diese Rechner sind relativ gleichmäßig über die Subnetze verteilt. Zusätzlich befinden sich im Netz 20 UNIX-Server und 100 DHCP-aktivierte Netzwerkdrucker. Sie sollen das Netzwerk optimieren, um folgende Ziele zu erreichen: • • • • •
Die korrekte Zuordnung von IP-Adressen an alle Clients in den Subnetzen soll automatisiert werden. Adresskonflikte zwischen Servern und Clients sollen verhindert werden. Es sollen korrekte Bereichsoptionen für alle Clients in den Subnetzen verwendet werden. Inaktive Clients sollen IP-Adressen nicht länger als drei Tage behalten. Jeder Netzwerkdrucker soll immer die gleiche IP-Adresse erhalten.
Sie führen folgende Schritte durch: • •
Sie konfigurieren einen der Windows 2000 Server als DHCP-Server. Sie erstellen fünf Bereiche. Jeder dieser Bereiche enthält den Adressbereich für ein bestimmtes Subnetz.
123
Fragen zum MS-Prüfungsreport
Kapitel 3
• • •
Sie legen in der DHCP-Konsole im Container Bereichsoptionen für jeden Adressbereich optionale Clientkonfigurationen fest. Sie schließen den von den Servern verwendeten Adressbereich aus. Sie schließen den von den Netzwerkdruckern verwendeten Adressbereich aus.
Welches Ergebnis bzw. welche Ergebnisse erzielen Sie durch Ihre Maßnahmen? (Wählen Sie alle zutreffenden Antworten aus.) A
�
Die korrekte Zuordnung der IP-Adressen an alle Clients in allen Subnetzen wird automatisiert.
B
�
Adresskonflikte aufgrund doppelt vorhandener IP-Adressen zwischen den Clients und den Servern werden verhindert.
C
�
Korrekte Bereichsoptionen werden für alle Clients in den Subnetzen verwendet.
D
�
Inaktive Clients können eine IP-Adresse maximal drei Tage beanspruchen.
E
�
Jeder der Netzwerkdrucker erhält immer die gleiche IP-Adresse.
135
Sie administrieren ein Netzwerk, in welchem DHCP zur IP-Konfiguration der Clients im Einsatz ist. Der Windows 2000-DHCP-Server hat den Namen MVSDHCP01. Erika ist eine neue Supportmitarbeiterin. Sie wollen Erika erlauben, ausschließlich alle DHCP-Daten auf MVSDHCP01 anzusehen und zu ändern. Welche Berechtigungen erteilen Sie Erika, um dieses Ziel zu erreichen?
A
�
Sie fügen das Benutzerkonto von Erika der lokalen Gruppe der Administratoren von MVSDHCP01 hinzu.
B
�
Sie fügen das Benutzerkonto von Erika der lokalen Gruppe der DHCPAdministratoren von MVSDHCP01 hinzu.
C
�
Sie fügen das Benutzerkonto von Erika der lokalen Gruppe der DHCPBenutzer von MVSDHCP01 hinzu.
D
�
Sie fügen das Benutzerkonto von Erika der lokalen Gruppe der Benutzer von MVSDHCP01 hinzu.
136
Sie leiten ein kleines Unternehmen. Sie haben ein Windows 2000-Netzwerk mit einem Server und 19 Professionals in einer Arbeitsgruppe. DNS und DHCP sind nicht im Einsatz, die Rechner haben statisch konfigurierte IP-Konfigurationen und APIPA ist deaktiviert. Der Server hat eine Wählverbindung ins Internet. Sie wollen den Professionals den Internetzugriff über den Server ermöglichen. Sie konfigurieren
124
Fragen zum MS-Prüfungsreport
den Server für die gemeinsame Nutzung der Internetverbindung (ICS) auf der LAN-Schnittstelle des Servers. In den Optionen des Internet Explorers konfigurieren Sie einen Internetzugriff über das LAN und deaktivieren die Verwendung eines Proxy-Servers. Die Benutzer berichten Ihnen jedoch, dass sie über den Server keinen Zugriff auf das Internet bekommen. Was ist der Grund für die Probleme mit dem Zugriff? A
�
Der gemeinsame Zugriff ist nicht möglich, da kein DNS-Server installiert ist.
B
�
APIPA ist auf den Clients deaktiviert.
C
�
Die Professionals besitzen eine statische IP-Konfiguration.
D
�
ICS ist nicht auf der öffentlichen Schnittstelle des Servers konfiguriert.
137
Peter W. ist der Administrator eines Windows 2000-Netzwerks der r.e.d.– tech GmbH. Er hat gerade DHCP im Netzwerk implementiert. Mit Ausnahme der Server sind alle Hosts als DHCP-Clients konfiguriert. Nach der Aktivierung von DHCP teilen einige Benutzer Peter mit, dass sie nicht in der Lage sind, Dokumente zu drucken. Sie erhalten jedoch Verbindung zu jedem anderen Rechner im Netzwerk. Peter überprüft die IP-Konfiguration der Drucker und stellt fest, dass diese falsche IP-Adressen besitzen. Was ist die wahrscheinliche Ursache dafür, dass die Drucker falsch konfiguriert sind?
A
�
Peter hat die IP-Adressen der Drucker in den DHCP-Bereichen nicht ausgeschlossen.
B
�
Peter hat die IP-Adressen der Drucker in den DHCP-Bereichen nicht reserviert.
C
�
Peter hat die IP-Leasedauer der Drucker nicht konfiguriert.
D
�
Die Drucker benötigen APIPA, um sich die richtigen IP-Adressen zuzuweisen.
138
Sie administrieren das Netzwerk eines Unternehmens mit einem Subnetz und WAN-Verbindungen zu anderen LANs. In Ihrem Subnetz sind Windows 2000 Server und Professionals installiert. Sie wollen für die automatische IP-Konfiguration der Clients DHCP verwenden.
125
Fragen zum MS-Prüfungsreport
Kapitel 3
Nach der Implementierung von DHCP auf einem Server stellen Sie fest, dass die Clients nicht auf Ressourcen von Rechnern außerhalb des eigenen Subnetzes zugreifen können. Bei der Überprüfung der IP-Konfiguration der Clients stellen Sie fest, dass die Rechner zwar IP-Adressen und die Subnetzmaske erhalten, jedoch nicht die Adressen des Standardgateways und des DNS-Servers. Welche der aufgeführten Gründe könnten die Probleme verursachen? (Wählen Sie alle zutreffenden Antworten.) A
�
Sie haben auf dem Router keinen DHCP-Relay-Agent konfiguriert.
B
�
Sie haben die Clients nicht konfiguriert, die DNS-Serveradresse automatisch zu beziehen.
C
�
Sie haben die Bereichsoption 003 Router nicht konfiguriert.
D
�
Sie haben die Bereichsoption 044 WINS/NBNS-Server nicht konfiguriert.
139
Das Netzwerk des Unternehmens, in welchem Sie beschäftigt sind, ist an das Internet angeschlossen. Sie haben jetzt den DNS-Serverdienst auf einem Windows 2000 Server im Netzwerk installiert. Der Name des Servers lautet MVSDNS01 und seine IP-Adresse ist die 192.168.20.5. Sie testen den DNS-Serverdienst mit dem Abfragetest auf der Registerkarte ÜBERWACHEN in den Eigenschaften des DNS-Servers. Die einfache Abfrage bei diesem Test schlägt fehl. Welche der folgenden Maßnahmen zur Fehlerbehebung sollten Sie zuerst durchführen?
A
�
Sie überprüfen, ob die Verweise auf den Root-DNS-Server korrekt sind.
B
�
Sie überprüfen, ob der Eintrag 1.0.0.127.in-addr.arpa zone vorhanden ist.
C
�
Sie starten den Serverdienst neu.
D
�
Sie verwenden das Kommando nslookup server 192.168.20.5 set querytype=NS.
140
Johannes G. ist der Administrator einer Domäne mit einem LAN und einem Windows 2000 Server als DNS-Server. Auf dem einzigen DNS-Server des Netzwerks ist eine primäre Zone für die Domäne eingerichtet. Benutzer berichten Johannes G., dass der Netzwerkverkehr inakzeptabel langsam ist. Johannes G. verwendet den Netzwerkmonitor, um den Netzwerkverkehr zu analysieren, und stellt fest, dass der Verkehr zwischen dem DNS-Server und den DNS-Clients einen großen Teil der Netzlast ausmacht.
126
Fragen zum MS-Prüfungsreport
Welches der folgenden Tools sollte Johannes G. verwenden, um festzustellen, wodurch der starke DNS-Verkehr erzeugt wird? A
�
Das Befehlszeilenkommando nslookup
B
�
Die Ereignisanzeige
C
�
Den Taskmanager
D
�
System Monitor
E
�
DNS-Task-Monitor
141
Sie sind der Administrator eines Netzwerks mit einem Router und zwei Subnetzen, Sub1 und Sub2. In jedem dieser Subnetze sind ein Windows 2000 Server, zwei NT 4.0 Server und ca. 100 Windows 2000 Professionals installiert. In jedem Subnetz ist ein NT 4.0 Server als WINS-Server konfiguriert. Die beiden WINS-Server sind Push- und Pull-Partner. Alle Rechner im Netzwerk sind für WINS konfiguriert, sie haben den WINS-Server im eigenen Subnetz als primären WINS-Server eingetragen und den WINS-Server des zweiten Subnetzes als sekundären WINS-Server. Die Computer im Netzwerk verwenden den standardmäßigen NetBIOS-Knotentyp. Sie wollen, dass die Computer für den Fall, dass die WINS-Server nicht erreichbar sind, ihre Namensauflösungen mithilfe von Broadcasts durchführen. Was müssen Sie konfigurieren?
A
�
Sie müssen die Computer im Netzwerk mit dem h-Knoten konfigurieren.
B
�
Sie müssen die Computer im Netzwerk mit dem m-Knoten konfigurieren.
C
�
Sie müssen gar nichts unternehmen.
D
�
Sie müssen DHCP im Netz installieren und die Optionen so konfigurieren, dass die Computer im Netzwerk mit dem m-Knoten arbeiten.
E
�
Sie müssen bei den Computern im Netzwerk den gemischten Modus konfigurieren.
142
Sie sind der Netzwerkadministrator der AP-SYSTEME GmbH. Sie möchten Windows 2000 Professional auf zehn nicht PXE-kompatiblen Rechnern im Netzwerksegment der Abteilung »Schulung« installieren. Sie starten einen der Rechner mit einer RIS-Startdiskette, können jedoch keine Verbindung mit dem RIS-Server herstellen. Sie vergewissern sich, dass andere Rechner im Netzwerk kommunizieren können, auch mit dem RIS-Server. Da der Netzwerkrouter BOOTP nicht unterstützt, verwenden vorhandene Clients manuell konfigurierte TCP/IP-Adressen. Sie möchten erreichen, dass die nicht PXE-kompatiblen Rechner Verbindungen mit dem RIS-Server herstellen können.
127
Fragen zum MS-Prüfungsreport
Kapitel 3
Wie realisieren Sie das?
Server hier platzieren
Active Directory Global Katalog
AP-SYSTEMEALL1 Active Directory RIS DNS
ROUTER
AP-SYSTEMEWS1 10 . 10 . 30 . 20
AP-SYSTEMEWS2 10 . 10 . 30 . 200
WINS Server DHCP Relay Agent
AP-SYSTEMEDHCP1 DHCP Server
Server hier platzieren
AP-SYSTEMENEU1
Kein Server notwendig
AP-SYSTEMENEU2
Klicken Sie zur Beantwortung der Frage auf die Schaltfläche AUSWÄHLEN UND PLATZIEREN und ziehen Sie dann den entsprechenden Server in die Felder SERVER HIER PLATZIEREN im Netzwerk. (Hinweis: Beide Felder müssen belegt werden. Wenn für ein Feld kein Server erforderlich ist, verwenden Sie KEIN SERVER NOTWENDIG.)
143
Das Firmennetzwerk der AP-SYSTEME GmbH ist wie in der Grafik dargestellt konfiguriert. TRAINING
AP-SYSTEMETRA2 IP: 192.168.1.12
AP-SYSTEMEWS1
AP-SYSTEMEWS2
AP-SYSTEMETRA1 DHCP SERVER IP: 192.168.1.11 SCOPE:192.168.1.32-126 SCOPE:192.168.2.128-160
SCHULUNG
AP-SYSTEMESCH3 IP: 192.168.2.12
AP-SYSTEMEWS3
AP-SYSTEMEWS4
128
AP-SYSTEMESCH4 DHCP SERVER IP: 192.168.2.11 SCOPE:192.168.2.32-126 SCOPE:192.168.1.128-160
ROUTER
Fragen zum MS-Prüfungsreport
Im Netzwerk wird als Transportprotokoll ausschließlich TCP/IP verwendet. Eines der Subnetze, das die Windows 2000 Server AP-SYSTEMETRA1 und AP-SYSTEMETRA2 umfasst, wird von der Trainingsabteilung genutzt. Ein weiteres Subnetz enthält die Windows 2000 Server AP-SYSTEMESCH3 und AP-SYSTEMESCH4 und wird von der Schulungsabteilung verwendet. APSYSTEMETRA1 und AP-SYSTEMESCH3 arbeiten als DHCP-Server. Auf welchem Rechner im Netzwerk sollte der DHCP-Relay-Agent hinzugefügt werden, um die Kommunikation im Netzwerk hinsichtlich der Bereitstellung von IP-Adressen in beiden Richtungen zu ermöglichen? (Klicken Sie zur Beantwortung den entsprechenden Rechner an.)
144
Sie sind in Ihrem Unternehmen als Netzwerkadministrator tätig. Das Netzwerk ist wie in der Grafik dargestellt aufgebaut. AP-SYSTEMEAD1 10.10.13.39 Domänencontroller
AP-SYSTEMERIS1 10.10.13.20 RIS-Server
AP-SYSTEMEDNS1 10.10.13.10 DNS-Server
Router RFC 1542 AP-SYSTEMEWS1 10 . 10 . 30 . 20
AP-SYSTEMEWS2 10 . 10 . 30 . 200
AP-SYSTEMEWS3 10 . 10 . 30 . 222
AP-SYSTEMEWS4 10 . 10 . 30 . 22
Sie möchten Windows 2000 Professional auf 20 neuen PXE-kompatiblen Computern im Netzwerksegment der Abteilung »Schulung« installieren. Auf diesen Computern ist kein Betriebssystem vorhanden. Sie erstellen ein RIS-Abbild und stellen dieses auf dem Rechner AP-SYSTEMERIS1 bereit. Dann starten Sie die neuen Rechner und stellen mit Verwunderung fest, dass diese keine Verbindung zu AP-SYSTEMERIS1 herstellen können. Alle anderen Clients können auf alle Server im Netzwerk zugreifen. Sie möchten es den neuen Rechnern ebenfalls ermöglichen, eine Verbindung mit AP-SYSTEMERIS1 herzustellen.
129
Fragen zum MS-Prüfungsreport
Kapitel 3
Wie bewerkstelligen Sie das? A
�
Sie fügen dem Netzwerk einen Windows 2000 Server hinzu, der als WINS-Server fungiert.
B
�
Sie fügen zum Netzwerk einen Windows 2000 Server hinzu, der als DHCP-Server fungiert.
C
�
Sie fügen die Gruppe Jeder in den Sicherheitseinstellungen für RIS-BSAbbilder hinzu.
D
�
Sie platzieren die neuen Rechner im Segment des RIS-Servers.
145
Sie sind der Netzwerkadministrator der AP-SYSTEME GmbH. Sie konfigurieren in Ihrer Windows 2000-Domäne den RAS-Dienst, um Ihren Trainern, wenn diese auswärts sind, den Zugriff auf Netzwerkressourcen zu ermöglichen. Sie möchten, dass die Clients automatisch mit IP-Adressen versorgt werden, wenn diese sich einwählen. Sie konfigurieren den RASServer und richten DHCP ein, um den Clients Adressen und Konfigurationen zuzuweisen. Die Trainer können jedoch nicht durch Angabe des Servernamens oder über Active Directory auf die Netzwerkressourcen zugreifen. Sie überprüfen dies und stellen nach Herstellung der Verbindung zum RAS-Server fest, dass der Client zwar seine IP-Adresse, jedoch keine der DHCPOptionen empfängt. Auf den Rechnern im lokalen Netz tritt dieses Problem nicht auf. Wie lösen Sie dieses Problem?
A
�
Sie aktivieren im Dialogfeld EIGENSCHAFTEN des RAS-Servers die Option IP-ROUTING.
B
�
Sie deaktivieren im Dialogfeld EIGENSCHAFTEN des RAS-Servers die Option IP-ROUTING.
C
�
Sie konfigurieren auf dem RAS-Server einen statischen Adresspool.
D
�
Sie konfigurieren den RAS-Server und legen fest, dass dieser als DHCPRelay-Agent fungieren soll.
130
Fragen zum MS-Prüfungsreport
146
Das in der Grafik dargestellte Windows 2000 Server-Netzwerk wird von Robert, dem Administrator der Firma AP-SYSTEME GmbH, verwaltet.
INTERNET AP-SYSTEMEPRO1
SWITCH
AP-SYSTEMEINTRA
Der Windows 2000 Server mit der Bezeichnung AP-SYSTEMEPRO1 fungiert im Netzwerk als Proxyserver. Über diesen Windows 2000 Server greifen die Benutzer der Schulungs- und der Serviceabteilung auf das Internet zu. Die Benutzer in diesen Abteilungen müssen gesonderte Benutzernamen und Kennwörter verwenden, um die Verbindung zum Proxyserver, zum Internet und zum lokalen Intranetserver mit der Bezeichnung APSYSTEMEINTRA herzustellen. Benutzer, die nicht auf das Internet zugreifen, besitzen auf dem Proxyserver keine Benutzerkonten und können deshalb auch keine Verbindung zum Windows 2000 Server AP-SYSTEMEINTRA herstellen. Wie ermöglicht Robert es allen Benutzern, auf AP-SYSTEMEINTRA zuzugreifen, ohne dass diese hierzu separate Benutzernamen und Kennwörter benötigen? A
�
Robert versetzt AP-SYSTEMEINTRA in das Segment, in dem sich die Clients befinden, die auf AP-SYSTEMEINTRA Zugriff benötigen.
B
�
Er versetzt AP-SYSTEMEPRO1 in das Segment des Netzwerks, in dem sich alle Server befinden.
C
�
Robert konfiguriert die Clients, um beim Zugriff auf lokale Adressen den Windows 2000 Server AP-SYSTEMEPRO1 zu umgehen.
D
�
Robert konfiguriert die Clients zur Verwendung von Anschluss 81 für APSYSTEMEPRO1.
131
Fragen zum MS-Prüfungsreport
Kapitel 3
147
Sie arbeiten auf Ihrer Arbeitsstation mit Windows 2000 Professional. Sie erstellen eine neue DFÜ-Verbindung, um sich mit dem Internet zu verbinden. Sie konfigurieren die Internetverbindung und aktivieren die gemeinsame Nutzung der Internetverbindung. Nachdem Sie die Netzwerkverbindung konfiguriert haben, können Sie keine freigegebenen Ressourcen in Ihrem lokalen Netzwerk anzeigen oder darauf zugreifen. Wie gehen Sie vor, damit Ihre Arbeitsstation Verbindungen zu freigegebenen Ressourcen herstellen kann?
A
�
Sie konfigurieren die DFÜ-Verbindung und deaktivieren den freigegebenen Zugriff zum Internet.
B
�
Sie konfigurieren die DFÜ-Verbindung und deaktivieren die Option Wählen bei Bedarf.
C
�
Sie deaktivieren die Datenverschlüsselung in der neuen DFÜ-Verbindung.
D
�
Sie verwenden den Befehl ipconfig, um Ihre Netzwerk-TCP/IP-Adresse freizugeben und zu erneuern.
148
Ihre Firma besteht aus einem Hauptsitz und 50 Zweigstellen. Im Hauptsitz wird ein privates Netzwerk mit 1000 Rechnern und in jeder Zweigstelle ein privates Netzwerk mit 10 bis 20 Rechnern und einer 56-Kbit/ s-Verbindung zum Internet betrieben. Um jeder Zweigstelle den Zugriff auf das Internet zu ermöglichen, plant die Firma, die Netzwerkadressübersetzung (NAT), eine Funktion von Routing und RAS, zu verwenden. Sie stellen beim Testen dieser Konfiguration fest, dass bei der Verwendung von vollqualifizierten Domänennamen keine Verbindung zu den Standorten hergestellt werden kann. Die Verbindung zu den Standorten kann allerdings unter Verwendung ihrer IP-Adressen hergestellt werden. Wie sollten Sie vorgehen, um unter Verwendung von vollqualifizierten Domänennamen Verbindungen herstellen zu können?
A
�
Sie weisen den Rechnern in den Zweigstellen die Adresse eines WINSServers zu.
B
�
Sie weisen den Rechnern in den Zweigstellen die Adresse eines DNSServers im Internet zu.
C
�
Sie konfigurieren auf dem NAT-Server einen Filter zum Weiterleiten von DNS-Paketen.
D
�
Sie erstellen auf dem NAT-Server eine Hostdatei.
132
Fragen zum MS-Prüfungsreport
149
Willy konfiguriert einen HP JetDirect-Drucker, wie in der folgenden Grafik (Netzwerkdiagramm) dargestellt: ROUTER 10.1.10.100/16
AP-SYSTEMEDC1 10.1.20.100/16
10.2.40.100/16
10.4.20.100/16
AP-SYSTEMEDNS1 10.2.53.30/16
10.4.30.110/16 ROUTER 10.5.20.100/16
AP-SYSTEMEDDD1 10.5.20.50/16
HP Jet Direct 10.4.20.200/16
Er möchte unter Verwendung des auf dem Windows 2000 Server TEME.de einen Drucker erstellen Namen HP freigeben. Nach der erscheint folgendes Dialogfeld:.
133
TCP/IP-Anschlusses des Druckgeräts AP-SYSTEMEDDD1.Service.AP-SYSund diesen im Netzwerk unter dem Eingabe der IP-Adresse des Geräts
Fragen zum MS-Prüfungsreport
Kapitel 3
Welches Problem hat Willy jetzt? A
�
Falscher oder fehlender DNS-Servereintrag auf AP-SYSTEMEDDD1.service. AP-SYSTEME.de.
B
�
Falscher oder fehlender LPR-Anschluss auf AP-SYSTEMEDDD1.service. AP-SYSTEME.de.
C
�
Angabe der falschen IP-Adresse bei der Konfiguration auf AP-SYSTEMEDDD1. service.AP-SYSTEME.de.
D
�
Angabe der falschen Subnetzmaske für das Druckgerät.
150
Peter W. betreut ein geroutetes Netzwerk, wie im Diagramm dargestellt. ROUTER 192.168.1.100/24
192.168.2.100/24
AP-SYSTEMEdc01.AP-SYSTEME.de 192.168.3.10/24 Domänencontroller DHCP Server
AP-SYSTEMEdyn1.AP-SYSTEME.de 192.168.2.10/24
192.168.3.100/24 192.168.4.100/24
AP-SYSTEMEdc1.service.AP-SYSTEME.de 192.168.4.10/24
ROUTER
Die Server und Router im Netzwerk haben statische IP-Adressen. Die Router unterstützen das BOOTP-Protokoll nicht. AP-SYSTEMEDYN1.service.AP-SYSTEME.de soll in Zukunft als RIS-Server eingesetzt werden. In den Subnetzen neben AP-SYSTEMEDC01. APSYSTEME.de, AP-SYSTEMEDYN1.service.AP-SYSTEME.de und APSYSTEMEDC1.service.AP-SYSTEME.de sollen neue Rechner mithilfe von RIS installiert werden. Die Netzwerkkarten der Rechner sind PXE-kompatibel. Die Rechner sollen ihre IP-Konfiguration vom DHCP-Server erhalten. In welchen Subnetzen sind DHCP-Relay-Agenten zu installieren? (Wählen Sie alle zutreffenden Antworten.) A
�
192.168.1.0, 192.168.2.0, 192.168.3.0, 192.168.4.0.
B
�
192.168.1.0, 192.168.2.0, 192.168.4.0.
C
�
192.168.2.0, 192.168.4.0.
D
�
192.168.2.0, 192.168.3.0, 192.168.4.0.
E
�
In keinem Subnetz.
134
Fragen zum MS-Prüfungsreport
151
Sie installieren auf dem Rechner AP-SYSTEMEWS2 Windows 2000 Professional. Das Netzwerk ist entsprechend der Grafik Netzwerkkonfiguration konfiguriert.
AP-SYSTEMEWS1 10 . 10 . 13 . 39
APSYSTEMEWINS1 10 . 10 . 13 . 10
AP-SYSTEMESRV2 10 . 10 . 13 . 24
10 . 10 . 13 .1
10 . 10 . 30 .1
AP-SYSTEMEPRO1 10 . 10 . 13 . 254
ROUTER
INTERNET
10 . 10 . 164 . 3 AP-SYSTEMESRV3 10 . 10 . 30 . 20
AP-SYSTEMEWS3 10 . 10 . 30 . 200
AP-SYSTEMEWS2 10 . 10 . 167 . 4
AP-SYSTEMESRV1 10 . 10 . 167 . 200
Sie stellen täglich eine Verbindung zu freigegebenen Ressourcen auf APSYSTEMESRV3 her. Heute können Sie jedoch keine Verbindung herstellen. Dominique kann von ihrem Rechner mit der Bezeichnung APSYSTEMEWS1 aus auf AP-SYSTEMESRV3 zugreifen. Sie senden PingSignale an AP-SYSTEMESRV3, um die Ursache des Problems herauszufinden, wie in der Grafik Ping-Ergebnisse dargestellt. Ping-Ergebnisse: C:\>ping AP-SYSTEMESRV3 Ping AP-SYSTEMEsrv3.AP-SYSTEME.de [10.10.30.20] mit 32 Bytes Daten: Antwort Antwort Antwort Antwort
von von von von
10.10.164.3: 10.10.164.3: 10.10.164.3: 10.10.164.3:
Zielhost Zielhost Zielhost Zielhost
nicht nicht nicht nicht
erreichbar. erreichbar. erreichbar. erreichbar.
Ping-Statistik für 10.10.30.20 : Pakete: Gesendet = 4, Empfangen = 4, Verloren = 0 <0% Verlust>, Ca. Zeitangaben in Millisek.: Minimum = 0ms, Maximum = 0ms, Mittelwert = 0ms C:\>
Sie vergewissern sich, dass alle Server mit dem Netzwerk verbunden sind und ordnungsgemäß arbeiten.
135
Fragen zum MS-Prüfungsreport
Kapitel 3
Was ist die wahrscheinlichste Ursache für das Problem? A
�
Die Routerkonfiguration.
B
�
Die WINS-Konfiguration auf dem Client AP-SYSTEMEWS2.
C
�
Die WINS-Konfiguration auf AP-SYSTEMESRV3.
D
�
Die Standardgateway-Einstellung auf dem Client AP-SYSTEMEWS2.
152
Das Firmennetzwerk der AP-SYSTEME GmbH ist wie nachfolgend dargestellt konfiguriert: TRAINING
AP-SYSTEMETRA2 IP: 192.168.1.12
AP-SYSTEMEWS1
AP-SYSTEMEWS2
AP-SYSTEMETRA1 DHCP SERVER IP: 192.168.1.11 SCOPE:192.168.1.32-126 SCOPE:192.168.2.128-160
ROUTER
SCHULUNG
AP-SYSTEMEWS3
AP-SYSTEMEWS4
AP-SYSTEMESCH3 IP: 192.168.2.12
AP-SYSTEMESCH4 DHCP SERVER IP: 192.168.2.11 SCOPE:192.168.2.32-126 SCOPE:192.168.1.128-160
Im Netzwerk wird als Transportprotokoll ausschließlich TCP/IP verwendet. Eines der Subnetze, das die Windows 2000 Server APSYSTEMETRA1 und AP-SYSTEMETRA2 umfasst, wird von der Trainingsabteilung genutzt. Ein weiteres Subnetz beinhaltet die Windows 2000 Server AP-SYSTEMESCH3 und AP-SYSTEMESCH4 und wird von der Schulungsabteilung verwendet. AP-SYSTEMETRA1 und APSYSTEMESCH4 arbeiten als DHCP-Server. Der Router, über den die zwei Subnetze miteinander verbunden sind, ist nicht RFC 1542-kompatibel und unterstützt kein DHCP/BOOTP-Relay. Wie sollte Hans G., der Administrator der Domäne AP-SYSTEME.de, vorgehen, um AP-SYSTEMETRA1 und AP-SYSTEMESCH4 die gegenseitige Unterstützung von Clientrechnern in ihren Subnetzen zu ermöglichen? A
�
Hans G. stellt beim Windows 2000 Server AP-SYSTEMESCH3 im DHCPBereich die Routeroption auf 192.168.2.1 und für den Windows 2000 Server AP-SYSTEMETRA1 auf 192.168.1.1.
136
Fragen zum MS-Prüfungsreport
B
�
Hans G. installiert den Routing- und RAS-Dienst auf den Windows 2000 Servern AP-SYSTEMESCH4 und AP-SYSTEMETRA2 und konfiguriert RIP als Routingprotokoll.
C
�
Hans G. fügt auf den Windows 2000 Servern AP-SYSTEMESCH3 und AP-SYSTEMETRA2 den DHCP-Relay-Agent-Dienst hinzu und konfiguriert diesen.
D
�
Hans G. konfiguriert die Windows 2000 Server AP-SYSTEMESCH4 und AP-SYSTEMETRA2 als DHCP-Server ohne Bereiche.
153
Ihr Netzwerk besteht aus einer Windows NT 4.0-Domäne und 100 Windows 2000 Professional-Rechnern. Das Netzwerk verfügt über drei miteinander verbundene TCP/IP-Subnetze. Alle Rechner verwenden als einziges Netzwerkprotokoll TCP/IP. Sie fügen diesem Netzwerk 15 neue Windows 2000 Professional-Rechner hinzu. Sie möchten, dass die Windows 2000 Professional-Rechner NetBIOS-Namen in IP-Adressen auflösen können. Wie gehen Sie vor?
A
�
Sie installieren einen DHCP-Server und konfigurieren jeden Rechner für die Verwendung von DHCP.
B
�
Sie installieren einen DNS-Server und konfigurieren jeden Rechner für die Verwendung von DNS.
C
�
Sie erstellen auf jedem Rechner eine Datei Lmhosts und fügen den Eintrag mit der IP-Adresse und dem NetBIOS-Namen für jeden Rechner im Netzwerk hinzu.
D
�
Sie erstellen auf jedem Rechner eine Datei Hosts und fügen den Eintrag mit der IP-Adresse und dem NetBIOS-Namen für jeden Rechner im Netzwerk hinzu.
154
Ihr Netzwerk verfügt über NetWare Server der Version 4.X. Dementsprechend haben Sie auf den Windows 2000 Professional-Rechnern den Client Service für NetWare und auf den Windows 2000 Server-Rechnern den Gateway Service für NetWare erfolgreich installiert. Obwohl Sie erst kürzlich einen Windows 2000 Server-Rechner dem Netzwerk hinzugefügt und darauf den Gateway Service für NetWare installiert haben, kann der Server keine Verbindung zu den NetWare-Servern herstellen. Was sollten Sie auf dem neuen Windows 2000 Server-Rechner ausführen, um dieses Problem zu beheben?
A
�
Sie aktivieren NWLink-NetBIOS.
B
�
Sie konfigurieren die manuelle Rahmentyperkennung bei NWLink.
137
Fragen zum MS-Prüfungsreport
Kapitel 3
C
�
Sie installieren RIP-Routing für IPX.
D
�
Sie installieren den SAP-Agenten.
155
Peter betreut ein geroutetes Windows 2000-Netzwerk. Das BOOTP-Protokoll ist auf den Routern nicht aktiviert. Im Netzwerk befinden sich zehn Windows 2000 Server gleichmäßig verteilt über die Subnetze und 110 Windows 2000 Professional-Rechner. Als Transportprotokoll wird ausschließlich TCP/IP verwendet. Peter installiert in einem neuen Segment zusätzlich 30 weitere Windows 2000 Professional-Rechner. Er möchte es auch diesen Rechnern ermöglichen, die IP-Konfiguration automatisch zu erhalten. Was muss Peter tun, um dieses Ziel zu erreichen? (Wählen Sie alle in Frage kommenden Antworten aus.)
A
�
Auf dem Router den DHCP-Relay-Agenten installieren.
B
�
Am DHCP-Server die DNS-Serveradresse als Bereichsoption konfigurieren.
C
�
Am DHCP-Server die DNS-Serveradresse als Clientoption konfigurieren.
D
�
Am DHCP-Server die Gateway-Adresse als Bereichsoption konfigurieren.
E
�
Am DHCP-Server die Gateway-Adresse als Clientoption konfigurieren.
F
�
Am DHCP-Server die WINS-Serveradresse als Bereichsoption konfigurieren.
G
�
Am DHCP-Server die WINS-Serveradresse als Clientoption konfigurieren.
156
Sie sind der Administrator eines Windows 2000-Netzwerks, das insgesamt über 18.000 Windows 2000 Professional-Clients und zehn Windows 2000-basierte WINS-Server verfügt. Die WINS-Clients sind in der Regel tragbare Rechner, die eine Netzwerkverbindung häufig von unterschiedlichen Standorten aus herstellen. Die WINS-Clients werden meistens für den Zugriff auf NetBIOS-basierte Ressourcen verwendet. Die TCP/IPKonfiguration der WINS-Clients wird durch einen DHCP-Server vorgenommen. Einige der WAN-Verbindungen in Ihrem Netzwerk sind unzuverlässig. Sie müssen sicherstellen, dass alle Windows 2000 Professional-Rechner NetBIOS-Namen auch dann auflösen können, wenn nicht alle WINS-Server im Netzwerk verfügbar sind. Wie konfigurieren Sie Ihr Netzwerk, um dieses Ziel zu erreichen?
A
�
Sie konfigurieren in jedem Segment einen Rechner als WINS-Proxy.
B
�
Sie konfigurieren die DHCP-Server und stellen jedem Client eine Liste von WINS-Servern zur Verfügung.
138
Fragen zum MS-Prüfungsreport
C
�
Sie konfigurieren die WINS-Server und aktivieren die Burst-Verarbeitung. Sie setzen die Anzahl der Anforderungen für die Burst-Verarbeitung auf Hoch.
D
�
Sie konfigurieren den DHCP-Server und setzen den Knotentyp NetBIOS über TCP/IP für jeden Clientrechner auf Gemischt (M-Knoten).
157
In Ihrem Firmennetzwerk wird ausschließlich TCP/IP verwendet. Die Netzwerksysteme sind für die Verwendung von IP-Adressen aus dem privaten Bereich 10.0.0.0 konfiguriert. Auf allen Clients im Netzwerk, das aus Windows 2000 Server-Rechnern und UNIX-Servern besteht, ist Windows 2000 Professional installiert. Die Druckaufträge der Benutzer werden an die freigegebenen Drucker eines Windows 2000 Server-Rechners mit der Bezeichnung PrintAP-SYSTEME gesendet. Dieser Server leitet die Druckaufträge daraufhin direkt an die am Netzwerk angeschlossenen Drucker weiter. An einem UNIX-Server ist ein Hochleistungsdrucker angeschlossen. Welche Information braucht man unbedingt, um als Druckserver für diesen Hochleistungsdrucker fungieren zu können?
A
�
MAC-Adresse und HP Jet Direct-Unterstützung.
B
�
Hostname und Freigabename.
C
�
IP-Adresse und Freigabename.
D
�
IP-Adresse, Subnetzmaske und TCP/IP-Druckdienst.
158
Sie verwalten ein geroutetes Netzwerk, das als Netzwerkprotokoll ausschließlich TCP/IP verwendet. Alle Windows 2000 Professional-Arbeitsstationen sind Mitglieder einer Windows 2000-Domäne im gemischten Modus. Claudia installiert auf dem Windows 2000 Server APSYSTEMEGSNW1 eine zweite Netzwerkkarte und installiert den Gateway Service für NetWare. Das Netzwerk ist wie folgt konfiguriert: AP-SYSTEMENTWS1 Windows NT 4.0
AP-SYSTEMEDC1 Domänencontroller
ROUTER
INTERNET
ADAPTER1
AP-SYSTEMEWS1 Windows 2000
AP-SYSTEMEWS2 Windows 2000
ADAPTER2
AP-SYSTEMEGSNW1 Domänencontroller
139
NOV001 NETWARE 3.1x
Fragen zum MS-Prüfungsreport
Kapitel 3
Claudia möchte den Netzwerkadapter 2 ausschließlich für die Kommunikation mit NetWare-Servern nutzen. Welche Kontrollkästchen sollte sie im Dialogfeld EIGENSCHAFTEN VON LAN-VERBINDUNG deshalb aktivieren? (Wählen Sie alle zutreffenden Antworten aus.) A
�
Gateway (und Client) Services für NetWare.
B
�
Client für Microsoft-Netzwerke.
C
�
Datei- und Druckerfreigabe für Microsoft-Netzwerke.
D
�
NWLink NetBIOS.
E
�
NWLink IPX/SPX/NetBIOS-kompatibles Transportprotokoll.
F
�
Internetprotokoll (TCP/IP).
159
Ihr Netzwerk besteht aus einer Windows NT 4.0-Domäne und 35 Windows 2000 Professional-Rechnern. Das Netzwerk verfügt über fünf miteinander verbundene TCP/IP-Subnetze. Alle Rechner verwenden als einziges Netzwerkprotokoll TCP/IP. Sie fügen diesem Netzwerk 15 neue Windows 2000 Professional-Rechner hinzu. Sie möchten, dass die Windows 2000 Professional-Rechner NetBIOS-Namen in IP-Adressen auflösen können. Wie gehen Sie vor?
A
�
Sie installieren einen DHCP-Server und konfigurieren jeden Rechner für die Verwendung von DHCP.
B
�
Sie installieren einen WINS-Server und konfigurieren jeden Rechner für die Verwendung von WINS.
C
�
Sie erstellen auf jedem Rechner eine Datei Lmhosts.sam und fügen den Eintrag mit der IP-Adresse und dem NetBIOS-Namen für jeden Rechner im Netzwerk hinzu.
D
�
Sie erstellen auf jedem Rechner eine Datei Hosts.sam und fügen den Eintrag mit der IP-Adresse und dem NetBIOS-Namen für jeden Rechner im Netzwerk hinzu.
160
Sie installieren auf dem Rechner AP-SYSTEMENEU Windows 2000 Professional. Ihr Netzwerk verwendet als einziges Netzwerkprotokoll TCP/IP. Sie konfigurieren am Rechner AP-SYSTEMENEU die IP-Adresse 10.10.20.234, als Standardgateway 10.10.13.1 und als WINS-Server 10.10.13.10. Der Rechner AP-SYSTEMEWIN1 ist der WINS-Server für das Netzwerk.
140
Fragen zum MS-Prüfungsreport
Sie können unter Verwendung von UNC-Namen keine Verbindungen zu freigegebenen Ressourcen auf dem Rechner AP-SYSTEMESRV1 oder APSYSTEMEEX1 herstellen. Welche Adresse sollten Sie für das Standardgateway verwenden, damit AP-SYSTEMENEU Verbindungen zu den Rechnern AP-SYSTEME SRV1 oder AP-SYSTEMEEX1 herstellen kann? AP-SYSTEMESRV1 SERVER 10 . 10 . 13 . 39
AP-SYSTEMEEX1 EXCHANGE SERVER 10 . 10 . 13 . 20
AP-SYSTEMEWINS1 WINS SERVER 10 . 10 . 13 . 10
INTERNET
10.10.13.1
AP-SYSTEMEPRO1 PROXY SERVER 10 . 10 . 13 . 254
10.10.30.1 Router 10 . 10 . 20 . 1 AP-SYSTEMEWS1 10 . 10 . 30 . 20
AP-SYSTEMEWS3 10 . 10 . 30 . 200
AP-SYSTEMENEU AP-SYSTEMESRV3 10 . 10 . 20 . 167
161
Sie sind der Netzwerkadministrator der AP-SYSTEME Press GmbH. Ihr Netzwerk besteht aus zehn Windows 2000 Servern, 150 Windows 2000 Professional-Rechnern und 150 Windows NT 4.0 Workstations. Auf allen Clients ist die Datei- und Druckerfreigabe aktiviert, um die Zusammenarbeit zwischen den jeweiligen Arbeitsgruppen und die gemeinsame Verwendung von Dokumenten zu ermöglichen. Sie setzen einen der Windows 2000 Server als DHCP-Server ein, um die IP-Adresszuordnung auf den Clients zu automatisieren. Sie wollen folgende Ziele erreichen: • • •
•
Alle Clients sollen im Netzwerk anhand des vollqualifizierten Netzwerkdomänennamens gefunden werden können. Die DNS-Zonendateien A (Hosteinträge) sollen für alle Clients automatisch hinzugefügt werden. Die DNS-Zonendateien PTR (Zeigereinträge) sollen für alle Clients automatisch hinzugefügt werden, um Reverse-Lookups von Namen zu unterstützen. Bei Ablauf der DHCP-Lease sollen die A- und PTR-Einträge automatisch aus den DNS-Zonendateien entfernt werden.
141
Fragen zum MS-Prüfungsreport
Kapitel 3
Sie führen folgende Schritte durch: • •
• •
Sie konfigurieren den DHCP-Server und legen fest, dass die Clientinformationen in DNS stets aktualisiert werden. Sie konfigurieren den DHCP-Server und legen fest, dass die für Forward-Lookups erforderlichen Einträge bei Ablauf der Lease entfernt werden. Sie konfigurieren den DHCP-Adressbereich und legen fest, dass der Domänenname allen DHCP-Clients zugewiesen wird. Sie konfigurieren den DHCP-Server und legen fest, dass der DHCPServer DNS für die Clients aktualisiert, die keine dynamischen Aktualisierungen unterstützen.
Welches Ergebnis bzw. welche Ergebnisse werden durch Ihre Maßnahmen erzielt? (Wählen Sie alle zutreffenden Antworten aus.) A
�
Alle Clients im Netzwerk können anhand des vollqualifizierten Netzwerkdomänennamens gefunden werden.
B
�
Die DNS-Zonendatei-A-Einträge werden für alle Clients automatisch hinzugefügt.
C
�
Die DNS-Zonendatei-PTR-Einträge für Reverse-Lookups von Namen werden für alle Clients automatisch hinzugefügt.
D
�
Die A- und PTR-Einträge werden bei Ablauf der DHCP-Lease automatisch aus den DNS-Zonendateien entfernt.
162
Sie sind Administrator eines Windows 2000-Netzwerks, das aus 75 Windows NT 4.0 Workstations besteht. Diesem Netzwerk fügen Sie 50 neue PXE-kompatible Computer hinzu, die über die gleiche Hardwareausstattung verfügen. Sie verwenden ein RIS-Abbild, um Windows 2000 Professional auf diesen 50 neuen Computern zu installieren. Die Installation verläuft auf den ersten zehn Computern ohne jegliche Probleme. Auf den restlichen 40 Computern kommt es zu Problemen, die einen erfolgreichen Abschluss der Installation von Windows 2000 Professional verhindern. Wie lösen Sie dieses Problem?
A
�
Sie erweitern den DHCP-Bereich um zusätzliche IP-Adressen.
B
�
Sie führen auf dem RIS-Server das Dienstprogramm rbfg.exe aus, das sich im Ordner RemoteInstall\Admin befindet.
C
�
Sie ändern im CMOS der betroffenen Computer die Bootsequenz.
D
�
Sie erstellen für die restlichen Computer im Active Directory entsprechende Computerkonten.
142
Fragen zum MS-Prüfungsreport
163
Claudia verwaltet ein geroutetes Windows 2000 Server-Netzwerk, das als Netzwerkprotokoll ausschließlich TCP/IP verwendet. Alle Windows 2000 Professional- und Windows NT 4.0-Arbeitsstationen sind Mitglieder einer einzelnen Domäne. Claudia installiert auf dem Windows 2000 Server APSYSTEMEGSNW1 eine zweite Netzwerkkarte und installiert den Gateway Service für NetWare. Das Netzwerk ist wie folgt dargestellt konfiguriert: AP-SYSTEMENTWS1 Windows NT 4.0
AP-SYSTEMEDC1 Domänencontroller
ROUTER INTERNET
ADAPTER1
AP-SYSTEMEWS1 Windows 2000
AP-SYSTEMEWS2 Windows 2000
ADAPTER2
AP-SYSTEMEGSNW1
NOV001 NETWARE 3.1x
Claudia möchte den Netzwerkadapter 1 ausschließlich für die Kommunikation mit MS-Clients nutzen. Was sollte sie im Dialogfeld EIGENSCHAFTEN VON LAN-VERBINDUNG deshalb aktivieren? A
�
Gateway (und Client) Services für NetWare, Client für Microsoft-Netzwerke, NWLINK IPX/SPX/NetBIOS-kompatibles Transportprotokoll.
B
�
Client für Microsoft-Netzwerke, Datei- und Druckerfreigabe für Microsoft-Netzwerke, TCP/IP.
C
�
Client für Microsoft-Netzwerke, Datei- und Druckerfreigabe für Microsoft-Netzwerke, TCP/IP, NWLink IPX/SPX/NetBIOS-kompatibles Transportprotokoll.
D
�
NWLink IPX/SPX/NetBIOS-kompatibles Transportprotokoll, Gateway (und Client) Services für NetWare.
164
Ein geroutetes Windows 2000-Netzwerk, das über 25 Windows 2000 Server-Rechner verfügt, wird von Ihnen administriert und Sie möchten in einem weiteren Segment einen neuen Windows 2000 Server-Rechner als ersten Server installieren. Sie richten auf dem existierenden DHCP-Server für das zusätzliche geroutete Segment einen gültigen Adressbereich ein und geben während der Installation des Windows 2000 Server-Computers an, dass der Server seine IP-Adresse von einem vorhandenen DHCP-Server anfordern soll.
143
Fragen zum MS-Prüfungsreport
Kapitel 3
Sie öffnen nach Abschluss der Installation die Netzwerkumgebung und stellen fest, dass der neue Server zwar angezeigt wird, jedoch keine weiteren Computer aufgelistet werden. Sie führen den Befehl lpconfig aus und stellen fest, dass dem neuen Server die IP-Adresse 169.254.1.200 mit einer 16 BitSubnetmask, aber ohne Standard-Gatewayadresse zugeordnet wurde. Wie gehen Sie vor, um das Problem zu lösen und die anderen Computer im gerouteten Netzwerk anzuzeigen? (Wählen Sie zwei Antworten aus.) A
�
Sie konfigurieren das Standardgateway, um an den TCP-Anschluss 270 gerichtete Datenpakete weiterzuleiten.
B
�
Sie fügen die IP-Adresse des Standardgateways den TCP/IP-Eigenschaften des neuen Servers zu.
C
�
Sie installieren im neuen, gerouteten Segment einen Rechner, der den DHCP-Relay-Agenten ausführt.
D
�
Sie fügen im neuen, gerouteten Segment einen WINS-Server hinzu.
E
�
Sie konfigurieren alle Router, um BOOTP Broadcast-Pakete zu verschicken.
165
Sie sind der Netzwerkadministrator eines Windows 2000-Netzwerks. Ihr Netzwerk verfügt über 20 Windows 2000 Server, 300 Windows 2000 Professional-Clients, 200 Windows 98-Clients und 25 UNIX-Clients, auf denen SMB-Serversoftware ausgeführt wird. Im Netzwerk wird ausschließlich das Transportprotokoll TCP/IP verwendet. Sie implementieren im Netzwerk WINS für die Vereinfachung der NetBIOS-Namensauflösung. Die Benutzer der Windows-Clients können jedoch auf Ressourcen, die auf den UNIX-Rechnern verfügbar sind, keine NetBIOS-Namen verwenden. Beim Zugriff auf Windows-Rechner funktioniert das Ganze reibungslos. Was tun Sie, um dieses Problem zu lösen?
A
�
Sie installieren auf einem der UNIX-Rechner einen WINS-Proxy-Agenten.
B
�
Sie installieren auf einem Windows-Rechner einen WINS-Proxy-Agenten.
C
�
Sie erstellen auf dem WINS-Server statische Zuordnungen für die UNIXRechner.
D
�
Sie erstellen auf dem WINS-Server statische Zuordnungen für die WindowsRechner.
166
Sie sind der Netzwerkadministrator der AP-SYSTEME GmbH. Das Netzwerk, das Sie betreuen, ist entsprechend der nachfolgenden Grafik aufgebaut.
144
Fragen zum MS-Prüfungsreport
AP-SYSTEMEAD1 Active Directory Server
AP-SYSTEMERIS1 RIS Server
AP-SYSTEMEDNS1 DNS/WINS Server
AP-SYSTEMEDHCP1 DHCP Server
Router
AP-SYSTEMEWS1 10 . 10 . 30 . 20
AP-SYSTEMEWS2 10 . 10 . 30 . 200
AP-SYSTEMEWS3 10 . 10 . 30 . 222
Sie möchten Windows 2000 Professional auf zehn nicht PXE-kompatiblen Rechnern im Netzwerksegment der Abteilung »Schulung« installieren. Sie starten einen der Rechner mit einer RIS-Startdiskette, können jedoch keine Verbindung mit dem Rechner AP-SYSTEMERIS1 herstellen. Sie vergewissern sich, dass andere Rechner im Netzwerk kommunizieren können, auch mit AP-SYSTEMERIS1. Da der Netzwerkrouter BOOTP nicht unterstützt, verwenden vorhandene Clients manuell konfigurierte TCP/IP-Adressen. Sie möchten erreichen, dass die nicht PXE-kompatiblen Rechner Verbindungen mit dem Rechner AP-SYSTEMERIS1 herstellen können. Wie realisieren Sie das? A
�
Sie fügen einen Rechner zum Netzwerksegment der Abteilung »Schulung« hinzu, der den DHCP-Relay-Agenten ausführt.
B
�
Sie fügen einen Rechner zum Netzwerksegment der Abteilung »Schulung« hinzu, der einen Netzwerkmonitortreiber ausführt.
C
�
Sie versetzen den Windows 2000 Server, der WINS bereitstellt, in das Netzwerksegment der Abteilung »Schulung«.
D
�
Sie versetzen den Windows 2000 Server, der Active Directory ausführt, in das Netzwerksegment der Abteilung »Schulung«.
167
Uwe P. konfiguriert das Notebook von Willy P. Willy P. hat als Betriebssystem Windows 2000 Professional auf seinem Notebook installiert und verwendet ein Smartcard-Lesegerät. Die Treiber hierfür sind ebenfalls auf dem Notebook von Willy P. installiert. Welches Authentifizierungsprotokoll wird in Zusammenhang mit Smartcards verwendet?
A
�
Extensible-Authentification-Protokoll (EAP)
B
�
Unverschlüsseltes Kennwort (PAP)
145
Fragen zum MS-Prüfungsreport
Kapitel 3
C
�
Shiva-Password-Authentication-Protokoll (SPAP)
D
�
Challenge-Authentication-Protokoll (CHAP)
E
�
Microsoft CHAP (MS-CHAP)
F
�
Microsoft CHAP Version 2 (MS-CHAP v2)
168
In Ihrem Netzwerk installieren Sie den Routing- und RAS-Dienst auf einem Windows 2000 Server-Rechner. Ihr Netzwerk verfügt über keinen direkten Zugang zum Internet und verwendet den privaten IP-Adressbereich 192.168.0.0. Sie können mit dem Routing- und RAS-Dienst zwar eine DFÜ-Verbindung zum Server herstellen, allerdings nicht auf die bereitgestellten Ressourcen zugreifen. Wenn Sie versuchen, die Server unter Verwendung ihrer IP-Adressen mit dem Befehl ping zu erreichen, erhalten Sie folgende Fehlermeldung: Zeitüberschreitung der Anforderung. Sie führen daraufhin den Befehl ipconfig aus und stellen fest, dass Ihrer DFÜ-Verbindung die IP-Adresse 169.254.75.182 zugewiesen wurde. Wie lösen Sie das Problem?
A
�
Sie weisen dem RAS-Server die Adresse eines DHCP-Servers zu.
B
�
Sie autorisieren den RAS-Server, mehrere Adressen von einem DHCPServer zu beziehen.
C
�
Sie konfigurieren den RAS-Server als DHCP-Relay-Agenten.
D
�
Sie stellen sicher, dass der RAS-Server eine Verbindung zu dem DHCPServer herstellen kann, der über den Adressbereich für das lokale Subnetz verfügt.
169
Ein geroutetes Windows 2000-Netzwerk, das über 25 Windows 2000 ServerRechner verfügt, wird von Ihnen administriert und Sie möchten in einem weiteren Segment einen neuen Windows 2000 Server-Rechner als ersten Server installieren. Sie richten auf dem existierenden DHCP-Server für das zusätzliche geroutete Segment einen gültigen Adressbereich ein und geben während der Installation des Windows 2000 Server-Computers an, dass der Server seine IP-Adresse von einem vorhandenen DHCP-Server anfordern soll. Sie öffnen nach Abschluss der Installation die Netzwerkumgebung und stellen fest, dass der neue Server zwar angezeigt wird, jedoch keine weiteren Computer aufgelistet werden. Sie führen den Befehl lpconfig aus und stellen fest, dass dem neuen Server die IP-Adresse 169.254.1.200 mit einer 16 BitSubnetmask, aber ohne Standard-Gateway-Adresse zugeordnet wurde.
146
Fragen zum MS-Prüfungsreport
Wie gehen Sie vor, um das Problem zu lösen und die anderen Computer im gerouteten Netzwerk anzuzeigen? (Wählen Sie zwei Antworten aus.) A
�
Sie konfigurieren das Standardgateway, um an den TCP-Anschluss 270 gerichtete Datenpakete weiterzuleiten.
B
�
Sie fügen die IP-Adresse des Standardgateways den TCP/IP-Eigenschaften dem neuen Servers zu.
C
�
Sie installieren im neuen, gerouteten Segment einen Rechner, der den DHCP-Relay-Agent ausführt.
D
�
Sie fügen im neuen, gerouteten Segment einen WINS-Server hinzu.
E
�
Sie konfigurieren alle Router, um BOOTP Broadcast Pakete zu verschicken.
170
Als Transportprotokoll wird in Ihrem Netzwerk ausschließlich TCP/IP verwendet. Sie installieren in diesem Netzwerk einen RAS-Server. Mehrere Benutzer berichten, dass sie folgende Fehlermeldung erhalten, wenn sie versuchen, eine Verbindung zum Server herzustellen: IPX/SPX-kompatibler CP meldet Fehler 733. Das PPP-Kontroll-Netzwerkprotokoll ist für das Netzwerkprotokoll nicht verfügbar. Wenn die Benutzer den Vorgang fortsetzen, können sie mit den TCP/IPbasierten Diensten kommunizieren. Wie unterbinden Sie diese Fehlermeldung?
A
�
Sie konfigurieren die Clients zur Verbindungsherstellung mit dem RASServer unter ausschließlicher Verwendung von TCP/IP.
B
�
Sie konfigurieren die Clients zur Verbindungsherstellung mit dem RASServer unter ausschließlicher Verwendung einer definierten IPX-Adresse.
C
�
Sie konfigurieren den RAS-Server, um den IPX-gestützten Remotezugriff und die Verbindungsherstellung bei Bedarf zu ermöglichen.
D
�
Sie konfigurieren den RAS-Server und deaktivieren die Unterstützung von Mehrfachverbindungen.
171
Jan D. betreut ein Windows 2000-Netzwerk. Das Netzwerk besteht ausschließlich aus Windows 2000-Rechnern, einem Windows 2000-basierten DHCP-Server, zwei Routern und 100 Windows 2000 Professional-Rechnern. Die Windows 2000 Professional-Clients sind über vier Segmente verteilt. Die gesamte TCP/IP-Konfiguration der Clients wird durch den DHCPServer durchgeführt. Der DHCP-Server hat hierzu vier Adressbereiche und steht selbst im Subnetz C. Die Router leiten die DHCP-Anforderungen der Windows 2000 Professional-Rechner nicht weiter. Jeder Router verfügt
147
Fragen zum MS-Prüfungsreport
Kapitel 3
über drei Schnittstellen. Sie möchten den DHCP-Relay-Agenten aktivieren und konfigurieren, um es allen Windows 2000 Professional-Rechnern zu ermöglichen, eine IP-Adresse vom DHCP-Server zu beziehen. An welchen Schnittstellen müssen Sie den DHCP-Relay-Agenten aktivieren bzw. konfigurieren? (Klicken Sie zur Beantwortung dieser Frage auf die Schaltfläche AUSWÄHLEN UND PLATZIEREN und ziehen Sie dann das Kästchen an die betreffenden Routerschnittstellen. Das Kästchen kann mehr als einmal verwendet werden.)
A
D 25 Windows 2000 Professional
25 Windows 2000 Professional
ROUTER
ROUTER
B
C
DHCP Server mit 4 Bereichen
20 Windows 2000 Professional
20 Windows 2000 Professional
Schnittstelle mit DHCP Relay Agent
172
Peter W. betreut ein geroutetes Netzwerk, wie im Diagramm dargestellt. ROUTER 192.168.1.100/24
192.168.2.100/24
AP-SYSTEMEdc01.AP-SYSTEME.de 192.168.3.10/24
AP-SYSTEMEdyn1.AP-SYSTEME.de 192.168.2.10/24
192.168.3.100/24 192.168.4.100/24
AP-SYSTEMEdc1.service.AP-SYSTEME.de 192.168.4.10/24
ROUTER
148
Fragen zum MS-Prüfungsreport
Die Server und Router im Netzwerk haben statische IP-Adressen. Die Router unterstützen das BOOTP-Protokoll. AP-SYSTEMEDYN1.AP-SYSTEME.de soll in Zukunft als RIS-Server eingesetzt werden. In den Subnetzen neben AP-SYSTEMEDC01.AP-SYSTEME.de, AP-SYSTEMEDYN1.AP-SYSTEME.de und AP-SYSTEMEDC1. service.AP-SYSTEME.de sollen neue Rechner mithilfe von RIS installiert werden. Die Netzwerkkarten der Rechner sind PXE-kompatibel. Die Rechner sollen ihre IP-Konfiguration vom DHCP-Server erhalten. In welchen Subnetzen sind DHCP-Relay-Agenten zu installieren? (Wählen Sie alle zutreffenden Antworten.) A
�
192.168.1.0, 192.168.2.0, 192.168.3.0, 192.168.4.0.
B
�
192.168.1.0, 192.168.2.0, 192.168.4.0.
C
�
192.168.2.0, 192.168.4.0.
D
�
192.168.2.0, 192.168.3.0, 192.168.4.0.
E
�
In keinem Subnetz.
173
Das Firmennetzwerk der AP-SYSTEME GmbH ist wie folgt konfiguriert: TRAINING
AP-SYSTEMETRA2 IP: 192.168.1.12
AP-SYSTEMEWS1
AP-SYSTEMEWS2
AP-SYSTEMETRA1 DHCP SERVER IP: 192.168.1.11 SCOPE:192.168.1.32-126 SCOPE:192.168.2.128-160
ROUTER
SCHULUNG
AP-SYSTEMESCH3 IP: 192.168.2.12
AP-SYSTEMEWS3
AP-SYSTEMEWS4
AP-SYSTEMESCH4 DHCP SERVER IP: 192.168.2.11 SCOPE:192.168.2.32-126 SCOPE:192.168.1.128-160
Im Netzwerk wird als Transportprotokoll ausschließlich TCP/IP verwendet. Eines der Subnetze, das die Windows 2000 Server AP-SYSTEMETRA1 und AP-SYSTEMETRA2 umfasst, wird von der Trainingsabteilung genutzt. Ein weiteres Subnetz beinhaltet die Windows 2000 Server AP-SYSTEMESCH3 und AP-SYSTEMESCH4 und wird von der Schulungsabteilung verwendet.
149
Fragen zum MS-Prüfungsreport
Kapitel 3
AP-SYSTEMETRA1 und AP-SYSTEMESCH4 arbeiten als DHCP-Server. Der Router, über den die zwei Subnetze miteinander verbunden sind, ist nicht RFC 1542-kompatibel und unterstützt kein DHCP/BOOTP-Relay. Auf welchem Rechner sollte Hans G. den DHCP-Relay-Agenten hinzufügen und konfigurieren? A
�
AP-SYSTEMESCH3 und AP-SYSTEMEWS4.
B
�
AP-SYSTEMESCH4 und AP-SYSTEMETRA2.
C
�
AP-SYSTEMESCH3 und AP-SYSTEMETRA2.
D
�
AP-SYSTEMESCH4 und AP-SYSTEMETRA2.
174
Sie sind der Administrator eines Windows 2000-Netzwerks. Das Netzwerk besteht aus Windows 2000 Server-Rechnern, Windows 2000 Professional-Clients, Windows NT 4.0 Workstations und Windows für Workgroups 3.11-Clients, die über drei Subnetze verteilt sind. Alle Clients verwenden die automatische TCP/IP-Konfiguration. Sie installieren in einem Subnetz einen neuen Windows 2000 Server als WINS-Server. Zusätzlich definieren Sie eine DHCP-Bereichsoption für die Adresse des neuen WINS-Servers. Die Benutzer können zwar auf Ressourcen in ihrem eigenen Subnetz zugreifen, jedoch nicht auf Ressourcen in anderen Subnetzen. Wie lösen Sie dieses Problem?
A
�
Sie aktualisieren die Konfiguration sämtlicher Clients mittels des Befehls ipconfig /renew.
B
�
Sie aktualisieren die Konfiguration sämtlicher Clients mittels des Befehls ipconfig /release.
C
�
Sie installieren einen WINS-Proxy-Agenten in dem Subnetz, in dem sich der neue WINS-Server befindet.
D
�
Sie installieren einen WINS-Proxy-Agenten in den Subnetzen, die den neuen WINS-Server nicht enthalten.
175
Sie sind der Administrator eines Windows 2000-Netzwerks. Dieses Netzwerk besteht aus fünf Subnetzen, die über einen Router miteinander verbunden sind. Auf diesem ist BOOTP-Relay aktiviert. Im Netzwerk befinden sich 80 Windows 2000 Server und 800 Windows 2000 Professional-Rechner. Diese Rechner sind relativ gleichmäßig über die Subnetze verteilt. Zusätzlich befinden sich im Netz 20 UNIX-Server und 100 für DHCP aktivierte Netzwerkdrucker.
150
Fragen zum MS-Prüfungsreport
Sie sollen das Netzwerk optimieren, um folgende Ziele zu erreichen: • • • • •
Die korrekte Zuordnung von IP-Adressen an alle Clients in den Subnetzen soll automatisiert werden. Adresskonflikte zwischen Servern und Clients sollen verhindert werden. Es sollen korrekte Bereichsoptionen für alle Clients in den Subnetzen verwendet werden. Inaktive Clients sollen IP-Adressen nicht länger als drei Tage behalten. Jeder Netzwerkdrucker soll immer die gleiche IP-Adresse erhalten.
Sie führen folgende Schritte durch: • • • • •
Sie konfigurieren einen der Windows 2000 Server als DHCP-Server. Sie erstellen fünf Adressbereiche. Sie konfigurieren eine Leasedauer von drei Tagen. Sie erstellen Reservierungen für die Server. Sie schließen die von den Netzwerkdruckern verwendeten Adressen aus.
Welches Ergebnis bzw. welche Ergebnisse werden durch Ihre Maßnahmen erzeugt? (Wählen Sie alle zutreffenden Antworten aus.) A
�
Die korrekte Zuordnung der IP-Adressen an alle Clients in allen Subnetzen wird automatisiert.
B
�
Adresskonflikte aufgrund doppelt vorhandener IP-Adressen zwischen den Clients und den Servern werden verhindert.
C
�
Korrekte Bereichsoptionen werden für alle Clients in den Subnetzen verwendet.
D
�
Inaktive Clients können eine IP-Adresse maximal drei Tage beanspruchen.
E
�
Jeder Netzwerkdrucker erhält immer die gleiche IP-Adresse.
176
Peter R administriert ein heterogenes Netzwerk mit zwei durch einen Router getrennten Subnetzen. In Subnetz A befinden sich zwei Windows 2000 Server, zwei NT 4.0 Server und 300 Windows 2000 Professional-Rechner. Zu Subnetz B gehören zwei NT 4.0 Server, 250 NT 4.0 Workstations und vier UNIX-Server. Einer der NT 4.0 Server in Subnetz B mit dem Namen WINS1 ist als WINS-Server zur NetBIOS-Namensauflösung installiert. Alle Windowsbasierten Computer im Netz sind für WINS konfiguriert. Für die UNIX-Server wurden statische Einträge in der WINS-Datenbank durchgeführt. DNS ist im Netzwerk nicht im Einsatz. Auf den vier UNIX-Servern im Subnetz B läuft SMB-Server und ClientSoftware. Peter will sicherstellen, dass die UNIX-Server Zugriff auf Daten bekommen, die auf den Windows 2000 Servern im Subnetz A gespeichert sind.
151
Fragen zum MS-Prüfungsreport
Kapitel 3
Welche der folgenden Maßnahmen muss Peter ergreifen, um dieses Ziel zu erreichen? A
�
Peter muss für die Windows 2000 Server in Subnetz A statische Einträge in der WINS-Datenbank hinzufügen.
B
�
Peter muss in Subnetz A einen WINS-Proxy-Rechner konfigurieren.
C
�
Peter muss im Subnetz A einen WINS-Server installieren.
D
�
Peter muss in Subnetz B einen WINS-Proxy-Rechner konfigurieren.
177
Uschi ist Administrator eines Windows 2000-Netzwerks mit sieben Windows 2000 Servern und 200 NT 4.0 Workstations in einer einzigen Windows 2000-Domäne. Einer der Mitgliedsserver ist als DNS-Server konfiguriert und die sichere dynamische Aktualisierung ist zugelassen. Ein anderer Mitgliedsserver ist als DHCP-Server installiert. Uschi will die NT 4.0 Workstations auf Windows 2000 aktualisieren. Während der Aktualisierung hat Uschi den DHCP-Server dahingehend konfiguriert, dass er die Aktualisierungen für die nicht Windows 2000Clients beim DNS-Server vornimmt. Dadurch wird ca. die Hälfte der Clients beim DNS-Server eingetragen. Nach der Aktualisierung ändert Uschi die Konfiguration des DHCP-Servers dahingehend, dass er keine Einträge beim DNS-Server mehr vornimmt. Uschi stellt jedoch fest, dass die Rechner, die ihre Konfiguration bereits erhalten hatten, ihre Einträge beim DNS-Server nicht aktualisieren können. Was ist die Ursache?
A
�
Die Windows 2000-Clients sind für WINS konfiguriert.
B
�
Die DNS-Zonen sind nicht im Active Directory integriert.
C
�
Der DHCP-Server ist kein Mitglied der globalen Sicherheitsgruppe »DNSUpdateProxy«.
D
�
Der DHCP-Server ist im Active Directory nicht autorisiert.
178
Zu Ihrem Ethernet-basierten Netzwerk gehören Windows 2000 Server, Novell NetWare 4.1 Server und Novell NetWare 3.11 Server. Die Windows 2000-Server verwenden TCP/IP als einziges Netzwerkprotokoll. Einer der Windows 2000 Server ist ein autorisierter DHCP-Server. Die NetWare-Server verwenden IPX/SPX und nur ihren Standard-Frametyp.
152
Fragen zum MS-Prüfungsreport
Sie installieren einen neuen Windows 2000 Server mit Routing und RAS (RRAS), um Remotezugriffe zu ermöglichen. Sie sollen folgende Ziele erreichen: • • • •
Die Remote-Clients sollen vom DHCP-Server IP-Adressen erhalten. Die Remote-Clients sollen auf die Windows 2000 Server zugreifen können. Die Remote-Clients sollen auf die Novell NetWare 4.1 Server zugreifen können. Die Remote-Clients sollen auf die Novell NetWare 3.11 Server zugreifen können.
Sie führen folgende Schritte durch: • • • • •
Sie installieren auf dem RAS-Server die Protokolle TCP/IP und IPX/ SPX. Sie stellen sicher, dass der DHCP-Server einen korrekt konfigurierten Adressbereich und Adressen für die Remote-Clients besitzt. Sie konfigurieren den RAS-Server, dass er die DHCP-IP-Adressen an die Remote-Clients weiterleitet. Sie erlauben in der Standard-RAS-Richtlinie allen Domänenbenutzern den Zugriff zu jeder Zeit. Sie konfigurieren die Schnittstelle des RAS-Servers für die automatische Erkennung des Frametyps für IPX/SPX.
Welche Ziele haben Sie erreicht? (Wählen Sie alle zutreffenden Antworten.) A
�
Die Remote-Clients erhalten die IP-Adresse vom DHCP-Server.
B
�
Die Remote-Clients erhalten Zugriff auf die Windows 2000 Server.
C
�
Die Remote-Clients erhalten Zugriff auf die Novell NetWare 3.11 Server.
D
�
Die Remote-Clients erhalten Zugriff auf die Novell NetWare 4.1 Server.
179
Sie planen die Einrichtung einer Windows 2000-Domäne in einem Netzwerk mit drei Segmenten, die durch zwei Router miteinander verbunden sind. Alle Server sind Windows 2000 Server und alle Clients Windows 2000 Professional-Rechner. Ein Domänencontroller und ein DNS-Server werden in jedem Netzwerksegment installiert. Alle Netzwerkcomputer werden als DNS-Clients konfiguriert. Sie planen für die DNS-Server und DNS-Clients die dynamische Aktualisierung aller Ressourceneinträge. Für den Fall, dass ein lokaler DNS-Server nicht mehr erreichbar sein sollte, wollen Sie sicherstellen, dass die Computer ihre Einträge bei jedem der beiden Remote-DNS-Server aktualisieren können.
153
Fragen zum MS-Prüfungsreport
Kapitel 3
Mit welcher der folgenden Maßnahmen können Sie dieses Ziel erreichen? A
�
Sie konfigurieren auf jedem DNS-Server eine primäre Zone.
B
�
Sie konfigurieren jeden DNS-Server als DNS-Forwarder-Server.
C
�
Sie konfigurieren auf jedem DNS-Server eine primäre Zone und konfigurieren jeden DNS-Server als sekundäre Zone für die anderen beiden DNSServer.
D
�
Sie konfigurieren auf jedem DNS-Server eine Active Directory-integrierte Zone.
E
�
Sie aktivieren auf den DNS-Servern Round Robin.
180
r.e.d.-tech. hat sein NT 4.0-Netzwerk auf Windows 2000 aktualisiert. Alle Server im Netzwerk sind Windows 2000 Server und alle Clients sind Windows 2000 Professional-Rechner. Im Netzwerk sind DNS und DHCP im Einsatz und alle Rechner sind als DHCP-Clients konfiguriert. Die DNS-Server sind für die dynamische Aktualisierung konfiguriert und die DHCP-Server führen die Aktualisierung des DNS-Servers aufgrund der Clientanforderung durch. Die Clients sind mit den Standardoptionen für die dynamische Aktualisierung eingerichtet. Welchen DNS-Ressourceneintrag wird der DHCP-Server aktualisieren?
A
�
A-Ressourceneinträge
B
�
CNAME (Canonical Name)-Einträge
C
�
HINFO (Host Information)-Einträge
D
�
PTR-Ressourceneinträge
181
Ihr Netzwerk umfasst 200 Computer in einem einzigen Netzwerksegment. Sie haben beschlossen, einen Router zu installieren und das Netzwerk in vier Subnetze aufzuteilen, auf die Sie die Rechner gleichmäßig verteilen werden. Sie verwenden die Netzwerk-IP-Adresse 192.168.7.0 mit der StandardSubnetzmaske und wollen diese Netzwerkadresse beibehalten. Welche der folgenden Adressen ist eine korrekte Netzwerkadresse in einem Ihrer neuen Subnetze?
A
�
192.168.7.0 / 2
B
�
192.168.7.64 / 24
C
�
192.168.7.128 / 25
D
�
192.168.7.192 / 26
154
Fragen zum MS-Prüfungsreport
182
Peter W. installiert in dem Windows 2000-Netzwerk, das er als Administrator betreut, einen neuen Windows 2000 Server. Dieser neue Server mit der Bezeichnung AP-SYSTEMEdc01.AP-SYSTEME.de soll als DHCPServer und Domänencontroller fungieren. Nach Abschluss der Installation stellt Peter W. fest, dass zum Windows 2000 Server mit der Bezeichnung AP-SYSTEMEdc1.service.AP-SYSTEME.de keine Verbindung hergestellt werden kann. Peter W. überprüft die TCP/IP-Konfigurationseinstellungen des Rechners AP-SYSTEMEDC01 und findet keinen Eintrag beim Punkt STANDARDGATEWAY. Welche Standardgateway-Adresse sollte Peter W. eintragen, um von APSYSTEMEdc01.AP-SYSTEME.de eine Verbindung zu AP-SYSTEMEdc1. service.AP-SYSTEME.de herzustellen? (Klicken Sie zur Beantwortung der Frage auf die entsprechende IP-Adresse im Diagramm.) ROUTER 192.168.1.100/24
192.168.2.100/24
AP-SYSTEMEdc01.AP-SYSTEME.de 192.168.3.10/24
AP-SYSTEMEdyn1.AP-SYSTEME.de 192.168.2.10/24
192.168.3.100/24 192.168.4.100/24
AP-SYSTEMEdc1.service.AP-SYSTEME.de 192.168.4.10/24
183
ROUTER
Sie sind der Netzwerkadministrator von AP-SYSTEME Press. Das Netzwerk besteht aus zehn Windows 2000 Advanced Servern und 250 Windows 2000 Professional-Arbeitsstationen. Ihr Unternehmen verfügt über zwei Domänen AP-SYSTEME.DE und AP-SYSTEMEPRESS.DE. Die Intranetseite des Unternehmens ist auf einem Windows 2000 Advanced Server (\\AP-SYSTEMEONE) gespeichert. AP-SYSTEMEONE befindet sich in der Domäne AP-SYSTEME.DE und stellt IIS und MS Proxy Server 2.0-Dienste bereit. Sie möchten die Windows 2000-Arbeitsstationen in der Domäne AP-SYSTEMEPRESS.DE für den Zugriff auf die Intranetseite konfigurieren. Die Benutzer sollen über die Adresse http://AP-SYSTEMEone statt über den vollständig qualifizierten Domänennamen auf die Intranetseite zugreifen können.
155
Fragen zum MS-Prüfungsreport
Kapitel 3
Wie realisieren Sie das? A
�
Sie fügen AP-SYSTEME.DE auf den Computern zur Suchreihenfolge für Domänensuffixe hinzu.
B
�
Sie fügen AP-SYSTEMEPRESS.DE auf den Rechnern zur Suchreihenfolge für Domänensuffixe hinzu.
C
�
Sie fügen AP-SYSTEMEPRESS.DE zur Aufnahmeliste in den ProxyserverEinstellungen auf den Computern hinzu.
D
�
Sie konfigurieren die Einstellungen für den Proxyserver auf den Computern, damit der Proxyserver für die Intranetadressen umgangen wird.
184
Ihr Netzwerk besteht aus zehn Domänencontrollern, zehn Mitgliedsservern und ca. 1000 Clientrechnern. Auf allen Servern ist Windows 2000 Server und auf allen Clients Windows 2000 Professional installiert. Als DNSServer arbeiten zwei der Domänencontroller. Die Benutzer der Clientrechner verwenden die Dateifreigabe, um den Zugriff auf lokal gespeicherte Dateien zu ermöglichen. Das Netzwerk umfasst zehn Subnetze und benutzt ausschließlich TCP/IP als Transportprotokoll. Sie möchten das Netzwerk so konfigurieren, dass alle Rechner sämtliche Adressen der anderen Rechner über DNS auflösen können. Selbst wenn ein Server ausfällt, sollen die Clientrechner in der Lage sein, Adressen zu registrieren und aufzulösen. Wie sollten Sie den DNS-Server konfigurieren?
A
�
Sie konfigurieren einen Server mit einer Standard-Primärzone für die Domäne und mindestens einen zweiten Server mit einer Standard-Sekundärzone.
B
�
Sie konfigurieren einen Server mit einer Standard-Primärzone für die Domäne und mindestens einen zweiten Server mit einer im Active Directory integrierten Primärzone.
C
�
Sie konfigurieren einen Server mit einer im Active Directory integrierten Primärzone für die Domäne und mindestens einen zweiten Server mit einer Standard-Sekundärzone.
D
�
Sie konfigurieren mindestens zwei Server mit im Active Directory integrierten Zonen für die Domäne.
E
�
Sie konfigurieren mindestens zwei Server mit Standard-Primärzonen für die Domäne.
185
Dominique installiert auf dem Rechner AP-SYSTEMEWS2 Windows 2000 Professional. Die ganze letzte Woche konnte Dominique auf Ressourcen zugreifen, die im Netzwerk vom Windows 2000 Server AP-
156
Fragen zum MS-Prüfungsreport
SYSTEMESRV3 bereitgestellt werden. Heute kann Dominique keine Verbindung zu AP-SYSTEMESRV3 herstellen. Andere Benutzer im Netzwerk haben dieses Problem nicht. Was ist die wahrscheinlichste Ursache für dieses Problem? (Klicken Sie zur Beantwortung der Frage auf das Netzwerkgerät, das die Problemquelle darstellt.) T1
AP-SYSTEMEWS1 AP-SYSTEMESRV2 AP-SYSTEMEWINS1 10 . 10 . 13 . 39 10 . 10 . 13 . 24 10 . 10 . 13 . 10 10 . 10 . 30 .1
AP-SYSTEMEPRO1 10 . 10 . 13 . 254
10 . 10 . 13 .1
ROUTER
INTERNET
10 . 10 . 164 . 3 AP-SYSTEMESRV3 10 . 10 . 30 . 20
AP-SYSTEMEWS2 10 . 10 . 167 . 4
186
AP-SYSTEMEWS3 10 . 10 . 30 . 200
AP-SYSTEMESRV1 10 . 10 . 167 . 200
Sie sind der Administrator eines Windows 2000-Netzwerks. Das Netzwerk ist entsprechend der Grafik Netzwerkkonfiguration konfiguriert. T1
AP-SYSTEMEWS1 AP-SYSTEMESRV2 AP-SYSTEMEWINS1 10 . 10 . 13 . 39 10 . 10 . 13 . 24 10 . 10 . 13 . 10 10 . 10 . 30 .1
AP-SYSTEMEPRO1 10 . 10 . 13 . 254
10 . 10 . 13 .1
ROUTER 10 . 10 . 164 . 3
AP-SYSTEMESRV3 10 . 10 . 30 . 20
AP-SYSTEMEWS2 10 . 10 . 167 . 4
AP-SYSTEMEWS3 10 . 10 . 30 . 200
AP-SYSTEMESRV1 10 . 10 . 167 . 200
157
INTERNET
Fragen zum MS-Prüfungsreport
Kapitel 3
Auf den Computern im Subnetz der Schulungsabteilung wird als Betriebssystem Windows 2000 Professional eingesetzt. Diese Computer beziehen ihre Konfigurationseinstellung von einem DHCP-Server. Auf den Computern im Subnetz der Entwicklungsabteilung ist als Betriebssystem Windows 98 installiert. Die IP-Konfiguration wird an diesen Computern statisch durchgeführt. Die Benutzer aus dem Subnetz der Schulungsabteilung melden, dass sie nicht mit den Benutzern der Entwicklungsabteilung kommunizieren können. Ein Benutzer, der an dem Rechner APSYSTEMEWS3 arbeitet, teilt Ihnen mit, dass er weder zu den Computern in der Entwicklungsabteilung noch zu den Computern in der Schulungsabteilung eine Verbindung aufbauen kann. Sie möchten, dass alle Benutzer aus diesen beiden Subnetzen miteinander Daten austauschen können. Wie lösen Sie das Problem? (Wählen Sie zwei Antworten.) A
�
Sie ändern auf dem Rechner AP-SYSTEMEWS3 den Rahmentyp in 802.2.
B
�
Sie ändern auf dem DHCP-Server die IP-Adresse des Standardgateways.
C
�
Sie konfigurieren auf den Computern im Subnetz der Schulungsabteilung das NWLink IPX-SPX/NetBIOS-kompatible Transportprotokoll als Standardprotokoll.
D
�
Sie aktivieren auf dem Rechner AP-SYSTEMEWS3 die Netzwerkschnittstellenkarte.
E
�
Sie fügen auf allen Clientcomputern das NetBEUI-Protokoll zur Bindungsreihenfolge hinzu.
187
Ein RAS-Server ist im Hauptsitz Ihrer Firma installiert. Der RAS-Dienst wird darüber hinaus auch auf einem Zweigstellenserver ausgeführt, an dem ein Modem angeschlossen ist. Dieser Server wurde zur Verwendung des Routings für das Wählen bei Bedarf konfiguriert, um eine Verbindung zum Firmenhauptsitz herzustellen. Der Server gehört zur Active DirectoryDomäne der Firma, die im einheitlichen Modus ausgeführt wird. Einige Mitarbeiter verwenden den Zweigstellenserver, um von zu Hause aus auf Daten zuzugreifen. Der Zweigstellenleiter teilt Ihnen mit, dass die Benutzer der Zweigstelle mit dem Hauptsitz gelegentlich nicht kommunizieren können. Beim Überprüfen des Ereignisprotokolls auf dem Zweigstellenserver stellen Sie fest, dass die Benutzer während der normalen Arbeitszeit versuchten, auf den Server zuzugreifen. Der Leiter möchte, dass die Benutzer nur in den Zeiten von 18:00 Uhr bis 08:00 Uhr eine DFÜ-Verbindung zum Server herstellen dürfen. Die Benutzer sollen sich allerdings jederzeit anmelden können, wenn sie direkt mit dem LAN verbunden sind.
158
Fragen zum MS-Prüfungsreport
Wie sollten Sie vorgehen, um nur den DFÜ-Zugriff zeitlich zu beschränken? A
�
Sie ändern die Anmeldezeiten für die Konten der Benutzer, um die Anmeldung zwischen 08:00 und 18:00 Uhr nicht zuzulassen.
B
�
Sie konfigurieren die RAS-Richtlinie, um die Anmeldung zwischen 08:00 und 18:00 Uhr nicht zuzulassen.
C
�
Sie erstellen eine Stapelverarbeitungsdatei zum Starten und eine andere Stapelverarbeitungsdatei zum Beenden der RAS-Verbindungsverwaltung und legen fest, dass diese täglich um 08:00 ausgeführt wird. Die Stapelverarbeitungsdatei zum Starten der RAS-Verbindungsverwaltung soll täglich um 18:00 Uhr ausgeführt werden.
D
�
Sie erstellen für jeden Benutzer zwei Benutzerkonten, das eine Konto mit und das andere Konto ohne DFÜ-Zugriff. Sie ändern die Anmeldezeiten für die DFÜ-Konten der Benutzer, um die Anmeldung zwischen 08:00 und 18:00 Uhr nicht zuzulassen.
188
Erich L. installiert auf dem Rechner AP-SYSTEMEWS2 Windows 2000 Professional. Bei der TCP/IP-Konfiguration vergibt er als IP-Adresse die Adresse 10.10.167.4 und als Adresse für das Standardgateway 10.10.167.1. Das Netzwerk ist wie in der Grafik Netzwerkkonfiguration dargestellt konfiguriert. T1
AP-SYSTEMEWS1 AP-SYSTEMESRV2 AP-SYSTEMEWINS1 10 . 10 . 13 . 39 10 . 10 . 13 . 10 10 . 10 . 13 . 24 10 . 10 . 30 .1
AP-SYSTEMEPRO1 10 . 10 . 13 . 254
10 . 10 . 13 .1
ROUTER 10 . 10 . 167 . 1
AP-SYSTEMEWS4 10 . 10 . 30 . 20
AP-SYSTEMEWS2 10 . 10 . 167 . 4
AP-SYSTEMEWS3 10 . 10 . 30 . 200
AP-SYSTEMESRV1 10 . 10 . 167 . 200
159
INTERNET
Fragen zum MS-Prüfungsreport
Kapitel 3
Erich L. möchte von AP-SYSTEMEWS2 auf die Ressourcen des Windows 2000 Servers AP-SYSTEMESRV2 zugreifen. Beim Versuch, eine Verbindung zur Netzwerkfreigabe herzustellen, erhält er folgende Fehlermeldung: Das Netzlaufwerk ist nicht erreichbar. Er verwendet daraufhin das Dienstprogramm IPConfig, um die TCP/IPKonfiguration von AP-SYSTEMEWS2 zu überprüfen. Ergebnis von IPConfig: C:\>ipconfig /all Windows 2000-IP-Konfiguration Hostname.............................: Primäres DNS-Suffix..................: Knotentyp............................: IP-Routing aktiviert.................: WINS-Proxy aktiviert.................:
AP-SYSTEMEWS2 Hybridadapter Nein Nein
Ethernetadapter “LAN-Verbindung” Verbindungsspezifisches DNS-Suffix...: Beschreibung.........................: Intel DC21143 PCI Fast Ethernet Physikalische Adresse................: 00-A0-CC-61-33-6F DHCP-aktiviert.......................: Ja Autokonfiguration aktiviert..........: Ja IP-Adresse...........................: 10.10.167.4 Subnetzmaske.........................: 255.255.252.0 Standardgateway......................: 10.10.167.1 DHCP-Server..........................: 10.10.13.20 DNS-Server...........................: 10.10.13.10 .....................................: 10.20.13.10 Primärer WINS-Server.................: 10.10.13.20 Sekundärer WINS-Server...............: 10.20.13.20
Erich L. möchte von AP-SYSTEMEWS2 auf die Ressourcen des Windows 2000 Servers AP-SYSTEMESRV2 zugreifen. Wie sollte er vorgehen? A
�
Er versetzt den Rechner AP-SYSTEMEWS2 in das Netzwerksegment von AP-SYSTEMESRV2.
B
�
Er installiert im Netzwerksegment von AP-SYSTEMEWS2 einen Rechner, der als WINS-Proxy fungiert.
C
�
Er konfiguriert an AP-SYSTEMEWS2 die Adresse des Standardgateways mit dem Wert 10.10.13.1.
160
Fragen zum MS-Prüfungsreport
D
�
Er konfiguriert an AP-SYSTEMEWS2 die Adresse des DNS-Servers und gibt als Adresse 10.10.13.1 an.
E
�
Er konfiguriert an AP-SYSTEMEWS2 die Adresse des WINS-Servers und gibt als Adresse 10.10.13.24 an.
189
Erich L. ist in der Zweigstelle Salzburg als Netzwerkadministrator tätig. Salzburg ist ein Standort eines Großunternehmens mit dem Hauptsitz Altötting. Der Standort Salzburg ist mit dem Unternehmensnetz über eine bidirektionale, bei Bedarf herstellbare Wählverbindung über ISDN verbunden. Bei dem Rechner, der die Verbindung herstellt, handelt es sich um einen Windows 2000 Server, auf dem Routing und RAS konfiguriert ist. Um Kosten einzusparen, soll die ISDN-Verbindung nur einmal am Tag aufgebaut werden, um dann Verkaufsinformationen nach Altötting bzw. von Altötting zu übertragen. Die Übertragung dieser Informationen soll außerhalb der regulären Geschäftszeit erfolgen. Erich L. stellt fest, dass mehrmals täglich eine ISDN-Verbindung zwischen den Netzwerken initiiert wird. Erich L. analysiert den Netzwerkverkehr und stellt fest, dass Router-Ankündigungsbroadcasts versendet werden. Welche zwei Schritte sollte Erich L. unternehmen, um zu verhindern, dass Verbindungen während der regulären Geschäftszeit aufgebaut werden können? (Wählen Sie zwei Antworten aus.)
A
�
Erich L. bestimmt im Zeitplan, dass an der Schnittstelle für Wählen bei Bedarf nur während der angegebenen Zeit gewählt wird.
B
�
Erich L. bestimmt im Zeitplan, dass an der Schnittstelle für Wählen bei Bedarf während der angegebenen Zeit nur eingehende Verbindungen akzeptiert werden.
C
�
Erich L. definiert an der Schnittstelle für Wählen bei Bedarf einen Filter für das Wählen bei Bedarf.
D
�
Erich L. aktiviert an der Schnittstelle für Wählen bei Bedarf das dynamische Routing.
E
�
Er definiert eine RAS-Richtlinie, um den Zugriff auf den Port, der von Routerbroadcasts verwendet wird, einzuschränken.
F
�
Er definiert eine RAS-Richtlinie, um den Zugriff ausdrücklich auf den Benutzer zu beschränken, der Informationen über die Verbindung überträgt.
190
Sie sind der Netzwerkadministrator von AP-SYSTEME GmbH. Sie installieren auf AP-SYSTEMEWS1 Windows 2000 Professional. Das Netzwerk ist wie in der Grafik Netzwerkkonfiguration dargestellt konfiguriert.
161
Fragen zum MS-Prüfungsreport
Kapitel 3
T1
AP-SYSTEMEWS1 AP-SYSTEMESRV2 10 . 10 . 13 . 39 10 . 10 . 13 . 24
AP-SYSTEMEDNS1 10 . 10 . 13 . 10 10 . 10 . 30 .1
AP-SYSTEMEPRO1 10 . 10 . 13 . 254
10 . 10 . 13 .1
ROUTER
INTERNET
10 . 10 . 167 . 3 AP-SYSTEMESRV1 10 . 10 . 30 . 20
AP-SYSTEMENEU1 10 . 10 . 167 . 4
AP-SYSTEMEWS3 10 . 10 . 30 . 200
AP-SYSTEMESRV1 10 . 10 . 167 . 200
Sie versuchen, eine Verbindung zu einem Webserver im Internet herzustellen. Wenn Sie die URL des Webservers verwenden, scheitert der Verbindungsaufbau. Geben Sie jedoch die IP-Adresse des Webservers an, so können Sie eine Verbindung herstellen. Sie verwenden das Dienstprogramm IPConfig, um die Konfiguration zu überprüfen. Was müssen Sie tun, um AP-SYSTEMEWS1 die Möglichkeit zu geben, über URLs Verbindungen zu Webservern herzustellen? A
�
Sie konfigurieren Ihren Rechner, um den Rechner AP-SYSTEMEDNS1 als Proxy-Server zu verwenden.
B
�
Sie konfigurieren Ihren Rechner, um den Rechner AP-SYSTEMEDNS1 als WINS-Server zu verwenden.
C
�
Sie konfigurieren Ihren Rechner, um den Rechner AP-SYSTEMEDNS1 als DNS-Server zu verwenden.
D
�
Sie konfigurieren Ihren Rechner, um den Rechner AP-SYSTEMEDNS1 als Standardgateway zu verwenden.
191
Sie fügen Ihrem Netzwerk einen neuen Rechner hinzu. Auf dem neuen Rechner AP-SYSTEMEWS3 wird als Betriebssystem Windows 2000 Professional ausgeführt. Ihr Netzwerk besteht aus einer einzigen Domäne (AP-SYSTEME.DE). AP-SYSTEME.DE ist wie in der Grafik dargestellt konfiguriert.
162
Fragen zum MS-Prüfungsreport
T1
AP-SYSTEMEWS1 AP-SYSTEMESRV2 AP-SYSTEMEWINS1 10 . 10 . 13 . 10 10 . 10 . 13 . 24 10 . 10 . 13 . 39 10 . 10 . 30 .1
AP-SYSTEMEPRO1 10 . 10 . 13 . 254
10 . 10 . 13 .1
ROUTER
INTERNET
10 . 10 . 20 . 1 AP-SYSTEMEWS2 10 . 10 . 30 . 20
AP-SYSTEMEWS3
AP-SYSTEMEWS4 10 . 10 . 30 . 200
AP-SYSTEMESRV1 10 . 10 . 20 . 200
Alle Rechner verwenden als einziges Netzwerkprotokoll TCP/IP. Benutzer von AP-SYSTEMEWS3 sollen auf Ressourcen von AP-SYSTEMERESS1 zugreifen können. Zusätzlich soll AP-SYSTEMEWS3 ein Mitglied der Domäne AP-SYSTEME.DE werden. Wie realisieren Sie das? (Wählen Sie alle zutreffenden Antworten aus.) A
�
Sie erstellen auf AP-SYSTEMERESS1 ein Konto für AP-SYSTEMEWS3.
B
�
Sie erstellen in der Domäne AP-SYSTEME.DE ein Konto für APSYSTEMEWS3.
C
�
Sie konfigurieren den Router, um BOOTP zu unterstützen.
D
�
Sie konfigurieren AP-SYSTEMEWS3 für die IP-Adresse 10.10.20.78 und das Standardgateway 10.10.20.1.
E
�
Sie konfigurieren AP-SYSTEMEWS3 für die IP-Adresse 10.10.200.133 und das Standardgateway 10.10.13.1.
F
�
Sie konfigurieren AP-SYSTEMEWS3 für die IP-Adresse 10.10.30.200 und das Standardgateway 10.10.20.1.
192
In Ihrem Netzwerk installieren Sie den Routing und RAS-Dienst auf einem Windows 2000 Server. Ihr Netzwerk verfügt über keinen direkten Zugang zum Internet und verwendet den privaten IP-Adressbereich 192.168.0.0. Die Clients können mit dem Routing und RAS-Dienst zwar eine DFÜ-Verbindung zum RAS-Server herstellen, allerdings haben sie keinen Zugriff auf das Netzwerk.
163
Fragen zum MS-Prüfungsreport
Kapitel 3
Sie führen daraufhin den Befehl ipconfig aus und stellen fest, dass Ihrer DFÜ-Verbindung die IP-Adresse 169.254.75.182 zugewiesen wurde. Wie lösen Sie das Problem? A
�
Sie weisen dem RAS-Server die Adresse eines DHCP-Servers zu.
B
�
Sie autorisieren den RAS-Server, mehrere Adressen von einem DHCPServer zu beziehen.
C
�
Sie konfigurieren den RAS-Server als DHCP-Relay-Agenten.
D
�
Sie stellen sicher, dass der RAS-Server eine Verbindung zu dem DHCPServer herstellen kann, der über den Adressbereich für das lokale Subnetz verfügt.
193
In Ihrem Firmennetzwerk wird ausschließlich TCP/IP verwendet. Die Netzwerksysteme sind für die Verwendung von IP-Adressen aus dem privaten Bereich 10.0.0.0 konfiguriert. Auf allen Clients im Netzwerk, das aus Windows 2000 Server-Rechnern und UNIX-Servern besteht, ist Windows 2000 Professional installiert. Die Druckaufträge der Benutzer werden an die freigegebenen Drucker eines Windows 2000 Server-Rechners mit der Bezeichnung PrintAP-SYSTEME gesendet. Dieser Server leitet die Druckaufträge daraufhin direkt an die am Netzwerk angeschlossenen Drucker weiter. An einen UNIX-Server ist ein Hochleistungsdrucker angeschlossen. Der UNIX-Computer verfügt über die IP-Adresse 10.1.1.99 und verwendet das LPR-Druckprotokoll. Die Druckerwarteschlange hat den Namen Ferrari. Die Benutzer sollen von ihren Computern aus eine Verbindung zu diesem Drucker herstellen können. Wie gehen Sie am besten vor?
A
�
Sie installieren auf PrintAP-SYSTEME die Microsoft-Druckdienste für UNIX und erstellen auf den Clients einen Netzwerkdrucker mit der Drucker-URL LPR://10.1.1.99/Ferrari.
B
�
Sie installieren auf den Clients die Microsoft-Druckdienste für UNIX und erstellen auf den Clients einen Netzwerkdrucker mit der Drucker-URL LPR://10.1.1.99/Ferrari.
C
�
Sie erstellen auf PrintAP-SYSTEME einen Netzwerkdrucker mit dem Namen LPR://10.1.10.99/Ferrari, geben diesen Drucker frei und stellen auf den Clients eine Verbindung zu diesem Drucker her.
164
Fragen zum MS-Prüfungsreport
D
�
Sie erstellen auf PrintAP-SYSTEME einen lokalen Drucker. Anschließend richten Sie einen neuen TCP/IP-Anschluss für einen LPR-Server mit der Adresse 10.1.1.99 und einer Warteschlange Ferrari ein. Danach geben Sie den Drucker frei und stellen auf den Clients eine Verbindung zu diesem Drucker her.
194
Auf Ihrem Notebook installieren Sie Windows 2000 Professional. Sie erstellen eine neue DFÜ-Verbindung, um sich mit dem RAS-Server Ihres Unternehmens zu verbinden. Sie stellen über die DFÜ eine Verbindung zum RAS-Server her. Die Server, die sich im gleichen Segment wie der RAS-Server befinden, stehen Ihnen nun zur Verfügung. Sie können jedoch nicht auf freigegebene Ressourcen anderer Server zugreifen, die sich in anderen Segmenten als dem Segment des RAS-Servers befinden. Wie gehen Sie bei der Behebung des Problems vor?
A
�
Sie konfigurieren den RAS-Server so, dass er Mehrfachverbindungen akzeptiert.
B
�
Sie konfigurieren die TCP/IP-Eigenschaften für die DFÜ-Verbindung, um die IP-Header-Komprimierung zu deaktivieren.
C
�
Sie konfigurieren die TCP/IP-Eigenschaften für die DFÜ-Verbindung, um das Standardgateway im Remote-Netzwerk zu verwenden.
D
�
Sie erteilen Ihrem Benutzerkonto auf dem RAS-Server des Unternehmens die Einwählberechtigung.
195
Uwe P. konfiguriert das Notebook von Albert. Albert hat als Betriebssystem Windows 2000 Professional auf seinem Notebook installiert und verwendet ein Smartcard-Lesegerät. Die Treiber hierfür sind ebenfalls auf dem Notebook von Albert installiert. Uwe P. setzt die Management Console ein, um für Alberts Notebook ein neues Zertifikat anzufordern. Dieses Zertifikat für den Smartcard-Leser installiert er anschließend auf Alberts Notebook. Albert möchte jetzt seinen Smartcard-Leser für die Authentifizierung einsetzen, wenn er sich mit dem Rechner AP-SYSTEMEROU1, der den Routing und RAS-Dienst ausführt, verbindet. Welche Option bzw. Optionen sollte Albert im Dialogfeld ERWEITERTE SICHERHEITSEINSTELLUNGEN aktivieren?
165
Fragen zum MS-Prüfungsreport
Kapitel 3
Wählen Sie alle zutreffenden Antworten aus. A
�
Extensible-Authentification-Protokoll (EAP)
B
�
Unverschlüsseltes Kennwort (PAP)
C
�
Shiva-Passwort-Authentication-Protokoll (SPAP)
D
�
Challenge-Authentication-Protokoll (CHAP)
E
�
Microsoft CHAP (MS-CHAP)
196
Sie sind der Administrator eines Windows 2000-Netzwerks, das über einen Hauptsitz und eine Nebenstelle verfügt. Sie setzen PPTP ein, um den Hauptsitz mit der Zweigstelle zu verbinden. Sie müssen sicherstellen, dass für die Verbindung eine möglichst starke Datenverschlüsselung verwendet wird. Wie machen Sie das?
A
�
Sie stellen in den Routing und RAS-Konsolen sicher, dass das Einwählprofil, das für die Herstellung der Verbindung zwischen den beiden Geschäftsstellen verwendet wird, ausschließlich MS-CHAP zulässt.
B
�
Sie stellen in den Routing und RAS-Konsolen in den Eigenschaften der Routing und RAS-Serverobjekte sicher, dass das Extensible-Authentication-Protokoll MD5-CHAP verwendet wird.
166
Fragen zum MS-Prüfungsreport
C
�
Sie stellen in den Routing und RAS-Konsolen in den Eigenschaften der PPTP-Schnittstellen sicher, dass MS-CHAP v2 als Authentifizierungsmethode verwendet wird.
D
�
Sie stellen in den Routing und RAS-Konsolen in den Eigenschaften der PPTP-Schnittstellen sicher, dass PAP (Password Authentication Protocol) als Authentifizierungsmethode verwendet wird.
197
Jan D. ist der Netzwerkadministrator der Firma S-R-S GmbH. Die Firma verfügt über Zweigstellen in Burghausen und in Mühldorf. Jede Zweigstelle soll einen eigenen Routing und RAS-Server betreiben. Deshalb implementiert Jan RADIUS für die zentrale Verwaltung. Er entfernt die Standard-RAS-Richtlinie, weil er eine einzige Unternehmensrichtlinie implementieren soll, die für die gesamte DFÜ-Kommunikation eine 40-BitVerschlüsselung erfordert. Er möchte das Netzwerk so konfigurieren, dass die sichere Kommunikation mit möglichst geringem administrativen Aufwand ermöglicht wird. Wie realisiert Jan das? (Wählen Sie zwei Antworten aus.)
A
�
Er definiert auf jedem Routing und RAS-Server eine RAS-Richtlinie.
B
�
Er definiert auf dem RADIUS-Server eine RAS-Richtlinie.
C
�
Er stellt die Verschlüsselung in der/den RAS-Richtlinie(n) auf Basisverschlüsselung ein.
D
�
Er stellt die Verschlüsselung in der/den RAS-Richtlinie(n) auf Starke Verschlüsselung ein.
E
�
Er aktiviert auf dem RADIUS-Server die Richtlinie Secure Server IPSec.
F
�
Er aktiviert auf dem RADIUS-Server die Richtlinie Server IPSec.
198
Sie sind der Netzwerkadministrator der AP-SYSTEME Netzwerk Consulting GmbH. Sie konfigurieren in Ihrer Windows 2000-Domäne den RASDienst, um Ihren Trainern, wenn diese unterwegs sind, den Zugriff auf Netzwerkressourcen zu ermöglichen. Sie möchten, dass die Clients automatisch mit IP-Adressen versorgt werden, wenn diese sich einwählen. Sie konfigurieren den RAS-Server und richten DHCP ein, um den Clients Adressen und Konfigurationen zuzuweisen. Die Trainer können jedoch nicht durch Angabe des Servernamens oder über Active Directory auf die Netzwerkressourcen zugreifen. Sie überprüfen dies und stellen nach Herstellung der Verbindung zum RAS-Server fest, dass der Client zwar seine IP-Adresse, jedoch keine der DHCP-Optionen empfängt. Auf den Rechnern im lokalen Netz tritt dieses Problem nicht auf.
167
Fragen zum MS-Prüfungsreport
Kapitel 3
Wie lösen Sie das Problem? A
�
Sie aktivieren im Dialogfeld EIGENSCHAFTEN des RAS-Servers die Option IP-ROUTING.
B
�
Sie deaktivieren im Dialogfeld EIGENSCHAFTEN des RAS-Servers die Option IP-ROUTING.
C
�
Sie konfigurieren auf dem RAS-Server einen statischen Adresspool.
D
�
Sie konfigurieren den RAS-Server und legen fest, dass dieser als DHCPRelay-Agent fungieren soll.
199
Albert ist der Netzwerkadministrator der AP-SYSTEME Press GmbH. Der Webserver der Firma ist so konfiguriert, dass die Webanwendung eines Drittanbieters für die Netzwerkbenutzer ausgeführt wird. Christian, der zweite Administrator in der Firma, hat aus Gründen der Serversicherheit einige Veränderungen vorgenommen. Die Benutzer erhalten bei jedem Versuch, eine Verbindung zu einer auf dem Webserver gespeicherten Webseite aufzubauen, eine Fehlermeldung, die sie darüber informiert, dass diese Webseite nicht zur Verfügung steht. Die Benutzer können jedoch ohne Probleme FTP-Verbindungen herstellen und es ist sichergestellt, dass der Webdienst auch gestartet ist. Albert muss jetzt ermitteln, aus welchem Grund die Benutzer die Fehlermeldung erhalten. Was sollte er zur Lösung des Problems unternehmen?
A
�
Bestätigen, dass die Ports 21 und 29 im TCP/IP-Filter zugelassen werden.
B
�
Bestätigen, dass der Port 443 im TCP/IP-Filter zugelassen wird.
C
�
Bestätigen, dass die korrekten NTFS-Dateiberechtigungen für die in Frage kommenden Webseiten vorhanden sind.
D
�
Bestätigen, dass Port 80 im TCP/IP-Filter zugelassen wird.
200
Auf Ihrem Notebook installieren Sie Windows 2000 Professional. Sie erstellen eine neue DFÜ-Verbindung, um sich mit dem RAS-Server Ihres Unternehmens zu verbinden. Sie stellen über die DFÜ eine Verbindung zum RAS-Server her. Die Server, die sich im gleichen Segment wie der RAS-Server befinden, stehen Ihnen nun zur Verfügung. Sie können jedoch nicht auf freigegebene Ressourcen anderer Server zugreifen, die sich in anderen Segmenten als dem Segment des RAS-Servers befinden.
168
Fragen zum MS-Prüfungsreport
Was haben Sie vermutlich bei der Konfiguration vergessen? A
�
Die IP-Header-Komprimierung wurde bei den TCP/IP-Eigenschaften nicht deaktiviert.
B
�
Es wurde bei den TCP/IP-Eigenschaften für die DFÜ-Verbindung kein Standardgateway konfiguriert.
C
�
Sie erteilten Ihrem Benutzerkonto auf dem RAS-Server des Unternehmens keine Einwählberechtigung.
D
�
Der RAS-Server unterstützt keine Mehrfachverbindungen.
E
�
Es wurde bei den TCP/IP-Eigenschaften für die DFÜ-Verbindung kein WINS-Server angegeben.
201
Dominique ist die Netzwerkadministratorin der Firma S-R-S GmbH. Dominique konfiguriert die Notebooks der Benutzer, damit diese über Routing und RAS Verbindungen zum Firmennetzwerk herstellen können. Dominique testet die Notebooks im LAN und überzeugt sich, dass die Benutzer Verbindungen zu den Ressourcen unter Verwendung der Rechnernamen herstellen können. Nachdem dieser Test erfolgreich verlaufen ist, versucht Dominique, das Gleiche über Remoteeinwahl zu testen. Die Rechner können zwar Verbindungen aufbauen, jedoch ist es nicht möglich, unter Verwendung von Rechnernamen auf Dateien zuzugreifen, die sich auf Rechnern in anderen Segmenten des Firmennetzwerks befinden. Was sollte Dominique unternehmen, um dieses Problem zu lösen?
A
�
Dominique aktiviert die Authentifizierungsmethode Remote-Systeme dürfen Verbindungen ohne Authentifizierung herstellen.
B
�
Dominique aktiviert für jedes Notebook das Computerkonto.
C
�
Dominique ändert auf jedem Notebook den Computernamen.
D
�
Dominique installiert auf dem RAS-Server den DHCP-Relay-Agenten.
202
Johannes G. ist der Administrator der Windows 2000-Domäne AP-SYSTEME.de. Die Domäne verfügt über einen Mitgliedsserver APSYSTEMERAS5. Routing und RAS ist auf dem Server AP-SYSTEMERAS5 aktiviert. In der Domäne befindet sich außerdem noch ein Windows NT 4.0-Mitgliedsserver NT4RAS4. Dieser Server dient ebenfalls als RAS-Server. Die Domäne arbeitet im gemischten Modus. Alle Benutzer der Domäne verwenden als Clientplattform Windows 2000 Professional, um sich über die Server AP-SYSTEMERAS5 bzw. NT4RAS4 mit dem Firmennetzwerk zu verbinden. NT4RAS4 ist jedoch nicht in der
169
Fragen zum MS-Prüfungsreport
Kapitel 3
Lage, die Anmeldeinformationen von Domänenkonten für den Remotezugriff zu bestätigen. Wie sollte Johannes G. das Netzwerk konfigurieren, um dem Server NT4RAS4 die Möglichkeit zu geben, die Bestätigung für den Remotezugriff der Domänenbenutzer durchzuführen? A
�
Er sollte den Modus der Domäne auf einheitlichen Modus umstellen.
B
�
Er sollte eine RAS-Richtlinie erstellen, die das Computerkonto von NT4RAS4 als Bedingung enthält. Anschließend erteilt er eine RemoteZugriffsberechtigung, wenn die Bedingung mit den Eigenschaften des Einwählversuchs übereinstimmt.
C
�
Er sollte das Computerkonto von NT4RAS4 zur Gruppe »RAS- und IASServer« hinzufügen.
D
�
Er sollte die Gruppe »Jeder« zur Gruppe »Prä-Windows 2000-kompatibler Zugriff« hinzufügen.
203
Bernd N. ist in der Zweigstelle Mühldorf als Netzwerkadministrator tätig. Mühldorf ist ein Standort eines Großunternehmens mit dem Hauptsitz Altötting. Der Standort Mühldorf ist mit dem Unternehmensnetz über eine bidirektionale, bei Bedarf herzustellende Wählverbindung über ISDN verbunden. Der Rechner, der die Verbindung herstellt, ist ein Windows 2000 Server, auf dem Routing und RAS konfiguriert ist. Aus Kostengründen soll die ISDN-Verbindung nur einmal am Tag aufgebaut werden, um dann Verkaufsinformationen nach Altötting bzw. von Altötting zu übertragen. Die Übertragung dieser Informationen soll außerhalb der regulären Geschäftszeit erfolgen. Bernd N. stellt fest, dass mehrmals täglich eine ISDN-Verbindung zwischen den Netzwerken initiiert wird. Er analysiert den Netzwerkverkehr und stellt fest, dass Router-Ankündigungsbroadcasts versendet werden. Welche zwei Schritte sollte Bernd N. unternehmen, um zu verhindern, dass Verbindungen während der regulären Geschäftszeit aufgebaut werden können? (Wählen Sie zwei Antworten aus.)
A
�
Bernd N. bestimmt im Zeitplan, dass an der Schnittstelle für Wählen bei Bedarf nur während der angegebenen Zeit gewählt wird.
B
�
Bernd N. bestimmt im Zeitplan, dass an der Schnittstelle für Wählen bei Bedarf während der angegebenen Zeit nur eingehende Verbindungen akzeptiert werden.
C
�
Bernd N. definiert an der Schnittstelle für Wählen bei Bedarf einen Filter für das Wählen bei Bedarf.
170
Fragen zum MS-Prüfungsreport
D
�
Bernd N. aktiviert an der Schnittstelle für Wählen bei Bedarf das dynamische Routing.
E
�
Er definiert eine RAS-Richtlinie, um den Zugriff auf den Port, der von Routerbroadcasts verwendet wird, einzuschränken.
F
�
Er definiert eine RAS-Richtlinie, um den Zugriff ausdrücklich auf den Benutzer zu beschränken, der Informationen über die Verbindung überträgt.
204
Ernestine ist der Administrator einer Windows 2000-Domäne. In dieser Domäne führt ein Windows 2000-Mitgliedserver (AP-SYSTEMEROUTE) den Routing und RAS-Dienst aus. AP-SYSTEMEROUTE ist für Remotezugriff konfiguriert. Die Domäne wird im einheitlichen Modus ausgeführt. Die Einwählberechtigung ist für alle Benutzerkonten so festgelegt, dass der Zugriff über RAS-Richtlinien gesteuert wird. Ernestine möchte während der Arbeitszeit allen Benutzern die Einwahl erlauben, zwischen 18:00 Uhr und 08:00 Uhr soll die Einwahl nur Mitgliedern der globalen Sicherheitsgruppe »Supportpersonal« gestattet sein. Diese Gruppe und die darin enthaltenen Benutzer dürfen sich jedoch nicht während der Arbeitszeit (08:00 bis 18:00 Uhr) einwählen. Sie erstellen auf AP-SYSTEMEROUTE vier RAS-Richtlinien, wie nachfolgend dargestellt.
Name Domänenbenutzer Alle Richtlinien Supportpersonal Alle Richtlinien Domänenbenutzer 18-08 Richtlinie Supportpersonal 08-18 Richtlinie
Bedingung Windows-Gruppe = Domänenbenutzer Windows-Gruppe = Supportpersonal Datum- und Uhrzeit = 18:0008.00Uhr Windows-Gruppe = Domänenbenutzer Datum- und Uhrzeit = 08.0018.00 Windows-Gruppe = Supportpersonal
Berechtigung Zugriff Zugriff Verweigern
Profil (Standard) (Standard) (Standard)
Verweigern
(Standard)
Klicken Sie auf die Schaltfläche AUSWÄHLEN UND PLATZIEREN, um die korrekte Zugriffssteuerung für AP-SYSTEMEROUTE festzulegen. Ziehen Sie anschließend die RAS-Richtlinien und ordnen Sie diese in der korrekten Reihenfolge an.
205
Albert P. ist der Netzwerkadministrator der Firma Racer AG. In diesem Netzwerk befindet sich ein Windows 2000 Server, der als Router fungiert. AP-SYSTEMEROUTE verfügt über zwei Netzwerkschnittstellen NIC01 und NIC02 und führt den Routing und RAS-Dienst aus.
171
Fragen zum MS-Prüfungsreport
Kapitel 3
Im Netzwerk existiert nur ein DHCP-Server mit der Bezeichnung APSYSTEME_ONE. Dieser Server steht im Netzwerksegment, das über NIC01 mit AP-SYSTEMEROUTE verbunden ist. Das Netzwerk ist wie im folgenden Diagramm dargestellt konfiguriert.
NIC01 Windows 2000 Professional
NIC02
AP-SYSTEMEROUTE Routing und RAS Server
Windows 2000 Professional
AP-SYSTEME_ONE DHCP Server
Albert P. möchte den Clients aus dem mit der NIC02-Schnittstelle verbundenen Netzwerksegment die Möglichkeit geben, ihre IP-Adressen von APSYSTEME_ONE zu beziehen. Wie sollte Albert P. den Rechner AP-SYSTEMEROUTE konfigurieren, um dieses Ziel zu erreichen? (Wählen Sie alle zutreffenden Antworten aus.) A
�
Er erstellt einen IP-Tunnel, um die NIC01-Schnittstelle mit der NIC02Schnittstelle zu verbinden.
B
�
Er erstellt eine statische Route zur IP-Adresse der NIC02-Schnittstelle.
C
�
Er konfiguriert das DHCP-Relay-Agent-Routingprotokoll, um es auf der NIC01-Schnittstelle auszuführen.
D
�
Er konfiguriert das DHCP-Relay-Agent-Routingprotokoll, um es auf der NIC02-Schnittstelle auszuführen.
E
�
Er konfiguriert das DHCP-Relay-Agent-Routingprotokoll, um die IPAdresse des DHCP-Servers als Serveradresse zu verwenden.
F
�
Er konfiguriert das DHCP-Relay-Agent-Routingprotokoll, um die Portnummer des DHCP-Servers zu verwenden.
172
Fragen zum MS-Prüfungsreport
206
Otto S. ist der Administrator eines Routing und RAS-Servers in Ihrer Firma. Die Administratoren der Firma können sich in das Netzwerk remote einwählen, um Remoteüberwachungs- und Verwaltungsaufgaben durchzuführen. Dies erfordert eine extrem große Netzwerkbandbreite. Otto S. möchte nur den Administratoren die Verwendung mehrerer Telefonleitungen gestatten. Alle anderen Benutzer sollen auf die Verwendung einer einzigen Telefonleitung beschränkt bleiben. Otto S. möchte Netzwerkverbindungen mit mehreren Telefonleitungen so konfigurieren, dass sie an wechselnde Bandbreitenbedingungen angepasst werden. Sobald die Auslastung der Telefonleitungskapazität unter 50% sinkt, soll die Anzahl der verwendeten Telefonleitungen reduziert werden. Darüber hinaus möchte Otto S. allen Benutzern die Möglichkeit geben, die Verbindung zum Netzwerk über Routing und RAS herzustellen. Zurzeit sind keine RAS-Richtlinien vorhanden. Wie sollte Otto S. vorgehen? (Wählen Sie drei Antworten aus.)
A
�
Er erstellt eine einzige RAS-Richtlinie auf dem Routing und RAS-Server.
B
�
Er erstellt zwei RAS-Richtlinien auf dem Routing und RAS-Server.
C
�
Er erlaubt Mehrfachverbindung.
D
�
Er reduziert die maximale Anzahl von Ports, die der Routing und RASServer verwendet.
E
�
Er aktiviert das Kontrollkästchen BAP, das für dynamische Mehrfachverbindung erforderlich ist.
F
�
Er erhöht die maximale Anzahl von DFÜ-Sitzungen.
207
Willy P. betreut das Netzwerk der Firma AP-SYSTEME GmbH. Das Netzwerk besteht aus einer einzigen Windows 2000-Domäne, die im einheitlichen Modus ausgeführt wird. Derzeit kommen in der Domäne keine Zertifikatsdienste zum Einsatz. Die AP-SYSTEME GmbH umfasst derzeit 150 Mitarbeiter. Wenn die Angestellten außer Haus arbeiten, benötigen sie Datei- und Druckdienste, E-Mail und Zugriff auf die Produkt- und Bestandsdatenbank des Unternehmens. Das Verkaufspersonal ist in der Gruppe »ADVerkauf« zusammengefasst. Das Unternehmen ist über eine T1-Standleitung mit dem Internet verbunden. Zusätzlich verfügt die AP-SYSTEME GmbH über ein virtuelles privates Netzwerk, um die bei der Unterstützung der Außendienstmitarbeiter anfallenden Kosten und auch die erforderlichen Hardwarekomponenten zu reduzieren.
173
Fragen zum MS-Prüfungsreport
Kapitel 3
Willy P. soll folgende Ziele erreichen: • • • • •
Die erforderlichen Netzwerkressourcen sollen für alle Außendienstmitarbeiter zugänglich sein. Nur die Mitglieder der Gruppe »ADVerkauf« sollen eine Verbindung zum Netzwerk herstellen können. Vertrauliche Geschäftsdaten sollen über die VPN-Verbindungen gesichert übertragen werden. Der Zugriff auf das Netzwerk soll ausschließlich während der Geschäftszeit erfolgen. Alle Mitglieder der Gruppe »ADVerkauf« sollen gleichzeitig eine Verbindung mit dem Netzwerk herstellen können.
Willy P. führt folgende Konfigurationsmaßnahmen durch: • • • •
Er installiert den Routing und RAS-Dienst auf einem Windows 2000 Server und konfiguriert ein virtuelles privates Netzwerk. Er erteilt den Mitgliedern der Gruppe »ADVerkauf« die Einwählberechtigung Zugriff erlauben. Er bearbeitet die Standard-RAS-Richtlinie, um die Remote-Zugriffsberechtigung zu erteilen. Er bearbeitet das RAS-Profil, um eine starke Datenverschlüsselung einzustellen.
Welches Ergebnis bzw. welche Ergebnisse erzielt Willy P. durch diese Maßnahmen? (Wählen Sie alle zutreffenden Antworten aus.) A
�
Die Gruppe »ADVerkauf« kann auf alle benötigten Netzwerkressourcen zugreifen.
B
�
Nur die Mitglieder der Gruppe »ADVerkauf« können eine Verbindung zum Netzwerk herstellen.
C
�
Vertrauliche Geschäftsdaten werden gesichert über die VPN-Verbindung übertragen.
D
�
Der Zugriff auf das Netzwerk erfolgt nur während der Geschäftszeiten.
E
�
Alle Mitglieder von »ADVerkauf« können gleichzeitig eine Verbindung zum Netzwerk herstellen.
208
Uwe P., der Netzwerkadministrator der S-R-S GmbH, konfiguriert ein Windows 2000-Netzwerk für den DFÜ-Zugriff. Die Benutzer von S-R-S müssen in der Lage sein, von zu Hause aus auf die Rechner zuzugreifen. Zur Erhöhung der Sicherheit erhält jeder Benutzer, dem der DFÜ-Zugriff gestattet ist, eine Smartcard.
174
Fragen zum MS-Prüfungsreport
Wie sollte Uwe P. bei der Konfiguration des Routing und RAS-Servers vorgehen? (Wählen Sie zwei Antworten aus.) A
�
Er aktiviert das Kontrollkästchen »Extensible-Authentication-Protokoll (EAP)«.
B
�
Er aktiviert das Kontrollkästchen »Microsoft-verschlüsselte Authentifizierung, Version 2 (MS-CHAP v2)«.
C
�
Er installiert auf dem Routing und RAS-Server ein Computerzertifikat.
D
�
Er installiert auf dem Routing und RAS-Server ein Smartcard-Anmeldungszertifikat.
E
�
Er installiert auf dem DFÜ-Clientrechner ein Computerzertifikat.
209
Angelika administriert das Netzwerk der Firma N&W LEASING AG. Sie möchte den Benutzern den Remotezugriff auf die Netzwerkressourcen ermöglichen. Deswegen konfiguriert sie in ihrer Windows 2000-Domäne, die im einheitlichen Modus arbeitet, den Routing und RAS-Dienst. Zeit- bzw. Authentifizierungsbeschränkungen braucht Angelika nicht zu berücksichtigen, da in der Firma rund um die Uhr und sieben Tage die Woche gearbeitet wird. Die Netzwerkbenutzer verfügen als Clients über Windows 2000 Professional-, Windows NT 4.0- oder MS Windows 98Rechner. Sie löscht die Standard-RAS-Richtlinie, möchte jedoch den Zugriff durch unberechtigte Benutzer verhindern. Sie erteilt allen Benutzern in der Domäne die DFÜ-Berechtigung Zugriff erlauben, allerdings können die Benutzer keine Verbindungen herstellen. Was sollte Angelika unternehmen, um dieses Problem zu lösen?
A
�
Sie sollte eine neue RAS-Richtlinie erstellen, die allen Benutzern der Gruppe »Domänen-Benutzer« den Einwählzugriff erlaubt.
B
�
Sie erstellt eine neue Gruppenrichtlinie, die der Gruppe »Domänen-Benutzer« die Einwählberechtigung erteilt.
C
�
Sie sollte das RAS-Profil bearbeiten, um nur die Verwendung von Verschlüsselte Authentifizierung (CHAP) als Authentifizierungsmethode zuzulassen.
D
�
Sie sollte das RAS-Profil bearbeiten, um nur die Verwendung von Unverschlüsselte Authentifizierung (PAP, SPAP) als Authentifizierungsmethode zuzulassen.
210
Jan ist für die Sicherheit des Netzwerks der AP-SYSTEME GmbH verantwortlich. Er möchte alle Benutzer registrieren, die über den Routing und RAS-Dienst auf das Netzwerk zugreifen. Er konfiguriert einen Windows 2000 Server für den Remotezugriff.
175
Fragen zum MS-Prüfungsreport
Kapitel 3
Jan muss alle Anmeldungsaktivitäten auf diesem Server protokollieren. Wie sollte er vorgehen? A
�
Jan aktiviert in den Überwachungsrichtlinien der Domäne die Option VERZEICHNISDIENSTZUGRIFF.
B
�
Jan aktiviert in den Überwachungsrichtlinien der Domäne die Option ANMELDEEREIGNISSE ÜBERWACHEN.
C
�
Jan aktiviert in den Überwachungsrichtlinien der Domäne die Option ANMELDEVERSUCHE ÜBERWACHEN.
D
�
Jan aktiviert auf dem Routing und RAS-Server in den Eigenschaften RASProtokollierung die Option AUTHENTIFIZIERUNGSANFORDERUNGEN PROTOKOLLIEREN.
E
�
Jan aktiviert auf dem Routing und RAS-Server in den Eigenschaften RASProtokollierung die Option KONTOFÜHRUNGSANFORDERUNGEN PROTOKOLLIEREN.
211
Willy P. administriert das Netzwerk der Firma Kindernahrung Vertrieb GmbH. Die Außendienstmitarbeiter der Firma brauchen auch unterwegs Zugriff auf die neuesten Geschäftsdaten. Willy P. möchte sicherstellen, dass die Außendienstmitarbeiter unabhängig vom Standort des Anrufs eine Verbindung zum Firmennetzwerk herstellen können. Über den Routing und RAS-Dienst erhalten auch die Lieferanten der Firma Zugriff auf das Netzwerk. Willy P. muss jetzt aus Sicherheitsgründen festlegen, von welchen Standorten aus die Lieferanten der Kindernahrung Vertrieb GmbH eine Verbindung herstellen dürfen. Zusätzlich möchte er den Außendienstmitarbeitern der Kindernahrung Vertrieb GmbH und den Lieferanten den Remotezugriff erleichtern. Was sollte Willy P. konfigurieren, um dieses Ziel zu erreichen? (Wählen Sie drei Antworten aus.)
A
�
Willy P. stellt die Option RÜCKRUF für die Außendienstmitarbeiter auf IMMER RÜCKRUF AN ein.
B
�
Willy P. stellt die Option RÜCKRUF für die Außendienstmitarbeiter auf VOM ANRUFER GESETZT ein.
C
�
Willy P. stellt die Option RÜCKRUF für die Lieferanten auf KEIN RÜCKRUF ein.
D
�
Willy P. stellt die Option RÜCKRUF für die Lieferanten auf IMMER RÜCKRUF AN ein.
176
Fragen zum MS-Prüfungsreport
E
�
Willy P. stellt die Option RÜCKRUF für die Lieferanten auf VOM ANRUFER GESETZT ein.
F
�
Willy P. aktiviert LCP-Objekte.
G
�
Willy P. aktiviert EAP.
212
In einer Windows 2000-Domäne befindet sich ein Windows 2000-Mitgliedsserver, der den Routing und RAS-Dienst ausführt. Sie aktivieren auf AP-SYSTEMEROU01 CHAP, weil ein Teil der RAS-Clients das CHAPProtokoll für die Einwahl benötigt. Zusätzlich konfigurieren Sie die RASRichtlinie für die Verwendung von CHAP. Die Benutzer können sich jedoch nicht an AP-SYSTEMEROU01 einwählen und eine Verbindung herstellen. Wie gehen Sie vor, um das Problem zu lösen?
A
�
Sie konfigurieren AP-SYSTEMEROU01 und lassen die LAN-ManagerAuthentifizierung nicht zu.
B
�
Sie konfigurieren AP-SYSTEMEROU01 und deaktivieren die Verwendung von LCP-Erweiterungen.
C
�
Sie konfigurieren die Benutzerkonten und aktivieren die Option KENNWORT MIT REVERSIBLER VERSCHLÜSSELUNG SPEICHERN. Sie legen fest, dass die Kennwörter der Benutzer bei der nächsten Anmeldung geändert werden.
D
�
Sie konfigurieren die Konten der Benutzer und legen hierbei fest, dass bei der Einwahl ins Netzwerk eine statische IP-Adresse verwendet werden muss.
213
Uwe P. betreut eine Windows 2000-Domäne. In dieser Domäne steht ein Windows 2000 Server mit der Bezeichnung AP-SYSTEMEROU1 zur Verfügung, der den Routing und RAS-Dienst ausführt. Alle Benutzer der Domäne können sich von ihren Windows 2000 Professional-Rechnern aus in das Netzwerk einwählen. In der Firma existiert eine Gruppe »Trainer«. Uwe P. möchte allen Mitgliedern dieser Gruppe erlauben, bei der Remoteauthentifizierung eine Smartcard zu verwenden. Die Einwählberechtigung ist für alle Benutzer der Gruppe »Trainer« auf ZUGRIFF ÜBER RAS-RICHTLINIEN STEUERN gesetzt. Er erstellt deshalb eine neue RAS-Richtlinie namens Trainerzugriff. Diese Richtlinie gewährt den Mitgliedern der Gruppe »Trainer« den Remotezugriff auf das Firmennetzwerk zu jeder beliebigen Tageszeit. Diese Richtlinie ist auf dem Rechner AP-SYSTEMEROU1 als erste Richtlinie in der RAS-Richtlinienliste eingetragen. Die Mitglieder der Gruppe »Trainer«
177
Fragen zum MS-Prüfungsreport
Kapitel 3
können sich zwar ins Netzwerk einwählen, jedoch können sie die Smartcards nicht zur Remoteauthentifizierung verwenden. Uwe P. möchte den Mitgliedern der Gruppe »Trainer« ihren Wunsch erfüllen und sicherstellen, dass diese in Zukunft Smartcards zur Remoteauthentifizierung verwenden können. Wie lässt sich das realisieren? A
�
Er fügt den Rechner AP-SYSTEMEROU1 zur Gruppe »Prä-Windows 2000-kompatibler Zugriff« hinzu.
B
�
Er aktiviert EAP auf dem RAS-Server AP-SYSTEMEROU1 und auf den Windows 2000-RAS-Clients als Authentifizierungsmethode und aktiviert EAP im Profil der RAS-Richtlinie Trainerzugriff.
C
�
Er wählt für die Mitglieder der Gruppe »Trainer« die Option KENNWORT MIT REVERSIBLER VERSCHLÜSSELUNG SPEICHERN.
D
�
Er konfiguriert die Benutzerkonten aller Mitglieder der Gruppe »Trainer« so, dass ihnen für Delegierungszwecke vertraut wird.
214
Uwe P. administriert ein Windows 2000-Netzwerk, das aus dem Hauptsitz und einer Zweigstelle besteht. Die Verbindung der Standorte erfolgt über eine geleaste 128 Kbit/s-ISDN-Leitung. Uwe P. installiert und konfiguriert an jedem Standort einen eigenständigen Windows 2000 Server, der den Routing und RAS-Dienst ausführt, um bei Bedarf eine Wählverbindung bereitstellen zu können. Uwe P. möchte den Verkehr über die ISDN-Leitung verschlüsseln und unnötige Verbindungen verhindern. Wie sollte Uwe P. vorgehen?
A
�
Er konfiguriert eine PPTP-Wählverbindung, die bei Bedarf aufgebaut werden kann, um die beiden Standorte über die geleaste ISDN-Leitung zu verbinden, und stellt sicher, dass die Datenverschlüsselung aktiviert ist. Zusätzlich definiert er die Filter für Wählen bei Bedarf und legt fest, dass NetBIOS-Broadcast-Verkehr nicht zugelassen wird.
B
�
Er konfiguriert eine PPTP-Wählverbindung, die bei Bedarf aufgebaut werden kann, um die beiden Standorte über die geleaste ISDN-Leitung zu verbinden, und stellt sicher, dass die Datenverschlüsselung aktiviert ist. Zusätzlich definiert er die Filter für Wählen bei Bedarf und legt fest, dass Remote-Prozeduraufruf-Verkehr nicht zugelassen wird.
C
�
Er konfiguriert eine L2TP-Wählverbindung, die bei Bedarf aufgebaut werden kann, um die beiden Standorte über die geleaste ISDN-Leitung zu verbinden, und konfiguriert Filter für »eingehend« und »ausgehend«. Er legt fest, dass kein NetBIOS-Broadcast-Verkehr zugelassen wird.
178
Fragen zum MS-Prüfungsreport
D
�
Er konfiguriert eine L2TP-Wählverbindung, die bei Bedarf aufgebaut werden kann, um die beiden Standorte über die geleaste ISDN-Leitung zu verbinden, und konfiguriert Filter in der Filterliste für Wählen bei Bedarf. Er legt fest, dass kein Remote-Prozeduraufruf-Verkehr zugelassen wird.
215
Ruppert betreut ein Windows 2000-Netzwerk. Er muss eine RAS-Umgebung einrichten, die eine hohe Verfügbarkeit und auch Sicherheit gewährleistet. Das Unternehmen verfügt über einen einzigen Standort und eine T3-Verbindung zum Internet. Die Außendienstmitarbeiter Ihres Unternehmens brauchen von jedem Remotestandort aus eine zuverlässige Verbindung zum Firmennetz. Auf allen Servern des Netzwerks ist Windows 2000 Advanced Server installiert, die Clients im Netzwerk verwenden alle als Betriebssystem Windows 2000 Professional. Ruppert möchte folgende Ziele erreichen: •
• • •
Ein Einzelpunkt-Versagen, mit Ausnahme eines Komplettausfalls der T3-Verbindung, darf nicht zum totalen Versagen der RAS-Verbindungen führen. Authentifizierungsdaten dürfen nicht im Klartext übertragen werden. Die Daten dürfen nur verschlüsselt übertragen werden. Der gleichzeitige Netzwerkzugriff von mindestens 200 Remotebenutzern soll jederzeit möglich sein.
Ruppert führt folgende Konfigurationsschritte durch: • • •
Er installiert am Hauptsitz einen VPN-Server. Er konfiguriert den VPN-Server für die Unterstützung von 250 PPTPVerbindungen. Er konfiguriert die Clients und legt hierbei fest, dass als Authentifizierungsprotokoll CHAP verwendet wird.
Welches Ergebnis bzw. welche Ergebnisse werden durch die Konfigurationen von Ruppert erreicht? (Wählen Sie alle zutreffenden Antworten aus.) A
�
Ein Einzelpunkt-Versagen, mit Ausnahme eines Komplettausfalls der T3Verbindung, führt nicht zum totalen Versagen der RAS-Verbindungen.
B
�
Authentifizierungsdaten werden verschlüsselt übertragen.
C
�
Die Daten werden nur verschlüsselt übertragen.
D
�
Der gleichzeitige Netzwerkzugriff von mindestens 200 Remotebenutzern ist jederzeit möglich.
179
Fragen zum MS-Prüfungsreport
Kapitel 3
216
Angelika administriert eine Windows 2000-Domäne, die im einheitlichen Modus ausgeführt wird. In dieser Domäne übernimmt der Windows 2000 Server AP-SYSTEMEDF2 die Rolle des Routing und RAS-Servers. Der Routing und RAS-Dienst ist auf AP-SYSTEMEDF2 installiert und für den Remotezugriff konfiguriert. Die IP-Adressierung wird in der Domäne manuell vorgenommen. Die Benutzer der Domäne wählen sich alle von ihren tragbaren Rechnern aus, auf denen Windows 2000 Professional installiert ist, in das Netzwerk ein. Die DFÜ-Clients sind für den automatischen Empfang einer IP-Adresse konfiguriert. Angelika will dies nicht ändern, jedoch möchte sie für jeden Benutzer eine feste IP-Adresse festlegen. Die Benutzer sollen bei der Herstellung der DFÜ-Verbindung unterschiedliche feste IP-Adressen erhalten. Wie sollte Angelika das Netzwerk konfigurieren, um dieses Ziel zu erreichen?
A
�
Angelika erstellt auf AP-SYSTEMEDF2 für den RAS-Dienst einen statischen Adresspool, so dass er nur die IP-Adresse der Einwahlschnittstelle für den Remotezugriff besitzt, und verwendet die Subnetzmaske 0.0.0.0.
B
�
Angelika erstellt auf AP-SYSTEMEDF2 für den RAS-Dienst einen statischen Adresspool für die Zuweisung von IP-Adressen und verwendet als Subnetzmaske 255.255.255.255.
C
�
Angelika erstellt auf dem DHCP-Server eine Reservierung, die für jeden Benutzer eine spezifische IP-Adresse verwendet.
D
�
Angelika weist in der Konsole Active Directory-Benutzer und -Computer für jeden Benutzer eine neue statische IP-Adresse zu.
217
Sie sind in Ihrem Unternehmen als Netzwerkadministrator tätig. Eine Zweigstelle des Unternehmens muss Buchhaltungsdateien mit Dateien am Hauptsitz synchronisieren. Für den Faxempfang verwendet Ihr Unternehmen einen Windows 2000 Server mit installiertem Modem. Um Kosten einzusparen, installieren Sie auf dem Server Routing und RAS. Um sicherzustellen, dass die Buchhaltungsdateien der Zweigstelle mit den Dateien am Hauptsitz synchronisiert werden, konfigurieren Sie den Server, um alle sechs Stunden eine Verbindung mit der Zweigstelle herzustellen. Sie automatisieren diesen Vorgang mit Befehlszeilenanweisungen und dem Windows-Taskplaner. Bei Beginn von geplanten Synchronisationen wird Ihr Server nicht gestartet. Sie möchten, dass der Server tatsächlich eine Verbindung zur Zweigstelle herstellt.
180
Fragen zum MS-Prüfungsreport
Wie gehen Sie vor, um dieses Problem zu beseitigen? A
�
Sie aktivieren MEHRFACHVERBINDUNGEN.
B
�
Sie beenden die Faxdienstsoftware, wenn der Server die Verbindung herstellt.
C
�
Sie aktivieren GEMEINSAME NUTZUNG DER INTERNETVERBINDUNG.
D
�
Sie aktivieren den Server als Router.
218
Sie haben auf einem Windows 2000 Server den RAS-Dienst konfiguriert und VPN-Verbindungen bereitgestellt. Sie haben die Standard-RAS-Richtlinie entfernt und keine anderen Richtlinien angelegt. Was geschieht, wenn sich Benutzer mit ihren RAS-Clients am RAS-Server einwählen wollen?
A
�
Alle Verbindungsversuche werden zugelassen.
B
�
Verbindungsversuche werden ausschließlich von Benutzern zugelassen, in deren Benutzerkonten ZUGRIFF GESTATTEN konfiguriert wurde.
C
�
Verbindungsversuche werden ausschließlich von Benutzern zugelassen, in deren Benutzerkonten ZUGRIFF ÜBER RAS-RICHTLINIEN STEUERN konfiguriert wurde.
D
�
Alle Verbindungsversuche werden abgelehnt.
181
Kapitel 4
Lösungen zum MS-Prüfungsreport 1
Sie sind der Administrator eines Windows 2000-Netzwerks. Ihr Netzwerk besteht aus fünf Subnetzen, die über einen Router miteinander verbunden sind, auf dem BOOTP-Relay aktiviert ist. Im Netzwerk befinden sich 80 Windows 2000 Server und 800 Windows 2000 Professional-Rechner. Diese Rechner sind relativ gleichmäßig über die Subnetze verteilt. Zusätzlich befinden sich im Netz 20 UNIX-Server und 100 für DHCP aktivierte Netzwerkdrucker. Sie sollen das Netzwerk optimieren, um folgende Ziele zu erreichen: • • • • •
Die korrekte Zuordnung von IP-Adressen an alle Clients in den Subnetzen soll automatisiert werden. Adresskonflikte zwischen Servern und Clients sollen verhindert werden. Es sollen korrekte Bereichsoptionen für alle Clients in den Subnetzen verwendet werden. Inaktive Clients sollen IP-Adressen nicht länger als drei Tage behalten. Jeder Netzwerkdrucker soll immer die gleiche IP-Adresse erhalten.
Sie führen folgende Schritte durch: • • •
Sie konfigurieren einen der Windows 2000 Server als DHCP-Server. Sie erstellen fünf Bereiche. Jeder dieser Bereiche enthält den Adressbereich für ein bestimmtes Subnetz. Sie legen in der DHCP-Konsole im Container Bereichsoptionen für jeden Adressbereich optionale Clientkonfigurationen fest.
183
Lösungen zum MS-Prüfungsreport
Kapitel 4
• •
Sie schließen den von den Servern verwendeten Adressbereich aus. Sie schließen den von den Netzwerkdruckern verwendeten Adressbereich aus.
Welches Ergebnis bzw. welche Ergebnisse werden durch Ihre Maßnahmen erzeugt? (Wählen Sie alle zutreffenden Antworten aus.) A
�
Die korrekte Zuordnung der IP-Adressen an alle Clients in allen Subnetzen wird automatisiert.
B
�
Adresskonflikte aufgrund doppelt vorhandener IP-Adressen zwischen den Clients und den Servern werden verhindert.
C
�
Korrekte Bereichsoptionen werden für alle Clients in den Subnetzen verwendet.
D
�
Inaktive Clients können eine IP-Adresse maximal drei Tage beanspruchen.
E
�
Jeder der Netzwerkdrucker erhält immer die gleiche IP-Adresse. A, B und C
Die Antwort A ist korrekt, da ein DHCP-Server mit fünf Bereichen, für jedes Subnetz ein Bereich, konfiguriert wurde. Da der Router gemäß Aufgabenstellung die BOOTP-Weiterleitung unterstützt, wird kein DHCP-Relay-Agent benötigt. Der DHCP-Server ist von jedem Subnetz aus erreichbar. Die Antwort B ist ebenso richtig. Server und Rechner mit relevanten Diensten (DNS, WINS etc.) sollen laut Microsoft mit festen (statischen) IP-Adressen konfiguriert werden. Am DHCP-Server wird dann der IP-Adressbereich dieser Rechner ausgeschlossen, wodurch ein Adresskonflikt vermieden wird. Die Antwort C ist ebenfalls richtig, da für jedes Subnetz ein Bereich mit den entsprechenden Bereichsoptionen erstellt wurde. Die Antwort D trifft nicht zu. An den Leaseeigenschaften wurden keine Änderungen vorgenommen und der Standardwert unter Windows 2000 beträgt 8 Tage. Hier werden »NT-Administratoren« aufs Glatteis geführt, da bei Windows NT 4.0 die Leasedauer drei Tage beträgt. Die Antwort E ist falsch, da der IP-Adressbereich für die Drucker ausgeschlossen wurde und deshalb keine automatisierte Vergabe dieser Adressen erfolgt. Weitere Konfigurationen, wie Reservierung der IP-Adressen für die Drucker, sind nicht beschrieben.
HILFE SERVER •
DHCP-Server, DHCP-Optionen Windows 2000 Netzwerkinfrastruktur-Administration, ISBN 3-86063-277-9
•
Erstellen eines DHCP-Bereichs, S. 284ff.
184
Lösungen zum MS-Prüfungsreport
2
Sie sind der Netzwerkadministrator der AP-SYSTEME GmbH. Ihr Netzwerk besteht aus zehn Windows 2000 Servern, 150 Windows 2000 Professional-Rechnern und 150 Windows NT 4.0 Workstations. Auf allen Clients ist die Datei- und Druckerfreigabe aktiviert, um die Zusammenarbeit zwischen den jeweiligen Arbeitsgruppen und die gemeinsame Verwendung von Dokumenten zu ermöglichen. Sie setzen einen der Windows 2000 Server als DHCP-Server ein, um die IP-Adresszuordnung auf den Clients zu automatisieren. Sie wollen folgende Ziele erreichen: • • •
•
Alle Clients sollen im Netzwerk anhand des vollqualifizierten Netzwerkdomänennamens gefunden werden können. Die DNS-Zonendateieinträge A (Hosteinträge) sollen für alle Clients automatisch hinzugefügt werden. Die DNS-Zonendateieinträge PTR (Zeigereinträge) sollen für alle Clients automatisch hinzugefügt werden, um Reverse-Lookups von Namen zu unterstützen. Bei Ablauf der DHCP-Lease sollen die A- und PTR-Einträge automatisch aus den DNS-Zonendateien entfernt werden.
Sie führen folgende Schritte durch: • •
•
Sie konfigurieren den DHCP-Server und legen fest, dass die Clientinformationen in DNS nicht aktualisiert werden. Sie konfigurieren den DHCP-Server und legen fest, dass die für Forward-Lookups erforderlichen Einträge bei Ablauf der Lease entfernt werden. Sie konfigurieren den DHCP-Adressbereich und legen fest, dass der Domänenname allen DHCP-Clients zugewiesen wird.
Welches Ergebnis bzw. welche Ergebnisse werden durch Ihre Maßnahmen erzeugt? (Wählen Sie alle zutreffenden Antworten aus.) A
�
Alle Clients im Netzwerk können anhand des vollqualifizierten Netzwerkdomänennamens gefunden werden.
B
�
Die DNS-Zonendatei A-Einträge werden für alle Clients automatisch hinzugefügt.
C
�
Die DNS-Zonendatei PTR-Einträge für Reverse-Lookups von Namen werden für alle Clients automatisch hinzugefügt.
D
�
Die A- und PTR-Einträge werden bei Ablauf der DHCP-Lease automatisch aus den DNS-Zonendateien entfernt. D
185
Lösungen zum MS-Prüfungsreport
Kapitel 4
Antwort D ist die richtige Antwort. Dabei muss man aber unterstellen, dass es sich bei den DNS-Zonen um AD-integrierte Zonen handelt, da ansonsten die dynamische Aktualisierung der Reverse-Lookup-Zonen auf »NEIN« eingestellt ist. Standardmäßig entfernt der dynamische Aktualisierungsclient automatisch die Name-IP-Adresszuordnungen, sobald die DHCP-Lease verfällt. Die beschriebenen Ergebnisse in den Antworten A, B und C werden nicht erreicht. Das Netzwerk besteht auch aus NT 4.0 Workstations und diese unterstützen keine dynamische Aktualisierung. Der DHCP-Server aktualisiert laut den Einstellungen den DNS nicht mit Clientinformationen. Somit werden die A-Einträge und die PTREinträge für die NT 4.0-Rechner in DNS nicht aktualisiert. Die Namensauflösung ist deshalb nicht gegeben.
HILFE SERVER •
Suchbegriff »DHCP AND DNS«, Titel: »Verwenden von DNS-Servern mit DHCP«
Kein direkter Verweis
3
Ihr Netzwerk besteht aus zwei Standorten (Altötting und Mühldorf). Jeder dieser Standorte verfügt über einen Windows 2000 Server und 50 Windows 2000 Professional-Rechner. Die beiden Server fungieren als Windows 2000-basierte Router. Die beiden Router sind nicht direkt miteinander verbunden, beide sind jedoch an einen dritten Router mit der Bezeichnung »Zentral« angeschlossen. Dieser Router wird von einer anderen Firma verwaltet.
50 Windows 2000 Professonal
50 Windows 2000 Professonal
Windows 2000 Router
Router-Zentrale
186
Windows 2000 Router
Lösungen zum MS-Prüfungsreport
Die Benutzer an beiden Standorten möchten Multicast-basierte Datacastings durchführen, um Informationen an den anderen Standort übertragen zu können. Sie fügen deshalb auf beiden Servern das Routingprotokoll IGMP hinzu. Der Router Zentral unterstützt jedoch keine Multicast-Weiterleitung bzw. kein Multicast-Routing. Wie konfigurieren Sie das Netzwerk, damit IP-Multicast-Verkehr zwischen den Standorten Altötting und Mühldorf übertragen werden kann? A
�
Sie erstellen auf beiden Servern eine statische Standardroute und verwenden die IP-Adresse des anderen Servers als Gateway.
B
�
Sie ordnen die Schnittstelle für den Router Zentral auf beiden Servern dem Routingprotokoll IGMP hinzu und führen diese Schnittstellen im IGMPProxymodus aus.
C
�
Sie erstellen zwischen den beiden Servern eine IP-in-IP-Schnittstelle, ordnen die IP-in-IP-Schnittstelle dem Routingprotokoll IGMP hinzu und führen die Schnittstelle im IGMP-Proxymodus aus.
D
�
Sie fügen beiden Servern das Routingprotokoll RIP für IP hinzu, ordnen die Schnittstelle für den Router dem Routingprotokoll RIP hinzu und konfigurieren die Server als gegenseitige Unicast-Nachbarn. C
Die Antwort C ist richtig. Der Router Zentral unterstützt Multicast-Weiterleitung (IP-Adressbereich von 224.0.0.0 bis 239.255.255.255) nicht. Es muss also ein Weg gefunden werden, so dass der Router Zentral die MulticastPakete nicht als solche erkennt. Für so einen Zweck (unter anderem) verwendet man eine IP-in-IP-Schnittstelle. Damit wird das Multicast-Paket als Datenteil eines weiteren IP-Pakets mit »nicht Multicast-Adresse« gepackt und damit vor dem Router Zentral verborgen. Die Antworten A und B sind nicht richtig. Eine statische Route hat mit dieser Aufgabenstellung nichts zu tun. Die Schnittstellen mit dem IGMP-Protokoll zu konfigurieren, bringt auch nichts, da der Router Zentral die Multicast-Pakete damit auch nicht weiterleitet. Die Antwort D ist ebenso falsch. Die Verwendung von RIP für IP besagt nur, dass die Router ihre Routingtabellen austauschen. Der Router Zentral leitet deswegen die Multicast-Pakete immer noch nicht weiter.
HILFE SERVER •
Suchbegriff: »IGMP AND IP-Tunnel« Titel: »PPTP-basiertes VPN für den Remotezugriff« Windows 2000 Netzwerkinfrastruktur-Administration, ISBN 3-86063-277-9
Kein direkter Verweis
187
Lösungen zum MS-Prüfungsreport
Kapitel 4
4
Sie sind der Netzwerkadministrator eines mittelständischen Unternehmens. Sie führen den Netzwerkmonitor aus, um Ihr Netzwerk zu überwachen und gegebenenfalls zu optimieren. Sie wollen die Quell-IP-Adresse und die Zielportnummer eines jeden TCP/IP-Rahmens im Netzwerk bestimmen können. Sie wollen diese Informationen über einen Zeitraum von drei Stunden hinweg aufzeichnen. Wie realisieren Sie dieses Vorhaben? (Wählen Sie zwei Antworten aus.)
A
�
Sie erhöhen im Menü EINSTELLUNGEN größe.
B
�
Sie verringern im Menü EINSTELLUNGEN FÜR AUFNAHMEPUFFER die Puffergröße.
C
�
Sie erhöhen im Menü EINSTELLUNGEN FÜR AUFNAHMEPUFFER die Rahmengröße.
D
�
Sie verringern im Menü EINSTELLUNGEN mengröße.
E
�
Sie wechseln das temporäre Sammlungsverzeichnis.
FÜR
AUFNAHMEPUFFER die Puffer-
FÜR
AUFNAHMEPUFFER die Rah-
A und D Die Antwort A ist richtig. Die Aufnahmepuffer bestimmen die Menge der Daten, die gesammelt werden können. Da die Datenmenge in drei Stunden einen erheblichen Umfang annehmen kann, sollte die Puffergröße erhöht werden. Die Antwort D ist ebenfalls richtig. Mit der Rahmengröße wird die Menge der einzelnen Daten innerhalb eines Rahmens (Paket) geregelt. Dieser Wert muss verringert werden, um die Anzahl der Rahmen zu erhöhen, die gesammelt werden. Durch die in den Antworten A und D geschilderten Tätigkeiten wird die maximale Menge an Daten gesammelt. Die Antworten B und C sind falsch. Damit erreicht man genau das Gegenteil von A und D. Die Antwort E ist auch falsch. Das Sammlungsverzeichnis bestimmt nur den Ort, an dem die Daten gespeichert werden, und hat mit der Aufgabenstellung nichts zu tun.
HILFE PROFESSIONAL •
Sammlungspuffer (Dialogfeld EINSTELLUNGEN) Windows 2000 Netzwerkinfrastruktur-Administration, ISBN 3-86063-277-9
•
Leistungsprobleme von Netzwerkmonitor, S. 101
188
Lösungen zum MS-Prüfungsreport
5
Sie sind der Administrator eines Windows 2000-Netzwerks, das insgesamt über 18.000 Windows 2000 Professional-Rechner und zehn Windows 2000-basierte WINS-Server verfügt. Die WINS-Clients sind in der Regel tragbare Rechner, die eine Netzwerkverbindung häufig von unterschiedlichen Standorten aus herstellen. Die WINS-Clients werden meistens für den Zugriff auf NetBIOS-basierte Ressourcen verwendet. Die TCP/IPKonfiguration der WINS-Clients wird durch einen DHCP-Server vorgenommen. Einige der WAN-Verbindungen in Ihrem Netzwerk sind unzuverlässig. Sie müssen sicherstellen, dass alle Windows 2000 Professional-Rechner NetBIOS-Namen auch dann auflösen können, wenn nicht alle WINS-Server im Netzwerk verfügbar sind. Wie konfigurieren Sie Ihr Netzwerk, um dieses Ziel zu erreichen?
A
�
Sie konfigurieren in jedem Segment einen Rechner als WINS-Proxy.
B
�
Sie konfigurieren die DHCP-Server und stellen jedem Client eine Liste von WINS-Servern zur Verfügung.
C
�
Sie konfigurieren die WINS-Server und aktivieren die Burstverarbeitung. Sie setzen die Anzahl der Anforderungen für die Burstverarbeitung auf Hoch.
D
�
Sie konfigurieren den DHCP-Server und setzen den Knotentyp NetBIOS über TCP/IP für jeden Clientrechner auf Gemischt (M-Knoten). B
Die Antwort B ist richtig. Wenn den Clients mehrere WINS-Server zur Verfügung stehen, greifen diese auf die alternativen WINS-Server zu, falls der Primäre WINS-Server nicht erreichbar ist. Die Antwort A ist nicht richtig. Ein WINS-Proxy wird benötigt, wenn sich nicht WINS-fähige Clients im Netz befinden. Die Antwort C ist nicht richtig. Die Burstverarbeitung kommt zum Tragen, wenn eine große Anzahl WINS-Clients gleichzeitig Registrierungsanforderungen senden. Die Antwort D ist auch falsch. Mit dem Knotentyp wird nur die Reihenfolge bei der NetBIOS-Namensauflösung festgelegt. In diesem Beispiel wird erst ein Broadcast zur Namensauflösung gesendet und dann ein WINS-Server gesucht.
HILFE SERVER •
Suchbegriff: »DHCP AND WINS«, Titel: »Problembehandlung bei WINS«
189
Lösungen zum MS-Prüfungsreport
Kapitel 4
Windows 2000 Netzwerkinfrastruktur-Administration, ISBN 3-86063-277-9 • •
NetBIOS-Knotentypen, S. 236 Konfigurationsoptionen für den DHCP-Bereich, S. 286
6
Sie sind der Netzwerkadministrator eines Windows 2000-Netzwerks, das aus einem Windows 2000 Server (AP-SYSTEME_ONE) und 40 Windows 2000 Professional-Rechnern besteht. AP-SYSTEME_ONE verfügt über eine DFÜ-Verbindung für den Zugang ins Internet. Alle Windows 2000 Professional-Rechner sind für die Verwendung der automatischen privaten IP-Adressierung (APIPA) konfiguriert. Das Netzwerk verfügt über keinen DHCP-Server. AP-SYSTEME_ONE verwendet die IP-Adresse 192.168.0.1. Für den Routing und RAS-Dienst sowie für sämtliche Ports auf AP-SYSTEME_ONE ist das Routing für »bei Bedarf herzustellende Wählverbindungen« aktiviert. Das Routingprotokoll Netzwerkadressübersetzung (NAT) wurde hinzugefügt. Sie müssen allen Windows 2000 Professional-Rechnern im Netzwerk den Internetzugang über eine übersetzte, bei Bedarf herzustellende Wählverbindung auf AP-SYSTEME_ONE ermöglichen. Wie konfigurieren Sie das Netzwerk? (Wählen Sie vier Antworten aus.)
A
�
Sie erstellen für die LAN-Verbindung eine neue Schnittstelle für bei Bedarf herzustellende Wählverbindungen.
B
�
Sie erstellen für die DFÜ-Verbindung eine neue Schnittstelle für bei Bedarf herzustellende Wählverbindungen.
C
�
Sie fügen dem NAT-Routingprotokoll eine öffentliche und eine private Schnittstelle hinzu.
D
�
Sie konfigurieren die IP-Adresse des Internetdienstanbieters an der privaten Schnittstelle als Standardgateway.
E
�
Sie konfigurieren das NAT-Routingprotokoll, um die Netzwerkadressübersetzungs-Zuordnung und die Namensauflösung zu aktivieren.
F
�
Sie fügen eine standardmäßige statische Route hinzu, die die öffentliche Schnittstelle verwendet.
G
�
Sie konfigurieren die öffentliche NAT-Schnittstelle mit dem Adresspool 192.168.0.1. B, C, E und F
190
Lösungen zum MS-Prüfungsreport
Wählen bei Bedarf ist »nach außen« zu konfigurieren (Antwort B), das ist die öffentliche Schnittstelle (DFÜ-Verbindung). Dem NAT-Routingprotokoll ordnet man eine öffentliche und eine private Schnittstelle zu. Das Protokoll ist mit IP-Adresse, Subnetmask etc. zu konfigurieren (Antworten C und E). Durch die statische Route, die im Lösungsvorschlag F beschrieben wird, wird die Erreichbarkeit des Servers sicher gestellt. Die Antwort A ist nicht richtig, weil bei der LAN-Verbindung keine Wählverbindungen existieren.. Die Antwort D ist falsch, weil sich die IP-Adresse des IP (InternetProvider, Internetdienstanbieter) häufig bei einer neuen Verbindung ändert. Die Antwort G ist nicht richtig, weil 192.168.0.1 eine reservierte Adresse darstellt (RFC 1597 und 1918) und diese für private Adressbereiche gilt.
HILFE SERVER •
Wählen bei Bedarf, Routing Windows 2000 Netzwerkinfrastruktur-Administration, ISBN 3-86063-277-9
•
Implementieren von Routing für Wählen bei Bedarf, S. 330ff.
7
Sie sind der Netzwerkadministrator eines Windows 2000-Netzwerks. Ihr Netzwerk verfügt über acht Windows 2000 Server, die alle als WINS-Server fungieren. Da sich mehrere Netzwerkbenutzer häufig von unterschiedlichen Standorten aus anmelden, möchten Sie für die acht WINS-Server eine Konvergenzzeit von weniger als einer Stunde konfigurieren. Was tun Sie, um dieses Ziel zu erreichen?
A
�
Sie erstellen eine kreisförmige Anordnung der acht WINS-Server und konfigurieren jeden WINS-Server als Push/Pull-Partner der beiden WINS-Server, die sich im Kreis neben diesem Server befinden. Sie verwenden ein Replikationsintervall von 25 Minuten.
B
�
Sie legen einen der acht WINS-Server als zentralen WINS-Server fest. Sie konfigurieren die übrigen WINS-Server als Push/Pull-Partner des zentralen WINS-Servers und konfigurieren den zentralen WINS-Server als Push/ Pull-Partner der übrigen WINS-Server. Sie verwenden ein Replikationsintervall von 25 Minuten.
C
�
Sie konfigurieren die WINS-Server und legen fest, dass die jeweils anderen WINS-Server automatisch als Replikationspartner konfiguriert werden. Sie verwenden das standardmäßige Zeitintervall für die automatische Partnerkonfiguration.
D
�
Sie legen für jeden WINS-Server ein Erneuerungsintervall von 50 Minuten fest und verwenden für das Bestätigungsintervall den Standardwert.
191
Lösungen zum MS-Prüfungsreport
Kapitel 4
B Die Antwort B ist richtig. Wichtig ist hier die Konvergenzzeit. Wenn man einen Server als zentralen WINS-Server festlegt und ein Replikationsintervall von 25 Minuten bestimmt, dauert es maximal 50 Minuten, bis die restlichen sieben WINS-Server mit aktuellen Daten repliziert sind. Die Antwort A ist falsch. Bei einer kreisförmigen Anordnung wird die Replikation mit dem jeweiligen Nachbarn durchgeführt. Das hat zur Folge, dass der letzte WINS-Server der vierte Server in dieser Runde ist. Bei vier Replikationen mit einem Intervall von 25 Minuten vergehen dabei allerdings bis zu 100 Minuten, womit die Vorgabe nicht erfüllt ist. Die Antwort C ist nicht richtig. Bei der automatischen Suche mit Standardeinstellung vergeht bis zu einer Stunde, ehe alle acht WINS-Server repliziert sind. Die Vorgabe lautet aber weniger als 1 Stunde. Die Antwort D ist auch falsch. Ein Erneuerungsintervall ist die Einstellung für WINS-Clients, um ihre Einträge zu erneuern. Das hat mit der Aufgabenstellung nichts zu tun.
HILFE SERVER • •
WINS-Push-Partner WINS-Pull-Partner
Kein direkter Verweis 8
Sie sind der Netzwerkadministrator eines Windows 2000-Netzwerks. Ihr Netzwerk verfügt über 20 Windows 2000 Server, 300 Windows 2000 Professional-Rechner, 200 Windows 98- und 25 UNIX-Clients, auf denen SMB-Serversoftware ausgeführt wird. Im Netzwerk wird ausschließlich das Transportprotokoll TCP/IP verwendet. Sie implementieren im Netzwerk WINS zur Vereinfachung der NetBIOS-Namensauflösung. Die Benutzer der Windows-Clients können jedoch auf Ressourcen, die auf den UNIX-Rechnern verfügbar sind, keine NetBIOS-Namen verwenden. Beim Zugriff auf Windows-Rechner funktioniert das Ganze reibungslos. Was tun Sie, um dieses Problem zu lösen?
A
�
Sie installieren auf einem der UNIX-Rechner einen WINS-Proxy-Agenten.
B
�
Sie installieren auf einem Windows-Rechner einen WINS-Proxy-Agenten.
C
�
Sie erstellen auf dem WINS-Server statische Zuordnungen für die UNIXRechner.
D
�
Sie erstellen auf dem WINS-Server statische Zuordnungen für die Windows-Rechner.
192
Lösungen zum MS-Prüfungsreport
C Die Antwort C ist richtig. Damit UNIX-Rechner beim WINSServer einen Eintrag in der Datenbank erhalten, sind statische Einträge nötig. Die Antwort A ist falsch. Ein WINS-Proxy leitet eine Anfrage zur Namensauflösung an den WINS-Server weiter. Dabei wird aber kein Eintrag beim WINS-Server erzeugt. Die WINS-Clients können damit auch nicht auf die UNIX-Rechner zugreifen. Die Antwort B ist ebenso falsch wie die Antwort A. Die Antwort D ist falsch, weil laut Fragestellung die Windows-Rechner problemlos funktionieren.
HILFE SERVER • •
Statische Zuordnung, WINS Server, Titel: »Verwenden statischer Zuordnungen« WINS-Proxys, Übersicht
Kein direkter Verweis
9
Sie sind der Netzwerkadministrator eines Windows 2000-Netzwerks. Das Netzwerk ist, wie im Diagramm dargestellt, konfiguriert.
Firewall
WS 1
Internet
Hub
ns
WS 2
WS 3
Im Netzwerk konfigurieren Sie einen Windows 2000 Server, der als Internet Information Server Verwendung finden soll. Dieser Server verwendet zur Unterstützung von Internetbenutzern die IP-Adresse 131.107.2.2 Intern, zur Unterstützung einer Intranetanwendung verwendet dieser Server die IP-Adresse 10.1.1.2.
193
Lösungen zum MS-Prüfungsreport
Kapitel 4
Sie müssen den Server so konfigurieren, dass nur die Webkommunikation über das Internet zugelassen wird. Zusätzlich soll der Server Intranetbenutzern den Zugriff auf freigegebene Ordner und andere Ressourcen erlauben. Wie setzen Sie diese Anforderung um? A
�
Sie aktivieren einen TCP/IP-Filter und lassen auf der Netzwerkkarte, welche die IP-Adresse 131.107.2.2 verwendet, nur Port 80 zu.
B
�
Sie aktivieren einen TCP/IP-Filter und lassen auf der Netzwerkkarte, welche die IP-Adresse 131.107.2.2 verwendet, nur Port 20 und Port 21 zu.
C
�
Sie lassen auf der Netzwerkkarte, welche die IP-Adresse 131.107.2.2 verwendet, alle Ports zu.
D
�
Sie aktivieren einen TCP/IP-Filter und lassen auf der Netzwerkkarte, welche die IP-Adresse 10.1.1.2 verwendet, nur Port 80 zu.
E
�
Sie aktivieren einen TCP/IP-Filter und lassen auf der Netzwerkkarte, welche die IP-Adresse 10.1.1.2 verwendet, nur Port 20 und Port 21 zu.
F
�
Sie lassen auf der Netzwerkkarte, welche die IP-Adresse 10.1.1.2 verwendet, alle Ports zu. A und F
Die Antwort A ist richtig. Die Web-basierten Zugriffe erfolgen über die IP-Adresse 131.107.2.2. Der Port 80 wird als Standard für das Web-Protokoll HTTP benutzt. Somit ist diese Zuordnung korrekt. Die Antwort F ist richtig. Bezüglich des Intranets wird die IP-Adresse 10.1.1.2 verwendet. Dort werden andere Ressourcen genutzt, die nicht näher beschrieben sind. Deshalb bedarf es keiner PortFilterung. Die Antworten B und D sind falsch. Port 20 und 21 werden für FTP benutzt und haben mit der Aufgabenstellung nichts zu tun. Die Antworten C und E sind falsch. Ports und Einstellung entsprechen der Aufgabenstellung, jedoch sind die Zuordnungen an den falschen Netzwerkkarten gemacht worden.
HILFE SERVER •
TCP (Transmission Control Protocol)
Kein direkter Verweis
194
Lösungen zum MS-Prüfungsreport
10
Sie sind in Ihrer Firma der Netzwerkadministrator. Das Netzwerk besteht aus einer einzigen Windows 2000-Domäne, die insgesamt 15 Windows 2000 Server und 600 Windows 2000 Professional-Rechner enthält. Sie möchten die IP-Adresszuordnung vereinfachen. Sie installieren auf einem der Server den DHCP-Server-Dienst und definieren und aktivieren einen IP-Adressbereich. Die Netzwerkbenutzer können jedoch keine Verbindung mit dem Netzwerk herstellen. Sie stellen fest, dass die Clients keine TCP/ IP-Konfigurationsinformationen vom DHCP-Server erhalten. Wie lösen Sie dieses Problem?
A
�
Sie starten den DHCP-Server-Dienst auf dem DHCP-Server neu.
B
�
Sie starten alle Clients neu.
C
�
Sie autorisieren den DHCP-Server in Active Directory.
D
�
Sie fügen einen DNS-Hosteintrag für den DHCP-Server hinzu. C
Die Antwort C ist richtig. In einer Windows 2000-Domäne muss der DHCP-Server im Active Directory autorisiert sein, um die DHCP-Clients zu bedienen. Ist das nicht der Fall, beendet der Server den DHCP-Dienst. Die Antwort A ist nicht richtig. Ohne Autorisierung des DHCP-Servers lässt sich der DHCP-Dienst in einer AD-Umgebung nicht starten. Die Antwort B ist falsch, ein Reboot der Clients ändert nichts am beschriebenen Problem. Die Antwort D ist auch falsch. Der DNS-Hosteintrag (Namensauflösung) hat nichts mit der Kernproblematik zu tun.
HILFE SERVER •
DHCP-Server, Autorisieren, Titel: »Autorisieren von DHCP-Servern« Windows 2000 Netzwerkinfrastruktur-Administration, ISBN 3-86063-277-9
•
Installieren und Konfigurieren eines DHCP-Servers, S. 281ff.
11
Sie sind der Administrator eines Windows 2000-Netzwerks. Das Netzwerk besteht aus einer einzigen Windows 2000-Domäne und auf allen Rechnern wird Windows 2000 Server bzw. Windows 2000 Professional installiert. Sie haben Ihre primäre DNS-Standardzone konfiguriert, um die Namensauflösung und den Zugriff der Clients auf Serverressourcen zu erleichtern. Ihre primäre DNS-Standardzone enthält alle Adressen der Server. Später fügen Sie dem Netzwerk vier weitere Mitgliedsserver hinzu.
195
Lösungen zum MS-Prüfungsreport
Kapitel 4
Die Benutzer finden diese neuen Server zwar, können jedoch nicht darauf zugreifen. Wie lösen Sie dieses Problem? A
�
Sie konvertieren die primäre DNS-Standardzone in eine integrierte Active Directory-Zone.
B
�
Sie erstellen für jeden neuen Server in der DNS-Zone einen SRV-DienstEintrag.
C
�
Sie setzen die Einstellung Dynamische Aktualisierung zulassen für die primäre DNS-Standardzone auf Ja.
D
�
Sie setzen die Einstellung Dynamische Aktualisierung zulassen für die primäre DNS-Standardzone auf Nur gesicherte Aktualisierungen. C
Die Antwort C ist richtig. Da die Standardeinstellung eine dynamische Aktualisierung für eine primäre Zone nicht zulässt, müssen die Eigenschaften der primären Zone erst geändert werden. Die Antwort A ist nicht richtig. Die Umwandlung einer primären in eine integrierte Active Directory-Zone führt dazu, dass die Daten nicht mehr in einer eigenständigen Zonendatei, sondern im Active Directory (Datei ntds.dit) gespeichert werden. Die Eigenschaften der Zone werden dabei nicht verändert. Die Antwort B ist falsch. Mit den SRV-Einträgen werden Dienste in der Zone eingetragen, wie z.B. Domänencontroller oder DNS-Server. Die Antwort D ist nicht richtig. Sichere dynamische Aktualisierungen können nur bei AD-integrierten Zonen eingestellt werden, jedoch nicht in einer primären Standardzone.
HILFE SERVER •
Dynamische Aktualisierung Windows 2000 Netzwerkinfrastruktur-Administration, ISBN 3-86063-277-9
•
Aktivieren dynamischer Aktualisierungen, S. 223
12
Sie sind der Administrator eines Windows 2000-Netzwerks, das über einen Hauptsitz und eine Nebenstelle verfügt. Sie setzen PPTP ein, um den Hauptsitz mit der Zweigstelle zu verbinden. Sie müssen sicherstellen, dass für die Verbindung eine möglichst starke Datenverschlüsselung verwendet wird.
196
Lösungen zum MS-Prüfungsreport
Wie machen Sie das? A
�
Sie stellen in den Routing und RAS-Konsolen sicher, dass das Einwählprofil, das für die Herstellung der Verbindung zwischen den beiden Geschäftsstellen verwendet wird, ausschließlich MS-CHAP zulässt.
B
�
Sie stellen in den Routing und RAS-Konsolen in den Eigenschaften der Routing und RAS-Serverobjekte sicher, dass das Extensible-AuthenticationProtokoll MD5-CHAP verwendet wird.
C
�
Sie stellen in den Routing und RAS-Konsolen in den Eigenschaften der PPTP-Schnittstellen sicher, dass MS-CHAP v2 als Authentifizierungsmethode verwendet wird.
D
�
Sie stellen in den Routing und RAS-Konsolen in den Eigenschaften der PPTP-Schnittstellen sicher, dass PAP (Password Authentication Protocol) als Authentifizierungsmethode verwendet wird. C
Die Antwort C ist richtig, weil die Eigenschaften der PPTPSchnittstellen zu konfigurieren sind. Bei MS-CHAPv2 wird eine gegenseitige Authentifizierung durchgeführt. Dies stellt eine sehr sichere Art der Anmeldung dar. Die Anmeldungsdaten (Benutzer und Passwort) werden bei jeder Sitzung neu verschlüsselt. Die Antwort A ist nicht richtig, weil das Einwählprofil nichts mit der Frage zu tun hat. Die Antwort B ist komplett falsch. Außerdem wird EAP nur in Verbindung mit Smartcard oder Ähnlichem verwendet. Die Antwort D ist falsch. PAP ist ein »unsicheres« Authentifizierungsprotokoll, da hierbei die Anmeldedaten unverschlüsselt übermittelt werden – also das Gegenteil der Aufgabenstellung.
HILFE SERVER •
Suchbegriff: »VPNs NEAR Sicherheit«, Titel: »Sicherheit von Router-zuRouter-Verbindungen in VPNs«
Kein direkter Verweis
13
Sie sind der Administrator eines Windows 2000-Netzwerks. Das Netzwerk besteht aus Windows 2000 Servern, Windows 2000 ProfessionalRechnern, Windows NT 4.0 Workstations und Windows für Workgroups 3.11-Clients, die über drei Subnetze verteilt sind. Alle Clients verwenden
197
Lösungen zum MS-Prüfungsreport
Kapitel 4
die automatische TCP/IP-Konfiguration. Sie installieren in einem Subnetz einen neuen Windows 2000 Server als WINS-Server. Zusätzlich definieren Sie eine DHCP-Bereichsoption für die Adresse des neuen WINS-Servers. Die Benutzer können zwar auf Ressourcen in ihrem eigenen Subnetz zugreifen, jedoch nicht auf Ressourcen in anderen Subnetzen. Wie lösen Sie dieses Problem? A
�
Sie aktualisieren die Konfiguration sämtlicher Clients mittels des Befehls ipconfig /renew.
B
�
Sie aktualisieren die Konfiguration sämtlicher Clients mittels des Befehls ipconfig /release.
C
�
Sie installieren einen WINS-Proxy-Agenten in dem Subnetz, in dem sich der neue WINS-Server befindet.
D
�
Sie installieren einen WINS-Proxy-Agenten in den Subnetzen, die den neuen WINS-Server nicht enthalten. A
Die Antwort A ist richtig. Mit dem Befehl ipconfig/renew aktualisieren Sie die TCP/IP-Konfiguration der Clients. Der neue WINS-Server wurde installiert und die DHCP-Bereichsoption angepasst. Die Clients haben die neue TCP/IP-Konfiguration vom DHCP-Server aber noch nicht erhalten. Die Antwort B ist falsch. Mit ipconfig /release geben die DHCP-Clients ihre IP-Konfiguration zurück. Sie sind dann im Netz nicht mehr erreichbar. Die Antworten C und D sind auch falsch. WINS-Proxy sind nur für nicht WINS-fähige Clients gedacht und die haben mit der geschilderten Situation nichts zu tun.
HILFE SERVER • • •
Suchbegriff: »ipconfig/renew«, Titel: »Problembehandlung bei WINS-Clients« Hilfe-Option (/?) des Kommandozeilenbefehls ipconfig WINS-Proxys Windows 2000 Netzwerkinfrastruktur-Administration, ISBN 3-86063-277-9
•
Ipconfig – Optionen, S. 276ff.
14
Sie sind der Netzwerkadministrator der AP-SYSTEME GmbH. Ihr Netzwerk besteht aus drei Windows 2000-Domänen, die, wie im Diagramm dargestellt, konfiguriert sind.
198
Lösungen zum MS-Prüfungsreport
AP-SYSTEME.de
mue.AP-SYSTEME.de
kc.AP-SYSTEME.de
Zur Verwaltung des DNS-Namensraums verwenden Sie eine einzige primäre DNS-Standardzone. Die Namensauflösung aller Domänen wird über diese Standardzone abgewickelt. Die Netzwerkbenutzer teilen Ihnen mit, dass die Namensauflösung für die Hosts in allen drei Domänen extrem viel Zeit beansprucht. Sie möchten dieses Problem lösen, jedoch die zentrale Verwaltungskontrolle beibehalten. Wie gehen Sie vor? A
�
Sie erstellen eine neue primäre Zone für die Domäne KC und erstellen eine neue primäre Zone für die Domäne MUE.
B
�
Sie erstellen eine neue sekundäre Zone für die Domäne KC und erstellen eine neue sekundäre Zone für die Domäne MUE.
C
�
Sie erstellen jeweils eine neue integrierte Active Directory-Zone für die Domäne KC und für die Domäne MUE.
D
�
Sie erstellen jeweils eine delegierte Zone für die Domäne KC und für die Domäne MUE. B
Die Antwort B ist richtig. Der wichtigste Aspekt in der Aufgabenstellung ist die »zentrale Verwaltungskontrolle«. Um die Namensauflösung zu beschleunigen, bedarf es weiterer DNS-Server. Eine zentrale Verwaltung mehrerer DNS-Server wird allerdings nur mit sekundären Zonen erreicht. Server mit sekundären Zonen können eine eigenständige Namensauflösung durchführen, sie lassen sich aber nur vom primären DNS-Server aktualisieren, womit die zentrale Verwaltung erhalten bleibt. Damit scheiden alle anderen Antworten aus.
HILFE SERVER •
DNS-Zonenübertragungen, Übersicht Windows 2000 Netzwerkinfrastruktur-Administration, ISBN 3-86063-277-9
•
Sekundäre Namensserver, S. 181
199
Lösungen zum MS-Prüfungsreport
Kapitel 4
15
Peter R. ist der Netzwerkadministrator der Firma SRS AG. Die Firma verfügt über Zweigstellen in Burghausen und in Altötting. Jede Zweigstelle soll einen eigenen Routing- und RAS-Server betreiben. Deshalb implementiert Peter RADIUS für die zentrale Verwaltung. Er entfernt die Standard-RAS-Richtlinie, weil er eine einzige Unternehmensrichtlinie implementieren soll, die für die gesamte DFÜ-Kommunikation eine 40-Bit-Verschlüsselung erfordert. Er möchte das Netzwerk so konfigurieren, dass die sichere Kommunikation mit möglichst geringem administrativen Aufwand ermöglicht wird. Wie realisiert Peter das? (Wählen Sie zwei Antworten aus.)
A
�
Er definiert auf jedem Routing und RAS-Server eine RAS-Richtlinie.
B
�
Er definiert auf dem RADIUS-Server eine RAS-Richtlinie.
C
�
Er stellt die Verschlüsselung in der/den RAS-Richtlinie(n) auf Basisverschlüsselung ein.
D
�
Er stellt die Verschlüsselung in der/den RAS-Richtlinie(n) auf Starke Verschlüsselung ein.
E
�
Er aktiviert auf dem RADIUS-Server die Richtlinie Secure Server IPSec.
F
�
Er aktiviert auf dem RADIUS-Server die Richtlinie Server IPSec. B und C
Die Antwort B ist richtig. Die RAS-Richtlinie auf dem RADIUSServer zu erstellen, ist der einfachste Weg, da alle RADIUS-Clients (RAS-Server) diese Richtlinie zum Aufbau der RAS-Verbindungen mit den RAS-Clients verwenden. In diesem Zusammenhang scheidet auch die Antwort A aus, weil das hier beschriebene Vorgehen einen zu hohen administrativen Aufwand darstellen würde. Die Anforderung hinsichtlich der 40-Bit-Verschlüsselung wird durch die Antwort C erreicht. Basisverschlüsselung bedeutet eine 40-Bit-Verschlüsselung. Die Antwort D ist falsch, weil Starke Verschlüsselung (128-Bit-Verschlüsselung) zu viel des Guten ist. Die Antworten E und F scheiden aufgrund der Anforderungen der Fragestellung aus. Grundsätzlich wäre der Einsatz von IPSec jedoch anzustreben.
HILFE SERVER • •
Routing und RAS, Übersicht RAS-Richtlinien, Übersicht
Kein direkter Verweis
200
Lösungen zum MS-Prüfungsreport
16
Sie sind der Netzwerkadministrator eines Windows 2000-Netzwerks. Das Netzwerk verfügt über drei Segmente, die durch einen Router miteinander verbunden sind. Jedes Segment enthält drei Windows 2000 Server, wobei jeweils einer dieser Server als WINS-Server fungiert. Im Netzwerk befinden sich 300 Windows NT 4.0 Workstations als WINS-Clients. Diese Clients sind gleichmäßig über die drei Segmente verteilt. Allerdings teilen Ihnen die Netzwerkbenutzer mit, dass sie auf Ressourcen in den anderen Segmenten als dem ihren nicht zugreifen können. Wie konfigurieren Sie das Netzwerk, um allen Netzwerkbenutzern das Durchsuchen und den Zugriff auf Ressourcen in allen Segmenten zu ermöglichen?
A
�
Sie konfigurieren für alle WINS-Clients den NetBIOS-Knotentyp Gemischt (M-Knoten).
B
�
Sie konfigurieren alle WINS-Clients für die Verwendung aller drei WINSServer.
C
�
Sie konfigurieren auf jedem WINS-Server die Datei lmhosts und fügen dieser Datei Einträge mit #PRE und #DOM für die beiden anderen WINSServer hinzu.
D
�
Sie konfigurieren die drei WINS-Server als gegenseitige Replikationspartner. D
Die Antwort D ist die richtige Antwort. Vermutlich sind die Clients nur für die WINS-Server in ihrem eigenen Subnetz konfiguriert. Durch die gegenseitige Replikation erhalten alle WINS-Server identische Informationen. Somit ist es auch möglich, auf Rechner aus den anderen Subnetzen zuzugreifen. Die Antwort A ist falsch. Mit dem Knotentyp wird nur die Reihenfolge der NetBIOS-Namensauflösung gesteuert. In diesem Fall versucht ein Rechner die Namensauflösung erst mit Broadcast und dann über WINS. Da der WINS-Server im eigenen Subnetz, ohne Replikation mit den anderen WINS-Servern, die Clients aus den anderen Subnetzen nicht kennt, funktioniert diese Möglichkeit nicht. Die Antwort B ist falsch. Diese Konfiguration ist grundsätzlich möglich. Jedoch nutzt ein WINS-Client immer nur den Primären WINS-Server, solange er diesen erreicht. Auf weitere WINS-Server greift ein Client erst dann zu, wenn der Primäre WINS-Server nicht erreichbar ist. Die Antwort C ist falsch. Eine LMHOSTS-Datei wäre auch eine mögliche Lösung, jedoch muss diese auf jedem Rechner im Netz vorhanden sein. Nur die WINS-Server damit zu konfigurieren, nutzt auch nichts.
HILFE SERVER •
WINS-Replikation, Übersicht
201
Lösungen zum MS-Prüfungsreport
Kapitel 4
Windows 2000 Netzwerkinfrastruktur-Administration, ISBN 3-86063-277-9 • •
NetBIOS-Knotentypen, S. 236 Konfiguration der WINS-Replikation, S. 258ff.
17
Sie sind in Ihrer Firma als Netzwerkadministrator tätig. Ihr Windows 2000 Server mit der Bezeichnung AP-SYSTEME_ONE kann mit dem UNIX-Server AP-SYSTEME_TWO keine Verbindung aufbauen. APSYSTEME_ONE kann zu anderen Rechnern im Netzwerk Verbindungen herstellen. Sie senden Ping-Signale an AP-SYSTEME_TWO, erhalten jedoch folgende Fehlermeldung: Unbekannter Host AP-SYSTEME_TWO Daraufhin erstellen Sie in der Forward-Lookupzone einen A-Eintrag und geben Namen und IP-Adresse korrekt an. Beim erneuten Versuch, PingSignale an AP-SYSTEME_TWO zu senden, erhalten Sie wieder die gleiche Fehlermeldung. Wie lösen Sie dieses Problem?
A
�
Sie starten den DNS-Server neu.
B
�
Sie löschen den Cache-Speicherinhalt des DNS-Servers.
C
�
Sie führen auf AP-SYSTEME_ONE den Befehl ipconfig /registerdns aus.
D
�
Sie führen auf AP-SYSTEME_ONE den Befehl ipconfig /flushdns aus. D
Die Antwort D ist richtig. Hintergrund hierzu ist der Namensauflösungsdienst. Dabei wird versucht, einen Hostnamen in einer vorgegebenen Reihenfolge zur IP-Adresse aufzulösen. • • • •
Cache des lokalen Rechners Hosts-Datei des lokalen Rechners DNS-Server wird gesucht Broadcast
Falls der Hostname mit dem NetBIOS-Namen identisch ist, wird auch noch WINS und Lmhosts herangezogen. In diesem Fall wurde beim ersten Ping der Name nicht aufgelöst. Dabei speichert das System diese negative Auflösung in seinem Cache. Beim zweiten Ping wäre eine Namensauflösung über den DNS-Server möglich. Durch die Reihenfolge des Auflösungsdienstes ist das System allerdings schon beim Cache des lokalen Rechners »erfolgreich«, womit weitere Schritte in dieser Reihenfolge unterbleiben. Das Löschen des lokalen Cache mit dem Befehl ipconfig/flushdns
202
Lösungen zum MS-Prüfungsreport
(Antwort D) ist hier die einzige Möglichkeit, in der Reihenfolge der Namensauflösung bis zum DNS-Server zu gelangen. Dieser löst den Namen zur IP-Adresse auf und der Ping ist dann erfolgreich. Die Antwort A ist falsch. Ein Neustart des DNS-Servers löst nicht das Problem des lokalen Cache am Host. Die Antwort B ist ebenso falsch. Das Löschen des Cache am DNS-Server führt nicht zu einer Lösung des Problems am lokalen Host. Die Antwort C ist auch nicht richtig. Der Befehl ipconfig /registerdns erzwingt nur einen Eintrag beim DNS-Server. Dieser Eintrag wurde aber schon manuell erstellt.
HILFE SERVER •
ipconfig-Befehl, Löschen und Zurücksetzen des Cache für den Auflösungsdienst Windows 2000 Netzwerkinfrastruktur-Administration, ISBN 3-86063-277-9
•
ipconfig – Optionen, S. 276ff.
18
Sie sind der Netzwerkadministrator der AP-SYSTEME GmbH. Sie konfigurieren in Ihrer Windows 2000-Domäne den RAS-Dienst, um Ihren Trainern, wenn diese auswärts sind, den Zugriff auf Netzwerkressourcen zu ermöglichen. Sie möchten, dass die Clients automatisch mit IP-Adressen versorgt werden, wenn diese sich einwählen. Sie konfigurieren den RASServer und richten DHCP ein, um den Clients Adressen und Konfigurationen zuzuweisen. Die Trainer können jedoch nicht durch Angabe des Servernamens oder über Active Directory auf die Netzwerkressourcen zugreifen. Sie überprüfen dies und stellen nach Herstellung der Verbindung zum RAS-Server fest, dass der Client zwar seine IP-Adresse, jedoch keine der DHCP-Optionen empfängt. Auf den Rechnern im lokalen Netz tritt dieses Problem nicht auf. Wie lösen Sie das Problem?
A
�
Sie aktivieren im Dialogfeld Eigenschaften des RAS-Servers die Option IPROUTING.
B
�
Sie deaktivieren im Dialogfeld Eigenschaften des RAS-Servers die Option IP-ROUTING.
C
�
Sie konfigurieren auf dem RAS-Server einen statischen Adresspool.
D
�
Sie konfigurieren den RAS-Server und legen fest, dass dieser als DHCPRelay-Agent fungieren soll.
203
Lösungen zum MS-Prüfungsreport
Kapitel 4
D Der RAS-Server reserviert sich vom DHCP-Server Adresspools (zehn Adressen). Die IP-Adressen werden dann den RAS-Clients zugewiesen. Der RAS-Server selbst kann keine DHCP-Optionen vergeben. Dazu benötigen die RASClients den DHCP-Server. Da die RAS-Clients aus einem anderen Segment zugreifen, muss der RAS-Server als DHCP-Relay-Agent konfiguriert werden, damit die RAS-Clients den DHCP-Server erreichen können. Die Antwort D ist deshalb korrekt. Die Antwort A entspricht nicht den Anforderungen, weil die Clients ja den DHCPServer erreichen, also ist das IP-Routing aktiv. Die Antwort B »Deaktivieren des IPRoutings« würde den Clients nur den Zugriff auf den DHCP-Server verwehren, weil der RAS-Server nichts mehr weiterleiten könnte. Die Antwort C löst nur das Problem der Bereitstellung von IP-Adressen, diese werden jedoch effektiver über DHCP bereitgestellt.
HILFE SERVER • •
DHCP-Relay-Agent, Übersicht DHCP-Relay-Agent, Optionen Windows 2000 Netzwerkinfrastruktur-Administration, ISBN 3-86063-277-9
•
Routing und RAS mit DHCP, S. 345
19
Michael ist der Netzwerkadministrator der AP-SYSTEME GmbH. Der Webserver der Firma ist so konfiguriert, dass die Webanwendung eines Drittanbieters für die Netzwerkbenutzer ausgeführt wird. Uwe, der zweite Administrator in der Firma, hat aus Gründen der Serversicherheit einige Veränderungen vorgenommen. Die Benutzer erhalten bei jedem Versuch, eine Verbindung zu einer auf dem Webserver gespeicherten Webseite aufzubauen, eine Fehlermeldung mit der Information, dass diese Webseite nicht zur Verfügung steht. Die Benutzer können jedoch ohne Probleme FTP-Verbindungen herstellen und es ist sichergestellt, dass der Webdienst auch gestartet ist. Michael muss jetzt ermitteln, aus welchem Grund die Benutzer die Fehlermeldung erhalten. Was sollte er zur Lösung des Problems unternehmen?
A
�
Bestätigen, dass die Ports 21 und 29 in ihrem TCP/IP-Filter zugelassen werden.
B
�
Bestätigen, dass der Port 443 in seinem TCP/IP-Filter zugelassen wird.
204
Lösungen zum MS-Prüfungsreport
C
�
Bestätigen, dass die korrekten NTFS-Dateiberechtigungen für die in Frage kommenden Webseiten vorhanden sind.
D
�
Bestätigen, dass Port 80 in seinem TCP/IP-Filter zugelassen wird. C
Aus der Fragestellung geht im Kern nur hervor, dass die Sicherheit verbessert wurde. Einen Hinweis auf Filter oder HTTPS findet man nicht. Wenn User keinen Zugriff auf die Website bekommen, dann kann eigentlich kein Portfilter daran schuld sein. Deshalb lautet hier die richtige Lösung C. Die Antwort A ist falsch, weil hier die Ports 21 (FTP) und 29 (MSG-ICP) angeführt werden. Aus der Fragestellung geht jedoch eindeutig hervor, dass keine Probleme beim FTP-Zugriff auftreten. Die Antwort B hat ebenfalls nichts mit der Lösung des Problems zu tun, weil die User ja eine Meldung bekommen, wenn sie zugreifen wollen. Die Antwort D trägt auch nichts zur Lösung bei, weil der Webzugriff ja funktioniert.
HILFE SERVER •
Suchbegriff »Port NEAR TCP«
Kein direkter Verweis
20
Sie sind in Ihrer Firma als Netzwerkadministrator angestellt. Das Netzwerk besteht aus einem einzigen Subnetz und es wird ausschließlich TCP/ IP als Transportprotokoll verwendet. Zur Vereinfachung der IP-Adresszuordnung verwenden Sie DHCP. Nach der Analyse des Netzwerks mit dem Netzwerkmonitor stellen Sie fest, dass die Broadcasts hinsichtlich der Namensauflösung überhand nehmen. Sie beschließen deshalb, einen WINS-Server zu installieren, um den Netzwerkverkehr zu reduzieren. Nach einigen Tagen stellen Sie fest, dass Ihr Netzwerk immer noch sehr langsam ist. Sie starten erneut den Netzwerkmonitor und bemerken, dass der Broadcastverkehr nach wie vor nicht reduziert ist. Beim Einsehen der WINS-Datenbank stellen Sie mit Erstaunen fest, dass diese ausschließlich den Eintrag für den WINS-Server selbst enthält. Was tun Sie, um dieses Problem in den Griff zu bekommen?
A
�
Sie konfigurieren den WINS-Server als DHCP-Clientrechner.
B
�
Sie konfigurieren den DHCP-Server als einen WINS-Clientrechner.
C
�
Sie konfigurieren die DHCP-Bereichsoption, um die Adresse des WINSServers bekanntzugeben.
205
Lösungen zum MS-Prüfungsreport
Kapitel 4
D
�
Sie konfigurieren auf dem WINS-Server für jeden Client statische Zuordnungen.
E
�
Sie konfigurieren im DHCP-Adressbereich für den WINS-Server eine Reservierung. C
Die Antwort C ist richtig. Bei dieser Aufgabe geht es nur um die Reduzierung der Broadcasts für die NetBIOS-Namensauflösung. Dies erreicht man am besten durch den Einsatz eines WINS-Servers. Da die IP-Konfiguration über DHCP erfolgt, muss die IP-Adresse des WINS-Servers über die Bereichsoptionen des DHCP-Servers vergeben werden. Die Antwort A ist nicht richtig. Der WINS-Server darf kein DHCP-Client sein, da sich sonst eine IP-Adresse ändern kann. Der WINS-Server muss eine statische IPAdresse haben. Die Antwort B ist auch falsch. Ein DHCP-Server kann WINS-Client sein, dies hat aber keine Auswirkung auf die oben beschriebene Problematik. Die Antwort D ist falsch. Statische Einträge der Clients beim WINS-Server sind absolut der falsche Weg. Die Clients sind DHCP-Clients. Entsprechend können sich ihre IP-Adressen ändern und dann passen die statischen Einträge am WINS nicht mehr. Die Antwort E ist auch nicht richtig. Der WINS-Server hat eine statische IP-Adresse. DHCP-Konfiguration scheidet damit aus.
HILFE SERVER •
DHCP-Optionen, Zuweisen Windows 2000 Netzwerkinfrastruktur-Administration, ISBN 3-86063-277-9
•
Konfigurationsoptionen für den DHCP-Bereich, S. 286
21
Sie sind in Ihrer Firma als Netzwerkadministrator beschäftigt. Das Netzwerk ist, wie im Diagramm dargestellt, konfiguriert. Freilassing
Salzburg
172.16.64.1
172.16.96.1
Segment A
AP-SYSTEME01
AP-SYSTEME02
Segment B
Router
AP-SYSTEME03
AP-SYSTEME04
206
AP-SYSTEME05
AP-SYSTEME06
Lösungen zum MS-Prüfungsreport
Sie erfahren, dass die Administratoren in der Geschäftsstelle Salzburg den Netzwerkmonitor installiert haben und verwenden. Sie sind etwas erstaunt, da Ihre Firma nur den Administratoren in Freilassing die Installation und Verwendung des Netzwerkmonitors erlaubt. Sie installieren deshalb den Netzwerkmonitor auf AP-SYSTEME01. Sie müssen die Anzahl der derzeit vom Netzwerkmonitor ausgeführten Instanzen ermitteln. Wie ermitteln Sie diese Werte? (Wählen Sie zwei Antworten aus.) A
�
Sie wählen im Menü EXTRA des Netzwerkmonitors die Option BENUTZER NETZWERKMONITOR ANZEIGEN.
VON
B
�
Sie wählen im Menü OPTIONEN des Netzwerkmonitors die Option ADRESSNAMEN.
C
�
Sie wählen im Menü EXTRAS des Netzwerkmonitors die Option ROUTER SUCHEN.
D
�
Sie wählen im Menü ANZEIGE des Netzwerkmonitors die Option ALLE NAMEN SUCHEN.
E
�
Sie installieren den Netzwerkmonitor auf einem Rechner im Segment B.
F
�
Sie aktivieren im TCP/IP-Filter alle Ports auf dem Router. A und E
Antwort A und E sind richtig. Damit sind sowohl alle Netzwerkmonitore in diesem Segment als auch die Netzwerkmonitore im Segment »Salzburg« zu sehen. Die Antwort B ist nicht richtig. Mit der Option ADRESSNAMEN AKTIV werden nur die »benutzerfreundlichen« Rechnernamen statt HEX-Werten angezeigt. Die Antwort C ist falsch. Diese Option gibt es nur beim Netzwerkmonitor in Zusammenhang mit dem System Management Server. Die Antwort D ist auch falsch. Die dort genannte Option gibt es nicht. Die Antwort F ist nicht richtig. TCP/IP-Filter haben mit der Aufgabenstellung nichts zu tun.
HILFE SERVER Kein direkter Verweis Windows 2000 Netzwerkinfrastruktur-Administration, ISBN 3-86063-277-9 •
Erkennen von Netzwerkmonitor, S. 102
207
Lösungen zum MS-Prüfungsreport
Kapitel 4
22
Sie sind der Administrator eines Windows 2000-basierten Netzwerks. Die Rechner AP-SYSTEMEROU01 und AP-SYSTEMEROU02 fungieren im Netzwerk als Router. Auf diesen beiden Rechnern ist der Routing und RAS-Dienst konfiguriert und es sind keine weiteren Router im Netzwerk vorhanden. Auszug aus der IP-Routingtabelle von AP-SYSTEMEROU01: Ziel
Netzwerkmaske
Gateway
Schnittstelle
Anzahl
10.30.0.0 10.30.1.1 10.40.5.0 10.40.5.1 10.255.255.255 10.255.255.255
255.255.0.0 255.255.255.255 255.255.255.0 255.255.255.255 255.255.255.255 255.255.255.255
10.30.1.1 127.0.0.1 10.40.5.1 127.0.0.1 10.30.1.1 10.40.5.1
10.30.1.1 127.0.0.1 10.40.5.1 127.0.0.1 10.30.1.1 10.40.5.1
1 1 1 1 1 1
Sie wollen den dynamischen Austausch von Routinginformationen zwischen AP-SYSTEMEROU01 und AP-SYSTEMEROU02 ermöglichen und aktivieren deshalb auf beiden Routern RIP für IP. Sie konfigurieren RIP für IP auf AP-SYSTEMEROU01 und APSYSTEMEROU02 mit folgenden Parametern: • • • •
Sie stellen als Betriebsmodus den Modus für regelmäßige Aktualisierungen ein. Sie setzen das Protokoll für ausgehende Pakete auf RIP, Version 1-Broadcast. Sie setzen das Protokoll für eingehende Pakete auf RIP, Version 1 und 2. Sie legen die beiden Router als gegenseitige Unicast-Nachbarn fest.
Bei der Überprüfung der IP-Routingtabelle auf AP-SYSTEMEROU02 stellen Sie fest, dass der Server nicht die korrekten Routingdaten von APSYSTEMEROU01 erhält. Sie müssen die Routerkonfiguration ändern, um das korrekte Routen sicherzustellen. Welche Schritte unternehmen Sie? A
�
Sie konfigurieren RIP für TCP/IP und legen dabei fest, dass Hostrouten in die ausgesendeten Ankündigungen einbezogen werden.
B
�
Sie konfigurieren RIP für TCP/IP, um einen Eingangsfilter hinzuzufügen, der den Netzwerkverkehr für den RIP-Port 520 zulässt.
C
�
Sie stellen für RIP für TCP/IP das Protokoll für ausgehende Pakete auf RIP, Version 2-Broadcast ein.
D
�
Sie legen AP-SYSTEMEROU01 und AP-SYSTEMEROU02 als RIP für IPPeerrouter fest.
208
Lösungen zum MS-Prüfungsreport
C Mit der RIP Version 1 wird das Classless Inter Domain Routing (CIDR) nicht unterstützt. Bei RIP Version 1 werden die Subnetzmasken nicht mit der Route angekündigt. Die Netzwerkkennung wird aus den ersten drei Bit der IPAdresse bestimmt. Gemäß der Routingtabelle von AP-SYSTEME_ONE ist das Netz jedoch in den beiden Segmenten unterschiedlich unterteilt, 10.30.0.0 mit der Subnetzmaske 255.255.0.0 und 10.40.5.0 mit der Subnetzmaske 255.255.255.0. RIP Version 1 erkennt, allerdings falsch, an der IP-Adresse 10.x.y.z in beiden Bereichen das Ganze als ein logisches Netz. Das Problem lässt sich mit dem Protokoll RIP Version 2 beheben. RIP Version 2 unterstützt CIDR, somit werden die Subnetmasks mit den Routen angekündigt und die oben aufgezeigte Konfiguration wird richtig erkannt. Einzig richtige Antwort ist somit die Antwort C. Weitere Begründungen erübrigen sich in diesem Fall.
HILFE SERVER •
Problembehandlung, Routing/Problembehandlung/Problembehandlung bei RIP für IP
Kein direkter Verweis
23
Sie sind der Netzwerkadministrator der Firma SRS AG und konfigurieren einen Windows 2000 Server als DNS-Server für Ihr Netzwerk. Sie erstellen bei der Konfiguration des DNS-Servers eine primäre Standard-Forwardals auch eine Standard-Reverse-Lookupzone. Bei der Überprüfung mit dem Programm nslookup stellen Sie jedoch fest, dass die Auswertung von Hostnamen anhand der zugeordneten IP-Adressen nicht möglich ist. Wenn Sie das Dienstprogramm Tracert.exe verwenden, erhalten Sie folgende Fehlermeldung: Der Zielname konnte nicht aufgelöst werden. Wie lösen Sie das Problem?
A
�
Sie erstellen A (Host)-Einträge in der Forward-Lookupzone.
B
�
Sie erstellen A (Host)-Einträge in der Reverse-Lookupzone.
C
�
Sie erstellen PTR (Zeiger)-Einträge in der Forward-Lookupzone.
D
�
Sie erstellen PTR (Zeiger)-Einträge in der Reverse-Lookupzone.
209
Lösungen zum MS-Prüfungsreport
Kapitel 4
D Die Antwort D ist richtig. Hier wird die Auflösung einer IPAdresse in eine Hostadresse durchgeführt. Dieser Vorgang wird durch die ReverseLookupzone (in-addr.arpa.) ermöglicht. In dieser Zone wird eine IP-Adresse einen FQDN (Full Qualified Domain Name) zuordnen, also das Gegenteil zum A-Ressourceneintrag in der Forward-Lookupzone. Die Antworten A, B und C sind dementsprechend falsch.
HILFE SERVER •
Tracert, Verfolgen des Verbindungspfads Windows 2000 Netzwerkinfrastruktur-Administration, ISBN 3-86063-277-9
• •
Hosteintrag, S. 186 PTR-Eintrag, S. 187
24
Sie sind der Netzwerkadministrator der Firma AP-SYSTEME GmbH. Ihr Netzwerk ist, wie im Diagramm dargestellt, konfiguriert. Windows 2000 Rechner
AP-SYSTEME02 AP-SYSTEME03
Router
AP-SYSTEME04
AP-SYSTEME05
Windows 2000 Rechner
Router
Segment A
Segment C
172.16.64.1
172.16.64.2 Segment B 172.16.96.1 AP-SYSTEMEWS01
AP-SYSTEMEWIN01
AP-SYSTEME06AP-SYSTEMEWS02
Alle Clients erhalten ihre IP-Adressinformationen von einem DHCP-Server. Peter R., der Benutzer an AP-SYSTEME04, greift überwiegend auf Ressourcen zu, die von den Rechnern im Segment A bereitgestellt werden. Angelika und Jürgen, die Benutzer an den Rechnern AP-SYSTEME05 und AP-SYSTEME06, greifen größtenteils auf Netzwerkressourcen der Rechner, die sich im Segment C befinden, zu. Sie wollen den DHCP-Server konfigurieren, um den Rechnern AP-SYSTEME04, AP-SYSTEME05 und APSYSTEME06 Gateway-Adressen zuzuweisen. Diese zugewiesenen Gateway-Adressen sollen eine optimale Zugriffszeit sicherstellen.
210
Lösungen zum MS-Prüfungsreport
Wie konfigurieren Sie den DHCP-Server, um dies sicherzustellen? (Wählen Sie zwei Antworten aus.) A
�
Sie erstellen eine Reservierung für AP-SYSTEME04 und konfigurieren für diese Reservierung die Routeroption mit dem Wert 172.16.64.2.
B
�
Sie geben in der Option VORDEFINIERTER ROUTER des DHCP-Servers den Wert 172.16.64.2 an.
C
�
Sie konfigurieren im Adressbereich des DHCP-Servers für das Segment B die Option ROUTER und geben den Wert 172.16.64.2 an.
D
�
Sie erstellen eine Reservierung für die Rechner AP-SYSTEME05 und APSYSTEME06 und konfigurieren für diese Reservierungen die Routeroption mit dem Wert 172.16.64.2.
E
�
Sie geben in der Option VORDEFINIERTER ROUTER des DHCP-Servers den Wert 172.16.64.1 an.
F
�
Sie konfigurieren im Adressbereich des DHCP-Servers für das Segment B die Option ROUTER und geben den Wert 172.16.64.1 an. A und F
Die Antwort A ist richtig, weil dadurch für AP-SYSTEME04 die Routeroption zum meistbenutzten Netzwerk erstellt wird. Die Antwort F ist auch richtig: Dies ist der Router, der von der Mehrzahl der Clients überwiegend benutzt wird, in diesem Fall AP-SYSTEME05 und AP-SYSTEME06. Die Antwort B ist nicht richtig. Die Option VORDEFINIERTER ROUTER gibt es nicht. Die Antwort C ist auch falsch: Durch die Zuweisung des gesamten Segments B an Router 172.16.64.2 wird die Vorgabe nicht erfüllt, da dieser Router nur von APSYSTEME04 überwiegend verwendet wird. Die Antwort D ist nicht richtig: Durch die Zuweisung von AP-SYSTEME05 und APSYSTEME06 an Router 172.16.64.2 wird die Vorgabe nicht erfüllt, da dieser Router nur von AP-SYSTEME04 überwiegend verwendet wird. Die Antwort E ist genauso falsch wie die Antwort B.
HILFE SERVER •
DHCP-Optionen, Zuweisen Windows 2000 Netzwerkinfrastruktur-Administration, ISBN 3-86063-277-9
• •
Erstellen von Reservierungen, S. 285 Konfiguration von Optionen und Klassen für den Bereich, S. 285
211
Lösungen zum MS-Prüfungsreport
Kapitel 4
25
Bernd N. ist der Administrator eines Windows 2000-Netzwerks. Einige Benutzer der Grafikabteilung arbeiten mit Macintosh-Rechnern und verwenden nicht den Internet Explorer als Browser. Diese Benutzer können jedoch bei ihrer Organisations-Zertifizierungsstelle keine gültigen Benutzerzertifikate anfordern. Bernd N. muss den Benutzern der Grafikabteilung das Anfordern von Zertifikaten über eine Web-basierte Registrierung ermöglichen. Was sollte Bernd N. tun?
A
�
Bernd N. greift in der IIS-Konsole auf die Eigenschaften des virtuellen Verzeichnisses CertSrv zu und stellt auf der Registerkarte VERZEICHNISSICHERHEIT den Authentifizierungstyp auf BASISAUTHENTIFIZIERUNG ein.
B
�
Bernd N. fügt im Container Richtlinieneinstellungen in der Zertifizierungskonsole ihrer Zertifizierungsstelle ein neues Registrierungs-AgentZertifikat hinzu.
C
�
Bernd N. greift in der IIS-Konsole auf die Eigenschaften des virtuellen Verzeichnisses CertSrv zu und stellt auf der Registerkarte VERZEICHNISSICHERHEIT den Authentifizierungstyp auf INTEGRIERTE WINDOWSAUTHENTIFIZIERUNG ein.
D
�
Bernd N. bearbeitet auf der Benutzerzertifikatsvorlage die ACL, um den Benutzern der Grafikabteilung den Registrierungszugriff zu erteilen. C Hier bietet Lösungsvorschlag C die beste Antwort. Siehe hierzu
folgenden Verweis: http://localhost/iishelp/iis/misc/default.asp: Index: Browseranforderungen Die integrierte Windows-Authentifizierung weist jedoch zwei Einschränkungen auf. Nur der Microsoft Internet Explorer, Version 2.0 oder höher, und der Netscape ab 3.01 unterstützen diese Authentifizierungsmethode. Aus der Aufgabenstellung geht leider nicht hervor, welcher Browser eingesetzt wird. Es wird auch nicht vorgeschlagen, einen anderen Browser als den bisher eingesetzten zu verwenden. Antwort A ist nicht die richtige Antwort, da es keine Option BASISAUTHENTIFIZIERUNG, sondern nur die Option STANDARDAUTHENTIFIZIERUNG gibt. Sonst wäre A die beste Antwort, da bei dieser Authentifizierungsmethode zwar nicht die gleiche hohe Sicherheit besteht, es jedoch keine Einschränkungen für Browser gibt. Die Antwort B mit dem Hinweis auf eine Zertifizierungsstelle hat nichts mit der Problematik zu tun, denn hier ist keine Zertifizierungsstelle erforderlich. Ebenso falsch ist die Antwort D.
212
Lösungen zum MS-Prüfungsreport
HILFE SERVER • •
Suchbegriff »Netscape«, Titel: »Verwenden von Webseiten« IIS-Dokumentation – integrierte Windows-Authentifizierung IE 2.0 und Netscape 3.01
Kein direkter Verweis
26
Ihr Netzwerk besteht aus Windows 2000-Rechnern und Novell NetWareServern. Auf einem der Windows 2000-Rechner installieren Sie zusätzlich zum Transportprotokoll TCP/IP auch NWLink IPX/SPX. Zusätzlich wird auf diesem Rechner der Microsoft- und auch der NetWare-Client installiert. Sie schließen den Rechner im Netzwerk an und können mit allen Windows-basierten Rechnern und mit den Novell NetWare Servern 4.11 kommunizieren, die Novell NetWare 3.11 Server werden jedoch in der Netzwerkumgebung nicht angezeigt. Zudem ist es Ihnen nicht möglich, Mappings mit Microsoft- oder mit NetWare-spezifischen Befehlen einzurichten. Wie lösen Sie dieses Problem?
A
�
Sie bearbeiten in der Registrierung den Wert für NetworkNumber, so dass dieser die Netzwerknummer für die NetWare 3.11 Server angibt.
B
�
Sie bearbeiten in der Registrierung den Wert für NetworkNumber, so dass dieser die Netzwerknummer für die NetWare 4.1 Server angibt.
C
�
Sie bearbeiten in der Registrierung den Wert für PktType, so dass dieser den Hexadezimalwert für den Rahmentyp 802.2 enthält.
D
�
Sie bearbeiten in der Registrierung den Wert für PktType, so dass dieser den Hexadezimalwert für den Rahmentyp 802.3 enthält.
E
�
Sie bearbeiten in der Registrierung den Wert für NetworkNumber, so dass dieser die Netzwerknummer für die NetWare 3.11 Server und die NetWare 4.1 Server angibt.
F
�
Sie bearbeiten in der Registrierung den Wert für PktType, so dass dieser den Hexadezimalwert für die Rahmentypen 802.2 und 802.3 enthält. F
Die Antwort F ist richtig. Bis einschließlich NetWare 3.11 wird in Ethernetzwerken der Standard-Rahmentyp 802.3 verwendet. Ab NetWare 3.12 ist der Standard-Rahmentyp 802.2 festgelegt. Da Netware 3.11 und 4.11 eingesetzt ist, müssen auch beide Rahmentypen zur Verfügung stehen.
213
Lösungen zum MS-Prüfungsreport
Kapitel 4
Die Antworten A, B und E sind falsch, weil die NetworkNumber beim IPX/SPX-Protokoll die einzelnen logischen Subnetze festlegt. In der Aufgabenstellung ist von Subnetzen nicht die Rede. Die Antworten C und D sind auch falsch, weil hier immer nur ein Rahmentyp berücksichtigt wird.
HILFE SERVER •
Suchbegriff »Rahmentyp«, Titel: »Festlegen des Rahmentyps« Windows 2000 Netzwerkinfrastruktur-Administration, ISBN 3-86063-277-9
• •
Rahmentyp und Netzwerknummer, S. 82ff. Frametypen und Netzwerknummern, S. 550ff.
27
Uwe ist der Administrator eines gemischten Microsoft-Netzwerks, das aus Windows 2000- und Windows NT 4.0-Rechnern besteht. Alle Windows 2000 Server in diesem Netzwerk sind in einer einzigen Windows NT 4.0Domäne integriert. Uwe will zwei dieser Server verwenden, um IPSecKonfigurationen zu testen, die als Authentifizierungsprotokoll Kerberos verwenden. Wie sollte Uwe vorgehen?
A
�
Uwe erstellt auf beiden Servern eine IPSec-Richtlinie, konfiguriert eine Regel, so dass Tunnel verwendet werden. Dann legt er die Authentifizierung durch einen gemeinsamen geheimen Schlüssel fest und weist die neue Richtlinie zu.
B
�
Uwe installiert auf einem der Server eine eigenständige Stammzertifizierungsstelle und erstellt für beide Server ein digitales Zertifikat. Im Anschluss definiert Uwe auf beiden Servern eine neue IPSec-Richtlinie und spezifiziert das ausgestellte Zertifikat für die Authentifizierung und weist die neue Richtlinie zu.
C
�
Uwe definiert auf beiden Servern eine neue IPSec-Richtlinie und spezifiziert den Tunnelendpunkt als IP-Adresse des Partnerservers. Er legt anschließend einen gemeinsamen geheimen Schlüssel fest, der für die Authentifizierung verwendet werden soll. Dann weist er die neue Richtlinie zu.
D
�
Uwe stuft einen der Server zum Domänencontroller herauf und weist dem Domänencontroller die standardmäßige Sicherer Server-IPSec-Richtlinie zu. Uwe weist dem anderen Server die standardmäßige Client-IPSec-Richtlinie zu. D
214
Lösungen zum MS-Prüfungsreport
Eine IPSec-Richtlinie mit Kerberos lässt sich nur in einer Windows 2000-Domäne konfigurieren. Derzeit ist eine NT 4.0-Domäne in Betrieb. Im vorliegenden Fall bedeutet dies, der PDC der NT-Domäne muss auf Windows 2000 aktualisiert werden. Bei der Aktualisierung wird dann automatisch das Programm DCPROMO gestartet, das die Installation von Active Directory einleitet. Dieser Forderung entspricht ausschließlich die richtige Antwort D. Damit scheiden alle anderen Antworten aus.
HILFE SERVER • •
Authentifizierung, Übersicht IPSec-Authentifizierung, Übersicht Windows 2000 Netzwerkinfrastruktur-Administration, ISBN 3-86063-277-9
• •
Zentralisierte IPSec-Richtlinienverwaltung auf Active Directory-Ebene, S. 117 Konfigurieren von IPSec-Richtlinien, S. 126ff.
28
Hans ist der Administrator eines Windows 2000-Netzwerks. Das Netzwerk besteht aus zwei Windows 2000 Servern (Altötting und Mühldorf) sowie aus 400 Windows 2000 Professional-Rechnern. Mühldorf ist ein DHCP-Server und verwaltet alle TCP/IP-Konfigurationen der Windows 2000 Professional-Rechner im Netz. Altötting und Mühldorf verwenden manuell konfigurierte IP-Adressen. Altötting ist der Host für Multicast-basierte Video- und Audiokonferenzen, die sehr häufig stattfinden. Hans möchte die Multicast-Adressen dynamisch zuweisen. Wie sollte er das Netzwerk konfigurieren?
A
�
Hans erstellt und aktiviert auf dem DHCP-Server einen Adressbereich, der eine Reihe von Klasse D-Adressen enthält.
B
�
Hans konfiguriert auf Altötting den Routing und RAS-Dienst und aktiviert an der LAN-Schnittstelle das IGMP-Routingprotokoll im Proxymodus.
C
�
Hans aktiviert auf den Windows 2000 Professional-Rechnern die Routererkennung.
D
�
Hans fügt auf den Windows 2000 Professional-Rechnern eine Route für das Netzwerkziel 224.0.0.0 mit der Netzwerkmaske 224.0.0.0 hinzu. A
215
Lösungen zum MS-Prüfungsreport
Kapitel 4
Die Antwort A ist richtig. Dynamische Adresszuweisung ist die Aufgabe eines DHCP-Servers. Multicast-Adressen sind Adressen der Klasse D im Bereich von 224.0.0.0 bis 239.255.255.255. Diese Adresszuordnungen können beim DHCP-Server über eigene Bereiche (Multicast-Bereiche) erstellt werden. Die Antworten B, C und D haben mit der Forderung der Fragestellung in keinerlei Weise etwas zu tun.
HILFE SERVER •
DHCP, Erstellen von Multicast-Bereichen
Kein direkter Verweis
29
Sarah ist der Administrator eines Webservers, der als Internethost auf einem Windows 2000 Server eingesetzt wird. Die Webentwickler des Unternehmens haben Anwendungen entwickelt, die automatisch ActiveXSteuerelemente in die Browser ihrer Kunden herunterladen. Sarah stellt fest, dass die standardmäßigen Sicherheitseinstellungen der Browser ihrer Kunden dieses automatische Herunterladen verhindern. Sarah möchte dieses automatische Herunterladen von ihrem Webserver jedoch ermöglichen. Was sollte Sarah durchführen?
A
�
Sarah installiert eine untergeordnete Organisations-Zertifizierungsstelle, die eine kommerzielle Zertifizierungsstelle als übergeordnete Zertifizierungsstelle verwendet. Dann erstellt Sarah für die Zertifizierungsstelle eine Richtlinie, die es den Webentwicklern ermöglicht, ein Zertifikat für die Codesignatur anzufordern.
B
�
Sarah installiert eine Organisations-Zertifizierungsstelle und erstellt für die Zertifizierungsstelle eine Richtlinie, die es den Webentwicklern ermöglicht, ein Zertifikat für die Vertrauenslistensignatur anzufordern.
C
�
Sarah installiert eine Organisations-Zertifizierungsstelle und erstellt für die Zertifizierungsstelle eine Richtlinie, die es den Webentwicklern ermöglicht, ein Zertifikat für die Codesignatur anzufordern.
D
�
Sarah installiert eine untergeordnete Organisations-Zertifizierungsstelle, die eine kommerzielle Zertifizierungsstelle als übergeordnete Zertifizierungsstelle verwendet. Dann erstellt Sarah für die Zertifizierungsstelle eine Richtlinie, die es den Webentwicklern ermöglicht, ein Zertifikat für die Vertrauenslistensignatur anzufordern. A
216
Lösungen zum MS-Prüfungsreport
Die Antwort A ist richtig. Entscheidend ist hier die Verbindung von einer untergeordneten Zertifizierungsstelle zu einer übergeordneten, im vorliegenden Fall eine kommerzielle (wie z.B. Verisign), und die Art des Zertifikats. Das automatische Einbinden der ActiveX-Steuerelemente bei einem Browser bedeutet einen Eingriff in die Applikation. Hier kann man unterstellen, dass ein Teil des Programmcodes geändert bzw. ergänzt wird. Also benötigt man ein Zertifikat für die Codesignatur. Damit scheiden die Antworten B und D aus. Die Antwort C ist falsch. Eine öffentliche Stelle sollte als vertrauenswürdige Zertifizierungsstelle den Kunden die Identität des Webservers bestätigen. Im Gegensatz zu Antwort A fehlt diese öffentliche (kommerzielle) Zertifizierungsstelle in Antwort C. Außerdem sind viele Webbrowser standardmäßig so konfiguriert, dass sie Zertifikaten, die nicht von einer öffentlichen Zertifizierungsstelle ausgestellt wurden, nicht vertrauen.
HILFE SERVER • •
Zertifikate Zertifizierungsstellen Windows 2000 Netzwerkinfrastruktur-Administration, ISBN 3-86063-277-9
•
Eigenständig: untergeordnete Zertifizierungsstelle, S. 389
30
Dominique ist die Netzwerkadministratorin der Firma Taurus GmbH. Dominique konfiguriert die Notebooks der Benutzer, damit diese über Routing und RAS Verbindungen zum Firmennetz herstellen können. Dominique testet die Notebooks im LAN und überzeugt sich, dass die Benutzer Verbindungen zu den Ressourcen unter Verwendung der Rechnernamen herstellen können. Nachdem dieser Test erfolgreich ist, versucht Dominique, das Gleiche über Remoteeinwahl zu testen. Die Rechner können zwar Verbindungen aufbauen, jedoch ist es nicht möglich, unter Verwendung von Rechnernamen auf Dateien zuzugreifen, die sich auf Rechnern in anderen Segmenten des Firmennetzwerks befinden. Was sollte Dominique unternehmen, um dieses Problem zu lösen?
A
�
Dominique setzt die Authentifizierungsmethode »Remote-Systeme dürfen Verbindungen ohne Authentifizierung herstellen«.
B
�
Dominique aktiviert für jedes Notebook das Computerkonto.
C
�
Dominique ändert auf jedem Notebook den Computernamen.
D
�
Dominique installiert auf dem RAS-Server den DHCP-Relay-Agenten.
217
Lösungen zum MS-Prüfungsreport
Kapitel 4
D Der RAS-Server reserviert sich vom DHCP-Server Adresspools (zehn Adressen), die IP-Adressen werden dann den RAS-Clients zu gewiesen. Der RAS-Server selbst kann keine DHCP-Optionen vergeben. Dazu benötigen die RASClients den DHCP-Server. Da die RAS-Clients aus einem anderen Segment zugreifen, muss der RAS-Server als DHCP-Relay-Agent konfiguriert werden, damit die RASClients den DHCP-Server erreichen können. Resultat aus diesen Ausführungen ist die richtige Antwort D. Die Antworten A, B und C haben mit der Aufgabenstellung nichts zu tun.
HILFE SERVER •
DHCP-Relay-Agent, Übersicht Windows 2000 Netzwerkinfrastruktur-Administration, ISBN 3-86063-277-9
•
Routing und RAS mit DHCP
31
Herbert F. ist der Netzwerkadministrator eines Windows 2000-Netzwerks. Das Netzwerk verfügt über zwei Windows 2000 Server (APSYSTEME_ONE und AP-SYSTEME_TWO) mit 250 Windows 2000 Professional-Rechnern als Clients.
Router
AP-SYSTEME_ONE : 192.168.2.1 Servertyp : DHCP Bereich : 192.168.2.0/24
AP-SYSTEME_TWO : 10.17.8.1 Servertyp : DHCP Bereich : 10.17.8.0/24
250 Windows 2000 Professional
218
Lösungen zum MS-Prüfungsreport
AP-SYSTEME_ONE hat die IP-Adresse 192.168.2.1 und wird als DHCPServer eingesetzt. Dieser Server verwaltet die alten TCP/IP-Konfigurationen der Clients. AP-SYSTEME_ONE verwaltet den IP-Adressbereich 192.168.2.0/24. Die Leasedauer beträgt 15 Tage. Herbert F. möchte die IP-Adressen im Netzwerk von 192.168.2.0/24 in 10.17.8.0/24 ändern. AP-SYSTEME_TWO besitzt die IP-Adresse 10.17.8.1. Herbert F. konfiguriert AP-SYSTEME_TWO als weiteren DHCP-Server mit dem IPAdressbereich 10.17.8.0/24 und einer Leasedauer von ebenfalls 15 Tagen. Aus Kompatibilitätsgründen sollen die beiden Adressbereiche drei Monate lang zur gleichen Zeit im gleichen Segment Verwendung finden. Das Routing zwischen den Adressbereichen übernimmt ein im Netzwerk vorhandener Router. Nachdem Herbert F. den DHCP-Adressbereich auf AP-SYSTEME_TWO aktiviert hat, erhalten die Clients keine gültige IP-Adresse mehr. Manfred überprüft dies und stellt fest, dass beide DHCP-Server die Leaseanforderungen der Clients mit negativen Bestätigungen (DHCPNak) beantworten. Was sollte Herbert F. unternehmen, um das Problem zu lösen? A
�
Herbert F. sollte auf den Windows 2000 Professional-Rechnern die automatische private IP-Adressierung (APIPA) deaktivieren.
B
�
Herbert F. sollte auf den Windows 2000 Professional-Rechnern die DHCP-Clientoptionen so konfigurieren, dass die DHCP-Lease beim Herunterfahren wieder freigegeben wird.
C
�
Herbert F. sollte auf beiden DHCP-Servern die Anzahl der Konflikterkennungsversuche, die der DHCP-Server durchführen soll, auf 0 setzen.
D
�
Herbert F. sollte bei beiden DHCP-Servern die Bereichsoption 031 Routersuche durchführen auf 1 setzen, um die Option auf den Windows 2000 Professional-Rechnern zu aktivieren.
E
�
Herbert F. konfiguriert auf beiden DHCP-Servern eine Bereichsgruppierung, die beide Adressbereiche enthält. Dann definiert er einen Ausschlussbereich für den gesamten Adressbereich 10.17.8.0/24 auf APSYSTEME_ONE und 192.168.2.0/24 auf AP-SYSTEME_TWO. E
E ist hier die beste Antwort. Sobald ein DHCP-Server eine Anforderung einer IP-Adresse erhält, die gemäß den Bereichen, mit denen er konfiguriert ist, ungültig ist, sendet er eine DHCPNak-Meldung an den Client. Dies geschieht in jedem Fall, wenn sich ein Client, der mit der bisher gültigen IPAdresse aus dem Bereich 192.168.2.0./24 konfiguriert ist, wegen einer Verlängerung der Lease an den neuen Server AP-SYSTEME_TWO wendet. Dieses Problem lässt
219
Lösungen zum MS-Prüfungsreport
Kapitel 4
sich mit der Konfiguration der Bereiche auf beiden DHCP-Servern und den Ausschlussbereichen beheben. Die Antwort A hat nichts mit der Forderung zu tun, weil APIPA automatisch greift, wenn kein DHCP-Server gefunden wird. Die Antwort B produziert im Endeffekt nur unnötigen Netzwerkverkehr, wenn die Clients jeden Tag eine neue IP benötigen, und beseitigt nicht das Problem, das man nur durch zwei Adressbereiche lösen kann. Die Antworten C und D haben grundsätzlich nichts mit der geschilderten Problematik zu tun.
HILFE SERVER • • • •
Suchbegriff »DHCP-Meldungen« Suchbegriff »DHCP-Bereiche« Suchbegriff »DHCP-Bereichsoptionen« Suchbegriff »DHCP-Ausschlussbereiche« Windows 2000 Netzwerkinfrastruktur-Administration, ISBN 3-86063-277-9
• • •
Routersuche, S. 309 IP-Leasebestätigung (negativ), S. 274 Erstellen eines DHCP-Bereichs
32
Hans-Jörg ist der Administrator der Windows 2000-Domäne merknetworking.de. Die Domäne verfügt über einen Mitgliedsserver MERRAS5. Routing und RAS ist auf dem Server MERRAS5 aktiviert. In der Domäne befindet sich außerdem noch ein Windows NT 4.0-Mitgliedsserver NT4RAS4. Dieser Server dient ebenfalls als RAS-Server. Die Domäne arbeitet im gemischten Modus. Alle Benutzer der Domäne verwenden als Clientplattform Windows 2000 Professional, um sich über die Server MERRAS5 bzw. NT4RAS4 mit dem Firmennetzwerk zu verbinden. NT4RAS4 ist jedoch nicht in der Lage, die Anmeldeinformationen von Domänenkonten für den Remotezugriff zu bestätigen. Wie sollte Hans-Jörg das Netzwerk konfigurieren, um dem Server NT4RAS4 die Möglichkeit zu geben, die Bestätigung für den Remotezugriff der Domänenbenutzer durchzuführen?
A
�
Er soll den Modus der Domäne auf einheitlichen Modus umstellen.
B
�
Er soll eine RAS-Richtlinie erstellen, die das Computerkonto von NT4RAS4 als Bedingung enthält. Dann soll er eine Remotezugriffsberechtigung erteilen, wenn die Bedingung mit den Eigenschaften des Einwählversuchs übereinstimmt.
220
Lösungen zum MS-Prüfungsreport
C
�
Er soll das Computerkonto von NT4RAS4 zur Gruppe »RAS- und IASServer2« hinzufügen.
D
�
Er soll die Gruppe »Jeder« zur Gruppe »Prä-Windows 2000 kompatibler Zugriff« hinzufügen. D
Beim Upgrade auf Windows 2000 mit Active Directory werden einige Berechtigungen für frühere Betriebssystemversionen zurückgesetzt. Das hat für einen NT 4.0 RAS-Server, der Mitglied der Domäne ist, die Folge, dass er Einwählversuche nicht mehr überprüfen kann. Der RAS-Server kann nur seine lokale Benutzerkonten lesen, jedoch keine globalen aus der Domäne. Die Gruppe »Prä-Windows 2000 kompatibler Zugriff« ermöglicht die Überprüfung der Benutzerkonten im Active Directory für den NT RAS-Server (Antwort D). Die Antwort A löst in keinerlei Hinsicht das Problem, weil der Betriebsmodus grundsätzlich nur mit der Unterstützung von NT-Domänencontrollern etwas zu tun hat. Die Antwort B ist nicht umsetzbar, weil der NT RAS-Server zum AD kommen muss. Der Lösungsvorschlag C entspricht auch nicht den Anforderungen, weil es die dort genannte Gruppe nicht gibt.
HILFE SERVER •
Suchbegriff »Windows kompatibler Zugriff«, Titel: »RAS-Server unter Windows NT 4.0 in einer Windows 2000-Domäne« Windows 2000 Netzwerkinfrastruktur-Administration, ISBN 3-86063-277-9
•
Überlegungen zu RAS-Server, S. 314ff.
33
Das Netzwerk der WN-LEASING GmbH verfügt über einen internen und einen primären externen DNS-Server. Das Netzwerk umfasst drei weitere sekundäre DNS-Server, die ihre Zoneninformationen vom externen primären DNS-Server beziehen. Die sekundären DNS-Server sind auf zwei Windows 2000 Servern und einem Windows NT 4.0 Server installiert. Der externe DNS-Server verwaltet die Einträge für Ihre Web- und Mailserver. In dessen Zonendatei ist nur eine beschränkte Anzahl von Ressourceneinträgen vorhanden. Ihre Web- und Mailserver verwenden statische IP-Adressen. Sie führen den Systemmonitor aus, um die sekundären DNS-Server zu überwachen. Sie stellen während der Überprüfung des Leistungsindikators
221
Lösungen zum MS-Prüfungsreport
Kapitel 4
DNS: Gesendete Zonenübertragungs-SOA-Anforderungen eine große Anzahl von Treffern fest. Sie möchten die für diesen Datenverkehr verbrauchte Bandbreite reduzieren. Wie realisieren Sie das? (Wählen Sie zwei Antworten aus.) A
�
Sie aktualisieren den Windows NT 4.0 Server, auf dem sich einer der sekundären DNS-Server befindet, auf Windows 2000 Server.
B
�
Sie verkleinern den Wert des Aktualisierungsintervalls im SOA-Eintrag.
C
�
Sie konfigurieren die Benachrichtigungsliste auf dem externen primären DNS-Server, um die sekundären DNS-Server zu benachrichtigen, wenn Änderungen repliziert werden sollen.
D
�
Sie konfigurieren den externen primären DNS-Server, um auf diesem Server keine dynamischen Aktualisierungen zuzulassen.
E
�
Sie erhöhen den Wert des Aktualisierungsintervalls im SOA-Eintrag. A und E
Die Antwort A ist richtig. Mit der Aktualisierung des NT 4.0 Servers zu Windows 2000 Server wird von allen sekundären DNS-Servern die inkrementelle Zonenübertragung unterstützt. Dadurch werden weniger Daten übertragen und die nutzbare Bandbreite steigt. Die Antwort E ist auch richtig. Mit der Erhöhung des Aktualisierungsintervalls werden weniger Übertragungen eingeleitet, wodurch mehr Bandbreite zur Verfügung steht. Die Antwort B ist falsch. Damit würde das Gegenteil von Antwort E erreicht. Die Antwort C ist nicht richtig. Mit der Verwendung der Benachrichtigungsliste können die in der Liste eingetragenen sekundären Server prüfen, ob sie eine Zonenübertragung einleiten müssen. Der NT 4.0 DNS nutzt dieses Feature jedoch nicht. Diese Option wird aber nur bei Windows 2000 DNS-Server unterstützt. Die Antwort D ist falsch, weil man einen externen DNS-Server nach Microsoft-Vorgaben nicht für die dynamische Aktualisierung konfigurieren sollte.
HILFE SERVER •
DNS-Zonenübertragungen, Übersicht
Kein direkter Verweis
222
Lösungen zum MS-Prüfungsreport
34
Angelika ist die Netzwerkadministratorin der Bank GREGOR AG. Das Netzwerk ist, wie im Diagramm dargestellt, konfiguriert.
Internet DNS-Server GREGOR02
10.107.3.0/24
Router
10.1.3.0/24 Backbone Router
DNS-Server GREGOR03
10.107.2.0/24
Router
DNS-Server GREGOR01
GREGOR02 und GREGOR03 sind ausschließlich als Zwischenspeicherungs-Server konfiguriert. Beide Server leiten Anforderungen an GREGOR01 weiter. Dieser Server dient als primärer Server für die Domäne GREGOR.de. Die Benutzer in den Netzwerken 10.107.2.0 und 10.107.3.0 verwenden häufig eine Internetanwendung, die die aktuellen Aktienkurse von verschiedenen Servern in der Domäne GREGOR.de abfragt. Angelika soll den DNS-Netzwerkverkehr reduzieren. Was sollte sie tun? A
�
Angelika soll den TTL-Wert für den SOA-Eintrag auf GREGOR01 erhöhen.
B
�
Angelika soll auf den Rechnern GREGOR02 und GREGOR03 den Sekundenwert des Zeitlimits für Forwarder erhöhen.
C
�
Angelika soll auf den Rechnern GREGOR02 und GREGOR03 die Option SERVEROPTIMIERUNG auf DATENDURCHSATZ FÜR NETZWERKANWENDUNGEN MAXIMIEREN setzen.
D
�
Angelika soll den TTL-Wert für den SOA-Eintrag auf GREGOR02 und GREGOR03 erhöhen. A
Die Antwort A ist richtig. Wenn ein DNS-Server eine rekursive Abfrage verarbeitet, muss er möglicherweise mehrere Abfragen senden, um eine Antwort zu erhalten. Deshalb werden Abfrageinformationen im Cache zwischengespei-
223
Lösungen zum MS-Prüfungsreport
Kapitel 4
chert. Der TTL-Wert (TTL – Time to Live) legt die Gültigkeitsdauer im Cache in Sekunden fest. Die Antwort B ist falsch. Hier wird festgelegt, nach wie viel Sekunden eine rekursive Anfrage an den nächsten Forwarder gesendet wird. Die Antwort C ist nicht richtig. Es handelt sich hier um eine Leistungsoptimierungsoption von NT 4.0-Servern. Die Antwort D ist auch falsch. Diese Antwort hört sich eigentlich logisch und vernünftig an (wäre sie auch). Leider haben DNS-Cache-Server jedoch keine Möglichkeit, das TTL-Feld zu konfigurieren.
HILFE SERVER •
DNS-Zonen, Übersicht
Kein direkter Verweis
35
Claudia ist die Netzwerkadministratorin der SRB GmbH. Das Netzwerk besteht aus einer einzigen Windows 2000-Domäne und verfügt über Windows 2000 Server, Windows 2000 Professional- und Windows NT 4.0Arbeitsstationen. Das Netzwerk ist verteilt auf zwei Subnetze.
Subnetz 1 DC 1 DNS-Server
Subnetz 2 Windows NT 4.0 Arbeitsstationen
DC 2 DNS-Server
Router
Windows 2000 Professional-Rechner
Windows NT 4.0 Arbeitsstationen
WINS-Server
Windows 2000 Professional-Rechner
Im Subnetz 1 sind zwei Windows 2000-Domänencontroller installiert. Diese Domänencontroller arbeiten beide als DNS-Server. Die DNS-Server verwalten eine im Active Directory integrierte Zone. Zur Vereinfachung der Namensauflösung installiert Claudia im Subnetz 2 einen WINS-Server. Die Netzwerkbenutzer im Subnetz 2, die mit Windows NT 4.0 Workstations arbeiten, bekommen eine Fehlermeldung mit dem Hinweis, dass der
224
Lösungen zum MS-Prüfungsreport
Domänencontroller nicht gefunden werden konnte. Diese Benutzer können deswegen nicht auf die Netzwerkressourcen zugreifen. Bei den Benutzern im Subnetz 1, die ebenfalls an Windows NT 4.0 Arbeitsstationen arbeiten, tritt dieses Problem nicht auf. Die Benutzer im Subnetz 1 klagen nur über enorm langsame Anmeldevorgänge. Die Benutzer im Subnetz 2 haben damit jedoch keine Probleme. Claudia möchte diese Probleme der Benutzer im Subnetz 1 und Subnetz 2 schnellstmöglich lösen. Was sollte Claudia tun? A
�
Claudia konfiguriert den Router für das Weiterleiten der NetBIOS-Broadcast-Pakete.
B
�
Claudia konfiguriert die Windows NT 4.0-Arbeitsstationen als DNSClients in der vorhandenen Zone.
C
�
Claudia konfiguriert die Windows 2000-Server-Domänencontroller als WINS-Clients.
D
�
Claudia konfiguriert die Windows NT 4.0-Arbeitsstationen als WINSClients. C
Die Antwort C ist richtig. Die Namensauflösung bei Windows NT 4.0 zur Anmeldung an der Domäne ist eine NetBIOS-Namensauflösung. Dies geschieht über einen WINS-Server oder im eigenen Subnetz mit Broadcasts, da Router die Broadcasts nicht weiterleiten. Für Clients im Subnetz 2 ist deshalb die Namensauflösung mit WINS-Server nötig. Wenn die Domänencontroller keine WINS-Clients sind, schlägt die Namensauflösung fehl und der Anmeldevorgang für die Domäne wird verworfen. Die Antwort A ist falsch. Diese Konfiguration würde zwar funktionieren, aber der Netzwerkverkehr durch Broadcasts wäre enorm. Die Antwort B ist nicht richtig. Wie schon erwähnt, verwenden NT 4.0-Rechner NetBIOS zur Anmeldung an der Domäne. Die Antwort D ist auch falsch, weil hier die Clients für WINS konfiguriert werden, allerdings sollen die Domänencontroller vom Client gefunden werden.
HILFE SERVER •
WINS, Durchsuchen Windows 2000 Netzwerkinfrastruktur-Administration, ISBN 3-86063-277-9
•
Auflösen von NetBIOS-Namen mit WINS, S. 241
225
Lösungen zum MS-Prüfungsreport
Kapitel 4
36
Franz F. ist in der Zweigstelle Burghausen als Netzwerkadministrator tätig. Burghausen ist ein Standort eines Großunternehmens mit dem Hauptsitz Mühldorf. Der Standort Burghausen ist mit dem Unternehmensnetz über eine bidirektionale, bei Bedarf herzustellende Wählverbindung über ISDN verbunden. Der Rechner, der die Verbindung herstellt, ist ein Windows 2000 Server, auf dem Routing und RAS konfiguriert ist. Um Kosten einzusparen, soll die ISDN-Verbindung nur einmal am Tag aufgebaut werden, um dann Verkaufsinformationen nach Mühldorf bzw. von Mühldorf zu übertragen. Die Übertragung dieser Informationen soll außerhalb der regulären Geschäftszeit erfolgen. Franz F. stellt fest, dass mehrmals täglich eine ISDN-Verbindung zwischen den Netzwerken initiiert wird. Franz F. analysiert den Netzwerkverkehr und stellt fest, dass Routerankündigungsbroadcasts versendet werden. Welche zwei Schritte sollte Franz F. unternehmen, um zu verhindern, dass Verbindungen während der regulären Geschäftszeit aufgebaut werden können? (Wählen Sie zwei Antworten aus.)
A
�
Franz F. bestimmt im Zeitplan, dass an der Schnittstelle für Wählen bei Bedarf nur während der angegebenen Zeit gewählt wird.
B
�
Franz F. bestimmt im Zeitplan, dass an der Schnittstelle für Wählen bei Bedarf während der angegebenen Zeit nur eingehende Verbindungen akzeptiert werden.
C
�
Franz F. definiert an der Schnittstelle für Wählen bei Bedarf einen Filter für das Wählen bei Bedarf.
D
�
Franz F. aktiviert an der Schnittstelle für Wählen bei Bedarf das dynamische Routing.
E
�
Er definiert eine RAS-Richtlinie, um den Zugriff auf den Port, der von Routerbroadcasts verwendet wird, einzuschränken.
F
�
Er definiert eine RAS-Richtlinie, um den Zugriff ausdrücklich auf den Benutzer zu beschränken, der Informationen über die Verbindung überträgt. A und C
Um das geforderte Ziel der Aufgabenstellung zu erreichen, muss man einmal einen Zeitplan erstellen, der das Wählen bei Bedarf nur außerhalb der Geschäftszeiten zulässt. Dies wird in der richtigen Antwort A berücksichtigt. Des Weiteren ist es nötig, einen Filter zu setzen, um bei anderen Diensten die Funktion Wählen bei Bedarf zu deaktivieren. Dieses Vorgehen bietet die richtige Antwort C an.
226
Lösungen zum MS-Prüfungsreport
Der Lösungsvorschlag B ist falsch, weil nicht nur eingehende Verbindungen im Zeitplan berücksichtigt werden. Die Antworten D, E und F entsprechen nicht einmal annähernd den Anforderungen der Problemstellung.
HILFE SERVER •
Wählen bei Bedarf, Routing, Filter Windows 2000 Netzwerkinfrastruktur-Administration, ISBN 3-86063-277-9
• •
Implementieren von Routing für Wählen bei Bedarf, S. 330ff. Verhindern von bei Bedarf herzustellenden Wählverbindungen, S. 207ff.
37
Otto S. ist der Administrator eines aus drei Subnetzen bestehenden Windows 2000-Netzwerks. Um eine bessere Lastverteilung zu gewährleisten, verwaltet jeder Webserver im Netzwerk den gleichen Inhalt wie die anderen Webserver. Otto S. möchte den DNS-Server so konfigurieren, dass Benutzer in ihrem Browser einen Hostnamen eingeben können, um eine Verbindung mit dem Webserver herzustellen, der sich im gleichen Subnetz wie der Rechner des Benutzers befindet. Sämtliche Benutzer geben unabhängig von ihrem Subnetz den gleichen Hostnamen ein. Wie sollte Otto S. den DNS-Server konfigurieren?
A
�
Er erstellt auf dem primären DNS-Server drei A-Einträge, die für die Subnetze die IP-Adresse des jeweiligen Webservers dem gleichen Hostnamen zuordnen.
B
�
Er erstellt auf dem primären DNS-Server einen einzigen A-Eintrag, der sich im gleichen Subnetz befindet wie der DNS-Server. Dann bearbeitet er auf den sekundären DNS-Servern der restlichen Subnetze die Zonendatei für die Domäne auf jedem DNS-Server, um einen A-Eintrag für den Webserver eines jeden Subnetzes aufzunehmen.
C
�
Er erstellt auf dem primären DNS-Server drei A-Einträge, die der IPAdresse des Webservers in jedem Subnetz einen anderen Hostnamen zuordnen.
D
�
Er erstellt auf dem primären DNS-Server einen einzigen A-Eintrag für einen einzigen Webserver sowie zwei CNAME-Einträge für die beiden verbleibenden Webserver. A
227
Lösungen zum MS-Prüfungsreport
Kapitel 4
Die Antwort A ist richtig. Die drei A-Einträge sind nötig, da nach der so genannten Subnetzpriorität immer der Hostname (Rechner) verwendet wird, der sich im selben Subnetz wie der anfragende Rechner befindet. Die Antwort B ist falsch. DNS-Server mit sekundären Zonen lassen Einträge und Änderungen nur durch ihren Masterserver zu. Die Antworten C und D sind auch falsch. Es soll beim Zugriff auf die Webserver immer der gleiche Name verwendet werden. Bei der Antwort C erfolgt eine Zuordnung, aufgrund derer der Webserver drei unterschiedliche Hostnamen hat. Bei der ebenfalls falschen Antwort D kommt die Möglichkeit der Vergabe von Kanonischen Namen (CNAME) zum Einsatz. Diese Variante würde grundsätzlich funktionieren, bedeutet aber einen zu hohen Aufwand und wird zugunsten der Antwort A verworfen.
HILFE SERVER •
DNS-Server, Primär
Kein direkter Verweis
38
Franz F. ist in der Zweigstelle Burghausen als Netzwerkadministrator tätig. Burghausen ist ein Standort eines Großunternehmens mit dem Hauptsitz Mühldorf. Der Standort Burghausen ist mit dem Unternehmensnetz über eine bidirektionale, bei Bedarf herzustellende Wählverbindung über ISDN verbunden. Der Rechner, der die Verbindung herstellt, ist ein Windows 2000 Server, auf dem Routing und RAS konfiguriert ist. Zusätzlich zu E-Mail und Anwendungsverkehr werden über diese Verbindung auch wichtige Unternehmensdaten übertragen. Franz F. soll folgende Ziele durch eine Neukonfiguration erreichen: • • • • •
Alle Daten sollen gesichert über die Verbindung übertragen werden können. Nicht autorisierte Router sollen mit keinem der beiden Router Routerinformationen austauschen können. Beide Router sollen sich über die Verbindung gegenseitig bestätigen können. Beide Router sollen über die Verbindung aktuelle Routingtabellen verwalten. Während der Hauptarbeitszeit soll der Datenverkehr über die bei Bedarf herzustellende Verbindung minimiert werden.
Franz F. unternimmt Folgendes: • •
Er installiert am Hauptsitz einen Zertifikatsserver. Er aktiviert auf beiden Routing und RAS-Servern EAP-TLS als Authentifizierungsprotokoll.
228
Lösungen zum MS-Prüfungsreport
• •
Er aktiviert an den Schnittstellen für Wählen bei Bedarf RIP Version 2. Welches Ergebnis bzw. welche Ergebnisse werden durch diese Maßnahmen erzielt?
(Wählen Sie alle zutreffenden Antworten aus.) A
�
Sämtliche Daten werden sicher über die Verbindung übertragen.
B
�
Nicht autorisierte Router können mit keinem der beiden Router Informationen austauschen.
C
�
Beide Router in der Verbindung können sich gegenseitig bestätigen.
D
�
Beide Router in der Verbindung verwalten aktuelle Routingtabellen.
E
�
Während der Hauptarbeitszeit wird der Verkehr über die bei Bedarf herzustellende Verbindung minimiert. B, C und D
Die Antworten B und C sind richtig. Durch das EAP-Authentifizierungs-Protokoll und den Zertifikatsserver sind die Bestätigung und die Authentifizierung der Router gesichert. Andere Router werden nicht akzeptiert. Die Antwort D ist ebenso richtig. Durch das Protokoll RIPv2 aktualisieren und verwalten die Router ihre Routingtabellen automatisch. Die Antwort A ist falsch. Es gibt nur sichere und verschlüsselte Authentifizierungen. Von Datenverschlüsselung ist im Text nicht die Rede. Die Antwort E ist falsch. Es wurden keine Filter bzw. Zeitpläne erstellt, darum gibt es auch keine Minimierung des Datenverkehrs.
HILFE SERVER • •
EAP-TLS, EAP, Übersicht RIP-für-IP-Router, Übersicht
Kein direkter Verweis
39
Lisa ist die Administratorin einer Windows 2000-Domäne. Die Domäne verfügt über sechs Windows 2000-basierte Routing und RAS-Server und zwei Windows 2000-basierte Internetauthentifizierungsdienst-Server mit den Rechnernamen AP-SYSTEMEIAS01 und AP-SYSTEMEIAS02. Die sechs Routing und RAS-Server verwenden die beiden IAS-Server zur Authentifizierung der Anmeldeinformationen für den Remotezugriff.
229
Lösungen zum MS-Prüfungsreport
Kapitel 4
Lisa ändert auf AP-SYSTEMEIAS01 die RAS-Richtlinien. Sie möchte sicherstellen, dass die Änderung auch auf dem zweiten IAS-Server erzwungen wird. Was sollte Lisa tun? A
�
Sie erzwingt in der Konsole Active Directory-Standorte und -Dienste die Replikation von AP-SYSTEMEIAS01 auf AP-SYSTEMEIAS02.
B
�
Sie wählt auf AP-SYSTEMEIAS01 den Befehl Dienst im Active Directory registrieren und wiederholt dies auf AP-SYSTEMEIAS02.
C
�
Sie verwendet das Befehlszeilen-Dienstprogramm Netsh, um die IAS-Konfiguration von AP-SYSTEMEIAS01 auf AP-SYSTEMEIAS02 zu kopieren.
D
�
Sie kopiert die Datei Ras.mdb manuell von AP-SYSTEMEIAS01 auf APSYSTEMEIAS02. C
Die Antwort C ist richtig. Mit dem Befehl netsh lassen sich IASEinstellungen kopieren. Verwenden Sie folgenden Befehlszeile netsh aaaa show config \Datei.txt. Damit speichern Sie die IAS-Einstellungen in die Textdatei. Diese Textdatei wird auf den Zielcomputer kopiert. Danach geben Sie in der Eingabeaufforderung folgende Befehlszeile ein netsh exec \Datei.txt. Eine entsprechende Meldung wird dann angezeigt. Die Antworten A und B sind falsch. Es geht bei der Frage nicht um das Registrieren bzw. Replizieren von Diensten, sondern um aktuelle Daten und Einstellungen von Diensten, die von einem Computer zu einem anderen gebracht werden müssen. Die Antwort D ist falsch. Das einfache Kopieren einer Access-Datenbankdatei bringt nicht den gewünschten Erfolg. Ein »Erzwingen« wird nur durch die in Antwort C beschriebene Vorgehensweise erreicht.
HILFE SERVER • •
Netsh-Befehle, Übersicht, Liste Hilfe-Option (/?) des Kommandozeilenbefehls netsh
Kein direkter Verweis
40
Kerstin ist die Administratorin eines Windows 2000-Netzwerks. Im Netzwerk befinden sich drei Windows 2000 Server, die als WINS-Server eingesetzt werden. Sie möchte die WINS-Datenbank regelmäßig komprimieren, um dadurch Speicherplatz einzusparen. Die Server mit den Bezeichnungen AP-SYSTEMEWIN01, AP-SYSTEMEWIN02 und AP-SYSTEMEWIN03 befinden sich alle am Firmenhauptsitz in Altötting.
230
Lösungen zum MS-Prüfungsreport
Wie sollte Kerstin die manuelle Komprimierung der WINS-Datenbank auf AP-SYSTEMEWIN01 durchführen? A
�
Kerstin konfiguriert AP-SYSTEMEWIN01 und blockiert die Replikation von WINS-Einträgen von AP-SYSTEMEWIN02 und AP-SYSTEMEWIN03. Kerstin initiiert die Datenbankkonsistenzprüfung und lässt die Replikation der Einträge von den WINS-Servern AP-SYSTEMEWIN02 und AP-SYSTEMEWIN03 zu.
B
�
Kerstin stoppt AP-SYSTEMEWIN01 und komprimiert die WINS-Datenbank mit dem Befehlszeilenprogramm Jetpack. Dann startet sie APSYSTEMEWIN01 neu.
C
�
Kerstin stoppt AP-SYSTEMEWIN01 und erstellt mit dem Befehl Datenbank sichern eine Sicherung der WINS-Datenbank von AP-SYSTEMEWIN01. Dann komprimiert Sie die Sicherung der Datenbank mit dem Befehlszeilenprogramm compact. Im Anschluss stellt sie die Sicherung der Datenbank mit dem Befehl Datenbank wiederherstellen wieder her und startet AP-SYSTEMEWIN01 neu.
D
�
Kerstin verwendet in der WINS-Konsole den Befehl Datenbank aufräumen. B
Die Antwort B ist richtig. Unter manueller Komprimierung ist hier die Offline-Komprimierung zu verstehen. Das wird mit dem Programm Jetpack durchgeführt. jetpack < temporärer_Datenbankname>
Beispiel für eine Komprimierung: cd %systemroot%\system32\wins net stop wins jetpack wins.mdb tmp.mdb net start wins
Die Antwort A ist nicht richtig: Mit der Konsistenzprüfung wird nur die Struktur der Datenbank zwischen den Servern geprüft. Mit einer Komprimierung hat dieser Vorgang nichts zu tun. Die Antwort C ist auch falsch. Mit dem Befehlszeilenprogramm compact lassen sich Daten komprimieren. Dies wird in der Regel zum Komprimieren von Dateien auf NTFS-Datenträgern verwendet. Die Antwort D ist nicht richtig. Zwar lässt sich die Datenbank aufräumen, jedoch wird damit die Größe der Datenbank nicht geändert.
231
Lösungen zum MS-Prüfungsreport
Kapitel 4
HILFE SERVER •
WINS-Datenbanken, Verwalten
Kein direkter Verweis
41
Johannes G. ist der Netzwerkadministrator Ihrer Firma. Das Netzwerk besteht ausschließlich aus Windows 2000-Rechnern und verfügt über zwei Standorte Mühldorf und Altötting. Im Netzwerk befinden sich vier WINSServer mit den Bezeichnungen WINAOE01, WINAOE02, WINMUE01 und WINMUE02. Die WINS-Server WINAOE01 und WINAOE02 stehen am Standort Altötting, die WINS-Server WINMUE01 und WINMUE02 am Standort Mühldorf. Johannes G. möchte die Replikation zwischen den WINS-Servern konfigurieren, um damit folgende Ergebnisse zu erzielen: •
• •
Die WINS-Server WINAOE01 und WINAOE02 sollen Änderungen der lokalen Datenbank unmittelbar nach einer neuen Registrierung oder IP-Adressänderungsregistrierung gegenseitig replizieren. Die WINS-Server WINMUE01 und WINMUE02 sollen Änderungen der lokalen Datenbank gegenseitig alle 30 Minuten replizieren. An beiden Standorten sollen Änderungen der WINS-Datenbank jeweils alle drei Stunden auf den anderen Standort repliziert werden.
Wie sollte Johannes G. die WINS-Server konfigurieren, um diese Ziele zu erreichen? (Wählen Sie drei Antworten aus.) A
�
Johannes G. konfiguriert die WINS-Server und aktiviert die Burstverarbeitung. Er setzt die Anzahl der Anforderungen für die Burstverarbeitung auf 1.
B
�
Johannes G. konfiguriert die WINS-Server WINAOE01 und WINAOE02 als gegenseitige Push/Pull-Partner. Er konfiguriert beide WINS-Server und legt fest, dass für Push-Replikationspartner fortbestehende Verbindungen verwendet werden. Zusätzlich setzt er die Anzahl der Änderungen vor der Replikation auf 1.
C
�
Johannes G. konfiguriert die WINS-Server WINMUE01 und WINMUE02 als gegenseitige Push/Pull-Partner und legt ein Replikationsintervall von 30 Minuten fest.
D
�
Johannes G. konfiguriert die WINS-Server WINMUE01 und WINMUE02 als gegenseitige Push/Pull-Partner und legt fest, dass alle 30 Minuten eine Datenbankkonsistenzprüfung durchgeführt wird.
232
Lösungen zum MS-Prüfungsreport
E
�
Johannes G. konfiguriert die WINS-Server WINAOE01 und WINMUE01 als gegenseitige Push/Pull-Partner und konfiguriert beide WINS-Server, um die Statistiken alle drei Stunden zu aktualisieren.
F
�
Johannes G. konfiguriert die WINS-Server WINAOE01 und WINMUE01 als gegenseitige Push/Pull-Partner und legt ein Replikationsintervall von 30 Minuten fest. B, C und E
Damit WINS-Server die Informationen ihrer Datenbanken untereinander austauschen, müssen sie als Replikationspartner (Push- oder Pullbzw. Push- und Pull-Partner) untereinander konfiguriert werden. Microsoft empfiehlt die Konfiguration von gegenseitigen Push- und Pull-Beziehungen, wenn nicht u.a. langsame WAN-Verbindungen dagegen sprechen. Dies ist in den Antworten auch vorgesehen. Die erste Vorgabe bezüglich der beiden Altöttinger WINS-Server WINAOE01 und WINAOE02 wird durch Antwort B erfüllt. Die Konfiguration der Änderungsanzahl vor der Replikation auf 1 führt dazu, dass die Replikation nach einer Änderung durchgeführt wird. Die nächste Bedingung, die beiden Mühldorfer WINS-Server WINMUE01 und WINMUE02 sollen alle 30 Minuten ihre Datenbanken replizieren, wird durch die Antwort D erfüllt. Um der dritten Anforderung zu genügen, replizieren die Server WINAOE01 und WINMUE01 gemäß Antwort E die Datenbanken alle 3 Stunden. Die angesprochene Burstverarbeitung (Antwort A) dient der Entlastung von WINSServern, die durch viele gleichzeitige Clientregistrierungen ausgelastet sind. Eine Datenbankkonsistenzprüfung (Antwort D) ist nicht gefordert und WINAOE01 und WINMUE01 sollen nicht alle 30 Minuten (Antwort F) replizieren.
HILFE SERVER • •
WINS-Replikation, Übersicht WINS-Replikation, Konfigurieren Windows 2000 Netzwerkinfrastruktur-Administration, ISBN 3-86063-277-9
•
Konfigurieren der Datenbankreplikation
42
Angelika ist die Administratorin einer Windows 2000-Domäne. In dieser Domäne führt ein Windows 2000-Mitgliedserver (AP-SYSTEMEROUTE) den Routing und RAS-Dienst aus. AP-SYSTEMEROUTE ist für Remotezugriff konfiguriert. Die Domäne wird im einheitlichen Modus ausge-
233
Lösungen zum MS-Prüfungsreport
Kapitel 4
führt. Die Einwählberechtigung ist für alle Benutzerkonten so festgelegt, dass der Zugriff über RAS-Richtlinien gesteuert wird. Angelika möchte während der Arbeitszeit allen Benutzern die Einwahl erlauben, zwischen 18:00 Uhr und 08:00 Uhr soll die Einwahl nur Mitgliedern der globalen Sicherheitsgruppe »Supportpersonal« gestattet sein. Diese Gruppe und die darin enthaltenen Benutzer dürfen sich jedoch nicht während der Arbeitszeit (08:00 bis 18:00 Uhr) einwählen. Sie erstellen auf AP-SYSTEMEROUTE vier RAS-Richtlinien, wie nachfolgend dargestellt. Name Domänenbenutzer Alle Richtlinie Supportpersonal Alle Richtlinie Domänenbenutzer 18-08 Richtlinie Supportpersonal 08-18 Richtlinie
Bedingung Windows-Gruppe = Domänenbenutzer Windows-Gruppe = Supportpersonal Datum- und Uhrzeit = 18:0008.00Uhr Windows-Gruppe = Domänenbenutzer Datum- und Uhrzeit = 08.0018.00 Windows-Gruppe = Supportpersonal
Berechtigung Zugriff Zugriff Verweigern
Profil (Standard) (Standard) (Standard)
Verweigern
(Standard)
Klicken Sie auf die Schaltfläche AUSWÄHLEN UND PLATZIEREN, um die korrekte Zugriffssteuerung für AP-SYSTEMEROUTE festzulegen. Ziehen Sie anschließend die RAS-Richtlinien und ordnen Sie diese in der korrekten Reihenfolge an. als Erstes die beiden Verweigern-, dann die beiden Zulassen-Richtlinien. 1 Support 08-18 2 Domänen 18-08 3 Support Alle 3 Domänen Alle RAS-Richtlinien werden der Reihe nach abgearbeitet. Falls also die erste Richtlinie greift, werden die anderen Richtlinien nicht weiter abgefragt. Falls sie nicht greift, werden die darunter liegenden so lange abgefragt, bis eine greift. Deshalb müssen die restriktivsten Richtlinien an die oberste Stelle gesetzt werden.
HILFE SERVER •
RAS-Richtlinien Windows 2000 Netzwerkinfrastruktur-Administration, ISBN 3-86063-277-9
•
Erstellen einer RAS-Richtlinie, S. 318
234
Lösungen zum MS-Prüfungsreport
43
Michael V. ist der Netzwerkadministrator der Firma AP-SYSTEME AG. In diesem Netzwerk befindet sich ein Windows 2000 Server, der als Router fungiert. AP-SYSTEMEROUTE besitzt zwei Netzwerkschnittstellen NIC01 und NIC02 und führt den Routing und RAS-Dienst aus. Im Netzwerk existiert nur ein DHCP-Server mit der Bezeichnung APSYSTEME_ONE. Dieser Server steht im Netzwerksegment, das über NIC01 mit AP-SYSTEMEROUTE verbunden ist. Das Netzwerk ist, wie im folgenden Diagramm dargestellt, konfiguriert. NIC01
Windows 2000 Professionel Rechner
NIC02
AP-SYSTEMEROUTE Windows 2000 Server Routing und RAS
Windows 2000 Professionel Rechner
DHCP-Server AP-SYSTEME_ONE
Michael V. möchte den Clients aus dem mit der NIC02-Schnittstelle verbundenen Netzwerksegment die Möglichkeit geben, ihre IP-Adressen von AP-SYSTEME_ONE zu beziehen. Wie sollte Michael V. den Rechner AP-SYSTEMEROUTE konfigurieren, um dieses Ziel zu erreichen? (Wählen Sie alle zutreffenden Antworten aus.) A
�
Er erstellt einen IP-Tunnel, um die NIC01-Schnittstelle mit der NIC02Schnittstelle zu verbinden.
B
�
Er erstellt eine statische Route zur IP-Adresse der NIC02-Schnittstelle.
C
�
Er konfiguriert das DHCP-Relay-Agent-Routingprotokoll, um es auf der NIC01-Schnittstelle auszuführen.
D
�
Er konfiguriert das DHCP-Relay-Agent-Routingprotokoll, um es auf der NIC02-Schnittstelle auszuführen.
E
�
Er konfiguriert das DHCP-Relay-Agent-Routingprotokoll, um die IPAdresse des DHCP-Servers als Serveradresse zu verwenden.
F
�
Er konfiguriert das DHCP-Relay-Agent-Routingprotokoll, um die Portnummer des DHCP-Servers zu verwenden. D und E
235
Lösungen zum MS-Prüfungsreport
Kapitel 4
Die Antworten D und E sind richtig. Alle DHCP-Clients senden ihre DHCP-Anfragen mit Broadcast ins Netz. Ein Router leitet diese Anfragen standardmäßig nicht weiter. Deshalb benötigt man in allen Subnetzen, die nicht über einen DHCP-Server verfügen, einen DHCP-Relay-Agent. Dieser DHCP-Relay-Agent muss die IP-Adresse des DHCP-Servers kennen, um eine UNICAST-Anfrage ins Netz zu senden, die dann vom Router weitergeleitet wird. Diese Konfiguration des DHCP-Relay-Agenten muss auf der NIC02-Schnittstelle erfolgen, weil der DHCPServer in dem Segment steht, das an der NIC01-Schnittstelle angeschlossen ist. Die Antwort A hat nichts mit der Fragestellung zu tun. Durch eine IP-in-IP-Schnittstelle wird zwar eine gesicherte Verbindung zwischen zwei Netzwerken eingerichtet, jedoch bleibt der DHCP-Server aus Sicht der Clients des Segments, das über die NIC02-Schnittstelle angeschlossen ist, immer noch unerreichbar. Der Lösungsvorschlag B ist falsch, weil eine statische Route nichts mit dem Weiterreichen von DHCP-Informationen zu tun hat. Die Antwort C beschreibt zwar die richtige Vorgehensweise, aber leider die falsche Netzwerkkarte. Die Antwort F ist falsch, weil die Portnummer nichts mit der Lösung des Problems zu tun hat.
HILFE SERVER •
DHCP-Relay-Agent, Übersicht Windows 2000 Netzwerkinfrastruktur-Administration, ISBN 3-86063-277-9
•
DHCP-Relay-Agent, S. 277
44
Michael V. ist der Organisationsadministrator der Windows 2000-Domäne AP-SYSTEME.DE. Die Domäne besteht aus drei Windows 2000 Servern mit den Bezeichnungen AP-SYSTEME_ONE, AP-SYSTEME_TWO und AP-SYSTEME_THRE und 100 Windows 2000 Professional-Rechnern. Das Netzwerk umfasst drei Netzwerksegmente, die durch einen Router miteinander verbunden sind. In jedem Segment befindet sich einer der Server und die Clients sind gleichmäßig über alle drei Segmente verteilt. AP-SYSTEME_ONE ist der einzige DHCP-Server im Netzwerk und stellt die TCP/IP-Konfigurationen für alle Clients in den drei Segmenten bereit. Insgesamt sind auf AP-SYSTEME_ONE drei Bereiche konfiguriert, also für jedes Segment ein eigener Bereich. Die Leasedauer beträgt für alle Bereiche zehn Tage. Aus Leistungsgründen möchte Michael V. den DHCP-Serverdienst in Zukunft von AP-SYSTEME_TWO ausführen lassen. Er unternimmt folgende Konfigurationsschritte: •
Er beendet und deaktiviert den DHCP-Serverdienst auf AP-SYSTEME_ONE.
236
Lösungen zum MS-Prüfungsreport
• •
Er installiert, autorisiert und beendet den DHCP-Serverdienst auf AP-SYSTEME_TWO. Er kopiert den gesamten Inhalt des Ordners Systemroot\system32\dhcp von AP-SYSTEME_ONE nach AP-SYSTEME_TWO.
Michael V. möchte AP-SYSTEME_TWO zur Verwendung von Bereichsinformationen und geleasten Adressen konfigurieren, die zurzeit auf den Windows 2000 Professional-Rechnern eingesetzt werden. Was sollte Michael V. auf AP-SYSTEME_TWO als Nächstes unternehmen? (Wählen Sie zwei Antworten aus.) A
�
Er aktiviert den DHCP-Relay-Agenten und legt für Zeit seit letztem Neustart (Sekunden) den Wert 0 fest.
B
�
Er verwendet das Dienstprogramm Jetpack, um die DHCP-Datenbank manuell zu reparieren.
C
�
Er verwendet den Registrierungseditor Regedt32.exe, um die DHCPRegistrierungskonfiguration aus Systemroot\system32\dhcp\backup wiederherzustellen.
D
�
Er kopiert die Datei Systemroot\system32\dhcp\i50.chk in die Datei Dhcp.mdb.
E
�
Er startet den DHCP-Server und stimmt alle Bereiche ab.
F
�
Er startet den DHCP-Server und erstellt eine neue Bereichsgruppierung, die die ursprünglichen drei Bereiche enthält. C und E
Grundsätzlich muss hier etwas vorausgeschickt werden. Zur Wiederherstellung der DHCP-Datenbank (auf dem Zielserver) ist Folgendes an dem als Ziel für die DHCP-Datenbank verwendeten Servercomputer auszuführen: Sollte die DHCP-Serversoftware noch nicht eingerichtet sein, ist diese zu installieren und dann der Computer neu zu starten. Anschließend muss der DHCP-Dienst beendet werden. Die im temporären Ordner (standardmäßig C:\Temp\System32\Dhcp) gespeicherte Datei System.mdb ist in System.src umzubenennen. Danach wird der Verzeichnisbaum des DHCP-Servers vom temporären Ordner in den Ordner %systemroot%\System32\Dhcp kopiert, um das vorhandene DHCPSerververzeichnis zu ersetzen. Als Nächstes ist mit dem Registrierungseditor (Regedt32.exe) folgender Registrierungsschlüssel mit dem Eintrag %systemroot%\ System32\Dhcp\Backup\Dhcpcfg zu aktualisieren: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DHCPServer Der Wiederherstellungsvorgang sollte nicht vom Registrierungseditor eines Remotecomputers aus durchgeführt werden. Nachdem der DHCP-Serverdienst erneut gestartet wurde, wird in der DHCP-Konsole die Option Alle Bereiche abstimmen
237
Lösungen zum MS-Prüfungsreport
Kapitel 4
aktiviert, um die DHCP-Datenbank mit den wiederhergestellten Informationen abzustimmen, die der Windows 2000-Registrierung hinzugefügt wurden. Resultat dieser Ausführungen sind die richtigen Antworten C und E. Die Antwort A kann verworfen werden, weil es um den DHCP-Server selbst geht und nicht um das Erreichen von diesem seitens eines Clients. Die Antwort B wird gestrichen, weil jetpack primär im Zusammenhang mit WINS steht. Das Kopieren einer Datei, wie in Antwort D vorgeschlagen, bringt uns der Lösung des Problemes keinen Schritt näher. Der Lösungsvorschlag F produziert im Endeffekt lediglich administrativen Aufwand und hat mit dem Thema nchts zu tun.
HILFE SERVER •
DHCP-Server, Wiederherstellen von Daten Windows 2000 Netzwerkinfrastruktur-Administration, ISBN 3-86063-277-9
•
Verschieben der DHCP-Serverdatenbank, S. 303
45
Als Desktopadministrator ist Jürgen dafür verantwortlich, sicherzustellen, dass die Windows 2000 Professional-Rechner der Firma Verbindungen zum Netzwerk und zum Internet herstellen können. Die TCP/IP-Konfiguration sämtlicher Clients erfolgt über einen DHCP-Server. Die Netzwerkadministratoren Andy M und Michael Ro installieren eine neue T1-Leitung und einen Router für den Internetzugang. Ausschließlich das Verwaltungspersonal darf diesen Router verwenden. Jürgen möchte die Rechner des Verwaltungspersonals für die Verwendung dieses neuen Routers konfigurieren und sicherstellen, dass die Mitglieder anderer Personalgruppen über diesen Router keinen Zugriff zum Internet erlangen können. Zusätzlich will Jürgen sicherstellen, dass jeder Client nur einmal konfiguriert werden muss. Was sollte Jürgen unternehmen, um dieses Ziel zu erreichen?
A
�
Er verwendet an jedem Client der Gruppe »Verwaltung« den Befehl route add –f, um die neuen Routerinformationen einzugeben.
B
�
Er verwendet an jedem Client der Gruppe »Verwaltung« den Befehl route add –p, um die neuen Routerinformationen einzugeben.
C
�
Er aktiviert in den Bereichsoptionen für DHCP die Option ROUTERSUCHE DURCHFÜHREN.
D
�
Er gibt in den Bereichsoptionen für DHCP im Feld ROUTERANFRAGEADRESSE die Adresse des neuen Routers ein. B
238
Lösungen zum MS-Prüfungsreport
Die Antwort B ist richtig. Mit dem Befehlszeilenkommando route und der Option add können Sie manuell die Routingtabelle erweitern. Der Schalter –p sorgt für einen Eintrag dieser neuen Route in der Registry, so dass bei einem Neustart des Routers die Information erhalten bleibt. Die Antwort A ist nicht richtig. Der Schalter –f löscht alle Gateway-Einträge in der Routingtabelle. Das kann nicht der richtige Weg sein. Die Antworten C und D sind falsch. Mit diesen Optionen erreicht man, dass alle DHCP-Clients (Routersuche) nach einem Router suchen, der auf eine Routeranfrage mit seiner Adresse (Routeranfrageadresse) antwortet. Damit wären alle DHCPClients für diesen neuen Router konfiguriert.
HILFE SERVER • •
route-Befehl Hilfe-Option (/?) des Kommandozeilenbefehls route
Kein direkter Verweis
46
Sie sind Supportmitarbeiter und bekommen eine Anfrage eines Administrators. Seine Domäne hat unter anderem einen Windows 2000-Mitgliedsserver mit dem Namen RAS-Server1 und einen DHCP-Server mit der Bezeichnung MVSDC001, auf dem ebenfalls Windows 2000 eingerichtet ist. Routing und RAS ist auf RAS-Server1 für den Remotezugriff eingerichtet und funktioniert. Das Netzwerk verfügt allerdings über zwei DNSServer mit den folgenden IP-Adressen: 192.168.99.2 und 192.168.99.1. RAS-Server1 ist für die Verwendung von DHCP konfiguriert, damit RASClients automatisch eine IP-Adresse beziehen können. Das folgende Fenster gibt Ihnen einen Überblick über die konfigurierten DHCP-Bereichsoptionen des DHCP-Servers Windows 2000.
Es wurden keine Clientreservierungen in diesem DHCP-Bereich definiert.
239
Lösungen zum MS-Prüfungsreport
Kapitel 4
Bei der Einwahl von RAS-Clients erhalten diese eine Adresse aus dem DHCP-Bereich. Die in der DHCP-Bereichsoption definierte DNS-Adresse erhalten die Clients aber nicht. Die RAS-Clients haben stattdessen laut ipconfig als DNS-Server 192.168.99.2 eingestellt. Der Administrator möchte nun, dass die Clients entsprechend den DHCPOptionen konfiguriert werden. Welche Konfigurationseinstellung würden Sie vornehmen? A
�
Sie richten die RAS-Clientcomputer so ein, dass Sie DHCP bei der RASVerbindung verwenden.
B
�
Sie richten auf RAS-Server1 die Windows-Authentifizierung ein.
C
�
Sie richten das DHCP-Relay-Agent-Routingprotokoll auf der internen Schnittstelle von RAS-Server1 ein.
D
�
Sie richten am DHCP-Server die DNS-Bereichsoption 192.168.99.1 für die Standardklasse für Routing und RAS ein. C
Wie schon mehrfach beschrieben, muss ein RAS-Server als DHCP-Relay-Agent konfiguriert sein, um den RAS-Clients den Zugriff auf den DHCP-Server zu ermöglichen. Nur so erhalten diese auch die Bereichsoptionen. Der DHCP Relay-Agent am RAS-Server wird in der Regel an der Schnittstelle »intern« konfiguriert. Unklar bleibt in dieser Aufgabenstellung, wie der RAS-Client die DNS-Serveradresse 192.168.992 bezieht, da in der Grafik keine entsprechende Bereichsoption definiert ist.
HILFE SERVER • •
DHCP-Relay-Agent, Übersicht DHCP-Optionen, Benutzerklassen Windows 2000 Netzwerkinfrastruktur-Administration, ISBN 3-86063-277-9
•
Routing und RAS mit DHCP, S. 344ff.
47
Sie sind der Netzwerkadministrator der AP-SYSTEME GmbH. Ihr Netzwerk besteht aus zehn Windows 2000 Servern, 150 Windows 2000 Professional-Rechnern und 150 Windows NT 4.0 Workstations. Auf allen Clients ist die Datei- und Druckerfreigabe aktiviert, um die Zusammenarbeit zwischen den jeweiligen Arbeitsgruppen und die gemeinsame Verwen-
240
Lösungen zum MS-Prüfungsreport
dung von Dokumenten zu ermöglichen. Sie setzen einen der Windows 2000 Server als DHCP-Server ein, um die IP-Adresszuordnung auf den Clients zu automatisieren. Sie wollen folgende Ziele erreichen: • • •
•
Alle Clients sollen im Netzwerk anhand des FQDN (vollqualifizierter Netzwerkdomänenname) gefunden werden können. Die DNS-Zonendatei A (Hosteinträge) soll für alle Clients automatisch hinzugefügt werden. Die DNS-Zonendatei PTR (Zeigereinträge) soll für alle Clients automatisch hinzugefügt werden, um Reverse-Lookups von Namen zu unterstützen. Bei Ablauf der DHCP-Lease sollen die A- und PTR-Einträge automatisch aus den DNS-Zonendateien entfernt werden.
Sie führen folgende Schritte durch: • •
• •
Sie konfigurieren den DHCP-Server und legen fest, dass die Clientinformationen in DNS stets aktualisiert werden. Sie konfigurieren den DHCP-Server und legen fest, dass die für Forward-Lookups erforderlichen Einträge bei Ablauf der Lease entfernt werden. Sie konfigurieren den DHCP-Adressbereich und legen fest, dass der Domänenname allen DHCP-Clients zugewiesen wird. Sie konfigurieren den DHCP-Server und legen fest, dass der DHCPServer DNS für die Clients aktualisiert, die keine dynamischen Aktualisierungen unterstützen.
Welches Ergebnis bzw. welche Ergebnisse werden durch Ihre Maßnahmen erzeugt? (Wählen Sie alle zutreffenden Antworten aus.) A
�
Alle Clients im Netzwerk können anhand des FQDN gefunden werden.
B
�
Die DNS-Zonendatei-A-Einträge werden für alle Clients automatisch hinzugefügt.
C
�
Die DNS-Zonendatei-PTR-Einträge für Reverse-Lookups von Namen werden für alle Clients automatisch hinzugefügt.
D
�
Die A- und PTR-Einträge werden bei Ablauf der DHCP-Lease automatisch aus den DNS-Zonendateien entfernt. A, B und C
Durch die Schritte 1 und 3 kann jeder Client anhand seines FQDN gefunden werden (Antwort A). Die Schritte 1 und 4 gewährleisten, dass die DNS-Einträge für alle Clients, einschließlich der NT-Workstations, dynamisch aktualisiert werden. Dies gilt natürlich auch für Reverse-Lookup-Einträge, die eben-
241
Lösungen zum MS-Prüfungsreport
Kapitel 4
falls vom DHCP-Server aktualisiert werden (Antworten B und C). Durch Schritt 2 werden zwar die für Forward-Lookups erforderlichen Einträge bei Ablauf der Lease gelöscht, die PTR-Einträge bleiben jedoch erhalten (Antwort D).
HILFE SERVER •
DNS-Aktualisierungen, dynamische, Übersicht
Kein direkter Verweis
48
Andy M. ist der Netzwerkadministrator der Firma AP-SYSTEME GmbH. Das Unternehmen besitzt drei Geschäftsstellen mit jeweils weniger als 40 Rechnern. Die Geschäftsführung plant eine Erweiterung auf insgesamt sechs Geschäftsstellen. Um die zu erwartende Zunahme des Netzwerkverkehrs zu berücksichtigen, entschließt sich Andy M., die Bridges durch zwei Router zu ersetzen. Die neuen Router AP-SYSTEMEROU01 und AP-SYSTEMEROU02 müssen von Andy M. noch konfiguriert werden. Das Netzwerk ist, wie im Diagramm dargestellt, konfiguriert. AP-SYSTEME04 172.16.64.131
AP-SYSTEME05 172.16.64.132
AP-SYSTEME06 172.16.64.133
172.16.64.129
Segment B
AP-SYSTEMEROU2 172.16.64.161
AP-SYSTEMEROU1 Segment C
Segment A
AP-SYSTEME01 172.16.64.98
AP-SYSTEME02 172.16.64.99
AP-SYSTEME03 172.16.64.100
AP-SYSTEME07 172.16.64.162
AP-SYSTEME08 172.16.64.163
AP-SYSTEME09 172.16.64.164
Andy M. konfiguriert AP-SYSTEMEROU01. Welchen Routingeintrag fügt er hinzu? A
�
Execute route add 172.16.64.160 mask 255.255.255.224 172.16.64.129 –p.
B
�
Execute route add 172.16.64.160 mask 255.255.255.240 172.16.64.129 –p.
242
Lösungen zum MS-Prüfungsreport
C
�
Execute route add 172.16.64.96 mask 255.255.255.224 172.16.64.97 –p.
D
�
Execute route add 172.16.64.96 mask 255.255.255.240 172.16.64.130 –p.
E
�
Execute route add 172.16.64.96 mask 255.255.255.224 172.16.64.130 –p. A
Auf AP-SYSTEMEROU1 muss ein Routingeintrag für das Segment C (Subnetz 172.16.64.160) erstellt werden. Das Netz wird über die Schnittstellenadresse 172.16.64.129 AP-SYSTEMEROU2 erreicht. Somit kommen nur die Lösungsvorschläge A und B in Betracht. Da sechs Geschäftsstellen vorhanden sind, benötigen wir mindestens sechs Teilnetze; 2³ – 2 = 6 Teilnetze. Die verbleibenden 5 Bit stehen für 32 Hosts zur Verfügung – jedes Teilnetz mit weniger als 40 Rechnern. Daraus ergibt sich die Subnetzmaske 255.255.255.224.
HILFE SERVER • •
route-Befehl Hilfe-Option (/?) des Kommandozeilenbefehls route ISBN 3-86063-277-9
Kein direkter Verweis
49
Sarah ist der Administrator eines Windows 2000-Netzwerks. Sarah muss den Rechnern in einer der Zweigstellen des Unternehmens die Hostadressen zuweisen. Eine Einzelroute zur Zweigstelle wird mit 192.168.16.0/21 zusammengefasst. Die Zweigstelle arbeitet mit 150 Windows 2000 Professional-Rechnern in einem einzigen Subnetz: 192.168.16.0/24. Die Geschäftsleitung möchte jedoch in der Zweigstelle bis zu 2000 zusätzliche Rechner hinzufügen können. Sarah möchte diesen Wunsch der Geschäftsleitung berücksichtigen und gleichzeitig auch die Routenzusammenfassung ausnutzen können. Welche Schritte sollte Sarah zur Verwirklichung dieses Ziels durchführen? (Wählen Sie alle zutreffenden Antworten aus.)
A
�
Sie fügt in der Zweigstelle eine weitere, als 192.168.32.0/22 angekündigte Route hinzu.
B
�
Sie fügt in der Zweigstelle die zusätzlichen Netzwerkkennungsnummern 192.168.33.0/24 bis 192.168.39.0/24 hinzu.
243
Lösungen zum MS-Prüfungsreport
Kapitel 4
C
�
Sie fügt in der Zweigstelle die zusätzlichen Netzwerkkennungsnummern 192.168.17.0/24 bis 192.168.23.0/24 hinzu.
D
�
Sie fügt in der Zweigstelle die zusätzlichen Netzwerkkennungsnummern 192.168.24.0/24 bis 192.168.31.0/24 hinzu.
E
�
Sie ändert die Ankündigung an die Zweigstelle auf 192.168.16.0/20. D und E
Diese Aufgabenstellung ist durch Rechnen zu lösen. 150 Hosts sind vorhanden und es werden weitere 2000 Hosts benötigt. Um 2150 Hosts zu adressieren, benötigt man 12 Bits im Hostbereich der Subnetmask (212 = 4096). Damit bleiben 20 Bits für die Netzadressierung. Die Ankündigungsadresse lautet somit 192.168.16.0/20 (Antwort E). Es existiert ein Subnetz 192.168.16.0/24. Damit bleiben 8 Bits für die Hosts (28 = 256). Zwei Adressen für die Netzadresse und den Broadcast können nicht genutzt werden, bleiben also 254 Hosts je Subnetz. 2150 Hosts : 254 Hosts je Subnetz = 8,46, also 9 Subnetze. Ein Subnetz ist vorhanden, es werden also noch acht weitere Subnetze benötigt (Antwort D).
HILFE SERVER •
Masken, Ausdrücken von IP-Adressbereichen
Kein direkter Verweis
50
Otto S. ist der Administrator eines Routing und RAS-Servers in Ihrer Firma. Die Administratoren der Firma können sich in das Netzwerk remote einwählen, um Remoteüberwachungs- und Verwaltungsaufgaben durchzuführen. Dies erfordert eine extrem große Netzwerkbandbreite. Otto S. möchte nur den Administratoren die Verwendung mehrerer Telefonleitungen gestatten. Alle anderen Benutzer sollen auf die Verwendung einer einzigen Telefonleitung beschränkt bleiben. Otto S. möchte Netzwerkverbindungen mit mehreren Telefonleitungen so konfigurieren, dass sie an wechselnde Bandbreitenbedingungen angepasst werden. Sobald die Auslastung der Telefonleitungskapazität unter 50% sinkt, soll die Anzahl der verwendeten Telefonleitungen reduziert werden. Darüber hinaus möchte Otto S. allen Benutzern die Möglichkeit geben, die Verbindung zum Netzwerk über Routing und RAS herzustellen. Zurzeit sind keine RAS-Richtlinien vorhanden.
244
Lösungen zum MS-Prüfungsreport
Wie sollte Otto S. vorgehen? (Wählen Sie drei Antworten aus.) A
�
Er erstellt eine einzige RAS-Richtlinie auf dem Routing- und RAS-Server.
B
�
Er erstellt zwei RAS-Richtlinien auf dem Routing- und RAS-Server.
C
�
Er erlaubt Mehrfachverbindung.
D
�
Er reduziert die maximale Anzahl von Ports, die der Routing- und RASServer verwendet.
E
�
Er aktiviert das Kontrollkästchen BAP ist für dynamische Mehrfachverbindung erforderlich.
F
�
Er erhöht die maximale Anzahl von DFÜ-Sitzungen. B, C und E
Die Antwort B ist richtig. Da Remoteeinwahl mit Einfachverbindung und Mehrfachverbindungen erforderlich ist, werden für diese Konfiguration auch zwei RAS-Richtlinien benötigt. Die Antwort C ist richtig, weil dieser Lösungsvorschlag eine Einstellung der RASRichtlinie für die Administratoren darstellt. Die Antwort E ist auch richtig. Dies ist eine weitere Einstellung der RAS-Richtlinie für die Administratoren, um bei einer Bandbreitenänderung die Anzahl der Verbindungen dynamisch anzupassen. Die Antwort A ist falsch, weil sie einen Widerspruch zur Antwort B darstellt. Die Antwort D ist auch falsch, denn damit würde die Bandbreite allgemein reduziert (Unsinn). Die Antwort F ist falsch. Die Erhöhung der DFÜ-Sitzungen würde bedeuten, dass sich mehr Teilnehmer einwählen können, was wiederum eine Reduzierung der Bandbreite zur Folge hat. Das wird nicht gewünscht.
HILFE SERVER •
BAP, Übersicht Windows 2000 Netzwerkinfrastruktur-Administration, ISBN 3-86063-277-9
• •
Erstellen einer RAS-Richtlinie, S. 318 Konfigurieren von BAP, S. 324ff.
51
Michael ist der Netzwerkadministrator der AP-SYSTEME GmbH. Der Internetdienst-Anbieter stellt für die externen DNS-Server Fehlertoleranz bereit, indem er einen DNS-Server auf einem UNIX-Host verwaltet. Dieser UNIX-Host wird als sekundärer DNS-Server für Michaels primären externen DNS-Server eingesetzt.
245
Kapitel 4
Lösungen zum MS-Prüfungsreport
Benutzer können keine Verbindung mit der URL des Webservers der APSYSTEME GmbH herstellen. Michael geht diesem Problem nach und stellt fest, dass das Problem zu unterschiedlichen Zeiten auftritt, an denen der primäre DNS-Server nicht verfügbar ist. Was sollte Michael unternehmen, um dieses Problem zu lösen? (Klicken Sie zur Beantwortung dieser Frage auf der Registerkarte ERWEIdes Dialogfelds EIGENSCHAFTEN VON MVSDC001 auf das zutreffende Kontrollkästchen.)
TERT
Sekundäre Zonen auf BIND-Servern In der dargestellten Situation müssen sekundäre Zonen auf BIND-Servern aktiviert werden, damit eine korrekte Zonenübertragung vom primären auf den sekundären DNS-Server stattfindet und darüber hinaus auch die Namensauflösung, selbst bei Ausfall des primären DNS-Servers, gewährleistet ist. Ohne die Aktivierung »Sekundäre Zonen auf BIND-Servern« existieren zwar zwei DNS-Server, jedoch wird keine Ausfallsicherheit gewährleistet. Dies ist besonders bei Webservern fatal.
246
Lösungen zum MS-Prüfungsreport
HILFE SERVER •
BIND, Interoperabilität mit DNS
Kein direkter Verweis
52
Maura T. ist die Administratorin in Ihrer Firma. Das Netzwerk besteht, wie im nachfolgenden Diagramm dargestellt, aus einer einzigen Windows 2000-Domäne.
SEM01
SEM02
LEIT01
SER01 Internet
Ethernet
Router
PRESS01
PRESS02
SER02
SEM01 und SEM02 gehören zur Seminarabteilung und die Rechner PRESS01 und PRESS02 zur Unterlagenabteilung. SER01 und SER02 sind der Serviceabteilung zugeordnet. LEIT01 gehört zur Geschäftsführung. Als einzige Abteilung greift die Seminarabteilung nicht aufs Internet zu. Maura T. soll auf Anweisung der Geschäftsführung folgende Ziele erreichen: • • • •
Die gesamte Kommunikation für SEM01 und SEM02 soll verschlüsselt werden. Die gesamte Kommunikation über das Internet soll nicht verschlüsselt werden. Die Kommunikation zwischen der Unterlagenabteilung und der Geschäftsführung soll verschlüsselt werden. Der Leistungsaufwand für die Verschlüsselung soll minimiert werden.
247
Lösungen zum MS-Prüfungsreport
Kapitel 4
Maura T. unternimmt folgende Schritte: •
Sie erstellt eine Struktur von Organisationseinheiten (siehe folgendes Diagramm).
MVS
Unterlagen
• • • •
Seminare
Sie fügt SEM01 und SEM02 zur OU »Seminare« hinzu. Sie fügt PRESS01 und PRESS02 zur OU »Unterlagen« hinzu. Sie fügt alle anderen Rechner zur OU »AP-SYSTEME« hinzu. Sie ordnet der Domäne die Sicherer Server-IPSec-Standardrichtlinie zu.
Welches Ergebnis bzw. welche Ergebnisse werden durch diese Maßnahmen erzeugt? (Wählen Sie alle zutreffenden Antworten aus.) A
�
Die gesamte SEM01 und SEM02 betreffende Kommunikation wird verschlüsselt.
B
�
Die Kommunikation über das Internet wird nicht verschlüsselt.
C
�
Die Kommunikation zwischen der Unterlagenabteilung und der Geschäftsführung wird verschlüsselt.
D
�
Der Leistungsaufwand für die Verschlüsselung wird minimiert. A und C
Die Antworten A und C sind richtig. Weil die Richtlinie auf Domänenebene gesetzt wird, wirkt sie sich auf alle Organisationseinheiten, Computer und Netze aus. Die Antwort B ist falsch, weil die durchgeführten Schritte und auch die Forderungen nichts mit dem Internetzugriff zu tun haben. Die Antwort D ist auch falsch, da die Verschlüsselung auf Domänenebene realisiert wird und nicht bei den einzelnen Organisationseinheiten. Aus diesem Grund kann von einem minimierten Leistungsaufwand nicht die Rede sein.
HILFE SERVER •
Gruppenrichtlinien, Übersicht
248
Lösungen zum MS-Prüfungsreport
Kein direkter Verweis
53
Ernestine ist die Administratorin eines Windows 2000-Netzwerks. Das Netzwerk, das Ernestine administriert, verfügt über zehn Segmente, die durch Router miteinander verbunden sind. In vier von den zehn Segmenten wurden WINS-Server installiert auf der Plattform Windows 2000 Server. In den anderen Segmenten sind keine WINS-Server vorhanden, jedoch gibt es in allen Segmenten mehrere NetBIOS B-Knoten-Clients. Die Netzwerkbenutzer, die an den NetBIOS B-Knoten-Clients arbeiten, können nicht auf Ressourcen in anderen Segmenten zugreifen. Mit dem Zugriff auf Ressourcen bzw. Rechner im eigenen Subnetz gibt es keine Probleme. Wie sollte Ernestine das Netzwerk konfigurieren, um den Benutzern das Durchsuchen aller Segmente zu ermöglichen?
A
�
Ernestine bearbeitet auf jedem WINS-Server die Datei Lmhosts und fügt dieser Einträge mit #PRE und #DOM für die beiden anderen WINS-Server hinzu.
B
�
Ernestine konfiguriert die Router für die Weiterleitung von BOOTPAnforderungen.
C
�
Ernestine konfiguriert in jedem Segment einen Rechner als WINS-Proxy.
D
�
Ernestine installiert in jedem Segment einen WINS-Server. C
Die Antwort C ist richtig. B-Knoten-Clients suchen nach Ressourcen mit Broadcast. Diese Broadcasts werden aber von den Routern nicht weitergeleitet. Somit können Clients nur innerhalb ihres Subnetzes Ressourcen auflösen. Der Dienst WINS-Proxy leitet Anfragen von nicht WINS-Clients an einen WINSServer weiter, wodurch diese Rechner auch außerhalb ihres Subnetzes eine Namensauflösung erhalten. Antwort A ist nicht richtig. Namensauflösung mit der Datei Lmhosts wäre eine Möglichkeit, wenn die Clients NetBIOS nutzen können. Jedoch muss sich diese Datei nicht nur auf den WINS-Servern befinden, sondern auf jedem Rechner. Die Antwort B ist falsch. BOOTP wird von DHCP-Clients genutzt, um einen DHCPServer zu finden. Das hat mit der Namensauflösung nichts zu tun. Die Antwort D ist auch falsch. Was nutzt ein WINS-Server in jedem Subnetz, wenn der Client diesen nicht verwendet, weil er nicht WINS-fähig ist?
249
Lösungen zum MS-Prüfungsreport
Kapitel 4
HILFE SERVER •
WINS-Proxys, Übersicht
Kein direkter Verweis
54
Peter W. ist der Organisationsadministrator einer Windows 2000Domäne, die lediglich aus Windows 2000 Professional-Rechnern besteht. Peter konfiguriert einen der Windows 2000-Mitgliedsserver als DHCPServer. Dieser DHCP-Server befindet sich im gleichen Segment wie die Windows 2000 Professional-Rechner. Er erstellt und aktiviert einen DHCP-Adressbereich für das Netzwerksegment. Die Windows 2000-Clients sind als DHCP-Clients konfiguriert, bekommen jedoch keine IPAdresskonfigurationen. Was sollte Peter tun, damit jeder DHCP-Client eine IP-Adresse erhält?
A
�
Er startet in der Geräte-Manager-Konsole den DHCP-Dienst.
B
�
Er verschiebt den DHCP-Server an den gleichen Standort wie die Windows 2000 Professional-Rechner.
C
�
Er autorisiert den DHCP-Server in Active Directory.
D
�
Er definiert eine DHCP-Optionsklasse für die beiden Windows 2000 Professional-Rechner. C
Die Antwort C ist richtig. In einer Windows 2000-Domäne muss der DHCP-Server im Active Directory autorisiert sein, um die DHCP-Clients zu bedienen. Ist das nicht der Fall, beendet der Server den DHCP-Dienst. Die Antwort A ist falsch. Ohne Autorisierung des DHCP-Servers lässt sich der DHCP-Dienst in einer Windows 2000 Active Directory-Umgebung nicht starten. Die Antwort B ist falsch. Das Problem besteht nicht in der Erreichbarkeit des DHCP-Servers. Die Antwort D ist auch falsch. Optionsklassen verwendet man, um DHCP-Clients zu gruppieren, was hier nicht gefragt ist.
HILFE SERVER •
DHCP-Server, Autorisieren
250
Lösungen zum MS-Prüfungsreport
Windows 2000 Netzwerkinfrastruktur-Administration, ISBN 3-86063-277-9 •
Installieren und Konfigurieren eines DHCP-Servers, S. 281ff.
55
Astrid ist die Netzwerkadministratorin eines Windows 2000-Netzwerks. Das Netzwerk besteht aus 300 Windows 2000 Professional-Rechnern, vier Windows 2000 Servern (DHCP-Server) und acht Windows 2000 Servern. Die Windows 2000 Professional-Rechner und die Windows 2000 Server sind auf die vier unterschiedlichen Standorte Sendling, Schwabing, Ottobrunn und Hohenbrunn verteilt. Der WINS-Server der Firma befindet sich in Schwabing. Die TCP/IP-Konfiguration der WINS-Clients wird durch die vier DHCP-Server des Netzwerks sichergestellt. Die Windows 2000 Professional-Rechner greifen häufig auf NetBIOSbasierte Netzwerkressourcen zu. Nachdem beim WINS-Server eine Festplatte ausgefallen war, wurde diese durch eine neue Festplatte ersetzt und die WINS-Datenbank anhand einer Sicherung wiederhergestellt. Das Sicherungsband ist eine Woche alt. Nach der Wiederherstellung des WINS-Servers können die Benutzer keine Ressourcen an den anderen Standorten durchsuchen. Was sollte Astrid unternehmen, um den Benutzern das Durchsuchen der Ressourcen an den anderen Standorten wieder zu ermöglichen?
A
�
Sie verwendet für die WINS-Datenbank auf dem WINS-Server das Dienstprogramm Jetpack.
B
�
Sie verwendet auf dem WINS-Server den Befehl Datenbankkonsistenz überprüfen.
C
�
Sie verwendet auf den Windows 2000 Servern den Befehl nbtstat –RR zur Freigabe und Aktualisierung der WINS-Registrierungen.
D
�
Sie verwendet auf den WINS-Clients den Befehl ipconfig /registerdns zur Registrierung von Namen und IP-Adressen. C
Die Antwort C ist richtig. Durch den Restore der alten Datenbank waren die Einträge nicht mehr aktuell. Mit dem Befehl nbtstat –RR wird die Aktualisierung der WINS-Registrierungen gestartet. Die Antwort A ist nicht richtig. Mit dem Programm Jetpack wird die WINS-Datenbank komprimiert und nicht aktualisiert.
251
Lösungen zum MS-Prüfungsreport
Kapitel 4
Die Antwort B ist falsch. Die Konsistenzprüfung ist für die Integrität der WINSDatenbank zwischen mehreren WINS-Servern in einem Netzwerk zuständig. Die Antwort D ist auch falsch. Die WINS-Datenbank soll aktualisiert werden, nicht der Clienteintrag beim DNS-Server.
HILFE SERVER • •
nbtstat-Befehl, Übersicht Hilfe-Option (/?) des Kommandozeilenbefehls nbtstat
Kein direkter Verweis
56
Bernd N. ist der Netzwerkadministrator der Staller AG. Die Administratoren der Organisationseinheit Softwareentwicklung möchten für die Benutzer ihrer Abteilung EFS verwalten können. Die Administratoren der Softwareentwicklung sind in einer Gruppe »SoftAdmins« zusammengefasst, die vollständige Verwaltungsberechtigungen für die Organisationseinheit »Softwareentwicklung« besitzt. Um dem Wunsch dieser Administratoren nachzukommen, installieren Sie eine Organisations-Zertifizierungsstelle, die vom gesamten Unternehmen verwendet werden soll. Die Administratoren der Softwareabteilung können jedoch keine Gruppenrichtlinie erstellen, die es ihnen erlauben würde, EFS für die Softwareabteilung zu verwalten. Was sollte Bernd N. unternehmen, um den Administratoren der Organisationseinheit »Softwareabteilung« das Erstellen einer Gruppenrichtlinie zu ermöglichen, mit der diese EFS für die Benutzer ihrer Abteilung verwalten können? (Wählen Sie zwei Antworten aus.)
A
�
Er installiert eine untergeordnete Organisations-Zertifizierungsstelle, die von der Abteilung »Softwareentwicklung« verwendet werden soll.
B
�
Er fügt in der Zertifizierungsstellenkonsole der Zertifizierungsstelle eine neue Richtlinieneinstellung für ein EFS-Wiederherstellungsagent-Zertifikat hinzu.
C
�
Er fügt in der Zertifizierungsstellenkonsole der Zertifizierungsstelle eine neue Richtlinieneinstellung für ein Basis-EFS-Zertifikat hinzu.
D
�
Er erteilt den SoftAdmins in Active Directory-Standorte und -Dienste für die Registrierungs-Agent-Zertifizierungsvorlage die Berechtigung REGISTRIEREN.
252
Lösungen zum MS-Prüfungsreport
E
�
Er erteilt den SoftAdmins in Active Directory-Standorte und -Dienste für die EFS-Wiederherstellungszertifikatsvorlage die Berechtigung REGISTRIEREN.
F
�
Er erteilt den SoftAdmins in Active Directory-Standorte und -Dienste für die EFS-Zertifikatsvorlage die Berechtigung REGISTRIEREN. A und C
Die Antworten A und C sind richtig. Microsoft bevorzugt bei Zertifizierungsstellen immer eine entsprechende Struktur aus Stammzertifizierungsstellen und untergeordneten Zertifizierungsstellen. Das wird in der richtigen Antwort A wiedergegeben. Da es sich um EFS-Verschlüsselung handelt, benötigt man natürlich ein Zertifikat für EFS (Encrypted File System), wie in Antwort C beschrieben. Die Antwort B ist falsch, weil man keinen Wiederherstellungs-Agenten zum Verschlüsseln mit EFS benötigt. Die Antworten D, E und F sind ebenfalls falsch, da eine Standortkonfiguration im gesamten Text nicht erwähnt wird. Zudem lassen sich die beschriebenen Einstellungen dort nicht realisieren.
HILFE SERVER •
EFS, Übersicht
•
Organisation – untergeordnete Zertifizierungsstelle, S. 388ff.
57
Johannes ist der Administrator eines Windows 2000-Netzwerks. Er möchte für das Subnetz 192.168.1.32/28 einen DHCP-Adressbereich erstellen. Die Rechner in diesem Subnetz haben MS Windows 95, MS Windows 98 und Windows 2000 Professional als Betriebssystem installiert. Zusätzlich existieren in diesem Subnetz zwei UNIX-Rechner, die statische IP-Adressen brauchen. Diesen UNIX-Rechnern werden die zwei höchsten verfügbaren IP-Adressen im Subnetz zugewiesen, das Standardgateway des Subnetzes erhält die niedrigste verfügbare Adresse. Der neue Adressbereich soll ausschließlich die verfügbaren Adressen enthalten. Welchen Adressbereich konfiguriert Johannes auf dem DHCP-Server für dieses Subnetz?
A
�
192.168.1.34 – 192.168.1.46
B
�
192.168.1.34 – 192.168.1.44
253
Lösungen zum MS-Prüfungsreport
Kapitel 4
C
�
192.168.1.33 – 192.168.1.45
D
�
192.168.1.34 – 192.168.1.61
E
�
192.168.1.33 – 192.168.1.60 B
Bei dieser Frage handelt es sich wieder um eine Rechenaufgabe. Wir haben eine Subnetmask »/28«, damit bleiben 4 Bits für die Hostadressierung. Mit 4 Bits lassen sich rein rechnerisch 16 Hosts (24 = 16) erstellen. Wie immer müssen zwei Möglichkeiten (für die Netzadresse und den Broadcast im Subnetz) abgezogen werden. Somit bleiben 14 Hosts übrig. Dieses Subnetz beginnt bei 192.168.1.32, die die Netzadresse wiedergibt, und endet bei 192.168.1.47, die den Broadcast im Subnetz darstellt. Also reicht der Adressbereich von 192.168.1.33 bis 192.168.1.46. Die niedrigste Adresse wird dem Standardgateway zugeordnet, also die 192.168.1.33. Die beiden höchsten Adressen erhalten die UNIX-Rechner, also die 192.168.1.46 und die 192.168.1.45. Somit bleibt als Adressbereich für den DHCP-Server der Bereich von 192.168.1.34 bis 192.168.1.44. Dieser Bereich wird in Antwort B angeboten und deshalb ist das auch die richtige Antwort.
HILFE SERVER •
Subnetzmasken, Übersicht
Kein direkter Verweis
58
Connie ist die Netzwerkadministratorin in Ihrem Unternehmen. Das Netzwerk besteht aus 20 Windows 2000 Servern, 150 Windows 2000 Professional-Rechnern und einem NetWare-Server. Die Netzwerkbenutzer müssen auf den Datenträger Sys des NetWare-Servers zugreifen können. Die Administratoren der Firma sollen Vollzugriff auf den Datenträger Sys bekommen, die Netzwerkbenutzer dürfen nur lesend zugreifen. Connie konfiguriert auf einem Windows 2000 Server die Gateway-Service für NetWare-Komponente. Sie möchte jetzt den erforderlichen Zugriff auf den NetWare-Server konfigurieren. Wie sollte Connie vorgehen? (Wählen Sie zwei Antworten aus.)
A
�
Sie fügt der NTGATEWAY-Gruppe auf dem NetWare-Server die Benutzerkonten hinzu, die Zugriff auf den NetWare-Server benötigen.
B
�
Sie fügt der NTGATEWAY-Gruppe auf dem Windows 2000 Server die Benutzerkonten hinzu, die Zugriff auf den NetWare-Server benötigen.
254
Lösungen zum MS-Prüfungsreport
C
�
Sie fügt der NTGATEWAY-Gruppe auf dem NetWare-Server das Gatewaykonto hinzu.
D
�
Sie fügt der NTGATEWAY-Gruppe auf dem Windows 2000 Server das Benutzerkonto NT-Gateway hinzu.
E
�
Sie erteilt auf dem Windows 2000 Server, der als Gateway eingesetzt wird, den Administratoren die Berechtigung Vollzugriff und den Benutzern die Berechtigung Lesen. C und E
Die richtigen Antworten lauten C und E. Die Antwort C ist richtig, weil auf dem NetWare-Server eine Gruppe mit dem Namen NTGATEWAY existieren muss. Damit scheiden die Antworten B und D grundsätzlich schon aus. Zusätzlich muss diese Gruppe ein Gatewaykonto (meistens der Administrator) als Mitglied haben, um am NetWare-Server eine Anmeldung zu erhalten. Im vorliegenden Fall benötigt der Benutzer administrative Rechte am NetWare-Server, da sonst kein Vollzugriff auf den Datenträger Sys möglich ist. Mit der Antwort E wird die Berechtigung der Benutzer am Windows 2000 Server gemäß der Aufgabenstellung erteilt. Antwort A ist falsch, wäre aber eine Variante, die auch funktioniert. Nur sind auf der NetWare-Seite nicht zwei Benutzer als Mitglied der Gruppe »NTGATEWAY« nötig.
HILFE SERVER • •
Gateway Service für NetWare, Übersicht NWLink, Übersicht
•
Erstellen eines Gateways, S. 72ff.
59
Willy P. betreut das Netzwerk der Firma AP-SYSTEME GmbH. Das Netzwerk besteht aus einer einzigen Windows 2000-Domäne, die im einheitlichen Modus ausgeführt wird. Derzeit werden in der Domäne keine Zertifikatsdienste verwendet. Die AP-SYSTEME GmbH umfasst derzeit 150 Mitarbeiter. Wenn die Angestellten außer Haus arbeiten, benötigen sie Datei- und Druckdienste, E-Mail und Zugriff auf die Produkt- und Bestandsdatenbank des Unternehmens. Das Verkaufspersonal ist in der Gruppe »ADVerkauf« zusammengefasst. Das Unternehmen ist über eine T1-Standleitung mit dem Internet verbunden. Zusätzlich verfügt die APSYSTEME GmbH über ein virtuelles privates Netzwerk, um die bei der Unterstützung der Außendienstmitarbeiter anfallenden Kosten und auch die erforderlichen Hardwarekomponenten zu reduzieren.
255
Lösungen zum MS-Prüfungsreport
Kapitel 4
Willy P. soll folgende Ziele erreichen: • • • • •
Die erforderlichen Netzwerkressourcen sollen für alle Außendienstmitarbeiter zugänglich sein. Nur die Mitglieder der Gruppe »ADVerkauf« sollen eine Verbindung zum Netzwerk herstellen können. Vertrauliche Geschäftsdaten sollen über die VPN-Verbindungen gesichert übertragen werden. Zugriff auf das Netzwerk soll ausschließlich während der Geschäftszeit erfolgen. Alle Mitglieder der Gruppe »ADVerkauf« sollen gleichzeitig eine Verbindung mit dem Netzwerk herstellen können.
Willy P. führt folgende Konfigurationsmaßnahmen durch: • • • • •
Er installiert den Routing und RAS-Dienst auf einem Windows 2000 Server und konfiguriert ein virtuelles privates Netzwerk. Er erteilt den Mitgliedern der Gruppe »ADVerkauf« die Einwählberechtigung Zugriff erlauben. Er bearbeitet die Standard-RAS-Richtlinie, um die Remotezugriffsberechtigung zu erteilen. Er bearbeitet das RAS-Profil, um eine starke Datenverschlüsselung einzustellen. Welches Ergebnis bzw. welche Ergebnisse werden durch Willys Maßnahmen erzielt?
(Wählen Sie alle zutreffenden Antworten aus.) A
�
Die Gruppe »ADVerkauf« kann auf alle benötigten Netzwerkressourcen zugreifen.
B
�
Nur die Mitglieder der Gruppe »ADVerkauf« können eine Verbindung zum Netzwerk herstellen.
C
�
Vertrauliche Geschäftsdaten werden gesichert über die VPN-Verbindung übertragen.
D
�
Der Zugriff auf das Netzwerk erfolgt nur während der Geschäftszeiten.
E
�
Alle Mitglieder von »ADVerkauf« können gleichzeitig eine Verbindung zum Netzwerk herstellen. A, C und E
Die Antwort A ist richtig. Durch das Erteilen der Einwahlberechtigung kann die Gruppe auf alle benötigten Netzressourcen zugreifen. Die Antwort C ist auch richtig, weil durch das Erstellen der VPN-Verbindung und der starken Datenverschlüsselung auf eine gesicherte Übertragung geschlossen werden
256
Lösungen zum MS-Prüfungsreport
kann. Die Antwort E ist ebenfalls richtig. Microsoft gibt bei einer RAS-VPN-Verbindung als Standard 128 PPTP-Ports und 128 L2TP-Ports an. Somit können sich alle Mitglieder der Gruppe »ADVerkauf« gleichzeitig einwählen. Antwort B ist falsch. Eine Verbindung zum Netzwerk können alle herstellen. Eine RAS-VPN-Verbindung kann allerdings nur die Gruppe »ADVerkauf« herstellen. Die Antwort D ist auch nicht richtig. Es wurde kein Zeitplan festgelegt, damit greift die Standardeinstellung mit zeitlich unbegrenzter Verbindungsmöglichkeit.
HILFE SERVER • •
VPNs, Übersicht RAS-Richtlinien, Übersicht
•
Bedingungen, S. 319ff.
60
Uwe P., der Netzwerkadministrator von S-R-S GmbH, konfiguriert ein Windows 2000-Netzwerk für den DFÜ-Zugriff. Die Mitarbeiter von S-R-S müssen in der Lage sein, von zu Hause aus auf die Rechner zuzugreifen. Um die Sicherheit zu erhöhen, erhält jeder Benutzer, dem der DFÜ-Zugriff gestattet ist, eine Smartcard. Wie sollte Uwe P. vorgehen, um den Routing und RAS-Server zu konfigurieren? (Wählen Sie zwei Antworten aus.)
A
�
Er aktiviert das Kontrollkästchen Extensible-Authentication-Protokoll (EAP).
B
�
Er aktiviert das Kontrollkästchen Microsoft-verschlüsselte Authentifizierung, Version 2 (MS-CHAP v2).
C
�
Er installiert auf dem Routing und RAS-Server ein Computerzertifikat.
D
�
Er installiert auf dem Routing und RAS-Server ein Smartcard-Anmeldungszertifikat.
E
�
Er installiert auf dem DFÜ-Clientrechner ein Computerzertifikat. A und D
Die Antwort A ist richtig. Für den Einsatz von Smartcards ist immer EAP als Protokoll nötig. Die Antwort D ist auch richtig. Smartcard-Authentifizierung erfordert ein Anmeldezertifikat vom Typ EAP oder ein anderes TLS-Zertifikat.
257
Lösungen zum MS-Prüfungsreport
Kapitel 4
Antwort B ist falsch. MS-CHAPv2 kann aktiviert sein, ist aber für die SmartcardAuthentifizierung sinnlos. Die Antworten C und E sind auch falsch. Es sollen Authentifizierungszertifikate installiert werden und nicht Computerzertifikate.
HILFE SERVER • •
EAP, Übersicht EAP-TLS, Smartcards
Kein direkter Verweis
61
Carlo administriert den primären DNS-Standardserver und zwei weitere sekundäre DNS-Standardserver in einer Windows 2000-Domäne. Im Netzwerk existieren keine weiteren DNS-Server und als Clients finden Windows 2000 Professional-Rechner und Windows 98-Rechner Verwendung. Die DNS-Zone für die Windows 2000-Domäne unterstützt dynamische Aktualisierungen. Alle drei DNS-Server wurden auf Windows 2000Domänencontrollern installiert. Carlo möchte, dass sich die Clients bei jedem beliebigen DNS-Server registrieren bzw. deregistrieren lassen können. Wie sollte Carlo vorgehen, um dieses Ziel zu erreichen?
A
�
Er ändert bei allen DNS-Servern den Zonentyp der DNS-Zone auf Active Directory-integriert.
B
�
Er ändert die Einstellung beim primären DNS-Server, um die beiden sekundären DNS-Standardserver bei Aktualisierungen der Zone zu benachrichtigen.
C
�
Er ändert die Einstellung beim primären DNS-Server, um Zonenübertragungen nur zu den beiden sekundären DNS-Standardservern zuzulassen.
D
�
Er ändert beim primären DNS-Server die Option für die dynamische Aktualisierung, um nur gesicherte Aktualisierungen zuzulassen. A
Die Antwort A ist richtig. Um sich bei einem beliebigen DNS zu registrieren, muss es sich um Active Directory-integrierte Zonen handeln. Ein DNSServer mit sekundärer Zone nimmt Aktualisierungen nur von seinem Master-DNS entgegen.
258
Lösungen zum MS-Prüfungsreport
Bei den Antworten B und C geht es um die Aktualisierung der DNS-Server untereinander. Die Antworten sind also falsch. Ebenso falsch ist die Antwort D, da gesicherte Aktualisierung nur bei Active Directory-integrierten Zonen einstellbar ist. Der Vorteil dieser gesicherten Aktualisierung basiert auf der Tatsache, dass eine Zugriffskontrolle eingerichtet werden kann. Diese Zugriffssteuerungsliste kann für eine Zone so eingerichtet werden, dass Aktualisierungen nur von einem bestimmten Server oder von einer bestimmten Gruppe (z.B. Domänenadministratoren) durchgeführt werden können.
HILFE SERVER •
DNS-Server, Integrieren in Active Directory
Kein direkter Verweis
62
Angelika administriert das Netzwerk der Firma N&W LEASING AG. Sie möchte den Benutzern den Remotezugriff auf die Netzwerkressourcen ermöglichen. Deswegen konfiguriert sie in ihrer Windows 2000-Domäne, die im einheitlichen Modus arbeitet, den Routing und RAS-Dienst. Zeit- bzw. Authentifizierungsbeschränkungen braucht Angelika nicht zu berücksichtigen, da in der Firma rund um die Uhr und sieben Tage die Woche gearbeitet wird. Die Netzwerkbenutzer verfügen als Clients über Windows 2000 Professional-, Windows NT 4.0- oder MS Windows 98Rechner. Sie löscht die Standard-RAS-Richtlinie, möchte jedoch den Zugriff durch unberechtigte Benutzer verhindern. Sie erteilt allen Benutzern in der Domäne die DFÜ-Berechtigung Zugriff erlauben, allerdings können die Benutzer keine Verbindungen herstellen. Was sollte Angelika unternehmen, um dieses Problem zu lösen?
A
�
Sie sollte eine neue RAS-Richtlinie erstellen, die allen Benutzern der Gruppe »Domänen-Benutzer« den Einwählzugriff erlaubt.
B
�
Sie erstellt eine neue Gruppenrichtlinie, die der Gruppe »Domänen-Benutzer« die Einwählberechtigung erteilt.
C
�
Sie sollte das RAS-Profil bearbeiten, um nur die Verwendung von Verschlüsselte Authentifizierung (CHAP) als Authentifizierungsmethode zuzulassen.
D
�
Sie sollte das RAS-Profil bearbeiten, um nur die Verwendung von Unverschlüsselte Authentifizierung (PAP, SPAP) als Authentifizierungsmethode zuzulassen. A
259
Lösungen zum MS-Prüfungsreport
Kapitel 4
Die Antwort A ist richtig. In einer Windows 2000-Domäne, die im einheitlichen Modus betrieben wird, kann der RAS-Zugriff allein über RASRichtlinien gesteuert werden. Dieses Feature bietet jedoch nur der einheitliche Modus und ist im gemischten Modus zwar sichtbar, jedoch nicht aktivierbar. Ist keine RAS-Richtlinie vorhanden, so wird der Zugriff unterbunden, auch wenn die DFÜ-Berechtigungen den Zugriff erlauben. Es muss also eine RAS-Richtlinie erstellt werden. Die Antwort B ist falsch, da eine RAS-Richtlinie gefordert ist, keine Gruppenrichtlinie. Die Antworten C und D mit Authentifizierungsmethoden gehen nicht auf die Fragestellung ein.
HILFE SERVER •
Verwaltungsmodelle, RAS-Richtlinien Windows 2000 Netzwerkinfrastruktur-Administration, ISBN 3-86063-277-9
•
Bedingungen, S. 319ff.
63
Beate R. ist die Netzwerkadministratorin eines Unternehmens, das über mehrere Standorte verfügt. Sie verwaltet eine Windows 2000-Domäne, deren Konfigurationsdaten wie folgt eingestellt sind: • • •
Die Standorte sind per Routing und RAS-Dienst über das Internet miteinander verbunden. Alle Ressourcen werden im Netzwerk von TCP/IP-Hosts bereitgestellt. Im Netzwerk werden ausschließlich Windows 2000 ProfessionalRechner eingesetzt.
Beate R. installiert in der Domäne einen DNS-Server, um die Namensauflösung beim Zugriff der Clients auf die Netzwerkressourcen zu optimieren. Sie möchte jedoch sicherstellen, dass der durch die Zonentransfers generierte Datenverkehr auf den Internetstrecken nicht durch Unberechtigte eingesehen bzw. missbraucht werden kann. Wie sollte Beate R. vorgehen, um dies zu verhindern? A
�
Sie lässt Zonenübertragungen nur zwischen den auf der Registerkarte NAMENS-SERVER aufgelisteten Servern zu.
B
�
Sie richtet eine Active Directory-integrierte Zone ein.
C
�
Sie setzt für ihre Zone die Option DYNAMISCHE AKTUALISIERUNG SEN auf Nein.
ZULAS-
D
�
Sie setzt für ihre Zone die Option DYNAMISCHE AKTUALISIERUNG SEN auf Nur gesicherte Aktualisierungen.
ZULAS-
260
Lösungen zum MS-Prüfungsreport
B Die Antwort B ist richtig. Um den Datenverkehr nicht einsehen zu können, muss dieser verschlüsselt werden. Bei Active Directory-integrierten Zonen wird der Zonentransfer innerhalb der Active Directory-Replikation durchgeführt und ist deshalb mit Kerberos verschlüsselt. Antwort A ist falsch. Dieser Vorschlag bietet eine Möglichkeit, sicherzustellen, dass nur festgelegte DNS-Server an einer Zonenübertragung teilnehmen. Eine Verschlüsselung der Daten findet aber nicht statt. Die Antworten C und D beziehen sich auf die Aktualisierung der DNS-Clients und haben mit der Aufgabe nichts zu tun.
HILFE SERVER •
Namensauflösungsdienste, DNS
Kein direkter Verweis
64
Peter W. administriert ein Netzwerk, das ausschließlich aus Windows 2000-Rechnern besteht. Im Netzwerk arbeitet ein Windows 2000 Server mit der Bezeichnung MVSDNS01 als DHCP-Server. Dieser Server verwaltet alle TCP/IP-Konfigurationen im Netzwerk. Das technische Supportpersonal gehört der globalen Gruppe »Supporter« an. Zur effizienten Abwicklung von Supportanfragen möchte Peter dieser Gruppe für die DHCP-Konsole und die DHCP-Leaseinformationen nur Lesezugriff gewähren. Wie sollte Peter vorgehen?
A
�
Peter fügt die globale Gruppe »Supporter« zur Gruppe »DHCP-Benutzer« hinzu.
B
�
Peter fügt die globale Gruppe »Supporter« zur integrierten Gruppe mit der Bezeichnung Prä-Windows 2000-kompatibler Zugriff hinzu.
C
�
Peter wählt auf MVSDNS01 in der DHCP-Konsole die Option AUTORISERVER VERWALTEN und fügt der Liste die globale Gruppe »Supporter« hinzu. SIERTE
D
�
Peter erteilt der globalen Gruppe »Supporter« auf dem DHCP-Server MVSDNS01 die Leseberechtigung für den Ordner %Systemroot%\ system32\DHCP.
261
Lösungen zum MS-Prüfungsreport
Kapitel 4
A Die Antwort A ist richtig. Bei Windows 2000 gibt es nach dem Start des DHCP-Server-Dienstes zwei neue lokale Gruppen: die DHCP-Benutzer und die DHCP-Administratoren. Mit der Gruppe »DHCP-Benutzer« wird Usern der schreibgeschützte Zugriff auf die DHCP-Console gewährt. Die Antwort B ist falsch, weil es zwar die Gruppe »Prä-Windows kompatibler Zugriff« gibt, diese jedoch nur in folgendem Zusammenhang Sinn macht. Ein NTServer der in einem Windows 2000-Netzwerk als RAS-Server fungiert, sollte Mitglied in dieser Gruppe sein, weil er ansonsten keine Abfragen an das Active Directory hinsichtlich Einwahlberechtigung der RAS-Benutzer machen darf. Die Antwort C ist falsch, weil die User den Zugriff brauchen (Antwort A) und mit dem Lösungsvorschlag C nur alle DHCP-Server eingesehen werden können. Die Antwort D hat genauso wenig mit der Forderung der Fragestellung zu tun, weil hier auf einen Ordner Berechtigungen erteilt werden.
HILFE SERVER •
DHCP, DHCP-Benutzer (Gruppe)
Kein direkter Verweis
65
Evi administriert ein TCP/IP-Netzwerk. Alle TCP/IP-Konfigurationseinstellungen übernimmt ein DHCP-Server. Die Firma verfügt über ein Klasse-B-Subnetz 172.41.48.0/24 und im Netzwerk befinden sich 200 Clients und 15 Server. Am Wochenende fällt die Festplatte des DHCP-Servers aus. Evi ersetzt die defekte Festplatte durch eine neue und will die Daten aufgrund der Sicherungsbänder wiederherstellen. Beim Wiederherstellen stellt sich heraus, dass sämtliche Sicherungen unbrauchbar sind. Leider besitzt Evi auch keine Netzwerkdokumentation, aus der die verteilten IP-Adressen hervorgehen. Sie muss einen neuen DHCP-Server installieren, um potenzielle Verbindungsprobleme zu verhindern. Wie sollte Evi den neuen DHCP-Server konfigurieren? (Wählen Sie zwei Antworten aus.)
A
�
Sie sollte auf dem DHCP-Server den Wert für die Option ANZAHL KONFLIKTERKENNUNGSVERSUCHE erhöhen.
DER
B
�
Sie sollte auf dem DHCP-Server den Wert für die Option ANZAHL KONFLIKTERKENNUNGSVERSUCHE verringern.
DER
262
Lösungen zum MS-Prüfungsreport
C
�
Sie sollte die 15 Server aus dem Reservierungsbereich ausschließen.
D
�
Sie sollte einen Adressbereich erstellen, der sich von 172.41.48.1 bis 172. 41.48.200 erstreckt.
E
�
Sie sollte einen Adressbereich erstellen, der sich von 172.41.48.1 bis 172. 41.48.254 erstreckt. A und E
Die Antwort A ist richtig. Mit den Konflikterkennungsversuchen sendet der DHCP-Server nach Angabe der Anzahl (größer als 0) PINGs mit der zu vergebenden IP-Adresse ins Netz, um festzustellen, ob diese bereits benutzt wird. Wird die Anzahl erhöht, steigt die Sicherheit bezüglich Verbindungsproblem wegen doppelter IP-Adressen. Aus diesem Grund ist die Antwort B falsch, weil hier der Wert im Gegensatz zur Antwort A verringert wird. Die Antwort C kann grundsätzlich ausgeschlossen werden, weil Server nicht via DHCP ihre IP-Adresse bekommen, sondern statisch konfigurierte IPs haben. Die Antwort E ist richtig, weil man 215 IPAdressen benötigt. Darum ist auch Antwort D falsch, da hier nur 200 Adressen festgelegt werden.
HILFE SERVER •
DHCP-Server, Empfehlungen Windows 2000 Netzwerkinfrastruktur-Administration, ISBN 3-86063-277-9
•
Konflikterkennung, S. 296
66
Jan ist für die Sicherheit des Netzwerks der AP-SYSTEME GmbH verantwortlich. Er möchte alle Benutzer registrieren, die über den Routing und RAS-Dienst auf das Netzwerk zugreifen. Er konfiguriert einen Windows 2000 Server für den Remotezugriff. Jan muss alle Anmeldungsaktivitäten auf diesem Server protokollieren. Was sollte er tun?
A
�
Jan aktiviert in den Überwachungsrichtlinien der Domäne die Option VERZEICHNISDIENSTZUGRIFF.
B
�
Jan aktiviert in den Überwachungsrichtlinien der Domäne die Option ANMELDEEREIGNISSE ÜBERWACHEN.
C
�
Jan aktiviert in den Überwachungsrichtlinien der Domäne die Option ANMELDEVERSUCHE ÜBERWACHEN.
263
Lösungen zum MS-Prüfungsreport
Kapitel 4
D
�
Jan aktiviert auf dem Routing und RAS-Server in den Eigenschaften RASProtokollierung die Option AUTHENTIFIZIERUNGSANFORDERUNGEN PROTOKOLLIEREN.
E
�
Jan aktiviert auf dem Routing und RAS-Server in den Eigenschaften RASProtokollierung die Option KONTOFÜHRUNGSANFORDERUNGEN PROTOKOLLIEREN. D
Die Antwort D ist richtig. Da jeder Anmeldeversuch eine Authentifizierungsanforderung zur Folge hat, ist diese Protokollierung der richtige Weg. Die Antworten A, B und C sind falsch. Die Überwachungsrichtlinien der Domäne protokollieren Zugriffe auf das Active Directory und nicht auf den RAS-Server. Antwort E ist auch nicht richtig. Die Kontoführung zu protokollieren, ist sinnlos, da ja Anmeldeversuche überwacht werden sollen und nicht die Kontenänderungen.
HILFE SERVER •
Authentifizierung, Übersicht Windows 2000 Netzwerkinfrastruktur-Administration, ISBN 3-86063-277-9
•
Verwalten und Überwachen von RAS, Seite 346
67
Willy P. administriert das Netzwerk der Firma Kindernahrung Vertrieb GmbH. Die Außendienstmitarbeiter der Firma brauchen auch unterwegs Zugriff auf die neuesten Geschäftsdaten. Willy P. möchte sicherstellen, dass die Außendienstmitarbeiter unabhängig vom Standort des Anrufs eine Verbindung zum Firmennetzwerk herstellen können. Über den Routing und RAS-Dienst erhalten auch die Lieferanten der Firma Zugriff auf das Netzwerk. Willy P. muss jetzt aus Sicherheitsgründen festlegen, von welchen Standorten aus die Lieferanten der Kindernahrung Vertrieb GmbH eine Verbindung herstellen dürfen. Zusätzlich möchte er den Außendienstmitarbeitern der Kindernahrung Vertrieb GmbH und den Lieferanten den Remotezugriff erleichtern. Was sollte Willy P. konfigurieren, um dieses Ziel zu erreichen? (Wählen Sie drei Antworten aus.)
A
�
Willy P. stellt die Option RÜCKRUF für die Außendienstmitarbeiter auf IMMER RÜCKRUF AN ein.
264
Lösungen zum MS-Prüfungsreport
B
�
Willy P. stellt die Option RÜCKRUF für die Außendienstmitarbeiter auf VOM ANRUFER GESETZT ein.
C
�
Willy P. stellt die Option RÜCKRUF für die Lieferanten auf KEIN RÜCKRUF ein.
D
�
Willy P. stellt die Option RÜCKRUF für die Lieferanten auf IMMER RÜCKRUF AN ein.
E
�
Willy P. stellt die Option RÜCKRUF für die Lieferanten auf VOM ANRUFER GESETZT ein.
F
�
Willy P. aktiviert LCP-Objekte.
G
�
Willy P. aktiviert EAP. B, D und F
Die Antwort B ist richtig. Da sich die Außendienstmitarbeiter von unterschiedlichen Orten (Hotel etc.) einwählen, muss die jeweils aktuelle Telefonnummer des Anrufers verwendet werden. Die Antwort D ist auch richtig. Der Lieferant wird sich immer vom selben Ort aus einwählen, daher kann eine feste Rückrufnummer verwendet werden. Die Antwort F ist auch richtig. Das LCP-Protokoll ist für verschiedene Verbindungsparameter zuständig. Das Aktivieren der LCPObjekte bedeutet in diesem Fall, dass die Telefonnummer des Anrufers (Außendienstmitarbeiter) ausgewertet und verwendet werden kann. LCP (Link Control Protocols) bieten die Möglichkeit, Datenblöcke für PPP zu konfigurieren. Antwort A ist falsch, weil die Außendienstmitarbeiter an unterschiedlichen Orten die Einwahl durchführen. Die Antwort C ist auch falsch. Diese würde zwar funktionieren, würde aber ein Sicherheitsrisiko bedeuten. Antwort E ist aus den gleichen Gründen falsch wie schon die Antwort D. Antwort G ist ebenfalls nicht richtig. Smartcards etc. werden nicht verwendet, daher ist EAP nicht nötig.
HILFE SERVER • •
PPP, Übersicht LCP-Erweiterungen, PPP-Verwendung und -Protokolle
Kein direkter Verweis
68
Herbert administriert das Netzwerk eines privaten Bankhauses. Im Netzwerk wird ausschließlich TCP/IP als Transportprotokoll mit der Adresse 172.30.0.0/16 verwendet. Die Tätigkeiten der Benutzer erfordern keine Verbindung zum Internet.
265
Lösungen zum MS-Prüfungsreport
Kapitel 4
Herbert möchte die Netzwerkleistung verbessern und das Netzwerk auch für zukünftige Erweiterungen flexibel gestalten, weil das Bankhaus sehr stark expandiert. Er muss deshalb auch die Option in Erwägung ziehen, einzelne Teile vom Netzwerk einfach abtrennen zu können. Er plant zuerst 25 Subnetze mit maximal 1000 Hosts je Subnetz. Der Vorstand teilt ihm jedoch mit, dass im nächsten Jahr mindestens 55 Subnetze mit maximal 1000 Hosts je Subnetz benötigt werden. Welche Subnetzmaske sollte Herbert konfigurieren, um die gegenwärtigen und auch die zukünftigen Netzwerkanforderungen zu berücksichtigen? A
�
255.255.240.0
B
�
255.255.248.0
C
�
255.255.252.0
D
�
255.255.254.0
E
�
255.255.255.0 C
Das ist eine einfache Rechenaufgabe. Feste Größe bei diesem Problem sind die maximal 1000 Hosts. Um 1000 Rechner zu adressieren, benötigt man 10 Bits (210= 1024) als Hostanteil in der Subnetmask. Damit bleiben 22 Bits für den Netzanteil übrig, was einer Subnetmask 255.255.252.0 entspricht. Im dritten Byte der Subnetmask sind damit 6 Bits (26 = 64) dem Netzanteil zugeordnet, somit lassen sich die 55 Subnetze auch realisieren. Richtige Antwort ist demnach C.
HILFE SERVER •
Binärwerte konvertieren in Dezimalwerte
Kein direkter Verweis
69
Ein Unternehmen möchte die ISO- und TP4-Übertragungen eines MS Exchange Servers im Netzwerk analysieren und wendet sich deswegen an die Merk Consulting. Hans-Jörg, der MS-Exchange-Spezialist von Merk Consulting, installiert den Netzwerkmonitor auf einem Windows 2000 Server, der sich im gleichen Segment wie der Exchange-Server befindet. Wie sollte er den Netzwerkmonitor konfigurieren, um die gewünschten Ergebnisse zu bekommen? (Wählen Sie zwei Antworten aus.)
A
�
Er sollte in das temporäre Sammlungsverzeichnis wechseln.
B
�
Er sollte die Datei ISO.dll und T4.dll in das Unterverzeichnis Netmon kopieren.
266
Lösungen zum MS-Prüfungsreport
C
�
Er sollte die Datei ISO.dll und T4.dll in das Unterverzeichnis Netmon\Parsers kopieren.
D
�
Er sollte die Datei Parser.ini ändern.
E
�
Er sollte die Datei netmon.ini ändern. C und D
Es werden verschiedene Protokolle ISO und TP4 verwendet. Um diese Protokolle mit dem Netzwerkmonitor überwachen zu können, müssen so genannte Parser installiert werden. Diese liegen in der Regel als DLLs (ISO.dll und T4.dll) vor und müssen in das Unterverzeichnis %systemroot%/system32/netmon/ parser kopiert werden. Um sicherzustellen, dass diese auch verwendet werden, müssen die Parser noch in der Parser.ini aufgenommen werden. Ein Parser ist ein Programm, das Protokollinformationen in kleinere Teile aufteilt, damit diese vom Netzwerkmonitor verarbeitet werden können. Jeder Parser kann ein Protokoll oder eine Protokollfamilie für die Analyse im Netzwerkmonitor aufbereiten.
HILFE SERVER •
Netzwerkmonitor, Protokollparser
Kein direkter Verweis
70
In einer Windows 2000-Domäne befindet sich ein Windows 2000-Mitgliedsserver, der den Routing und RAS-Dienst ausführt. Sie aktivieren auf AP-SYSTEMEROU01 CHAP, weil ein Teil der RAS-Clients das CHAPProtokoll für die Einwahl benötigt. Zusätzlich konfigurieren Sie die RASRichtlinie für die Verwendung von CHAP. Die Benutzer können sich jedoch nicht an AP-SYSTEMEROU01 einwählen und eine Verbindung herstellen. Wie gehen Sie vor, um das Problem zu lösen?
A
�
Sie konfigurieren AP-SYSTEMEROU01 und lassen die LAN-ManagerAuthentifizierung nicht zu.
B
�
Sie konfigurieren AP-SYSTEMEROU01 und deaktivieren die Verwendung von LCP-Erweiterungen.
C
�
Sie konfigurieren die Benutzerkonten und aktivieren die Option KENNWORT MIT REVERSIBLER VERSCHLÜSSELUNG SPEICHERN. Sie legen fest, dass die Kennwörter der Benutzer bei der nächsten Anmeldung geändert werden.
D
�
Sie konfigurieren die Konten der Benutzer und legen hierbei fest, dass bei der Einwahl ins Netzwerk eine statische IP-Adresse verwendet werden muss.
267
Lösungen zum MS-Prüfungsreport
Kapitel 4
C CHAP (Challenge Handshake Authentication Protocol) ist ein Abfrage/Antwort-Authentifizierungsprotokoll, das unter Verwendung von MD5 (Message Digest 5), einem Hashing-Schema nach Industriestandard, die Verschlüsselung von Antworten gewährleistet. CHAP wird von verschiedenen Anbietern von RAS-Servern und -Clients eingesetzt. Ein RAS-Server unter Windows 2000 unterstützt CHAP, so dass RAS-Clients, auf denen kein Microsoft-Betriebssystem ausgeführt wird, authentifiziert werden können. Wenn das Speichern von Kennwörtern in einer umkehrbaren verschlüsselten Form aktiviert wird, sind die noch gültigen aktuellen Kennwörter nicht umkehrbar verschlüsselt. Sie werden jedoch nicht automatisch geändert. Dazu müssen entweder die Benutzerkennwörter zurückgesetzt werden oder es muss die Änderung der Benutzerkennwörter bei der nächsten Anmeldung erzwungen werden.
HILFE SERVER •
CHAP, Übersicht
Kein direkter Verweis
71
Der Webserver der Firma Fraundienst AG wird auf einem Windows 2000 Server ausgeführt. Dieser Webserver ist kein Mitglied der Windows 2000Domäne Fraundienst.de und soll es auch nicht werden. Die Firmenleitung von Fraundienst AG möchte ihren Kunden die Möglichkeit geben, zur Durchführung von Onlinetransaktionen eine Verbindung mit dem Webserver herzustellen. Diese Transaktionen müssen durch Verschlüsselung geschützt werden, außerdem soll sich der Kunde bei Onlinetransaktionen von der Identität des Webservers überzeugen können. Wie realisieren Sie diese Anforderung?
A
�
Sie installieren eine Organisations-Zertifizierungsstelle.
B
�
Sie installieren eine untergeordnete Organisations-Zertifizierungsstelle, die eine kommerzielle Zertifizierungsstelle als übergeordnete Zertifizierungsstelle verwendet.
C
�
Sie installieren eine eigenständige Zertifizierungsstelle.
D
�
Sie installieren eine untergeordnete, eigenständige Zertifizierungsstelle, die eine kommerzielle Zertifizierungsstelle als übergeordnete Zertifizierungsstelle verwendet. D
268
Lösungen zum MS-Prüfungsreport
Die Antwort D ist richtig. Microsoft bevorzugt bei Zertifizierungsstellen immer eine entsprechende Struktur aus Stammzertifizierungsstellen und untergeordneten Zertifizierungsstellen. Damit lässt sich eine übersichtliche Struktur für Zertifikate und Zertifizierungsstellen bei großen Unternehmen erstellen. Eine einzige Zertifizierungsstelle ist zwar funktionell, aber der administrative Aufwand für die einzelnen Zertifikate wäre enorm. Damit scheiden die Antworten A und C schon aus. Eine eigenständige Zertifizierungsstelle ist deshalb nötig, weil der Webserver nicht Mitglied der Domäne ist und es auch nicht wird. Darum ist auch die Antwort B falsch.
HILFE SERVER •
Stammzertifizierungsstellen, Übersicht Windows 2000 Netzwerkinfrastruktur-Administration, ISBN 3-86063-277-9
•
Organisation – Stammzertifizierungsstelle, S. 388
72
Michael V. verwaltet ein Windows 2000-Netzwerk. Die Infrastruktur der öffentlichen Schlüssel besteht aus einer Offline-Stammzertifizierungsstelle und untergeordneten Zertifizierungsstellen. Die Geschäftsführung möchte einen Teilbereich des Unternehmens verkaufen. Diese Abteilung besitzt eine untergeordnete Zertifizierungsstelle, die zum Ausstellen von Zertifikaten verwendet wird. Michael V. möchte sicherstellen, dass nach dem Wegfall der Abteilung die Zertifikate dieser ehemaligen Abteilung von den Anwendungen und den anderen Zertifizierungsstellen im Netzwerk nicht mehr akzeptiert werden. Zusätzlich möchte Michael V. den administrativen Aufwand, der damit verbunden ist, so klein wie möglich halten. Wie sollte Michael V. vorgehen?
A
�
Michael V. sperrt auf der untergeordneten Zertifizierungsstelle der Abteilung alle von dieser ausgestellten Zertifikate und veröffentlicht die Zertifikatssperrliste auf einem Windows 2000 Server im Netzwerk. Zusätzlich entfernt er die Software und die Dateien der Zertifizierungsstelle.
B
�
Michael V. sperrt auf der Stammzertifizierungsstelle der Firma das Zertifikat der untergeordneten Zertifizierungsstelle der Abteilung und veröffentlicht die Zertifikatssperrliste auf einem Windows 2000 Server im Netzwerk. Er kopiert die EDB.LOG-Datei von der Stammzertifizierungsstelle an deren Zertifizierungs-Verteilungspunkt im Netzwerk.
269
Lösungen zum MS-Prüfungsreport
Kapitel 4
C
�
Michael V. sperrt auf der untergeordneten Zertifizierungsstelle der Abteilung alle von dieser ausgestellten Zertifikate und veröffentlicht die Zertifikatssperrliste auf einem Windows 2000 Server im Netzwerk. Er kopiert die EDB.LOG-Datei von der Stammzertifizierungsstelle an deren Zertifizierungs-Verteilungspunkt im Netzwerk und trennt die Zertifizierungsstelle vom Netzwerk.
D
�
Michael V. sperrt auf der Stammzertifizierungsstelle der Firma das Zertifikat der untergeordneten Zertifizierungsstelle der Abteilung und veröffentlicht die Zertifikatssperrliste auf einem Windows 2000 Server im Netzwerk. Dann kopiert er die Zertifikatssperrlistendatei an den Zertifizierungs-Verteilungspunkt im Netzwerk.
E
�
Michael V. sperrt auf der untergeordneten Zertifizierungsstelle der Abteilung alle von dieser ausgestellten Zertifikate und veröffentlicht die Zertifikatssperrliste auf einem Windows 2000 Server im Netzwerk. Dann kopiert er die Zertifikatssperrlistendatei an den Zertifizierungs-Verteilungspunkt im Netzwerk und trennt die Zertifizierungsstelle vom Netzwerk. D
In D ist die schnellste Vorgehensweise beschrieben. Durch das Sperren des Zertifikats der untergeordneten Zertifizierungsstelle dieser Abteilung werden alle Zertifikate dieser Zertifizierungsstelle ungültig. Die Zertifikatssperrliste wird in einstellbaren Zeitabständen veröffentlicht. Die manuelle Veröffentlichung der Zertifikatssperrliste bewirkt, dass Rechner die zurzeit über keine Sperrliste verfügen, diese dann auch erhalten. Damit wird die Annahme von Zertifikaten dieser Zertifizierungsstelle unterbunden.
HILFE SERVER •
Zertifikatssperrlisten, Übersicht Windows 2000 Netzwerkinfrastruktur-Administration, ISBN 3-86063-277-9
•
Sperre, S. 399
73
Robert G. betreut ein Windows 2000-Netzwerk. Das Netzwerk ist, wie im Diagramm dargestellt, konfiguriert. (Klicken Sie auf die Schaltfläche DARSTELLUNG.)
270
Lösungen zum MS-Prüfungsreport
MVS01
MVS02
MVS03
Router
MVS04
MVS05
172.16.64.1 Segment A
172.16.96.1
172.16.96.1 Segment B
MVSWS01
MVSWINS01
Adresse: 172.16.71.32 Maske: 255.255.224.0 Gateway: 172.16.64.1
MVS06
MVSWS02 Adresse: 172.16.86.76 Maske: 255.255.224.0 Gateway: 172.16.96.1
Im Netzwerk befinden sich sechs Windows 2000 Professional-Rechner und zwei Windows 2000 Server. Der Rechner MVS01 kann die Adresse 172.16.96.1 anpingen und der Rechner MVS04 die Adresse 172.16.64.1. Alle Windows 2000 Professional-Rechner können untereinander kommunizieren. Der Rechner MVSWS01 kann jedoch mit dem Rechner MVSWS02 keine Verbindung aufbauen und diesem Rechner auch keine Ping-Signale senden. Was sollte Robert G. unternehmen, um die Kommunikation zwischen diesen beiden Rechnern zu ermöglichen? A
�
Robert G. ändert die Subnetzmaske des Netzwerks auf den Wert 255.255. 240.0.
B
�
Robert G. ändert die Subnetzmaske des Netzwerks auf den Wert 255.255. 192.0.
C
�
Robert G. ändert die IP-Adresse von MVSWS01 auf 172.16.63.32.
D
�
Robert G. ändert die IP-Adresse von MVSWS02 auf 172.16.103.76. D
Die Antwort D ist richtig. Die Lösung lässt sich wieder mithilfe einer kleinen Rechenaufgabe ermitteln. Mit einer Subnetzmaske 255.255.224.0 hat man im dritten Byte 5 Bits für den Hostbereich (25 = 32). Daraus ergibt sich für das Segment A ein Adressbereich von 172.16.64.1 bis 172.16.95.255. Für das Segment B gilt ein Adressbereich von 172.16.96.1 bis 172.16.127.255. Der Rechner MVSWS02 befindet sich physisch im Segment B, hat aber eine IP-Adresse für das Segment A. Das kann nicht funktionieren. Es muss also an MVSWS02 die IPAdresse auf einen gültigen Bereich für das Segment B geändert werden.
271
Lösungen zum MS-Prüfungsreport
Kapitel 4
HILFE SERVER •
IP-Adressen, Übersicht
Kein direkter Verweis
74
Dominique betreut in ihrer Firma ein Netzwerk, das im folgenden Diagramm dargestellt ist. (Klicken Sie auf die Schaltfläche DARSTELLUNG, um die Konfiguration anzuzeigen.)
10.1.2.0/24 Über 250 Clients
10.1.3.0/24
Router
MVSIIS1 IIS-Server
Backbone
Router
10.1.1.0/24 Über 150 Clients
Router
MVSIIS2 IIS-Server
MVSIIS3 IIS-Server
In der Firma wird eine Intranetanwendung mit der Bezeichnung test eingesetzt, die IIS-Ressourcen nutzt. Aus Performancegründen wird die Anwendung test auf insgesamt drei Webserver (MVSIIS1, MVSIIS2 und MVSIIS3) gespiegelt. Dominique muss das Netzwerk so konfigurieren, dass bei Ausfall eines Webservers der Zugriff auf die anderen Webserver möglich ist. Dominique möchte die DNS-Konfiguration mit möglichst wenig Ressourcen ausführen. Wie sollte sie das realisieren? A
�
Sie konfiguriert nur einen DNS-Server mit einer einzigen DNS-Zone und aktiviert Round Robin. Dann erstellt sie für die IP-Adressen der Rechner MVSIIS1, MVSIIS2 und MVSIIS3 A-Einträge für die Anwendung test.
B
�
Sie konfiguriert nur einen DNS-Server mit einer einzigen DNS-Zone und deaktiviert Round Robin. Dann erstellt sie für die IP-Adressen der Rechner MVSIIS1, MVSIIS2 und MVSIIS3 A-Einträge für die Anwendung test.
C
�
Sie konfiguriert drei DNS-Server mit jeweils einer einzigen DNS-Zone und aktiviert Round Robin. Dann fügt sie auf jedem DNS-Server einen A-Eintrag für die Anwendung test hinzu.
272
Lösungen zum MS-Prüfungsreport
D
�
Sie konfiguriert drei DNS-Server mit jeweils einer einzigen DNS-Zone und deaktiviert Round Robin. Dann fügt sie auf jedem DNS-Server einen AEintrag für die Anwendung test hinzu. A
Richtig ist hier die Antwort A. Die DNS-Konfiguration mit geringen Ressourcen zu erstellen, bedeutet, nur einen DNS-Server zu verwenden. Damit scheiden die Antworten C und D aus. Round Robin ist ein Verfahren am DNS-Server, bei dem Rechner mit gleichem Namen und unterschiedlichen IP-Adressen für die Namensauflösung in eine Reihenfolge gestellt werden. Erfolgt eine Namensauflösung, wird der Rechner, der an erster Stelle der Reihenfolge steht, verwendet und dann an das Ende der Reihenfolge gesetzt. Für die nächste Namensauflösung wird nun »die neue Nummer 1« der Reihenfolge verwendet und dann ebenfalls ans Ende gestellt usw. Deshalb muss Round Robin aktiviert werden, um eine Lastverteilung bzw. ein redundantes System zu haben. Die Antwort B ist falsch, weil hier Round Robin deaktiviert wurde.
HILFE SERVER •
Suchbegriff »Subnetzpriorität AND DNS«
Kein direkter Verweis
75
Uwe P. betreut eine Windows 2000-Domäne. In dieser Domäne ist ein Windows 2000 Server mit der Bezeichnung AP-SYSTEMEROU1 verfügbar, der den Routing und RAS-Dienst ausführt. Alle Benutzer der Domäne können sich von ihren Windows 2000 Professional-Rechnern aus in das Netzwerk einwählen. In der Firma existiert eine Gruppe »Trainer«. Uwe P. möchte allen Mitgliedern dieser Gruppe erlauben, bei der Remoteauthentifizierung eine Smartcard zu verwenden. Die Einwählberechtigung ist für alle Benutzer der Gruppe »Trainer« auf »Zugriff über RAS-Richtlinien steuern« gesetzt. Er erstellt deshalb eine neue RAS-Richtlinie namens Trainerzugriff. Diese Richtlinie gewährt den Mitgliedern der Gruppe »Trainer« den Remotezugriff auf das Firmennetzwerk zu jeder beliebigen Tageszeit. Diese Richtlinie ist auf dem Rechner AP-SYSTEMEROU1 als erste Richtlinie in der RAS-Richtlinienliste eingetragen. Die Mitglieder der Gruppe »Trainer« können sich zwar ins Netzwerk einwählen, jedoch nicht die Smartcards zur Remoteauthentifizierung verwenden. Uwe P. möchte den Mitgliedern der Gruppe »Trainer« ihren Wunsch erfüllen und sicherstellen, dass diese in Zukunft Smartcards zur Remoteauthentifizierung verwenden können.
273
Lösungen zum MS-Prüfungsreport
Kapitel 4
Wie sollte er das realisieren? A
�
Er fügt den Rechner AP-SYSTEMEROU1 zur Gruppe »Prä-Windows 2000-kompatibler Zugriff« hinzu.
B
�
Er aktiviert EAP auf dem RAS-Server AP-SYSTEMEROU1 und auf den Windows 2000-RAS-Clients als Authentifizierungsmethode und aktiviert EAP im Profil der RAS-Richtlinie Trainerzugriff.
C
�
Er wählt für die Mitglieder der Gruppe »Trainer« die Option KENNWORT MIT REVERSIBLER VERSCHLÜSSELUNG speichern.
D
�
Er konfiguriert die Benutzerkonten aller Mitglieder der Gruppe »Trainer« so, dass ihnen für Delegierungszwecke vertraut wird. B
Die Verwendung von Smartcards zur Benutzerauthentifizierung ist die strengste Form der Authentifizierung in Windows 2000. Bei RAS-VPN-Verbindungen muss man EAP (Extensible Authentication Protocol) mit dem EAP-Typ Smartcard oder ein anderes Zertifikat (TLS) verwenden. Dieser wird auch als EAPTLS (EAP Transport Level Security) bezeichnet. Da eine Smartcard-Authentifizierung bei Windows 2000 das Protokoll EAP benötigt, scheiden alle Antworten außer Antwort B aus.
HILFE SERVER • •
EAP, Übersicht EAP-TLS, Smartcards
Kein direkter Verweis
76
Ihr Unternehmen, in dem Sie als Netzwerkadministrator tätig sind, verwendet DHCP, um die TCP/IP-Konfiguration der Windows 2000 Professional-Clients im Netzwerk zu automatisieren. Sie konfigurieren die Optionen zur Bereitstellung von Router- und DNS-Server-Informationen für die Clients und berücksichtigen spezifische Adressinformationen für einige Rechner in Ihrem Netzwerk. Diese Rechner benötigen Reservierungen im entsprechenden Adressbereich, die Sie ebenfalls bereitstellen. Ihr Internetdienstanbieter bringt einen neuen Router online, wodurch sich ebenfalls die Adresse Ihres Internetgateways ändert. Daraufhin konfigurieren Sie die Bereichsoptionen neu, um die neue Routeradresse zu berücksichtigen. Allerdings können die Benutzer der Rechner, die reservierte
274
Lösungen zum MS-Prüfungsreport
Adressen verwenden, auch nach einem Neustart der Rechner keine Verbindung zum Internet aufbauen. Was tun Sie, um dieses Problem zu lösen? (Wählen Sie zwei Antworten aus.) A
�
Sie verwenden auf jedem Client den Befehl ipconfig /release.
B
�
Sie verwenden auf jedem Client den Befehl ipconfig /renew.
C
�
Sie aktivieren in den Bereichsoptionen die Option ROUTERSUCHE FÜHREN.
DURCH-
D
�
Sie aktivieren in den Serveroptionen die Option ROUTERSUCHE FÜHREN.
DURCH-
E
�
Sie berücksichtigen die neuen Routerinformationen in der Optionskonfiguration jeder Adressreservierung. B und E
Die Antwort B ist richtig. Die DHCP-Bereichsoptionen wurden angepasst, die Clients haben jedoch die neue TCP/IP-Konfiguration vom DHCP-Server noch nicht erhalten. Mit dem Befehl ipconfig /renew gibt der DHCP-Client seine aktuelle Konfiguration frei und erneuert diese. Dabei erhält er die aktuellen Daten vom DHCP-Server. Die Antwort E ist auch richtig, weil die Optionen der Routerinformation für die reservierten Clients noch nicht angepasst wurden. Die Antwort A ist nicht richtig. Mit dem Befehl ipconfig /release wird die IP-Konfiguration freigegeben, es wird jedoch keine Erneuerung durchgeführt. Die Antworten C und D haben mit der Aufgabenstellung nichts zu tun und sind deshalb falsch.
HILFE SERVER • •
Problembehandlung, WINS Hilfe-Option (/?) des Kommandozeilenbefehls ipconfig Windows 2000 Netzwerkinfrastruktur-Administration, ISBN 3-86063-277-9
• •
ipconfig – Optionen, S. 276ff. Erstellen von Reservierungen, S. 285
77
Als Netzwerkadministrator Ihrer Firma verwalten Sie insbesondere die Router des Netzwerks. Ihr Internetdienstanbieter hat Ihrem Netzwerk die Netzwerkkennung 172.24.8.0/22 zugeordnet. Wenn andere Administratoren in Ihrer Firma IP-Adressen anfordern, weisen Sie ihnen Blöcke von IP-Adressen zu. Alle Router im Netzwerk verwenden als Routingprotokoll
275
Lösungen zum MS-Prüfungsreport
Kapitel 4
entweder OSPF oder RIP Version 2. Sie müssen zwei Subnetze erstellen. Jedes dieser Subnetze enthält ungefähr 75 Rechner. Die Gesamtanzahl der Rechner in diesen Subnetzen wird aller Voraussicht nach die Zahl von 75 nicht überschreiten. Um die Subnetze zu erstellen, möchten Sie in der Subnetzmaske eine möglichst spezifische Anzahl von Bits verwenden. Darüber hinaus wollen Sie die ersten zwei verfügbaren Netzwerkkennungsnummern verwenden. Klicken Sie für die beiden zu erstellenden Subnetze auf die Schaltfläche AUSWÄHLEN UND PLATZIEREN und ziehen Sie dann die korrekten Netzwerkkennungsnummern in die vorgesehenen Felder.
Kennungsnummern hier platzieren
Netzwerkkennungsnummern Auswahlmöglichkeiten 172.24.12.0/22 172.24.16.0/22
Router
172.24.24.0/22 172.24.8.128/25 172.24.9.0/25 172.24.16.0/25
Kennungsnummern hier platzieren
172.24.8.128/25 oben und 172.24.9.0/25 unten Das ist die nächste Rechenaufgabe. Für 75 Hosts benötigt man 7 Bits (27 = 128) im Hostanteil der Subnetmask. Damit bleiben 25 Bits (/25) für den Netzbereich übrig. Dementsprechend stehen nur die letzten drei Möglichkeiten zur Auswahl. Da man die ersten beiden Netze verwenden soll, scheidet die 172.24.16.0/ 25 auch aus.
HILFE SERVER •
Binärwerte konvertieren in Dezimalwerte
Kein direkter Verweis
276
Lösungen zum MS-Prüfungsreport
78
Kerstin betreut ein Windows 2000-Netzwerk, das wie im Diagramm dargestellt konfiguriert ist. 207.46.179.16 207.46.179.17 Internet
192.168.40.1
30 Windows 2000 Professional Rechner
Nürnberg Windows 2000 Server NAT München Windows 2000 Server 192.168.40.2
Der Windows 2000 Server in Nürnberg verfügt über eine ständige Kabelmodemverbindung zum Internet. Alle Rechner im Netzwerk sind für die Verwendung von APIPA konfiguriert. Im Netzwerk existiert kein DHCP-Server. Kerstin will allen Windows 2000 Professional-Rechnern den Zugang zum Internet über die Kabelmodemverbindung des Windows 2000 Servers in Nürnberg ermöglichen. Deshalb installiert und konfiguriert sie auf dem Windows 2000 Server in München NAT. Als IP-Adressen für das Netzwerk verwendet sie IP-Adressen aus dem Bereich 192.168.40.1 bis 192.168.40.50. Der Windows 2000 Server in Nürnberg verwendet die IP-Adresse 192.168.40.1. Der Windows 2000 Server in München fungiert als Webserver mit der IP-Adresse 192.168.40.2 und dem Standardgateway 192.168.40.1. Von Ihrem Internetdienstanbieter hat Kerstin zwei IP-Adressen (207.46.179.16 und 207.46.179.17) zugewiesen bekommen. Sie möchte Internetbenutzern, die sich außerhalb des internen Netzwerks befinden, die Möglichkeit geben, die IP-Adresse 207.46.179.17 zu verwenden, um über den NAT-Dienst des Windows 2000 Servers in Nürnberg auf die Ressourcen des Windows 2000 Servers in München zugreifen zu können. Wie konfiguriert Kerstin jetzt das Netzwerk? A
�
Kerstin konfiguriert an der privaten Schnittstelle des NAT-Routingprotokolls des Windows 2000 Servers in Nürnberg eine statische Route. Sie verwendet die Zieladresse 207.46.179.17, die Subnetzmaske 255.255. 255.255 und als Gateway-Adresse 192.168.40.2.
B
�
Kerstin konfiguriert an der LAN-Schnittstelle des Windows 2000 Servers in München eine statische Route und verwendet die Zieladresse 192.168.40.1, die Subnetzmaske 255.255.255.255 und als GatewayAdresse 207.46.179.17.
277
Lösungen zum MS-Prüfungsreport
Kapitel 4
C
�
Kerstin konfiguriert die LAN-Schnittstelle des Windows 2000 Servers in München für die Verwendung mehrerer IP-Adressen und ordnet der Schnittstelle die zusätzliche IP-Adresse 207.46.179.17 zu.
D
�
Kerstin konfiguriert die öffentliche Schnittstelle des NAT-Routingprotokolls des Windows 2000 Servers in Nürnberg für die Verwendung eines Adresspools mit der Startadresse 207.46.179.16 und der Subnetzmaske 255.255.255.254. Sie reserviert die öffentliche IP-Adresse 207.46.179.17 als private IP-Adresse von 192.168.40.2. D
Da die IP-Adresse 207.46.179.16 vom Internetprovider vergeben wurde, handelt es sich um eine öffentliche Adresse. Darum muss auch die öffentliche Schnittstelle des NAT-Routingprotokolls vom Server in Nürnberg mit der Startadresse 207.46.179.16 konfiguriert werden. Somit scheiden alle Antworten außer D aus. Des Weiteren wird durch die Reservierung der 207.46.179.17 erreicht, dass unter dieser IP-Adresse der Windows 2000 Server in München erreicht wird.
HILFE SERVER •
NAT, Übersicht Windows 2000 Netzwerkinfrastruktur-Administration, ISBN 3-86063-277-9
•
Eine oder mehrere öffentliche Adressen
79
Das Netzwerk der Firma SRS AG umfasst 100 Rechner, die als Netzwerkprotokoll NWLink IPX/SPX verwenden. Jürgen, der Administrator des Netzwerks, möchte in Zukunft als alleiniges Transportprotokoll TCP/IP verwenden, um damit Internetverbindungen herstellen zu können. Vom Internetdienstanbieter hat er die IP-Adresse 192.168.16.0/24 für das Netzwerk zugewiesen bekommen. Das Netzwerk umfasst zehn Subnetze mit jeweils mindestens zehn Hosts je Subnetz. Welche Subnetzmaske sollte Jürgen konfigurieren, um diese Anforderungen zu erfüllen?
A
�
255.255.255.0
B
�
255.255.255.192
C
�
255.255.255.224
278
Lösungen zum MS-Prüfungsreport
D
�
255.255.255.240
E
�
255.255.255.248 D
Das ist eine einfache Rechnung. Man muss das Netz in zehn Subnetze aufteilen. Dafür benötigt man 4 Bits (24 16) zusätzlich im Netzanteil. Man hat bereits eine Subnetmask mit »/24« bzw. 255.255.255.0. Zählt man nun 4 Bits zum Netzanteil hinzu, erhält man » /28« oder eben 255.255.255.240.
HILFE SERVER •
Binärwerte konvertieren in Dezimalwerte
Kein direkter Verweis
80
Otto S. betreut ein Windows 2000-Netzwerk, das ausschließlich Windows 2000 Server und Windows 2000 Professional-Rechner einsetzt. Er erstellt für die Mitarbeiter der Seminarabteilung eine IPSec-Richtlinie mit der Bezeichnung seminaresich. Die Unternehmensleitung befürchtet, dass die für die Verschlüsselung verwendeten Schlüssel gestohlen und dann zur Entschlüsselung späterer Datenübertragungen verwendet werden könnten. Otto S. soll die wiederholte Verwendung von Schlüsseln aus früheren Sitzungen verhindern und den dadurch bewirkten Leistungsabfall so gering wie möglich halten. Wie sollte Otto S. dies umsetzen?
A
�
Otto S. reduziert die Häufigkeit der Richtlinienüberprüfungen für die Aktualisierungen.
B
�
Otto S. ändert in den Eigenschaften Neuen Schlüssel alle die zugeordneten Zeitintervalle.
C
�
Otto S. aktiviert das Kontrollkästchen Hauptschlüssel für Perfect Forward Secrecy.
D
�
Otto S. aktiviert das Kontrollkästchen Sitzungsschlüssel für Perfect Forward Secrecy. D
279
Lösungen zum MS-Prüfungsreport
Kapitel 4
Perfect Forward Secrecy (PFS) legt den Zeitpunkt für die erneute Schlüsselgenerierung bei der verschlüsselten Übertragung mit IPSec fest. Es existiert PFS für Hauptschlüssel und für Sitzungsschlüssel. Für die Masterschlüssel-PFS ist eine erneute Authentifizierung notwendig, welche die Domänencontroller belastet, bei Sitzungsschlüssel-PFS ist dies nicht der Fall. Zum einen spricht die Aufgabenstellung von früheren Sitzungen, zum anderen benötigt die Sitzungsschlüsselgenerierung weniger Ressourcen und führt zu einem geringeren Leistungsabfall als die des Hauptschlüssels. Resultat dieser Ausführung ist die richtige Antwort D. Aufgrund der Belastung der Domänencontroller fällt die Antwort C weg. Einen neuen Schlüssel zu erstellen, wie in Antwort B beschrieben, führt auch nicht zum Ziel. Die Antwort A hat in keiner Weise etwas mit der Problemstellung zu tun.
HILFE SERVER •
Perfect Forward Secrecy
Kein direkter Verweis
81
Hans betreut ein Windows 2000-Netzwerk, das insgesamt über 1900 Hosts verfügt. Das Netzwerk erfordert eine Verbindung zum Internet. Die Internetverbindung ist als einzige Verbindung geroutet. Vom Internetdienstanbieter bekommt Hans für sein Netzwerk acht Netzwerkadressen zugewiesen: 192.30.32.0/24 192.30.33.0/24 192.30.34.0/24 192.30.35.0/24 192.30.36.0/24 192.30.37.0/24 192.30.38.0/24 192.30.39.0/24 Hans möchte zwar die Komplexität der Routingtabellen vermindern, jedoch für alle im Netzwerk befindlichen Hosts Internetverbindungen zur Verfügung stellen.
280
Lösungen zum MS-Prüfungsreport
Welche Subnetzmaske sollte er dazu verwenden? A
�
255.255.240.0
B
�
255.255.248.0
C
�
255.255.252.0
D
�
255.255.254.0
E
�
255.255.255.0 B
Wie viele Bits im Hostbereich der Subnetmask sind nötig, um 1900 Rechner zu adressieren? Man benötigt dafür 11 Bits (211 = 2048). Es bleiben 21 Bits für den Netzanteil übrig und das ergibt eine Subnetmask 255.255.248.0. Die Antwort B ist somit richtig. Das Zusammenfassen mehrerer Subnetze zu einem Netz bezeichnet man als Supernetting.
HILFE SERVER •
Binärwerte konvertieren in Dezimalwerte
Kein direkter Verweis
82
Franz F. betreut das Firmennetzwerk einer großen Firma. Das Netzwerk besteht aus einem Hauptsitz sowie zwei großen und zwei etwas kleineren Zweigstellen. Hauptsitz
T1
T1 ISDN
ISDN
Zweigstelle
Zweigstelle
Zweigstelle
Zweigstelle
281
Lösungen zum MS-Prüfungsreport
Kapitel 4
Die großen Zweigstellen sind mittels einer T1-Verbindung mit dem Hauptsitz verbunden, die kleineren Zweigstellen verwenden 128-Kbit/s-ISDNLeitungen und den Routing und RAS-Dienst, um mittels Internetverbindungen Verbindungen mit dem Netzwerk am Hauptsitz herzustellen. Franz F. möchte DNS einführen, um die Namensauflösung und damit verbunden den Zugriff auf Ressourcen zu vereinfachen. Seine Ziele sind im Einzelnen: • • • •
Der für die DNS-Namensauflösung notwendige Datenverkehr über die WAN-Strecken soll verringert werden. Der für die Replikation zwischen den DNS-Servern notwendige Datenverkehr über die WAN-Strecken soll verringert werden. Der Datenverkehr, der aufgrund der DNS-Replikation über die öffentlichen WAN-Strecken erfolgt, muss gesichert werden. Die Geschwindigkeit der Namensauflösung soll für alle Clients optimiert werden.
Er unternimmt folgende Schritte: • • • •
Er installiert in jeder Geschäftsstelle auf einem einzigen Domänencontroller den DNS-Serverdienst. Er erstellt in jeder Geschäftsstelle auf jedem DNS-Server eine Active Directory-integrierte Zone. Er konfiguriert die Clients für die Abfrage ihres lokalen DNS-Servers. Er konfiguriert die DNS-Zonen für die Unterstützung dynamischer Aktualisierungen.
Welches Ergebnis bzw. welche Ergebnisse werden durch diese Maßnahmen erzielt? (Wählen Sie alle zutreffenden Antworten aus.) A
�
Der für die DNS-Namensauflösung notwendige Datenverkehr über die WAN-Strecken wird verringert.
B
�
Der für die Replikation zwischen den DNS-Servern notwendige Datenverkehr über die WAN-Strecken wird verringert.
C
�
Der Datenverkehr, der aufgrund der DNS-Replikation über die öffentlichen WAN-Strecken erfolgt, wird gesichert.
D
�
Die Geschwindigkeit der Namensauflösung wird für alle Clients optimiert. A, C und D
An jedem Standort befindet sich ein DNS-Server und die Clients sind für den jeweiligen DNS-Server konfiguriert. Das bedeutet, dass die Namensauflösung lokal durchgeführt wird und der WAN-Verkehr dafür entfällt. Die LAN-Verbindungen sind schneller als WAN-Strecken, deshalb ist die Geschwindigkeit für die Namensauflösung optimiert. Aufgrund dieser Ausführungen sind die Antworten A und D richtig. Die Antwort C ist ebenfalls richtig. Bei Active Directory-integrierten
282
Lösungen zum MS-Prüfungsreport
Zonen wird der Zonentransfer innerhalb der Active Directory-Replikation durchgeführt. Er ist deshalb mit Kerberos verschlüsselt. Hier kann man von einer gesicherten Verbindung sprechen. Die Antwort B ist nicht richtig. Die Domänencontroller, auf denen die Active Directory-integrierten Zonen verwaltet werden, müssen die Änderungen per MultimasterReplikation an die anderen Domänencontroller über die WAN-Verbindungen übermitteln.
HILFE SERVER •
DNS-Server, Integrieren in Active Directory
Kein direkter Verweis
83
Angelika ist in der Zweigstelle Burghausen als Netzwerkadministratorin tätig. Burghausen ist ein Standort eines großen, renommierten Bildungsträgers mit dem Hauptsitz in Altötting. Der Standort Burghausen ist mit dem Unternehmensnetz über eine bidirektionale, bei Bedarf herzustellende Wählverbindung über ISDN verbunden. Die Rechner, die Verbindungen herstellen, sind Windows 2000 Server, auf denen Routing und RAS konfiguriert ist. Zusätzlich zu E-Mail und Anwendungsverkehr werden über diese Verbindung auch wichtige Unternehmensdaten übertragen. Angelika soll folgende Ziele durch eine Neukonfiguration erreichen: • • • • •
Alle Daten sollen gesichert über die Verbindung übertragen werden können. Nicht autorisierte Router sollen mit keinem der beiden Router Routerinformationen austauschen können. Beide Router sollen sich über die Verbindung gegenseitig bestätigen können. Beide Router sollen über die Verbindung aktuelle Routingtabellen verwalten. Während der Hauptarbeitszeit soll der Datenverkehr über die bei Bedarf herzustellende Verbindung minimiert werden.
Angelika unternimmt Folgendes: • • •
Sie aktiviert auf beiden Routing und RAS-Servern MS-CHAP als Authentifizierungsprotokoll. Sie aktiviert an den Schnittstellen für Wählen bei Bedarf OSPF. Sie legt auf beiden Routing und RAS-Servern in den Einstellungen für Erweiterte Sicherheit die Option DATENVERSCHLÜSSELUNG ERFORDERLICH fest.
283
Lösungen zum MS-Prüfungsreport
Kapitel 4
Welches Ergebnis bzw. welche Ergebnisse werden durch diese Maßnahmen erzielt? (Wählen Sie alle zutreffenden Antworten aus.) A
�
Sämtliche Daten werden sicher über die Verbindung übertragen.
B
�
Nicht autorisierte Router können mit keinem der beiden Router Routerinformationen austauschen.
C
�
Beide Router in der Verbindung können sich gegenseitig bestätigen.
D
�
Beide Router in der Verbindung verwalten aktuelle Routingtabellen.
E
�
Während der Hauptarbeitszeit wird der Verkehr über die bei Bedarf herzustellende Verbindung minimiert. A und D
Die Antwort A ist richtig. Mit der Option DATENVERSCHLÜSSEkann man von einer sicheren Datenübertragung ausgehen. Antwort D ist auch richtig. Durch das Aktivieren des Routingprotokolls OSPF aktualisieren die Router ihre Routingtabellen automatisch. Es sei aber noch anzumerken, dass OSPF für größere Netze (ab 50 Router) gedacht ist. LUNG ERFORDERLICH
Die Antworten B und C sind falsch. Es wurde keine Authentifizierung für die Router konfiguriert. Damit scheiden diese Antworten aus. Die Antwort E ist auch falsch. Da kein Zeitplan und keine Filter eingestellt sind, wird der Datenverkehr nicht minimiert.
HILFE SERVER •
OSPF, Übersicht Windows 2000 Netzwerkinfrastruktur-Administration, ISBN 3-86063-277-9
•
Routingprotokolle, S. 53
84
Hans-Jörg betreut ein Windows 2000-Netzwerk. Der interne DNS-Server befindet sich hinter einer Firewall. Er testet den DNS-Server unter Verwendung der Registerkarte ÜBERWACHEN des Servers. Der DNS-Server besteht den einfachen Test, der rekursive Test schlägt jedoch fehl. Was sollte Hans-Jörg unternehmen, um das Problem zu lösen?
A
�
Er führt den Befehl ipconfig /registerdns aus.
B
�
Er löscht die Datei %Systemroot%\system32\dns\cache.dns.
284
Lösungen zum MS-Prüfungsreport
C
�
Er kopiert die Datei %Systemroot%\system32\dns\sample\cache.dns in die Datei %Systemroot%\system32\dns\cache.dns.
D
�
Er erstellt für die Stammzone eine Forward-Lookupzone und gibt dieser den Namen ».«.
E
�
Er erstellt eine Reverse-Lookupzone für das Subnetz, in dem die Ressourceneinträge für den primären Namensserver gefunden werden können. D
Die Antwort D ist richtig. Beim einfachen Test versucht der DNS-Server, einen Namen mit seinen eigenen Einträgen aufzulösen. Beim rekursiven Test versucht er, einen Root-DNS-Server zu erreichen. Wenn man am DNS-Server eine Zone mit dem Punkt als Zonennamen erstellt, sieht dieser sich selbst als RootServer. Er kann damit den rekursiven Test erfolgreich abschließen. Bei Antwort A würde sich der DNS-Server bei sich selbst eintragen, dieser Lösungsvorschlag ist also falsch. Die Antwort B ist auch falsch, weil in der Datei cache.dns die Einträge für die Root-Server stehen. Wenn diese Datei gelöscht ist, werden keine Root-Server gefunden. Antwort C ist Unsinn – eine Datei in eine Datei zu kopieren, bringt hier nichts. Die Antwort E ist auch nicht richtig. Für den Namensserver existiert mit den Standardeinstellungen immer eine Reverse-Lookup-Zone.
HILFE SERVER •
DNS-Server, Problembehandlung
Kein direkter Verweis
85
Kerstin betreut am Firmenhauptsitz in Nürnberg das Windows 2000Netzwerk. Das Unternehmen besitzt drei weitere Standorte, die über Windows 2000-basierte Router mit dem Sitz in Nürnberg verbunden sind. Das Netzwerk ist wie im folgenden Diagramm dargestellt konfiguriert: München
Passau
Nürnberg
Kronach
Jeden Freitag findet in Nürnberg eine Multicast-Videovorführung statt, die an die Standorte übertragen wird. Zusätzlich übernimmt Nürnberg die Hostfunktion von Multicast-Videovorführungen, die ausschließlich für die
285
Lösungen zum MS-Prüfungsreport
Kapitel 4
Mitarbeiter der Seminarentwicklung in den Standorten Nürnberg und Kronach bestimmt sind. Kerstin soll sicherstellen, dass diese für die Mitarbeiter der Seminarentwicklung bestimmten Multicast-Videovorführungen nicht an die anderen Standorte Passau und München gesendet werden. Kerstin ordnet spezifische IP-Multicast-Adressen zu, die mit den für die Seminarentwicklung bestimmten Multicast-Videovorführungen verwendet werden. Wie sollte Kerstin das Netzwerk konfigurieren, um zu verhindern, dass die für die Mitarbeiter der Seminarentwicklung bestimmten Multicast-Videovorführungen an die Standorte in München und Passau weitergeleitet werden? A
�
Sie konfiguriert an den München- und Passau-Schnittstellen des Nürnberger Routers eine Multicast-Bereichsgrenze für die IP-Multicast-Adressen der Seminarentwicklung.
B
�
Sie konfiguriert die DHCP-Server und stellt einen Multicast-Bereich für die IP-Multicast-Adressen der Seminarentwicklung bereit. Des Weiteren konfiguriert sie den Adressbereich an den Standorten München und Passau und verwendet als Gültigkeitsdauer den Wert 0. Für die Standorte Nürnberg und Kronach verwendet sie die standardmäßige Multicast-TTL.
C
�
Sie konfiguriert die Netzwerkverbindungen zu den Standorten München und Passau für die Verwendung der TCP/IP-Filterung und lässt keinen Netzwerkverkehr mit IP-Multicast-Adressen zu.
D
�
Sie konfiguriert auf dem zentralen Router eine statische Route für die IPMulticast-Adressen der Seminarentwicklung und verwendet die RouterIP-Adresse am Standort Kronach als Gateway für diese statische Route. A
Die Antwort A ist richtig. Mit Multicast-Bereichsgrenzen wird festgelegt, ab welchem Punkt eine Multicast-Adresse verworfen wird. Der Nürnberger Router sendet die Pakete noch an die Schnittstellen von München und Passau, dort werden die Pakete allerdings verworfen. Die Antwort B ist falsch. DHCP-Multicast-Bereiche haben mit der Aufgabe nichts zu tun. Mit der Antwort C würde in München und Passau überhaupt keine MulticastFunktion realisiert. Daher ist dieser Lösungsvorschlag auch falsch. Die Konfiguration einer statischen Route, wie in Antwort D vorgeschlagen, entspricht in keinerlei Hinsicht der Themenstellung.
HILFE SERVER •
Multicast-Bereiche, Adressbereich
Kein direkter Verweis
286
Lösungen zum MS-Prüfungsreport
86
Hans-Jörg betreut ein Windows 2000-Netzwerk. Das Netzwerk besteht ausschließlich aus Windows 2000-Rechnern, einem Windows 2000basierten DHCP-Server, zwei Routern und 100 Windows 2000 Professional-Rechnern. Die Windows 2000 Professional-Clients sind über vier Segmente verteilt. Die gesamte TCP/IP-Konfiguration der Clients wird durch einen DHCP-Server durchgeführt. Der DHCP-Server hat hierzu vier Adressbereiche und steht selbst im Subnetz C. Die Router leiten die DHCP-Anforderungen der Windows 2000 Professional-Rechner nicht weiter. Jeder Router verfügt über drei Schnittstellen. Sie möchten den DHCP-Relay-Agenten aktivieren und konfigurieren, um es allen Windows 2000 Professional-Rechnern zu ermöglichen, eine IP-Adresse vom DHCPServer zu beziehen. An welchen Schnittstellen müssen Sie den DHCP-Relay-Agenten aktivieren bzw. konfigurieren. (Klicken Sie zur Beantwortung dieser Frage auf die Schaltfläche AUSWÄHLEN UND PLATZIEREN und ziehen Sie dann das Kästchen an die betreffenden Routerschnittstellen. Das Kästchen kann mehr als einmal verwendet werden.)
A B 25 Windows 2000 Professional
D
25 Windows 2000 Professional
Router
20 Windows 2000 Professional
Router
C
DHCP-Server mit vier Bereichen
Schnittstelle mit DHCP-Relay-Agent
A, B und D
287
20 Windows 2000 Professional
Lösungen zum MS-Prüfungsreport
Kapitel 4
Hier stellt sich wieder ein altbekanntes Problem dar. Wie schafft man es, dass ein DHCP-Server, der sich in einem anderen Subnetz als ein anfordernder DHCP-Client befindet, meldet und auch IP-Adressen an die Clients vergeben kann? Bei allen Varianten dieser Fragestellung sollte man sich immer Folgendes vor Augen halten: Ein Router im Sinne dieser oder ähnlicher Fragestellungen ist ein Rechner mit mehreren Netzwerkkarten. Diese Router sollten entweder RFC 1542-kompatibel sein oder BOOTP unterstützen, um einem Client auch eine IP-Adresse durchreichen zu können. Wenn dies nicht der Fall ist, dann muss auf diesem Router der DHCP-Relay-Agent installiert werden. Im obigen Fall können Sie das Subnetz C außer Acht lassen, da sich der DHCP-Server genau in diesem Subnetz befindet. Also müssen Sie nur für die anderen Subnetze die Erreichbarkeit des DHCP-Servers sicherstellen. Im vorliegenden Fall müssen Sie auf dem Router den DHCP-Relay-Agenten für die Subnetze A, B und D aktivieren.
HILFE SERVER •
DHCP-Relay-Agent, Übersicht Windows 2000 Netzwerkinfrastruktur-Administration, ISBN 3-86063-277-9
•
DHCP-Relay-Agent, S. 277
87
Claudius installiert und konfiguriert im Netzwerk der Firma MVS Michael Völk Systemberatung einen neuen Windows 2000 Server. Das Netzwerk besteht aus Windows 2000 Servern und Novell NetWare 4.1 Servern in zwei separaten Subnetzen. Novell NetWare 4.1 Server
Windows 2000 Server
Windows 2000 Server
Windows-basierte Clients
288
NetWare-Clients
Lösungen zum MS-Prüfungsreport
Im Subnetz 1 soll dieser neue Rechner Datei- und Druckdienste für die Windows-basierten Clients bereitstellen, die alle mit TCP/IP als Netzwerktransportprotokoll arbeiten. Zusätzlich soll dieser neue Server für das Subnetz 2 Anwendungsdienste für die Novell NetWare-Clients bereitstellen, die jedoch als Netzwerktransportprotokoll ausschließlich NWLink IPX/SPX verwenden. Aufgrund dieser Aufgabengebiete verfügt der neue Server, den Claudius konfiguriert, über zwei Netzwerkkarten. Claudius muss den Server so konfigurieren, dass er seine Aufgaben in beiden Subnetzen wahrnehmen kann, ohne jedoch als Router zwischen Subnetz 1 und Subnetz 2 zu fungieren. Claudius möchte die Netzwerkleistung des Windows 2000 Servers optimieren und eine möglichst kurze Reaktionszeit für Server- und Clientdienste gewährleisten. Was sollte Claudius tun? (Wählen Sie zwei Antworten aus.) A
�
Er konfiguriert die Netzwerkbindungen auf dem Windows 2000 Server und bindet TCP/IP getrennt nur an dem mit Subnetz 1 verbundenen Adapter.
B
�
Er konfiguriert die Netzwerkbindungen auf dem Windows 2000 Server und bindet NWLINK IPX/SPX getrennt nur an dem mit Subnetz 1 verbundenen Adapter.
C
�
Er konfiguriert die Netzwerkbindungen auf dem Windows 2000 Server und bindet TCP/IP getrennt nur an dem mit Subnetz 2 verbundenen Adapter.
D
�
Er konfiguriert die Netzwerkbindungen auf dem Windows 2000 Server und bindet NWLINK IPX/SPX getrennt nur an dem mit Subnetz 2 verbundenen Adapter.
E
�
Er konfiguriert auf dem Windows 2000 Server für jedes Subnetz eine eindeutige interne Netzwerknummer. A und D
Richtige Antworten sind A und D. Im linken Subnetz sollen die Windows 2000-Rechner nur mit TCP/IP arbeiten, während im rechten Subnetz die Rechner nur mit IPX/SPX konfiguriert sein sollen. Dadurch scheiden die Antworten B und C aus. Die Antwort E ist auch falsch, da eine interne Netzwerknummer bei TCP/IP nicht vergeben werden kann.
HILFE SERVER Kein direkter Verweis
Kein direkter Verweis
289
Lösungen zum MS-Prüfungsreport
Kapitel 4
88
Hans konfiguriert das Netzwerk, das er als Administrator betreut, für die Verwendung einer SNMP-Verwaltungsanwendung. MVSSRV1
MVSSRV2
MVSSRV3
Router
MVSSRV5
MVSSRV6
172.16.64.1 mcseausbildung.de 172.16.196.1 mvspress.de
MVSSRV4
Adresse: 172.16.64.32 Maske: 255.255.224.0 Gateway: 172.16.64.1 Community: mcseausbildung
MVSSRV8
MVSSRV7
Adresse: 172.16.96.2 Maske: 255.255.224.0 Gateway: 172.16.96.1 Community: mvspress
Die SNMP-Verwaltungsanwendung wurde auf dem Server MVSSRV8 installiert. Mit der Anwendung können alle Rechner verwaltet werden, mit Ausnahme der Server, die sich in der Domäne mcseausbildung.de befinden. Alle Server in dieser Domäne verfügen über identische SNMPEinstellungen. Hans muss die Verwaltung sämtlicher Rechner mit der SNMP-Verwaltungssoftware durchführen können. Was sollte er tun? A
�
Hans bindet die Server MVSSRV1, MVSSRV2, MVSSRV3 und MVSSRV4 an die Domäne mvspress.de.
B
�
Hans richtet eine Vertrauensstellung ein, die es der Domäne mcseausbildung.de erlaubt, der Domäne mvspress.de zu vertrauen.
C
�
Hans konfiguriert bei allen Servern den gleichen Community-Namen.
D
�
Hans setzt die Eigenschaft Authentifizierungstrap senden bei allen Servern der Domäne mcseausbildung.de auf 172.16.96.1. C
290
Lösungen zum MS-Prüfungsreport
Jeder SNMP-Verwaltungshost und -agent gehört zu einer SNMP-Community. Eine Community ist eine Auflistung von Hosts, die zu administrativen Zwecken zu einer Gruppe zusammengefasst wurden/werden. Üblicherweise wird durch die physikalische Nähe der Computer bestimmt, zu welcher Community sie gehören. Community-Namen können vom Administrator festgelegt werden. Ein Community-Name ist wie ein Kennwort, welches von den SNMP-Verwaltungskonsolen und den verwalteten Computern verwendet wird. Achtung! Dieser Name wird als Klartext übertragen, sollte also z.B. durch IP-Sicherheit geschützt werden. Zwischen Community- und Domänennamen bestehen jedoch keine Beziehungen. Deshalb ist C die richtige Antwort. Die Antwort A ist nicht richtig, weil Hans die Zugehörigkeit der Rechner zu den Domänen nicht verändern soll oder will. Die Antwort B ist nicht richtig, weil dieser Vorschlag nicht das Problem der unterschiedlichen Community-Namen behebt. Die Antwort D ist nicht richtig, weil mithilfe von Traps nur eine Sicherheitsüberprüfung durchgeführt werden kann.
HILFE SERVER •
SNMP-Dienst, Sicherheit konfigurieren
Kein direkter Verweis
89
Albert P. administriert ein Windows 2000-Netzwerk, das aus dem Hauptsitz und einer Zweigstelle besteht. Die Verbindung der Standorte erfolgt über eine geleaste 128 Kbit/s-ISDN-Leitung. Albert P. installiert und konfiguriert an jedem Standort einen eigenständigen Windows 2000 Server, der den Routing und RAS-Dienst ausführt, um bei Bedarf eine Wählverbindung bereitstellen zu können. Albert P. möchte den Verkehr über die ISDN-Leitung verschlüsseln und unnötige Verbindungen verhindern. Wie sollte Albert P. vorgehen?
A
�
Er konfiguriert eine PPTP-Wählverbindung, die bei Bedarf aufgebaut werden kann, um die beiden Standorte über die geleaste ISDN-Leitung zu verbinden, und stellt sicher, dass die Datenverschlüsselung aktiviert ist. Zusätzlich definiert er die Filter für Wählen bei Bedarf und legt fest, dass NetBIOS-Broadcastverkehr nicht zugelassen wird.
B
�
Er konfiguriert eine PPTP-Wählverbindung, die bei Bedarf aufgebaut werden kann, um die beiden Standorte über die geleaste ISDN-Leitung zu ver-
291
Lösungen zum MS-Prüfungsreport
Kapitel 4
binden, und stellt sicher, dass die Datenverschlüsselung aktiviert ist. Zusätzlich definiert er die Filter für Wählen bei Bedarf und legt fest, dass Remoteprozeduraufruf-Verkehr nicht zugelassen wird. C
�
Er konfiguriert eine L2TP-Wählverbindung, die bei Bedarf aufgebaut werden kann, um die beiden Standorte über die geleaste ISDN-Leitung zu verbinden, und konfiguriert Filter für »eingehend« und »ausgehend« und legt fest, dass kein NetBIOS-Broadcastverkehr zugelassen wird.
D
�
Er konfiguriert eine L2TP-Wählverbindung, die bei Bedarf aufgebaut werden kann, um die beiden Standorte über die geleaste ISDN-Leitung zu verbinden, und konfiguriert Filter in der Filterliste für Wählen bei Bedarf und legt fest, dass kein Remoteprozeduraufruf-Verkehr zugelassen wird. A
Die Antwort A ist richtig. In diesem Lösungsvorschlag ist die Vorgehensweise korrekt beschrieben. Der NetBIOS-Broadcast muss unterbunden werden, da sonst ständig Wählen bei Bedarf initiiert wird. Die Antwort B ist falsch. Diese Lösung ist ähnlich wie bei Antwort A. Hier wird allerdings der Remote Procedure Call (RPC) gefiltert. Damit wäre ein Verbindungsaufbau zwischen den Computern grundsätzlich nicht möglich. Die Antworten C und D sind auch nicht richtig. In diesen Antworten fehlt die Datenverschlüsselung. L2TP kann Daten verschlüsseln, dies muss allerdings auch konfiguriert werden.
HILFE SERVER •
Wählen bei Bedarf, Routing, Übersicht
Kein direkter Verweis
90
Kerstin betreut ein Windows 2000-Netzwerk, das aus 100 Windows 2000 Professional-Rechnern und den Windows 2000 Servern MVSSRV1 und MVSSRV2 besteht. MVSSRV1 verfügt über eine ständige Kabelmodemverbindung zum Internet. Die gesamten Rechner im Netzwerk sind für die Verwendung von APIPA konfiguriert. Im Netzwerk existiert kein DHCPServer. Kerstin will allen Windows 2000 Professional-Rechnern den Zugang zum Internet über die Kabelmodemverbindung von MVSSRV1 ermöglichen. Deshalb installiert und konfiguriert sie auf MVSSRV1 das Routingprotokoll für die Netzwerkadressübersetzung.
292
Lösungen zum MS-Prüfungsreport
Als IP-Adressen für das Netzwerk verwendet sie IP-Adressen aus dem Bereich 172.20.20.1 bis 172.20.20.150. MVSSRV1 verwendet die IPAdresse 172.20.20.1. MVSSRV2 fungiert als Webserver mit der IPAdresse 172.20.20.2 und dem Standardgateway 172.20.20.1. Kerstin möchte Internetbenutzern, die sich außerhalb des internen Netzwerks befinden, die Möglichkeit geben, über die auf MVSSRV1 installierte Netzwerkadressübersetzung auf die Ressourcen von MVSSRV2 zugreifen zu können. Wie sollte Kerstin das Netzwerk konfigurieren, um dieses Ziel zu erreichen? A
�
Sie konfiguriert das NAT-Routingprotokoll und ermöglicht den Einsatz einer Netzwerkanwendung. Kerstin gibt Webserver als Name der Anwendung an und verwendet die Webportnummer als Portnummer des Remoteservers.
B
�
Kerstin konfiguriert die öffentliche Schnittstelle des NAT-Routingprotokolls für die Verwendung eines Adresspools mit der Startadresse 172.20.20.2.
C
�
Kerstin konfiguriert die öffentliche Schnittstelle des NAT-Routingprotokolls für die Verwendung eines speziellen Ports, der dem Webserverport und der IP-Adresse 172.20.20.2 zugeordnet ist.
D
�
Kerstin konfiguriert für MVSSRV1 an der privaten Schnittstelle eine statische Route und verwendet die Zieladresse 172.20.20.2, die Subnetzmaske 255.255.255.255 und als Gateway 172.20.20.1. C
Antwort C ist richtig, hier wird der genaue Weg zur Erstellung einer statischen Adresszuordnung bei NAT beschrieben. Bei der statischen Zuordnung wird die öffentliche IP-Adresse und der Port (hier 80 für HTTP) der privaten IP-Adresse und dem Port 80 zugeordnet. Die Antwort A ist falsch, da »Webserver« nicht der Name einer Anwendung ist. Die Antwort B ist auch falsch. Die öffentliche Schnittstelle wird hier nicht mit einem Adresspool konfiguriert. Die Antwort D stimmt ebenso wenig, da in dieser Aufgabe die öffentliche Schnittstelle konfiguriert werden muss.
HILFE SERVER •
NAT, Planungsaspekte
Statische und dynamische Adresszuordnung, S. 360
293
Lösungen zum MS-Prüfungsreport
Kapitel 4
91
Carlo betreut ein Netzwerk, das aus sechs Windows 2000 Servern, 450 Windows 2000 Professional-Rechnern und 300 Windows NT 4.0-Arbeitsstationen besteht. Drei der Windows 2000 Server werden als DHCP-Server eingesetzt. Die restlichen Windows 2000 Server fungieren als DNSServer. Sämtliche TCP/IP-Konfigurationseinstellungen der Clients werden durch die DHCP-Server verwaltet. Aus Sicherheitsgründen verwaltet jeder DHCP-Server auch die Bereiche der anderen zwei DHCP-Server. Carlo konfiguriert die DHCP-Server und legt fest, dass Clientinformationen grundsätzlich auf den konfigurierten DNS-Servern registriert und auch aktualisiert werden. Wiederum aus Sicherheitsgründen legt Carlo fest, dass nur sichere Aktualisierungen auf den DNS-Servern zugelassen werden. Nach Durchführung dieser DNS-Zonenkonfiguration stellt Carlo fest, dass die Clientinformationen in den DNS-Zonen nicht mehr aktualisiert werden, wenn IP-Adressänderungen für die Windows 2000 Professional- und Windows NT 4.0-Arbeitsstationen erfolgen. Carlo möchte, dass IP-Adressänderungen für die Clients in DNS-Zonen, die nur sichere Aktualisierungen zulassen, korrekt angezeigt werden. Wie sollte Carlo vorgehen, um das Problem zu beseitigen?
A
�
Er fügt die Computerkonten der drei DHCP-Server zur globalen Sicherheitsgruppe »DNSUpdateProxy« hinzu.
B
�
Er konfiguriert die drei DNS-Server und legt hierbei fest, dass für Ressourceneinträge ein Gültigkeitsdauer-Intervall verwendet wird, das kürzer ist als die von den DHCP-Servern eingestellte Leasedauer.
C
�
Er konfiguriert die drei DNS-Server und legt fest, dass Aktualisierungen für die DNS-Clients, die keine dynamische Aktualisierung unterstützen, durchgeführt werden.
D
�
Er konfiguriert die DHCP-Einstellungen auf allen Clients, um zu verhindern, dass DHCP beim Herunterfahren freigegeben wird. A
Wie in der Aufgabenstellung beschrieben, führen die DHCP-Server alle sicheren, dynamischen Aktualisierungen für die Clients durch, die diese Funktion nicht unterstützen (z.B. NT 4.0). Bei dieser Gelegenheit wird jedoch der DHCP-Server, der den ersten Eintrag durchgeführt hat, zum Besitzer des FQDNNamens. Danach kann nur noch dieser DHCP-Server Aktualisierungen für diesen Namen durchführen. Deshalb sollten die DHCP-Server, welche sichere dynamische Aktualisierungen durchführen, einer speziellen Sicherheitsgruppe »DNSUpdateProxy« hinzugefügt werden, wie in Lösungsvorschlag A beschrieben. Objekte, die von einem Mitglied dieser Gruppe in DNS eingefügt wurden, verfügen über keine Sicherheit. Somit kann jeder authentifizierte Benutzer von diesen Objekten Besitz ergreifen.
294
Lösungen zum MS-Prüfungsreport
Dass bei dieser Aufgabenstellung auch die Windows 2000 Professional-Rechner betroffen sind, welche die dynamische Aktualisierung selbst durchführen könnten, kann nur an der Konfiguration liegen. Dabei wurde festgelegt, dass die Aktualisierungen vom DHCP-Server durchgeführt werden sollen. Achtung! Wenn ein DHCP-Server auf einem Domänencontroller installiert wurde, darf dieser nicht zur Gruppe »DNSUpdateProxy« hinzugefügt werden, da sonst jeder Benutzer oder Computer Vollzugriff auf die vom DHCP-Server durchgeführten Einträge hätte. Die Antwort B bezieht sich nicht auf die Fragestellung. Lösungsvorschlag C scheidet aus, weil auch Windows 2000-Rechner betroffen sind, und DHCP kann auf einem Client nicht freigegeben werden (Antwort D).
HILFE SERVER • •
DHCP, Übersicht Suchbegriff »DNSUpdateProxy«, Titel: »Verwenden von DNS-Servern mit DHCP«
Kein direkter Verweis
92
Claudius betreut die sechs WINS-Server und zwei DHCP-Server in einem Windows 2000-Netzwerk. In Zusammenhang mit der bevorstehenden Migration von WINS zu DNS entschließt sich Claudius, den WINS-Server MVSWIN99 aus dem Netzwerk zu entfernen. Er führt folgende Aktionen durch: • •
•
•
Er beendet auf MVSWIN99 den WINS-Dienst und deinstalliert WINS. Er passt auf den DHCP-Servern die Optionen an, um MVSWIN99 nicht mehr als WINS-Server anzugeben. Danach konfiguriert er die DHCPOptionen und legt hierbei fest, dass an der Stelle von MVSWIN99 die anderen fünf WINS-Server gleichmäßig eingesetzt werden. Er konfiguriert die WINS-Clients, die über eine manuelle IP-Konfiguration verfügen, und stellt dort ein, dass MVSWIN99 nicht mehr als WINS-Server zu verwenden ist. Stattdessen konfiguriert er diese Clients für Verwendung der anderen fünf WINS-Server. Er löscht auf einem der verbleibenden WINS-Server die statischen Zuordnungen, die ursprünglich auf MVSWIN99 vorgenommen wurden.
Nach einiger Zeit bemerkt Claudius, dass die ursprünglich auf MVSWIN99 vorgenommenen Zuordnungen auf allen verbliebenen WINS-Servern immer noch vorhanden sind.
295
Lösungen zum MS-Prüfungsreport
Kapitel 4
Was sollte Claudius unternehmen, um diese unerwünschten statischen Zuordnungen endgültig von den verbleibenden WINS-Servern zu entfernen? A
�
Er verwendet in der WINS-Konsole auf den verbleibenden WINS-Servern den Befehl Datenbank aufräumen.
B
�
Er führt auf den verbleibenden WINS-Servern eine Offline-Komprimierung der WINS-Datenbank durch.
C
�
Er konfiguriert die verbleibenden WINS-Server und verwendet die Option MIGRIEREN, um die statischen Einträge zu behandeln.
D
�
Er markiert auf einem der verbleibenden WINS-Server den MVSWIN99Besitzer in der Datenbank manuell als veraltet. D
Die Antwort D ist richtig. Ein WINS-Server, der vom Netz genommen wird, hat ja noch die Einträge als Besitzer der WINS-Clients. Die anderen WINS-Server können deshalb die Clients nicht aus ihrer Datenbank löschen. Man muss an einem WINS-Server die Besitzereinträge als veraltet markieren, dann wird bei der nächsten Replikation der WINS-Server diese Zuordnung auch an die anderen WINS-Server übergeben. Bei Erreichen des Alterungszeitlimits werden diese schließlich aus der Datenbank entfernt. Aufgrund dieser Ausführungen kann nur die Antwort D richtig sein, weil nur hier der richtige Schritt eingeleitet wird. Die anderen Lösungsvorschläge stehen in keinerlei Zusammenhang mit der Problemstellung bzw. -lösung.
HILFE SERVER •
WINS-Server, Übersicht
Kein direkter Verweis
93
David plant das neue WAN eines Unternehmens. Das Netzwerk besteht derzeit aus 50 Windows 2000 Servern, 2500 Windows 2000 ProfessionalRechnern, 2000 Windows 98-Rechnern und 50 UNIX-Servern. Die Windows-Umgebung besteht aus einer einzigen Windows 2000-Domäne. Die Netzwerkbenutzer speichern ihre Daten derzeit sowohl auf ihren Clientrechnern als auch auf den Servern ab. Dies geschieht nach Meinung der Benutzer, um die Daten in den verschiedenen Abteilungen gemeinsam nutzen zu können. Das physische Netzwerk besteht aus fünf Subnetzen, die die Rechner enthalten, und einem sechsten Subnetz, das zwei BOOTPRouter wie nachfolgend dargestellt verbindet.
296
Lösungen zum MS-Prüfungsreport
Subnetz 2
Subnetz 4
Router1
Subnetz 1
Subnetz 6
Subnetz 3
Subnetz 5
Derzeit wird im Netzwerk keine Internetverbindung benötigt. David entschließt sich, die reservierte Netzwerkadresse 172.16.0.0 einzusetzen, und verwendet DHCP, um die TCP/IP-Konfiguration sämtlicher Clients zu automatisieren. Lediglich auf den Servern wird TCP/IP statisch konfiguriert. David möchte im Einzelnen die folgenden Ziele erreichen: • • • •
Alle Benutzer sollen auf die Ressourcen sämtlicher Server zugreifen können. Alle Benutzer sollen auf die Ressourcen aller Clients zugreifen können. Der Netzwerkverkehr zwischen den Subnetzen soll reduziert werden. Das Netzwerk soll im Laufe des nächsten Jahres mit minimaler Neukonfiguration der physischen Struktur ein Wachstum von bis zu 100% bewältigen können.
David unternimmt folgende Konfigurationsschritte: • • • •
• • •
Er positioniert alle Windows 2000 Server im Subnetz 1. Er positioniert alle UNIX-Server im Subnetz 2. Er verteilt die Clients gleichmäßig auf die Subnetze 3, 4 und 5. Er installiert den DHCP-Server-Dienst auf einem der Windows 2000 Server im Subnetz 1 und konfiguriert für jedes Subnetz einen Adressbereich, einschließlich eines vollständigen IP-Adressbereichs, eines Standardgateways und der DNS-Einstellungen. Er konfiguriert einen Windows 2000 Server als DNS-Server. Er konfiguriert alle Windows-Clients für die Verwendung von DHCP. Er teilt den Netzwerkadressraum mit der Subnetzmaske 255.255. 248.0 in Subnetze auf.
297
Lösungen zum MS-Prüfungsreport
Kapitel 4
Welches Ergebnis bzw. welche Ergebnisse werden durch Davids Maßnahmen erzielt? (Wählen Sie alle zutreffenden Antworten aus.) A
�
Sämtliche Benutzer erhalten Zugriff auf die Ressourcen sämtlicher Server.
B
�
Alle Benutzer können auf die Ressourcen sämtlicher Clients zugreifen.
C
�
Der Netzwerkverkehr zwischen den Subnetzen wird reduziert.
D
�
Das Netzwerk kann im Laufe des nächsten Jahres mit minimaler Neukonfiguration der physischen Struktur ein Wachstum von bis zu 100% bewältigen. D
Die Antwort D ist richtig. Mit der Subnetmask 255.255.248.0 können 32 Subnetze mit je 2046 Hosts realisiert werden. Die Antworten A und B sind falsch. Von den Servern und Clients sind nur die Windows 2000-Rechner in der Lage, sich dynamisch beim DNS-Server einzutragen, vorausgesetzt, beim Server wurde die dynamische Aktualisierung zugelassen. Es wird auch nicht angesprochen, dass der DHCP-Server konfiguriert wurde, um die Einträge für die Clients beim DNS-Server vorzunehmen. Selbst dann würden die Einträge der UNIX-Server fehlen, die nicht vom DHCP-Server ihre IP-Konfiguration erhalten. Die Antwort C ist auch falsch. Da die Server und Clients in unterschiedliche Subnetze verteilt wurden, steigt der Netzverkehr zwischen den Subnetzen.
HILFE SERVER • • •
DHCP, Übersicht WINS, Übersicht DNS, Übersicht
Kein direkter Verweis
94
Robert G. betreut ein Windows 2000-Netzwerk, das aus 15 Windows 2000 Servern und 200 Windows 2000 Professional-Rechnern besteht. Die 200 Außendienstmitarbeiter der Firma verfügen jeweils über ein Notebook, auf dem ebenfalls Windows 2000 Professional installiert ist. Diese setzen die Notebooks häufig an Orten ein, die nicht ans Netzwerk angeschlossen sind. Die komplette TCP/IP-Konfiguration aller Windows 2000 Professional-Rechner übernehmen zwei DHCP-Server im Netzwerk. Robert G. möchte für die Desktoprechner und die Notebooks unterschiedliche DHCP-Leasezeiten konfigurieren. Alle Desktoprechner sollen die Standard-Leasedauer erhalten und für die Notebooks soll eine Leasedauer von vier Stunden gelten.
298
Lösungen zum MS-Prüfungsreport
Welche drei Tätigkeiten sollte Robert G. zur Verwirklichung dieses Wunsches ausführen? (Wählen Sie drei Antworten aus.) A
�
Robert G. setzt auf den Notebooks die Einstellung DHCP-Klassenkennung auf Tragbare Windows 2000-Computer.
B
�
Robert G. setzt auf den Notebooks die Einstellung DHCP-Klassenkennung auf Windows 2000-Optionen.
C
�
Robert G. konfiguriert auf den Notebooks manuell eine DHCP-Leasedauer von vier Stunden und lässt alle weiteren TCP/IP-Parameter über DHCP konfigurieren.
D
�
Robert G. konfiguriert den Adressbereich auf den DHCP-Servern und lässt den Wert für die Leasedauer frei.
E
�
Robert G. definiert auf den DHCP-Servern eine neue Benutzerklasse mit der auf den Notebooks angegebenen Kennung.
F
�
Robert G. konfiguriert auf den DHCP-Servern die Bereichsoptionen und legt fest, dass für die Benutzerklasse »Tragbare Computer« eine Leasedauer von vier Stunden gilt.
G
�
Robert G. erstellt auf den DHCP-Servern eine Bereichsgruppierung mit zwei Bereichen und verwendet einen der Bereiche für die Notebooks und definiert eine Leasedauer von vier Stunden. Den zweiten Adressbereich verwendet er für die Desktoprechner und definiert hierfür eine StandardLeasedauer. A, E und F
Die Aktionen bei den Lösungsvorschlägen A, E und F beschreiben den Weg, wie sich DHCP-Clients für die automatische IP-Konfiguration aufgrund von definierten Benutzerklassen voneinander unterscheiden lassen. Für die Benutzerklasse »Tragbare Computer« wird eine Leasedauer von vier Stunden konfiguriert, für die übrigen Rechner gilt somit die Standard-Leasedauer. Auf Computern unter Windows 2000 können bestimmte Benutzerklassenkennungen festgelegt werden, die dann an den DHCP-Server übermittelt werden. Damit lassen sich unterschiedliche Zuordnungen innerhalb eines Adressbereichs festlegen.
HILFE SERVER •
DHCP-Optionen, Benutzerklassen Windows 2000 Netzwerkinfrastruktur-Administration, ISBN 3-86063-277-9
•
Konfiguration von Optionen und Klassen für den Bereich, S. 285
299
Lösungen zum MS-Prüfungsreport
Kapitel 4
95
Sarah betreut das Netzwerk der Firma AP-SYSTEME AG. Das Netzwerk besteht aus einer einzigen Windows 2000-Domäne mit der Bezeichnung AP-SYSTEME.lokal. Aus Sicherheitsgründen möchte Sarah sicherstellen, dass der interne Datenverkehr zur Namensauflösung die Netzwerkgrenzen unter gar keinen Umständen überschreitet. Zusätzlich möchte sie, dass externe Namensanforderungen durch einen externen DNS-Server verarbeitet werden. Was sollte Sarah unternehmen, um diese Ziele zu erreichen?
A
�
Sarah erstellt eine neue primäre Standardzone für den lokalen Namensraum und trägt nur interne Adressen in die Hosttabelle ein.
B
�
Sarah erstellt für den lokalen Namensraum eine neue integrierte Zone im Active Directory und trägt nur interne Adressen in die Hosttabelle ein.
C
�
Sarah löscht die Stammzone für den lokalen Namensraum und konfiguriert alle internen DNS-Server zur Weiterleitung der Namensauflösungsanforderungen an den externen DNS-Server.
D
�
Sarah erstellt eine neue Stammzone für das Internet und konfiguriert alle internen DNS-Server, um sämtliche Anforderungen an diese Zone weiterzuleiten. B
Antwort B ist richtig. Mit einer Active Directory-integrierten Zone sind die DNS-Informationen in der Active Directory-Datenbank abgespeichert. Durch diese Doppelfunktionalität kann auch der Vorteil der Multimaster-Replikation genutzt werden. Es werden bei der Replikation nicht nur Active DirectoryBenutzerinformationen, sondern auch die DNS-Einträge mit repliziert. Dies stellt einen klaren Vorteil gegenüber einer primären DNS-Zone dar. Diese würde zwar genauso gut funktionieren, jedoch das Netzwerk durch die Zonentransfers unnötig belasten. Ein weiterer Vorteil ist die tatsächliche Ausfallsicherheit des Netzwerkdienstes DNS. Antwort A scheidet aus. Dieser Lösungsvorschlag würde zwar funktionieren, aber die Antwort B ist die »bessere« Alternative. Die Antworten C und D haben nichts mit der Aufgabenstellung zu tun.
HILFE SERVER •
DNS-Server, Integrieren in Active Directory
Kein direkter Verweis
300
Lösungen zum MS-Prüfungsreport
96
Sonja betreut ein kleines Windows 2000-Netzwerk, das aus einem Windows 2000 Server (MVSDF01) und 50 Windows 2000 Professional-Rechnern besteht. MVSDF01 verfügt über eine DFÜ-Verbindung für den Zugang ins Internet. Sonja möchte allen Clients den Zugang ins Internet über MVSDF01 ermöglichen und installiert und konfiguriert auf MVSDF01 das NAT-Routingprotokoll. Die TCP/IP-Konfiguration im Netzwerk wird manuell vorgenommen und die Clients sind für die Verwendung von APIPA konfiguriert. Sonja möchte das Netzwerk so konfigurieren, dass für MVSDF01 und die Windows 2000 Professional-Clients die IP-Adressen 172.16.65.1 bis 172.16.65.250 verwendet werden. Wie sollte Sonja MVSDF01 konfigurieren, um dieses Ziel zu erreichen? (Wählen Sie alle zutreffenden Antworten aus.)
A
�
Sie ordnet der LAN-Schnittstelle von MVSDF01 die IP-Adresse 172.16. 65.1 zu.
B
�
Sonja aktiviert für die DFÜ-Verbindung von MVSDF01 die Option GEMEINSAME NUTZUNG DER INTERNETVERBINDUNG.
C
�
Sonja konfiguriert auf MVSDF01 den Routing und RAS-Dienst und ordnet den sich einwählenden Clients automatisch IP-Adressen aus dem Adressbereich 172.16.65.1 bis 172.16.65.250 zu.
D
�
Sonja konfiguriert auf MVSDF01 das Routingprotokoll NAT und ordnet den Rechnern an der privaten Schnittstelle automatisch IP-Adressen aus dem Adressbereich 172.16.65.1 bis 172.16.65.250 zu.
E
�
Sonja konfiguriert die öffentliche NAT-Schnittstelle auf MVSDF01 für die Verwendung eines Adresspoolbereichs von 172.16.65.1 bis 172.16.65. 250. A und D
Die Antwort A ist richtig. Der LAN-Schnittstelle des NAT-Rechners wird in der Regel immer die erste IP-Adresse des Adresspools zugewiesen. Antwort D ist auch richtig. Der Adresspool wird an der privaten Schnittstelle des NATRechners konfiguriert. Damit fungiert dieser als abgespeckter DHCP-Server. Dementsprechend scheidet Antwort E aus. Antwort B ist falsch. Wenn NAT konfiguriert ist, lässt sich die gemeinsame Nutzung der Internetverbindung nicht aktivieren. Die Antwort C entspricht nicht der Fragestellung.
HILFE SERVER •
NAT, Übersicht
301
Lösungen zum MS-Prüfungsreport
Kapitel 4
Windows 2000 Netzwerkinfrastruktur-Administration, ISBN 3-86063-277-9 •
Öffentliche und private Adressen, S. 358ff.
97
Michael V. betreut ein Windows 2000-Netzwerk, das aus drei Windows 2000-Domänencontrollern und 1000 Windows 2000 Professional-Rechnern besteht. Die Rechner sind in einer einzigen Windows 2000-Domäne gruppiert. Die Geschäftsleitung möchte digitale Zertifikate einsetzen, deswegen soll eine eigene Zertifizierungsstelle eingerichtet werden. Michael V. möchte die Stammzertifizierungsstelle und den privaten Schlüssel schützen. Zusätzlich will er sicherstellen, dass er die Infrastruktur der öffentlichen Schlüssel des Unternehmens effizient verwalten kann. Michael V. möchte Folgendes erreichen: •
•
• •
Der Windows 2000 Server, auf dem sich die Stammzertifizierungsstelle befindet, soll den größtmöglichen Schutz gegen Sicherheitsverletzungen bieten, die im Netzwerk vorkommen können. Der Windows 2000 Server, auf dem sich die Stammzertifizierungsstelle befindet, soll andere Zertifizierungsstellen zertifizieren und Zertifikate sperren können. Alle Server der Domäne sollen auf den Sperrstatus sämtlicher Zertifikate in der Infrastruktur der öffentlichen Schlüssel zugreifen können. Alle durch die Benutzer oder Rechner in der Domäne generierten Anforderungen sollen unverzüglich verarbeitet und entweder gewährt oder abgelehnt werden.
Michael V. unternimmt Folgendes: •
Er installiert auf einem mit dem Netzwerk verbundenen Windows 2000-Mitgliedsserver eine eigenständige Stammzertifizierungsstelle und trennt den Server, auf dem er die eigenständige Stammzertifizierungsstelle installiert hat, vom Netzwerk und platziert diesen Server an einem separaten, sicheren Ort.
Welches Ergebnis bzw. welche Ergebnisse werden durch diese Maßnahmen erzielt? (Wählen Sie alle zutreffenden Antworten aus.) A
�
Der Server, auf dem sich die Stammzertifizierungsstelle befindet, verfügt über den größtmöglichen Schutz gegen Sicherheitsverletzungen, die im Netzwerk vorkommen können.
B
�
Der Windows 2000 Server, auf dem sich die Stammzertifizierungsstelle befindet, kann andere Zertifizierungsstellen zertifizieren und Zertifikate sperren.
302
Lösungen zum MS-Prüfungsreport
C
�
Alle Server der Domäne können auf den Sperrstatus sämtlicher Zertifikate in der Infrastruktur der öffentlichen Schlüssel zugreifen.
D
�
Alle durch die Benutzer oder Rechner in der Domäne generierten Anforderungen werden unverzüglich verarbeitet und entweder gewährt oder abgelehnt. A und B
Eine Trennung vom Netzwerk bedeutet nicht, den Stecker aus der Netzwerkkarte zu ziehen, sondern die Verlegung des Stammzertifizierungsservers in ein separates Netzwerk. Dabei haben die untergeordneten Zertifizierungsstellen zwei Netzwerkkarten. Mit einer Netzwerkkarte unterhalten sie eine Verbindung zu den anfordernden Clients, mit der anderen Karte sind sie mit der Stammzertifizierungsstelle verbunden. WICHTIG: Die untergeordneten Zertifizierungsserver dürfen dabei nicht als Router konfiguriert sein. Die Antworten A und B werden erreicht, der Server steht nun an einem möglichst sicheren Ort und andere Stellen können zertifiziert werden oder es können die Zertifikate gesperrt werden. Die Antworten C und D werden nicht erreicht, da dies vom Administrator gesondert konfiguriert werden müsste.
HILFE SERVER • •
Stammzertifizierungsstellen, Übersicht Zertifikatssperrlisten, Übersicht
Kein direkter Verweis
98
Ruppert betreut ein Windows 2000-Netzwerk. Er muss eine RAS-Umgebung einrichten, die eine hohe Verfügbarkeit und auch Sicherheit gewährleistet. Das Unternehmen verfügt über einen einzigen Standort und eine T3-Verbindung zum Internet. Die Außendienstmitarbeiter Ihres Unternehmens brauchen von jedem Remotestandort aus eine zuverlässige Verbindung zum Firmennetz. Auf allen Servern des Netzwerks ist Windows 2000 Advanced Server installiert, die Clients im Netzwerk verwenden alle als Betriebssystem Windows 2000 Professional.
303
Lösungen zum MS-Prüfungsreport
Kapitel 4
Ruppert möchte folgende Ziele erreichen: •
• • •
Ein Einzelpunkt-Versagen, mit Ausnahme eines Komplettausfalls der T3-Verbindung, darf nicht zum totalen Versagen der RAS-Verbindungen führen. Authentifizierungsdaten dürfen nicht im Klartext übertragen werden. Die Daten dürfen nur verschlüsselt übertragen werden. Der gleichzeitige Netzwerkzugriff von mindestens 200 Remotebenutzern soll jederzeit möglich sein.
Ruppert führt folgende Konfigurationsschritte durch: • • •
Er installiert am Hauptsitz einen VPN-Server. Er konfiguriert den VPN-Server für die Unterstützung von 250 PPTPVerbindungen. Er konfiguriert die Clients und legt hierbei fest, dass als Authentifizierungsprotokoll CHAP verwendet wird.
Welches Ergebnis bzw. welche Ergebnisse werden durch die Konfigurationen von Ruppert erreicht? (Wählen Sie alle zutreffenden Antworten aus.) A
�
Ein Einzelpunkt-Versagen, mit Ausnahme eines Komplettausfalls der T3Verbindung, führt nicht zum totalen Versagen der RAS-Verbindungen.
B
�
Authentifizierungsdaten werden verschlüsselt übertragen.
C
�
Die Daten werden nur verschlüsselt übertragen.
D
�
Der gleichzeitige Netzwerkzugriff von mindestens 200 Remotebenutzern ist jederzeit möglich. B und D
Die Antwort B ist richtig. Mit CHAP werden die Authentifizierungsdaten verschlüsselt übertragen. Die Antwort D ist auch richtig. Der VPNServer ist für 250 PPTP-Verbindungen konfiguriert. Es können also 250 Remoteverbindungen gleichzeitig aufgebaut werden. Antwort A ist falsch. Einzelpunkt-Versagen der gesamten RAS-Verbindung ist auch beim Ausfall des VPN-Servers gegeben. Man müsste also mindestens einen weiteren VPN-Server installieren. Die Antwort C ist auch falsch. Das Authentifizierungsprotokoll CHAP verschlüsselt keine Nutzdaten, sondern lediglich das Kennwort.
HILFE SERVER •
CHAP, Übersicht Windows 2000 Netzwerkinfrastruktur-Administration, ISBN 3-86063-277-9
•
Konfigurieren der Protokollsicherheit, S. 419
304
Lösungen zum MS-Prüfungsreport
99
Michael V. betreut als Organisationsadministrator eine Windows 2000Domäne. Auf den Clients im Netzwerk ist entweder Windows 98 oder Windows 2000 Professional installiert. Die Benutzer an den Windows 2000 Professional-Rechnern führen eine Internetanwendung aus, die auf Dateien zugreifen muss, die sich auf einem Windows NT 4.0-Rechner mit der Bezeichnung MVSNTSRV001 befinden. Keiner der Windows 2000 Professional-Rechner kann eine Verbindung zu MVSNTSRV001 herstellen. Dieser kann jedoch mit allen Windows 2000 Professional-Rechnern kommunizieren. Wie löst Michael V. dieses Problem?
A
�
Er gibt die IP-Adresse von MVSSRV001 frei und erneuert diese.
B
�
Er aktiviert das Kontrollkästchen Aktualisierung für DNS-Clients, die dynamisches Aktualisieren nicht unterstützen, aktivieren.
C
�
Er deaktiviert das Kontrollkästchen Forward-Lookups (Name zu Adresse) bei Ablauf der Lease löschen.
D
�
Er setzt die DNS-Zone für die Windows 2000-Domäne auf Active Directory-integriert primär. B
Die Problembeschreibung ist eindeutig. Die Namensauflösung funktioniert nur einseitig. Das bedeutet, der NT 4.0-Rechner kann über den DNSServer die Namen der Windows 2000-Rechner auflösen. Der NT 4.0-Rechner ist aber beim DNS-Server nicht bekannt, da NT die dynamische Aktualisierung beim DNS nicht unterstützt. Dieses Problem lässt sich umgehen, indem man den DHCPServer verwendet, um den DNS-Server zu aktualisieren. Damit kommt nur die Antwort B in Frage. Die Antwort A ist falsch. Hier wird der Befehl ipconfig /renew beschrieben. Bei Antwort C wird der Hosteintrag am DNS-Server bei Ablauf der DHCP-Lease gelöscht. Da der NT-Rechner keinen Hosteintrag beim DNS-Server hat, ist diese Antwort auch falsch. In der Antwort D wird nur die primäre Standardzone in eine Active Directory-integrierte Zone geändert, was nichts zur Problembehebung beiträgt.
HILFE SERVER •
DNS-Aktualisierungen, dynamische, Übersicht Windows 2000 Netzwerkinfrastruktur-Administration, ISBN 3-86063-277-9
•
DNS und DHCP, S. 288ff.
305
Lösungen zum MS-Prüfungsreport
Kapitel 4
100
Sonja betreut ein Windows 2000-Netzwerk, das wie im folgenden Diagramm dargestellt konfiguriert ist. Netzkarte 1 Adresse: 172.30.1.1 Maske: 255.255.255.0
Netzkarte 2 Adresse: 172.30.2.1 Maske: 255.255.255.0
Router
MVSWS1 Adresse: 172.30.1.39 Maske: 255.255.255.0
MVSWS2 Adresse: 172.30.1.40 Maske: 255.255.255.0
MVSSRVS3 Adresse: 172.30.2.10 Maske: 255.255.255.0
Michael, der Benutzer an MVSWS1, kann nicht auf die Ressourcen von MVSSRV3 zugreifen. Sonja überprüft dies und stellt Folgendes fest: • • • •
MVSWS1 kann mit jedem Host im eigenen Subnetz kommunizieren. Ping-Signale können an den Router gesendet werden. Es ist keine Verbindung zu Hosts im zweiten Subnetz möglich. Es können keine Rechner aus dem zweiten Subnetz angepingt werden.
Die Benutzer an MVSWS2 haben keinerlei Probleme. Sonja führt deswegen auf MVSWS1 den Befehl route print aus und erhält folgende Ausgabe: Aktive Routen: Netzwerkziel
Netzwerkmaske
Gateway
Schnittstelle
Anzahl
0.0.0.0 127.0.0.0 172.30.1.0 172.30.1.39 172.30.255.255 224.0.0.0 255.255.255.255
0.0.0.0 255.0.0.0 255.255.255.0 255.255.255.255 255.255.255.255 224.0.0.0 255.255.255.255
172.30.1.39 127.0.0.1 172.30.1.39 127.0.0.1 172.30.1.39 172.30.1.39 172.30.1.39
172.30.1.39 127.0.0.1 172.30.1.39 127.0.0.1 172.30.1.39 172.30.1.39 172.30.1.39
1 1 1 1 1 1 1
306
Lösungen zum MS-Prüfungsreport
Was sollte Sonja konfigurieren, um den Kommunikationsfehler von MVSWS1 zu beheben? A
�
Die Subnetzmaske auf MVSWS1.
B
�
Die Subnetzmaske auf MVSSRV3.
C
�
Den Wert bei Standardgateway auf MVSWS1.
D
�
Den Wert bei Standardgateway auf MVSSRV3. C
Da alle anderen Rechner keine Probleme haben, muss der Fehler an MVSWS1 liegen. Die Antworten B und D scheiden damit aus. Da MVSWS1 im eigenen Netz Verbindungen aufbauen kann, kann die Subnetmask nicht falsch sein. Deshalb ist Antwort A auch falsch. Die Antwort C ist richtig. Um von einem Subnetz in ein anderes zu gelangen, benötigt man einen Eintrag für ein Standardgateway. Bei MVSWS1 ist hier offensichtlich die falsche IP-Adresse angegeben. Die Adresse für das Standardgateway muss in 172.30.1.1 geändert werden.
HILFE SERVER •
Routingtabellen Windows 2000 Netzwerkinfrastruktur-Administration, ISBN 3-86063-277-9
•
Struktur von Routingtabellen
101
Kerstin betreut das Netzwerk der SRB AG. Im Netzwerk ist ein DHCPServer konfiguriert, um die TCP/IP-Konfiguration der Netzwerkclients zu automatisieren. Die Clients in allen drei Subnetzen haben als Betriebssystem Windows 2000 Professional installiert. Die jeweiligen Subnetze sind durch einen Router, auf dem BOOTP aktiviert ist, miteinander verbunden. Am DHCP-Server wurde für jedes Subnetz ein Adressbereich erstellt. Die Netzwerkbenutzer aus den Subnetzen 2 und 3 teilen Ihnen mit, dass sie oft nicht auf Netzwerkressourcen zugreifen können. Sie überprüfen dies und stellen fest, dass die Clients bei starker Netzwerkbelastung mit Adressen aus dem Adressbereich 169.254.0.0 konfiguriert werden. Dieser Adressbereich wird jedoch nicht im Netzwerk unterstützt. Kerstin möchte sicherstellen, dass alle Clients Adressen vom DHCP-Server empfangen können und nicht mit ungültigen Adressen konfiguriert werden.
307
Lösungen zum MS-Prüfungsreport
Kapitel 4
Wie sollte Kerstin vorgehen? A
�
Sie sollte in jedem Subnetz einen DHCP-Server installieren und auf diesem einen subnetspezifischen Adressbereich konfigurieren.
B
�
Sie sollte in jedem Subnetz einen DHCP-Server installieren und auf diesen identische Bereiche konfigurieren.
C
�
Sie sollte in jedem Subnetz einen DHCP-Relay-Agenten installieren.
D
�
Sie sollte in den Gruppenrichtlinien einen Administrative Vorlagen-Eintrag erstellen, um APIPA in der Registrierung eines jeden Clients zu aktivieren. A
Die Antwort A ist richtig. Der Router leitet die BOOTP-Pakete zwar weiter, jedoch wird bei starker Netzlast der DHCP-Server nicht rechtzeitig erreicht bzw. die Antworten des DHCP-Servers kommen zu spät beim DHCP-Client an. Dadurch kommt es zum Timeout beim DHCP-Client und dieser startet die APIPA-Funktion, um sich selbst eine IP-Adresse zu geben. Im 5 Minuten-Takt versucht nun der DHCP-Client, einen DHCP-Server zu erreichen, was die Netz- und Routerlast weiter erhöht. Ein DHCP-Server in jedem Subnetz ist in diesem Fall eine gute Lösung. Die Antwort B ist nicht richtig, weil auf mehreren DHCP-Servern nicht der gleiche Bereich konfiguriert werden darf. Antwort C ist falsch. Im Subnetz des DHCP-Servers soll es keinen DHCP-Relay-Agenten geben. Die Antwort D ist auch falsch. APIPA ist an den Rechnern bereits aktiviert, da diese sonst keine IP-Adresse konfiguriert hätten.
HILFE SERVER •
DHCP, Clientkonfiguration
Kein direkter Verweis
102
Claudius betreut ein Windows 2000-Netzwerk mit zwei Standorten (München und Dresden). Das Netzwerk verfügt über zwei DNS-Zonen. Am Standort München gibt es einen primären DNS-Server mit der Bezeichnung mdns1.mvsnet.de. Dieser Server ist autoritativ für die Stammzone mvsnet.de zuständig. Der primäre DNS-Server in Dresden (DDDNS1) ist für die untergeordnete Domäne dresden.mvsnet.de autorisierend.
308
Lösungen zum MS-Prüfungsreport
Claudius überprüft auf mdns1.mvsnet.de in der Ereignisanzeige das Protokoll des Verzeichnisdienstes und stellt fest, dass bei der Konsistenzprüfung mehrere Warnungen generiert wurden. Aus diesen Warnungen geht hervor, dass die Konsistenzprüfung keine Replikationsverbindung mit den Verzeichnispartitionen in Dresden herstellen kann. Claudius verwendet deswegen das Nslookup-Dienstprogramm und setzt in der Nslookup-Konsole den Server auf mdns1.mvsnet.de und den Abfragetyp auf Alle. Er gibt in der Nslookup-Konsole den Befehl ls –d mvsnet.de ein und erhält die in der nachfolgenden Übersicht dargestellte Antwort: [mdns1.mvsnet.de] mvsnet.de.
SOA
mdns1.mvsnet.deadministrator. mvsnet.de
mvsnet.de.
A
192.168.1.200
mdns1.mvsnet.de.
A
192.168.1.200
mvsnet.de
NS
mdns1.mvsnet.de
dddns1.dresden.mvsnet.de.
A
192.168.2.200
mvsnet.de.
NS
dddns1.dresden.mvsnet.de
Wie sollte Claudius weiter vorgehen, um das Problem zu lösen? A
�
Er soll auf dem Server mdns1.mvsnet.de eine Hosts-Datei erstellen, die die Adresse für dddns.dresden.mvsnet.de enthält.
B
�
Er soll den NS-Eintrag, der auf dddns1.dresden.mvsnet.de verweist, ändern in dresden.mvsnet.de. NS dddns1.dresden.mvsnet.de.
C
�
Er soll auf dem Server mdns1.mvsnet.de den Befehl nslookup –type=ns – norecurse mvsnet.de ausführen.
D
�
Er soll auf dem Server mdns1.mvsnet.de den Befehl nbtstat –a mdns1. mvsnet.de.dresden.mvsnet.de ausführen B
Die Antwort B ist richtig. Aus der obigen Liste geht hervor, dass dddns1 und mdns1 als Namensserver für die Zone mvsnet.de zuständig sind. Damit ist keiner der Rechner für dresden.nvsnet.de zuständig, wodurch die Probleme hervorgerufen werden. Mit der Antwort B wird dieser Fehler behoben. Die Antwort A ist falsch, da laut Liste der »A-Eintrag« existiert. Die Antwort C ist auch falsch. Mit nslookup wird nur eine Abfrage erzeugt und keine Konfiguration vorgenommen. Mit der Antwort D wird der NetBIOS-Cache eines Remoterechners angezeigt, was hier überhaupt keinen Sinn macht.
309
Lösungen zum MS-Prüfungsreport
Kapitel 4
HILFE SERVER • •
Nslookup nbtstat Windows 2000 Netzwerkinfrastruktur-Administration, ISBN 3-86063-277-9
•
Hilfe zu den Befehlszeilenkommandos nslookup und nbtstat/?
103
Uwe P. administriert zwei WINS-Server in einem Windows 2000-Netzwerk. Uwe P. möchte, dass auf beiden WINS-Servern regelmäßige Sicherungen der WINS-Datenbank durchgeführt werden. Wie sollte er das Netzwerk konfigurieren, um dieses Ziel zu erreichen?
A
�
Er soll in der WINS-Konsole beider WINS-Server den Servernamen wählen, indem er mit der rechten Maustaste das Kontextmenü aufruft. Anschließend soll er den Befehl DATENBANK AUFRÄUMEN wählen.
B
�
Er soll in der WINS-Konsole beider WINS-Server die Eigenschaft ALLGEMEIN des WINS-Servers wählen, um einen standardmäßigen Sicherungspfad anzugeben.
C
�
Er soll auf beiden WINS-Servern das Windows Backup verwenden, um regelmäßige Sicherungen des Ordners System32\Wins zu planen.
D
�
Er soll auf beiden WINS-Servern den Dateireplikationsdienst konfigurieren, um den Ordner System32\Wins an eine andere Stelle auf der Festplatte zu kopieren. B
Die Antwort B ist richtig. Mit der Management-Console und dem Snap-In »WINS« lässt sich in dem unter Antwort B angegebenen Punkt ein Pfad für die Sicherung der WINS-Datenbank angeben. Der WINS-Server sichert dann die Datenbank alle drei Stunden. Antwort A ist nicht richtig. Mit dem Menüpunkt DATENBANK AUFRÄUMEN wird keine Sicherung durchgeführt, es werden nur freigegebene Einträge aus der WINSDatenbank gelöscht. Die Antwort C ist auch falsch. Mit dem Windows-Backup lässt sich eine geöffnete Datenbank nicht sichern. Die Antwort D hat im Prinzip das gleiche Problem wie Antwort A, nur hier geht es in die Richtung Dateireplikation.
HILFE SERVER •
WINS, Datenbanksicherung
310
Lösungen zum MS-Prüfungsreport
Windows 2000 Netzwerkinfrastruktur-Administration, ISBN 3-86063-277-9 •
Sichern der WINS-Datenbank, S. 263
104
Uwe P. betreut ein heterogenes Netzwerk, das aus Novell NetWare-Servern und Windows 2000 Servern besteht. Das Netzwerk ist wie folgt dargestellt konfiguriert. NovFS1 Novell NetWare Fileserver
NovFS2 Novell NetWare Fileserver
NovFS3 Novell NetWare Fileserver
Ethernet
NovFS4 Novell NetWare Fileserver
MVSSRV1 Windows 2000 Server
MVSSRV2 Windows 2000 Server
Uwe installiert auf dem Windows 2000 Server MVSSRV1 die Clientservices für NetWare und NWLink IPX/SPX als Transportprotokoll mit den Standardeinstellungen. Uwe P. benötigt diese Komponente, um auf Ressourcen, die auf den NetWare Servern gespeichert sind, zuzugreifen. Er kann von MVSSRV1 aus eine Verbindung mit den Servern MVSSRV2, NovFS1 und NovFS3 aufbauen. Zu den NetWare-Servern NovFS2 und NovFS4 funktioniert das nicht. Auf diesen NetWare-Servern sind andere NetWare-Versionen installiert als auf den NetWare-Servern NovFS1 und NovFS4. Uwe P. muss jedoch vom MVSSRV1 Verbindungen zu allen NetWare-Servern aufbauen können. Was sollte Uwe P. tun? A
�
Er aktiviert für den Adapter die NWLink-Protokolloption Rahmentyp manuell erkennen und fügt die Rahmentypen der NetWare-Server manuell hinzu.
B
�
Er konfiguriert die Interne Netzwerknummer manuell und setzt diese auf 00000000.
311
Lösungen zum MS-Prüfungsreport
Kapitel 4
C
�
Er aktiviert das Direct-Hosting von IPX.
D
�
Er installiert die Datei- und Druckdienste für NetWare. A
NWLink (die Microsoft-Implementierung von IPX/SPX) und ebenso natürlich IPX/SPX von Novell verwenden Frametypen und Netzwerknummern für die Kommunikation mit anderen Computern im selben Segment und für das richtige Routen von Paketen. Die beiden Komponenten müssen mit den im Netzwerksegment verwendeten übereinstimmen. NWLink unterstützt eine automatische Erkennung des Frametyps durch Abfragen mit den unterstützten Frametypen, bis eine Antwort erfolgt. Nach einer Antwort wird der Frametyp entsprechend der Antwort eingestellt, erfolgt keine Antwort, wird Ethernet 802.2 eingestellt. Von NWLink werden z.B. für Ethernet folgende Frametypen unterstützt: 802.2, 802.3, 802.2 SNAP und Ethernet II. In der geschilderten Situation treten mit einigen Novell-Servern deshalb Probleme auf, weil NetWare bis zur Version 3.11 standardmäßig den Frametyp 802.3 und ab der Version 3.12 den Frametyp 802.2 einsetzt. Weil automatisch nur ein Frametyp konfiguriert wurde, ist eine Verbindung mit den anderen Servern nicht möglich. Durch Hinzufügen des Frametyps ist das Problem gelöst.
HILFE SERVER •
NWLink Windows 2000 Netzwerkinfrastruktur-Administration, ISBN 3-86063-277-9
•
Rahmentyp und Netzwerknummern, S. 82 ff.
105
Bernd N. betreut ein Windows 2000-Netzwerk. Das Netzwerk besteht aus zwei Segmenten, die durch einen Router miteinander verbunden sind. In jedem Segment befinden sich zwei Windows 2000 Server und jeweils 50 Windows 2000 Professional-Rechner als Clients. Im Netzwerk steht ein einziger DHCP-Server mit aktiven Bereichen für beide Segmente zur Verfügung. In den beiden Bereichen sind für das eine Segment die IP-Adressen 10.65.1.0/24 und für das andere Segment die IPAdressen 10.65.2.0/24 konfiguriert. MVSDHCP1, der DHCP-Server, weist die IP-Adresse 10.65.1.3/24 auf.
312
Lösungen zum MS-Prüfungsreport
50 Windows 2000 Professional
50 Windows 2000 Professional 10.65.1.2
Router
Windows 2000 Server
MVSDHCP1 Windows 2000 Server Servertyp: DHCP Bereich: 10.65.1.0/24 Bereich: 10.65.2.0/24
Windows 2000 Server
Windows 2000 Server
Die Benutzer, die im Segment ohne DHCP-Server arbeiten, teilen Ihnen auf Anfrage mit, dass ihre Windows 2000 Professional-Stationen den IPAdressbereich 169.254.0.0/16 verwenden. Die Benutzer im anderen Segment verwenden den IP-Adressbereich 10.65.1.0/24. Bernd N. möchte, dass die Windows 2000 Professional-Stationen im Segment, das keinen DHCP-Server besitzt, automatisch die IP-Adressen 10.65.2.0/24 verwenden. Wie sollte Bernd N. das Netzwerk konfigurieren, um dieses Ziel zu erreichen? A
�
Er aktiviert und konfiguriert auf dem DHCP-Server den DHCP-RelayAgent-Dienst.
B
�
Er aktiviert und konfiguriert den DHCP-Relay-Agent-Dienst auf einem Windows 2000 Server in jenem Segment, das über keinen DHCP-Server verfügt.
C
�
Er aktiviert auf dem DHCP-Server einen Paketfilter für den Empfang von IP-Paketen, die den BOOTP-Port verwenden.
D
�
Er konfiguriert auf einem Windows 2000 Server in dem Segment, das über keinen DHCP-Server verfügt, einen Paketfilter für den Empfang von IPPaketen, die den BOOTP-Port verwenden. B
Die Antwort B ist richtig. Da der Router BOOTP nicht weiterleitet, wird die Anfrage der DHCP-Clients nur im eigenen Subnetz bearbeitet. Wenn sich in diesem Subnetz kein DHCP-Server befindet, erhalten die Clients keine Ant-
313
Lösungen zum MS-Prüfungsreport
Kapitel 4
wort und die APIPA-Funktion wird aktiv. Durch einen DHCP-Relay-Agenten im Subnetz ohne DHCP-Server wird die Clientanfrage vom DHCP-Relay-Agenten abgefangen und als gerichtetes Unicastpaket an den DHCP-Server weitergeleitet. Die Antwort A ist falsch. Der DHCP-Relay-Agent ist nicht auf dem DHCP-Server zu installieren. Die Antworten C und D sind auch falsch, da Paketfilter mit dieser Aufgabe nichts zu tun haben.
HILFE SERVER • •
DHCP-Relay-Agent DHCP, Automatische Clientkonfiguration Windows 2000 Netzwerkinfrastruktur-Administration, ISBN 3-86063-277-9
•
DHCP-Relay-Agent, S. 277
106
Dominique administriert ein Windows 2000-Netzwerk. Das Netzwerk umfasst einen Windows 2000 Server, der als DHCP-Server eingesetzt wird, zwei Windows 2000-basierte DNS-Server, einen Windows 2000basierten Routing und RAS-Server und 80 Notebooks, die als Betriebssystem Windows 2000 Professional verwenden. Das Netzwerk ist wie im Diagramm dargestellt konfiguriert.
MVSDHCP1 Windows 2000 Server IP: 10.65.4.1
MVSROU1 Windows 2000 Server IP: 10.65.4.5
MVSRDNS1 Windows 2000 Server IP: 10.65.4.12
80 Windows 2000 Professional Rechner
MVSDNS2 Windows 2000 Server IP: 10.65.4.13
Der Rechner MVSDHCP1, der als DHCP-Server im Netzwerk arbeitet, verfügt über einen Adressbereich, der die IP-Adressen 10.65.4.20 bis
314
Lösungen zum MS-Prüfungsreport
10.65.4.100 mit der Subnetzmaske 255.255.255.0 einschließt. Dominique möchte, dass die Notebooks bei der Einwahl über den Rechner MVSROU1 den DNS-Server MVSRDNS1 verwenden können. MVSROU1 fordert von MVSDHCP1 IP-Adressen an, um diese an die Notebooks zu verteilen, wenn sich diese an MVSROU1 einwählen. Dominique konfiguriert den DHCP-Adressbereich und legt fest, dass dieser für die Bereichsoption DNS Server die IP-Adresse 10.65.4.12 verwendet. Wie sollte Dominique das Netzwerk konfigurieren, damit alle Notebooks die IP-Adresse 10.65.4.12 für den DNS-Server erhalten? A
�
Dominique konfiguriert den DHCP-Server und legt bei der Konfiguration fest, dass registrierte und aktualisierte Clientrechnerinformationen immer den konfigurierten DNS-Server enthalten.
B
�
Dominique konfiguriert den Routing und RAS-Dienst auf MVSROU1 und legt fest, dass dieser DHCP-, DNS- und WINS-Adressen für die DFÜClients über die LAN-Schnittstelle abruft.
C
�
Dominique konfiguriert die LAN-Schnittstelle des Routing und RAS-Servers MVSROU1. Sie legt bei der Konfiguration fest, dass diese für den DNS-Server keine IP-Adresse verwendet.
D
�
Dominique aktiviert den DHCP-Relay-Agenten an der Schnittstelle Intern des Routing und RAS-Servers MVSROU1. Sie konfiguriert den DHCPRelay-Agenten und legt fest, dass dieser die Adresse 10.65.4.1 als IPAdresse für den DHCP-Server verwendet. D
Der RAS-Server reserviert sich vom DHCP-Server einen Adresspool (zehn Adressen), die IP-Adressen werden dann den RAS-Clients zugewiesen. Der RAS-Server selbst kann keine DHCP-Optionen vergeben. Dazu benötigen die RAS-Clients den DHCP-Server. Da die RAS-Clients aus einem anderen Segment zugreifen, muss der RAS-Server als DHCP-Relay-Agent konfiguriert werden, damit die RAS-Clients den DHCP-Server erreichen können. Antwort D ist darum korrekt.
HILFE SERVER • •
Suchbegriff DHCP-Relay-Agent Konfigurieren von DHCP-Relay-Agenten, Windows 2000 Server Routing- und RAS-Dienste Windows 2000 Netzwerkinfrastruktur-Administration, ISBN 3-86063-277-9
•
DHCP-Relay-Agent, S. 277
315
Lösungen zum MS-Prüfungsreport
Kapitel 4
107
In Ihrem Netzwerk wurde eine Netzwerkrouter installiert, auf dem SNMP aktiviert ist. Die Geschäftsleitung möchte den gesamten durch den Router erzeugten SNMP-Verkehr überwachen. Peter W., der Netzwerkadministrator der Firma, installiert den Netzwerkmonitor auf einem im Netzwerk vorhandenen Windows 2000 Server. Der neue Router ist so konfiguriert, dass Traps an einen SNMP-Manager gesendet werden, der auf einem anderen Server installiert ist. Peter möchte grundsätzlich benachrichtigt werden, wenn der Netzwerkrouter einen SNMP-Trap verursacht. Wie sollte Peter vorgehen? (Wählen Sie zwei Antworten aus.)
A
�
Er soll einen Netzwerkmonitorfilter definieren, der eine Schemaübereinstimmung für SNMP-Verkehr enthält.
B
�
Er installiert SNMP auf dem Server.
C
�
Er erstellt einen Netzwerkmonitor-Trigger zur Ausführung des Befehls Net Send.
D
�
Er definiert einen TCP/IP-Filter auf dem Server.
E
�
Er startet den Windows 2000-Warndienst auf dem Server.
F
�
Er konfiguriert den Netzwerkrouter, um Traps an die IP-Adresse des Servers zu senden. B und F
Die Antwort B ist richtig. Um SNMP zu nutzen, muss auf dem entsprechenden Rechner auch SNMP installiert sein. Die Antwort F ist auch richtig. Der Router muss die IP-Adresse des Rechners wissen, an den er die Traps senden soll. Die Antworten A und C sind falsch. Der Netzwerkmonitor hat mit dieser Aufgabenstellung nichts zu tun. Ebenso ist die Antwort D nicht richtig. TCP/IP-Filter sind hier nicht nötig. Die Antwort E ist auch falsch. Der Warndienst ist in der Standardeinstellung (etwas anderes ist nicht beschrieben) immer gestartet.
HILFE SERVER •
SNMP Windows 2000 Netzwerkinfrastruktur-Administration, ISBN 3-86063-277-9
•
SNMP-Verwaltungssysteme und Agenten, S. 108 ff.
316
Lösungen zum MS-Prüfungsreport
108
Johannes G. ist der Netzwerkadministrator der AP-SYSTEME GmbH. Das Netzwerk der Firma besteht aus 90 Clientrechnern und 50 Notebooks. Auf allen Rechnern ist als Betriebssystem Windows 2000 Professional installiert. Es werden garantiert nie mehr als 30 Benutzer, die mit Notebooks ausgestattet sind, gleichzeitig im Büro anwesend sein. In Hinblick auf die Anzahl der im Netzwerk arbeitenden Benutzer erwirbt die AP-SYSTEME GmbH ein in Subnetze aufgeteiltes Subnetz der Klasse B mit einer 25 Bit-Maske. Sämtliche Benutzer benötigen bei der Arbeit einen Zugriff auf das Internet. Wie sollte Johannes G. DHCP konfigurieren?
A
�
Er erstellt zwei Bereiche mit unterschiedlicher Lease-Gültigkeitsdauer.
B
�
Er erstellt manuelle Reservierungen für die Benutzer mit ihren Notebooks.
C
�
Er erstellt einen einzigen Adressbereich mit zwei Benutzerklassen und definiert für jede eine unterschiedliche Lease-Gültigkeitsdauer.
D
�
Er erstellt einen einzigen Adressbereich mit zwei Herstellerklassen und definiert für jede eine unterschiedliche Lease-Gültigkeitsdauer. C
Bei dieser Aufgabe muss man erst einmal überprüfen, ob die Adressierung möglich ist. Die Firma hat eine 25 Bit-Subnetmask. Damit bleiben 7 Bits (27 = 128) für die Hostadressierung. Es sind nie mehr als 30 Notebooks gleichzeitig am Netz. Zusammen mit den 90 Client-Rechnern ergibt das 120 Adressen, die benötigt werden. Die Adressierung ist also in Ordnung. Jetzt zur tatsächlichen Aufgabe. Die 90 Clientrechner sind alle angemeldet. Man hat insgesamt 50 Notebooks. 30 davon sind am Netz und haben vom DHCP-Server eine Lease erhalten. Was passiert, wenn z.B. zehn Notebooks vom Netz gehen, dafür aber zehn andere Notebooks mit dem Netz verbunden werden und hochfahren? Dem DHCP-Server reicht der konfigurierte Adressbereich nicht aus, da die ersten zehn Notebooks noch eine gültige Lease haben. Bei Notebooks muss also mit einer wesentlich kürzeren Leasezeit gearbeitet werden als bei den Clientrechnern. Innerhalb eines Adressbereichs lässt sich das nur durch Klassen realisieren. Damit scheiden Antwort A und B aus. Die Antwort D ist auch falsch, da Herstellerklassen, wie der Name schon sagt, vom Hersteller konfiguriert werden. Aus der Aufgabe geht nicht hervor, dass es sich bei den Notebooks um Geräte desselben Herstellers mit identischer Kennung handelt. Darum bleibt nur die Antwort C übrig.
HILFE SERVER • •
Benutzerklassen Herstellerklassen
317
Lösungen zum MS-Prüfungsreport
Kapitel 4
Windows 2000 Netzwerkinfrastruktur-Administration, ISBN 3-86063-277-9 •
Konfigurieren von Optionen und Klassen für den Bereich, S. 285
109
Michael V. betreut das Netzwerk der Domäne mvsnet.de. Das Netzwerk besteht aus 7000 Clients, die gleichmäßig über fünf Standorte (München, Nürnberg, Passau, Kronach und Dresden) verteilt sind. Jeder Standort hat eine eigene Windows 2000-Domäne. Die Autorität zur Verwaltung des eigenen Namensraums wurde vom DNS-Stammserver an jeden Standort delegiert. Am Standort dresden.mvsnet.de hat der dortige lokale Administrator Hermann kürzlich eine Aktualisierung der beiden DNS-Server, die die untergeordnete Domäne verwalten, durchgeführt. Michael V. vermutet, dass die Aktualisierung eine inkorrekte Konfiguration der Zonendelegierung verursacht hat. Was sollte Michael V. unternehmen, um sicherzustellen, dass die Zonendelegierungen ordnungsgemäß konfiguriert sind?
A
�
Er startet den Systemmonitor und vergewissert sich, dass die Leistungsindikatoren für DNS:Fehlgeschlagene rekursive Abfragen gleich Null sind.
B
�
Er startet den Systemmonitor und vergewissert sich, dass die Leistungsindikatoren für DNS:Fehlgeschlagene Zonenübertragungen gleich Null sind.
C
�
Er führt den Befehl nslookup –querytype=ns dresden.mvsnet.de aus und verwendet dabei die Serveroption, um den Server dresden.mvsnet.de abzufragen. Er sendet Ping-Signale an die in der Ausgabe des Befehls nslookup angezeigten Einträge.
D
�
Er führt den Befehl nslookup –ls –d dresden.mvsnet.de aus und verwendet dabei die Serveroption, um den Server dresden.mvsnet.de abzufragen. Er sendet Ping-Signale an die in der Ausgabe des Befehls nslookup angezeigten Einträge. A
Bei dieser Frage kann man wieder sehr gut nach dem Ausschlussprinzip vorgehen. Mit dem Befehl nslookup erhält man nur Informationen über Einträge bezüglich der DNS-Konfiguration. Es werden dabei keine Probleme deutlich. Deshalb kann man die Antworten C und D ausschließen. In der Antwort B wird nach fehlgeschlagenen Zonenübertragungen gesucht. Das ist bei der dargestellten Netzkonfiguration sinnlos, da jeder Standort über eine eigene Windows 2000Domäne mit eigener Autorität (Zone) verfügt. Hierbei findet aber keine Zonenübertragung statt. Bleibt als richtige Antwort nur A übrig. Bei fehlerhaft konfigurierter Delegation wären fehlgeschlagene Rekursivabfragen die Folge.
318
Lösungen zum MS-Prüfungsreport
HILFE SERVER •
DNS, Rekursivabfragen Windows 2000 Netzwerkinfrastruktur-Administration, ISBN 3-86063-277-9
•
Hilfe des Befehlszeilenkommandos nslookup Nslookup <enter> ?
110
Albert P. betreut die DNS-Server der Domäne mvsnet.de. Das Netzwerk verfügt über insgesamt drei Windows 2000-Domänencontroller in einer einzigen Domäne. Der primäre DNS-Server ist auf dem Domänencontroller MVSDC1.mvsnet.de installiert. Zwei sekundäre DNS-Server wurden auf den Windows 2000-Mitgliedsservern MVS1.mvsnet.de und MVS2.mvsnet.de konfiguriert. Albert P. möchte die Fehlertoleranz der DNS-Infrastruktur im Netzwerk erhöhen und zusätzlich die Verwaltung der Replikation und der Zonenübertragungen optimieren und vereinfachen. Was sollte Albert P. alles tun?
A
�
Er stuft die Mitgliedsserver MVS1 und MVS2 zu Domänencontrollern herauf.
B
�
Er fügt auf dem primären DNS-Server die Einträge MVS1.mvsnet.de und MVS2.mvsnet.de zur Benachrichtigungsliste hinzu.
C
�
Er entfernt den DNS-Serverdienst von den Mitgliedsservern MVS1 und MVS2 und installiert den DNS-Dienst auf den Domänencontrollern. Er konvertiert die Zone, in der MVSDC1.mvsnet.de als Host registriert ist, in eine integrierte Active Directory-Zone.
D
�
Er verringert auf dem primären DNS-Server im SOA-Eintrag den TTLWert. C
Die Antwort C ist richtig. Mit Active Directory-integrierten Zonen erzielt man mehrere Vorteile. Zum einen ist das DNS-System damit fehlertoleranter, da sich die Clients an jedem DNS-Server im Netz aktualisieren können. Zum anderen findet die Zonenübertragung im Zuge der Active Directory-Replikation statt, die sich auch konfigurieren lässt. Die Antwort A ist falsch. Das Hochstufen der DNS-Server zu Domänencontrollern ist zwar im Ansatz nicht falsch, jedoch hätte man zwei Domänencontroller mehr, was die Verwaltung von DNS nicht vereinfachen würde. Die Antwort B ist komplett falsch. Benachrichtigungslisten dienen zum Konfigurieren der Zonenübertragung für sekundäre DNS-Server. Mit sekundären DNS-Servern ist aber keine Redundanz und Vereinfachung zu erzielen. Antwort D ist auch nicht richtig. Die Verringerung des
319
Lösungen zum MS-Prüfungsreport
Kapitel 4
TTL-Werts im SOA führt nur zur Verkürzung der Zeit für die im DNS-Cache gespeicherten Einträge. Das hat mit der Aufgabe eigentlich nichts zu tun.
HILFE SERVER •
DNS, Active Directory-integrierte Zonen
Kein direkter Verweis
111
Ernestine betreut in München ein kleines Windows 2000-Netzwerk. Das Netzwerk umfasst einen Windows 2000 Server und 180 Windows 2000 Professional-Rechner. Der Windows 2000 Server verfügt über eine DFÜVerbindung zum Internet und hat die Bezeichnung MVSDF1. Sämtliche Windows 2000 Professional-Rechner im Netzwerk benötigen einen Zugang zum Internet. Ernestine installiert und konfiguriert auf MVSDF1 das Routingprotokoll für die Netzwerkadressumsetzung. Vom Internetdienstanbieter hat sie vier IP-Adresse, 207.46.179.4 bis 207.46. 179.7, zugewiesen bekommen. MVSDF1 soll diese vier IP-Adressen für die übersetzte Verbindung zum Internetdienstanbieter verwenden. Wie sollte Ernestine MVSDF1 konfigurieren?
A
�
Sie konfiguriert das NAT-Routingprotokoll und legt fest, dass für die DHCP-Zuordnung der bei 207.46.179.4 beginnende IP-Adressbereich mit der Subnetzmaske 255.255.255.252 verwendet wird.
B
�
Sie konfiguriert die öffentliche Schnittstelle des NAT-Routingprotokolls und legt fest, dass ein Adresspool mit der Startadresse 207.46.179.4 mit der Subnetzmaske 255.255.255.252 verwendet wird.
C
�
Sie konfiguriert die LAN-Schnittstelle des NAT-Routingprotokolls und legt fest, dass ein Adresspool mit der Startadresse 207.46.179.4 mit der Subnetzmaske 255.255.255.252 verwendet wird.
D
�
Sie konfiguriert das Routingprotokoll und legt fest, dass spezielle Ports an der öffentlichen Schnittstelle verwendet werden. Sie verwendet die privaten Adressen 207.46.179.4 bis 207.46.179.7. B
Hier können Sie wieder nach dem Ausschlussprinzip vorgehen. Ernestine muss die vier IP-Adressen vom Internetdienstanbieter konfigurieren. Da es sich um einen externen Anbieter handelt, kommt nur die Konfiguration der öffentlichen Schnittstelle in Frage. Damit scheiden alle Antworten außer B und D aus.
320
Lösungen zum MS-Prüfungsreport
Antwort D ist jedoch falsch, da nicht das Routingprotokoll, sondern NAT zu konfigurieren ist. Außerdem werden die aufgeführten IP-Adressen vom ISP gestellt. Sie können deshalb nicht als private Adressen konfiguriert werden.
HILFE SERVER •
NAT Windows 2000 Netzwerkinfrastruktur-Administration, ISBN 3-86063-277-9
•
Eine oder mehrere öffentliche Adressen, S. 377
112
Angelika administriert eine Windows 2000-Domäne, die im einheitlichen Modus ausgeführt wird. In dieser Domäne übernimmt der Windows 2000 Server AP-SYSTEMEDF2 die Rolle des Routing und RAS-Servers. Der Routing und RAS-Dienst ist auf AP-SYSTEMEDF2 installiert und für den Remotezugriff konfiguriert. Die IP-Adressierung wird in der Domäne manuell vorgenommen. Die Benutzer der Domäne wählen sich alle von ihren tragbaren Rechnern, auf denen Windows 2000 Professional installiert ist, in das Netzwerk ein. Die DFÜ-Clients sind für den automatischen Empfang einer IP-Adresse konfiguriert. Angelika möchte dies nicht ändern, jedoch möchte sie für jeden Benutzer eine feste IP-Adresse festlegen. Die Benutzer sollen bei der Herstellung der DFÜ-Verbindung unterschiedliche feste IP-Adressen erhalten. Wie sollte Angelika das Netzwerk konfigurieren, um dieses Ziel zu erreichen?
A
�
Angelika erstellt auf AP-SYSTEMEDF2 für den RAS-Dienst einen statischen Adresspool, so dass er nur die IP-Adresse der Einwahlschnittstelle für den Remotezugriff besitzt, und verwendet die Subnetzmaske 0.0.0.0.
B
�
Angelika erstellt auf AP-SYSTEMEDF2 für den RAS-Dienst einen statischen Adresspool für die Zuweisung von IP-Adressen und verwendet als Subnetzmaske 255.255.255.255.
C
�
Angelika erstellt auf dem DHCP-Server eine Reservierung, die für jeden Benutzer eine spezifische IP-Adresse verwendet.
D
�
Angelika weist in der Konsole Active Directory-Benutzer und -Computer für jeden Benutzer eine neue statische IP-Adresse zu. D
Die Antwort D ist richtig. In den Eigenschaften des Benutzerkontos lässt sich eine benutzerspezifische IP-Adresse einstellen. Damit werden auch Gruppeneinwählprofile ignoriert. Die Antworten A und B sind falsch. Diese Einstel-
321
Lösungen zum MS-Prüfungsreport
Kapitel 4
lungen beziehen sich auf Computer, nicht auf Benutzer. Antwort C ist auch nicht richtig. Bei den DHCP-Reservierungen kann nur eine rechnerspezifische Zuordnung gemacht werden.
HILFE SERVER •
Benutzerkonten, Remotezugriff
Kein direkter Verweis
113
Claudia verwaltet die Windows 2000-Domäne der CEYLON AIR GmbH. Sie verwaltet einen lokalen DNS-Server, der die Namensauflösung innerhalb der Internetdomäne durchführt. Dieser DNS-Server wird unter Windows 2000 Server ausgeführt. Im Netzwerk befinden sich fünf Webserver, die zusätzlich zum Online-Flugreservierungssystem Firmen- und Fluginformationen bereitstellen. Aus Performancegründen verfügen alle Webserver über den gleichen Inhalt. Alle Webserver antworten auf den Hostnamen www.CEYLONAIR.de. Die Kunden der Fluglinie beschweren sich, dass die Webserver viel zu langsam reagieren. Daraufhin überwacht Claudia die Webserver und stellt zu ihrem Erstauen fest, dass nur einer der fünf Webserver Kundenanforderungen beantwortet, die anderen vier Webserver befinden sich im Leerlauf. Claudia möchte die Lastverteilung sicherstellen und die Reaktionszeit für Kundenanforderungen verbessern. Welche Schritte kann Claudia an der DNS-Management-Konsole ausführen? (Wählen Sie zwei Antworten aus.)
A
�
Sie aktiviert Round Robin in den Eigenschaften des DNS-Servers.
B
�
Sie deaktiviert Round Robin in den Eigenschaften des DNS-Servers.
C
�
Sie aktiviert Forwarders und lässt diese auf alle Webserver verweisen.
D
�
Sie stellt sicher, dass für jeden Webserver A-Einträge erstellt wurden.
E
�
Sie stellt sicher, dass für jeden Webserver CNAME-Einträge erstellt wurden. A und D
Richtig sind hier die Antworten A und D. Round Robin ist ein Verfahren am DNS-Server, bei dem Rechner mit gleichem Namen und unterschiedlichen IP-Adressen (A-Einträge) für die Namensauflösung in eine Reihenfolge gestellt
322
Lösungen zum MS-Prüfungsreport
werden. Erfolgt eine Namensauflösung, wird der Rechner, der an erster Stelle der Reihenfolge steht, verwendet und dann an das Ende der Reihenfolge gesetzt. Für die nächste Namensauflösung wird nun »die neue Nummer 1« der Reihenfolge verwendet und dann ebenfalls ans Ende gestellt usw. Deshalb muss Round Robin aktiviert werden, um eine Lastverteilung bzw. ein redundantes System zu erhalten.
HILFE SERVER • •
Subnetzpriorität Round Robin
Kein direkter Verweis
114
Wolfgang betreut das Netzwerk in einem mittelständischen Unternehmen. Das Netzwerk besteht aus zehn Windows 2000 Servern, 250 Windows 2000 Professional-Rechnern und 25 UNIX-Servern. Der DNS-Server ist auf einem der Windows 2000 Server installiert. Die DNS-Zone ist als integrierte Active Directory-Zone konfiguriert. Die Konfiguration der DNS-Zone lässt dynamische Aktualisierungen zu. Die Netzwerkbenutzer können unter Verwendung des Hostnamens nicht auf die UNIX-Server in der Domäne zugreifen. Wenn Sie das Gleiche mit Windows 2000-Rechnern durchführen, klappt das ohne Probleme. Was sollte Wolfgang unternehmen, um dieses Problem aus der Welt zu schaffen?
A
�
Er fügt für die UNIX-Server A-Einträge in die Zonendatenbank hinzu.
B
�
Er fügt manuell die UNIX-Server zur Windows 2000-Domäne hinzu.
C
�
Er erstellt auf dem DNS-Server manuell eine HOSTS-Datei, welche die Einträge für die UNIX-Server enthält.
D
�
Er konfiguriert einen UNIX-Rechner als DNS-Server in einer sekundären Zone. A
Die Antwort A ist richtig. Unix-Server unterstützen nicht die dynamische Aktualisierung. Nur Windows 2000-Rechner haben die Funktionalität, ihre Einträge beim DNS-Server selbst durchzuführen. Deshalb muss Wolfgang die Einträge manuell der Zonendatenbank hinzufügen. Die Antwort B ist falsch. Es geht bei der Aufgabe um die Namensauflösung, nicht um eine Mitgliedschaft in der Domäne. Antwort C ist auch nicht richtig. Damit könnte nur der DNS-Server eine Namensauflösung der UNIX-Rechner durchführen. Die Antwort D entspricht nicht der Fragestellung.
323
Lösungen zum MS-Prüfungsreport
Kapitel 4
HILFE SERVER •
DNS, Dynamische Aktualisierung Windows 2000 Netzwerkinfrastruktur-Administration, ISBN 3-86063-277-9
•
Konfigurieren der Zonen für die dynamische Aktualisierung, S. 221
115
Sie sind in Ihrem Unternehmen als Netzwerkadministrator tätig. Das Netzwerk besteht aus zwei Windows 2000 Servern und 50 Windows 2000 Professional-Rechnern. Sie verwenden DHCP, um die Zuweisung der TCP/IP-Konfiguration an die Clientcomputer zu automatisieren. Sie konfigurieren den DHCP-Server, um die Forward- und Reverse-Lookupzonen des DNS-Servers automatisch mit den DHCP-Clientinformationen zu aktualisieren. Sie stellen fest, dass 15 der Clientcomputer in der Reverse-Lookupzone mit entsprechenden PTR-Ressourceneinträgen aufgeführt sind. Für die verbleibenden 35 Clientcomputer sind keine PTR-Einträge vorhanden. Wie lösen Sie dieses Problem?
A
�
Sie konfigurieren die Clientcomputer und legen fest, dass diese ihre A (Host)-Einträge beim DNS-Server registrieren lassen.
B
�
Sie konfigurieren die Clientcomputer und legen fest, dass diese ihren Domänennamen nicht beim DNS-Server registrieren lassen.
C
�
Sie aktivieren auf dem DHCP-Server die Aktualisierung von Clientcomputern, die keine dynamische Aktualisierung unterstützen.
D
�
Sie konfigurieren den DHCP-Server und legen fest, dass DNS grundsätzlich aktualisiert wird, und zwar auch dann, wenn ein Clientcomputer keine Aktualisierung anfordert. D
Die Antwort D ist richtig. Laut Aufgabenstellung sind nur Windows 2000-Rechner im Einsatz. Diese unterstützen die dynamische Aktualisierung. Damit scheidet Antwort C bereits aus. Aktualisiert sich ein DHCP-Client selbst beim DNS-Server, so hängt es vom so genannten Flag im DHCPREQUEST ab, ob der Client beim DNS-Server auch den PTR-Eintrag durchführt. Dies scheint nicht bei allen Clients der Fall zu sein. Mit der Änderung des Flags im DHCPREQUEST aktualisiert der DHCP-Server den Client beim DNS, auch wenn dieser das nicht anfordert.
324
Lösungen zum MS-Prüfungsreport
Die Antwort A ist falsch. Die Clients können ihre A-Einträge sowieso beim DNSServer registrieren. Die Antwort B ist auch nicht richtig. Der Domänenname ergibt sich aus der Forward-Lookupzone und wird zusammen mit dem dazugehörigen A-Eintrag, als Kombination zum FQDN, an die Reverse-Lookupzone übergeben. Dort wird dann der PTR-Eintrag erstellt.
HILFE SERVER •
DNS, PTR-Einträge
Kein direkter Verweis
116
Sie sind in Ihrem Unternehmen als Netzwerkadministrator tätig. Das Netzwerk besteht aus einer einzigen Windows 2000-Domäne und verwendet als Transportprotokoll ausschließlich TCP/IP. Sie verwenden DHCP, um den Windows 2000 Professional-Rechnern IP-Adressen zuzuordnen. Sie fügen dem Netzwerk 20 neue Windows 2000 Professional-Rechner hinzu. Die Benutzer berichten, dass der Zugriff auf Netzwerkressourcen ab und zu nicht möglich ist. Arbeitsgruppenressourcen sind jedoch häufiger verfügbar. Dieser Unbeständigkeit beim Serverzugriff scheint kein Verhaltensmuster zugrunde zu liegen. Sie überprüfen die TCP/IP-Konfiguration eines betroffenen Computers und stellen fest, dass der Computer die Adresse 169.254.0.16 verwendet, die in Ihrem Netzwerk nicht unterstützt wird. Was unternehmen Sie, um dieses Problem zu lösen?
A
�
Sie konfigurieren die Clientcomputer, um nur durch DHCP zugeordnete Adressen zu verwenden.
B
�
Sie konfigurieren die Clientcomputer, um nur von autorisierten DHCPServern Adressen zu akzeptieren.
C
�
Sie fügen dem vorhandenen DHCP-Adressbereich weitere Adressen in ausreichendem Maße hinzu, um die neuen Clientcomputer im Adressbereich zu berücksichtigen.
D
�
Sie erstellen auf dem DHCP-Server einen neuen Adressbereich, um die neuen Clientcomputer zu berücksichtigen. C
325
Lösungen zum MS-Prüfungsreport
Kapitel 4
Die Antwort C ist richtig. Da die neuen Clients eine 169.254.x.y-Adresse haben, wurde die APIPA-Funktion gestartet. Das heißt, die Clients sind für DHCP konfiguriert (damit scheidet Antwort A aus), haben aber vom DHCP-Server keine IP-Adresse erhalten. Von den angebotenen Möglichkeiten kommt nur in Frage, dass der DHCP-Server keine IP-Adressen in seinem konfigurierten Bereich zur Verfügung hat. Die Antwort B ist falsch. Diese Einstellung lässt sich an einem DHCP-Client nicht konfigurieren. Die Antwort D ist auch nicht richtig. Für einen neuen Adressbereich braucht man ein neues Subnetz. Davon ist nicht die Rede.
HILFE SERVER • •
APIPA DHCP Windows 2000 Netzwerkinfrastruktur-Administration, ISBN 3-86063-277-9
•
Automatische private IP-Adresszuweisung
117
Sie sind der Administrator eines Windows 2000-Netzwerks. Das Netzwerk besteht aus zehn Segmenten. Die Segmente sind durch vier Windows 2000 Server-basierte Router namens Router1, Router2, Router3 und Router4 miteinander verbunden. Der Routing und RAS-Dienst arbeitet auf diesen vier Servern als Router. Für den Austausch von Routinginformationen verwenden die vier Server RIP, Version 2 für IP. Es sind im Netzwerk noch weitere Router vorhanden, die für den Austausch von Routinginformationen RIP, Version 2 verwenden. Es ist möglich, dass diese anderen Router falsch konfiguriert wurden und daher inkorrekte Routinginformationen enthalten. Sie möchten sicherstellen, dass Router1, Router2, Router3 und Router4 keine Routen verarbeiten, die nicht von Router1, Router2, Router3 oder Router4 stammen. Wie konfigurieren Sie die vier Router, um dieses Ziel zu erreichen? (Wählen Sie alle zutreffenden Antworten aus.)
A
�
Sie konfigurieren das Routingprotokoll RIP auf den vier Routern für die Verwendung von RIP-Peerfiltern. Sie führen jeweils die anderen drei Router als RIP-Peers auf.
B
�
Sie konfigurieren jede RIP-Schnittstelle an den vier Routern und legen fest, dass Unicast-Ankündigungen an RIP-Nachbarn erfolgen. Sie führen jeweils die anderen drei Router als RIP-Nachbarn auf.
326
Lösungen zum MS-Prüfungsreport
C
�
Sie konfigurieren jede RIP-Schnittstelle der vier Router für die Verwendung der Kennwortauthentifizierung. Sie verwenden auf allen vier Routern das gleiche Kennwort.
D
�
Sie konfigurieren an jeder RIP-Schnittstelle der vier Router für ausgehende Routen Routefilter. Sie kündigen nur Routen in den Routenbereichen der Netzwerkkennungen an, die mit den vier Routern verbunden sind. A und C
Antwort A ist richtig. Mit der Peer-Filterung lässt sich an einem Router festlegen, von welchem Router (IP-Adresse des Routers) er Ankündigungen akzeptiert. Antwort C ist auch richtig. Mit RIP, Version 2 lässt sich eine Authentifizierung basierend auf Kennwörtern einstellen. Die Antwort B ist falsch. Damit erreicht man, dass die Router keine Broadcasts zur Routerankündigung verwenden. Dabei wird nur weniger Netzverkehr erzeugt, was aber mit der vorliegenden Aufgabenstellung nichts zu tun hat. Die Antwort D ist auch falsch. Mit Routefiltern kann man einem Router bestimmte Netzadressen vorgeben, die von ihm akzeptiert werden.
HILFE SERVER • •
IP-Paketfilterung RIP
Kein direkter Verweis
118
Sie sind in Ihrem Unternehmen als Netzwerkadministrator tätig. Das Netzwerk besteht aus vier durch einen Router verbundenen IP-Subnetzen und umfasst zwölf Windows 2000 Server sowie 100 Windows 2000 Professional-Rechner, die gleichmäßig über die vier Subnetze verteilt sind. Alle Server werden zur Bereitstellung von Datei- und Druckressourcen für die Clientcomputer eingesetzt. Sie installieren den WINS-Serverdienst auf einem Server in genau einem Subnetz. Sie geben in einem DHCP-Adressbereich eine WINS-Option an, die alle anderen Computer im Netzwerk so konfiguriert, dass sie sich für die NetBIOS-Namensauflösung beim WINS-Server registrieren lassen und diesen abfragen. Innerhalb von vier Stunden nach der Installation und Konfiguration berichten die Benutzer von den Remotesubnetzen, dass es ihnen nicht möglich ist, unter Verwendung des NetBIOS-Namens auf die Ressourcen des WINS-Ser-
327
Lösungen zum MS-Prüfungsreport
Kapitel 4
vers zuzugreifen. Andere TCP/IP-Verbindungen sind davon nicht betroffen. Die Benutzer, die sich im selben Subnetz wie der WINS-Server befinden, haben beim Zugriff auf dessen Ressourcen keine Probleme. Was unternehmen Sie, um dieses Problem zu lösen? A
�
Sie installieren in jedem Remotesubnetz einen WINS-Proxy-Agenten.
B
�
Sie installieren in dem Remotesubnetz, in dem sich der WINS-Server befindet, einen WINS-Proxy-Agenten.
C
�
Sie konfigurieren den WINS-Server und registrieren die IP-Adressen aller Gateways auf dem Router.
D
�
Sie konfigurieren den WINS-Server, um die eigene IP-Adresse als WINSClientcomputer anzugeben. D
Die Antwort D ist richtig. Zeitliche Probleme bei der Aktualisierung der WINS-Datenbank scheiden nach vier Stunden aus. Da auf die Ressourcen des WINS-Servers nicht zugegriffen werden kann, bleibt nur die Möglichkeit, dass der WINS-Server keinen WINS-Eintrag in seiner eigenen Datenbank hat. Die Antworten A und B sind falsch, da der WINS-Proxy nur benötigt wird, wenn man nicht WINS-fähige Clients im Netz hat. Die Antwort C hat mit dieser Aufgabe nichts zu tun, da es sich hier nicht um ein Routingproblem handelt, sondern um ein Problem der Namensauflösung.
HILFE SERVER • •
WINS-Server WINS-Clients Windows 2000 Netzwerkinfrastruktur-Administration, ISBN 3-86063-277-9
•
Implementieren von WINS, S. 248 ff.
119
Sie sind der Administrator eines Windows 2000-Netzwerks, das aus einem Windows 2000 Server namens ServerA und 50 Windows 2000 Professionals besteht. ServerA verfügt über eine DFÜ-Verbindung für den Internetzugang. Alle Windows 2000 Professionals im Netzwerk sind für die Verwendung der automatisierten privaten IP-Adressierung (APIPA) konfiguriert. Es gibt im Netzwerk keinen DHCP-Server.
328
Lösungen zum MS-Prüfungsreport
Um allen Windows 2000 Professionals im Netzwerk den Internetzugang über die DFÜ-Verbindung von ServerA zu ermöglichen, entschließen Sie sich, das Routingprotokoll für die Netzwerkadressübersetzung (NAT) zu installieren. Sie konfigurieren ServerA wie folgt: • • •
• •
Die LAN-Schnittstelle auf ServerA besitzt die IP-Adresse 10.65.3.1 und die Subnetzmaske 255.255.255.0. NAT ordnet den Computern an der privaten Schnittstelle automatisch IP-Adressen aus dem Adressbereich von 10.65.3.2 bis 10.65.3.60 zu. Um die Verbindung zum Internetdienstanbieter (ISP) herzustellen, verwendet NAT eine Wählen-bei-Bedarf-Schnittstelle namens ISPWahl. Die Schnittstelle ISP-Wahl verwendet den Adresspoolbereich 207.46. 179.33 bis 207.46.179.36. Die Routingtabelle enthält eine statische Standardroute für die öffentliche Schnittstelle.
Welche Konfiguration verwenden Sie für die statische Route der öffentlichen Schnittstelle? A
�
Schnittstelle: LAN-Verbindung Ziel: 207.46.179.33 Netzwerkmaske: 255.255.255.255 Gateway: 0.0.0.0
B
�
Schnittstelle: LAN-Verbindung Ziel: 10.65.3.0 Netzwerkmaske: 255.255.255.0 Gateway: 10.65.3.1
C
�
Schnittstelle: ISP-Wahl Ziel: 0.0.0.0 Netzwerkmaske: 0.0.0.0 Gateway: (kein)
D
�
Schnittstelle: ISP-Wahl Ziel: 207.46.179.32 Netzwerkmaske: 255.255.255.240 Gateway: 207.46.179.32 C
Die Antwort C ist richtig. Eine Routenangabe mit IP-Adresse 0.0.0.0 und der Subnetmask 0.0.0.0 bezeichnet die Default-Route (Standardgateway). Damit werden alle Pakete, deren Weg sich nicht durch die lokale
329
Lösungen zum MS-Prüfungsreport
Kapitel 4
Routingtabelle ermitteln lässt, an den Rechner mit der Default-Route geschickt. Dies Einstellung wird gewöhnlich für Rechner mit Verbindung zum Internet verwendet.
HILFE SERVER •
Wählen bei Bedarf, Standardroute
Kein direkter Verweis
120
Hans-Jörg ist der Administrator einer Windows 2000-Domäne namens merknet.de und installiert an einer der Zweigstellen des Unternehmens einen DHCP-Server. Er definiert einen Adressbereich von 60 IP-Adressen. Die Benutzer der Zweigstelle teilen ihm mit, dass bei jedem Neustart eine Fehlermeldung angezeigt wird, die darauf hinweist, dass DHCP nicht verfügbar ist. Hans-Jörg untersucht das Problem im DHCP-Überwachungsprotokoll, das folgenden Hinweis enthält: ID Datum, Uhrzeit, Beschreibung, IP-Adresse, Hostname, MAC-Adresse OO, 12/05/99, 01:19:56, Gestartet,,, 54, 12/05/99, 01:19:57, Autorisierung fehlgeschlagen,, merknet.de, Wie geht Hans-Jörg vor, um das DHCP-Problem zu beseitigen?
A
�
Er führt den Befehl Jetpack aus.
B
�
Er stimmt alle Bereiche aufeinander ab.
C
�
Er autorisiert den DHCP-Adressbereich.
D
�
Er autorisiert den DHCP-Server. D
Die Antwort D ist richtig. Aus dem Überwachungsprotokoll geht hervor, dass die Autorisierung fehlgeschlagen ist. Ein DHCP-Server, der in der Domäne nicht autorisiert ist, stellt den DHCP-Serverdienst ein. Damit erhalten die DHCP-Clients keine IP-Adressen. Antwort A ist falsch. Jetpack wird primär zum Komprimieren der WINS-Datenbank verwendet. Die Antwort B ist auch falsch. Bereiche werden an einem DHCP-Server abgestimmt, wenn die Datenbank eines anderen DHCP-Servers »importiert« wurde. Antwort C ist auch nicht richtig. Adressbereiche können nicht autorisiert werden.
330
Lösungen zum MS-Prüfungsreport
HILFE SERVER • • •
DHCP, Autorisierung DHCP, Komprimieren der Datenbank DHCP, Bereichsabstimmung Windows 2000 Netzwerkinfrastruktur-Administration, ISBN 3-86063-277-9
•
Abstimmung der DHCP-Serverdatenbank, S. 303
121
Sie sind der Administrator eines Windows 2000-Netzwerks. Ihr Unternehmen möchte seinen Kunden die Möglichkeit geben, zur Durchführung von Kreditkartentransaktionen eine Verbindung zum Webserver herzustellen. Sie möchten gewährleisten, dass diese Transaktionen durch Verschlüsselung geschützt werden. Sie möchten den Kunden bei Onlinetransaktionen die Identität Ihres Webservers bestätigen. Darüber hinaus möchten Sie Ihre Kunden davon überzeugen, dass Sie in der Lage sind, zertifikatsbasierte Anmeldungen für Angestellte Ihres Unternehmens, die Zugriff auf Privatbereiche des Webservers benötigen, zu unterstützen. Wie gehen Sie vor?
A
�
Sie installieren eine Organisationszertifizierungsstelle.
B
�
Sie installieren eine untergeordnete Organisationszertifizierungsstelle, die eine kommerzielle Zertifizierungsstelle als übergeordnete Zertifizierungsstelle verwendet.
C
�
Sie installieren eine eigenständige Zertifizierungsstelle.
D
�
Sie installieren eine untergeordnete, eigenständige Zertifizierungsstelle, die eine kommerzielle Zertifizierungsstelle als übergeordnete Zertifizierungsstelle verwendet. B
Aufgrund der Fragestellung ergibt sich folgendes Bild: Wir brauchen hier entweder eine Stammzertifizierungsstelle (im Active Directory) oder eine externe Zertifizierungsstelle bzw. eine untergeordnete Zertifizierungsstelle, die eine der beiden als übergeordnete Zertifizierungsstelle verwendet. Die Antwort A will zwar eine Organisationszertifizierungsstelle einrichten, jedoch geht nicht klar hervor, wie und wo. Deshalb wird diese Antwort als falsch bewertet. Die Antwort B ist die erste richtige Konstellation der Zertifizierungsstellen, um die Forderung der Aufgabenstellung zu erfüllen.
331
Lösungen zum MS-Prüfungsreport
Kapitel 4
Die Antwort C ist genauso falsch bzw. unvollständig wie die Antwort A. Die Antwort D ist in den Grundzügen richtig, wird jedoch zugunsten der Antwort B verworfen, weil hier durch den Begriff Organisationszertifizierungsstelle eine zertifikatsbasierende Anmeldung möglich ist.
HILFE SERVER • •
Zertifikate Zertifizierungsstellen Windows 2000 Netzwerkinfrastruktur-Administration, ISBN 3-86063-277-9
•
Eigenständig: untergeordnete Zertifizierungsstelle, S. 389
122
Sie sind der Administrator eines Windows 2000-Netzwerks, das aus einem Windows 2000 Server-Computer namens Srv1 und zwölf Windows 2000 Professionals besteht. Srv1verfügt über eine DFÜ-Verbindung für den Internetzugang. Srv1 ist für die Gemeinsame Nutzung der Internetverbindung konfiguriert, um den Internetzugang über die DFÜ-Verbindung von Srv1 zu ermöglichen. Die zwölf Windows 2000 Professionals sind für die statische TCP/IPAdressierung konfiguriert. Die IP-Adressen lauten 192.168.0.1 bis 192.168.0.12 und die Subnetzmaske ist 255.255.255.0. Für die zwölf Windows 2000 Professionals wurde kein Standardgateway konfiguriert. Sie stellen fest, dass die Windows 2000 Professionals nicht in der Lage sind, über die DFÜ-Verbindung von Srv1 Zugang zum Internet zu erhalten. Sie überzeugen sich, dass der bevorzugte DNS-Server auf den Windows 2000 Professionals korrekt konfiguriert ist. Was unternehmen Sie, um allen zwölf Computern den Internetzugang über die DFÜ-Verbindung von Srv1 zu ermöglichen? (Wählen Sie alle zutreffenden Antworten aus.)
A
�
Sie ändern auf dem Windows 2000 Professional mit der IP-Adresse 192.168.0.1 die IP-Adresse auf 192.168.0.13.
B
�
Sie ändern auf allen zwölf Windows 2000 Professionals die IP-Adresse auf 169.254.0.2 bis 169.254.0.13.
C
�
Sie ändern auf allen zwölf Windows 2000 Professionals die Subnetzmaske auf 255.255.0.0.
332
Lösungen zum MS-Prüfungsreport
D
�
Sie ändern auf allen zwölf Windows 2000 Professionals das Standardgateway auf 192.168.0.1.
E
�
Sie ändern auf allen zwölf Windows 2000 Professionals das Standardgateway auf 169.254.0.1. A und D
Wenn die gemeinsame Nutzung der Internetverbindung aktiviert wird, setzt dieser Rechner für die zugehörige lokale LAN-Schnittstelle seine IPAdresse auf 192.168.0.1 zurück. Damit benötigt man für die zwölf Professional Rechner IP-Adressen von 192.168.0.2 bis 192.168.0.13. Das wird dann mit der Antwort A realisiert. Man muss ja nur einen Rechner ändern, nicht alle zwölf, wie in Antwort B vorgeschlagen wird. Durch diese Umstellung ändert sich für die zwölf Professionals auch das Standardgateway auf die IP-Adresse 192.168.0.1. Damit ist die Antwort D auch richtig. Die Antwort C ist falsch. Die Subnetmask zu ändern, ist einfach unsinnig. Die Antwort E ist auch nicht richtig. Das Standardgateway auf eine APIPA-Adresse zu setzen, ergibt hier auch keinen Sinn.
HILFE SERVER • •
NAT / ICS APIPA Windows 2000 Netzwerkinfrastruktur-Administration, ISBN 3-86063-277-9
• • • •
Öffentliche und private Adressen, S. 358 ff. Installieren und Konfigurieren von NAT, S. 374 ff. Aktivieren der gemeinsamen Nutzung der Internetverbindung, S. 368 Automatische private IP-Adresszuweisung, S. 44
123
Ihr Netzwerk verwendet ausschließlich TCP/IP und umfasst Windows 2000 Professional- sowie Windows NT 4.0-Arbeitsstationen. Einer der Server im Netzwerk arbeitet sowohl als WINS-Server als auch als DNSServer. Die IP-Adresse des Servers lautet 192.168.1.10. Alle Clients verwenden diesen Server für DNS- und WINS-Dienste. Die Benutzer an den Windows NT 4.0-Arbeitsstationen können zum Dateiserver APSYSTEME_ONE keine Verbindung herstellen, die Benutzer an den Windows 2000 Professional-Rechnern haben keinerlei Probleme. AP-SYSTEME_ONE wurde die Adresse 192.168.1.11. statisch zugeordnet. Die TCP/IP-Einstellungen für AP-SYSTEME_ONE sind wie in der Grafik dargestellt vergeben.
333
Lösungen zum MS-Prüfungsreport
Kapitel 4
Was sollten Sie ändern, um den Windows NT 4.0-Arbeitsstationen den Aufbau von Verbindungen zu AP-SYSTEME_ONE zu ermöglichen? A
�
Sie fügen die von den Windows NT 4.0-Arbeitsstationen verwendete WINS-Adresse hinzu und aktivieren das Kontrollkästchen LMHOSTSABFRAGE AKTIVIEREN.
B
�
Sie aktivieren das Kontrollkästchen LMHOSTS-ABFRAGE AKTIVIEREN und importieren die von den Windows NT 4.0-Arbeitsstationen verwendete Lmhosts-Datei.
C
�
Sie aktivieren das Kontrollkästchen NETBIOS ÜBER TCP/IP AKTIVIEREN und fügen die von den Windows NT 4.0-Arbeitsstationen verwendete WINS-Adresse hinzu.
D
�
Sie aktivieren das Kontrollkästchen NETBIOS-EINSTELLUNGEN ÜBER DHCP-SERVER BEZIEHEN und fügen die von den Windows NT 4.0Arbeitsstationen verwendete WINS-Adresse hinzu. C
Hier stellt sich die Frage, warum nur NT-Clients das Problem haben. Die Lösung ergibt sich aus der Historie von NT 4. Bei Verwendung von TCP/ IP als Protokoll war der WINS-Server für die dynamische Namensauflösung von Rechnernamen in IP zuständig. Grundsätzlich kann man eines sagen: WINS ist immer dann nötig, wenn es um NetBIOS-basierte Applikationen geht. In unserem
334
Lösungen zum MS-Prüfungsreport
Fall muss sichergestellt werden, dass die NT-Clients Verbindungen zu den Servern aufbauen können. Dies erfordert die Aktivierung von NetBIOS über TCP/IP, was im Lösungsvorschlag C klar ausgedrückt ist. Lösungsvorschlag A suggeriert, dass der WINS-Server nicht bekannt ist. Man kann davon ausgehen, dass der Server bereits bekannt ist; wenn dieser aber NetBIOS über TCP/IP deaktiviert hat, dann kann ein NT-Client diesen Server nicht erreichen. Lösungsvorschlag B würde statische Zuordnungsdateien auf den Clients voraussetzen, was hier nicht der Fall ist. Lösungsvorschlag D wiederum hat mit der Lösung des Problems nichts zu tun. Fakt dieser Ausführung ist: Durch das Hinzufügen des WINS-Server-Eintrags und Aktivieren von NetBIOS über TCP/IP registriert sich AP-SYSTEME_ONE beim WINS-Server. Er kann somit auch durch die NT 4.0-Arbeitsstationen per NetBIOSNamen angesprochen werden.
HILFE SERVER •
WINS, Erweiterte TCP/IP-Einstellungen Windows 2000 Server, ISBN 3-86063-278-7
•
Kap. 9 S. 409ff.
124
Astrid, die Administratorin Ihrer Firma, installiert und konfiguriert auf einem Windows 2000 Server den DHCP-Dienst, um die Konfiguration der TCP/IP-Clients, einschließlich der Netzwerkdrucker, zu vereinfachen. Sie erstellt auf dem DHCP-Server einen Adressbereich, der die gültigen IPAdressen umfasst. Astrid möchte sicherstellen, dass die TCP/IP-Drucker immer die gleiche IP-Adresse besitzen, und erstellt deshalb einen Ausschlussbereich für die einzelnen Drucker. Allerdings stellt sie nach kurzer Zeit fest, dass nun die Drucker keine IP-Adressen vom DHCP-Server erhalten. Was sollte Astrid unternehmen, um dieses Problem in den Griff zu bekommen?
A
�
Astrid entfernt die Adressreservierungen für die TCP/IP-Drucker.
B
�
Astrid entfernt den Ausschlussbereich für die von den TCP/IP-Druckern verwendeten Adressen..
C
�
Astrid deaktiviert die Funktion zur Erkennung von Adresskonflikten für den DHCP-Serverdienst.
D
�
Astrid aktiviert die Funktion zur Erkennung von Adresskonflikten für den DHCP-Serverdienst.
335
Lösungen zum MS-Prüfungsreport
Kapitel 4
B Hier ist die Antwort B richtig. Adressen im Ausschlussbereich werden vom DHCP-Server nicht verwendet. Darum erhalten die Drucker keine IPAdressen. Um sicherzustellen, dass die Drucker immer die gleichen IP-Adressen erhalten, müssen Reservierungen erstellt werden, womit man die Antwort A ausschließen kann. Die Antworten C und D sind falsch. Die Adresskonflikterkennung hat mit dem vorliegenden Problem nichts zu tun.
HILFE SERVER •
DHCP, Ausschlussbereiche Windows 2000 Netzwerkinfrastruktur-Administration, ISBN 3-86063-277-9
•
Festlegen von Ausschlussbereichen
125
Sie sind in Ihrem Unternehmen als Netzwerkadministrator tätig. Ihr Netzwerk ist wie im Diagramm dargestellt konfiguriert.
A
D 25 Windows 2000 Professional
25 Windows 2000 Professional
ROUTER
ROUTER
B
C
DHCP Server mit 4 Bereichen
20 Windows 2000 Professional Schnittstelle mit DHCP Relay Agent
336
20 Windows 2000 Professional
Lösungen zum MS-Prüfungsreport
Sie konfigurieren einen Windows 2000 Server. Dieser soll den gesamten Netzwerkverkehr in Ihrem Intranet routen. Die Benutzer in beiden Segmenten benötigen gegenseitig Zugriff auf Dateien in allen Segmenten. Die nachfolgende Tabelle zeigt einen Teil der Routingtabelle. Netzwerkziel
Netzwerkmaske
Gateway
Schnittstelle
Anzahl
10.0.0.0 10.0.0.169 192.168.0.0 192.168.0.200
255.0.0.0 255.255.255.255 255.255.0.0 255.255.255.255
10.0.0.169 127.0.0.1 192.168.0.200 127.0.0.1
10.0.0.169 127.0.0.1 192.168.0.200 127.0.0.1
1 1 1 1
Sie installieren und starten auf dem Server auch den Webdienst IIS (Internet Information Services). Benutzer aus beiden Segmenten berichten, dass ihnen der Zugang zum Webdienst nicht möglich ist. Wie gehen Sie vor, um das Problem zu beseitigen? A
�
Sie deaktivieren sämtliche TCP/IP-Portfilter.
B
�
Sie erstellen einen PPTP-Tunnel mit einem Filter, der mit Ausnahme von Protokoll 6 alles filtert.
C
�
Sie führen den Befehl route delete 192.168.0.0 und den Befehl route add 192.168.0.0 mask 255.255.0.0 10.0.0.169 aus.
D
�
Sie führen den Befehl route delete 10.0.0.0 und den Befehl route add 192.168.0.0 mask 255.0.0.0 192.168.0.200 aus. A
Antwort A ist die richtige Antwort. Der Aufgabenstellung ist nicht zu entnehmen, ob der Windows 2000-Server, der als Router fungieren soll, noch gar nicht installiert war, oder ob nur noch der Routing und RAS-Dienst konfiguriert werden soll. Nach einer Neuinstallation eines Servers sind nämlich keine Filter gesetzt. Es ist jedoch durchaus möglich, dass bei diesem Rechner Portfilter gesetzt waren, die eine Verbindung über Port 80 (HTTP) nicht zulassen. Antwort B ist nicht richtig. Ein IP-Datagramm enthält einen IP-Header mit 20 Byte Länge. Darin enthalten ist u.a. eine Kennung für das IP-Clientprotokoll. Dabei hat TCP die Protokollkennung 6. Die Antworten C und D sind nicht richtig. Die Einträge in der Routingtabelle des Rechners für die beiden Schnittstellen (die direkt angebundenen Netzwerkrouten) sind offensichtlich in Ordnung. Das Subnetz 192.168.0.0 ist nicht über die Schnittstelle 10.0.0.169 zu erreichen (Antwort C) und Vorschlag D entfernt den Eintrag für das Subnetz 10.0.0.0. Des Weiteren muss der Server, wenn er als Webserver angesprochen wird, keine Routingtätigkeit ausführen.
337
Lösungen zum MS-Prüfungsreport
Kapitel 4
HILFE SERVER Kein direkter Verweis Windows 2000 Netzwerkinfrastruktur-Administration, ISBN 3-86063-277-9 •
Implementieren von Routing für Wählen bei Bedarf, S. 330 ff.
126
Peter W. administriert ein Netzwerk, bestehend aus zwei Subnetzen: SubnetzA und SubnetzB. In Subnetz A befinden sich drei Windows 2000 Server und 120 Windows 2000 Professionals. Zum Subnetz B gehören drei Windows NT 4.0 Server und 80 NT 4.0 Workstations. Im Netzwerk sind DHCP, DNS und WINS im Einsatz. In jedem Subnetz befindet sich ein WINS-Server, WINSA in SubnetzA und WINSB in SubnetzB. Die beiden WINS-Server sind als Push- und Pull-Partner konfiguriert. Sie replizieren sich täglich um 12.00 Uhr und nach zehn Änderungen. Jeden Tag nach Arbeitsschluss führt Peter eine manuelle Sicherung der WINSDatenbank auf jedem WINS-Server durch. Auf jedem WINS-Server ist die WINS-Datenbank auf Laufwerk C: gespeichert, der Standardsicherungspfad verweist auf Laufwerk F:. Die Sicherung wird immer auf Laufwerk F: durchgeführt. An einem Donnerstag um 09.13 Uhr wird das Laufwerk C: von WINSB defekt. Peter ersetzt die defekte Platte und stellt das Laufwerk mit einer Bandsicherung wieder her. Jetzt will Peter die WINS-Datenbanksicherung vom Mittwochabend zurücksichern. Welche Schritte muss Peter dazu durchführen?
A
�
Er löscht alle Dateien im Verzeichnis auf Laufwerk C:, in dem sich die WINS-Datenbank befindet.
B
�
Er kopiert die Dateien aus WINS_BAK\NEW in das Verzeichnis, in dem sich die WINS-Datenbank befindet
C
�
Er ändert in den Eigenschaften von WINSB den Pfad zu den Datenbankdateien in den Pfad zu den Sicherungsdaten.
D
�
Er startet den WINS-Serverdienst manuell, um die Wiederherstellung durchzuführen. A
Die Aufgabenstellung erscheint hier nicht ganz klar. Wenn das Laufwerk C defekt ist, wie startet man den Server, um die WINS-Datenbank zurückzusichern?
338
Lösungen zum MS-Prüfungsreport
Man geht am besten nach dem Ausschlussverfahren vor. Angenommen, der Server startet. Dann wird auch der WINS-Dienst gestartet. Damit scheidet Antwort D aus. Das Ändern des Sicherungspfads, wie in Antwort C beschrieben, bringt hier auch nichts. Antwort B ist ebenso falsch. Das Verzeichnis WINS_BAK/NEW wird erstellt, wenn die WINS-Datenbank vom WINS-Server gesichert wird. Zum Sichern muss die WINS-Datenbank aber vorhanden sein und diese wieder herzustellen, ist ja die Aufgabe. Bleibt nur Antwort A übrig. Die WINS-Datenbank existiert im Moment noch nicht. Der WINS-Dienst erstellt jedoch ein Verzeichnis /WINS mit den Dateien *.log und *.chk. Um diese Dateien zu löschen, muss aber erst der WINS-Dienst gestoppt werden.
HILFE SERVER •
WINS, Wiederherstellen der Datenbank
Kein direkter Verweis
127
Hans-Jörg administriert ein Netzwerk, bestehend aus zwei Subnetzen. Die Rechner in beiden Subnetzen haben eine statische IP-Konfiguration. In jedem Subnetz ist ein WINS-Server, MVSWINS01 und MVSWINS02. Die beiden WINS-Server sind als Push- und Pull-Partner konfiguriert. Die Zeit für die WINS-Konvergenz ist auf eine Stunde eingestellt. Die WINSDatenbank auf jedem WINS-Server wird standardmäßig automatisch gesichert. Auf jedem WINS-Server ist die WINS-Datenbank auf Laufwerk C: gespeichert, der Standardsicherungspfad verweist auf Laufwerk F:. An einem Dienstag um 11.00 Uhr wird das Laufwerk C: von MVSWINS01 defekt. Hans-Jörg ersetzt die defekte Platte und stellt das Laufwerk mit einer älteren Bandsicherung wieder her. Jetzt will Hans-Jörg die WINS-Datenbank schnell auf den neuesten Stand bringen. Welche Schritte muss Hans-Jörg dazu durchführen?
A
�
Er löscht alle Dateien im Verzeichnis WINS_BAK\NEW von MVSWINS01.
B
�
Er kopiert die Dateien aus WINS_BAK\NEW in das Verzeichnis, in dem sich die WINS-Datenbank befindet
C
�
Er ändert in den Eigenschaften von WINSB den Pfad zu den Datenbankdateien in den Pfad zu den Sicherungsdaten.
D
�
Er stellt den Registrierungsschlüssel InitTimeReplication bei MVSWINS01 und MVSWINS02 auf Wert 1, den Registrierungsschlüssel InitTimePause bei MVSWINS01 ebenfalls auf 1 und startet MVSWINS01 neu.
339
Lösungen zum MS-Prüfungsreport
Kapitel 4
D Antwort D ist richtig. Sie beschreibt den Weg, eine WINSDatenbank mithilfe der Replikation von einem Push- und Pull-Partner wiederherzustellen. Die beiden Registrierungsschlüssel steuern das Replikationsverhalten. InitTimeReplication bestimmt, ob zu den konfigurierten Replikationsintervallen repliziert wird (Wert 0), und InitTimePause regelt den Start in einem angehaltenen Status (Wert 1), in welchem der WINS-Server keine Namensregistrierungen, Freigaben oder Abfragen entgegennimmt. Antwort A ist nicht richtig. Bei dieser Vorgehensweise werden die Daten der automatischen Sicherung gelöscht. Antwort B ist auch falsch. Zwar ist der Standardsicherungspfad das Verzeichnis WINS_BAK\NEW, die Wiederherstellung geschieht jedoch mit der dafür vorgesehenen Funktion in der MMC, nicht durch Kopieren der Dateien. Antwort C ist nicht richtig, da bei dieser Aktion die Datenbank nicht wiederhergestellt würde.
HILFE SERVER •
WINS, Wiederherstellen der Datenbank Windows 2000 Netzwerkinfrastruktur-Administration, ISBN 3-86063-277-9
Kein direkter Verweis
128
Sie administrieren das Netzwerk einer Firma mit Hauptsitz in Altötting und einer Nebenstelle in Winhöring. Das Netzwerk besteht aus 20 Windows 2000 Servern und 550 Windows 2000 Professionals in der Hauptstelle und zwei Windows 2000 Servern und 40 Windows 2000 Professionals in der Nebenstelle, die gemeinsam in einer Windows 2000-Domäne verwaltet werden. In der Hauptstelle ist ein Domänencontroller als DNS-Server mit einer Active Directory-integrierten Zone konfiguriert. Aufgrund einer unzuverlässigen Verbindung zur Nebenstelle bereitet die Namensauflösung teilweise Probleme. Sie wollen in Winhöring einen DNS-Server installieren, um die Probleme zu beheben und damit auch für Redundanz bei den DNS-Daten zu sorgen. Die Administration von DNS soll weiterhin zentralisiert erfolgen und der Replikationsverkehr zwischen den Standorten soll möglichst gering gehalten werden.
340
Lösungen zum MS-Prüfungsreport
Was sollten Sie in Winhöring installieren? A
�
Sie installieren in Winhöring eine neue primäre Zone.
B
�
Sie stufen in Winhöring einen Mitgliedsserver zum Domänencontroller herauf. Danach konfigurieren Sie den DC zum DNS-Server.
C
�
Sie stufen in Winhöring einen Mitgliedsserver zum Domänencontroller herauf. Danach erstellen Sie auf dem DC eine sekundäre Active Directoryintegrierte Zone.
D
�
Sie installieren in Winhöring eine sekundäre Zone. D
Die Antwort D ist richtig. In der Aufgabe geht es um Redundanz, zentrale Administration und niedrigen Replikationsverkehr. Durch eine sekundäre Zone sind die DNS-Daten redundant und die Administration bleibt zentral. Der Replikationsverkehr ist durch inkrementelle Zonenübertragung auch niedrig. Die Antwort A ist falsch. Eine primäre Zone führt zu Problemen mit SOA und NS, da beide DNS-Server diese Einträge hätten. Die Antwort B ist auch nicht richtig, wäre aber eine Möglichkeit. Wenn man einen Server zum Domänencontroller heraufstuft, erhält er vom ersten Domänencontroller mit einer Active Directory-integrierten Zone automatisch die Daten dieser Zone durch die AD-Replikation. Damit wären die DNS-Daten redundant. Da sich bei Active Directory-integrierten Zonen die DNS-Clients an jedem Domänencontroller aktualisieren können, ist jedoch eine zentrale Verwaltung nicht gegeben. Außerdem steigt der Replikationsverkehr, da nicht nur die DNS-Zonendaten repliziert werden, sondern das gesamte Active Directory. Zu Antwort C: Eine sekundäre Active Directory-integrierte Zone gibt es nicht.
HILFE SERVER •
DNS, sekundäre Zonen Windows 2000 Netzwerkinfrastruktur-Administration, ISBN 3-86063-277-9
Kein direkter Verweis
129
Willy P. ist Administrator eines Windows 2000-Netzwerks. Das Netzwerk besteht bisher aus drei Subnetzen. Als einziges Protokoll ist TCP/IP im Einsatz. Die IP-Konfiguration auf den Clients ist statisch. Im Netz sind auch Netzwerkdrucker, die ebenfalls eine statische IP-Konfiguration besitzen. Wegen des Wachstums der Firma soll das Netzwerk um zwei Subnetze erweitert werden.
341
Lösungen zum MS-Prüfungsreport
Kapitel 4
Willy P. will einen neuen Windows 2000 Server installieren. Der Server wird mit drei Netzwerkkarten ausgestattet und soll als zweiter Router im erweiterten Netzwerk eingesetzt werden. Willy P. soll folgende Ziele erreichen: • • • • •
Der Server soll als Router konfiguriert werden. Routingtabellen sollen automatisch aktualisiert werden. Der administrative Aufwand für die IP-Konfiguration der Clients soll verringert werden. Der administrative Aufwand für die IP-Konfiguration der Netzwerkdrucker soll verringert werden. Die Netzwerkdrucker sollen eine feste IP-Adresse erhalten.
Willy P. führt folgende Schritte durch: • • • • •
Er konfiguriert den Windows 2000-Server als Router im LAN. Er aktiviert auf den beiden Routern RIP v2. Er installiert den DHCP-Serverdienst und konfiguriert fünf DHCPAdressbereiche. Er installiert auf dem bestehenden Router für die Subnetze mit Rechnern den DHCP-Relay-Agent. Er konfiguriert die Clients und Netzwerkdrucker für DHCP.
Welches Ergebnis oder welche Ergebnisse erreicht Willy P. durch diese Maßnahmen? (Wählen Sie alles Zutreffende) A
�
Der Server ist als Router konfiguriert.
B
�
Routingtabellen werden automatisch aktualisiert.
C
�
Der administrative Aufwand für die IP-Konfiguration der Clients wird verringert.
D
�
Der administrative Aufwand für die IP-Konfiguration der Netzwerkdrucker wird verringert.
E
�
Die Netzwerkdrucker erhalten eine feste IP-Adresse. A, B, C und D
Die Antwort A ist richtig, der Server wurde als Router konfiguriert. Die Antwort B ist richtig, durch RIP werden die Routingtabellen der Router dynamisch verwaltet. Die Antworten C und D sind auch richtig. Durch DHCPInstallation und -Konfiguration mit den getrennten Bereichen und den Relay-Agenten erhalten die Clients und Drucker die IP-Konfiguration. Antwort E ist nicht richtig. Damit die Drucker eine feste IP-Adresse erhalten, müssten Reservierungen durchgeführt werden.
342
Lösungen zum MS-Prüfungsreport
HILFE SERVER • • •
DHCP DHCP-Relay-Agent RIP Windows 2000 Netzwerkinfrastruktur-Administration, ISBN 3-86063-277-9
• • •
Erstellen eines DHCP-Bereichs, S. 284 ff. DHCP-Relay-Agent, S. 277 RIP, S. 53
130
Sie administrieren ein TCP/IP-Netzwerk mit derzeit 60 Subnetzen, welches aufgrund des Wachstums der Firma in der nächsten Zeit um 40 Segmente erweitert werden muss. Es werden in keinem Subnetz mehr als 500 Rechner eingesetzt. Ihrer Firma wurde die Netzwerkadresse 137.12.0.0 zugewiesen. Welche Subnetzmaske müssen Sie für die Unterteilung verwenden?
A
�
137.12.0.0 / 21
B
�
137.12.0.0 / 22
C
�
137.12.0.0 / 23
D
�
137.12.0.0 / 24 C
Die nächste Rechenaufgabe! Für 500 Hosts benötigt man 9 Bits (29 = 512) im Hostbereich der Subnetmask. Von den 512 Möglichkeiten muss man wie schon erwähnt zwei für Netzadresse sowie Broadcast des Subnetzes abziehen. Es bleiben 510 Hosts, die adressiert werden können. Die Subnetmask hat 32 Bits, minus der 9 Bits für die Hosts bleiben 23 Bits (/23) für den Netzanteil. Damit ist Antwort C richtig.
HILFE SERVER •
Umrechnung von Dezimalzahlen in Binärzahlen.
Kein direkter Verweis
343
Lösungen zum MS-Prüfungsreport
Kapitel 4
131
RIP Version 1 unterstützt nur klassenbasierte IP-Adressberechnung, da keine Subnetzmaske mit den Ankündigungen übermittelt wird. In einem klassenbasierten Netzwerk hat ein Rechner die IP-Adresse 92.2.5.67. Welches ist seine Hostadresse?
A
�
92
B
�
92.2
C
�
5.67
D
�
2.5.67
E
�
67 D
Bei RIP Version 1 wird keine Subnetmask zur Netzkennung übermittelt. Dieses Protokoll arbeitet nach der klassenbasierten Ermittlung durch die ersten Bits im ersten Byte der IP-Adresse. Die IP-Adresse 92.2.5.67 ist eine Adresse der A-Klasse und hat in der klassenbasierten Adressierung immer die Subnetmask 255.0.0.0. Damit sind die drei letzten Bytes die Hostkennung, also 2.5.67. Daraus ergibt sich die richtige Antwort D.
HILFE SERVER Kein direkter Verweis
Kein direkter Verweis
132
Sie wollen einen DHCP-Server in einem TCP/IP-Netzwerk mit sechs Subnetzen einrichten. Das Netzwerk hat zehn Windows 2000 Server und 50 Windows 2000 Professionals. Die Server befinden sich alle in einem Subnetz. Die 50 Professionals sind gleichmäßig auf drei Subnetze verteilt. Die Netzwerkadresse ist 212.47.60.0 / 27. Sie gehen davon aus, dass das Netz später erweitert werden muss, und verteilen die IP-Adressen deshalb wie folgt: Server: 212.47.60.33 bis 212.47.60.62 Clients: 212.47.60.65 bis 212.47.60.94 Clients: 212.47.60.97 bis 212.47.60.126 Clients: 212.47.60.129 bis 212.47.60.158
344
Lösungen zum MS-Prüfungsreport
Sie wollen, dass der DHCP-Server den Servern immer dieselbe eindeutige IP-Adresse zuweist, wenn ein Server ans Netz geht. Wie sollten Sie den DHCP-Server einrichten? A
�
Sie sollten drei DHCP-Bereiche bilden, einen für die Server, einen für die Clients und einen für die Router. Für die Server und Router müssen Sie eine Clientreservierung einrichten.
B
�
Sie sollten fünf DHCP-Bereiche bilden, einen für die Server, drei für die Clients und einen für die Router. Für die Server müssen Sie eine Clientreservierung einrichten.
C
�
Sie sollten vier DHCP-Bereiche bilden, einen für jedes Subnetz. Sie müssen einen einzigen Bereich für die Server vorsehen und für jeden Server eine Clientreservierung einrichten.
D
�
Sie sollten einen DHCP-Bereich bilden und für jeden Server eine Clientreservierung einrichten. C
Eine einfache Aufgabe! Durch die Subnetmask »/27« besteht jedes Subnetz aus 32 Adressen inklusive Netzadresse und Broadcast. Damit ist die Bereichszuordnung in der Aufgabe korrekt. Die Clients sind auf drei Subnetze verteilt und die Server befinden sich in einem eigenen Subnetz, sie benötigen aber immer die gleiche IP-Adresse. Dementsprechend kommt nur Antwort C in Frage. Man benötigt insgesamt vier Adressbereiche und für die Server muss eine Reservierung erstellt werden, damit sie immer die gleiche Adresse erhalten. Für jedes Subnetz mit Rechnern ist ein DHCP-Bereich einzurichten. Um den Servern eine feste IP-Adresse zuzuordnen, muss für jeden eine Clientreservierung eingerichtet werden.
HILFE SERVER •
DHCP Windows 2000 Netzwerkinfrastruktur-Administration, ISBN 3-86063-277-9
•
Erstellen eines DHCP-Bereichs, S. 284 ff.
133
Peter administriert ein TCP/IP-Netzwerk mit den vier Subnetzen Sub1, Sub2, Sub3 und Sub4. Die Netzwerkadresse ist 211.40.88.0 mit der Subnetzmaske 255.255.255. 224.
345
Lösungen zum MS-Prüfungsreport
Kapitel 4
Die IP-Adressbereiche der Subnetze sind folgende: • • • •
Sub1: 211.40.88.33 bis 211.40.88.62 Sub2: 211.40.88.65 bis 211.40.88.94 Sub3: 211.40.88.97 bis 211.40.88.126 Sub4: 211.40.88.129 bis 211.40.88.158
Die Netzwerkkarten, welche die drei Router im Netzwerk mit den vier Subnetzen verbinden, haben folgende IP-Adressen: • • •
RouterAB: 211.40.88.33 und 211.40.88.65 RouterBC: 211.40.88.94 und 211.40.88.97 RouterCD: 211.40.88.126 und 211.40.88.129
Ein Benutzer an einem Windows 2000 Professional mit der IP-Adresse 211.40.88.85 beschwert sich bei Peter, dass er keine Verbindung zu einem Windows 2000 Server mit der IP-Adresse 211.40.88.101 bekommt. Er hat keine Probleme mit der Verbindung zu zwei Rechnern in seinem Subnetz und kann sich auch mit einem Windows 2000 Server mit der IP-Adresse 211.40.88.50 verbinden. Peter führt einen PING auf die Adresse 211.40.88.101 durch und erhält eine Time-Out-Meldung. Welche IP-Adresse sollte von Peter zum Testen der Netzwerkverbindungen als Nächstes angepingt werden? A
�
211.40.88.94
B
�
127.0.0.1
C
�
211.40.88.65
D
�
211.40.88.85 A
Bei einer Time-Out-Meldung (Zeitüberschreitung der Anforderung) findet der eigene Rechner im Prinzip den Weg zum »angepingten« Rechner, er erhält aber aus unbekannten Gründen keine Antwort. Damit beginnt die Fehlersuche. Der erste Schritt ist hier die so genannte »near-side« des Routers. In unserem Fall ist das die Adresse 211.40.88.94, das ist die Antwort A. Die Antworten B, C und D sind falsch. Aus der Fehlermeldung »Time-Out« ergibt sich, dass der eigene Rechner so weit in Ordnung ist. Damit ist ein Ping auf 127.0.0.1 und 211.40.88.85 überflüssig. Ein Ping auf 211.40.88.65 wäre zwar auch ein Ping auf die »near-side« des Routers, allerdings in der falschen Richtung.
346
Lösungen zum MS-Prüfungsreport
HILFE SERVER Kein direkter Verweis
Kein direkter Verweis
134
Sie sind Administrator eines Windows 2000-Netzwerks. Ihr Netzwerk besteht aus fünf Subnetzen, die über einen Router miteinander verbunden sind. Auf diesem Router ist BOOTP-Relay aktiviert. Im Netzwerk befinden sich 80 Windows 2000 Server und 800 Windows 2000 ProfessionalRechner. Diese Rechner sind relativ gleichmäßig über die Subnetze verteilt. Zusätzlich befinden sich im Netz 20 UNIX-Server und 100 DHCP-aktivierte Netzwerkdrucker. Sie sollen das Netzwerk optimieren, um folgende Ziele zu erreichen: • • • • •
Die korrekte Zuordnung von IP-Adressen an alle Clients in den Subnetzen soll automatisiert werden. Adresskonflikte zwischen Servern und Clients sollen verhindert werden. Es sollen korrekte Bereichsoptionen für alle Clients in den Subnetzen verwendet werden. Inaktive Clients sollen IP-Adressen nicht länger als drei Tage behalten. Jeder Netzwerkdrucker soll immer die gleiche IP-Adresse erhalten.
Sie führen folgende Schritte durch: • • • • •
Sie konfigurieren einen der Windows 2000 Server als DHCP-Server. Sie erstellen fünf Bereiche. Jeder dieser Bereiche enthält den Adressbereich für ein bestimmtes Subnetz. Sie legen in der DHCP-Konsole im Container Bereichsoptionen für jeden Adressbereich optionale Clientkonfigurationen fest. Sie schließen den von den Servern verwendeten Adressbereich aus. Sie schließen den von den Netzwerkdruckern verwendeten Adressbereich aus.
Welches Ergebnis bzw. welche Ergebnisse erzielen Sie durch Ihre Maßnahmen? (Wählen Sie alle zutreffenden Antworten aus.) A
�
Die korrekte Zuordnung der IP-Adressen an alle Clients in allen Subnetzen wird automatisiert.
B
�
Adresskonflikte aufgrund doppelt vorhandener IP-Adressen zwischen den Clients und den Servern werden verhindert.
347
Lösungen zum MS-Prüfungsreport
Kapitel 4
C
�
Korrekte Bereichsoptionen werden für alle Clients in den Subnetzen verwendet.
D
�
Inaktive Clients können eine IP-Adresse maximal drei Tage beanspruchen.
E
�
Jeder der Netzwerkdrucker erhält immer die gleiche IP-Adresse. A, B und C
Hier geht es um den Einsatz von DHCP. Wenn die in der Frage genannten Schritte durchgeführt werden, ergibt sich folgende Lösung. Lösungsvorschlag A ist richtig, weil ein DHCP-Server konfiguriert wird (Schritt 1) und der Router BOOTP-Relay aktiviert hat (steht in der Fragestellung). Das heißt, von jedem Subnetz aus ist der DHCP-Server erreichbar. Lösungsvorschlag B ist richtig, weil in Schritt 4 der Adressbereich der Server ausgeschlossen wird. Lösungsvorschlag C ist richtig, weil in Schritt 2 für jedes Subnetz ein Bereich erstellt wird und in Schritt 3 für jeden Bereich eigene Bereichsoptionen festgelegt werden. Lösungsvorschlag D ist falsch, weil dazu weitere Konfigurationsschritte nötig wären (Leasedauer), die hier aber nicht beschrieben und demzufolge auch nicht durchgeführt sind. Die Leasedauer beträgt unter Windows 2000 standardmäßig acht Tage. Lösungsvorschlag E ist falsch, weil zwar für die Drucker ein Bereich ausgeschlossen wurde. Um jedoch immer die gleiche IP-Adresse zu bekommen, müssten Reservierungen gemacht oder feste IP-Adressen vergeben werden.
HILFE SERVER •
IP-Adressenzuordnung
Kein direkter Verweis
135
Sie administrieren ein Netzwerk, in welchem DHCP zur IP-Konfiguration der Clients im Einsatz ist. Der Windows 2000-DHCP-Server hat den Namen MVSDHCP01. Erika ist eine neue Supportmitarbeiterin. Sie wollen Erika erlauben, ausschließlich alle DHCP-Daten auf MVSDHCP01 anzusehen und zu ändern. Welche Berechtigungen erteilen Sie Erika, um dieses Ziel zu erreichen?
A
�
Sie fügen das Benutzerkonto von Erika der lokalen Gruppe der Administratoren von MVSDHCP01 hinzu.
348
Lösungen zum MS-Prüfungsreport
B
�
Sie fügen das Benutzerkonto von Erika der lokalen Gruppe der DHCPAdministratoren von MVSDHCP01 hinzu.
C
�
Sie fügen das Benutzerkonto von Erika der lokalen Gruppe der DHCPBenutzer von MVSDHCP01 hinzu.
D
�
Sie fügen das Benutzerkonto von Erika der lokalen Gruppe der Benutzer von MVSDHCP01 hinzu. B
Die Antwort B ist richtig. Bei Windows 2000 gibt es nach dem Start des DHCP-Serverdienstes zwei neue lokale Gruppen. Die DHCP-Benutzer und die DHCP-Administratoren. Mit der Gruppe »DHCP-Benutzer« wird Usern der schreibgeschützte Zugriff auf die DHCP-Console gewährt. Über die Mitgliedschaft der Gruppe »DHCP-Administratoren« hat man Vollzugriff auf die DHCP-Console. Die Antwort A ist falsch. Damit hätte Erika praktisch den Vollzugriff auf das gesamte Netzwerk und das ist sicher etwas zu viel des Guten. Die Antwort C ist auch nicht richtig (siehe Begründung für Antwort B). Antwort D ist ebenso falsch. Mitgliedern der lokalen Gruppe »Benutzer« ist das Ändern der Daten am DHCP-Server nicht erlaubt.
HILFE SERVER •
DHCP, Administratoren
Kein direkter Verweis
136
Sie leiten ein kleines Unternehmen. Sie haben ein Windows 2000-Netzwerk mit einem Server und 19 Professionals in einer Arbeitsgruppe. DNS und DHCP sind nicht im Einsatz, die Rechner haben statisch konfigurierte IP-Konfigurationen und APIPA ist deaktiviert. Der Server hat eine Wählverbindung ins Internet. Sie wollen den Professionals den Internetzugriff über den Server ermöglichen. Sie konfigurieren den Server für die gemeinsame Nutzung der Internetverbindung (ICS) auf der LAN-Schnittstelle des Servers. In den Optionen des Internet Explorers konfigurieren Sie einen Internetzugriff über das LAN und deaktivieren die Verwendung eines Proxy-Servers. Die Benutzer berichten Ihnen jedoch, dass sie über den Server keinen Zugriff auf das Internet bekommen.
349
Lösungen zum MS-Prüfungsreport
Kapitel 4
Was ist der Grund für die Probleme mit dem Zugriff? A
�
Der gemeinsame Zugriff ist nicht möglich, da kein DNS-Server installiert ist.
B
�
APIPA ist auf den Clients deaktiviert.
C
�
Die Professionals besitzen eine statische IP-Konfiguration.
D
�
ICS ist nicht auf der öffentlichen Schnittstelle des Servers konfiguriert. C
Bei der gemeinsamen Nutzung der Internetverbindung müssen die Rechner ihre IP-Adressen automatisch zugewiesen bekommen. Bei der Implementierung von ICS erhält der Server automatisch die IP-Adresse 192.168.0.1 mit der Subnetzmaske 255.255.255.0. Wenn die Clients für den automatischen Erhalt von IP-Adressen konfiguriert sind, erhalten sie automatisch Adressen ab 192.168.0.2 zugewiesen.
HILFE SERVER •
ICS Windows 2000 Netzwerkinfrastruktur-Administration, ISBN 3-86063-277-9
•
Installieren der gemeinsamen Nutzung der Internetverbindung, S. 367 ff.
137
Peter W. ist der Administrator eines Windows 2000-Netzwerks der r.e.d.– tech GmbH. Er hat gerade DHCP im Netzwerk implementiert. Mit Ausnahme der Server sind alle Hosts als DHCP-Clients konfiguriert. Nach der Aktivierung von DHCP teilen einige Benutzer Peter mit, dass sie nicht in der Lage sind, Dokumente zu drucken. Sie erhalten jedoch Verbindung zu jedem anderen Rechner im Netzwerk. Peter überprüft die IP-Konfiguration der Drucker und stellt fest, dass diese falsche IP-Adressen besitzen. Was ist die wahrscheinliche Ursache dafür, dass die Drucker falsch konfiguriert sind?
A
�
Peter hat die IP-Adressen der Drucker in den DHCP-Bereichen nicht ausgeschlossen.
B
�
Peter hat die IP-Adressen der Drucker in den DHCP-Bereichen nicht reserviert.
350
Lösungen zum MS-Prüfungsreport
C
�
Peter hat die IP-Leasedauer der Drucker nicht konfiguriert.
D
�
Die Drucker benötigen APIPA, um sich die richtigen IP-Adressen zuzuweisen. B
Die Antwort B ist richtig. Druckergeräte mit Netzwerkkarte benötigen bei der Konfiguration der Druckerschnittstelle einen neuen Druckerport, bei dem der Name oder die IP-Adresse des Druckgeräts angegeben werden müssen. Darum benötigen Drucker immer die gleiche IP-Adresse. Dazu muss man am DHCP-Server eine Reservierung erstellen. Die Antwort A ist falsch. Ein Adressbereich, der am DHCP-Server ausgeschlossen wurde, kann von diesem nicht vergeben werden. Die Antwort C ist nicht richtig. Die Leasedauer kann nicht für den Drucker, sondern nur für den Adressbereich eingestellt werden. Antwort D ist auch falsch. APIPA ist hier nicht das Thema.
HILFE SERVER •
DHCP, Reservierungen Windows 2000 Netzwerkinfrastruktur-Administration, ISBN 3-86063-277-9
•
Erstellen eines DHCP-Bereichs, S. 284 ff.
138
Sie administrieren das Netzwerk eines Unternehmens mit einem Subnetz und WAN-Verbindungen zu anderen LANs. In Ihrem Subnetz sind Windows 2000 Server und Professionals installiert. Sie wollen für die automatische IP-Konfiguration der Clients DHCP verwenden. Nach der Implementierung von DHCP auf einem Server stellen Sie fest, dass die Clients nicht auf Ressourcen von Rechnern außerhalb des eigenen Subnetzes zugreifen können. Bei der Überprüfung der IP-Konfiguration der Clients stellen Sie fest, dass die Rechner zwar IP-Adressen und die Subnetzmaske erhalten, jedoch nicht die Adressen des Standardgateways und des DNS-Servers. Welche der aufgeführten Gründe könnten die Probleme verursachen? (Wählen Sie alle zutreffenden Antworten.)
A
�
Sie haben auf dem Router keinen DHCP-Relay-Agent konfiguriert.
B
�
Sie haben die Clients nicht konfiguriert, die DNS-Serveradresse automatisch zu beziehen.
351
Lösungen zum MS-Prüfungsreport
Kapitel 4
C
�
Sie haben die Bereichsoption 003 Router nicht konfiguriert.
D
�
Sie haben die Bereichsoption 044 WINS/NBNS-Server nicht konfiguriert. B und C
Die Antwort B ist richtig. Man kann Windows 2000 (Server und Professional) bei der Konfiguration zum DHCP-Client einmal für die automatische Zuweisung der IP-Adresse und Subnetmask und zusätzlich auch für die automatische Zuweisung der DNS-Server-Adresse einstellen. Antwort C ist auch richtig. Mit der Bereichsoption 003 Router wird einem DHCP-Client automatisch vom DHCPServer die dort eingestellte IP-Adresse des Standardgateways zugeteilt. Die Antwort A ist falsch. Wenn ein DHCP-Relay-Agent nötig wäre, hätten die DHCP-Clients auch keine IP-Adresse und Subnetmask erhalten. Antwort D ist auch nicht richtig. In einem Windows 2000-Netzwerk ist WINS nicht nötig.
HILFE SERVER • •
DHCP, Bereichsoptionen DHCP-Relay-Agent Windows 2000 Netzwerkinfrastruktur-Administration, ISBN 3-86063-277-9
• •
Erstellen eines DHCP-Bereichs, S. 284 ff. DHCP-Relay-Agent, S. 277
139
Das Netzwerk des Unternehmens, in welchem Sie beschäftigt sind, ist an das Internet angeschlossen. Sie haben jetzt den DNS-Serverdienst auf einem Windows 2000 Server im Netzwerk installiert. Der Name des Servers lautet MVSDNS01 und seine IP-Adresse ist die 192.168.20.5. Sie testen den DNS-Serverdienst mit dem Abfragetest auf der Registerkarte ÜBERWACHEN in den Eigenschaften des DNS-Servers. Die einfache Abfrage bei diesem Test schlägt fehl. Welche der folgenden Maßnahmen zur Fehlerbehebung sollten Sie zuerst durchführen?
A
�
Sie überprüfen, ob die Verweise auf den Root-DNS-Server korrekt sind.
B
�
Sie überprüfen, ob der Eintrag 1.0.0.127.in-addr.arpa zone vorhanden ist.
C
�
Sie starten den Serverdienst neu.
D
�
Sie verwenden das Kommando nslookup server 192.168.20.5 set querytype=NS.
352
Lösungen zum MS-Prüfungsreport
B Die Antwort B ist richtig. Bei der einfachen Abfrage versucht ein DNS-Server, Einträge bei sich selbst zu finden. Dafür ist es aber nötig, dass er sich selbst mit dem A-Eintrag und dem PTR-Eintrag auf localhost (127.0.0.1) findet. Andernfalls hat er eine massive »Identitätskrise«. Die Antwort A ist falsch. Das wäre bereits der erweiterte (rekursive) Test. Die Antwort C ist auch falsch. Wenn der DNS-Serverdienst nicht gestartet wäre, könnte man die Registerkarte für den Test nicht öffnen. Die Antwort D ist auch nicht richtig. Mit nslookup erhalten Sie nur Daten zur DNS-Konfiguration, jedoch keine Informationen zu eventuellen Fehlern.
HILFE SERVER •
DNS, Problembehandlung
Kein direkter Verweis
140
Johannes G. ist der Administrator einer Domäne mit einem LAN und einem Windows 2000 Server als DNS-Server. Auf dem einzigen DNS-Server des Netzwerks ist eine primäre Zone für die Domäne eingerichtet. Benutzer berichten Johannes G., dass der Netzwerkverkehr inakzeptabel langsam ist. Johannes G. verwendet den Netzwerkmonitor, um den Netzwerkverkehr zu analysieren, und stellt fest, dass der Verkehr zwischen dem DNS-Server und den DNS-Clients einen großen Teil der Netzlast ausmacht. Welches der folgenden Tools sollte Johannes G. verwenden, um festzustellen, wodurch der starke DNS-Verkehr erzeugt wird?
A
�
Das Befehlszeilenkommando nslookup
B
�
Die Ereignisanzeige
C
�
Den Taskmanager
D
�
System Monitor
E
�
DNS-Task-Monitor D
353
Lösungen zum MS-Prüfungsreport
Kapitel 4
Die Antwort D ist die richtige Antwort. Im Systemmonitor sind viele Datenquellen zur Überwachung der DNS-Serverleistung vorgesehen. Die Antwort A ist falsch. Mit nslookup werden nur DNS-Konfigurationsdaten gelistet. Datenverkehr kann man damit nicht anzeigen oder überwachen. Die Antwort B ist nicht richtig. In der Ereignisanzeige wird der DNS-Datenverkehr nicht angezeigt. Antwort C ist auch falsch. Im Taskmanager gibt es generell keine Informationen zu DNS. Die Antwort E ist ebenso falsch. Den DNS-Task-Monitor gibt es nicht.
HILFE SERVER • • • •
Systemmonitor Taskmanager nslookup Ereignisanzeige
Kein direkter Verweis
141
Sie sind der Administrator eines Netzwerks mit einem Router und zwei Subnetzen, Sub1 und Sub2. In jedem dieser Subnetze sind ein Windows 2000 Server, zwei NT 4.0 Server und ca. 100 Windows 2000 Professionals installiert. In jedem Subnetz ist ein NT 4.0 Server als WINS-Server konfiguriert. Die beiden WINS-Server sind Push- und Pull-Partner. Alle Rechner im Netzwerk sind für WINS konfiguriert, sie haben den WINS-Server im eigenen Subnetz als primären WINS-Server eingetragen und den WINS-Server des zweiten Subnetzes als sekundären WINS-Server. Die Computer im Netzwerk verwenden den standardmäßigen NetBIOS-Knotentyp. Sie wollen, dass die Computer für den Fall, dass die WINS-Server nicht erreichbar sind, ihre Namensauflösungen mithilfe von Broadcasts durchführen. Was müssen Sie konfigurieren?
A
�
Sie müssen die Computer im Netzwerk mit dem h-Knoten konfigurieren.
B
�
Sie müssen die Computer im Netzwerk mit dem m-Knoten konfigurieren.
C
�
Sie müssen gar nichts unternehmen.
D
�
Sie müssen DHCP im Netz installieren und die Optionen so konfigurieren, dass die Computer im Netzwerk mit dem m-Knoten arbeiten.
E
�
Sie müssen bei den Computern im Netzwerk den gemischten Modus konfigurieren.
354
Lösungen zum MS-Prüfungsreport
C Antwort C ist richtig. Wird ein Windows-Rechner als WINSClient konfiguriert, ändert er seinen Knotentyp von B-Node (Broadcast) in H-Node (Hybrid). Damit versucht der Client, die NetBIOS-Namensauflösung erst durch einen WINS-Server zu realisieren und dann mit Broadcast. Übersicht der Knotentypen: •
B-Knoten (B = Broadcast) Verwendet NetBIOS-Broadcasts zum Registrieren und Auflösen von Namen
•
P-Knoten (P = Peer to Peer) Direkte Abfrage des Namensservers (WINS)
•
M-Knoten Kombination aus B-Knoten und P-Knoten; erfolgt keine Auflösung durch Broadcast, dann wird der Namensserver direkt angesprochen
•
H-Knoten (H=Hyprid) Kombination aus P-Knoten und B-Knoten. In der Default-Einstellung arbeitet ein solcher Knoten wie ein P-Knoten.
HILFE SERVER •
NetBIOS-Knotentypen Windows 2000 Netzwerkinfrastruktur-Administration, ISBN 3-86063-277-9
•
NetBIOS-Knotentypen, S. 236
142
Sie sind der Netzwerkadministrator der AP-SYSTEME GmbH. Sie möchten Windows 2000 Professional auf zehn nicht PXE-kompatiblen Rechnern im Netzwerksegment der Abteilung »Schulung« installieren. Sie starten einen der Rechner mit einer RIS-Startdiskette, können jedoch keine Verbindung mit dem RIS-Server herstellen. Sie vergewissern sich, dass andere Rechner im Netzwerk kommunizieren können, auch mit dem RIS-Server. Da der Netzwerkrouter BOOTP nicht unterstützt, verwenden vorhandene Clients manuell konfigurierte TCP/IP-Adressen. Sie möchten erreichen, dass die nicht PXE-kompatiblen Rechner Verbindungen mit dem RIS-Server herstellen können. Wie realisieren Sie das?
355
Lösungen zum MS-Prüfungsreport
Kapitel 4
Server hier platzieren
Active Directory Global Katalog
AP-SYSTEMEALL1 Active Directory RIS DNS
ROUTER
AP-SYSTEMEWS1 10 . 10 . 30 . 20
AP-SYSTEMEWS2 10 . 10 . 30 . 200
AP-SYSTEMEDHCP1 DHCP Server
Server hier platzieren
AP-SYSTEMENEU1
WINS Server DHCP Relay Agent
Kein Server notwendig
AP-SYSTEMENEU2
Klicken Sie zur Beantwortung der Frage auf die Schaltfläche AUSWÄHLEN PLATZIEREN und ziehen Sie dann den entsprechenden Server in die Felder SERVER HIER PLATZIEREN im Netzwerk. (Hinweis: Beide Felder müssen belegt werden. Wenn für ein Feld kein Server erforderlich ist, verwenden Sie KEIN SERVER NOTWENDIG.) UND
oben: kein Server notwendig; unten: DHCP-Relay-Agent Was muss gegeben sein, um mithilfe eines RIS-Servers Windows 2000 Professional im Netzwerk zu installieren? • •
Active Directory, RIS, DNS und DHCP. Clients mit PXE-Kompatibilität
Im vorliegenden Fall sind alle Netzwerkdienste vorhanden und für die Clients wurde eine RIS-Startdiskette erstellt. Die Probleme treten nur bei den Clients der Abteilung »Schulung« auf. Jetzt stellt sich die Frage, welche Clients hier gemeint sind. Aufgrund der Grafik kann es sich nur um die Clients AP-SystemeNEU1 und APSystemeNEU2 handeln, diese wurden mit statischen IP-Adressen versehen, weil der Router kein BOOTP unterstützt. Wenn Sie jetzt auf diesen Rechnern Windows 2000 über RIS installieren wollen, müssen Sie sicherstellen, dass die Netzwerkdienste für diese Clients erreichbar sind. Auf dem Router müssten Sie den DHCP-Relay-Agenten installieren. Allein dadurch können die Clients den DHCP-Server erreichen und dann im Anschluss erfolgreich Windows 2000 Professional über RIS installieren.
HILFE PROFESSIONAL •
DHCP, TCP/IP-Konfiguration
356
Lösungen zum MS-Prüfungsreport
Windows 2000 Professional, ISBN 3-86063-276-0 •
Anhang C, S. 723
143
Das Firmennetzwerk der AP-SYSTEME GmbH ist wie in der Grafik dargestellt konfiguriert. TRAINING
AP-SYSTEMETRA2 IP: 192.168.1.12
AP-SYSTEMEWS1
AP-SYSTEMEWS2
AP-SYSTEMETRA1 DHCP SERVER IP: 192.168.1.11 SCOPE:192.168.1.32-126 SCOPE:192.168.2.128-160
ROUTER
SCHULUNG
AP-SYSTEMESCH3 IP: 192.168.2.12
AP-SYSTEMEWS3
AP-SYSTEMEWS4
AP-SYSTEMESCH4 DHCP SERVER IP: 192.168.2.11 SCOPE:192.168.2.32-126 SCOPE:192.168.1.128-160
Im Netzwerk wird als Transportprotokoll ausschließlich TCP/IP verwendet. Eines der Subnetze, das die Windows 2000 Server APSYSTEMETRA1 und AP-SYSTEMETRA2 umfasst, wird von der Trainingsabteilung genutzt. Ein weiteres Subnetz enthält die Windows 2000 Server AP-SYSTEMESCH3 und AP-SYSTEMESCH4 und wird von der Schulungsabteilung verwendet. AP-SYSTEMETRA1 und APSYSTEMESCH3 arbeiten als DHCP-Server. Auf welchem Rechner im Netzwerk sollte der DHCP-Relay-Agent hinzugefügt werden, um die Kommunikation im Netzwerk hinsichtlich der Bereitstellung von IP-Adressen in beiden Richtungen zu ermöglichen? (Klicken Sie zur Beantwortung den entsprechenden Rechner an.) Router Als Router fungieren in den Microsoft-Fragestellungen meist Rechner, die mehrere Netzwerkkarten aufweisen. Wenn Clients Probleme haben, einen DHCP-Server anzusprechen, der sich in einem anderen Subnetz als dem Ihren befindet, dann sollte auf dem Rechner, der als Router zwischen diesen Subnetzen fungiert, der DHCP-Relay-Agent installiert werden.
357
Lösungen zum MS-Prüfungsreport
Kapitel 4
HILFE SERVER •
DHCP-Relay-Agent Windows 2000 Server, ISBN 3-86063-278-7
•
Kap. 10, S. 453
144
Sie sind in Ihrem Unternehmen als Netzwerkadministrator tätig. Das Netzwerk ist wie in der Grafik dargestellt aufgebaut. AP-SYSTEMEAD1 10.10.13.39 Domänencontroller
AP-SYSTEMERIS1 10.10.13.20 RIS-Server
AP-SYSTEMEDNS1 10.10.13.10 DNS-Server
Router RFC 1542 AP-SYSTEMEWS1 10 . 10 . 30 . 20
AP-SYSTEMEWS2 10 . 10 . 30 . 200
AP-SYSTEMEWS3 10 . 10 . 30 . 222
AP-SYSTEMEWS4 10 . 10 . 30 . 22
Sie möchten Windows 2000 Professional auf 20 neuen PXE-kompatiblen Computern im Netzwerksegment der Abteilung »Schulung« installieren. Auf diesen Computern ist kein Betriebssystem vorhanden. Sie erstellen ein RIS-Abbild und stellen dieses auf dem Rechner AP-SYSTEMERIS1 bereit. Dann starten Sie die neuen Rechner und stellen mit Verwunderung fest, dass diese keine Verbindung zu AP-SYSTEMERIS1 herstellen können. Alle anderen Clients können auf alle Server im Netzwerk zugreifen. Sie möchten es den neuen Rechnern ebenfalls ermöglichen, eine Verbindung mit AP-SYSTEMERIS1 herzustellen. Wie bewerkstelligen Sie das? A
�
Sie fügen dem Netzwerk einen Windows 2000 Server hinzu, der als WINS-Server fungiert.
B
�
Sie fügen zum Netzwerk einen Windows 2000 Server hinzu, der als DHCP-Server fungiert.
C
�
Sie fügen die Gruppe Jeder in den Sicherheitseinstellungen für RIS-BSAbbilder hinzu.
D
�
Sie platzieren die neuen Rechner im Segment des RIS-Servers.
358
Lösungen zum MS-Prüfungsreport
B Der Einsatz von RIS in einem Netzwerk benötigt folgende Netzwerkdienste bzw. Voraussetzungen: Active Directory, RIS, DNS und DHCP. Diese Netzwerkdienste müssen beginnend mit dem DHCP-Server vorhanden sein und auch von den Clients, die über RIS ihr Betriebssystem bekommen sollen, erreichbar sein. Der Router ist RFC 1542-kompatibel, daher kann der DHCP-Server sich im oberen Teilnetz befinden. Resultat aus diesen Anforderungen ist der korrekte Lösungsvorschlag B. Fazit: Ohne DHCP-Server kann man kein RIS nutzen, selbst wenn alle anderen Anforderungen erfüllt sind. Lösungsvorschlag A geht überhaupt nicht auf das Thema ein, WINS hat nichts mit RIS zu tun. Lösungsvorschlag C kommt in diesem Moment noch gar nicht zum Tragen. Lösungsvorschlag D funktioniert zwar, aber ohne einen DHCP-Server gibt es kein RIS.
HILFE PROFESSIONAL •
Remoteinstallationsdienste, IntelliMirror-Features Windows 2000 Professional, ISBN 3-86063-276-0
•
Kap. 23, S. 613ff.
145
Sie sind der Netzwerkadministrator der AP-SYSTEME GmbH. Sie konfigurieren in Ihrer Windows 2000-Domäne den RAS-Dienst, um Ihren Trainern, wenn diese auswärts sind, den Zugriff auf Netzwerkressourcen zu ermöglichen. Sie möchten, dass die Clients automatisch mit IP-Adressen versorgt werden, wenn diese sich einwählen. Sie konfigurieren den RASServer und richten DHCP ein, um den Clients Adressen und Konfigurationen zuzuweisen. Die Trainer können jedoch nicht durch Angabe des Servernamens oder über Active Directory auf die Netzwerkressourcen zugreifen. Sie überprüfen dies und stellen nach Herstellung der Verbindung zum RAS-Server fest, dass der Client zwar seine IP-Adresse, jedoch keine der DHCP-Optionen empfängt. Auf den Rechnern im lokalen Netz tritt dieses Problem nicht auf. Wie lösen Sie dieses Problem?
A
�
Sie aktivieren im Dialogfeld EIGENSCHAFTEN des RAS-Servers die Option IP-ROUTING.
B
�
Sie deaktivieren im Dialogfeld EIGENSCHAFTEN des RAS-Servers die Option IP-ROUTING.
359
Lösungen zum MS-Prüfungsreport
Kapitel 4
C
�
Sie konfigurieren auf dem RAS-Server einen statischen Adresspool.
D
�
Sie konfigurieren den RAS-Server und legen fest, dass dieser als DHCPRelay-Agent fungieren soll. D
Ein RAS-Server muss den DHCP-Relay-Agenten ausführen, weil er im weitesten Sinn als Router zwischen dem RAS-Client und dem DHCP-Server im LAN fungiert. Das Durchreichen von IP-Adressen und Bereichsoptionen erfordert bei Rechnern, die als Router fungieren, den DHCP-Relay-Agenten. Aus diesem Grund ist Lösungsvorschlag D richtig. Lösungsvorschlag C würde zwar auch funktionieren, in diesem Fall fungiert der RAS-Server als eine Art Mini-DHCP-Server. Allerdings verursacht dieses Vorgehen einen erhöhten Aufwand. Die Lösungsvorschläge A und B sind falsch. Bei Vorschlag A wird das IP-Routing aktiviert. Wenn dies noch nicht der Fall wäre, dann könnte das Bereitstellen von IP-Adressen gar nicht funktionieren. Beim Lösungsvorschlag B wird durch das Deaktivieren alles zunichte gemacht, der Client würde nicht einmal eine IP bekommen.
HILFE SERVER • •
DHCP-Relay-Agent, Aktivieren Routing und RAS, DHCP-Relay-Agent Windows 2000 Server, ISBN 3-86063-278-7
•
Kap. 10, S. 453ff.
146
Das in der Grafik dargestellte Windows 2000 Server-Netzwerk wird von Robert, dem Administrator der Firma AP-SYSTEME GmbH, verwaltet.
INTERNET AP-SYSTEMEPRO1
SWITCH
AP-SYSTEMEINTRA
360
Lösungen zum MS-Prüfungsreport
Der Windows 2000 Server mit der Bezeichnung AP-SYSTEMEPRO1 fungiert im Netzwerk als Proxyserver. Über diesen Windows 2000 Server greifen die Benutzer der Schulungs- und der Serviceabteilung auf das Internet zu. Die Benutzer in diesen Abteilungen müssen gesonderte Benutzernamen und Kennwörter verwenden, um die Verbindung zum Proxyserver, zum Internet und zum lokalen Intranetserver mit der Bezeichnung APSYSTEMEINTRA herzustellen. Benutzer, die nicht auf das Internet zugreifen, besitzen auf dem Proxyserver keine Benutzerkonten und können deshalb auch keine Verbindung zum Windows 2000 Server AP-SYSTEMEINTRA herstellen. Wie ermöglicht Robert es allen Benutzern, auf AP-SYSTEMEINTRA zuzugreifen, ohne dass diese hierzu separate Benutzernamen und Kennwörter benötigen? A
�
Robert versetzt AP-SYSTEMEINTRA in das Segment, in dem sich die Clients befinden, die auf AP-SYSTEMEINTRA Zugriff benötigen.
B
�
Er versetzt AP-SYSTEMEPRO1 in das Segment des Netzwerks, in dem sich alle Server befinden.
C
�
Robert konfiguriert die Clients, um beim Zugriff auf lokale Adressen den Windows 2000 Server AP-SYSTEMEPRO1 zu umgehen.
D
�
Robert konfiguriert die Clients zur Verwendung von Anschluss 81 für APSYSTEMEPRO1. C
Die Lösung ist hier relativ einfach zu finden. Die Frage ist, ob wir den Internetzugang immer benötigen. Die Antwort lautet: Nein, denn wenn die Clients auf interne (Intranetressourcen) zugreifen, brauchen sie auch keinen Proxy. Man müsste jetzt die Clients dementsprechend konfigurieren. Dieser Ansatz geht aus Lösungsvorschlag C hervor. (Wenn die Clients ins Internet gehen wollen, dann muss bei den Internetoptionen der jeweilige Proxy angegeben werden.) Die Lösungsvorschläge A bzw. B sind falsch, denn es würde sich nichts an der Situation ändern, wenn man Rechner in andere Segmente verschiebt. Lösungsvorschlag D ist falsch. Wenn überhaupt, dann sollte der Port 80 verwendet werden. Der Port 81 ist für HOST2 Name Server gedacht, also die Namensauflösung (Hosts) über statische Zuordnungsdatei.
HILFE SERVER •
Internet Explorer, Optionen
Kein direkter Verweis
361
Lösungen zum MS-Prüfungsreport
Kapitel 4
147
Sie arbeiten auf Ihrer Arbeitsstation mit Windows 2000 Professional. Sie erstellen eine neue DFÜ-Verbindung, um sich mit dem Internet zu verbinden. Sie konfigurieren die Internetverbindung und aktivieren die gemeinsame Nutzung der Internetverbindung. Nachdem Sie die Netzwerkverbindung konfiguriert haben, können Sie keine freigegebenen Ressourcen in Ihrem lokalen Netzwerk anzeigen oder darauf zugreifen. Wie gehen Sie vor, damit Ihre Arbeitsstation Verbindungen zu freigegebenen Ressourcen herstellen kann?
A
�
Sie konfigurieren die DFÜ-Verbindung und deaktivieren den freigegebenen Zugriff zum Internet.
B
�
Sie konfigurieren die DFÜ-Verbindung und deaktivieren die Option Wählen bei Bedarf.
C
�
Sie deaktivieren die Datenverschlüsselung in der neuen DFÜ-Verbindung.
D
�
Sie verwenden den Befehl ipconfig, um Ihre Netzwerk-TCP/IP-Adresse freizugeben und zu erneuern. A
Der Clou beim Einrichten dieser Internetverbindungsfreigabe ist, dass die IP-Adresse des Servers, der diese Freigabe einrichtet, verändert wird.
Von den angebotenen Lösungsvorschlägen kann hier nur Vorschlag A funktionieren. Die Lösungsvorschläge B, C und D haben nichts mit der eigentlichen Problematik zu tun. Ein anderer, sinnvoller Lösungsvorschlag könnte noch vorsehen, dass Sie sicherstellen, dass die Clients sich im gleichen Netz wie der Internetverbindungsserver befinden.
HILFE PROFESSIONAL •
Internetverbindung, gemeinsame Nutzung, Einstellungen
Kein direkter Verweis
362
Lösungen zum MS-Prüfungsreport
148
Ihre Firma besteht aus einem Hauptsitz und 50 Zweigstellen. Im Hauptsitz wird ein privates Netzwerk mit 1000 Rechnern und in jeder Zweigstelle ein privates Netzwerk mit 10 bis 20 Rechnern und einer 56-Kbit/sVerbindung zum Internet betrieben. Um jeder Zweigstelle den Zugriff auf das Internet zu ermöglichen, plant die Firma, die Netzwerkadressübersetzung (NAT), eine Funktion von Routing und RAS, zu verwenden. Sie stellen beim Testen dieser Konfiguration fest, dass bei der Verwendung von vollqualifizierten Domänennamen keine Verbindung zu den Standorten hergestellt werden kann. Die Verbindung zu den Standorten kann allerdings unter Verwendung ihrer IP-Adressen hergestellt werden. Wie sollten Sie vorgehen, um unter Verwendung von vollqualifizierten Domänennamen Verbindungen herstellen zu können?
A
�
Sie weisen den Rechnern in den Zweigstellen die Adresse eines WINS-Servers zu.
B
�
Sie weisen den Rechnern in den Zweigstellen die Adresse eines DNS-Servers im Internet zu.
C
�
Sie konfigurieren auf dem NAT-Server einen Filter zum Weiterleiten von DNS-Paketen.
D
�
Sie erstellen auf dem NAT-Server eine Hostdatei. B
Wenn auf Rechner unter Angabe der IP zugegriffen werden kann, jedoch der Zugriff beim Einsatz von vollqualifizierten Domänennamen scheitert, dann liegt ein Problem hinsichtlich der DNS-Namensauflösung vor. Grundsätzlich ist hier von einem Windows 2000-Netzwerk die Rede, jedoch werden durch die DNS-Server, die sich im LAN befinden, nicht alle Adressen aufgelöst. Entweder arbeitet einer der DNS-Server im LAN als Forwarder und gibt einen externen DNS-Server (zum Beispiel den vom Internet Service Provider) an oder der Client bekommt den DNS-Servereintrag von diesem externen DNS-Server. Lösungsvorschlag B ist der einzige, der eine Lösung für das Problem bietet. Lösungsvorschlag A (WINS) hat nichts mit der Lösung zu tun, genauso wenig wie die Lösungsvorschläge C und D.
HILFE SERVER Kein direkter Verweis Windows 2000 Server, ISBN 3-86063-278-7 •
Kap. 9, S. 353
363
Lösungen zum MS-Prüfungsreport
Kapitel 4
149
Willy konfiguriert einen HP JetDirect-Drucker, wie in der folgenden Grafik (Netzwerkdiagramm) dargestellt: ROUTER 10.1.10.100/16
AP-SYSTEMEDC1 10.1.20.100/16
10.2.40.100/16
10.4.20.100/16
AP-SYSTEMEDNS1 10.2.53.30/16
10.4.30.110/16 ROUTER 10.5.20.100/16
AP-SYSTEMEDDD1 10.5.20.50/16
HP Jet Direct 10.4.20.200/16
Er möchte unter Verwendung des auf dem Windows 2000 Server TEME.de einen Drucker erstellen Namen HP freigeben. Nach der erscheint folgendes Dialogfeld:.
TCP/IP-Anschlusses des Druckgeräts AP-SYSTEMEDDD1.Service.AP-SYSund diesen im Netzwerk unter dem Eingabe der IP-Adresse des Geräts
Welches Problem hat Willy jetzt? A
�
Falscher oder fehlender DNS-Servereintrag auf AP-SYSTEMEDDD1. service.AP-SYSTEME.de.
B
�
Falscher oder fehlender LPR-Anschluss auf AP-SYSTEMEDDD1.service. AP-SYSTEME.de.
364
Lösungen zum MS-Prüfungsreport
C
�
Angabe der falschen IP-Adresse bei der Konfiguration auf AP-SYSTEMEDDD1.service.AP-SYSTEME.de.
D
�
Angabe der falschen Subnetzmaske für das Druckgerät. C
Willy möchte als Druckserver den Rechner AP-SYSTEMEDDD1 verwenden, dieser hat die IP-Adresse 10.5.20.50/16 . Dieser Druckserver soll den HP Jet Direct-Drucker mit der IP-Adresse 10.4.20.200/16 verwalten. Aus der Fehlermeldung geht klar hervor, dass der HP Jet Direct-Drucker nicht gefunden wird. Grundsätzlich könnte es an einem falschen oder fehlenden Gateway-Eintrag beim Druckserver liegen oder die IP-Adresse des HP Jet Direct-Druckers wurde falsch eingegeben. Im vorliegenden Fall steht uns eine beschränkte Auswahl zur Verfügung. Lösungsvorschlag A hat mit dem Problem nichts zu tun. Lösungsvorschlag B suggeriert einen fehlenden Anschluss, ohne diesen würden wir gar nicht so weit kommen. Lösungsvorschlag D hat wiederum nichts mit dem Problem zu tun. Es wird die IP-Adresse angegeben und nicht die Subnetzmaske. Bleibt allein noch Lösungsvorschlag C als richtige Lösung übrig.
HILFE SERVER •
Hinzufügen eines Standard-TCP/IP-Anschlusses Windows 2000 Server, ISBN 3-86063-278-7
•
Kap. 8, S. 343ff.
150
Peter W. betreut ein geroutetes Netzwerk, wie im Diagramm dargestellt. ROUTER 192.168.1.100/24
192.168.2.100/24
AP-SYSTEMEdc01.AP-SYSTEME.de 192.168.3.10/24 Domänencontroller DHCP Server
AP-SYSTEMEdyn1.AP-SYSTEME.de 192.168.2.10/24
192.168.3.100/24 192.168.4.100/24
AP-SYSTEMEdc1.service.AP-SYSTEME.de 192.168.4.10/24
365
ROUTER
Lösungen zum MS-Prüfungsreport
Kapitel 4
Die Server und Router im Netzwerk haben statische IP-Adressen. Die Router unterstützen das BOOTP-Protokoll nicht. AP-SYSTEMEDYN1.service.AP-SYSTEME.de soll in Zukunft als RISServer eingesetzt werden. In den Subnetzen neben AP-SYSTEMEDC01. AP-SYSTEME.de, AP-SYSTEMEDYN1.service.AP-SYSTEME.de und APSYSTEMEDC1.service.AP-SYSTEME.de sollen neue Rechner mithilfe von RIS installiert werden. Die Netzwerkkarten der Rechner sind PXE-kompatibel. Die Rechner sollen ihre IP-Konfiguration vom DHCP-Server erhalten. In welchen Subnetzen sind DHCP-Relay-Agenten zu installieren? (Wählen Sie alle zutreffenden Antworten.) A
�
192.168.1.0, 192.168.2.0, 192.168.3.0, 192.168.4.0.
B
�
192.168.1.0, 192.168.2.0, 192.168.4.0.
C
�
192.168.2.0, 192.168.4.0.
D
�
192.168.2.0, 192.168.3.0, 192.168.4.0.
E
�
In keinem Subnetz. B
Die Kernaussage lautet hier: Alle Clients brauchen in Zukunft einen Zugriff auf den RIS-Server AP-SYSTEMEDYN1 (dieser befindet sich im Subnetz 192.168.2.100). Um in Zukunft RIS einsetzen zu können, brauchen die Clients einen Zugriff auf den DHCP-Server. Dieser DHCP-Server (AP-SYSTEMEDC01) befindet sich im Subnetz 192.168.1.100/24. Da die Router kein BOOTP unterstützen, muss auf den Rechnern, die als Router fungieren, der DHCP-Relay-Agent installiert werden. Aus der Grafik gehen die jeweiligen Standorte der Netzwerkdienste wie DHCP, RIS und Dc hervor. In diesen drei Subnetzen müssen jeweils DHCP-Relay-Agenten installiert werden: zum einen in jedem Subnetz, in welchem ein Client installiert ist oder werden soll und in dem sich kein DHCP-Server befindet. Zum anderen auch im Subnetz mit dem DHCP-Server, da sonst der RIS-Server in einem anderen Segment nicht gefunden wird. Resultat dieser Überlegungen ist der richtige Lösungsvorschlag B. Die verbleibenden Lösungsvorschläge können hiermit verworfen werden, weil sie die Anforderungen nicht erfüllen.
HILFE SERVER •
Router, Standardgateways Windows 2000 Server, ISBN 3-86063-278-7
•
Kap. 10, S. 453ff.
366
Lösungen zum MS-Prüfungsreport
151
Sie installieren auf dem Rechner AP-SYSTEMEWS2 Windows 2000 Professional. Das Netzwerk ist entsprechend der Grafik Netzwerkkonfiguration konfiguriert.
AP-SYSTEMEWS1 10 . 10 . 13 . 39
APSYSTEMEWINS1 10 . 10 . 13 . 10
AP-SYSTEMESRV2 10 . 10 . 13 . 24
10 . 10 . 13 .1
10 . 10 . 30 .1
AP-SYSTEMEPRO1 10 . 10 . 13 . 254
ROUTER
INTERNET
10 . 10 . 164 . 3 AP-SYSTEMESRV3 10 . 10 . 30 . 20
AP-SYSTEMEWS3 10 . 10 . 30 . 200
AP-SYSTEMEWS2 10 . 10 . 167 . 4
AP-SYSTEMESRV1 10 . 10 . 167 . 200
Sie stellen täglich eine Verbindung zu freigegebenen Ressourcen auf APSYSTEMESRV3 her. Heute können Sie jedoch keine Verbindung herstellen. Dominique kann von ihrem Rechner mit der Bezeichnung APSYSTEMEWS1 aus auf AP-SYSTEMESRV3 zugreifen. Sie senden PingSignale an AP-SYSTEMESRV3, um die Ursache des Problems herauszufinden, wie in der Grafik Ping-Ergebnisse dargestellt. Ping-Ergebnisse: C:\>ping AP-SYSTEMESRV3 Ping AP-SYSTEMEsrv3.AP-SYSTEME.de [10.10.30.20] mit 32 Bytes Daten: Antwort Antwort Antwort Antwort
von von von von
10.10.164.3: 10.10.164.3: 10.10.164.3: 10.10.164.3:
Zielhost Zielhost Zielhost Zielhost
nicht nicht nicht nicht
erreichbar. erreichbar. erreichbar. erreichbar.
Ping-Statistik für 10.10.30.20 : Pakete: Gesendet = 4, Empfangen = 4, Verloren = 0 <0% Verlust>, Ca. Zeitangaben in Millisek.: Minimum = 0ms, Maximum = 0ms, Mittelwert = 0ms C:\>
Sie vergewissern sich, dass alle Server mit dem Netzwerk verbunden sind und ordnungsgemäß arbeiten.
367
Lösungen zum MS-Prüfungsreport
Kapitel 4
Was ist die wahrscheinlichste Ursache für das Problem? A
�
Die Routerkonfiguration.
B
�
Die WINS-Konfiguration auf dem Client AP-SYSTEMEWS2.
C
�
Die WINS-Konfiguration auf AP-SYSTEMESRV3.
D
�
Die Standardgateway-Einstellung auf dem Client AP-SYSTEMEWS2. A
Aufgrund der Übersicht der Ping-Ergebnisse liegt als richtige Lösung der Vorschlag A nahe. Das Ergebnis des Ping-Befehls zeigt, dass die Zieladresse richtig aufgelöst werden kann, jedoch der Router 10.10.164.3 keinen Weg ins Zielnetz kennt. Daher kann nur die Routerkonfiguration nicht stimmen. Die Lösungsvorschläge B und C können aufgrund der nicht relevanten WINS-Thematik sofort verworfen werden. Wir haben es hier mit einem Windowfs 2000-Client zu tun. Lösungsvorschlag D kann ebenso verworfen werden, da ja der Router erreichbar ist, jedoch nicht der Server.
HILFE PROFESSIONAL • •
Ping-Befehl, Testen der TCP/IP-Konfiguration Router, Routenverfolgung mit dem Befehl pathping Windows 2000 Professional, ISBN 3-86063-276-0
•
Kap. 7, S. 171ff.
152
Das Firmennetzwerk der AP-SYSTEME GmbH ist wie nachfolgend dargestellt konfiguriert: TRAINING
AP-SYSTEMETRA2 IP: 192.168.1.12
AP-SYSTEMEWS1
AP-SYSTEMEWS2
AP-SYSTEMETRA1 DHCP SERVER IP: 192.168.1.11 SCOPE:192.168.1.32-126 SCOPE:192.168.2.128-160
SCHULUNG
AP-SYSTEMEWS3
AP-SYSTEMEWS4
AP-SYSTEMESCH3 IP: 192.168.2.12
368
AP-SYSTEMESCH4 DHCP SERVER IP: 192.168.2.11 SCOPE:192.168.2.32-126 SCOPE:192.168.1.128-160
ROUTER
Lösungen zum MS-Prüfungsreport
Im Netzwerk wird als Transportprotokoll ausschließlich TCP/IP verwendet. Eines der Subnetze, das die Windows 2000 Server AP-SYSTEMETRA1 und AP-SYSTEMETRA2 umfasst, wird von der Trainingsabteilung genutzt. Ein weiteres Subnetz beinhaltet die Windows 2000 Server APSYSTEMESCH3 und AP-SYSTEMESCH4 und wird von der Schulungsabteilung verwendet. AP-SYSTEMETRA1 und AP-SYSTEMESCH4 arbeiten als DHCP-Server. Der Router, über den die zwei Subnetze miteinander verbunden sind, ist nicht RFC 1542-kompatibel und unterstützt kein DHCP/ BOOTP-Relay. Wie sollte Hans G., der Administrator der Domäne AP-SYSTEME.de, vorgehen, um AP-SYSTEMETRA1 und AP-SYSTEMESCH4 die gegenseitige Unterstützung von Clientrechnern in ihren Subnetzen zu ermöglichen? A
�
Hans G. stellt beim Windows 2000 Server AP-SYSTEMESCH3 im DHCPBereich die Routeroption auf 192.168.2.1 und für den Windows 2000 Server AP-SYSTEMETRA1 auf 192.168.1.1.
B
�
Hans G. installiert den Routing- und RAS-Dienst auf den Windows 2000 Servern AP-SYSTEMESCH4 und AP-SYSTEMETRA2 und konfiguriert RIP als Routingprotokoll.
C
�
Hans G. fügt auf den Windows 2000 Servern AP-SYSTEMESCH3 und AP-SYSTEMETRA2 den DHCP-Relay-Agent-Dienst hinzu und konfiguriert diesen.
D
�
Hans G. konfiguriert die Windows 2000 Server AP-SYSTEMESCH4 und AP-SYSTEMETRA2 als DHCP-Server ohne Bereiche. C
Die Aufgabenstellung liefert schon fast die richtige Lösung. Der Router ist nicht RFC 1542-kompatibel. Die zwei DHCP-Server befinden sich jedoch in unterschiedlichen Subnetzen. Wenn diese die Clients gegenseitig unterstützen sollen, braucht jeder DHCP-Server zwei Bereiche. Diese Anforderung ist laut Grafik bereits erfüllt. Ohne die Installation des DHCP-Relay-Agenten auf dem Router ist jedoch der DHCP-Server vom Client aus dem anderen Subnetz nicht erreichbar. Demzufolge ist Lösungsvorschlag C richtig, weil hier die Basis für das Erreichen der DHCP-Server geschaffen wird. Lösungsvorschlag A suggeriert, dass die Gateway-Einstellungen des Rätsels Lösung sind. Diese haben jedoch mit der Grundproblematik der Frage nichts zu tun. Lösungsvorschlag B will RIP installieren. Was wäre aber ein Router mit RIP? Lösungsvorschlag D wiederum löscht alle Bereiche auf den DHCP-Servern. Das hat nur eines zur Folge: good bye Netzwerk, aus der Sicht der Clients.
369
Lösungen zum MS-Prüfungsreport
Kapitel 4
HILFE SERVER •
DHCP-Relay-Agent Windows 2000 Server, ISBN 3-86063-278-7
•
Kap. 10, S. 453
153
Ihr Netzwerk besteht aus einer Windows NT 4.0-Domäne und 100 Windows 2000 Professional-Rechnern. Das Netzwerk verfügt über drei miteinander verbundene TCP/IP-Subnetze. Alle Rechner verwenden als einziges Netzwerkprotokoll TCP/IP. Sie fügen diesem Netzwerk 15 neue Windows 2000 Professional-Rechner hinzu. Sie möchten, dass die Windows 2000 Professional-Rechner NetBIOS-Namen in IP-Adressen auflösen können. Wie gehen Sie vor?
A
�
Sie installieren einen DHCP-Server und konfigurieren jeden Rechner für die Verwendung von DHCP.
B
�
Sie installieren einen DNS-Server und konfigurieren jeden Rechner für die Verwendung von DNS.
C
�
Sie erstellen auf jedem Rechner eine Datei Lmhosts und fügen den Eintrag mit der IP-Adresse und dem NetBIOS-Namen für jeden Rechner im Netzwerk hinzu.
D
�
Sie erstellen auf jedem Rechner eine Datei Hosts und fügen den Eintrag mit der IP-Adresse und dem NetBIOS-Namen für jeden Rechner im Netzwerk hinzu. C
Die Antwort C ist richtig. Im vorliegenden Fall handelt es sich um eine NT-Domäne. Hier wird die NetBIOS-Namensauflösung entweder mit WINS (dynamisch) oder mit der Datei Lmhosts (statisch) durchgeführt. Da WINS nicht angeboten wird, bleibt nur Antwort C übrig. Die Antwort A ist falsch. Der DHCP-Server hat mit der Namensauflösung nichts zu tun. Die Antworten B und D sind auch nicht richtig. DNS und die Datei Hosts lösen Hostnamen (FQDN) in IP-Adressen auf und nicht NetBIOS-Namen.
HILFE PROFESSIONAL •
WINS, Konfigurieren von TCP/IP zur Verwendung von …
370
Lösungen zum MS-Prüfungsreport
Kein direkter Verweis
154
Ihr Netzwerk verfügt über NetWare Server der Version 4.X. Dementsprechend haben Sie auf den Windows 2000 Professional-Rechnern den Client Service für NetWare und auf den Windows 2000 Server-Rechnern den Gateway Service für NetWare erfolgreich installiert. Obwohl Sie erst kürzlich einen Windows 2000 Server-Rechner dem Netzwerk hinzugefügt und darauf den Gateway Service für NetWare installiert haben, kann der Server keine Verbindung zu den NetWare-Servern herstellen. Was sollten Sie auf dem neuen Windows 2000 Server-Rechner ausführen, um dieses Problem zu beheben?
A
�
Sie aktivieren NWLink-NetBIOS.
B
�
Sie konfigurieren die manuelle Rahmentyperkennung bei NWLink.
C
�
Sie installieren RIP-Routing für IPX.
D
�
Sie installieren den SAP-Agenten. B
Da auf den Rechnern CSNW (Client Service für NetWare) und GSNW (Gateway Service für NetWare) bereits ausgeführt wird, kann davon ausgegangen werden, dass die Protokollkompatibilität (NWLink ist installiert) gegeben ist. Es braucht aber nichts aktiviert zu werden, was schon vorhanden ist (Lösungsvorschlag A). Lösungsvorschlag C kann auch gleich verworfen werden, da hier überhaupt keine Rede von einem Router ist. Lösungsvorschlag D wiederum hat unter dieser Umgebung keine Daseinsberechtigung, weil der SAP-Agent (Server Advertising Protocol) sowieso installiert wird, wenn er benötigt wird. Ein Beispiel für die Verwendung des SAP-Agenten ist der MS Exchange Server. (Detaillierte Informationen zum SAPAgenten sind in der Hilfe zu Windows 2000 Server zu finden.) Als richtiger Lösungsvorschlag kommt jetzt nur noch Vorschlag B in Frage. Hier handelt es sich auch um das Paradeproblem von Windows 2000 bei der Verwendung von NWLink. Es wird automatisch versucht, immer mit dem Rahmentyp 802.2 zu arbeiten. Sind jedoch unterschiedliche Clients im Netzwerk vorhanden, ist es immer ratsam, die manuelle Rahmentyperkennung zu aktivieren und die benötigten Rahmentypen anzugeben.
HILFE SERVER •
Konfigurieren von NWLink
371
Lösungen zum MS-Prüfungsreport
Kapitel 4
Windows 2000 Server, ISBN 3-86063-278-7 •
Kap. 9 S. 376ff.
155
Peter betreut ein geroutetes Windows 2000-Netzwerk. Das BOOTP-Protokoll ist auf den Routern nicht aktiviert. Im Netzwerk befinden sich zehn Windows 2000 Server gleichmäßig verteilt über die Subnetze und 110 Windows 2000 Professional-Rechner. Als Transportprotokoll wird ausschließlich TCP/IP verwendet. Peter installiert in einem neuen Segment zusätzlich 30 weitere Windows 2000 Professional-Rechner. Er möchte es auch diesen Rechnern ermöglichen, die IP-Konfiguration automatisch zu erhalten. Was muss Peter tun, um dieses Ziel zu erreichen? (Wählen Sie alle in Frage kommenden Antworten aus.)
A
�
Auf dem Router den DHCP-Relay-Agenten installieren.
B
�
Am DHCP-Server die DNS-Serveradresse als Bereichsoption konfigurieren.
C
�
Am DHCP-Server die DNS-Serveradresse als Clientoption konfigurieren.
D
�
Am DHCP-Server die Gateway-Adresse als Bereichsoption konfigurieren.
E
�
Am DHCP-Server die Gateway-Adresse als Clientoption konfigurieren.
F
�
Am DHCP-Server die WINS-Serveradresse als Bereichsoption konfigurieren.
G
�
Am DHCP-Server die WINS-Serveradresse als Clientoption konfigurieren. A, B und D
Die Antwort A ist richtig. Da sich in dem neuen Subnetz kein DHCP-Server befindet und der Router BOOTP nicht unterstützt, muss der DHCPRelay-Agent installiert sein, damit die Clientanfrage an den DHCP-Server weitergeleitet wird. Die Antworten B und D sind auch richtig. Es handelt sich um ein geroutetes Netz. Windows 2000 nutzt zur Host-Namensauflösung den DNS-Dienst. Darum müssen die Clients die DNS-Server-Adresse kennen. Genauso verhält es sich mit der Adresse des Standardgateways, da die Clients sonst generell keine Verbindung zu einem anderen Subnetz aufbauen können. Die Antworten C und E sind falsch. Da keine Clientreservierungen gemacht wurden, können auch keine Clientoptionen erstellt werden. Die Antworten F und G sind auch falsch. Windows 2000 benötigt zur Namensauflösung grundsätzlich keinen WINS.
372
Lösungen zum MS-Prüfungsreport
HILFE PROFESSIONAL • •
TCP/IP-Verbindungen, Standardgateways konfigurieren WINS – Konfigurieren von TCP/IP zur Verwendung von Windows 2000 Professional, ISBN 3-86063-276-0
Kap. 7 S. 171ff.
156
Sie sind der Administrator eines Windows 2000-Netzwerks, das insgesamt über 18.000 Windows 2000 Professional-Clients und zehn Windows 2000-basierte WINS-Server verfügt. Die WINS-Clients sind in der Regel tragbare Rechner, die eine Netzwerkverbindung häufig von unterschiedlichen Standorten aus herstellen. Die WINS-Clients werden meistens für den Zugriff auf NetBIOS-basierte Ressourcen verwendet. Die TCP/IPKonfiguration der WINS-Clients wird durch einen DHCP-Server vorgenommen. Einige der WAN-Verbindungen in Ihrem Netzwerk sind unzuverlässig. Sie müssen sicherstellen, dass alle Windows 2000 Professional-Rechner NetBIOS-Namen auch dann auflösen können, wenn nicht alle WINS-Server im Netzwerk verfügbar sind. Wie konfigurieren Sie Ihr Netzwerk, um dieses Ziel zu erreichen?
A
�
Sie konfigurieren in jedem Segment einen Rechner als WINS-Proxy.
B
�
Sie konfigurieren die DHCP-Server und stellen jedem Client eine Liste von WINS-Servern zur Verfügung.
C
�
Sie konfigurieren die WINS-Server und aktivieren die Burst-Verarbeitung. Sie setzen die Anzahl der Anforderungen für die Burst-Verarbeitung auf Hoch.
D
�
Sie konfigurieren den DHCP-Server und setzen den Knotentyp NetBIOS über TCP/IP für jeden Clientrechner auf Gemischt (M-Knoten). B
Aus der Fragestellung geht eine klare Anforderung hervor: Sie müssen sicherstellen, dass die Clients unabhängig von ihrem Standort beim Login nicht nur eine IP-Adresse via DHCP bekommen, sondern auch eine Auswahl von WINS-Servern. Auch im Umfeld von Windows 2000 Client brauchen Sie noch WINS-Server, es heißt so schön »Zugriff auf NetBIOS-basierte Ressourcen«. Der beste Weg wäre neben einer Sicherstellung der Redundanz der DHCP-Server die Bereitstellung sämtlicher WINS-Server als Bereichsoptionen.
373
Lösungen zum MS-Prüfungsreport
Kapitel 4
Diese Anforderung wird zumindest in Bezug auf die WINS-Server durch den Lösungsvorschlag B erfüllt. Lösungsvorschlag A hat grundsätzlich nichts mit der Fragestellung zu tun, da wir den WINS-Proxy vorrangig für Nicht-WINS-Clients brauchen. Lösungsvorschlag C trägt auch nicht zur Problemlösung bei, da der Begriff »BurstVerarbeitung« = kurze Leasezeit bei WINS-Servern Überlastung bedeutet. Wenn Sie, wie im Lösungsvorschlag D vorgeschlagen, den Knotentyp auf Gemischt setzen, würden Sie das Problem auch nicht lösen.
HILFE SERVER •
WINS, Problembehandlung Windows 2000 Server, ISBN 3-86063-278-7
•
Kap. 9, S. 415ff.
157
In Ihrem Firmennetzwerk wird ausschließlich TCP/IP verwendet. Die Netzwerksysteme sind für die Verwendung von IP-Adressen aus dem privaten Bereich 10.0.0.0 konfiguriert. Auf allen Clients im Netzwerk, das aus Windows 2000 Server-Rechnern und UNIX-Servern besteht, ist Windows 2000 Professional installiert. Die Druckaufträge der Benutzer werden an die freigegebenen Drucker eines Windows 2000 Server-Rechners mit der Bezeichnung PrintAP-SYSTEME gesendet. Dieser Server leitet die Druckaufträge daraufhin direkt an die am Netzwerk angeschlossenen Drucker weiter. An einem UNIX-Server ist ein Hochleistungsdrucker angeschlossen. Welche Information braucht man unbedingt, um als Druckserver für diesen Hochleistungsdrucker fungieren zu können?
A
�
MAC-Adresse und HP Jet Direct-Unterstützung.
B
�
Hostname und Freigabename.
C
�
IP-Adresse und Freigabename.
D
�
IP-Adresse, Subnetzmaske und TCP/IP-Druckdienst. D
Wir wollen einen Druckserver für einen Hochleistungsdrucker konfigurieren. Dieser »hängt« an einem UNIX-Server. UNIX hat von MS-Freigaben grundsätzlich keine Ahnung. Für die Ansprache von TCP/IP-Druckern gibt es unter
374
Lösungen zum MS-Prüfungsreport
Windows 2000 den TCP/IP-Druckdienst. Durch das Hinzufügen dieses Dienstes bekommen Sie die Möglichkeit, einen neuen Anschluss auf der Basis von LPR (Line Printer Remote) zu konfigurieren. Bei der Konfiguration benötigen Sie unbedingt die IP-Adresse des Druckers. Der einzige Lösungsvorschlag, der dieser Anforderung nahe kommt, ist der Vorschlag D, wobei die Subnetzmaske nicht unbedingt erforderlich ist. Lösungsvorschlag A beinhaltet die Kriterien, die gegeben sein müssen, um einen Jet Direct-Drucker ansprechen zu können. Hier handelt es sich jedoch um einen IP-Drucker (besser Druckgerät). Die Lösungsvorschläge B oder C könnten Sie anwenden, wenn Sie als Client direkt auf einen IP-Drucker im Netz zugreifen wollten, wobei Lösungsvorschlag C keine Probleme hinsichtlich der Namensauflösung bereiten würde.
HILFE SERVER •
Drucker, lokale Drucker, LPR, Anschlüsse Windows 2000 Server, ISBN 3-86063-278-7
•
Kap. 8, S. 343ff.
158
Sie verwalten ein geroutetes Netzwerk, das als Netzwerkprotokoll ausschließlich TCP/IP verwendet. Alle Windows 2000 Professional-Arbeitsstationen sind Mitglieder einer Windows 2000-Domäne im gemischten Modus. Claudia installiert auf dem Windows 2000 Server APSYSTEMEGSNW1 eine zweite Netzwerkkarte und installiert den Gateway Service für NetWare. Das Netzwerk ist wie folgt konfiguriert: AP-SYSTEMENTWS1 Windows NT 4.0
AP-SYSTEMEDC1 Domänencontroller
ROUTER
INTERNET
ADAPTER1
AP-SYSTEMEWS1 Windows 2000
AP-SYSTEMEWS2 Windows 2000
ADAPTER2
AP-SYSTEMEGSNW1 Domänencontroller
NOV001 NETWARE 3.1x
Claudia möchte den Netzwerkadapter 2 ausschließlich für die Kommunikation mit NetWare-Servern nutzen.
375
Lösungen zum MS-Prüfungsreport
Kapitel 4
Welche Kontrollkästchen sollte sie im Dialogfeld EIGENSCHAFTEN VON LAN-VERBINDUNG deshalb aktivieren? (Wählen Sie alle zutreffenden Antworten aus.) A
�
Gateway (und Client) Services für NetWare.
B
�
Client für Microsoft-Netzwerke.
C
�
Datei- und Druckerfreigabe für Microsoft-Netzwerke.
D
�
NWLink NetBIOS.
E
�
NWLink IPX/SPX/NetBIOS-kompatibles Transportprotokoll.
F
�
Internetprotokoll (TCP/IP). A
Bei dieser Frage sind im Endeffekt nur die letzten beiden Absätze von Interesse. Wenn der Netzwerkadapter 2 ausschließlich für die Kommunikation mit NetWare bereitstehen soll, dann können wir die Lösungsvorschläge B, C und F grundsätzlich außer Acht lassen. Den Lösungsvorschlag D kann man auch verwerfen, da es hier nur um die NetBIOSNamensauflösung über NWLink. geht Richtig ist auf alle Fälle Lösungsvorschlag A. Durch den GSNW wird alles bereitgestellt, was für die Verbindung notwendig ist. Der Gateway Service für NetWare wurde auf Basis des NWLink IPX/SPX/NetBIOSkompatiblen Protokolls (der Microsoft-Version des Novell-Protokolls IPX/SPX, welches bei Novell-Netzwerken den Standard darstellt) erstellt. Der Gateway Service, der das Gateway für Microsoft-Clients darstellt, die mit dem Protokoll TCP/IP mit Windows NT- oder Windows 2000 Servern verbunden sind, beinhaltet auch die Client-Services für NetWare und ermöglicht somit einen Zugriff der Microsoft-Clients auf Ressourcen des NetWare-Servers, ohne dass auf den Microsoft-Clients das Protokoll NWLink und die Client-Services für NetWare installiert werden müssen. Eine Verbindung zwischen dem Microsoft-Server mit dem Gateway Service und den Novell-Server(n) ist jedoch nur mit dem Protokoll NWLink möglich. Beim Hinzufügen des GSNW wird automatisch auch das NWLink-Protokoll hinzugefügt, weswegen der Lösungsvorschlag E auch nicht korrekt ist. Das Hinterhältige an dieser Art Fragestellung (»wählen Sie alle zutreffenden Antworten«) liegt im Detail. Obwohl Quadrate als Auswahlsymbole vorgegeben sind, ist trotzdem nur eine Antwort korrekt.
HILFE SERVER •
Client für Microsoft-Netzwerke, Übersicht Freigabe von Druckern, Datei- und Druckerfreigabe für Microsoft-Netzwerke
376
Lösungen zum MS-Prüfungsreport
Windows 2000 Server, ISBN 3-86063-278-7 •
Kap. 10, S. 375
159
Ihr Netzwerk besteht aus einer Windows NT 4.0-Domäne und 35 Windows 2000 Professional-Rechnern. Das Netzwerk verfügt über fünf miteinander verbundene TCP/IP-Subnetze. Alle Rechner verwenden als einziges Netzwerkprotokoll TCP/IP. Sie fügen diesem Netzwerk 15 neue Windows 2000 Professional-Rechner hinzu. Sie möchten, dass die Windows 2000 Professional-Rechner NetBIOS-Namen in IP-Adressen auflösen können. Wie gehen Sie vor?
A
�
Sie installieren einen DHCP-Server und konfigurieren jeden Rechner für die Verwendung von DHCP.
B
�
Sie installieren einen WINS-Server und konfigurieren jeden Rechner für die Verwendung von WINS.
C
�
Sie erstellen auf jedem Rechner eine Datei Lmhosts.sam und fügen den Eintrag mit der IP-Adresse und dem NetBIOS-Namen für jeden Rechner im Netzwerk hinzu.
D
�
Sie erstellen auf jedem Rechner eine Datei Hosts.sam und fügen den Eintrag mit der IP-Adresse und dem NetBIOS-Namen für jeden Rechner im Netzwerk hinzu. B
Allein aufgrund der Vorgabe »NetBIOS-Namen in IP-Adressen auflösen« läuft die Lösung relativ klar auf »WINS« hinaus. Im Lösungsvorschlag B wird diese erste Vermutung bestätigt. Lösungsvorschlag A ist in dieser Form falsch. DHCP verteilt nur IP-Adressen an die Clients, wenn bereits ein WINS-Server im Netzwerk vorhanden ist. Dann kann den Clients mittels DHCP-Bereichsoptionen auch die Adresse des WINS-Servers mitgeteilt werden. Lösungsvorschlag C ist falsch, da hier erstens die Datei Lmhosts.sam statt der Datei Lmhosts verwendet wird. Zudem wäre der Verwaltungsaufwand für die Dateien auf jedem Rechner gigantisch. Lösungsvorschlag D ist ebenfalls falsch. Die Datei Hosts.sam existiert nicht und die Datei Hosts löst DNS-Namen auf, nicht jedoch NetBIOS-Namen.
HILFE PROFESSIONAL •
WINS, Konfigurieren von TCP/IP zur Verwendung von WINS
377
Lösungen zum MS-Prüfungsreport
Kapitel 4
Windows 2000 Server, ISBN 3-86063-278-7 •
Kap. 9, S. 409
160
Sie installieren auf dem Rechner AP-SYSTEMENEU Windows 2000 Professional. Ihr Netzwerk verwendet als einziges Netzwerkprotokoll TCP/IP. Sie konfigurieren am Rechner AP-SYSTEMENEU die IP-Adresse 10.10.20.234, als Standardgateway 10.10.13.1 und als WINS-Server 10.10.13.10. Der Rechner AP-SYSTEMEWIN1 ist der WINS-Server für das Netzwerk. Sie können unter Verwendung von UNC-Namen keine Verbindungen zu freigegebenen Ressourcen auf dem Rechner AP-SYSTEMESRV1 oder APSYSTEMEEX1 herstellen. Welche Adresse sollten Sie für das Standardgateway verwenden, damit AP-SYSTEMENEU Verbindungen zu den Rechnern AP-SYSTEME SRV1 oder AP-SYSTEMEEX1 herstellen kann? AP-SYSTEMESRV1 SERVER 10 . 10 . 13 . 39
AP-SYSTEMEEX1 EXCHANGE SERVER 10 . 10 . 13 . 20
AP-SYSTEMEWINS1 WINS SERVER 10 . 10 . 13 . 10
INTERNET
10.10.13.1
AP-SYSTEMEPRO1 PROXY SERVER 10 . 10 . 13 . 254
10.10.30.1 Router 10 . 10 . 20 . 1 AP-SYSTEMEWS1 10 . 10 . 30 . 20
AP-SYSTEMEWS3 10 . 10 . 30 . 200
AP-SYSTEMENEU AP-SYSTEMESRV3 10 . 10 . 20 . 167
10.10.20.1 Bei Betrachtung der Grafik lässt sich feststellen, dass sich der Client mit dem Problem in einem anderen Subnetz befindet als die Server, auf die er zugreifen möchte. Die Lösung liegt jetzt auch nahe, es kann eigentlich nur die Standard-Gatewayadresse der Verursacher sein. Wenn der Client diese (10.10.20.1) bei sich einträgt, ist das Problem des Zugriffs behoben.
378
Lösungen zum MS-Prüfungsreport
HILFE PROFESSIONAL •
TCP/IP-Verbindungen, Standardgateways konfigurieren Windows 2000 Professional, ISBN 3-86063-276-0
•
Kap. 7, S. 171ff.
161
Sie sind der Netzwerkadministrator der AP-SYSTEME Press GmbH. Ihr Netzwerk besteht aus zehn Windows 2000 Servern, 150 Windows 2000 Professional-Rechnern und 150 Windows NT 4.0 Workstations. Auf allen Clients ist die Datei- und Druckerfreigabe aktiviert, um die Zusammenarbeit zwischen den jeweiligen Arbeitsgruppen und die gemeinsame Verwendung von Dokumenten zu ermöglichen. Sie setzen einen der Windows 2000 Server als DHCP-Server ein, um die IP-Adresszuordnung auf den Clients zu automatisieren. Sie wollen folgende Ziele erreichen: • • •
•
Alle Clients sollen im Netzwerk anhand des vollqualifizierten Netzwerkdomänennamens gefunden werden können. Die DNS-Zonendateien A (Hosteinträge) sollen für alle Clients automatisch hinzugefügt werden. Die DNS-Zonendateien PTR (Zeigereinträge) sollen für alle Clients automatisch hinzugefügt werden, um Reverse-Lookups von Namen zu unterstützen. Bei Ablauf der DHCP-Lease sollen die A- und PTR-Einträge automatisch aus den DNS-Zonendateien entfernt werden.
Sie führen folgende Schritte durch: • •
• •
Sie konfigurieren den DHCP-Server und legen fest, dass die Clientinformationen in DNS stets aktualisiert werden. Sie konfigurieren den DHCP-Server und legen fest, dass die für Forward-Lookups erforderlichen Einträge bei Ablauf der Lease entfernt werden. Sie konfigurieren den DHCP-Adressbereich und legen fest, dass der Domänenname allen DHCP-Clients zugewiesen wird. Sie konfigurieren den DHCP-Server und legen fest, dass der DHCPServer DNS für die Clients aktualisiert, die keine dynamischen Aktualisierungen unterstützen.
Welches Ergebnis bzw. welche Ergebnisse werden durch Ihre Maßnahmen erzielt? (Wählen Sie alle zutreffenden Antworten aus.) A
�
Alle Clients im Netzwerk können anhand des vollqualifizierten Netzwerkdomänennamens gefunden werden.
379
Lösungen zum MS-Prüfungsreport
Kapitel 4
B
�
Die DNS-Zonendatei-A-Einträge werden für alle Clients automatisch hinzugefügt.
C
�
Die DNS-Zonendatei-PTR-Einträge für Reverse-Lookups von Namen werden für alle Clients automatisch hinzugefügt.
D
�
Die A- und PTR-Einträge werden bei Ablauf der DHCP-Lease automatisch aus den DNS-Zonendateien entfernt. A, B und C
Den wichtigsten Aspekt bei solchen Fragestellungen stellen nicht die Beschreibung und die Ziele dar, die erreicht werden sollen, sondern das, was getan wird. Diese Schritte sollten analysiert werden und dann mit den Antwortvorschlägen verglichen werden. Durch die Schritte 1 und 3 kann jeder Client anhand seines FQDN-Namens gefunden werden. Schritt 4 gewährleistet, dass auch die NT-Workstations dynamisch aktualisiert werden. Dies gilt natürlich ebenso für Reverse-Lookup-Einträge, die ebenfalls vom DHCP-Server aktualisiert werden. In Schritt 2 werden zwar die für Forward-Lookups erforderlichen Einträge bei Ablauf der Lease gelöscht, die PTREinträge bleiben jedoch erhalten.
HILFE SERVER •
DNS-Aktualisierungen, dynamische, Übersicht Windows 2000 Server, ISBN 3-86063-278-7
•
Kap. 9, S. 430ff.
162
Sie sind Administrator eines Windows 2000-Netzwerks, das aus 75 Windows NT 4.0 Workstations besteht. Diesem Netzwerk fügen Sie 50 neue PXE-kompatible Computer hinzu, die über die gleiche Hardwareausstattung verfügen. Sie verwenden ein RIS-Abbild, um Windows 2000 Professional auf diesen 50 neuen Computern zu installieren. Die Installation verläuft auf den ersten zehn Computern ohne jegliche Probleme. Auf den restlichen 40 Computern kommt es zu Problemen, die einen erfolgreichen Abschluss der Installation von Windows 2000 Professional verhindern. Wie lösen Sie dieses Problem?
A
�
Sie erweitern den DHCP-Bereich um zusätzliche IP-Adressen.
B
�
Sie führen auf dem RIS-Server das Dienstprogramm rbfg.exe aus, das sich im Ordner RemoteInstall\Admin befindet.
380
Lösungen zum MS-Prüfungsreport
C
�
Sie ändern im CMOS der betroffenen Computer die Bootsequenz.
D
�
Sie erstellen für die restlichen Computer im Active Directory entsprechende Computerkonten. D
Wo liegt das Problem? Wir starten eine RIS-Installation und diese wird bei zehn Rechnern erfolgreich abgeschlossen und bei den restlichen 40 nicht. Wir können davon ausgehen, dass die erforderlichen Netzwerkdienste bereitstehen und diese von den Clients auch erreicht werden. Die Clients sind alle identisch und können direkt, d.h. ohne die RIS-Startdiskette, eine Verbindung zum RISServer aufbauen. Der erste Schritt beim Starten ist die Suche nach einem DHCP-Server, dieser wird im vorliegenden Fall gefunden. Lösungsvorschlag A kann hier nur falsch sein. Begründung: Wenn ein Client keine IP bekommt, dann kann er auch nicht fortfahren. In der Fragestellung wird ausdrücklich erwähnt, dass ein erfolgreicher Abschluss der Installation verhindert wird, also wurde bei allen 50 Rechnern die Installation des RIS-Abbilds eingeleitet. Lösungsvorschlag B kann ebenfalls verworfen werden, da die Clients keine RIS-Startdiskette brauchen, die mittels rbfg.exe erstellt werden würde. Das Ändern der Bootsequenz, wie im Lösungsvorschlag C beschrieben, ist auch nicht zutreffend. Als richtige Antwort bleibt nur noch Lösungsvorschlag D übrig. Wenn die anderen Clients im Active Directory kein Computerkonto haben, dann scheitern sie beim Punkt des Domänenbeitritts. Die magische Zahl 10 sagt das im Endeffekt eigentlich von vornherein aus. Ein User kann bis zu zehn Konten selbst erstellen!
HILFE PROFESSIONAL •
Remote-Installationsdienste, IntelliMirror-Features Windows 2000 Professional, ISBN 3-86063-276-0
•
Kap. 23, S. 613ff.
163
Claudia verwaltet ein geroutetes Windows 2000 Server-Netzwerk, das als Netzwerkprotokoll ausschließlich TCP/IP verwendet. Alle Windows 2000 Professional- und Windows NT 4.0-Arbeitsstationen sind Mitglieder einer einzelnen Domäne. Claudia installiert auf dem Windows 2000 Server APSYSTEMEGSNW1 eine zweite Netzwerkkarte und installiert den Gateway Service für NetWare. Das Netzwerk ist wie folgt dargestellt konfiguriert:
381
Lösungen zum MS-Prüfungsreport
Kapitel 4
AP-SYSTEMENTWS1 Windows NT 4.0
AP-SYSTEMEDC1 Domänencontroller
ROUTER INTERNET
ADAPTER1
AP-SYSTEMEWS1 Windows 2000
AP-SYSTEMEWS2 Windows 2000
ADAPTER2
AP-SYSTEMEGSNW1
NOV001 NETWARE 3.1x
Claudia möchte den Netzwerkadapter 1 ausschließlich für die Kommunikation mit MS-Clients nutzen. Was sollte sie im Dialogfeld EIGENSCHAFTEN VON LAN-VERBINDUNG deshalb aktivieren? A
�
Gateway (und Client) Services für NetWare, Client für Microsoft-Netzwerke, NWLINK IPX/SPX/NetBIOS-kompatibles Transportprotokoll.
B
�
Client für Microsoft-Netzwerke, Datei- und Druckerfreigabe für Microsoft-Netzwerke, TCP/IP.
C
�
Client für Microsoft-Netzwerke, Datei- und Druckerfreigabe für Microsoft-Netzwerke, TCP/IP, NWLink IPX/SPX/NetBIOS-kompatibles Transportprotokoll.
D
�
NWLink IPX/SPX/NetBIOS-kompatibles Transportprotokoll, Gateway (und Client) Services für NetWare. B
Die Beantwortung der Frage ist relativ einfach. Was benötigt ein Windows 2000-Rechner, um mit anderen Windows 2000-Rechnern zu kommunizieren? Zumindest benötigt er die Möglichkeit, auf Ressourcen anderer Windows 2000Rechner zugreifen zu können (Client für Microsoft-Netzwerke (Arbeitsstationsdienst)). Der Rechner, der in einem Microsoft-Netzwerk Ressourcen bereitstellen soll, braucht die Datei- und Druckerfreigabe für Microsoft-Netzwerke (Serverdienst). Zu guter Letzt ist noch ein Transportprotokoll erforderlich, das als Basis für die Kommunikation dient. Wir nehmen das Standard-Netzwerkprotokoll TCP/IP. Wenn wir diese Aspekte mit den Lösungsvorschlägen vergleichen, kommen wir recht schnell zur richtigen Lösung, Lösungsvorschlag B. Die Lösungsvorschläge A und D können Sie getrost vergessen, weil hier Komponenten beschrieben sind, die zur Kommunikation mit Novell NetWare benötigt werden. Lösungsvorschlag C wiederum verfügt auch über NWLink als Transportprotokoll, dieses wird vornehmlich im Umfeld von Novell NetWare benötigt.
382
Lösungen zum MS-Prüfungsreport
HILFE SERVER •
Client für Microsoft-Netzwerke, Übersicht Freigabe von Druckern, Datei- und Druckerfreigabe für Microsoft-Netzwerke Windows 2000 Server, ISBN 3-86063-278-7
•
Kap. 10, S. 375
164
Ein geroutetes Windows 2000-Netzwerk, das über 25 Windows 2000 Server-Rechner verfügt, wird von Ihnen administriert und Sie möchten in einem weiteren Segment einen neuen Windows 2000 Server-Rechner als ersten Server installieren. Sie richten auf dem existierenden DHCP-Server für das zusätzliche geroutete Segment einen gültigen Adressbereich ein und geben während der Installation des Windows 2000 Server-Computers an, dass der Server seine IP-Adresse von einem vorhandenen DHCP-Server anfordern soll. Sie öffnen nach Abschluss der Installation die Netzwerkumgebung und stellen fest, dass der neue Server zwar angezeigt wird, jedoch keine weiteren Computer aufgelistet werden. Sie führen den Befehl lpconfig aus und stellen fest, dass dem neuen Server die IP-Adresse 169.254.1.200 mit einer 16 Bit-Subnetmask, aber ohne Standard-Gatewayadresse zugeordnet wurde. Wie gehen Sie vor, um das Problem zu lösen und die anderen Computer im gerouteten Netzwerk anzuzeigen? (Wählen Sie zwei Antworten aus.)
A
�
Sie konfigurieren das Standardgateway, um an den TCP-Anschluss 270 gerichtete Datenpakete weiterzuleiten.
B
�
Sie fügen die IP-Adresse des Standardgateways den TCP/IP-Eigenschaften des neuen Servers zu.
C
�
Sie installieren im neuen, gerouteten Segment einen Rechner, der den DHCP-Relay-Agenten ausführt.
D
�
Sie fügen im neuen, gerouteten Segment einen WINS-Server hinzu.
E
�
Sie konfigurieren alle Router, um BOOTP Broadcast-Pakete zu verschicken. C und E
Die Antworten C und E sind richtig. Um als DHCP-Client von einem DHCP-Server, der sich in einem anderen Subnetz befindet, eine IP-Konfiguration zu erhalten, muss entweder der Router das BOOTP-Protokoll unterstützen oder im Subnetz des Clients befindet sich ein DHCP-Relay-Agent.
383
Lösungen zum MS-Prüfungsreport
Kapitel 4
Die Antwort A ist falsch, da dieser TCP-Anschluss 270 nicht für DHCP definiert ist. Die Antwort B ist nicht richtig. Der Server erhält seine IP-Konfiguration vom DHCP. Die Antwort D ist auch falsch. WINS ist für die NetBIOS-Namensauflösung zuständig und nicht für die IP-Adressen-Vergabe.
HILFE SERVER •
DHCP-Relay-Agent Windows 2000 Server, ISBN 3-86063-278-7
•
Kap. 10, S. 453
165
Sie sind der Netzwerkadministrator eines Windows 2000-Netzwerks. Ihr Netzwerk verfügt über 20 Windows 2000 Server, 300 Windows 2000 Professional-Clients, 200 Windows 98-Clients und 25 UNIX-Clients, auf denen SMB-Serversoftware ausgeführt wird. Im Netzwerk wird ausschließlich das Transportprotokoll TCP/IP verwendet. Sie implementieren im Netzwerk WINS für die Vereinfachung der NetBIOS-Namensauflösung. Die Benutzer der Windows-Clients können jedoch auf Ressourcen, die auf den UNIX-Rechnern verfügbar sind, keine NetBIOS-Namen verwenden. Beim Zugriff auf Windows-Rechner funktioniert das Ganze reibungslos. Was tun Sie, um dieses Problem zu lösen?
A
�
Sie installieren auf einem der UNIX-Rechner einen WINS-Proxy-Agenten.
B
�
Sie installieren auf einem Windows-Rechner einen WINS-Proxy-Agenten.
C
�
Sie erstellen auf dem WINS-Server statische Zuordnungen für die UNIXRechner.
D
�
Sie erstellen auf dem WINS-Server statische Zuordnungen für die Windows-Rechner. C
UNIX kennt sich grundsätzlich nicht mit NetBIOS aus. Wenn wir diese Unterstützung bereitstellen müssen, gibt es in unserem Fall nur die Möglichkeit, statische Einträge auf dem WINS-Server zu erstellen (Lösungsvorschlag C). Die Verwendung statischer Einträge empfiehlt sich nur, wenn Sie der Serverdatenbank eine Zuordnung von Namen zu Adressen für einen Computer hinzufügen müssen, der WINS nicht direkt verwendet. In bestimmten Netzwerken können Server unter anderen Betriebssystemen NetBIOS-Namen nicht direkt auf einem WINS-Ser-
384
Lösungen zum MS-Prüfungsreport
ver registrieren. Obwohl diese Namen durch eine Lmhosts-Datei oder eine DNS-Serverabfrage hinzugefügt oder aufgelöst werden können, sollten Sie die Verwendung einer statischen WINS-Zuordnung in Betracht ziehen. Die Lösungsvorschläge A und B beziehen sich auf den Einsatz eines WINS-ProxyAgenten und können in diesem Zusammenhang verworfen werden. Bei einem WINS-Proxy handelt es sich um einen WINS-Clientcomputer, der so konfiguriert wurde, dass er an die Stelle anderer Hostcomputer tritt, die nicht direkt mit WINS arbeiten können. WINS-Proxys sind hilfreich beim Auflösen von NetBIOS-Namensabfragen nach Computern, die sich in gerouteten TCP/IP-Netzwerken befinden. Bei der Namensauflösung von Windows-Clients auf UNIX-Clients kann kein WINSProxy-Agent verwendet werden. Lösungsvorschlag D ist unsinnig, weil die Windows-Rechner ja mit WINS umgehen können und laut Fragestellung keine Probleme haben.
HILFE SERVER • •
Verwenden statischer Zuordnungen WINS-Proxy Windows 2000 Server, ISBN 3-86063-278-7
•
Kap. 9, S. 413ff.
166
Sie sind der Netzwerkadministrator der AP-SYSTEME GmbH. Das Netzwerk, das Sie betreuen, ist entsprechend der nachfolgenden Grafik aufgebaut. AP-SYSTEMEAD1 Active Directory Server
AP-SYSTEMERIS1 RIS Server
AP-SYSTEMEDNS1 DNS/WINS Server
AP-SYSTEMEDHCP1 DHCP Server
Router
AP-SYSTEMEWS1 10 . 10 . 30 . 20
AP-SYSTEMEWS2 10 . 10 . 30 . 200
385
AP-SYSTEMEWS3 10 . 10 . 30 . 222
Lösungen zum MS-Prüfungsreport
Kapitel 4
Sie möchten Windows 2000 Professional auf zehn nicht PXE-kompatiblen Rechnern im Netzwerksegment der Abteilung »Schulung« installieren. Sie starten einen der Rechner mit einer RIS-Startdiskette, können jedoch keine Verbindung mit dem Rechner AP-SYSTEMERIS1 herstellen. Sie vergewissern sich, dass andere Rechner im Netzwerk kommunizieren können, auch mit AP-SYSTEMERIS1. Da der Netzwerkrouter BOOTP nicht unterstützt, verwenden vorhandene Clients manuell konfigurierte TCP/IPAdressen. Sie möchten erreichen, dass die nicht PXE-kompatiblen Rechner Verbindungen mit dem Rechner AP-SYSTEMERIS1 herstellen können. Wie realisieren Sie das? A
�
Sie fügen einen Rechner zum Netzwerksegment der Abteilung »Schulung« hinzu, der den DHCP-Relay-Agenten ausführt.
B
�
Sie fügen einen Rechner zum Netzwerksegment der Abteilung »Schulung« hinzu, der einen Netzwerkmonitortreiber ausführt.
C
�
Sie versetzen den Windows 2000 Server, der WINS bereitstellt, in das Netzwerksegment der Abteilung »Schulung«.
D
�
Sie versetzen den Windows 2000 Server, der Active Directory ausführt, in das Netzwerksegment der Abteilung »Schulung«. A
Hier handelt es sich wieder um eine bekannte Frage zum Thema RIS (Remote Installation Services). Was wird benötigt, um RIS im Netzwerk einsetzen zu können? Folgende Netzwerkdienste: • • • •
Domänencontroller (AD) DNS-Server DHCP-Server RIS-Server
Die Clients sollten in der Lage sein, eine Verbindung zum RIS-Server aufzubauen. Hierzu kann entweder eine RIS-Startdiskette erstellt werden oder die Clients, genauer die Netzwerkkarten, erfüllen die PXE-Spezifikation. Der erste von einem RIS-Client eingeleitete Schritt ist die Anforderung einer IPAdresse vom DHCP-Server. Kann dieser DHCP-Server nicht erreicht werden, braucht man sich keine Gedanken mehr um die Installation des Betriebssystems Windows 2000 Professional auf dem Rechner zu machen. Es muss sichergestellt sein, dass der DHCP-Server vom Client erreicht wird, auch wenn er in einem anderen Subnetz steht. Hier sollte man sich folgende Merkmale einprägen:
386
Lösungen zum MS-Prüfungsreport
Der Router ist RFC 1542-kompatibel. Der Router unterstützt BOOTP. Wenn eine dieser beiden Eigenschaften zutrifft, kann man davon ausgehen, dass der Client den DHCP-Server erreicht und von diesem eine gültige IP-Adresse erhält. Wenn allerdings keine dieser Eigenschaften zutreffen, kommt das »Allheilmittel« DHCP-Relay-Agent zum Einsatz. Im vorliegenden Szenario wird ausdrücklich erwähnt, dass der Netzwerkrouter BOOTP nicht unterstützt. Also muss auf dem Rechner, der in diesem Netzwerk als Router fungiert, der DHCP-Relay-Agent hinzugefügt werden. Lösungsvorschlag A beschreibt genau diese Aktion und ist deshalb richtig. Die falschen Lösungsvorschläge sind im Folgenden näher erläutert. Lösungsvorschlag B: Hier soll ein Netzwerkmonitortreiber (Agent) hinzugefügt werden. Dies würde grundsätzlich nur den Vorteil bringen, dass der Rechner, der diesen Netzwerkmonitoragenten ausführt, mittels des Netzwerkmonitors überwacht werden könnte. Wir haben es hier aber mit neuen Rechnern zu tun (ohne Betriebssystem)! Lösungsvorschlag C: Der Einsatz eines WINS-Servers ist in diesem Zusammenhang sinnlos. Lösungsvorschlag D: Wir erreichen vielleicht eine Redundanz der Netzwerkdienste oder auch eine Reduzierung der Netzwerklasten während der Anmeldezeiten. Nur das Problem hinsichtlich der Nichterreichbarkeit des DHCP-Servers hätten wir nicht gelöst.
HILFE PROFESSIONAL •
DHCP, TCP/IP-Konfiguration Windows 2000 Professional, ISBN 3-86063-276-0
•
Anhang C, S. 723
167
Uwe P. konfiguriert das Notebook von Willy P. Willy P. hat als Betriebssystem Windows 2000 Professional auf seinem Notebook installiert und verwendet ein Smartcard-Lesegerät. Die Treiber hierfür sind ebenfalls auf dem Notebook von Willy P. installiert. Welches Authentifizierungsprotokoll wird in Zusammenhang mit Smartcards verwendet?
A
�
Extensible-Authentification-Protokoll (EAP)
B
�
Unverschlüsseltes Kennwort (PAP)
387
Lösungen zum MS-Prüfungsreport
Kapitel 4
C
�
Shiva-Password-Authentication-Protokoll (SPAP)
D
�
Challenge-Authentication-Protokoll (CHAP)
E
�
Microsoft CHAP (MS-CHAP)
F
�
Microsoft CHAP Version 2 (MS-CHAP v2) A
Aufgrund der Fragestellung mit dem Hinweis auf Smartcards ist die Lösung einfach. Für den Einsatz von Smartcards ist immer EAP als Protokoll nötig (Lösungsvorschlag A). Eine Smartcard-Authentifizierung benötigt ein Anmeldezertifikat vom Typ EAP oder ein anderes TLS-Zertifikat (Lösungsvorschlag A). Die in den restlichen Lösungsvorschlägen genannten Authentifizierungsprotokolle stehen in keinem Zusammenhang mit der Verwendung von Smartcards.
HILFE PROFESSIONAL •
Smartcard-Unterstützung, EAP Windows 2000 Professional, ISBN 3-86063-276-0
•
Kap. 21, S. 551ff.
168
In Ihrem Netzwerk installieren Sie den Routing- und RAS-Dienst auf einem Windows 2000 Server-Rechner. Ihr Netzwerk verfügt über keinen direkten Zugang zum Internet und verwendet den privaten IP-Adressbereich 192.168.0.0. Sie können mit dem Routing- und RAS-Dienst zwar eine DFÜ-Verbindung zum Server herstellen, allerdings nicht auf die bereitgestellten Ressourcen zugreifen. Wenn Sie versuchen, die Server unter Verwendung ihrer IP-Adressen mit dem Befehl ping zu erreichen, erhalten Sie folgende Fehlermeldung: Zeitüberschreitung der Anforderung. Sie führen daraufhin den Befehl ipconfig aus und stellen fest, dass Ihrer DFÜ-Verbindung die IP-Adresse 169.254.75.182 zugewiesen wurde. Wie lösen Sie das Problem?
A
�
Sie weisen dem RAS-Server die Adresse eines DHCP-Servers zu.
B
�
Sie autorisieren den RAS-Server, mehrere Adressen von einem DHCPServer zu beziehen.
388
Lösungen zum MS-Prüfungsreport
C
�
Sie konfigurieren den RAS-Server als DHCP-Relay-Agenten.
D
�
Sie stellen sicher, dass der RAS-Server eine Verbindung zu dem DHCP-Server herstellen kann, der über den Adressbereich für das lokale Subnetz verfügt. C
Hier gibt es offensichtlich ein Problem hinsichtlich der Verbindung zwischen dem RAS-Server und dem DHCP-Server. Da die Clients eine IPAdresse aus dem APIPA-Bereich erhalten, erreicht die IP-Anforderung des Clients den DHCP-Server nicht. Bei der Konfiguration des RAS-Servers hat man die Möglichkeit, anzugeben, ob und wie der RAS-Server den RAS-Clients IP-Adressen zuordnet. Entweder arbeitet er als eine Art »Mini-DHCP-Server« und reserviert sich beim DHCP-Server (LAN) zehn IP-Adressen. Hierzu sollte man auf alle Fälle auch den DHCP-Relay-Agenten auf dem RAS-Server hinzufügen. Als zweite Variante kann man auf dem RAS-Server einen statischen IP-Adresspool erstellen, aus dem die RAS-Clients dann versorgt werden. Im Lösungsvorschlag A wird genau das gemacht, was bei der Konfiguration des RAS-Servers angegeben wird – die Bekanntgabe des DHCP-Servers. Wenn jedoch die Clients eine APIPA-Adresse bekommen, hat der RAS-Server wahrscheinlich den DHCP-Relay-Agenten nicht installiert. Im Klartext heißt das: Wenn der DHCP-Server bekannt ist, auf dem RAS-Server jedoch der DHCP-Relay-Agent nicht konfiguriert ist, dann gibt es auch keine gültige IP für die Clients. Lösungsvorschlag B: Es spielt hier keine Rolle, ob man eine oder mehrere Adressen vom DHCP-Server bezieht. Es geht um die Nichterreichbarkeit des DHCP-Servers. Im Lösungsvorschlag C wird endlich ein wesentlicher Aspekt der Verbindungsprobleme aufgezeigt. Wenn auf dem RAS-Server, der gewissermaßen als Router fungiert, der DHCP-Server zwar bekannt, jedoch der DHCP-Relay-Agent nicht konfiguriert ist, dann gelangen keine DHCP-Informationen zum Client. Wenn dieser keine Informationen erhält, kommt automatisch APIPA zum Einsatz, so wie im vorliegenden Fall. Lösungsvorschlag D: Hier wird indirekt angesprochen dass es mehrere DHCP-Server im Netz gibt. Ein eindeutiger Hinweis hierauf ist in der Fragestellung nicht zu finden.
HILFE SERVER •
Routing und RAS, DHCP Windows 2000 Server, ISBN 3-86063-278-7
•
Kap. 10, S. 441ff.
389
Lösungen zum MS-Prüfungsreport
Kapitel 4
169
Ein geroutetes Windows 2000-Netzwerk, das über 25 Windows 2000 Server-Rechner verfügt, wird von Ihnen administriert und Sie möchten in einem weiteren Segment einen neuen Windows 2000 Server-Rechner als ersten Server installieren. Sie richten auf dem existierenden DHCP-Server für das zusätzliche geroutete Segment einen gültigen Adressbereich ein und geben während der Installation des Windows 2000 Server-Computers an, dass der Server seine IP-Adresse von einem vorhandenen DHCP-Server anfordern soll. Sie öffnen nach Abschluss der Installation die Netzwerkumgebung und stellen fest, dass der neue Server zwar angezeigt wird, jedoch keine weiteren Computer aufgelistet werden. Sie führen den Befehl lpconfig aus und stellen fest, dass dem neuen Server die IP-Adresse 169.254.1.200 mit einer 16 Bit-Subnetmask, aber ohne Standard-Gateway-Adresse zugeordnet wurde. Wie gehen Sie vor, um das Problem zu lösen und die anderen Computer im gerouteten Netzwerk anzuzeigen? (Wählen Sie zwei Antworten aus.)
A
�
Sie konfigurieren das Standardgateway, um an den TCP-Anschluss 270 gerichtete Datenpakete weiterzuleiten.
B
�
Sie fügen die IP-Adresse des Standardgateways den TCP/IP-Eigenschaften dem neuen Servers zu.
C
�
Sie installieren im neuen, gerouteten Segment einen Rechner, der den DHCP-Relay-Agent ausführt.
D
�
Sie fügen im neuen, gerouteten Segment einen WINS-Server hinzu.
E
�
Sie konfigurieren alle Router, um BOOTP Broadcast Pakete zu verschicken. C und E
Aus der Fragestellung geht eindeutig hervor, dass der Client keinen DHCP-Server erreichen konnte und deswegen die IP-Adresse über APIPA bekommt. Allerdings erhält man keine Fehlermeldung mehr darüber, dass der DHCP-Server nicht gefunden wurde, und kann in der Regel trotzdem nicht aufs Netzwerk zugreifen. Wenn sich der DHCP-Server nicht meldet, gibt es grundsätzlich mehrere Fehlermöglichkeiten: • • • •
Er ist nicht im Active Directory autorisiert bzw. der DHCP-Server ist ausgefallen. Er hat keinen gültigen Bereich für das Subnetz des anfordernden Clients Er hat keine IP-Adressen mehr, d.h., der Pool ist ausgeschöpft Der DHCP-Server kann vom Client nicht erreicht werden, weil der Router kein BOOTP unterstützt bzw. nicht RFC 1542-kompatibel ist.
Im vorliegenden Fall weist die Fragestellung auf das Problem des Routers hin.
390
Lösungen zum MS-Prüfungsreport
Der Lösungsvorschlag A geht grundsätzlich nicht auf die Problemstellung ein und der TCP-Anschluss 270 hat nichts mit DHCP zu tun. Der Lösungsvorschlag B wiederum suggeriert, dass wir eine statische IP-Adresse haben und bei dieser der Standard-Gateway-Eintrag fehlt. Dies entspricht auch nicht der Aufgabenstellung. Lösungsvorschlag C ist der erste richtige, man kann nämlich eine IP-Adresse von einem DHCP-Server, der in einem anderen Subnetz steht als der anfordernde Client, nur dann beziehen, wenn der Router diese Anfragen auch weiterleitet. Hier wird als Lösung das »Allheilmittel« DHCP-Relay-Agent genannt. Lösungsvorschlag D fügt einen WINS-Server hinzu. WINS ist hier völlig unnötig und setzt zudem bereits eine gültige IP-Adresse voraus. Lösungsvorschlag E ist der zweite richtige. Hier wird statt des DHCP-Relay-Agenten die BOOTP-Kompatibilität eingerichtet.
HILFE SERVER •
DHCP-Relay-Agent Windows 2000 Server, ISBN 3-86063-278-7
•
Kap. 10, S. 453
170
Als Transportprotokoll wird in Ihrem Netzwerk ausschließlich TCP/IP verwendet. Sie installieren in diesem Netzwerk einen RAS-Server. Mehrere Benutzer berichten, dass sie folgende Fehlermeldung erhalten, wenn sie versuchen, eine Verbindung zum Server herzustellen: IPX/SPX-kompatibler CP meldet Fehler 733. Das PPP-Kontroll-Netzwerkprotokoll ist für das Netzwerkprotokoll nicht verfügbar. Wenn die Benutzer den Vorgang fortsetzen, können sie mit den TCP/IPbasierten Diensten kommunizieren. Wie unterbinden Sie diese Fehlermeldung?
A
�
Sie konfigurieren die Clients zur Verbindungsherstellung mit dem RASServer unter ausschließlicher Verwendung von TCP/IP.
B
�
Sie konfigurieren die Clients zur Verbindungsherstellung mit dem RASServer unter ausschließlicher Verwendung einer definierten IPX-Adresse.
C
�
Sie konfigurieren den RAS-Server, um den IPX-gestützten Remotezugriff und die Verbindungsherstellung bei Bedarf zu ermöglichen.
D
�
Sie konfigurieren den RAS-Server und deaktivieren die Unterstützung von Mehrfachverbindungen.
391
Lösungen zum MS-Prüfungsreport
Kapitel 4
A Die Fehlermeldung sagt mehr als deutlich, wo das Problem zu suchen ist: Das PPP-Kontroll-Netzwerkprotokoll ist für das Netzwerkprotokoll nicht verfügbar. Beim Einrichten eines RAS-Servers werden die vorhandenen Netzwerkprotokolle durch Hinzufügen von PPP (Point to Point Protocol) »RAS-tauglich«. Wenn beim Konfigurieren jedoch kein NWLink als Netzwerkprotokoll vorhanden ist oder hinzugefügt wurde, dann darf man sich über obige Fehlermeldung nicht wundern. Es kann nur das aktiviert werden, was auch vorhanden ist. Der zweite potenzielle Hinweis auf ein Netzwerkprotokoll namens TCP/IP ist ebenfalls in der Frage (erster Absatz) zu finden. Vorschlag A zeigt uns die Lösung des Problems: Die Clients sollen für den Verbindungsaufbau das Protokoll nutzen, das auch im LAN genutzt wird. Aufgrund der Bindungsreihenfolge wird bei den Clients als erstes Protokoll NWLink verwendet, erst im zweiten Anlauf kommt dann die Verbindung zustande (mit TCP/IP). Wenn Lösungsvorschlag B richtig sein sollte, müssten wir auf dem RAS-Server auch NWLink als Transportprotokoll installieren. Ist dies nicht der Fall, dann hilft es uns nicht bei der Lösung unseres Problems. Lösungsvorschlag C klingt gut, ist jedoch grundsätzlich falsch. Ohne NWlink gibt es keinen IPX-gestützten Remotezugriff. Es ist nicht sinnvoll, die Verbindung bei Bedarf herstellen zu können. Lösungsvorschlag D ist falsch, da Mehrfachverbindungen nichts mit dem Protokoll, sondern mit der Übertragungsstärke zu tun haben. Es werden mehrere Verbindungen mit gleicher Nummer zusammengefasst.
HILFE SERVER •
RAS-TCP/IP Windows 2000 Server, ISBN 3-86063-278-7
•
Kap. 10, S. 459ff.
171
Jan D. betreut ein Windows 2000-Netzwerk. Das Netzwerk besteht ausschließlich aus Windows 2000-Rechnern, einem Windows 2000-basierten DHCP-Server, zwei Routern und 100 Windows 2000 Professional-Rechnern. Die Windows 2000 Professional-Clients sind über vier Segmente verteilt. Die gesamte TCP/IP-Konfiguration der Clients wird durch den DHCP-Server durchgeführt. Der DHCP-Server hat hierzu vier Adressbereiche und steht selbst im Subnetz C. Die Router leiten die DHCP-Anforderungen der Windows 2000 Professional-Rechner nicht weiter. Jeder Router
392
Lösungen zum MS-Prüfungsreport
verfügt über drei Schnittstellen. Sie möchten den DHCP-Relay-Agenten aktivieren und konfigurieren, um es allen Windows 2000 ProfessionalRechnern zu ermöglichen, eine IP-Adresse vom DHCP-Server zu beziehen. An welchen Schnittstellen müssen Sie den DHCP-Relay-Agenten aktivieren bzw. konfigurieren? (Klicken Sie zur Beantwortung dieser Frage auf die Schaltfläche AUSWÄHLEN UND PLATZIEREN und ziehen Sie dann das Kästchen an die betreffenden Routerschnittstellen. Das Kästchen kann mehr als einmal verwendet werden.)
A
D 25 Windows 2000 Professional
25 Windows 2000 Professional
ROUTER
ROUTER
B
C
DHCP Server mit 4 Bereichen
20 Windows 2000 Professional
20 Windows 2000 Professional
Schnittstelle mit DHCP Relay Agent
Ziehen Sie den DHCP-Relay-Agenten auf die Schnittstellen der Router, die für die Subnetze A, B und D zuständig sind. Hier kommt wieder ein altbekanntes Problem zum Vorschein. Wie schaffen wir es, dass sich ein DHCP-Server, der sich in einem anderen Subnetz als ein anfordernder DHCP-Client befindet, meldet und auch IP-Adressen an die Clients vergeben kann. Bei allen Arten dieser Fragestellung sollte man sich immer Folgendes vor Augen halten: Ein Router im Sinne dieser oder ähnlicher Fragestellungen ist ein Rechner mit mehreren Netzwerkkarten. Diese Router sollten entweder RFC 1542-kompatibel sein oder BOOTP unterstützen, um einem Client auch eine IP-Adresse durchreichen zu können. Wenn dies nicht der Fall ist, dann muss auf diesem Router der DHCPRelay-Agent installiert werden.
393
Lösungen zum MS-Prüfungsreport
Kapitel 4
Im vorliegenden Fall können wir das Subnetz C außer Acht lassen, da sich der DHCP-Server genau in diesem Subnetz befindet. Also müssen wir nur für die anderen Subnetze die Erreichbarkeit des DHCP-Servers sicherstellen. In der oben beschriebenen Situation müssen wir auf dem Router den DHCP-RelayAgenten für die Subnetze A, B und D aktivieren.
HILFE SERVER •
DHCP-Relay-Agent, Übersicht Windows 2000 Server, ISBN 3-86063-278-7
•
Kap. 9, S. 415ff.
172
Peter W. betreut ein geroutetes Netzwerk, wie im Diagramm dargestellt. ROUTER 192.168.1.100/24
192.168.2.100/24
AP-SYSTEMEdc01.AP-SYSTEME.de 192.168.3.10/24
AP-SYSTEMEdyn1.AP-SYSTEME.de 192.168.2.10/24
192.168.3.100/24 192.168.4.100/24
AP-SYSTEMEdc1.service.AP-SYSTEME.de 192.168.4.10/24
ROUTER
Die Server und Router im Netzwerk haben statische IP-Adressen. Die Router unterstützen das BOOTP-Protokoll. AP-SYSTEMEDYN1.AP-SYSTEME.de soll in Zukunft als RIS-Server eingesetzt werden. In den Subnetzen neben AP-SYSTEMEDC01.AP-SYSTEME.de, AP-SYSTEMEDYN1.AP-SYSTEME.de und AP-SYSTEMEDC1. service.AP-SYSTEME.de sollen neue Rechner mithilfe von RIS installiert werden. Die Netzwerkkarten der Rechner sind PXE-kompatibel. Die Rechner sollen ihre IP-Konfiguration vom DHCP-Server erhalten. In welchen Subnetzen sind DHCP-Relay-Agenten zu installieren? (Wählen Sie alle zutreffenden Antworten.) A
�
192.168.1.0, 192.168.2.0, 192.168.3.0, 192.168.4.0.
B
�
192.168.1.0, 192.168.2.0, 192.168.4.0
394
Lösungen zum MS-Prüfungsreport
C
�
192.168.2.0, 192.168.4.0.
D
�
192.168.2.0, 192.168.3.0, 192.168.4.0.
E
�
In keinem Subnetz. E
Diese Fragestellung enthält einen entscheidenden Hinweis, der das Herausfinden der richtigen Lösung einfach macht. Der Hinweis lautet: »Die Router unterstützen das BOOTP-Protokoll«. Im vorliegenden Fall brauchen wir hinsichtlich der Erreichbarkeit der DHCP-Server nichts zu unternehmen. Der Lösungsvorschlag E beschreibt die richtige Lösung. Die anderen Lösungsvorschläge beziehen sich grundsätzlich auf die Thematik, dass der oder die Router kein BOOTP unterstützen.
HILFE SERVER •
Router, Standardgateways Windows 2000 Server, ISBN 3-86063-278-7
•
Kap. 10 S., 453ff.
173
Das Firmennetzwerk der AP-SYSTEME GmbH ist wie folgt konfiguriert: TRAINING
AP-SYSTEMETRA2 IP: 192.168.1.12
AP-SYSTEMEWS1
AP-SYSTEMEWS2
AP-SYSTEMETRA1 DHCP SERVER IP: 192.168.1.11 SCOPE:192.168.1.32-126 SCOPE:192.168.2.128-160
SCHULUNG
AP-SYSTEMESCH3 IP: 192.168.2.12
AP-SYSTEMEWS3
AP-SYSTEMEWS4
395
AP-SYSTEMESCH4 DHCP SERVER IP: 192.168.2.11 SCOPE:192.168.2.32-126 SCOPE:192.168.1.128-160
ROUTER
Lösungen zum MS-Prüfungsreport
Kapitel 4
Im Netzwerk wird als Transportprotokoll ausschließlich TCP/IP verwendet. Eines der Subnetze, das die Windows 2000 Server AP-SYSTEMETRA1 und AP-SYSTEMETRA2 umfasst, wird von der Trainingsabteilung genutzt. Ein weiteres Subnetz beinhaltet die Windows 2000 Server AP-SYSTEMESCH3 und AP-SYSTEMESCH4 und wird von der Schulungsabteilung verwendet. AP-SYSTEMETRA1 und AP-SYSTEMESCH4 arbeiten als DHCP-Server. Der Router, über den die zwei Subnetze miteinander verbunden sind, ist nicht RFC 1542-kompatibel und unterstützt kein DHCP/BOOTP-Relay. Auf welchem Rechner sollte Hans G. den DHCP-Relay-Agenten hinzufügen und konfigurieren? A
�
AP-SYSTEMESCH3 und AP-SYSTEMEWS4.
B
�
AP-SYSTEMESCH4 und AP-SYSTEMETRA2.
C
�
AP-SYSTEMESCH3 und AP-SYSTEMETRA2.
D
�
AP-SYSTEMESCH4 und AP-SYSTEMETRA2. C
Hier kommt wieder ein altbekanntes Problem zum Vorschein. Wie schaffen wir es, dass sich ein DHCP-Server, der sich in einem anderen Subnetz als ein anfordernder DHCP-Client befindet, meldet und auch IP-Adressen an die Clients vergeben kann. Bei allen Arten dieser Fragestellung sollte man sich immer Folgendes vor Augen halten: Ein Router im Sinne dieser oder ähnlicher Fragestellungen ist ein Rechner mit mehreren Netzwerkkarten. Diese Router sollten entweder RFC 1542-kompatibel sein oder BOOTP unterstützen, um einem Client auch eine IP-Adresse durchreichen zu können. Wenn dies nicht der Fall ist, dann muss auf diesem Router der DHCPRelay-Agent installiert werden. Da der Router nicht RFC 1542-kompatibel ist, kann der DHCP-Server im anderen Subnetz nur mithilfe von DHCP-Relay-Agenten erreicht werden, wenn die im Lösungsvorschlag angegebenen Rechner den DHCP-Relay-Agenten aufweisen. Besser wäre zwar die Konfiguration auf dem Router, dies wird jedoch nicht als Lösungsvorschlag angeboten. Also müssen wir den DHCP-Relay-Agenten auf den zur Verfügung stehenden Windows 2000 Servern installieren und konfigurieren. Die DHCP Server selbst fallen hier schon weg. Lösungsvorschlag A kann grundsätzlich schon deshalb als falsch verworfen werden, weil hier auf einem Client (Windows 2000 Professional) der DHCP-Relay-Agent installiert und konfiguriert wird. Lösungsvorschlag B wiederum suggeriert die Installation und Konfiguration des DHCP-Relay-Agenten auf dem DHCP Server selbst. Das funktioniert leider nicht.
396
Lösungen zum MS-Prüfungsreport
Lösungsvorschlag D schlägt in die gleiche Kerbe wie Lösungsvorschlag B und wird deshalb auch verworfen. Auf einem DHCP-Server kann kein DHCP-Relay-Agent installiert und konfiguriert werden.
HILFE SERVER •
DHCP-Relay-Agent Windows 2000 Server, ISBN 3-86063-278-7
•
Kap. 10, S. 453
174
Sie sind der Administrator eines Windows 2000-Netzwerks. Das Netzwerk besteht aus Windows 2000 Server-Rechnern, Windows 2000 Professional-Clients, Windows NT 4.0 Workstations und Windows für Workgroups 3.11-Clients, die über drei Subnetze verteilt sind. Alle Clients verwenden die automatische TCP/IP-Konfiguration. Sie installieren in einem Subnetz einen neuen Windows 2000 Server als WINS-Server. Zusätzlich definieren Sie eine DHCP-Bereichsoption für die Adresse des neuen WINS-Servers. Die Benutzer können zwar auf Ressourcen in ihrem eigenen Subnetz zugreifen, jedoch nicht auf Ressourcen in anderen Subnetzen. Wie lösen Sie dieses Problem?
A
�
Sie aktualisieren die Konfiguration sämtlicher Clients mittels des Befehls ipconfig /renew.
B
�
Sie aktualisieren die Konfiguration sämtlicher Clients mittels des Befehls ipconfig /release.
C
�
Sie installieren einen WINS-Proxy-Agenten in dem Subnetz, in dem sich der neue WINS-Server befindet.
D
�
Sie installieren einen WINS-Proxy-Agenten in den Subnetzen, die den neuen WINS-Server nicht enthalten. A
Wir haben einen neuen WINS-Server im Netz und dessen Adresse soll allen Clients bekannt gegeben werden. Da wir die IPs mittels DHCP verteilen, wird bei allen neuen Anfragen bereits die neue WINS-Server-Adresse mit übermittelt. Das Problem haben nur Clients, die noch eine gültige IP haben. Das Problem lässt sich einfach mittels des Befehls ipconfig /renew lösen. Damit wird die Konfiguration am Client aktualisiert. Dieser Aspekt spiegelt sich im Lösungsvorschlag A wider.
397
Lösungen zum MS-Prüfungsreport
Kapitel 4
Wenn der Client über keine gültige Konfiguration verfügt, können Sie den Client mit dem Befehl ipconfig /renew anweisen, seine IP-Konfiguration mit dem DHCP-Server zu aktualisieren. Alternativ aktualisieren Sie die TCP/IP-Konfiguration manuell. Lösungsvorschlag B wiederum gibt die IP frei, dies würde im ersten Moment das Problem nicht lösen. Die Lösungsvorschläge C und D können auch getrost verworfen werden, weil der Einsatz eines WINS-Proxy-Agenten nichts mit der Lösung des Problems zu tun hat.
HILFE SERVER •
WINS-Clients, Problembehandlung Windows 2000 Server, ISBN 3-86063-278-7
•
Kap. 4, S. 409ff.
175
Sie sind der Administrator eines Windows 2000-Netzwerks. Dieses Netzwerk besteht aus fünf Subnetzen, die über einen Router miteinander verbunden sind. Auf diesem ist BOOTP-Relay aktiviert. Im Netzwerk befinden sich 80 Windows 2000 Server und 800 Windows 2000 Professional-Rechner. Diese Rechner sind relativ gleichmäßig über die Subnetze verteilt. Zusätzlich befinden sich im Netz 20 UNIX-Server und 100 für DHCP aktivierte Netzwerkdrucker. Sie sollen das Netzwerk optimieren, um folgende Ziele zu erreichen: • • • • •
Die korrekte Zuordnung von IP-Adressen an alle Clients in den Subnetzen soll automatisiert werden. Adresskonflikte zwischen Servern und Clients sollen verhindert werden. Es sollen korrekte Bereichsoptionen für alle Clients in den Subnetzen verwendet werden. Inaktive Clients sollen IP-Adressen nicht länger als drei Tage behalten. Jeder Netzwerkdrucker soll immer die gleiche IP-Adresse erhalten.
Sie führen folgende Schritte durch: • • • • •
Sie konfigurieren einen der Windows 2000 Server als DHCP-Server. Sie erstellen fünf Adressbereiche. Sie konfigurieren eine Leasedauer von drei Tagen. Sie erstellen Reservierungen für die Server. Sie schließen die von den Netzwerkdruckern verwendeten Adressen aus.
398
Lösungen zum MS-Prüfungsreport
Welches Ergebnis bzw. welche Ergebnisse werden durch Ihre Maßnahmen erzeugt? (Wählen Sie alle zutreffenden Antworten aus.) A
�
Die korrekte Zuordnung der IP-Adressen an alle Clients in allen Subnetzen wird automatisiert.
B
�
Adresskonflikte aufgrund doppelt vorhandener IP-Adressen zwischen den Clients und den Servern werden verhindert.
C
�
Korrekte Bereichsoptionen werden für alle Clients in den Subnetzen verwendet.
D
�
Inaktive Clients können eine IP-Adresse maximal drei Tage beanspruchen.
E
�
Jeder Netzwerkdrucker erhält immer die gleiche IP-Adresse. A, B und D
Antwort A ist richtig, weil ein DHCP-Server konfiguriert ist (Schritt 1). Da der Router gemäß Aufgabenstellung die BOOTP-Weiterleitung unterstützt, ist der DHCP-Server von jedem Subnetz aus erreichbar. Antwort B ist richtig, weil in Schritt 4 Reservierungen für die IP-Adressen der Server durchgeführt werden. Antwort D ist richtig, weil die Leasedauer auf drei Tage geändert wird. Antwort C ist nicht richtig, weil keine passenden Bereichsoptionen erstellt werden. Antwort E ist nicht richtig, weil der IP-Adressbereich für die Drucker ausgeschlossen wurde und dementsprechend keine automatisierte Vergabe dieser Adressen erfolgt. Andere Maßnahmen, wie die Reservierung der IP-Adressen für die Drucker, sind nicht beschrieben.
HILFE SERVER •
DHCP-Bereichsoptionen Windows 2000 Netzwerkinfrastruktur-Administration, ISBN 3-86063-277-9
•
Erstellen eines DHCP-Bereichs – Seite 284 ff.
176
Peter R administriert ein heterogenes Netzwerk mit zwei durch einen Router getrennten Subnetzen. In Subnetz A befinden sich zwei Windows 2000 Server, zwei NT 4.0 Server und 300 Windows 2000 Professional-Rechner. Zu Subnetz B gehören zwei NT 4.0 Server, 250 NT 4.0 Workstations und vier UNIX-Server.
399
Lösungen zum MS-Prüfungsreport
Kapitel 4
Einer der NT 4.0 Server in Subnetz B mit dem Namen WINS1 ist als WINS-Server zur NetBIOS-Namensauflösung installiert. Alle Windowsbasierten Computer im Netz sind für WINS konfiguriert. Für die UNIX-Server wurden statische Einträge in der WINS-Datenbank durchgeführt. DNS ist im Netzwerk nicht im Einsatz. Auf den vier UNIX-Servern im Subnetz B läuft SMB-Server und ClientSoftware. Peter will sicherstellen, dass die UNIX-Server Zugriff auf Daten bekommen, die auf den Windows 2000 Servern im Subnetz A gespeichert sind. Welche der folgenden Maßnahmen muss Peter ergreifen, um dieses Ziel zu erreichen? A
�
Peter muss für die Windows 2000 Server in Subnetz A statische Einträge in der WINS-Datenbank hinzufügen.
B
�
Peter muss in Subnetz A einen WINS-Proxy-Rechner konfigurieren.
C
�
Peter muss im Subnetz A einen WINS-Server installieren.
D
�
Peter muss in Subnetz B einen WINS-Proxy-Rechner konfigurieren. D
Antwort D ist richtig. Obwohl sich der WINS-Server im gleichen Subnetz befindet wie die UNIX-Server muss in diesem Subnetz ein WINS-Proxy installiert werden. Die UNIX-Server sind nicht WINS-fähig, sondern versenden Broadcasts, auf die der WINS-Server nicht antworten kann. Ein WINS-Proxy leitet die Broadcasts an einen WINS-Server weiter. Antwort A ist nicht richtig. Alle Windows-Rechner sind WINS-fähig und für WINS konfiguriert und tragen sich dementsprechend selbst in die WINS-Datenbank ein. Antwort B ist nicht richtig. Ein WINS-Proxy im Subnetz A würde die Broadcasts der UNIX-Server über den Router hinweg nicht erhalten und könnte sie dementsprechend nicht an den WINS-Server leiten. Antwort C ist falsch. Ein weiterer WINS-Server, noch dazu im anderen Subnetz als die UNIX-Server, würde das Problem ebenfalls nicht beheben.
HILFE SERVER •
WINS-Proxy
Kein direkter Verweis
400
Lösungen zum MS-Prüfungsreport
177
Uschi ist Administrator eines Windows 2000-Netzwerks mit sieben Windows 2000 Servern und 200 NT 4.0 Workstations in einer einzigen Windows 2000-Domäne. Einer der Mitgliedsserver ist als DNS-Server konfiguriert und die sichere dynamische Aktualisierung ist zugelassen. Ein anderer Mitgliedsserver ist als DHCP-Server installiert. Uschi will die NT 4.0 Workstations auf Windows 2000 aktualisieren. Während der Aktualisierung hat Uschi den DHCP-Server dahingehend konfiguriert, dass er die Aktualisierungen für die nicht Windows 2000Clients beim DNS-Server vornimmt. Dadurch wird ca. die Hälfte der Clients beim DNS-Server eingetragen. Nach der Aktualisierung ändert Uschi die Konfiguration des DHCP-Servers dahingehend, dass er keine Einträge beim DNS-Server mehr vornimmt. Uschi stellt jedoch fest, dass die Rechner, die ihre Konfiguration bereits erhalten hatten, ihre Einträge beim DNS-Server nicht aktualisieren können. Was ist die Ursache?
A
�
Die Windows 2000-Clients sind für WINS konfiguriert.
B
�
Die DNS-Zonen sind nicht im Active Directory integriert.
C
�
Der DHCP-Server ist kein Mitglied der globalen Sicherheitsgruppe »DNSUpdateProxy«.
D
�
Der DHCP-Server ist im Active Directory nicht autorisiert. C
C ist die richtige Antwort. Wie in der Aufgabenstellung beschrieben, führen die DHCP-Server alle sicheren, dynamischen Aktualisierungen für die Clients durch, die diese Funktion nicht unterstützen (z.B. NT 4.0). Bei dieser Gelegenheit wird jedoch der DHCP-Server, der den ersten Eintrag durchgeführt hat, zum Besitzer des FQDN-Namens. Danach kann nur noch dieser DHCP-Server Aktualisierungen für diesen Namen durchführen. Deshalb sollten die DHCP-Server, welche sichere dynamische Aktualisierungen durchführen, einer speziellen Sicherheitsgruppe »DNSUpdateProxy« hinzugefügt werden. Objekte, die von einem Mitglied dieser Gruppe in DNS eingefügt wurden, verfügen über keine Sicherheit und somit kann jeder authentifizierte Benutzer Besitz von diesen Objekten ergreifen. Dass bei dieser Aufgabenstellung auch die Windows 2000 Professional-Rechner betroffen sind, welche die dynamische Aktualisierung selbst durchführen könnten, kann nur an der Konfiguration liegen. Dabei wurde bestimmt, dass die Aktualisierungen vom DHCP-Server durchgeführt werden sollen.
401
Lösungen zum MS-Prüfungsreport
Kapitel 4
Achtung! Wenn ein DHCP-Server auf einem Domänencontroller installiert wurde, darf dieser nicht zur Gruppe »DNSUpdateProxy« hinzugefügt werden, da sonst jeder Benutzer oder Computer Vollzugriff auf die vom DHCP-Server durchgeführten Einträge hätte. Die Antworten A, B und D gehen nicht annähernd auf die Fragestellung ein.
HILFE SERVER • •
DHCP DNSUpdateProxy
Kein direkter Verweis
178
Zu Ihrem Ethernet-basierten Netzwerk gehören Windows 2000 Server, Novell NetWare 4.1 Server und Novell NetWare 3.11 Server. Die Windows 2000-Server verwenden TCP/IP als einziges Netzwerkprotokoll. Einer der Windows 2000 Server ist ein autorisierter DHCP-Server. Die NetWare-Server verwenden IPX/SPX und nur ihren Standard-Frametyp. Sie installieren einen neuen Windows 2000 Server mit Routing und RAS (RRAS), um Remotezugriffe zu ermöglichen. Sie sollen folgende Ziele erreichen: • • • •
Die Remote-Clients sollen vom DHCP-Server IP-Adressen erhalten. Die Remote-Clients sollen auf die Windows 2000 Server zugreifen können. Die Remote-Clients sollen auf die Novell NetWare 4.1 Server zugreifen können. Die Remote-Clients sollen auf die Novell NetWare 3.11 Server zugreifen können.
Sie führen folgende Schritte durch: • • • • •
Sie installieren auf dem RAS-Server die Protokolle TCP/IP und IPX/SPX. Sie stellen sicher, dass der DHCP-Server einen korrekt konfigurierten Adressbereich und Adressen für die Remote-Clients besitzt. Sie konfigurieren den RAS-Server, dass er die DHCP-IP-Adressen an die Remote-Clients weiterleitet. Sie erlauben in der Standard-RAS-Richtlinie allen Domänenbenutzern den Zugriff zu jeder Zeit. Sie konfigurieren die Schnittstelle des RAS-Servers für die automatische Erkennung des Frametyps für IPX/SPX.
402
Lösungen zum MS-Prüfungsreport
Welche Ziele haben Sie erreicht? (Wählen Sie alle zutreffenden Antworten.) A
�
Die Remote-Clients erhalten die IP-Adresse vom DHCP-Server.
B
�
Die Remote-Clients erhalten Zugriff auf die Windows 2000 Server.
C
�
Die Remote-Clients erhalten Zugriff auf die Novell NetWare 3.11 Server.
D
�
Die Remote-Clients erhalten Zugriff auf die Novell NetWare 4.1 Server. A, B und D
Mit den durchgeführten Schritten werden alle Antworten außer der Antwort C erreicht. Mit der automatischen Rahmenerkennung sind WindowsRechner nur in der Lage, den Frametyp 802.2 zu erkennen. Die Netware-Versionen bis einschließlich Netware 3.11 verwenden aber nur den Frametyp 802.3. Um Zugriff auf diese Novell-Server zu erhalten, muss der Frametyp manuell konfiguriert werden.
HILFE SERVER •
Festlegen des Rahmentyps/Novell NetWare-Integration Windows 2000 Netzwerkinfrastruktur-Administration, ISBN 3-86063-277-9
•
Rahmentyp und Netzwerknummer – Seite 82 ff.
179
Sie planen die Einrichtung einer Windows 2000-Domäne in einem Netzwerk mit drei Segmenten, die durch zwei Router miteinander verbunden sind. Alle Server sind Windows 2000 Server und alle Clients Windows 2000 Professional-Rechner. Ein Domänencontroller und ein DNS-Server werden in jedem Netzwerksegment installiert. Alle Netzwerkcomputer werden als DNS-Clients konfiguriert. Sie planen für die DNS-Server und DNS-Clients die dynamische Aktualisierung aller Ressourceneinträge. Für den Fall, dass ein lokaler DNS-Server nicht mehr erreichbar sein sollte, wollen Sie sicherstellen, dass die Computer ihre Einträge bei jedem der beiden Remote-DNS-Server aktualisieren können. Mit welcher der folgenden Maßnahmen können Sie dieses Ziel erreichen?
A
�
Sie konfigurieren auf jedem DNS-Server eine primäre Zone.
B
�
Sie konfigurieren jeden DNS-Server als DNS-Forwarder-Server.
C
�
Sie konfigurieren auf jedem DNS-Server eine primäre Zone und konfigurieren jeden DNS-Server als sekundäre Zone für die anderen beiden DNSServer.
403
Lösungen zum MS-Prüfungsreport
Kapitel 4
D
�
Sie konfigurieren auf jedem DNS-Server eine Active Directory-integrierte Zone.
E
�
Sie aktivieren auf den DNS-Servern Round Robin. D
Die Antwort D ist richtig. Nur bei Active Directory-integrierten Zonen kann sich ein DNS-Client bei jedem DNS-Server aktualisieren. Die Antwort A ist falsch. Wenn man zwei primäre DNS-Server konfiguriert, führt das immer zu Problemen, da beide Rechner SOA und NS für die Zone beanspruchen. Die Antworten B und E gehen nicht annähernd auf das Thema ein. Die Antwort C ist ein Beispiel für ein riesiges Netzwerkchaos und geht komplett an der Realität vorbei.
HILFE SERVER •
DNS, Active Directory-integrierte Zonen
Kein direkter Verweis
180
r.e.d.-tech. hat sein NT 4.0-Netzwerk auf Windows 2000 aktualisiert. Alle Server im Netzwerk sind Windows 2000 Server und alle Clients sind Windows 2000 Professional-Rechner. Im Netzwerk sind DNS und DHCP im Einsatz und alle Rechner sind als DHCP-Clients konfiguriert. Die DNS-Server sind für die dynamische Aktualisierung konfiguriert und die DHCP-Server führen die Aktualisierung des DNS-Servers aufgrund der Clientanforderung durch. Die Clients sind mit den Standardoptionen für die dynamische Aktualisierung eingerichtet. Welchen DNS-Ressourceneintrag wird der DHCP-Server aktualisieren?
A
�
A-Ressourceneinträge
B
�
CNAME (Canonical Name)-Einträge
C
�
HINFO (Host Information)-Einträge
D
�
PTR-Ressourceneinträge D
404
Lösungen zum MS-Prüfungsreport
Antwort D ist richtig. Mit der Standardeinstellung für die dynamische Aktualisierung können die Clients (abhängig von den so genannten Flags) vom DHCP-Server die PTR-Ressourceneinträge in der Reverse-Lookupzone durchführen lassen. Den A-Ressourceneintrag in der Forward-Lookupzone führen sie jedoch selbst aus (Antwort A ist deshalb falsch). Die Antworten B und C sind auch falsch. CNAME (Alias) und HINFO (Hostinfo) haben mit der Aufgabe nichts zu tun.
HILFE SERVER •
DNS, PTR-Einträge
Kein direkter Verweis
181
Ihr Netzwerk umfasst 200 Computer in einem einzigen Netzwerksegment. Sie haben beschlossen, einen Router zu installieren und das Netzwerk in vier Subnetze aufzuteilen, auf die Sie die Rechner gleichmäßig verteilen werden. Sie verwenden die Netzwerk-IP-Adresse 192.168.7.0 mit der StandardSubnetzmaske und wollen diese Netzwerkadresse beibehalten. Welche der folgenden Adressen ist eine korrekte Netzwerkadresse in einem Ihrer neuen Subnetze?
A
�
192.168.7.0 / 2
B
�
192.168.7.64 / 24
C
�
192.168.7.128 / 25
D
�
192.168.7.192 / 26 D
Zum Abschluss noch eine Rechenaufgabe. 200 Hosts gleichmäßig auf vier Subnetze verteilt ergibt je Subnetz 50 Hosts. Um 50 Hosts zu adressieren, benötigt man in der Subnetmask 6 Bits (26 = 64) im Hostabteil. Damit bleiben 26 Bits für den Netzbereich übrig (Antwort D).
HILFE SERVER Kein direkter Verweis
405
Lösungen zum MS-Prüfungsreport
Kapitel 4
Windows 2000 Netzwerkinfrastruktur-Administration, ISBN 3-86063-277-9 Kein direkter Verweis
182
Peter W. installiert in dem Windows 2000-Netzwerk, das er als Administrator betreut, einen neuen Windows 2000 Server. Dieser neue Server mit der Bezeichnung AP-SYSTEMEdc01.AP-SYSTEME.de soll als DHCPServer und Domänencontroller fungieren. Nach Abschluss der Installation stellt Peter W. fest, dass zum Windows 2000 Server mit der Bezeichnung AP-SYSTEMEdc1.service.AP-SYSTEME.de keine Verbindung hergestellt werden kann. Peter W. überprüft die TCP/IP-Konfigurationseinstellungen des Rechners AP-SYSTEMEDC01 und findet keinen Eintrag beim Punkt STANDARDGATEWAY. Welche Standardgateway-Adresse sollte Peter W. eintragen, um von APSYSTEMEdc01.AP-SYSTEME.de eine Verbindung zu AP-SYSTEMEdc1. service.AP-SYSTEME.de herzustellen? (Klicken Sie zur Beantwortung der Frage auf die entsprechende IP-Adresse im Diagramm.) ROUTER 192.168.1.100/24
192.168.2.100/24
AP-SYSTEMEdc01.AP-SYSTEME.de 192.168.3.10/24
AP-SYSTEMEdyn1.AP-SYSTEME.de 192.168.2.10/24
192.168.3.100/24 192.168.4.100/24
AP-SYSTEMEdc1.service.AP-SYSTEME.de 192.168.4.10/24
ROUTER
192.168.1.100 Es ist hier nicht verwunderlich, dass der Rechner APSYSTEMEdc01.AP-SYSTEME.de keine Verbindungen zu den anderen Rechnern (in anderen Subnetzen) aufbauen kann. Ohne Standardgateway-Adresse kommt er aus seinem eigenen Subnetz nicht raus. Wenn dieser Server auch noch Domänencontroller werden soll, dann muss das Problem schnellstmöglich gelöst werden, indem man das Standardgateway einträgt, das der IP-Adresse des Routers im eigenen Subnetz entspricht.
406
Lösungen zum MS-Prüfungsreport
HILFE SERVER •
Router, Standardgateways Windows 2000 Server, ISBN 3-86063-278-7
•
Kap. 9 S., 380ff.
183
Sie sind der Netzwerkadministrator von AP-SYSTEME Press. Das Netzwerk besteht aus zehn Windows 2000 Advanced Servern und 250 Windows 2000 Professional-Arbeitsstationen. Ihr Unternehmen verfügt über zwei Domänen AP-SYSTEME.DE und AP-SYSTEMEPRESS.DE. Die Intranetseite des Unternehmens ist auf einem Windows 2000 Advanced Server (\\AP-SYSTEMEONE) gespeichert. AP-SYSTEMEONE befindet sich in der Domäne AP-SYSTEME.DE und stellt IIS und MS Proxy Server 2.0-Dienste bereit. Sie möchten die Windows 2000-Arbeitsstationen in der Domäne AP-SYSTEMEPRESS.DE für den Zugriff auf die Intranetseite konfigurieren. Die Benutzer sollen über die Adresse http://AP-SYSTEMEone statt über den vollständig qualifizierten Domänennamen auf die Intranetseite zugreifen können. Wie realisieren Sie das?
A
�
Sie fügen AP-SYSTEME.DE auf den Computern zur Suchreihenfolge für Domänensuffixe hinzu.
B
�
Sie fügen AP-SYSTEMEPRESS.DE auf den Rechnern zur Suchreihenfolge für Domänensuffixe hinzu.
C
�
Sie fügen AP-SYSTEMEPRESS.DE zur Aufnahmeliste in den ProxyserverEinstellungen auf den Computern hinzu.
D
�
Sie konfigurieren die Einstellungen für den Proxyserver auf den Computern, damit der Proxyserver für die Intranetadressen umgangen wird. A
Die Lösung ist relativ einfach: Wir wollen beim Zugriff auf die Intranetseite nur den Rechnernamen angeben, ohne den Zusatz der Domäne. Der einfachste Weg ist es, den Domänennamen bei der Suchreihenfolge für Domänensuffixe (Suffix = gleiche Endung) hinzuzufügen. Dadurch wird das Suffix, hier AP-SYSTEME.DE, automatisch an den Rechnernamen angehängt. Deshalb reicht die Eingabe des Rechnernamens aus. Genau dies wird auch im Lösungsvorschlag A realisiert. Lösungsvorschlag B betrifft die eigene Domäne, welche sowieso gefunden wird.
407
Lösungen zum MS-Prüfungsreport
Kapitel 4
Die Lösungsvorschläge C und D gehen an der Thematik vorbei, alleine schon deswegen, weil wir uns im Intranet der Firma befinden und sich das Hinzufügen von APSYSTEMEPRESS.DE als Proxyserver (Lösungsvorschlag C) nur auf den Internetzugriff auswirken würde. Der Lösungsvorschlag D wiederum produziert zum einen administrativen Aufwand und steht zum anderen im Widerspruch zur Aufgabenstellung.
HILFE PROFESSIONAL • •
TCP/IP, DNS DNS, Konfigurieren von TCP/IP zur Verwendung von DNS Windows 2000 Professional, ISBN 3-86063-276-0
•
Kap. 8, S. 211ff.
184
Ihr Netzwerk besteht aus zehn Domänencontrollern, zehn Mitgliedsservern und ca. 1000 Clientrechnern. Auf allen Servern ist Windows 2000 Server und auf allen Clients Windows 2000 Professional installiert. Als DNSServer arbeiten zwei der Domänencontroller. Die Benutzer der Clientrechner verwenden die Dateifreigabe, um den Zugriff auf lokal gespeicherte Dateien zu ermöglichen. Das Netzwerk umfasst zehn Subnetze und benutzt ausschließlich TCP/IP als Transportprotokoll. Sie möchten das Netzwerk so konfigurieren, dass alle Rechner sämtliche Adressen der anderen Rechner über DNS auflösen können. Selbst wenn ein Server ausfällt, sollen die Clientrechner in der Lage sein, Adressen zu registrieren und aufzulösen. Wie sollten Sie den DNS-Server konfigurieren?
A
�
Sie konfigurieren einen Server mit einer Standard-Primärzone für die Domäne und mindestens einen zweiten Server mit einer Standard-Sekundärzone.
B
�
Sie konfigurieren einen Server mit einer Standard-Primärzone für die Domäne und mindestens einen zweiten Server mit einer im Active Directory integrierten Primärzone.
C
�
Sie konfigurieren einen Server mit einer im Active Directory integrierten Primärzone für die Domäne und mindestens einen zweiten Server mit einer Standard-Sekundärzone.
D
�
Sie konfigurieren mindestens zwei Server mit im Active Directory integrierten Zonen für die Domäne.
E
�
Sie konfigurieren mindestens zwei Server mit Standard-Primärzonen für die Domäne.
408
Lösungen zum MS-Prüfungsreport
D Gefordert ist, dass sich trotz des Ausfalls eines DNS-Servers Clientrechner im DNS registrieren lassen. Das ist nur mit DNS-Servern möglich, die mit im Active Directory integrierten Zonen arbeiten. Ein weiterer Vorteil dieses Zonentyps ist die Reduzierung des Netzwerkverkehrs, weil die DNS-Informationen als Teil des Active Directory automatisch mit repliziert werden. Lösungsvorschlag A umfasst zwar nur zwei Server, jedoch in der Mischung »ein Server mit einer Primärzone und ein Server mit einer sekundären Zone«. Falls der Server, der die primäre Zone führt, ausfällt, kann man noch auf einen zweiten zurückgreifen. Dieser bekommt aber seine Infos nur von der primären Zone. Lösungsvorschlag B will uns glauben machen, dass zwischen einer primären Zone und einer im Active Directory integrierten Zone (primär im Active Directory integriert) ein Zonenabgleich stattfindet. Das funktioniert jedoch nicht. Lösungsvorschlag C spiegelt im Endeffekt nur den Inhalt des Lösungsvorschlags A wider und kann deshalb verworfen werden. Lösungsvorschlag D entspricht den gestellten Anforderungen bzw. erfüllt die Aufgabenstellung. Lösungsvorschlag E erstellt ganz und gar zwei Primärzonen für eine Domäne. Dies lässt sich getrost als Unfug beschreiben.
HILFE SERVER •
Integration von Active Directory Windows 2000 Server, ISBN 3-86063-278-7
•
Kap. 9, S. 428
185
Dominique installiert auf dem Rechner AP-SYSTEMEWS2 Windows 2000 Professional. Die ganze letzte Woche konnte Dominique auf Ressourcen zugreifen, die im Netzwerk vom Windows 2000 Server APSYSTEMESRV3 bereitgestellt werden. Heute kann Dominique keine Verbindung zu AP-SYSTEMESRV3 herstellen. Andere Benutzer im Netzwerk haben dieses Problem nicht. Was ist die wahrscheinlichste Ursache für dieses Problem? (Klicken Sie zur Beantwortung der Frage auf das Netzwerkgerät, das die Problemquelle darstellt.)
409
Lösungen zum MS-Prüfungsreport
Kapitel 4
T1
AP-SYSTEMEWS1 AP-SYSTEMESRV2 AP-SYSTEMEWINS1 10 . 10 . 13 . 39 10 . 10 . 13 . 24 10 . 10 . 13 . 10 10 . 10 . 30 .1
AP-SYSTEMEPRO1 10 . 10 . 13 . 254
10 . 10 . 13 .1
ROUTER
INTERNET
10 . 10 . 164 . 3 AP-SYSTEMESRV3 10 . 10 . 30 . 20
AP-SYSTEMEWS2 10 . 10 . 167 . 4
AP-SYSTEMEWS3 10 . 10 . 30 . 200
AP-SYSTEMESRV1 10 . 10 . 167 . 200
Router Auffällig an dieser Fragestellung ist, dass nur ein Benutzer das Problem hat. Andere Benutzer dagegen arbeiten problemlos. Wenn es bis vor Kurzem funktioniert hat, dann muss in einer Nacht-und-Nebel-Aktion etwas am Subnetz oder am Router verändert worden sein. Bei genauer Betrachtung der Grafik fällt auf, dass der Router eine andere IP hat als die Clients im Subnetz des betroffenen Benutzers. Die Rechner haben 10.10.167.X, der Router 10.10.164.X.
HILFE PROFESSIONAL • •
Ping-Befehl, Testen der TCP/IP-Konfiguration Router, Routenverfolgung mit dem Befehl pathping Windows 2000 Professional, ISBN 3-86063-276-0
•
Kap. 7, S. 171ff.
186
Sie sind der Administrator eines Windows 2000-Netzwerks. Das Netzwerk ist entsprechend der Grafik Netzwerkkonfiguration konfiguriert.
410
Lösungen zum MS-Prüfungsreport
T1
AP-SYSTEMEWS1 AP-SYSTEMESRV2 AP-SYSTEMEWINS1 10 . 10 . 13 . 39 10 . 10 . 13 . 24 10 . 10 . 13 . 10 10 . 10 . 30 .1
AP-SYSTEMEPRO1 10 . 10 . 13 . 254
10 . 10 . 13 .1
ROUTER
INTERNET
10 . 10 . 164 . 3 AP-SYSTEMESRV3 10 . 10 . 30 . 20
AP-SYSTEMEWS2 10 . 10 . 167 . 4
AP-SYSTEMEWS3 10 . 10 . 30 . 200
AP-SYSTEMESRV1 10 . 10 . 167 . 200
Auf den Computern im Subnetz der Schulungsabteilung wird als Betriebssystem Windows 2000 Professional eingesetzt. Diese Computer beziehen ihre Konfigurationseinstellung von einem DHCP-Server. Auf den Computern im Subnetz der Entwicklungsabteilung ist als Betriebssystem Windows 98 installiert. Die IP-Konfiguration wird an diesen Computern statisch durchgeführt. Die Benutzer aus dem Subnetz der Schulungsabteilung melden, dass sie nicht mit den Benutzern der Entwicklungsabteilung kommunizieren können. Ein Benutzer, der an dem Rechner AP-SYSTEMEWS3 arbeitet, teilt Ihnen mit, dass er weder zu den Computern in der Entwicklungsabteilung noch zu den Computern in der Schulungsabteilung eine Verbindung aufbauen kann. Sie möchten, dass alle Benutzer aus diesen beiden Subnetzen miteinander Daten austauschen können. Wie lösen Sie das Problem? (Wählen Sie zwei Antworten.) A
�
Sie ändern auf dem Rechner AP-SYSTEMEWS3 den Rahmentyp in 802.2.
B
�
Sie ändern auf dem DHCP-Server die IP-Adresse des Standardgateways.
C
�
Sie konfigurieren auf den Computern im Subnetz der Schulungsabteilung das NWLink IPX-SPX/NetBIOS-kompatible Transportprotokoll als Standardprotokoll.
D
�
Sie aktivieren auf dem Rechner AP-SYSTEMEWS3 die Netzwerkschnittstellenkarte.
E
�
Sie fügen auf allen Clientcomputern das NetBEUI-Protokoll zur Bindungsreihenfolge hinzu.
411
Lösungen zum MS-Prüfungsreport
Kapitel 4
B und D Wir haben es hier mit zwei Problemen zu tun, die wiederum als Ganzes gelöst werden müssen. Erstens hat der Client AP-SYSTEMEWS3 massive Probleme, mit irgendjemandem zu kommunizieren, und zweitens müssen wir sicherstellen, dass alle Clients in den zwei Subnetzen miteinander kommunizieren können. Die zweite Forderung setzt mehr oder weniger voraus, dass wir das Problem des Clients AP-SYSTEMEWS3 lösen. Widmen wir uns also zuerst diesem Rechner. Laut Grafik hat der Client eine gültige IP-Adresse mit korrekter Subnetzmaske und auch das richtige Standardgateway eingetragen. Grundsätzlich müsste er in der Lage sein, zumindest mit den Rechnern im eigenen Subnetz eine Verbindung herzustellen. Wenn dies nicht gelingt, dann liegt das Problem in der Regel beim Client selbst. Ein Blick in das Systemprotokoll der Ereignisanzeige oder in den Gerätemanager hilft uns hier garantiert weiter. Wenn eventuell in dem Systemprotokoll Bindungsfehler angezeigt werden und im Gerätemanager vielleicht noch eine unbekannte Netzwerkkarte vorhanden ist, dann ist das des Rätsels Lösung (dies wird auch im Lösungsvorschlag D berücksichtigt). Das zweite Problem betrifft die Gesamtheit. Benutzer aus dem Segment »Schulung« bekommen ihre IP via DHCP, dieser DHCP-Server steht im Subnetz »Entwicklung«. Aufgrund der Grafik ist kein eindeutiger Fehler erkennbar und der DHCP-Server wird ja von den Clients aus dem Subnetz »Schulung« erreicht. Nur ein Sachverhalt lässt eine Vermutung zu, der DHCP Server hat als Gateway 192.168.167.1 eingetragen. Diese Adresse stimmt nicht mit den Adressen beim Router überein. Also sollte man hier die Gateway-Adresse richtig eintragen (Lösungsvorschlag B). Hier ließen sich jetzt wilde Vermutungen anstellen, was eigentlich schief läuft. Ein einfacher Vergleich der restlichen Lösungsvorschläge hilft jedoch am besten weiter. Lösungsvorschlag A: Hier soll der Rahmentyp geändert werden. Das Ändern des Rahmentyps ist nur bei NWLink als Protokoll sinnvoll und darüber hinaus ist der Defaultwert sowieso 802.2. Aus der Grafik geht allein TCP/IP als Transportprotokoll hervor. Lösungsvorschlag C: Dieser Vorschlag hängt mit dem Lösungsvorschlag A zusammen. Jedoch stellt sich die Frage, was das bringen soll. Die Mitglieder der Abteilung »Schulung« können untereinander kommunizieren, das ist jetzt auch schon gewährleistet. Zugriff auf das Subnetz »Entwicklung« erhalten sie dadurch nicht. Lösungsvorschlag E: Dieser Vorschlag kann sofort wieder verworfen werden, da NetBEUI kein Routing kennt.
HILFE PROFESSIONAL •
Ping-Befehl, Testen der TCP/IP-Konfiguration Windows 2000 Professional, ISBN 3-86063-276-0
•
Kap. 7, S. 171ff.
412
Lösungen zum MS-Prüfungsreport
187
Ein RAS-Server ist im Hauptsitz Ihrer Firma installiert. Der RAS-Dienst wird darüber hinaus auch auf einem Zweigstellenserver ausgeführt, an dem ein Modem angeschlossen ist. Dieser Server wurde zur Verwendung des Routings für das Wählen bei Bedarf konfiguriert, um eine Verbindung zum Firmenhauptsitz herzustellen. Der Server gehört zur Active DirectoryDomäne der Firma, die im einheitlichen Modus ausgeführt wird. Einige Mitarbeiter verwenden den Zweigstellenserver, um von zu Hause aus auf Daten zuzugreifen. Der Zweigstellenleiter teilt Ihnen mit, dass die Benutzer der Zweigstelle mit dem Hauptsitz gelegentlich nicht kommunizieren können. Beim Überprüfen des Ereignisprotokolls auf dem Zweigstellenserver stellen Sie fest, dass die Benutzer während der normalen Arbeitszeit versuchten, auf den Server zuzugreifen. Der Leiter möchte, dass die Benutzer nur in den Zeiten von 18:00 Uhr bis 08:00 Uhr eine DFÜ-Verbindung zum Server herstellen dürfen. Die Benutzer sollen sich allerdings jederzeit anmelden können, wenn sie direkt mit dem LAN verbunden sind. Wie sollten Sie vorgehen, um nur den DFÜ-Zugriff zeitlich zu beschränken?
A
�
Sie ändern die Anmeldezeiten für die Konten der Benutzer, um die Anmeldung zwischen 08:00 und 18:00 Uhr nicht zuzulassen.
B
�
Sie konfigurieren die RAS-Richtlinie, um die Anmeldung zwischen 08:00 und 18:00 Uhr nicht zuzulassen.
C
�
Sie erstellen eine Stapelverarbeitungsdatei zum Starten und eine andere Stapelverarbeitungsdatei zum Beenden der RAS-Verbindungsverwaltung und legen fest, dass diese täglich um 08:00 ausgeführt wird. Die Stapelverarbeitungsdatei zum Starten der RAS-Verbindungsverwaltung soll täglich um 18:00 Uhr ausgeführt werden.
D
�
Sie erstellen für jeden Benutzer zwei Benutzerkonten, das eine Konto mit und das andere Konto ohne DFÜ-Zugriff. Sie ändern die Anmeldezeiten für die DFÜ-Konten der Benutzer, um die Anmeldung zwischen 08:00 und 18:00 Uhr nicht zuzulassen. B
Die Kernforderung der Aufgabenstellung lautet: »Die Einwahl soll auf einen bestimmten Zeitraum festgelegt werden, eine Anmeldung im LAN soll nicht beschränkt werden.« Nichts ist einfacher als das, denn mittels einer RAS-Richtlinie wird der gewünschte Anmeldezeitraum definiert. Genau dies wird im Lösungsvorschlag B beschrieben. Lösungsvorschlag A beschränkt sich nur auf das LAN und würde hier die Arbeit zum Erliegen bringen. Lösungsvorschlag C ist falsch. Mithilfe einer Stapelverarbeitungsdatei kann man das gewünschte Ziel leider nicht erreichen.
413
Lösungen zum MS-Prüfungsreport
Kapitel 4
Lösungsvorschlag D ist ebenfalls falsch. Erstens werden zwei Konten für einen Benutzer erstellt und zweitens kann man DFÜ-Anmeldezeiten nicht über die regulären Anmeldezeiten (LAN) festlegen.
HILFE SERVER •
RAS-Richtlinien, Beschränken der Zugriffszeiten Windows 2000 Server, ISBN 3-86063-278-7
•
Kap. 10, S. 469ff.
188
Erich L. installiert auf dem Rechner AP-SYSTEMEWS2 Windows 2000 Professional. Bei der TCP/IP-Konfiguration vergibt er als IP-Adresse die Adresse 10.10.167.4 und als Adresse für das Standardgateway 10.10.167.1. Das Netzwerk ist wie in der Grafik Netzwerkkonfiguration dargestellt konfiguriert. T1
AP-SYSTEMEWS1 AP-SYSTEMESRV2 AP-SYSTEMEWINS1 10 . 10 . 13 . 39 10 . 10 . 13 . 10 10 . 10 . 13 . 24 10 . 10 . 30 .1
AP-SYSTEMEPRO1 10 . 10 . 13 . 254
10 . 10 . 13 .1
ROUTER
INTERNET
10 . 10 . 167 . 1
AP-SYSTEMEWS4 10 . 10 . 30 . 20
AP-SYSTEMEWS2 10 . 10 . 167 . 4
AP-SYSTEMEWS3 10 . 10 . 30 . 200
AP-SYSTEMESRV1 10 . 10 . 167 . 200
Erich L. möchte von AP-SYSTEMEWS2 auf die Ressourcen des Windows 2000 Servers AP-SYSTEMESRV2 zugreifen. Beim Versuch, eine Verbindung zur Netzwerkfreigabe herzustellen, erhält er folgende Fehlermeldung: Das Netzlaufwerk ist nicht erreichbar. Er verwendet daraufhin das Dienstprogramm IPConfig, um die TCP/IPKonfiguration von AP-SYSTEMEWS2 zu überprüfen.
414
Lösungen zum MS-Prüfungsreport
Ergebnis von IPConfig: C:\>ipconfig /all Windows 2000-IP-Konfiguration Hostname.............................: Primäres DNS-Suffix..................: Knotentyp............................: IP-Routing aktiviert.................: WINS-Proxy aktiviert.................:
AP-SYSTEMEWS2 Hybridadapter Nein Nein
Ethernetadapter “LAN-Verbindung” Verbindungsspezifisches DNS-Suffix...: Beschreibung.........................: Fast Ethernet Physikalische Adresse................: DHCP-aktiviert.......................: Autokonfiguration aktiviert..........: IP-Adresse...........................: Subnetzmaske.........................: Standardgateway......................: DHCP-Server..........................: DNS-Server...........................: .....................................: Primärer WINS-Server.................: Sekundärer WINS-Server...............:
Intel DC21143 PCI 00-A0-CC-61-33-6F Ja Ja 10.10.167.4 255.255.252.0 10.10.167.1 10.10.13.20 10.10.13.10 10.20.13.10 10.10.13.20 10.20.13.20
Erich L. möchte von AP-SYSTEMEWS2 auf die Ressourcen des Windows 2000 Servers AP-SYSTEMESRV2 zugreifen. Wie sollte er vorgehen? A
�
Er versetzt den Rechner AP-SYSTEMEWS2 in das Netzwerksegment von AP-SYSTEMESRV2.
B
�
Er installiert im Netzwerksegment von AP-SYSTEMEWS2 einen Rechner, der als WINS-Proxy fungiert.
C
�
Er konfiguriert an AP-SYSTEMEWS2 die Adresse des Standardgateways mit dem Wert 10.10.13.1.
D
�
Er konfiguriert an AP-SYSTEMEWS2 die Adresse des DNS-Servers und gibt als Adresse 10.10.13.1 an.
E
�
Er konfiguriert an AP-SYSTEMEWS2 die Adresse des WINS-Servers und gibt als Adresse 10.10.13.24 an. E
415
Lösungen zum MS-Prüfungsreport
Kapitel 4
Ein Client mit der Bezeichnung AP-SYSTEMEWS2 hat Probleme, wenn er auf Ressourcen im LAN zugreifen möchte. Der Server, um den es hier speziell geht, sollte aufgrund der Gateway-Adresse, die am Client eingetragen ist, erreicht werden können. Wenn dies nicht der Fall ist, dann kann das Problem nur noch mit DNS oder WINS zu tun haben. In beiden Fällen ist der Server »unbekannt«, was auf falschen Konfigurationsparametern beim Client beruhen kann. Das Ergebnis von IPConfig liefert einen Wert, der definitiv falsch ist. Die Adresse des WINS-Servers ist am Client falsch eingetragen. Diesen Aspekt berücksichtigt der richtige Lösungsvorschlag E. Lösungsvorschlag A würde in diesem Fall nichts bringen, da immer noch die Adresse des WINS-Servers falsch eingetragen ist. Lösungsvorschlag B führt genauso wenig zu einer Lösung, weil wir in dieser Umgebung keinen WINS-Proxy benötigen. Lösungsvorschlag C ist ebenso falsch, weil die Standardgateway-Adresse beim Client AP-SYSTEMEWS2 richtig eingetragen ist. Lösungsvorschlag D ist auch falsch, weil der DNS-Eintrag beim Client stimmt.
HILFE PROFESSIONAL •
WINS, Konfigurieren von TCP/IP zur Verwendung von WINS
Kein direkter Verweis
189
Erich L. ist in der Zweigstelle Salzburg als Netzwerkadministrator tätig. Salzburg ist ein Standort eines Großunternehmens mit dem Hauptsitz Altötting. Der Standort Salzburg ist mit dem Unternehmensnetz über eine bidirektionale, bei Bedarf herstellbare Wählverbindung über ISDN verbunden. Bei dem Rechner, der die Verbindung herstellt, handelt es sich um einen Windows 2000 Server, auf dem Routing und RAS konfiguriert ist. Um Kosten einzusparen, soll die ISDN-Verbindung nur einmal am Tag aufgebaut werden, um dann Verkaufsinformationen nach Altötting bzw. von Altötting zu übertragen. Die Übertragung dieser Informationen soll außerhalb der regulären Geschäftszeit erfolgen. Erich L. stellt fest, dass mehrmals täglich eine ISDN-Verbindung zwischen den Netzwerken initiiert wird. Erich L. analysiert den Netzwerkverkehr und stellt fest, dass Router-Ankündigungsbroadcasts versendet werden. Welche zwei Schritte sollte Erich L. unternehmen, um zu verhindern, dass Verbindungen während der regulären Geschäftszeit aufgebaut werden können? (Wählen Sie zwei Antworten aus.)
416
Lösungen zum MS-Prüfungsreport
A
�
Erich L. bestimmt im Zeitplan, dass an der Schnittstelle für Wählen bei Bedarf nur während der angegebenen Zeit gewählt wird.
B
�
Erich L. bestimmt im Zeitplan, dass an der Schnittstelle für Wählen bei Bedarf während der angegebenen Zeit nur eingehende Verbindungen akzeptiert werden.
C
�
Erich L. definiert an der Schnittstelle für Wählen bei Bedarf einen Filter für das Wählen bei Bedarf.
D
�
Erich L. aktiviert an der Schnittstelle für Wählen bei Bedarf das dynamische Routing.
E
�
Er definiert eine RAS-Richtlinie, um den Zugriff auf den Port, der von Routerbroadcasts verwendet wird, einzuschränken.
F
�
Er definiert eine RAS-Richtlinie, um den Zugriff ausdrücklich auf den Benutzer zu beschränken, der Informationen über die Verbindung überträgt. A und C
Wenn man, wie in der Fragestellung gefordert, verhindern soll, dass während der normalen Geschäftszeit ISDN-Verbindungen aufgebaut werden, dann hat man als Administrator zwei einfache Hilfsmittel, um das vorgegebene Ziel zu erreichen: Erstens sollte man einen Zeitplan erstellen, wann Verbindungen aufgebaut werden dürfen. Zweitens sollte man einen Filter festlegen. Im vorliegenden Fall wird das im Lösungsvorschlag A mit dem Zeitplan berücksichtigt. Der Zeitplan für Wählen bei Bedarf wird angewendet, um zu verhindern, dass man sich jederzeit im Internet anmelden kann. Im Lösungsvorschlag C wird ein Filter gesetzt. Filter für Wählen bei Bedarf kommen zum Einsatz, ehe die Verbindung hergestellt wird. So verhindern Sie, dass eine bei Bedarf hergestellte Verbindung für Datenverkehr aufgebaut wird. Lösungsvorschlag B entspricht nicht der Aufgabenstellung. Wir wollen keine eingehenden Verbindungen, sondern ausgehende Verbindungen konfigurieren. Lösungsvorschlag D geht überhaupt nicht auf die Aufgabenstellung ein, weil es hier nicht um dynamisches Routen geht. Lösungsvorschlag E wiederum hat nichts mit dem Ganzen zu tun, weil wir genau diese Broadcasts reduzieren möchten. Lösungsvorschlag F ist schlicht und einfach nicht umsetzbar.
HILFE SERVER •
Wählen bei Bedarf, Verbindungen, Verhindern
Kein direkter Verweis
417
Lösungen zum MS-Prüfungsreport
Kapitel 4
190
Sie sind der Netzwerkadministrator von AP-SYSTEME GmbH. Sie installieren auf AP-SYSTEMEWS1 Windows 2000 Professional. Das Netzwerk ist wie in der Grafik Netzwerkkonfiguration dargestellt konfiguriert. T1
AP-SYSTEMEWS1 AP-SYSTEMESRV2 10 . 10 . 13 . 39 10 . 10 . 13 . 24
AP-SYSTEMEDNS1 10 . 10 . 13 . 10 10 . 10 . 30 .1
AP-SYSTEMEPRO1 10 . 10 . 13 . 254
10 . 10 . 13 .1
ROUTER
INTERNET
10 . 10 . 167 . 3 AP-SYSTEMESRV1 10 . 10 . 30 . 20
AP-SYSTEMENEU1 10 . 10 . 167 . 4
AP-SYSTEMEWS3 10 . 10 . 30 . 200
AP-SYSTEMESRV1 10 . 10 . 167 . 200
Sie versuchen, eine Verbindung zu einem Webserver im Internet herzustellen. Wenn Sie die URL des Webservers verwenden, scheitert der Verbindungsaufbau. Geben Sie jedoch die IP-Adresse des Webservers an, so können Sie eine Verbindung herstellen. Sie verwenden das Dienstprogramm IPConfig, um die Konfiguration zu überprüfen. Was müssen Sie tun, um AP-SYSTEMEWS1 die Möglichkeit zu geben, über URLs Verbindungen zu Webservern herzustellen? A
�
Sie konfigurieren Ihren Rechner, um den Rechner AP-SYSTEMEDNS1 als Proxy-Server zu verwenden.
B
�
Sie konfigurieren Ihren Rechner, um den Rechner AP-SYSTEMEDNS1 als WINS-Server zu verwenden.
C
�
Sie konfigurieren Ihren Rechner, um den Rechner AP-SYSTEMEDNS1 als DNS-Server zu verwenden.
D
�
Sie konfigurieren Ihren Rechner, um den Rechner AP-SYSTEMEDNS1 als Standardgateway zu verwenden. C
Aus der Fragestellung geht ein wesentlicher Aspekt hervor, der die Beantwortung relativ leicht macht. Der Server ist über die Angabe der IP erreichbar, nur mit dem Namen klappt es nicht. Die URL eines Webservers ist gleichzusetzen mit dem Domänennamen. Einen Domänennamen in IP löst DNS auf.
418
Lösungen zum MS-Prüfungsreport
Lösungsvorschlag C ist richtig, da eine Namensauflösung von IP in Domänennamen durch den DNS-Server erfolgt. In Lösungsvorschlag A soll ein Proxy-Server eingesetzt werden. Proxys stellen jedoch nur eine Art Puffer zwischen Client und Server dar und haben nichts mit Namensauflösung zu tun. Lösungsvorschlag B schlägt WINS als Antwort vor. WINS steht aber in keinerlei Zusammenhang mit der Aufgabenstellung. Lösungsvorschlag D ist ebenfalls falsch, da die IP-Adresse funktioniert, also das Gateway bereits richtig eingestellt wurde.
HILFE PROFESSIONAL • •
TCP/IP, DNS DNS, Konfigurieren von TCP/IP zur Verwendung von
•
Kap. 8, S. 211ff.
191
Sie fügen Ihrem Netzwerk einen neuen Rechner hinzu. Auf dem neuen Rechner AP-SYSTEMEWS3 wird als Betriebssystem Windows 2000 Professional ausgeführt. Ihr Netzwerk besteht aus einer einzigen Domäne (AP-SYSTEME.DE). AP-SYSTEME.DE ist wie in der Grafik dargestellt konfiguriert. T1
AP-SYSTEMEWS1 AP-SYSTEMESRV2 AP-SYSTEMEWINS1 10 . 10 . 13 . 10 10 . 10 . 13 . 24 10 . 10 . 13 . 39 10 . 10 . 30 .1
AP-SYSTEMEPRO1 10 . 10 . 13 . 254
10 . 10 . 13 .1
ROUTER 10 . 10 . 20 . 1
AP-SYSTEMEWS2 10 . 10 . 30 . 20
AP-SYSTEMEWS3
AP-SYSTEMEWS4 10 . 10 . 30 . 200
AP-SYSTEMESRV1 10 . 10 . 20 . 200
419
INTERNET
Lösungen zum MS-Prüfungsreport
Kapitel 4
Alle Rechner verwenden als einziges Netzwerkprotokoll TCP/IP. Benutzer von AP-SYSTEMEWS3 sollen auf Ressourcen von AP-SYSTEMERESS1 zugreifen können. Zusätzlich soll AP-SYSTEMEWS3 ein Mitglied der Domäne AP-SYSTEME.DE werden. Wie realisieren Sie das? (Wählen Sie alle zutreffenden Antworten aus.) A
�
Sie erstellen auf AP-SYSTEMERESS1 ein Konto für AP-SYSTEMEWS3.
B
�
Sie erstellen in der Domäne AP-SYSTEME.DE ein Konto für APSYSTEMEWS3.
C
�
Sie konfigurieren den Router, um BOOTP zu unterstützen.
D
�
Sie konfigurieren AP-SYSTEMEWS3 für die IP-Adresse 10.10.20.78 und das Standardgateway 10.10.20.1.
E
�
Sie konfigurieren AP-SYSTEMEWS3 für die IP-Adresse 10.10.200.133 und das Standardgateway 10.10.13.1.
F
�
Sie konfigurieren AP-SYSTEMEWS3 für die IP-Adresse 10.10.30.200 und das Standardgateway 10.10.20.1. B und D
Aufgrund der Aufgabenstellung müssen wir sicherstellen, dass der Rechner AP-SYSTEMEWS3 Mitglied in der Domäne AP-SYSTEME.DE wird. Das kann nur dann funktionieren, wenn er in der Domäne bekannt ist, also ein Computerkonto hat, und zweitens muss die Domäne auch erreichbar sein (Netzwerkeinstellungen). Lösungsvorschlag A hat nichts mit der Problematik zu tun, weil Computerkonten nicht auf den Ressourcenservern, sondern auf den Domänencontrollern erstellt werden. Lösungsvorschlag B ist richtig, weil der Rechner hier ein Computerkonto in der Domäne erhält und damit bekannt gemacht wird. Lösungsvorschlag C ist in diesem Fall unsinnig, weil man aufgrund der Fragestellung von einem BOOTP-fähigen Router ausgehen kann. Lösungsvorschlag D konfiguriert jetzt die richtigen Netzwerkeinstellungen wie IP und Standardgateway, um das Erreichen der Ressourcen und der Domäne sicherzustellen. Die Lösungsvorschläge E und F können verworfen werden, weil der Client damit in andere Subnetze kommt, als gewollt
HILFE PROFESSIONAL • •
TCP/IP-Verbindungen, Standardgateways konfigurieren Domänen, Beitreten
420
Lösungen zum MS-Prüfungsreport
Windows 2000 Professional, ISBN 3-86063-276-0 • •
Kap. 7, S. 171ff. Kap. 2, S. 34ff.
192
In Ihrem Netzwerk installieren Sie den Routing und RAS-Dienst auf einem Windows 2000 Server. Ihr Netzwerk verfügt über keinen direkten Zugang zum Internet und verwendet den privaten IP-Adressbereich 192.168.0.0. Die Clients können mit dem Routing und RAS-Dienst zwar eine DFÜ-Verbindung zum RAS-Server herstellen, allerdings haben sie keinen Zugriff auf das Netzwerk. Sie führen daraufhin den Befehl ipconfig aus und stellen fest, dass Ihrer DFÜ-Verbindung die IP-Adresse 169.254.75.182 zugewiesen wurde. Wie lösen Sie das Problem?
A
�
Sie weisen dem RAS-Server die Adresse eines DHCP-Servers zu.
B
�
Sie autorisieren den RAS-Server, mehrere Adressen von einem DHCPServer zu beziehen.
C
�
Sie konfigurieren den RAS-Server als DHCP-Relay-Agenten.
D
�
Sie stellen sicher, dass der RAS-Server eine Verbindung zu dem DHCP-Server herstellen kann, der über den Adressbereich für das lokale Subnetz verfügt. C
Hier liegt offensichtlich ein Problem bezüglich der Verbindung zwischen dem RAS-Server und dem DHCP-Server vor. Da die Clients eine IP-Adresse aus dem APIPA-Bereich bekommen, erreicht die IP-Anforderung des Clients nicht den DHCP-Server. Bei der Konfiguration des RAS-Servers kann man angeben, ob und wie der RAS-Server IP-Adressen den RAS-Clients zuordnet. Entweder er arbeitet als eine Art »Mini-DHCP-Server« und reserviert sich beim DHCP-Server (LAN) zehn IP-Adressen. Hierzu sollte man auf alle Fälle auch den DHCP-Relay-Agent auf dem RAS-Server hinzufügen. Die andere Möglichkeit wäre, auf dem RAS-Server einen statischen IP-Adresspool zu erstellen, aus dem die RASClients dann versorgt werden. Lösungsvorschlag A: Hier wird genau das gemacht, was bei der Konfiguration des RAS-Servers angegeben wird: die Bekanntgabe des DHCP-Servers. Wenn jedoch Clients eine APIPA-Adresse bekommen, dann hat der RAS-Server eher den DHCPRelay-Agenten nicht installiert. Im Klartext: Selbst wenn der DHCP-Server bekannt ist, auf dem RAS-Server der DHCP-Relay-Agent jedoch nicht konfiguriert ist, gibt es keine gültige IP für die Clients.
421
Lösungen zum MS-Prüfungsreport
Kapitel 4
Lösungsvorschlag B: Eine oder mehrere Adressen vom DHCP-Server zu beziehen, spielt hier keine Rolle. Es geht um die Nichterreichbarkeit des DHCP-Servers. Lösungsvorschlag C: Dieser Vorschlag zeigt endlich einen wesentlichen Aspekt der Verbindungsprobleme auf. Wenn auf dem RAS-Server, der gewissermaßen als Router fungiert, der DHCP-Server zwar bekannt ist, jedoch der DHCP-Relay-Agent nicht konfiguriert ist, dann erhält der Client keine DCHP-Informationen. Wenn die Clients keine Informationen bekommen, kommt automatisch APIPA zum Einsatz, so wie im vorliegenden Fall. Lösungsvorschlag D: Hier wird unterschwellig davon ausgegangen, dass es mehrere DHCP-Server im Netz gibt. Ein eindeutiger Hinweis hierauf ist in der Fragestellung nicht zu finden.
HILFE SERVER •
Routing und RAS, DHCP Windows 2000 Server, ISBN 3-86063-278-7
•
Kap. 10, S. 441ff.
193
In Ihrem Firmennetzwerk wird ausschließlich TCP/IP verwendet. Die Netzwerksysteme sind für die Verwendung von IP-Adressen aus dem privaten Bereich 10.0.0.0 konfiguriert. Auf allen Clients im Netzwerk, das aus Windows 2000 Server-Rechnern und UNIX-Servern besteht, ist Windows 2000 Professional installiert. Die Druckaufträge der Benutzer werden an die freigegebenen Drucker eines Windows 2000 Server-Rechners mit der Bezeichnung PrintAP-SYSTEME gesendet. Dieser Server leitet die Druckaufträge daraufhin direkt an die am Netzwerk angeschlossenen Drucker weiter. An einen UNIX-Server ist ein Hochleistungsdrucker angeschlossen. Der UNIX-Computer verfügt über die IP-Adresse 10.1.1.99 und verwendet das LPR-Druckprotokoll. Die Druckerwarteschlange hat den Namen Ferrari. Die Benutzer sollen von ihren Computern aus eine Verbindung zu diesem Drucker herstellen können. Wie gehen Sie am besten vor?
A
�
Sie installieren auf PrintAP-SYSTEME die Microsoft-Druckdienste für UNIX und erstellen auf den Clients einen Netzwerkdrucker mit der Drucker-URL LPR://10.1.1.99/Ferrari.
B
�
Sie installieren auf den Clients die Microsoft-Druckdienste für UNIX und erstellen auf den Clients einen Netzwerkdrucker mit der Drucker-URL LPR://10.1.1.99/Ferrari.
422
Lösungen zum MS-Prüfungsreport
C
�
Sie erstellen auf PrintAP-SYSTEME einen Netzwerkdrucker mit dem Namen LPR://10.1.10.99/Ferrari, geben diesen Drucker frei und stellen auf den Clients eine Verbindung zu diesem Drucker her.
D
�
Sie erstellen auf PrintAP-SYSTEME einen lokalen Drucker. Anschließend richten Sie einen neuen TCP/IP-Anschluss für einen LPR-Server mit der Adresse 10.1.1.99 und einer Warteschlange Ferrari ein. Danach geben Sie den Drucker frei und stellen auf den Clients eine Verbindung zu diesem Drucker her. D
Die Kernforderung lautet hier wie folgt: An den Clients soll eine Verbindung zu dem Drucker hergestellt werden. Dies ist im vorliegenden Fall nur über den »Umweg« über einen Windows 2000-Rechner möglich, der diesen Hochleistungsdrucker ansprechen kann und dann zur Nutzung im Netzwerk unter einer Freigabe veröffentlicht wird. Diesen Aspekt berücksichtigt nur der Lösungsvorschlag D. Lösungsvorschlag A kommt nicht in Frage, weil hier keine gültige Freigabe für den Drucker eingerichtet wird. Der Lösungsvorschlag B führt auch nicht zur Lösung des Problems, weil hier unterschwellig jeder Client zum Druckserver werden würde. Lösungsvorschlag C wiederum verbindet nur eine Freigabe und stellt nicht die Freigabe an sich her.
HILFE SERVER •
Drucker, lokale Drucker, LPR, Anschlüsse Windows 2000 Server, ISBN 3-86063-278-7
•
Kap. 8, S. 343ff.
194
Auf Ihrem Notebook installieren Sie Windows 2000 Professional. Sie erstellen eine neue DFÜ-Verbindung, um sich mit dem RAS-Server Ihres Unternehmens zu verbinden. Sie stellen über die DFÜ eine Verbindung zum RAS-Server her. Die Server, die sich im gleichen Segment wie der RAS-Server befinden, stehen Ihnen nun zur Verfügung. Sie können jedoch nicht auf freigegebene Ressourcen anderer Server zugreifen, die sich in anderen Segmenten als dem Segment des RAS-Servers befinden.
423
Lösungen zum MS-Prüfungsreport
Kapitel 4
Wie gehen Sie bei der Behebung des Problems vor? A
�
Sie konfigurieren den RAS-Server so, dass er Mehrfachverbindungen akzeptiert.
B
�
Sie konfigurieren die TCP/IP-Eigenschaften für die DFÜ-Verbindung, um die IP-Header-Komprimierung zu deaktivieren.
C
�
Sie konfigurieren die TCP/IP-Eigenschaften für die DFÜ-Verbindung, um das Standardgateway im Remote-Netzwerk zu verwenden.
D
�
Sie erteilen Ihrem Benutzerkonto auf dem RAS-Server des Unternehmens die Einwählberechtigung. C
Aus der Fragestellung geht das eigentliche Problem schon hervor. Ressourcen, die sich im gleichen Segment befinden wie der RAS-Server, können erreicht werden, Ressourcen in anderen Segmenten (Subnetzen) jedoch nicht. Hier kann eigentlich nur Lösungsvorschlag C richtig sein, weil alle Rechner im gleichen Subnetz angezeigt werden. Nur mit dem Eintrag eines Standardgateways gelangt man in andere Subnetze. Lösungsvorschlag A hat grundsätzlich etwas mit der Bündelung von Verbindungen zu tun, jedoch nichts mit dem Problem der Fragestellung. Lösungsvorschlag B geht schlicht und einfach komplett an der Aufgabenstellung vorbei. Die Deaktivierung der IP-Header-Komprimierung würde etwas bringen, wenn Dienstprogramme nicht ausgeführt werden können und die Verbindung über PPP (Point to Point Protocol) zum RAS-Server hergestellt wurde. Lösungsvorschlag D trifft ebenfalls nicht den Punkt. Wenn der Benutzer keine Einwahlberechtigungen hätte, dann könnte er ja auch keine Ressourcen im gleichen Segment wie das des RAS-Servers ansprechen.
HILFE PROFESSIONAL •
TCP/IP-Verbindungen, Standardgateways konfigurieren Windows 2000 Professional, ISBN 3-86063-276-0
• •
Kap. 7, S. 171ff. Kap. 21, S. 549ff.
195
Uwe P. konfiguriert das Notebook von Albert. Albert hat als Betriebssystem Windows 2000 Professional auf seinem Notebook installiert und verwendet ein Smartcard-Lesegerät. Die Treiber hierfür sind ebenfalls auf dem Notebook von Albert installiert.
424
Lösungen zum MS-Prüfungsreport
Uwe P. setzt die Management Console ein, um für Alberts Notebook ein neues Zertifikat anzufordern. Dieses Zertifikat für den Smartcard-Leser installiert er anschließend auf Alberts Notebook. Albert möchte jetzt seinen Smartcard-Leser für die Authentifizierung einsetzen, wenn er sich mit dem Rechner AP-SYSTEMEROU1, der den Routing und RAS-Dienst ausführt, verbindet. Welche Option bzw. Optionen sollte Albert im Dialogfeld ERWEITERTE SICHERHEITSEINSTELLUNGEN aktivieren?
Wählen Sie alle zutreffenden Antworten aus. A
�
Extensible-Authentification-Protokoll (EAP)
B
�
Unverschlüsseltes Kennwort (PAP)
C
�
Shiva-Passwort-Authentication-Protokoll (SPAP)
D
�
Challenge-Authentication-Protokoll (CHAP)
E
�
Microsoft CHAP (MS-CHAP) A
Aufgrund der beiden Begriffe »Zertifikat« und »Smartcard« fällt einem die Entscheidung leicht. Hier kann nur EAP als Lösungsvorschlag richtig sein. EAP stellt eine Erweiterung von PPP dar, um Unterstützung für Authentifizierungsmethoden wie z.B. Zertifikate oder Smartcards bereitzustellen. Die Lösungsvorschläge B, C, D und E beschreiben zwar auch Authentifizierungsprotokolle, jedoch haben diese nichts mit Smartcards zu tun.
425
Lösungen zum MS-Prüfungsreport
Kapitel 4
HILFE PROFESSIONAL •
Smartcard-Unterstützung, EAP Windows 2000 Professional, ISBN 3-86063-276-0
•
Kap. 21, S. 551ff.
196
Sie sind der Administrator eines Windows 2000-Netzwerks, das über einen Hauptsitz und eine Nebenstelle verfügt. Sie setzen PPTP ein, um den Hauptsitz mit der Zweigstelle zu verbinden. Sie müssen sicherstellen, dass für die Verbindung eine möglichst starke Datenverschlüsselung verwendet wird. Wie machen Sie das?
A
�
Sie stellen in den Routing und RAS-Konsolen sicher, dass das Einwählprofil, das für die Herstellung der Verbindung zwischen den beiden Geschäftsstellen verwendet wird, ausschließlich MS-CHAP zulässt.
B
�
Sie stellen in den Routing und RAS-Konsolen in den Eigenschaften der Routing und RAS-Serverobjekte sicher, dass das Extensible-Authentication-Protokoll MD5-CHAP verwendet wird.
C
�
Sie stellen in den Routing und RAS-Konsolen in den Eigenschaften der PPTP-Schnittstellen sicher, dass MS-CHAP v2 als Authentifizierungsmethode verwendet wird.
D
�
Sie stellen in den Routing und RAS-Konsolen in den Eigenschaften der PPTP-Schnittstellen sicher, dass PAP (Password Authentication Protocol) als Authentifizierungsmethode verwendet wird. C
Hier ist der Lösungsvorschlag C richtig, weil die Eigenschaften der PPTP-Schnittstellen zu konfigurieren sind. Bei MS-CHAPv2 wird eine gegenseitige Authentifizierung durchgeführt, es stellt eine sehr sichere Art der Anmeldung dar. Die Anmeldungsdaten (Benutzer und Passwort) werden bei jeder Sitzung neu verschlüsselt. Kann einer der Beteiligten seine Identität nicht nachweisen, wird die Verbindung unterbrochen. Lösungsvorschlag A geht in die falsche Richtung, weil erstens das Einwählprofil nichts mit der Aufgabenstellung zu tun hat und zweitens nach einer möglichst starken Verschlüsselung gefragt wurde. Lösungsvorschlag B »Serverobjekt« trägt gar nichts zur Lösung des Problems bei. EAP wird nur in Verbindung mit Smartcards oder Ähnlichem verwendet.
426
Lösungen zum MS-Prüfungsreport
Lösungsvorschlag D verwendet PAP. PAP ist ein »unsicheres« Authentifizierungsprotokoll, da hierbei die Anmeldedaten unverschlüsselt übermittelt werden, also das Gegenteil der Forderung dieser Aufgabenstellung.
HILFE SERVER •
Suchbegriff »VPNs NEAR Sicherheit«, Titel: »Sicherheit von Router-zu-RouterVerbindungen in VPNs«
Kein direkter Verweis
197
Jan D. ist der Netzwerkadministrator der Firma S-R-S GmbH. Die Firma verfügt über Zweigstellen in Burghausen und in Mühldorf. Jede Zweigstelle soll einen eigenen Routing und RAS-Server betreiben. Deshalb implementiert Jan RADIUS für die zentrale Verwaltung. Er entfernt die Standard-RAS-Richtlinie, weil er eine einzige Unternehmensrichtlinie implementieren soll, die für die gesamte DFÜ-Kommunikation eine 40-BitVerschlüsselung erfordert. Er möchte das Netzwerk so konfigurieren, dass die sichere Kommunikation mit möglichst geringem administrativen Aufwand ermöglicht wird. Wie realisiert Jan das? (Wählen Sie zwei Antworten aus.)
A
�
Er definiert auf jedem Routing und RAS-Server eine RAS-Richtlinie.
B
�
Er definiert auf dem RADIUS-Server eine RAS-Richtlinie.
C
�
Er stellt die Verschlüsselung in der/den RAS-Richtlinie(n) auf Basisverschlüsselung ein.
D
�
Er stellt die Verschlüsselung in der/den RAS-Richtlinie(n) auf Starke Verschlüsselung ein.
E
�
Er aktiviert auf dem RADIUS-Server die Richtlinie Secure Server IPSec.
F
�
Er aktiviert auf dem RADIUS-Server die Richtlinie Server IPSec. B und C
Aufgrund der Fragestellung, in der RADIUS bereits eingerichtet wurde, ist zumindest der Lösungsvorschlag B schon einmal richtig. Die RAS-Richtlinie auf dem RADIUS-Server zu erstellen, ist der einfachste Weg, da alle RADIUSClients (RAS-Server) diese Richtlinie zum Aufbau der RAS-Verbindungen mit den RAS-Clients verwenden. Die Forderung nach der 40-Bit-Verschlüsselung wird im Lösungsvorschlag C erfüllt. Die Basisverschlüsselung ist eine 40-Bit-Verschlüsselung.
427
Lösungen zum MS-Prüfungsreport
Kapitel 4
Lösungsvorschlag A wäre zwar möglich, aber vom administrativen Aufwand her zu umständlich. Im Lösungsvorschlag D wird eine starke Verschlüsselung eingerichtet, also eine 128Bit-Verschlüsselung, was somit zu viel ist. Die Lösungsvorschläge E und F sind hier nicht relevant, da IPSec nicht gefordert ist.
HILFE SERVER • •
Routing und RAS, Übersicht RAS-Richtlinien, Übersicht
Kein direkter Verweis
198
Sie sind der Netzwerkadministrator der AP-SYSTEME Netzwerk Consulting GmbH. Sie konfigurieren in Ihrer Windows 2000-Domäne den RASDienst, um Ihren Trainern, wenn diese unterwegs sind, den Zugriff auf Netzwerkressourcen zu ermöglichen. Sie möchten, dass die Clients automatisch mit IP-Adressen versorgt werden, wenn diese sich einwählen. Sie konfigurieren den RAS-Server und richten DHCP ein, um den Clients Adressen und Konfigurationen zuzuweisen. Die Trainer können jedoch nicht durch Angabe des Servernamens oder über Active Directory auf die Netzwerkressourcen zugreifen. Sie überprüfen dies und stellen nach Herstellung der Verbindung zum RAS-Server fest, dass der Client zwar seine IP-Adresse, jedoch keine der DHCPOptionen empfängt. Auf den Rechnern im lokalen Netz tritt dieses Problem nicht auf. Wie lösen Sie das Problem?
A
�
Sie aktivieren im Dialogfeld EIGENSCHAFTEN des RAS-Servers die Option IP-ROUTING.
B
�
Sie deaktivieren im Dialogfeld EIGENSCHAFTEN des RAS-Servers die Option IP-ROUTING.
C
�
Sie konfigurieren auf dem RAS-Server einen statischen Adresspool.
D
�
Sie konfigurieren den RAS-Server und legen fest, dass dieser als DHCPRelay-Agent fungieren soll. D
Der RAS-Server reserviert sich vom DHCP-Server Adresspools (zehn Adressen jeweils), die IP-Adressen werden dann den RAS-Clients zugewiesen.
428
Lösungen zum MS-Prüfungsreport
Der RAS-Server selbst kann keine DHCP-Optionen vergeben. Dazu benötigen die RAS-Clients den DHCP-Server. Da die RAS-Clients aus einem anderen Segment zugreifen, muss der RAS-Server als DHCP-Relay-Agent konfiguriert werden, damit die RAS-Clients den DHCP-Server erreichen können. Resultat dieser Ausführungen ist der korrekte Lösungsvorschlag D. Die Lösungsvorschläge A und B haben mit der Aufgabenstellung nichts zu tun. Lösungsvorschlag C wäre zwar ebenfalls möglich, aber es geht ausdrücklich um das Problem der Clients, die keine Bereichsoptionen empfangen können. Also ist dieser Lösungsvorschlag ebenfalls falsch.
HILFE SERVER • •
DHCP-Relay-Agent, Übersicht DHCP-Relay-Agent, Optionen Windows 2000 Netzwerkinfrastruktur-Administration, ISBN 3-86063-277-9
•
Routing und RAS mit DHCP. S. 345
199
Albert ist der Netzwerkadministrator der AP-SYSTEME Press GmbH. Der Webserver der Firma ist so konfiguriert, dass die Webanwendung eines Drittanbieters für die Netzwerkbenutzer ausgeführt wird. Christian, der zweite Administrator in der Firma, hat aus Gründen der Serversicherheit einige Veränderungen vorgenommen. Die Benutzer erhalten bei jedem Versuch, eine Verbindung zu einer auf dem Webserver gespeicherten Webseite aufzubauen, eine Fehlermeldung, die sie darüber informiert, dass diese Webseite nicht zur Verfügung steht. Die Benutzer können jedoch ohne Probleme FTP-Verbindungen herstellen und es ist sichergestellt, dass der Webdienst auch gestartet ist. Albert muss jetzt ermitteln, aus welchem Grund die Benutzer die Fehlermeldung erhalten. Was sollte er zur Lösung des Problems unternehmen?
A
�
Bestätigen, dass die Ports 21 und 29 im TCP/IP-Filter zugelassen werden.
B
�
Bestätigen, dass der Port 443 im TCP/IP-Filter zugelassen wird.
C
�
Bestätigen, dass die korrekten NTFS-Dateiberechtigungen für die in Frage kommenden Webseiten vorhanden sind.
D
�
Bestätigen, dass Port 80 im TCP/IP-Filter zugelassen wird. D
429
Lösungen zum MS-Prüfungsreport
Kapitel 4
TCP oder UDP zusammen mit den Ports sind die Sockets und bilden die Verbindungspunkte zwischen Computer und/oder Programmen. Die Ports 0–1023 sind die so genannten »well known Ports« und werden vom System benutzt. Beispiele: • • • •
Port 20 + 21 = FTP (FTP-Control) Port 23 = Telnet Port 80 = HTTP (World Wide Web) Port 25 SMTP (Mail)
Wenn die Benutzer auf FTP zugreifen können, jedoch nicht auf HTTP, dann hängt es vermutlich mit der nicht vorhandenen Freigabe des Ports 80 zusammen. Der Port 80 wird von HTTP verwendet und darf deshalb nicht gefiltert werden. Dies wird im richtigen Lösungsvorschlag D berücksichtigt. Die Lösungsvorschläge A und B betreffen Ports, die folgende Dienste/Protokolle HTTPS(443), FTP(21) und MSG-ICP(29) bereitstellen. Damit lässt sich kein HTTPProblem lösen. Lösungsvorschlag C mit der Aussage bezüglich der NTFS-Berechtigungen hat nichts mit der vorliegenden Problematik zu tun.
HILFE SERVER • •
Suchbegriff »Port NEAR TCP« Training
Kein direkter Verweis
200
Auf Ihrem Notebook installieren Sie Windows 2000 Professional. Sie erstellen eine neue DFÜ-Verbindung, um sich mit dem RAS-Server Ihres Unternehmens zu verbinden. Sie stellen über die DFÜ eine Verbindung zum RAS-Server her. Die Server, die sich im gleichen Segment wie der RAS-Server befinden, stehen Ihnen nun zur Verfügung. Sie können jedoch nicht auf freigegebene Ressourcen anderer Server zugreifen, die sich in anderen Segmenten als dem Segment des RAS-Servers befinden. Was haben Sie vermutlich bei der Konfiguration vergessen?
A
�
Die IP-Header-Komprimierung wurde bei den TCP/IP-Eigenschaften nicht deaktiviert.
B
�
Es wurde bei den TCP/IP-Eigenschaften für die DFÜ-Verbindung kein Standardgateway konfiguriert.
430
Lösungen zum MS-Prüfungsreport
C
�
Sie erteilten Ihrem Benutzerkonto auf dem RAS-Server des Unternehmens keine Einwählberechtigung.
D
�
Der RAS-Server unterstützt keine Mehrfachverbindungen.
E
�
Es wurde bei den TCP/IP-Eigenschaften für die DFÜ-Verbindung kein WINS-Server angegeben. B
Aus der Fragestellung geht das eigentliche Problem schon hervor. Ressourcen, die sich im gleichen Segment befinden wie der RAS-Server, können erreicht werden, Ressourcen in anderen Segmenten (Subnetzen) jedoch nicht. Hier kann eigentlich nur Lösungsvorschlag B richtig sein, weil alle Rechner im gleichen Subnetz angezeigt werden. Nur mit dem Eintrag eines Standardgateways gelangt man in andere Subnetze. Lösungsvorschlag D hat grundsätzlich etwas mit der Bündelung von Verbindungen zu tun, jedoch nichts mit dem Problem der Fragestellung. Lösungsvorschlag A geht schlicht und einfach an der Aufgabenstellung vorbei. Das Deaktivieren der IP-Header-Komprimierung würde etwas bringen, wenn Dienstprogramme nicht ausgeführt werden können und die Verbindung über PPP (Point to Point Protocol) zum RAS-Server hergestellt wurde. Lösungsvorschlag C trifft ebenfalls nicht den Punkt. Wenn der Benutzer keine Einwahlberechtigungen hätte, dann könnte er gar keine Ressourcen im gleichen Segment wie das des RAS-Servers ansprechen. Ein WINS-Server, wie im Lösungsvorschlag E beschrieben, ist hier nicht nötig und würde auch nicht das Problem beheben.
HILFE PROFESSIONAL •
TCP/IP-Verbindungen, Standardgateways konfigurieren Windows 2000 Professional, ISBN 3-86063-276-0
• •
Kap. 7, S. 171ff. Kap. 21, S. 549ff.
201
Dominique ist die Netzwerkadministratorin der Firma S-R-S GmbH. Dominique konfiguriert die Notebooks der Benutzer, damit diese über Routing und RAS Verbindungen zum Firmennetzwerk herstellen können. Dominique testet die Notebooks im LAN und überzeugt sich, dass die Benutzer Verbindungen zu den Ressourcen unter Verwendung der Rechnernamen herstellen können. Nachdem dieser Test erfolgreich verlaufen
431
Lösungen zum MS-Prüfungsreport
Kapitel 4
ist, versucht Dominique, das Gleiche über Remoteeinwahl zu testen. Die Rechner können zwar Verbindungen aufbauen, jedoch ist es nicht möglich, unter Verwendung von Rechnernamen auf Dateien zuzugreifen, die sich auf Rechnern in anderen Segmenten des Firmennetzwerks befinden. Was sollte Dominique unternehmen, um dieses Problem zu lösen? A
�
Dominique aktiviert die Authentifizierungsmethode Remote-Systeme dürfen Verbindungen ohne Authentifizierung herstellen.
B
�
Dominique aktiviert für jedes Notebook das Computerkonto.
C
�
Dominique ändert auf jedem Notebook den Computernamen.
D
�
Dominique installiert auf dem RAS-Server den DHCP-Relay-Agenten. D
Der RAS-Server reserviert sich vom DHCP-Server Adresspools (zehn Adressen jeweils), die IP-Adressen werden dann den RAS-Clients zugewiesen. Der RAS-Server selbst kann keine DHCP-Optionen vergeben. Dazu benötigen die RAS-Clients den DHCP-Server. Da die RAS-Clients aus einem anderen Segment aus zugreifen, muss der RAS-Server als DHCP-Relay-Agent konfiguriert werden, damit die RAS-Clients den DHCP-Server erreichen können. Resultat dieser Ausführungen ist der korrekte Lösungsvorschlag D. Lösungsvorschlag A hat mit der Forderung nichts zu tun und lässt mehr oder weniger jeden rein. Das Erstellen eines Computerkontos, wie im Lösungsvorschlag B beschrieben, ist die zwingende Voraussetzung, um überhaupt ins LAN zu kommen. Den Computernamen zu ändern, wie im Lösungsvorschlag C beschrieben, würde ebenfalls nichts bringen, außer dass der Rechner sich auch im LAN nicht identifizieren kann.
HILFE SERVER •
DHCP-Relay-Agent, Übersicht Windows 2000 Netzwerkinfrastruktur-Administration, ISBN 3-86063-277-9
•
Routing und RAS mit DHCP
202
Johannes G. ist der Administrator der Windows 2000-Domäne APSYSTEME.de. Die Domäne verfügt über einen Mitgliedsserver APSYSTEMERAS5. Routing und RAS ist auf dem Server AP-SYSTEMERAS5 aktiviert. In der Domäne befindet sich außerdem noch ein Windows NT 4.0-Mitgliedsserver NT4RAS4. Dieser Server dient ebenfalls als RAS-Server. Die Domäne arbeitet im gemischten Modus.
432
Lösungen zum MS-Prüfungsreport
Alle Benutzer der Domäne verwenden als Clientplattform Windows 2000 Professional, um sich über die Server AP-SYSTEMERAS5 bzw. NT4RAS4 mit dem Firmennetzwerk zu verbinden. NT4RAS4 ist jedoch nicht in der Lage, die Anmeldeinformationen von Domänenkonten für den Remotezugriff zu bestätigen. Wie sollte Johannes G. das Netzwerk konfigurieren, um dem Server NT4RAS4 die Möglichkeit zu geben, die Bestätigung für den Remotezugriff der Domänenbenutzer durchzuführen? A
�
Er sollte den Modus der Domäne auf einheitlichen Modus umstellen.
B
�
Er sollte eine RAS-Richtlinie erstellen, die das Computerkonto von NT4RAS4 als Bedingung enthält. Anschließend erteilt er eine RemoteZugriffsberechtigung, wenn die Bedingung mit den Eigenschaften des Einwählversuchs übereinstimmt.
C
�
Er sollte das Computerkonto von NT4RAS4 zur Gruppe »RAS- und IASServer« hinzufügen.
D
�
Er sollte die Gruppe »Jeder« zur Gruppe »Prä-Windows 2000-kompatibler Zugriff« hinzufügen. D
Beim Upgrade auf Windows 2000 mit Active Directory werden einige Berechtigungen für frühere Betriebssystemversionen zurückgesetzt. Das hat für einen NT 4.0 RAS-Server, der Mitglied der Domäne ist, zur Folge, dass er Einwählversuche nicht mehr überprüfen kann. Der RAS-Server kann nur seine lokalen Benutzerkonten lesen. Die Gruppe »Prä-Windows 2000-kompatibler Zugriff« ermöglicht die Überprüfung der Benutzerkonten im Active Directory für den NT RAS-Server. Für NT 4.0-Domänencontroller gilt diese Einschränkung nicht! Nachdem alle NT Server zu Windows 2000 migriert wurden, sollten Sie diese Zuordnung wieder aufheben, da sie ein gewisses Sicherheitsrisiko birgt. Der Betriebsmodus der Domäne, wie im Lösungsvorschlag A beschrieben, steht in keinem Zusammenhang mit der Aufgabenstellung. Die Lösungsvorschläge B und C klingen vielleicht richtig, dienen jedoch nur zur Verwirrung.
HILFE SERVER •
Suchbegriff »Windows-kompatibler Zugriff«, Titel: »RAS-Server unter Windows NT 4.0 in einer Windows 2000-Domäne« Windows 2000 Netzwerkinfrastruktur-Administration, ISBN 3-86063-277-9
•
Überlegungen zu RAS-Server, S. 314ff.
433
Lösungen zum MS-Prüfungsreport
Kapitel 4
203
Bernd N. ist in der Zweigstelle Mühldorf als Netzwerkadministrator tätig. Mühldorf ist ein Standort eines Großunternehmens mit dem Hauptsitz Altötting. Der Standort Mühldorf ist mit dem Unternehmensnetz über eine bidirektionale, bei Bedarf herzustellende Wählverbindung über ISDN verbunden. Der Rechner, der die Verbindung herstellt, ist ein Windows 2000 Server, auf dem Routing und RAS konfiguriert ist. Aus Kostengründen soll die ISDN-Verbindung nur einmal am Tag aufgebaut werden, um dann Verkaufsinformationen nach Altötting bzw. von Altötting zu übertragen. Die Übertragung dieser Informationen soll außerhalb der regulären Geschäftszeit erfolgen. Bernd N. stellt fest, dass mehrmals täglich eine ISDN-Verbindung zwischen den Netzwerken initiiert wird. Er analysiert den Netzwerkverkehr und stellt fest, dass Router-Ankündigungsbroadcasts versendet werden. Welche zwei Schritte sollte Bernd N. unternehmen, um zu verhindern, dass Verbindungen während der regulären Geschäftszeit aufgebaut werden können? (Wählen Sie zwei Antworten aus.)
A
�
Bernd N. bestimmt im Zeitplan, dass an der Schnittstelle für Wählen bei Bedarf nur während der angegebenen Zeit gewählt wird.
B
�
Bernd N. bestimmt im Zeitplan, dass an der Schnittstelle für Wählen bei Bedarf während der angegebenen Zeit nur eingehende Verbindungen akzeptiert werden.
C
�
Bernd N. definiert an der Schnittstelle für Wählen bei Bedarf einen Filter für das Wählen bei Bedarf.
D
�
Bernd N. aktiviert an der Schnittstelle für Wählen bei Bedarf das dynamische Routing.
E
�
Er definiert eine RAS-Richtlinie, um den Zugriff auf den Port, der von Routerbroadcasts verwendet wird, einzuschränken.
F
�
Er definiert eine RAS-Richtlinie, um den Zugriff ausdrücklich auf den Benutzer zu beschränken, der Informationen über die Verbindung überträgt. A und C
Um das geforderte Ziel der Aufgabenstellung zu erreichen, muss man einmal einen Zeitplan erstellen, der das Wählen bei Bedarf nur außerhalb der Geschäftszeiten zulässt. Dies wird im richtigen Lösungsvorschlag A berücksichtigt. Deswegen benötigt man einen Filter, um bei anderen Diensten die Funktion Wählen bei Bedarf zu deaktivieren. Dies wird im richtigen Lösungsvorschlag C berücksichtigt.
434
Lösungen zum MS-Prüfungsreport
Lösungsvorschlag B ist falsch, weil nicht nur eingehende Verbindungen im Zeitplan berücksichtigt werden. Die Lösungsvorschläge D, E und F gehen komplett am Thema vorbei.
HILFE SERVER •
Wählen bei Bedarf, Routing, Filter Windows 2000 Netzwerkinfrastruktur-Administration, ISBN 3-86063-277-9
•
Implementieren von Routing für Wählen bei Bedarf, S. 330ff.
204
Ernestine ist der Administrator einer Windows 2000-Domäne. In dieser Domäne führt ein Windows 2000-Mitgliedserver (AP-SYSTEMEROUTE) den Routing und RAS-Dienst aus. AP-SYSTEMEROUTE ist für Remotezugriff konfiguriert. Die Domäne wird im einheitlichen Modus ausgeführt. Die Einwählberechtigung ist für alle Benutzerkonten so festgelegt, dass der Zugriff über RAS-Richtlinien gesteuert wird. Ernestine möchte während der Arbeitszeit allen Benutzern die Einwahl erlauben, zwischen 18:00 Uhr und 08:00 Uhr soll die Einwahl nur Mitgliedern der globalen Sicherheitsgruppe »Supportpersonal« gestattet sein. Diese Gruppe und die darin enthaltenen Benutzer dürfen sich jedoch nicht während der Arbeitszeit (08:00 bis 18:00 Uhr) einwählen. Sie erstellen auf AP-SYSTEMEROUTE vier RAS-Richtlinien, wie nachfolgend dargestellt.
Name
Bedingung
Berechtigung Domänenbenutzer Alle Richtlinien Windows-Gruppe = Domänenbenutzer Zugriff Supportpersonal Alle Richtlinien Windows-Gruppe = Supportpersonal Zugriff Domänenbenutzer 18-08 Richtlinie Datum- und Uhrzeit = 18:0008.00Uhr Verweigern Windows-Gruppe = Domänenbenutzer Supportpersonal 08-18 Richtlinie Datum- und Uhrzeit = 08.0018.00 Verweigern Windows-Gruppe = Supportpersonal
Profil (Standard) (Standard) (Standard) (Standard)
Klicken Sie auf die Schaltfläche AUSWÄHLEN UND PLATZIEREN, um die korrekte Zugriffssteuerung für AP-SYSTEMEROUTE festzulegen. Ziehen Sie anschließend die RAS-Richtlinien und ordnen Sie diese in der korrekten Reihenfolge an.
435
Lösungen zum MS-Prüfungsreport
Kapitel 4
Wählen Sie zunächst die beiden Verweigern- und anschließend die beiden Zugriff-Berechtigungen. Support 08-18 Domänen 18-08 Support Alle Domänen Alle RAS-Richtlinien werden der Reihe nach abgearbeitet. Falls also die erste Richtlinie greift, werden die anderen Richtlinien nicht weiter abgefragt. Falls sie nicht greift, werden die darunter liegenden so lange abgefragt, bis eine Richtlinie greift. Deshalb müssen die restriktivsten Richtlinien an die oberste Stelle gesetzt werden.
HILFE SERVER •
RAS-Richtlinien Windows 2000 Netzwerkinfrastruktur-Administration, ISBN 3-86063-277-9
•
Erstellen einer RAS-Richtlinie, S. 318
205
Albert P. ist der Netzwerkadministrator der Firma Racer AG. In diesem Netzwerk befindet sich ein Windows 2000 Server, der als Router fungiert. AP-SYSTEMEROUTE verfügt über zwei Netzwerkschnittstellen NIC01 und NIC02 und führt den Routing und RAS-Dienst aus. Im Netzwerk existiert nur ein DHCP-Server mit der Bezeichnung APSYSTEME_ONE. Dieser Server steht im Netzwerksegment, das über NIC01 mit AP-SYSTEMEROUTE verbunden ist. Das Netzwerk ist wie im folgenden Diagramm dargestellt konfiguriert.
NIC01 Windows 2000 Professional
NIC02
AP-SYSTEMEROUTE Routing und RAS Server
AP-SYSTEME_ONE DHCP Server
436
Windows 2000 Professional
Lösungen zum MS-Prüfungsreport
Albert P. möchte den Clients aus dem mit der NIC02-Schnittstelle verbundenen Netzwerksegment die Möglichkeit geben, ihre IP-Adressen von APSYSTEME_ONE zu beziehen. Wie sollte Albert P. den Rechner AP-SYSTEMEROUTE konfigurieren, um dieses Ziel zu erreichen? (Wählen Sie alle zutreffenden Antworten aus.) A
�
Er erstellt einen IP-Tunnel, um die NIC01-Schnittstelle mit der NIC02Schnittstelle zu verbinden.
B
�
Er erstellt eine statische Route zur IP-Adresse der NIC02-Schnittstelle.
C
�
Er konfiguriert das DHCP-Relay-Agent-Routingprotokoll, um es auf der NIC01-Schnittstelle auszuführen.
D
�
Er konfiguriert das DHCP-Relay-Agent-Routingprotokoll, um es auf der NIC02-Schnittstelle auszuführen.
E
�
Er konfiguriert das DHCP-Relay-Agent-Routingprotokoll, um die IPAdresse des DHCP-Servers als Serveradresse zu verwenden.
F
�
Er konfiguriert das DHCP-Relay-Agent-Routingprotokoll, um die Portnummer des DHCP-Servers zu verwenden. D und E
Aufgrund der Fragestellung ergibt sich jetzt folgende Konstellation: Alle DHCP-Clients senden ihre DHCP-Anfragen mit Broadcasts ins Netz. Ein Router leitet diese Anfragen standardmäßig nicht weiter. Deshalb benötigt man in allen Subnetzen, die nicht über einen DHCP-Server verfügen, einen DHCP-RelayAgenten. Dieser DHCP-Relay-Agent muss die IP-Adresse des DHCP-Servers kennen, um eine UNICAST-Anfrage ins Netz zu senden, die dann vom Router weitergeleitet wird. Diese Anforderungen werden im richtigen Lösungsvorschlag D (DHCP-Relay-Agent auf NIC02) und im Lösungsvorschlag E (Angabe der DHCP-Adresse) berücksichtigt. Die Lösungsvorschläge A und B gehen an der Fragestellung vorbei. Lösungsvorschlag C beschreibt zwar die richtige Vorgehensweise, gibt aber leider die falsche Netzwerkkarte an. Lösungsvorschlag F (die Angabe der Portnummer des DHCP-Servers) ist Unfug.
HILFE SERVER •
DHCP-Relay-Agent, Übersicht
437
Lösungen zum MS-Prüfungsreport
Kapitel 4
Windows 2000 Netzwerkinfrastruktur-Administration, ISBN 3-86063-277-9 •
DHCP-Relay-Agent, S. 277
206
Otto S. ist der Administrator eines Routing und RAS-Servers in Ihrer Firma. Die Administratoren der Firma können sich in das Netzwerk remote einwählen, um Remoteüberwachungs- und Verwaltungsaufgaben durchzuführen. Dies erfordert eine extrem große Netzwerkbandbreite. Otto S. möchte nur den Administratoren die Verwendung mehrerer Telefonleitungen gestatten. Alle anderen Benutzer sollen auf die Verwendung einer einzigen Telefonleitung beschränkt bleiben. Otto S. möchte Netzwerkverbindungen mit mehreren Telefonleitungen so konfigurieren, dass sie an wechselnde Bandbreitenbedingungen angepasst werden. Sobald die Auslastung der Telefonleitungskapazität unter 50% sinkt, soll die Anzahl der verwendeten Telefonleitungen reduziert werden. Darüber hinaus möchte Otto S. allen Benutzern die Möglichkeit geben, die Verbindung zum Netzwerk über Routing und RAS herzustellen. Zurzeit sind keine RAS-Richtlinien vorhanden. Wie sollte Otto S. vorgehen? (Wählen Sie drei Antworten aus.)
A
�
Er erstellt eine einzige RAS-Richtlinie auf dem Routing und RAS-Server.
B
�
Er erstellt zwei RAS-Richtlinien auf dem Routing und RAS-Server.
C
�
Er erlaubt Mehrfachverbindung.
D
�
Er reduziert die maximale Anzahl von Ports, die der Routing und RASServer verwendet.
E
�
Er aktiviert das Kontrollkästchen BAP, das für dynamische Mehrfachverbindung erforderlich ist.
F
�
Er erhöht die maximale Anzahl von DFÜ-Sitzungen. B, C und E
Wenn wir die Aufgabenstellung umsetzen und mit den Lösungsvorschlägen vergleichen, ergibt sich folgendes Bild. Da die Remoteeinwahl mit Einfachverbindung und Mehrfachverbindungen erforderlich ist, werden für diese Konfiguration auch zwei RAS-Richtlinien benötigt (Lösungsvorschlag B). Eine bessere Auslastung der Verbindungen erreichen wir durch die Erlaubnis, Mehrfachverbindungen zu akzeptieren (Lösungsvorschlag C). In diesem Zusammenhang gibt es eine weitere Einstellung der RAS-Richtlinie für die Administratoren, um bei einer Bandbreitenänderung die Anzahl der Verbindungen dynamisch anzupassen (Lösungsvorschlag E).
438
Lösungen zum MS-Prüfungsreport
Lösungsvorschlag A wäre fast richtig, wenn nicht nur eine RAS-Richtlinie erstellt werden würde. Lösungsvorschlag D reduziert allgemein die Bandbreite und ist nicht tragbar. Die Erhöhung der DFÜ-Sitzungen in Lösungsvorschlag F würde bedeuten, dass sich mehr Teilnehmer einwählen können, was wiederum eine Reduzierung der Bandbreite zur Folge hätte. Das wird nicht gewünscht.
HILFE SERVER •
BAP, Übersicht Windows 2000 Netzwerkinfrastruktur-Administration, ISBN 3-86063-277-9
• •
Erstellen einer RAS-Richtlinie, S. 318 Konfigurieren von BAP, S. 324ff.
207
Willy P. betreut das Netzwerk der Firma AP-SYSTEME GmbH. Das Netzwerk besteht aus einer einzigen Windows 2000-Domäne, die im einheitlichen Modus ausgeführt wird. Derzeit kommen in der Domäne keine Zertifikatsdienste zum Einsatz. Die AP-SYSTEME GmbH umfasst derzeit 150 Mitarbeiter. Wenn die Angestellten außer Haus arbeiten, benötigen sie Datei- und Druckdienste, E-Mail und Zugriff auf die Produkt- und Bestandsdatenbank des Unternehmens. Das Verkaufspersonal ist in der Gruppe »ADVerkauf« zusammengefasst. Das Unternehmen ist über eine T1-Standleitung mit dem Internet verbunden. Zusätzlich verfügt die AP-SYSTEME GmbH über ein virtuelles privates Netzwerk, um die bei der Unterstützung der Außendienstmitarbeiter anfallenden Kosten und auch die erforderlichen Hardwarekomponenten zu reduzieren. Willy P. soll folgende Ziele erreichen: • • • • •
Die erforderlichen Netzwerkressourcen sollen für alle Außendienstmitarbeiter zugänglich sein. Nur die Mitglieder der Gruppe »ADVerkauf« sollen eine Verbindung zum Netzwerk herstellen können. Vertrauliche Geschäftsdaten sollen über die VPN-Verbindungen gesichert übertragen werden. Der Zugriff auf das Netzwerk soll ausschließlich während der Geschäftszeit erfolgen. Alle Mitglieder der Gruppe »ADVerkauf« sollen gleichzeitig eine Verbindung mit dem Netzwerk herstellen können.
439
Lösungen zum MS-Prüfungsreport
Kapitel 4
Willy P. führt folgende Konfigurationsmaßnahmen durch: • • • •
Er installiert den Routing und RAS-Dienst auf einem Windows 2000 Server und konfiguriert ein virtuelles privates Netzwerk. Er erteilt den Mitgliedern der Gruppe »ADVerkauf« die Einwählberechtigung Zugriff erlauben. Er bearbeitet die Standard-RAS-Richtlinie, um die Remote-Zugriffsberechtigung zu erteilen. Er bearbeitet das RAS-Profil, um eine starke Datenverschlüsselung einzustellen.
Welches Ergebnis bzw. welche Ergebnisse erzielt Willy P. durch diese Maßnahmen? (Wählen Sie alle zutreffenden Antworten aus.) A
�
Die Gruppe »ADVerkauf« kann auf alle benötigten Netzwerkressourcen zugreifen.
B
�
Nur die Mitglieder der Gruppe »ADVerkauf« können eine Verbindung zum Netzwerk herstellen.
C
�
Vertrauliche Geschäftsdaten werden gesichert über die VPN-Verbindung übertragen.
D
�
Der Zugriff auf das Netzwerk erfolgt nur während der Geschäftszeiten.
E
�
Alle Mitglieder von »ADVerkauf« können gleichzeitig eine Verbindung zum Netzwerk herstellen. A, C und E
Die eingeleiteten Maßnahmen führen zu folgenden Ergebnissen: Durch das Erteilen der Einwahlberechtigung kann die Gruppe »ADVerkauf« auf alle benötigten Netzressourcen zugreifen (Lösungsvorschlag A). Durch das Erstellen der VPN-Verbindung und die starke Datenverschlüsslung kann auf eine gesicherte Übertragung geschlossen werden (Lösungsvorschlag C). Microsoft gibt bei einer RASVPN-Verbindung als Standard 128 PPTP-Ports und 128 L2TP-Ports an. Somit haben alle Mitglieder in »ADVerkauf« die gleichzeitige Einwahlmöglichkeit (Lösungsvorschlag E). Der falsche Lösungsvorschlag B sagt aus, dass nur die Gruppe »ADVerkauf« eine Verbindung aufbauen kann. Dies wird durch die durchgeführten Maßnahmen nicht erreicht. Da auch kein Zeitplan festgelegt wurde, greift die Standardeinstellung mit zeitlich unbegrenzter Verbindungsmöglichkeit (Lösungsvorschlag D).
HILFE SERVER • •
VPNs, Übersicht RAS-Richtlinien, Übersicht
440
Lösungen zum MS-Prüfungsreport
Windows 2000 Netzwerkinfrastruktur-Administration, ISBN 3-86063-277-9 •
Bedingungen, S. 319ff.
208
Uwe P., der Netzwerkadministrator der S-R-S GmbH, konfiguriert ein Windows 2000-Netzwerk für den DFÜ-Zugriff. Die Benutzer von S-R-S müssen in der Lage sein, von zu Hause aus auf die Rechner zuzugreifen. Zur Erhöhung der Sicherheit erhält jeder Benutzer, dem der DFÜ-Zugriff gestattet ist, eine Smartcard. Wie sollte Uwe P. bei der Konfiguration des Routing und RAS-Servers vorgehen? (Wählen Sie zwei Antworten aus.)
A
�
Er aktiviert das Kontrollkästchen »Extensible-Authentication-Protokoll (EAP)«.
B
�
Er aktiviert das Kontrollkästchen »Microsoft-verschlüsselte Authentifizierung, Version 2 (MS-CHAP v2)«.
C
�
Er installiert auf dem Routing und RAS-Server ein Computerzertifikat.
D
�
Er installiert auf dem Routing und RAS-Server ein Smartcard-Anmeldungszertifikat.
E
�
Er installiert auf dem DFÜ-Clientrechner ein Computerzertifikat. A und D
Aufgrund der Fragestellung mit dem Hinweis auf Smartcards ist die Lösung einfach. Für den Einsatz von Smartcards ist immer EAP als Protokoll nötig (Lösungsvorschlag A). Eine Smartcard-Authentifizierung benötigt ein Anmeldezertifikat vom Typ EAP oder ein anderes TLS-Zertifikat (Lösungsvorschlag D). Das im Lösungsvorschlag B aktivierte MS-CHAP v2 ist für die Smartcard-Authentifizierung nutzlos. Die in den Lösungsvorschlägen C und E genannten Computerzertifikate haben nichts mit der Aufgabenstellung zu tun, wir benötigen Authentifizierungszertifikate und keine Computerzertifikate.
HILFE SERVER • •
EAP, Übersicht EAP-TLS, Smartcards
441
Lösungen zum MS-Prüfungsreport
Kapitel 4
Kein direkter Verweis
209
Angelika administriert das Netzwerk der Firma N&W LEASING AG. Sie möchte den Benutzern den Remotezugriff auf die Netzwerkressourcen ermöglichen. Deswegen konfiguriert sie in ihrer Windows 2000-Domäne, die im einheitlichen Modus arbeitet, den Routing und RAS-Dienst. Zeit- bzw. Authentifizierungsbeschränkungen braucht Angelika nicht zu berücksichtigen, da in der Firma rund um die Uhr und sieben Tage die Woche gearbeitet wird. Die Netzwerkbenutzer verfügen als Clients über Windows 2000 Professional-, Windows NT 4.0- oder MS Windows 98Rechner. Sie löscht die Standard-RAS-Richtlinie, möchte jedoch den Zugriff durch unberechtigte Benutzer verhindern. Sie erteilt allen Benutzern in der Domäne die DFÜ-Berechtigung Zugriff erlauben, allerdings können die Benutzer keine Verbindungen herstellen. Was sollte Angelika unternehmen, um dieses Problem zu lösen?
A
�
Sie sollte eine neue RAS-Richtlinie erstellen, die allen Benutzern der Gruppe »Domänen-Benutzer« den Einwählzugriff erlaubt.
B
�
Sie erstellt eine neue Gruppenrichtlinie, die der Gruppe »Domänen-Benutzer« die Einwählberechtigung erteilt.
C
�
Sie sollte das RAS-Profil bearbeiten, um nur die Verwendung von Verschlüsselte Authentifizierung (CHAP) als Authentifizierungsmethode zuzulassen.
D
�
Sie sollte das RAS-Profil bearbeiten, um nur die Verwendung von Unverschlüsselte Authentifizierung (PAP, SPAP) als Authentifizierungsmethode zuzulassen. A
Aufgrund des Betriebsmodus der Domäne (einheitlicher Modus) ist es möglich, die Einwahl ausschließlich von den Einstellungen der RAS-Richtlinien abhängig zu machen. Im Lösungsvorschlag wird die RAS-Berechtigung auf den Modus »Zugriff über RAS-Richtlinien steuern« eingestellt. Wenn keine RAS-Richtlinie vorhanden ist, wird der Zugriff unterbunden, auch wenn die DFÜ-Berechtigungen den Zugriff erlauben. Es muss also eine RAS-Richtlinie erstellt werden. Lösungsvorschlag B scheidet aus, da man das geforderte Ziel nicht über eine Gruppenrichtlinie erreichen kann.
442
Lösungen zum MS-Prüfungsreport
Die Lösungsvorschläge C und D scheiden ebenfalls aus, weil Authentifizierungsmethoden erst dann zum Tragen kommen, wenn sich der Benutzer einwählt. Ob er das darf, wird aber erst in den Bedingungen der RAS-Richtlinie definiert.
HILFE SERVER •
Verwaltungsmodelle, RAS-Richtlinien Windows 2000 Netzwerkinfrastruktur-Administration, ISBN 3-86063-277-9
•
Bedingungen, S. 319ff.
210
Jan ist für die Sicherheit des Netzwerks der AP-SYSTEME GmbH verantwortlich. Er möchte alle Benutzer registrieren, die über den Routing und RAS-Dienst auf das Netzwerk zugreifen. Er konfiguriert einen Windows 2000 Server für den Remotezugriff. Jan muss alle Anmeldungsaktivitäten auf diesem Server protokollieren. Wie sollte er vorgehen?
A
�
Jan aktiviert in den Überwachungsrichtlinien der Domäne die Option VERZEICHNISDIENSTZUGRIFF.
B
�
Jan aktiviert in den Überwachungsrichtlinien der Domäne die Option ANMELDEEREIGNISSE ÜBERWACHEN.
C
�
Jan aktiviert in den Überwachungsrichtlinien der Domäne die Option ANMELDEVERSUCHE ÜBERWACHEN.
D
�
Jan aktiviert auf dem Routing und RAS-Server in den Eigenschaften RASProtokollierung die Option AUTHENTIFIZIERUNGSANFORDERUNGEN PROTOKOLLIEREN.
E
�
Jan aktiviert auf dem Routing und RAS-Server in den Eigenschaften RASProtokollierung die Option KONTOFÜHRUNGSANFORDERUNGEN PROTOKOLLIEREN. D
Wenn man, wie in der Aufgabenstellung gefordert, die Anmeldungsaktivitäten protokollieren soll, dann bleibt nur die Option, dies beim RAS-Server selbst einzustellen. Genau dies wird auch im richtigen Lösungsvorschlag D wiedergegeben. Da jeder Anmeldeversuch eine Authentifizierungsanforderung zur Folge hat, ist diese Protokollierung der richtige Weg.
443
Lösungen zum MS-Prüfungsreport
Kapitel 4
Die Lösungsvorschläge A, B und C scheiden aus einem einfachen Grund aus, die Überwachungsrichtlinien der Domäne protokollieren Zugriffe auf das Active Directory und nicht auf den RAS-Server. Lösungsvorschlag E ist ebenfalls falsch, weil die Protokollierung der Kontoführung sinnlos ist, da ja Anmeldeversuche überwacht werden sollen und nicht die Kontenänderungen.
HILFE SERVER •
Authentifizierung, Übersicht Windows 2000 Netzwerkinfrastruktur-Administration, ISBN 3-86063-277-9
•
Verwalten und Überwachen von RAS, S. 346ff
211
Willy P. administriert das Netzwerk der Firma Kindernahrung Vertrieb GmbH. Die Außendienstmitarbeiter der Firma brauchen auch unterwegs Zugriff auf die neuesten Geschäftsdaten. Willy P. möchte sicherstellen, dass die Außendienstmitarbeiter unabhängig vom Standort des Anrufs eine Verbindung zum Firmennetzwerk herstellen können. Über den Routing und RAS-Dienst erhalten auch die Lieferanten der Firma Zugriff auf das Netzwerk. Willy P. muss jetzt aus Sicherheitsgründen festlegen, von welchen Standorten aus die Lieferanten der Kindernahrung Vertrieb GmbH eine Verbindung herstellen dürfen. Zusätzlich möchte er den Außendienstmitarbeitern der Kindernahrung Vertrieb GmbH und den Lieferanten den Remotezugriff erleichtern. Was sollte Willy P. konfigurieren, um dieses Ziel zu erreichen? (Wählen Sie drei Antworten aus.)
A
�
Willy P. stellt die Option RÜCKRUF für die Außendienstmitarbeiter auf IMMER RÜCKRUF AN ein.
B
�
Willy P. stellt die Option RÜCKRUF für die Außendienstmitarbeiter auf VOM ANRUFER GESETZT ein.
C
�
Willy P. stellt die Option RÜCKRUF für die Lieferanten auf KEIN RÜCKRUF ein.
D
�
Willy P. stellt die Option RÜCKRUF für die Lieferanten auf IMMER RÜCKRUF AN ein.
E
�
Willy P. stellt die Option RÜCKRUF für die Lieferanten auf VOM ANRUFER GESETZT ein.
F
�
Willy P. aktiviert LCP-Objekte.
G
�
Willy P. aktiviert EAP.
444
Lösungen zum MS-Prüfungsreport
B, D und F Die Forderung der Fragestellung wird einmal durch den richtigen Lösungsvorschlag B erreicht. Weil sich die Außendienstmitarbeiter von unterschiedlichen Orten (Hotel etc.) einwählen, muss die jeweils aktuelle Telefonnummer des Anrufers verwendet werden. Die Einwahl der Lieferanten, die sich vermutlich immer vom selben Ort aus einwählen und dann auch eine feste Rückrufnummer haben, wird im richtigen Lösungsvorschlag D berücksichtigt. Im ebenfalls richtigen Lösungsvorschlag F werden LCP-Objekte aktiviert. Das LCP-Protokoll ist für verschiedene Verbindungsparameter zuständig. Das Aktivieren der LCP-Objekte bedeutet in diesem Fall, dass die Telefonnummer des Anrufers (Außendienstmitarbeiter) ausgewertet und verwendet werden kann. Lösungsvorschlag A würde immer eine feste Rückrufnummer bedeuten, was aufgrund der Fragestellung jedoch nicht sinnvoll ist. Lösungsvorschlag C würde zwar funktionieren, stellt jedoch ein zu großes Sicherheitsrisiko dar. Lösungsvorschlag E widerspricht der Kernforderung der Fragestellung und dem richtigen Lösungsvorschlag D und wird deshalb verworfen. Zu guter Letzt scheidet noch Lösungsvorschlag G aus, weil Smartcards etc. nicht verwendet werden. Daher ist EAP nicht erforderlich.
HILFE SERVER • •
PPP, Übersicht LCP-Erweiterungen, PPP-Verwendung und -Protokolle
Kein direkter Verweis
212
In einer Windows 2000-Domäne befindet sich ein Windows 2000-Mitgliedsserver, der den Routing und RAS-Dienst ausführt. Sie aktivieren auf AP-SYSTEMEROU01 CHAP, weil ein Teil der RAS-Clients das CHAPProtokoll für die Einwahl benötigt. Zusätzlich konfigurieren Sie die RASRichtlinie für die Verwendung von CHAP. Die Benutzer können sich jedoch nicht an AP-SYSTEMEROU01 einwählen und eine Verbindung herstellen. Wie gehen Sie vor, um das Problem zu lösen?
A
�
Sie konfigurieren AP-SYSTEMEROU01 und lassen die LAN-ManagerAuthentifizierung nicht zu.
B
�
Sie konfigurieren AP-SYSTEMEROU01 und deaktivieren die Verwendung von LCP-Erweiterungen.
445
Lösungen zum MS-Prüfungsreport
Kapitel 4
C
�
Sie konfigurieren die Benutzerkonten und aktivieren die Option KENNWORT MIT REVERSIBLER VERSCHLÜSSELUNG SPEICHERN. Sie legen fest, dass die Kennwörter der Benutzer bei der nächsten Anmeldung geändert werden.
D
�
Sie konfigurieren die Konten der Benutzer und legen hierbei fest, dass bei der Einwahl ins Netzwerk eine statische IP-Adresse verwendet werden muss. C
CHAP (Challenge Handshake Authentication Protocol) ist ein Abfrage/Antwort-Authentifizierungsprotokoll, das unter Verwendung von MD5 (Message Digest 5), einem Hashing-Schema nach Industriestandard, die Verschlüsselung von Antworten gewährleistet. CHAP wird von verschiedenen Anbietern von RAS-Servern und -Clients eingesetzt. Ein RAS-Server unter Windows 2000 unterstützt CHAP, so dass RAS-Clients, auf denen kein Microsoft-Betriebssystem ausgeführt wird, authentifiziert werden können. Wenn das Speichern von Kennwörtern in einer umkehrbaren verschlüsselten Form aktiviert wird, sind die noch gültigen aktuellen Kennwörter nicht umkehrbar verschlüsselt. Sie werden jedoch nicht automatisch geändert. Dazu müssen entweder die Benutzerkennwörter zurückgesetzt werden oder es muss die Änderung der Benutzerkennwörter bei der nächsten Anmeldung erzwungen werden.
HILFE SERVER •
CHAP, Übersicht
Kein direkter Verweis
213
Uwe P. betreut eine Windows 2000-Domäne. In dieser Domäne steht ein Windows 2000 Server mit der Bezeichnung AP-SYSTEMEROU1 zur Verfügung, der den Routing und RAS-Dienst ausführt. Alle Benutzer der Domäne können sich von ihren Windows 2000 Professional-Rechnern aus in das Netzwerk einwählen. In der Firma existiert eine Gruppe »Trainer«. Uwe P. möchte allen Mitgliedern dieser Gruppe erlauben, bei der Remoteauthentifizierung eine Smartcard zu verwenden. Die Einwählberechtigung ist für alle Benutzer der Gruppe »Trainer« auf ZUGRIFF ÜBER RAS-RICHTLINIEN STEUERN gesetzt. Er erstellt deshalb eine neue RAS-Richtlinie namens Trainerzugriff. Diese Richtlinie gewährt den Mitgliedern der Gruppe »Trainer« den Remotezugriff auf das Firmennetzwerk zu jeder beliebigen Tageszeit. Diese Richtli-
446
Lösungen zum MS-Prüfungsreport
nie ist auf dem Rechner AP-SYSTEMEROU1 als erste Richtlinie in der RAS-Richtlinienliste eingetragen. Die Mitglieder der Gruppe »Trainer« können sich zwar ins Netzwerk einwählen, jedoch können sie die Smartcards nicht zur Remoteauthentifizierung verwenden. Uwe P. möchte den Mitgliedern der Gruppe »Trainer« ihren Wunsch erfüllen und sicherstellen, dass diese in Zukunft Smartcards zur Remoteauthentifizierung verwenden können. Wie lässt sich das realisieren? A
�
Er fügt den Rechner AP-SYSTEMEROU1 zur Gruppe »Prä-Windows 2000-kompatibler Zugriff« hinzu.
B
�
Er aktiviert EAP auf dem RAS-Server AP-SYSTEMEROU1 und auf den Windows 2000-RAS-Clients als Authentifizierungsmethode und aktiviert EAP im Profil der RAS-Richtlinie Trainerzugriff.
C
�
Er wählt für die Mitglieder der Gruppe »Trainer« die Option KENNWORT MIT REVERSIBLER VERSCHLÜSSELUNG SPEICHERN.
D
�
Er konfiguriert die Benutzerkonten aller Mitglieder der Gruppe »Trainer« so, dass ihnen für Delegierungszwecke vertraut wird. B
Die Verwendung von Smartcards zur Benutzerauthentifizierung ist die strengste Form der Authentifizierung in Windows 2000. Bei RAS-VPN-Verbindungen muss man EAP (Extensible Authentication Protocol) mit dem EAP-Typ Smartcard oder anderes Zertifikat (TLS) verwenden. Dieser wird auch als EAP-TLS (EAP Transport Level Security) bezeichnet. Die restlichen Lösungsvorschläge entsprechen nicht den Anforderungen und werden deshalb verworfen.
HILFE SERVER • •
EAP, Übersicht EAP-TLS, Smartcards
Kein direkter Verweis
214
Uwe P. administriert ein Windows 2000-Netzwerk, das aus dem Hauptsitz und einer Zweigstelle besteht. Die Verbindung der Standorte erfolgt über eine geleaste 128 Kbit/s-ISDN-Leitung. Uwe P. installiert und konfiguriert an jedem Standort einen eigenständigen Windows 2000 Server, der den Routing und RAS-Dienst ausführt, um bei Bedarf eine Wählverbindung bereitstellen zu können.
447
Lösungen zum MS-Prüfungsreport
Kapitel 4
Uwe P. möchte den Verkehr über die ISDN-Leitung verschlüsseln und unnötige Verbindungen verhindern. Wie sollte Uwe P. vorgehen? A
�
Er konfiguriert eine PPTP-Wählverbindung, die bei Bedarf aufgebaut werden kann, um die beiden Standorte über die geleaste ISDN-Leitung zu verbinden, und stellt sicher, dass die Datenverschlüsselung aktiviert ist. Zusätzlich definiert er die Filter für Wählen bei Bedarf und legt fest, dass NetBIOS-Broadcast-Verkehr nicht zugelassen wird.
B
�
Er konfiguriert eine PPTP-Wählverbindung, die bei Bedarf aufgebaut werden kann, um die beiden Standorte über die geleaste ISDN-Leitung zu verbinden, und stellt sicher, dass die Datenverschlüsselung aktiviert ist. Zusätzlich definiert er die Filter für Wählen bei Bedarf und legt fest, dass Remote-Prozeduraufruf-Verkehr nicht zugelassen wird.
C
�
Er konfiguriert eine L2TP-Wählverbindung, die bei Bedarf aufgebaut werden kann, um die beiden Standorte über die geleaste ISDN-Leitung zu verbinden, und konfiguriert Filter für »eingehend« und »ausgehend«. Er legt fest, dass kein NetBIOS-Broadcast-Verkehr zugelassen wird.
D
�
Er konfiguriert eine L2TP-Wählverbindung, die bei Bedarf aufgebaut werden kann, um die beiden Standorte über die geleaste ISDN-Leitung zu verbinden, und konfiguriert Filter in der Filterliste für Wählen bei Bedarf. Er legt fest, dass kein Remote-Prozeduraufruf-Verkehr zugelassen wird. A
Aufgrund der Fragestellung ist hier Lösungsvorschlag A richtig, weil die NetBIOS-Broadcasts unterbunden werden, da sonst ständig Wählen bei Bedarf initiiert wird. Lösungsvorschlag B stellt eine ähnliche Lösung dar, hier wird allerdings der Remote Procedure Call (RPC) gefiltert. Damit wäre ein Verbindungsaufbau zwischen den Computern grundsätzlich nicht möglich. Bei den Lösungsvorschlägen C und D fehlt die Datenverschlüsselung. L2TP kann Daten verschlüsseln, dies muss allerdings auch konfiguriert werden.
HILFE SERVER •
Wählen bei Bedarf, Routing, Übersicht
Kein direkter Verweis
448
Lösungen zum MS-Prüfungsreport
215
Ruppert betreut ein Windows 2000-Netzwerk. Er muss eine RAS-Umgebung einrichten, die eine hohe Verfügbarkeit und auch Sicherheit gewährleistet. Das Unternehmen verfügt über einen einzigen Standort und eine T3-Verbindung zum Internet. Die Außendienstmitarbeiter Ihres Unternehmens brauchen von jedem Remotestandort aus eine zuverlässige Verbindung zum Firmennetz. Auf allen Servern des Netzwerks ist Windows 2000 Advanced Server installiert, die Clients im Netzwerk verwenden alle als Betriebssystem Windows 2000 Professional. Ruppert möchte folgende Ziele erreichen: •
• • •
Ein Einzelpunkt-Versagen, mit Ausnahme eines Komplettausfalls der T3-Verbindung, darf nicht zum totalen Versagen der RAS-Verbindungen führen. Authentifizierungsdaten dürfen nicht im Klartext übertragen werden. Die Daten dürfen nur verschlüsselt übertragen werden. Der gleichzeitige Netzwerkzugriff von mindestens 200 Remotebenutzern soll jederzeit möglich sein.
Ruppert führt folgende Konfigurationsschritte durch: • • •
Er installiert am Hauptsitz einen VPN-Server. Er konfiguriert den VPN-Server für die Unterstützung von 250 PPTPVerbindungen. Er konfiguriert die Clients und legt hierbei fest, dass als Authentifizierungsprotokoll CHAP verwendet wird.
Welches Ergebnis bzw. welche Ergebnisse werden durch die Konfigurationen von Ruppert erreicht? (Wählen Sie alle zutreffenden Antworten aus.) A
�
Ein Einzelpunkt-Versagen, mit Ausnahme eines Komplettausfalls der T3Verbindung, führt nicht zum totalen Versagen der RAS-Verbindungen.
B
�
Authentifizierungsdaten werden verschlüsselt übertragen.
C
�
Die Daten werden nur verschlüsselt übertragen.
D
�
Der gleichzeitige Netzwerkzugriff von mindestens 200 Remotebenutzern ist jederzeit möglich. B und D
Aufgrund der vom Benutzer durchgeführten Konfigurationsschritte ergibt sich jetzt folgende Lösung. Durch die Festlegung von CAP als Authentifizierungsprotokoll werden die Authentifizierungsdaten verschlüsselt übertragen (Lösungsvorschlag B). Aufgrund der Konfiguration des VPN-Servers mit 250 PPTPVerbindungen ist der Zugriff durch die Benutzer gewährleistet (Lösungsvorschlag D).
449
Lösungen zum MS-Prüfungsreport
Kapitel 4
Lösungsvorschlag A wird nicht erfüllt, weil ein Einzelpunkt-Versagen der gesamten RAS-Verbindung auch beim Ausfall des VPN-Servers gegeben ist. Man müsste also mindestens einen weiteren VPN-Server installieren, um das Problem zu beheben. Beim Lösungsvorschlag C werden die Nutzdaten nicht verschlüsselt übertragen.
HILFE SERVER •
CHAP, Übersicht Windows 2000 Netzwerkinfrastruktur-Administration, ISBN 3-86063-277-9
•
Konfigurieren der Protokollsicherheit, S. 419
216
Angelika administriert eine Windows 2000-Domäne, die im einheitlichen Modus ausgeführt wird. In dieser Domäne übernimmt der Windows 2000 Server AP-SYSTEMEDF2 die Rolle des Routing und RAS-Servers. Der Routing und RAS-Dienst ist auf AP-SYSTEMEDF2 installiert und für den Remotezugriff konfiguriert. Die IP-Adressierung wird in der Domäne manuell vorgenommen. Die Benutzer der Domäne wählen sich alle von ihren tragbaren Rechnern aus, auf denen Windows 2000 Professional installiert ist, in das Netzwerk ein. Die DFÜ-Clients sind für den automatischen Empfang einer IP-Adresse konfiguriert. Angelika will dies nicht ändern, jedoch möchte sie für jeden Benutzer eine feste IP-Adresse festlegen. Die Benutzer sollen bei der Herstellung der DFÜ-Verbindung unterschiedliche feste IP-Adressen erhalten. Wie sollte Angelika das Netzwerk konfigurieren, um dieses Ziel zu erreichen?
A
�
Angelika erstellt auf AP-SYSTEMEDF2 für den RAS-Dienst einen statischen Adresspool, so dass er nur die IP-Adresse der Einwahlschnittstelle für den Remotezugriff besitzt, und verwendet die Subnetzmaske 0.0.0.0.
B
�
Angelika erstellt auf AP-SYSTEMEDF2 für den RAS-Dienst einen statischen Adresspool für die Zuweisung von IP-Adressen und verwendet als Subnetzmaske 255.255.255.255.
C
�
Angelika erstellt auf dem DHCP-Server eine Reservierung, die für jeden Benutzer eine spezifische IP-Adresse verwendet.
D
�
Angelika weist in der Konsole Active Directory-Benutzer und -Computer für jeden Benutzer eine neue statische IP-Adresse zu. D
450
Lösungen zum MS-Prüfungsreport
Im einheitlichen Modus einer Windows 2000-Domäne gibt es ein Highlight. Man kann hier einem Benutzer eine IP-Adresse zuordnen. Wenn die Benutzer feste IP-Adressen für die DFÜ-Verbindung haben sollen, dann ist hier die Lösung zu finden. Dies wird im richtigen Lösungsvorschlag D wiedergegeben. In den Eigenschaften des Benutzerkontos lässt sich eine benutzerspezifische IP-Adresse einstellen. Damit werden auch Gruppeneinwählprofile ignoriert. Die Lösungsvorschläge A und B sind falsch, weil sich die Einstellungen auf Computer beziehen und nicht wie gefordert auf die Benutzer. Deswegen scheidet auch Lösungsvorschlag D aus, weil bei den DHCP-Reservierungen nur eine rechnerspezifische Zuordnung erfolgen kann.
HILFE SERVER •
Benutzerkonten, Remotezugriff
Kein direkter Verweis
217
Sie sind in Ihrem Unternehmen als Netzwerkadministrator tätig. Eine Zweigstelle des Unternehmens muss Buchhaltungsdateien mit Dateien am Hauptsitz synchronisieren. Für den Faxempfang verwendet Ihr Unternehmen einen Windows 2000 Server mit installiertem Modem. Um Kosten einzusparen, installieren Sie auf dem Server Routing und RAS. Um sicherzustellen, dass die Buchhaltungsdateien der Zweigstelle mit den Dateien am Hauptsitz synchronisiert werden, konfigurieren Sie den Server, um alle sechs Stunden eine Verbindung mit der Zweigstelle herzustellen. Sie automatisieren diesen Vorgang mit Befehlszeilenanweisungen und dem Windows-Taskplaner. Bei Beginn von geplanten Synchronisationen wird Ihr Server nicht gestartet. Sie möchten, dass der Server tatsächlich eine Verbindung zur Zweigstelle herstellt. Wie gehen Sie vor, um dieses Problem zu beseitigen?
A
�
Sie aktivieren MEHRFACHVERBINDUNGEN.
B
�
Sie beenden die Faxdienstsoftware, wenn der Server die Verbindung herstellt.
C
�
Sie aktivieren GEMEINSAME NUTZUNG DER INTERNETVERBINDUNG.
D
�
Sie aktivieren den Server als Router.
451
Lösungen zum MS-Prüfungsreport
Kapitel 4
B Das Problem hängt direkt mit dem Faxdienst zusammen. Der Faxdienst belegt beim Rechnerstart die RAS-Schnittstelle. Wenn die Synchronisation gestartet wird, versucht das System, auf die RAS-Schnittstelle zuzugreifen. Die RASSchnittstelle ist aber durch den Faxdienst belegt und der Synchronisationsversuch wird abgebrochen. Dieser Aspekt wird im richtigen Lösungsvorschlag B berücksichtigt. Die Lösungsvorschläge A (Mehrfachverbindungen bündeln die ankommenden Verbindungen), C (wir brauchen hier keine Internetverbindungsfreigabe) und D (das Problem hat mit dem Routing nichts zu tun) können verworfen werden.
HILFE SERVER •
Wählen bei Bedarf, Routing, Übersicht Windows 2000 Netzwerkinfrastruktur-Administration, ISBN 3-86063-277-9
•
Implementieren von Routing für Wählen bei Bedarf, S. 330ff.
218
Sie haben auf einem Windows 2000 Server den RAS-Dienst konfiguriert und VPN-Verbindungen bereitgestellt. Sie haben die Standard-RAS-Richtlinie entfernt und keine anderen Richtlinien angelegt. Was geschieht, wenn sich Benutzer mit ihren RAS-Clients am RAS-Server einwählen wollen?
A
�
Alle Verbindungsversuche werden zugelassen.
B
�
Verbindungsversuche werden ausschließlich von Benutzern zugelassen, in deren Benutzerkonten ZUGRIFF GESTATTEN konfiguriert wurde.
C
�
Verbindungsversuche werden ausschließlich von Benutzern zugelassen, in deren Benutzerkonten ZUGRIFF ÜBER RAS-RICHTLINIEN STEUERN konfiguriert wurde.
D
�
Alle Verbindungsversuche werden abgelehnt. D
Ohne eine RAS-Richtlinie haben wir zwar noch einen RAS-Server, jedoch werden jetzt keinerlei Verbindungen mehr akzeptiert. Wenn man die Standardrichtlinie löscht, dann sollte der Administrator zumindest eine andere Richtlinie erstellen. Dies könnte er auch umgehen, wenn er die Standardrichtlinie bearbeitet.
452
Lösungen zum MS-Prüfungsreport
Lösungsvorschlag A ist komplett falsch, denn alle Verbindungsversuche dürfen auf gar keinen Fall zugelassen werden. Lösungsvorschlag B hat nichts mit der Problematik zu tun. Ohne RAS-Richtlinie hat dieser Konfigurationspunkt keine Bedeutung mehr. Lösungsvorschlag C würde niemals funktionieren, selbst wenn sich die Domäne im einheitlichen Modus befinden würde. Wie soll ohne vorhandene RAS-Richtlinien die Steuerung über diese erfolgen?
HILFE SERVER •
RAS-Richtlinien, Übersicht Windows 2000 Netzwerkinfrastruktur-Administration, ISBN 3-86063-277-9
•
Erstellen einer RAS-Richtlinie, S. 318ff.
453
Copyright Daten, Texte, Design und Grafiken dieses eBooks, sowie die eventuell angebotenen eBook-Zusatzdaten sind urheberrechtlich geschützt. Ihre Verwendung ist nur im Rahmen der persönlichen, privaten Nutzung gestattet. Jede andere Verwendung dieses eBooks und zugehöriger Materialien und Informationen, einschliesslich der Reproduktion, des Weitervertriebs, der Plazierung auf anderen Websites, der Veränderung und der Veröffentlichung bedarf der schriftlichen Genehmigung des Verlags.
