Upgrading to Windows Server 2008 MS 70-649

Transcrição

Upgrading to Windows Server 2008
MS 70-649
22.12.2009
001. Sie sind Administrator bei Contoso. Das Unternehmen hat eine große Anzahl neuer tragbarer Computer
für den Einsatz im Firmennetzwerk vorbereitet. Die tragbaren Computer sollen über eine drahtlose
Verbindung mit dem Netzwerk kommunizieren.
Sie erstellen ein neues Gruppenrichtlinienobjekt (GPO) und konfigurieren eine Drahtlosrichtlinie mit Profilen
auf Basis der vorhandenen Netzwerknamen in Ihrem Unternehmen. Anschließend verknüpfen Sie das
Gruppenrichtlinienobjekt (GPO) mit der Organisationseinheit (OU) Notebooks.
Die Benutzer der neuen Computer berichten, dass sie keine Verbindungen mit dem Drahtlosnetzwerk
herstellen können.
Sie müssen sicherstellen, dass die Einstellungen der Drahtlosrichtlinie auf die tragbaren Computer
angewendet werden.
Wie gehen Sie vor?
A. Führen Sie den Befehl gpupdate /boot auf den tragbaren Computern aus.
B. Führen Sie den Befehl gpupdate /target:computer auf den tragbaren Computern aus.
C. Verbinden Sie die tragbaren Computer mit dem drahtgebundenen Netzwerk. Starten Sie die Geräte und
melden Sie sich an. Schalten Sie die Geräte anschließend wieder ab.
D. Starten Sie den Assistenten Verbindung mit einem Netzwerk herstellen auf den tragbaren Computern.
Lassen Sie das Textfeld für den Service Set Identifier (SSID) frei.
Answer: C
Erläuterungen:
Um die neue Drahtlosrichtlinie auf die tragbaren Computer anzuwenden, muss zunächst eine Verbindung
mit dem Netzwerk hergestellt werden. Der einfachste Weg ist es, die Geräte kurzzeitig mit dem
drahtgebundenen Netzwerk zu verbinden.
002. Sie sind Administrator bei Contoso. Das Firmennetzwerk besteht aus einer einzelnen Active Directory
Domäne. Auf allen Servercomputern ist das Betriebssystem Windows Server 2008 installiert.
Das Unternehmen plant die Eröffnung einer neuen Zweigstelle. Die Mitarbeiter der Forschungsabteilung
sollen sich in das Firmennetzwerk der Hauptgeschäftsstelle einwählen, wenn sie in der neuen Zweigstelle
tätig sind.
Sie erstellen ein Benutzerkonto als Vorlage für neue Mitarbeiter der Forschungsabteilung.
Sie müssen sicherstellen, dass alle neuen Benutzerkonten, die auf Basis der neuen Vorlage erstellt werden,
über die erforderlichen Einwählberechtigungen verfügen.
Wie gehen Sie vor?
A. Konfigurieren Sie die Gruppenmitgliedschaften für das Vorlagenkonto und erstellen Sie eine
Netzwerkrichtlinie, in der die entsprechende Gruppe verwendet wird.
B. Konfigurieren Sie die Gruppenmitgliedschaften für das Vorlagenkonto und erstellen Sie ein
Gruppenrichtlinienobjekt (GPO), das der verwendeten Gruppe die erforderlichen Berechtigungen für die
lokale Anmeldung erteilt.
C. Konfigurieren Sie die Anmeldezeiten für das Vorlagenkonto. Lassen Sie Anmeldungen von Montag bis
Freitag in der Zeit von 06:00 Uhr bis 18:00 Uhr zu.
D. Verwenden Sie die Konsole Active Directory-Schema und bearbeiten Sie die Eigenschaften des Attributs
groupMembership. Aktivieren Sie die Option Dieses Attribut indizieren.
Answer: A
Erläuterungen:
Bei Netzwerkrichtlinien handelt es sich um Bedingungen, Einschränkungen und Einstellungen, mit deren
Hilfe Sie festlegen, welche Benutzer unter welchen Umständen eine Verbindung mit dem Netzwerk
herstellen dürfen. Wenn Sie den Netzwerkzugriffsschutz (Network Access Protection, NAP) bereitstellen,
werden der Netzwerkrichtlinien-Konfiguration Integritätsrichtlinien hinzugefügt, damit der
Seite 1 von 209
MS 70-649
22.12.2009
Netzwerkrichtlinienserver (Network Policy Server, NPS) während des Autorisierungsvorgangs
Clientintegritätsprüfungen ausführt.
Bei der Verarbeitung von Verbindungsanforderungen als RADIUS-Server führt NPS die Authentifizierung
und Autorisierung für die Verbindungsanforderung aus. Während des Authentifizierungsvorgangs überprüft
NPS die Identität des Benutzers oder Computers, der eine Verbindung mit dem Netzwerk herstellt. Während
des Autorisierungsvorgangs bestimmt NPS, ob der Benutzer oder Computer auf das Netzwerk zugreifen
darf.
Dabei verwendet NPS Netzwerkrichtlinien, die im NPS-MMC-Snap-In konfiguriert sind. NPS überprüft
außerdem die Einwähleigenschaften des Benutzerkontos in Active Directory-Domänendienste (Active
Directory Domain Services, AD DS) zur Ausführung der Autorisierung.
Im Internetauthentifizierungsdienst (Internet Authentication Service, IAS) der Betriebssysteme der Windows
Server 2003-Produktfamilie wurden Netzwerkrichtlinien als RAS-Richtlinien bezeichnet.
Netzwerkrichtlinien können als Regeln betrachtet werden. Jede Regel weist eine Reihe von Bedingungen
und Einstellungen auf. NPS vergleicht die Bedingungen der Regel mit den Eigenschaften von
Verbindungsanforderungen. Wenn eine Übereinstimmung zwischen der Regel und der
Verbindungsanforderung vorliegt, werden die in der Regel definierten Einstellungen auf die Verbindung
angewendet.
Wenn in NPS mehrere Netzwerkrichtlinien konfiguriert sind, handelt es sich um einen geordneten Regelsatz.
NPS überprüft jede Verbindungsanforderung mit der ersten Regel in der Liste, dann mit der zweiten Regel
usw., bis eine Übereinstimmung gefunden wird.
Jede Netzwerkrichtlinie weist die Einstellung Richtlinienstatus auf, mit der Sie die Richtlinie aktivieren bzw.
deaktivieren können. Wenn Sie eine Netzwerkrichtlinie deaktivieren, wird die Richtlinie beim Autorisieren von
Verbindungsanforderungen von NPS nicht ausgewertet.
003. Sie sind Administrator bei Contoso. Das Unternehmen setzt einen Windows Server 2008 Computer mit
installiertem Routing und RAS (RRAS) Dienst ein, um Remotebenutzern Zugriff auf das Netzwerk zu
ermöglichen. Die Computer der Remotebenutzer sind nicht Mitglied der Active Directory Domäne.
Sie stellen fest, dass die Computer der Remotebenutzer die Quelle für einen Virus auf internen
Mitgliedsservern sind.
Sie müssen das Unternehmensnetzwerk vor Viren schützen, die von den Computern der Remotebenutzer
übertragen werden.
Wie gehen Sie vor?
A. Installieren Sie eine dateibasierte Antivirensoftware auf dem Routing und RAS Server. Konfigurieren Sie
automatische Aktualisierungen für die Antivirensoftware.
B. Konfigurieren Sie eine Systemintegritätsprüfung. Legen Sie fest, dass eine Antivirusanwendung aktiviert
und aktuell sein muss.
C. Konfigurieren Sie eine Systemintegritätsprüfung. Legen Sie fest, dass eine Antispywareanwendung
aktiviert und aktuell sein muss.
D. Erstellen Sie eine Organisationseinheit für die Computer der Remotebenutzer. Verwenden Sie ein
Gruppenrichtlinienobjekt, um eine Antivirensoftware an die Computer zu verteilen.
Answer: B
Erläuterungen:
Systemintegritätsprüfungen (System Health Validators, SHVs) sind das Serversoftwaregegenstück zu
Systemintegritäts-Agents (System Health Agents, SHAs). Für jeden SHA auf dem Client gibt es eine
entsprechende SHV im Netzwerkrichtlinienserver (Network Policy Server, NPS). NPS überprüft mithilfe von
SHVs das SoH (Statement of Health), das vom entsprechenden SHA auf dem Clientcomputer erstellt wird.
SHVs enthalten die Details der erforderlichen Konfigurationseinstellungen auf Clientcomputern.
Beispielsweise ist die Windows-Sicherheitsintegritätsprüfung (Windows Security Health Validator, WSHV)
Seite 2 von 209
MS 70-649
22.12.2009
das Gegenstück zum Windows-Sicherheitsintegritäts-Agent (Windows Security Health Agent, WSHA) auf
Clientcomputern. Mit WSHV können Sie eine Richtlinie dafür erstellen, wie Einstellungen auf NAP-fähigen
Clientcomputern konfiguriert werden müssen. Falls die Einstellungen auf dem Clientcomputer gemäß des
Berichts im SoH nicht mit den Einstellungen in der SHV auf dem Netzwerkrichtlinienserver übereinstimmen,
ist der Clientcomputer nicht mit der Integritätsrichtlinie konform.
004.Sie sind Administrator bei Contoso. Das Firmennetzwerk besteht aus einer einzelnen Active Directory
Domäne mit dem Namen Contoso.de. Auf allen Servercomputern ist das Betriebssystem Windows Server
2008 installiert.
Das Unternehmen hat eine Hauptgeschäftsstelle und 15 Zweigstellen. Alle Zweigstellen verfügen über einen
Routing und Remote Access Server (RRAS), der das lokale Netzwerk mit dem Netzwerk der
Hauptgeschäftsstelle verbindet. Für die Verbindungen werden Virtual Private Network (VPN) Verbindungen
über das Internet hergestellt.
Die Firmensicherheitsrichtlinien stellen folgende Anforderungen an VPN-Verbindungen:

Alle Daten müssen per End-to-End Verschlüsselung verschlüsselt werden.

Für VPN-Verbindungen muss eine Authentifizierung auf Computerebene durchgeführt werden.

Benutzernamen und Kennwörter dürfen nicht für die Authentifizierung verwendet werden.
Sie müssen sicherstellen, dass die VPN-Verbindungen zwischen der Hauptgeschäftsstelle und den
Zweigstellen den Anforderungen der Firmensicherheitsrichtlinien entsprechen.
Wie gehen Sie vor?
A. Konfigurieren Sie IPSec Verbindungen im Tunnelmodus. Verwenden Sie für die Authentifizierung einen
vorinstallierten Schlüssel (Preshared Key, PSK).
B. Konfigurieren Sie Point-to-Point Tunneling Protokoll (PPTP) Verbindungen. Verwenden Sie das Microsoft
Challenge Handshake Authentication Protokoll Version 2 (MS-CHAP v2) für die Authentifizierung.
C. Konfigurieren Sie Layer Two Tunneling Protocol / Internet Protocol Security (L2TP/IPSec) Verbindungen.
Verwenden Sie Extensible Authentication Protocol Transport Layer Security (EAP-TLS) für die
Authentifizierung.
D. Konfigurieren Sie Layer Two Tunneling Protocol / Internet Protocol Security (L2TP/IPSec) Verbindungen.
Verwenden Sie das Microsoft Challenge Handshake Authentication Protokoll Version 2 (MS-CHAP v2) für
die Authentifizierung.
Answer: C
Erläuterungen:
Bei Verwendung des Extensible-Authentication-Protokolls (EAP) wird eine RAS-Verbindung durch einen
zufälligen Authentifizierungsmechanismus authentifiziert. Das genaue Authentifizierungsschema, das
verwendet werden soll, wird vom RAS-Client und dem Authentifikator (entweder ein RAS-Server oder ein
RADIUS-Server) ausgehandelt. In Routing und RAS wird EAP-TLS standardmäßig unterstützt. Auf dem
Server, auf dem Routing und RAS ausgeführt wird, können andere EAP-Module als Plug-In verwendet
werden, um weitere EAP-Methoden bereitzustellen.
EAP ermöglicht eine erweiterbare Kommunikation zwischen dem RAS-Client und dem Authentifikator. Diese
Kommunikation umfasst Authentifizierungsinformationsanforderungen des Authentifikators sowie die
Antworten des RAS-Clients. Wenn EAP beispielsweise in Verbindung mit Sicherheitstokenkarten verwendet
wird, kann der Authentifikator vom RAS-Client einzeln einen Namen, eine PIN-Nummer und einen
Kartentokenwert anfordern. Durch die Beantwortung der einzelnen Anforderungen durchläuft der RAS-Client
verschiedene Authentifizierungsstufen. Wenn alle Fragen zufriedenstellend beantwortet wurden, gilt der
RAS-Client als authentifiziert.
Ein EAP-Authentifizierungsschema wird als EAP-Typ bezeichnet. Der RAS-Client und der Authentifikator
müssen denselben EAP-Typ unterstützen, damit eine Authentifizierung erfolgen kann.
EAP-TLS (EAP Transport Level Security) ist ein EAP-Typ, der in zertifikatbasierten Sicherheitsumgebungen
verwendet wird. Wenn Sie Smartcards für die RAS-Authentifizierung verwenden, müssen Sie die EAP-TLSSeite 3 von 209
MS 70-649
22.12.2009
Authentifizierungsmethode verwenden. Der EAP-TLS-Nachrichtenaustausch ermöglicht die gegenseitige
Authentifizierung, die Aushandlung der Verschlüsselungsmethode sowie die Ermittlung des verschlüsselten
Schlüssels zwischen RAS-Client und Authentifikator. EAP-TLS stellt die stärkste Authentifizierungs- und
Schlüsselermittlungsmethode dar.
EAP-TLS wird nur auf Servern unterstützt, auf denen Routing und RAS ausgeführt wird. Darüber hinaus
müssen sie für die Verwendung der Windows-Authentifizierung oder von RADIUS konfiguriert und Mitglied
einer Domäne sein. Auf einem RAS-Server, der als eigenständiger Server oder als Mitglied einer
Arbeitsgruppe ausgeführt wird, wird EAP-TLS nicht unterstützt.
005. Sie sind Administrator bei Contoso. Contoso hat den Netzwerkzugriffsschutz (Network Access
Protection, NAP) mit den Standardeinstellungen für das Firmennetzwerk konfiguriert.
Sie verteilen eine Anwendung an Clientcomputer, auf denen Windows Vista ausgeführt wird. Die
Anwendung stellt eine Verbindung mit einem entfernten Datenbankserver her. Der Start der neuen
Anwendung schlägt fehl. Sie stellen fest, dass die Antispyware Software auf den Clientcomputern nicht mit
der neuen Anwendung kompatibel ist.
Sie deaktivieren die Antispyware Software auf den Clientcomputern. Die neue Anwendung kann jedoch nach
wie vor nicht gestartet werden.
Sie müssen sicherstellen, dass die neue Anwendung auf allen Clientcomputern verwendet werden kann.
Wie gehen Sie vor?
A. Deaktivieren Sie im Dialogfenster Windows-Sicherheitsintegritätsprüfung die Option
Antispywareanwendung ist aktiviert.
B. Deaktivieren Sie im Dialogfenster Windows-Sicherheitsintegritätsprüfung die Option
Antispywareanwendung ist aktuell.
C. Konfigurieren Sie in den Eigenschaften der Windows-Sicherheitsintegritätsverifizierung die
Fehlercodeauflösung für die Option SHA reagiert nicht auf NAP-Client mit dem Wert Kompatibel.
D. Legen Sie den Starttyp für den Dienst Windows-Defender auf den Clientcomputern mit Manuell fest.
Führen Sie anschließend einen Neustart des Dienstes Windows-Defender durch.
Answer: A
Erläuterungen:
Der Netzwerkzugriffsschutz führt eine fortlaufende Kontrolle der Clientcomputer durch und stellt sicher, dass
die Antispywareanwendung automatisch wieder eingeschaltet wird, wenn Sie durch einen Administrator
manuell deaktiviert wird. Wenn dies nicht möglich ist, erhält der Clientcomputer standardmäßig nur noch
eingeschränkten Zugriff auf das Netzwerk.
Systemintegritätsprüfungen (System Health Validators, SHVs) sind das Serversoftwaregegenstück zu
Systemintegritäts-Agents (System Health Agents, SHAs). Für jeden SHA auf dem Client gibt es eine
entsprechende SHV im Netzwerkrichtlinienserver (Network Policy Server, NPS). NPS überprüft mithilfe von
SHVs das SoH (Statement of Health), das vom entsprechenden SHA auf dem Clientcomputer erstellt wird.
SHVs enthalten die Details der erforderlichen Konfigurationseinstellungen auf Clientcomputern.
Beispielsweise ist die Windows-Sicherheitsintegritätsprüfung (Windows Security Health Validator, WSHV)
das Gegenstück zum Windows-Sicherheitsintegritäts-Agent (Windows Security Health Agent, WSHA) auf
Clientcomputern. Mit WSHV können Sie eine Richtlinie dafür erstellen, wie Einstellungen auf NAP-fähigen
Clientcomputern konfiguriert werden müssen. Falls die Einstellungen auf dem Clientcomputer gemäß des
Berichts im SoH nicht mit den Einstellungen in der SHV auf dem Netzwerkrichtlinienserver übereinstimmen,
ist der Clientcomputer nicht mit der Integritätsrichtlinie konform.
Domäne mit dem Namen Contoso.de. Das Unternehmen verwendet den Netzwerkzugriffsschutz (NAP) und
die Active Directory-Zertifikatsdienste (AD CS).
Sie konfigurieren neue tragbare Computer mit einer drahtlosen Netzwerkverbindung für das
Unternehmensnetzwerk. Die tragbaren Computer werden PEAP-MS-CHAP v2 für die Authentifizierung
verwenden.
Seite 4 von 209
MS 70-649
22.12.2009
Sie müssen sicherstellen, dass die Benutzer ihre Computer nach einem Neustart zur Domäne hinzufügen
können.
Wie gehen Sie vor?
A. Führen Sie auf allen tragbaren Computern den Befehl netsh wlan export profile aus.
B. Konfigurieren Sie auf allen tragbaren Computern ein Bootstrap Wireless Profile.
C. Konfigurieren Sie eine neue Drahtlosnetzwerkrichtlinie in einem Gruppenrichtlinienobjekt (GPO).
Aktivieren Sie die Option Automat. Windows-WLAN-Konfigurationsdienst für Clients verwenden.
D. Konfigurieren Sie eine neue Richtlinie für verkabelte Netzwerke in einem Gruppenrichtlinienobjekt (GPO).
Aktivieren Sie die Option Windows-Dienst für automatische Konfiguration verkabelter Netzwerke für Clients
verwenden.
Answer: B
Erläuterungen:
Clientcomputer auf denen Windows Vista ausgeführt wird, können ein temporäres Drahtlosnetzwerkprofil
(Bootstrap Wireless Profile) verwenden, um Zugriff auf ein geschütztes Netzwerk zu erlangen und einer
Active Directory Domäne beizutreten. Der Benutzer wird aufgefordert manuell seine Domänenbenutzerdaten
einzugeben. Es wird eine manuelle PEAP-MS-CHAP v2 Authentifizierung durchgeführt. Das Zertifikat des
RADIUS Servers wird in diesem Fall nicht geprüft.
In Windows Server 2003 und Windows XP gilt aktuell die Empfehlung von Microsoft, den IPsec-Schutz nicht
zu verwenden, um den Verkehr zwischen Domänencontrollern und Mitgliedercomputern zu schützen (der
Schutz des Verkehrs zwischen Domänencontrollern wird jedoch empfohlen). Dies liegt daran, dass die
IPsec-Richtlinienkonfiguration aufgrund der verschiedenen Verkehrstypen, die zwischen
Domänenmitgliedern und Domänencontrollern gesendet werden, äußerst komplex werden kann. Außerdem
besteht ein Bootstrap-Problem bei Beitritt zu einer Domäne. Wenn der Domänencontroller IPsecgeschützten Verkehr von Computern erfordert, die domänenbasierte Anmeldeinformationen für die
Authentifizierung angeben müssen, können Computer, die nicht Mitglieder der Domäne sind, keinen
Domänencontroller kontaktieren, um der Domäne beizutreten.
Windows Server 2008 und Windows Vista unterstützen den Schutz von Verkehr zwischen
Domänenmitgliedern und Domänencontrollern in folgenden Bereitstellungsmodi:

Aufgrund des neuen Aushandlungsverhaltens müssen für Domänencontroller keine Ausnahmen
mehr konfiguriert werden, wodurch die IPsec-Richtlinie und die Bereitstellung des IPsec-Schutzes in
einer Domäne vereinfacht werden.

Die IPsec-Richtlinie der Domäne kann so konfiguriert werden, dass geschützter Verkehr zwar
angefordert wird, jedoch nicht erforderlich ist.

Domänencontroller schützen den größten Teil des Verkehrs mit Domänenmitgliedern, gestatten
jedoch unverschlüsselte Kommunikation für Domänenbeitritte und andere Verkehrstypen.

Die IPsec-Richtlinie kann so konfiguriert werden, dass für Domänencontroller geschützter Verkehr
erforderlich ist.
Wenn ein Computer mit Windows Server 2008 oder Windows Vista versucht, der Domäne beizutreten, wird
der Benutzer aufgefordert, den Benutzernamen und das Kennwort eines Domänenbenutzerkontos
anzugeben. IPsec mit dem Domänencontroller wird mithilfe von Windows NT/LAN Manager Version 2(NTLM v2-)Benutzeranmeldinformationen für einen geschützten Domänenbeitritt ausgehandelt. Diese neue
Verhalten ist lediglich für Domänenmitgliedercomputer, auf denen entweder Windows Vista oder Windows
Server 2008, und für Domänencontroller verfügbar, auf denen Windows Server 2008 ausgeführt wird.
007. Sie sind Administrator bei Contoso. Das Unternehmen betreibt ein IPv6 Netzwerk mit 25 Segmenten.
Sie installieren Windows Server 2008 auf einem neuen Computer mit dem Namen Server1.
Sie müssen sicherstellen, dass Server1 mit allen Systemen in allen Segmenten des IPv6 Netzwerks
kommunizieren kann.
Seite 5 von 209
MS 70-649
22.12.2009
Wie gehen Sie vor?
A. Konfigurieren Sie Server1 mit der IPv6 Adresse fd00::2b0:d0ff:fee9:4143/8.
B. Konfigurieren Sie Server1 mit der IPv6 Adresse fe80::2b0:doff:fee9:4143/64.
C. Konfigurieren Sie Server1 mit der IPv6 Adresse ff80::2b0:d0ff:fee9:4143/64.
D. Konfigurieren Sie Server1 mit der IPv6 Adresse 0000::2b0:d0ff:fee9:4143/64.
Answer: A
Erläuterungen:
Standardmäßig bilden die ersten 64Bit einer IPv6 Adresse die NetzwerkID. Die letzten 64Bit der Adresse
stehen für die Adressierung der Hosts zur Verfügung. Aus dem Aufgabentext geht hervor, dass das
Netzwerk in mehrere Segmente (Subnetze) unterteilt ist. Die IPv6 Adresse aus Antwort A weicht von der
Standard-Subnetzpräfixlänge ab und ermöglicht damit die Konfiguration von Subnetzen.
Es gibt verschiedene IPv6-Adressen mit Sonderaufgaben und unterschiedlichen Eigenschaften. Diese
werden durch die ersten Bits der Adresse, das Präfix, signalisiert:

::/128 (128 0-Bits) ist die undefinierte Adresse, ähnlich der 0.0.0.0 in IPv4

::1/128 (127 0-Bits, 1 1-Bit) ist die Adresse des eigenen Standortes (localhost, loopback).

fe80::/10 (fe80… bis febf…) sind so genannte linklokale Adressen (link local unicast addresses)
Diese sollen von Routern nicht weitergeleitet werden und sind daher nur im gleichen Teilnetz erreichbar.
Interessant werden sie bei der Autokonfiguration.

fec0::/10 (fec0… bis feff…) waren die Nachfolger der privaten IP-Adressen (beispielsweise
192.168.x.x).
Sie durften nur innerhalb der gleichen Organisation geroutet werden. Man nannte sie auch site-local
(standortlokal). Diese Adressen sind nach RFC 3879 inzwischen veraltet (engl. deprecated) und werden aus
zukünftigen Standards möglicherweise verschwinden. Neue Implementationen müssen diesen
Adressbereich als Global-Unicast-Adressen behandeln.
Die Nachfolger sind wohl die Unique Local Addresses RFC 4193 mit dem Präfix fc00::/7, mehr dazu siehe
unten.

ff00::/8 (ff…) stehen für Multicast-Adressen.
Nach dem Multicast-Präfix folgen 4 Bits für Flags und 4 Bits für den Gültigkeitsbereich (Scope). Für die Flags
sind zurzeit folgende Kombinationen gültig:

0: Permanent definierte wohlbekannte Multicast-Adressen

1: (T-Bit gesetzt) Transient (vorübergehend) oder dynamisch zugewiesene Multicast-Adressen

3: (P-Bit gesetzt, erzwingt das T-Bit) Unicast-Prefix-based Multicast-Adressen (RFC 3306)

7: (R-Bit gesetzt, erzwingt P- und T-Bit) Multicast-Adressen, welche die Adresse des Rendezvous
Point enthalten (RFC 3956)
Die folgenden Gültigkeitsbereiche sind definiert:

1: interfacelokal, diese Pakete verlassen die Schnittstelle nie. (Loopback)

2: linklokal, werden von Routern grundsätzlich nie weitergeleitet und können deshalb das Teilnetz
nicht verlassen.

4: adminlokal, der kleinste Bereich, dessen Abgrenzung in den Routern speziell administriert werden
muss

5: sitelokal, dürfen zwar geroutet werden, jedoch nicht von Border-Routern.
Seite 6 von 209
MS 70-649
22.12.2009

8: organisationslokal, die Pakete dürfen auch von Border-Routern weitergeleitet werden, bleiben
jedoch „in der Firma“ (hierzu müssen seitens des Routing-Protokolls entsprechende Vorkehrungen
getroffen werden).

e: globaler Multicast, der überall hin geroutet werden darf.

0, 3, f: reservierte Bereiche

die restlichen Bereiche sind nicht zugewiesen und dürfen von Administratoren benutzt werden, um
weitere Multicast-Regionen zu definieren [2].
Beispiele für wohlbekannte Multicast-Adressen

ff01::1, ff02::1: All Nodes Adressen. Entspricht dem Broadcast.

ff01::2, ff02::2, ff05::2: All Routers Adressen, adressiert alle Router in einem Bereich.
Alle anderen Adressen gelten als Global Unicast Adressen. Von diesen sind jedoch bisher nur die folgenden
Bereiche zugewiesen:

::/96 (96 0-Bits) stand für IPv4-Kompatibilitätsadressen, welche in den letzten 32 Bits die IPv4Adresse enthielten (dies galt nur für globale IPv4 Unicast-Adressen). Diese waren für den Übergang
definiert, jedoch im RFC 4291 vom Februar 2006 für veraltet (engl. deprecated) erklärt.

0:0:0:0:0:FFFF::/96 (80 0-Bits, gefolgt von 16 1-Bits) steht für IPv4 mapped (abgebildete) IPv6
Adressen. Die letzten 32 Bits enthalten die IPv4-Adresse. Ein geeigneter Router kann diese Pakete
zwischen IPv4 und IPv6 konvertieren und so die neue mit der alten Welt verbinden.

2000::/3 (Bitfolge 001…, auch 2… und 3…) stehen für die von der IANA vergebenen globalen
Unicast-Adressen, also routbare und weltweit einzigartige Adressen.

2001-Adressen werden an Provider vergeben, die diese dann wieder an ihre Kunden verteilen.

2002-Präfixe deuten auf Adressen des Tunnelmechanismus 6to4 hin.

3ffe:0000-Adressen wurden für das Testnetzwerk 6Bone benutzt.

fc00::/7 (fc… und fd…) sind Unique Local Adressen (RFC 4193).
2008 installiert.
Das Unternehmen verwendet eine Unternehmenszertifizierungsstelle (CA). Die Firmensicherheitsrichtlinien
erfordern, dass Informationen über gesperrte Zertifikate bereitgestellt werden.
Sie müssen eine hochverfügbare Lösung für die Bereitstellung von Informationen über gesperrte Zertifikate
implementieren.
Wie gehen Sie vor?
A. Implementieren Sie einen Online-Responder für die OCSP (Online Certificate Statusprotokoll)
Gültigkeitsprüfung und Sperrüberprüfung in einem Cluster für den Netzwerklastenausgleich (NLB).
B. Veröffentlichen Sie einen Online-Responder für die OCSP (Online Certificate Statusprotokoll)
Gültigkeitsprüfung und Sperrüberprüfung über ein Internet Security and Acceleration (ISA) Server Array.
C. Verwenden Sie ein Gruppenrichtlinienobjekt (GPO) und veröffentlichen Sie eine Liste der
vertrauenswürdigen Zertifizierungsstellen in der Domäne.
D. Erstellen Sie ein neues Gruppenrichtlinienobjekt (GPO), dass es den Benutzern ermöglicht,
Stammzertifikaten von anderen Organisationen zu vertrauen. Verknüpfen Sie das GPO mit der Domäne.
Answer: A
Erläuterungen:
Seite 7 von 209
MS 70-649
22.12.2009
Ein Online-Responder ist ein vertrauenswürdiger Server, der einzelne Clientanforderungen nach
Informationen über den Status eines Zertifikats empfängt und beantwortet.
Die Verwendung von Online-Respondern stellt eine von zwei gängigen Methoden dar, um Informationen zur
Gültigkeit von Zertifikaten bereitzustellen. Anders als bei Zertifikatsperrlisten (Certificate Revocation Lists,
CRLs), die regelmäßig verteilt werden und Informationen zu allen Zertifikaten enthalten, die gesperrt oder
ausgesetzt wurden, werden von einem Online-Responder ausschließlich einzelne Clientanforderungen nach
Informationen zum Status eines Zertifikats empfangen und beantwortet. Die pro Anforderung abgerufene
Datenmenge bleibt unabhängig von der Anzahl der gesperrten Zertifikate stets konstant.
Oft können mit Online-Respondern Zertifikatstatusanforderungen effizienter verarbeitet werden als mit
Zertifikatsperrlisten. Beispiel:

Clients, die von einem Remotestandort ausgehend eine Verbindung mit dem Netzwerk herstellen
und die erforderliche Hochgeschwindigkeitsverbindung zum Herunterladen von großen
Zertifikatsperrlisten nicht benötigen oder zur Verfügung haben.

Ein Netzwerk muss mit Spitzenaktivitäten bei der Überprüfung der Sperrlisten umgehen, z. B. wenn
sich eine große Anzahl von Benutzern gleichzeitig anmeldet oder signierte E-Mails sendet.

Eine Organisation benötigt ein effizientes Mittel, um Sperrdaten für Zertifikate zu verteilen, die von
einer Zertifizierungsstelle eines Drittanbieters ausgestellt wurden.

Eine Organisation möchte nur die Sperrüberprüfungsdaten bereitstellen, die für die Überprüfung
einzelner Zertifikatstatusanforderungen benötigt werden, und nicht Informationen zu allen gesperrten
oder ausgesetzten Zertifikaten.
2008 installiert. Auf 10 Servercomputern ist die Rolle Webserver (IIS) installiert.
Alle vertraulichen Dateien befinden sich auf einem Server mit dem Namen FSS1. Die
Firmensicherheitsrichtlinien schreiben vor, dass vertrauliche Daten nur verschlüsselt über das Netzwerk
übertragen werden dürfen.
Sie verschlüsseln die Dateien mit Hilfe des verschlüsselnden Dateisystems (Encrypting File System, EFS).
Anschließend nehmen Sie die EFS Zertifikate der Benutzer, die Zugriff auf die Dateien benötigen, in das
Data Decryption Field (DDF) der Dateien auf.
Bei einer Analyse des Netzwerkverkehrs stellen Sie fest, dass die auf FSS1 gespeicherten Dateien
unverschlüsselt über das Netzwerk übertragen werden.
Sie müssen sicherstellen, dass die vertraulichen Dateien immer verschlüsselt über das Netzwerk übertragen
werden.
Welche zwei Möglichkeiten stehen Ihnen für das Erreichen Ihres Ziels zur Verfügung? (Jede korrekte
Antwort stellt eine vollständige Lösung dar. Wählen Sie zwei Antworten.)
A. Deaktivieren Sie auf FSS1 die Authentifizierungsmethoden Lan Manager (LM) und NT Lan Manager
(NTLM).
B. Verwenden Sie die Internetinformationsdienste (IIS) für die Veröffentlichung der vertraulichen Dateien und
aktivieren Sie die Secure Socket Layer (SSL) Verschlüsselung. Weisen Sie die Benutzer an, das Verzeichnis
mit den vertraulichen Dateien als Webordner zu öffnen.
C. Implementieren Sie die IPSec Verschlüsselung für Verbindungen zwischen FSS1 und den
Clientcomputern der Benutzer, die Zugriff auf die vertraulichen Dateien benötigen.
D. Konfigurieren Sie die Server Message Block (SMB) Paketsignatur für Verbindungen zwischen FSS1 und
den Clientcomputern der Benutzer, die Zugriff auf die vertraulichen Dateien benötigen.
E. Machen Sie die vertraulichen Dateien auf den Computern der Benutzer, die den Zugriff benötigen, offline
verfügbar. Aktivieren Sie die Option Inhalt verschlüsseln in den Einstellungen für die Offlinedateien.
Seite 8 von 209
MS 70-649
22.12.2009
Answer: B,C
Erläuterungen:
Das verschlüsselnde Dateisystem (Encrypting File System, EFS) ist eine Dateiverschlüsselungstechnologie
zum Speichern verschlüsselter Dateien auf Volumes mit dem Dateisystem NTFS. Verschlüsselte Dateien
können nicht verwendet werden, sofern der Benutzer keinen Zugriff auf die erforderlichen Schlüssel zum
Entschlüsseln der Daten hat.
Die Verschlüsselung erfolgt für den Benutzer, der die Datei verschlüsselt, unbemerkt. Das bedeutet, dass
Sie die verschlüsselte Datei nicht manuell entschlüsseln müssen, bevor Sie sie verwenden können. Sie
können die Datei wie gewohnt öffnen und ändern. Nachdem Sie eine Datei oder einen Ordner einmal
verschlüsselt haben, arbeiten Sie damit wie mit jeder anderen Datei bzw. jedem Ordner.
EFS ähnelt der Verwendung von Berechtigungen für Dateien und Ordner. Mit beiden Methoden können Sie
den Zugriff auf Daten einschränken. Ein Eindringling, der sich unautorisierten physischen Zugriff auf Ihre
verschlüsselten Dateien verschafft, wird jedoch davon abgehalten, diese zu lesen. Wenn der Eindringling
versucht, die verschlüsselte Datei oder den Ordner zu öffnen oder zu kopieren, wird ihm der Zugriff
verweigert. Berechtigungen für Dateien und Ordner schützen dagegen nicht vor unautorisiertem physischen
Zugriff.
Sie ver- und entschlüsseln einen Ordner oder eine Datei, indem Sie die Verschlüsselungseigenschaften
dafür festlegen. Dies geschieht ebenso wie bei anderen Attributen, z.B. für schreibgeschützte, komprimierte
oder versteckte Dateien. Wenn Sie einen Ordner verschlüsseln, werden alle in darin enthaltenen Dateien
und Unterordner automatisch verschlüsselt. Es wird empfohlen, die Verschlüsselung auf Ordnerebene
durchzuführen. Sie können eine Datei oder einen Ordner auch mit dem Befehl Cipher ver- oder
entschlüsseln.
Bei der Arbeit mit verschlüsselten Dateien und Ordnern sollten Sie folgende Punkte bedenken:

Sie können nur Dateien und Ordner auf NTFS-Volumes verschlüsseln. Allerdings können Sie
WebDAV (Web Distributed Authoring and Versioning) verwenden, um Dateien in verschlüsselter
Form zu übertragen. WebDAV funktioniert auch zusammen mit NTFS.

Komprimierte Dateien und Ordner können nicht verschlüsselt werden. Dateien oder Ordner, die ein
Benutzer zur Verschlüsselung kennzeichnet, werden dekomprimiert.

Verschlüsselte Dateien, die Sie auf ein Nicht-NTFS-Volume kopieren, werden entschlüsselt.

Unverschlüsselte Dateien, die in einen verschlüsselten Ordner verschoben werden, werden am
Zielort automatisch verschlüsselt. Beim umgekehrten Vorgang werden die Dateien aber nicht
automatisch entschlüsselt. Dateien müssen ausdrücklich entschlüsselt werden.

Dateien, die mit dem Systemattribut gekennzeichnet sind, und Dateien im Systemstammverzeichnis
können nicht verschlüsselt werden.

Die Verschlüsselung eines Ordners oder einer Datei schützt nicht vor einer Löschung oder vor dem
Auflisten der Dateien oder Verzeichnisse. Jeder, der über die entsprechenden Berechtigungen
verfügt, kann verschlüsselte Ordner und Dateien löschen und auflisten. Aus diesem Grund wird die
Kombination von EFS und NTFS-Berechtigungen empfohlen.

Sie können Dateien und Ordner auf einem Remotecomputer, auf dem die Remoteverschlüsselung
aktiviert ist, ver- und entschlüsseln. Die Daten, die bei diesem Vorgang über das Netzwerk
übertragen werden, werden unter dieser Windows-Version jedoch nicht verschlüsselt. Um die Datei
während der Übertragung über das Netzwerk zu verschlüsseln, müssen Sie andere Protokolle
verwenden, z.B. SSL/TLS (Secure Socket Layer/Transport Layer Security) oder IPsec (Internet
Protocol Security). (Wie im ersten Punkt beschrieben, können Sie auch WebDAV verwenden, um die
Datei in verschlüsselter Form zu übertragen.)
Domäne mit dem Namen Contoso.de. Das Unternehmen setzt einen Internet Security and Acceleration (ISA)
Server 2006 als Firewall ein.
Seite 9 von 209
MS 70-649
22.12.2009
Sie konfigurieren die Unterstützung für VPN-Verbindungen auf Basis des Point-to-Point Tunneling Protokolls
(PPTP), um den Benutzern den Zugriff auf das Firmennetzwerk zu ermöglichen.
Die Benutzer berichten Ihnen, dass sie bei dem Versuch eine Verbindung mit dem VPN-Server herzustellen,
eine Fehlermeldung erhalten. Die Fehlermeldung lautet: Fehler 721: Der Remotecomputer antwortet nicht.
Sie müssen sicherstellen, dass die Benutzer erfolgreich VPN-Verbindungen herstellen können.
Wie gehen Sie vor?
A. Öffnen Sie auf der Firewall Port 1423.
B. Öffnen Sie auf der Firewall Port 1723.
C. Öffnen Sie auf der Firewall Port 3389.
D. Öffnen Sie auf der Firewall Port 6000.
Answer: B
Erläuterungen:
Der Fehler 721 kann auftreten, wenn die Netzwerkfirewall keinen Generic Routing Encapsulating (GRE)
Datenverkehr (IP 47) zulässt. PPTP verwendet GRE für getunnelte Daten.
Um dieses Problem zu lösen, konfigurieren Sie die Netzwerkfirewall zwischen dem VPN-Client und dem
Server für das Zulassen von GRE. Stellen Sie zudem sicher, dass die Netzwerkfirewall TCP-Datenverkehr
an Port 1723 zulässt. Diese beiden Bedingungen müssen erfüllt sein, damit die VPN-Konnektivität mithilfe
von PPTP hergestellt werden kann.
2008 installiert.
Auf einem Domänencontroller mit dem Namen DC12 werden unternehmenskritische Dienste ausgeführt.
Sie führen eine Neustrukturierung der Organisationseinheiten (OU) durch und entfernen zahlreiche
überflüssige Objekte aus dem Active Directory. Sie wollen nun eine Offlinedefragmentierung der Active
Directory Datenbank auf DC12 durchführen. Sie müssen jedoch sicherstellen, dass die kritischen Dienste
auf DC12 online verfügbar bleiben.
Wie gehen Sie vor?
A. Starten Sie den Domänencontroller im Verzeichnisdienste-Wiederherstellungsmodus. Verwenden Sie das
Programm Defragmentierung.
B. Starten Sie den Domänencontroller im Verzeichnisdienste-Wiederherstellungsmodus. Verwenden Sie das
Befehlszeilenprogramm Ntdsutil.
C. Beenden Sie den Dienst Active Directory-Domänendienste mit Hilfe der Microsoft Management Konsole
(MMC) Dienste. Verwenden Sie das Programm Defragmentierung.
D. Beenden Sie den Dienst Active Directory-Domänendienste mit Hilfe der Microsoft Management Konsole
(MMC) Dienste. Verwenden Sie das Befehlszeilenprogramm Ntdsutil.
Answer: D
Erläuterungen:
Durch die Neustartmöglichkeit von AD DS können Sie AD DS anhalten und neu starten, ohne den
Domänencontroller selbst neu zu starten. Offlinevorgänge, beispielsweise die Offlinedefragmentierung,
können schneller ausgeführt werden, da der Domänencontroller nicht im VerzeichnisdiensteWiederherstellungsmodus neu gestartet werden muss.
Domäne mit dem Namen Contoso.de.
Das Netzwerk enthält einen Windows Server 2008 Domänencontroller. Der Server wird regelmäßig über das
Netzwerk von einem dedizierten Windows Server 2003 Sicherungsserver gesichert.
Ihr Vorgesetzter bittet Sie für die Notfallwiederherstellung eine zusätzliche Sicherung auf dem
Seite 10 von 209
MS 70-649
22.12.2009
Domänencontroller einzurichten, die unabhängig von der regelmäßigen Sicherung ausgeführt wird.
Sie versuchen die Systemstatusdateien auf dem Domänencontroller zu sichern. Es ist Ihnen jedoch nicht
möglich, das Sicherungsprogramm zu starten.
Sie müssen die Systemstatusdateien auf dem Windows Server 2008 Domänencontroller sichern.
Wie gehen Sie vor?
A. Nehmen Sie Ihr Benutzerkonto in die Sicherheitsgruppe Sicherungs-Operatoren auf.
B. Verwenden Sie den Server-Manager, um die Windows Server-Sicherungsfeatures zu installieren.
C. Verwenden Sie den Server-Manager, um das Feature Wechselmedien-Manager zu installieren.
D. Deaktivieren Sie den Sicherungsauftrag für die Sicherung des Windows Server 2008 Domänencontrollers
auf dem Windows Server 2003 Sicherungsserver.
Answer: B
Erläuterungen:
Das Feature Windows Server-Sicherung in Windows Server 2008 besteht aus einem MMC-Snap-In
(Microsoft Management Console) sowie Befehlszeilentools, die zusammen eine vollständige Lösung für
tägliche Sicherungs- und Wiederherstellungsaufgaben darstellen. Sie werden von vier Assistenten durch die
Ausführung der Sicherungen und Wiederherstellungen geleitet. Mit der Windows Server-Sicherung können
Sie einen vollständigen Server (alle Volumes), ausgewählte Volumes oder den Systemstatus sichern. Sie
können Volumes, Ordner, Dateien, bestimmte Anwendungen und den Systemstatus wiederherstellen. In
Notfällen, z. B. bei Festplattenausfall, können Sie zudem eine Systemwiederherstellung ausführen, mit der
das gesamte System auf einer neuen Festplatte wiederhergestellt wird. Dazu werden eine vollständige
Serversicherung und die Windows-Wiederherstellungsumgebung verwendet.
Mit der Windows Server-Sicherung können Sie Sicherungen für den lokalen Computer oder einen
Remotecomputer erstellen und verwalten. Außerdem können Sie die automatische Ausführung von
Sicherungen planen.
Gesamtstruktur. Auf allen Servercomputern ist das Betriebssystem Windows Server 2008 installiert.
Das Unternehmen plant den Einsatz einer neuen verteilten Anwendung, die eine benutzerdefinierte
Anwendungsverzeichnispartition mit dem Namen ResData verwendet.
Sie müssen die Replikation für die Anwendungsverzeichnispartition ResData konfigurieren.
Welche zwei Utilities können Sie für diesen Zweck verwenden? (Jede korrekte Antwort stellt eine
vollständige Lösung dar. Wählen Sie zwei Antworten.)
A. Dnscmd
B. Ntdsutil
C. Wbadmin
D. RacAgent
E. Regsvr32
Answer: A,B
Erläuterungen:
In Active Directory Lightweight Directory Services (AD LDS) werden Verzeichnisdaten in einem
hierarchischen, dateibasierten Verzeichnisspeicher gespeichert. Standardmäßig befindet sich der
Verzeichnisspeicher für eine bestimmte AD LDS-Instanz in der folgenden Datei: % ProgramFiles%\Microsoft
ADAM\Instanzname\data\adamntds.dit
Jede AD LDS-Instanz verfügt über einen separaten Verzeichnisspeicher. Bei jedem in AD LDS ausgeführten
Datenvorgang, z. B. bei Such- und Lesevorgängen, Importen, Exporten, Indizierung, Replikation,
Sicherungen und Wiederherstellungen, wird der AD LDS-Verzeichnisspeicher verwendet. Der
Verzeichnisspeicher ist in logische Verzeichnispartitionen unterteilt, die als Namenskontexte bezeichnet
Seite 11 von 209
MS 70-649
22.12.2009
werden.
Anwendungsverzeichnispartitionen enthalten die Daten, die von den Anwendungen verwendet werden. Sie
können eine Anwendungsverzeichnispartition in AD LDS-Setup oder jederzeit nach der Installation erstellen.
Abhängig von der Anwendung können Sie das Schema manuell erweitern oder automatisch durch die
Anwendung erweitern lassen. In der Regel verwalten Sie die Daten in einer bestimmten
Anwendungsverzeichnispartition durch die Anwendung. Nach dem Erstellen der
Anwendungsverzeichnispartition sind die Verweisobjekte für die Anwendungspartition in AD LDS in
CN=Partitions,CN=Configuration enthalten.
Der Replikationsbereich einer Verzeichnispartition kann mit den Befehlszeilenprogrammen Dnscmd und
Ntdsutil festgelegt und erweitert werden.
Falsche Antworten:
C: Wbadmin verwaltet Datensicherungen und führt Backups durch.
D: RacAgent stellt den Dienst für die Zuverlässigkeitsüberwachung dar. Die Zuverlässigkeitsüberwachung
erstellt Berichte über Systemstabilität. Sie zeigt detaillierte Informationen über Anwendungsinstallationen,
Anwendungsdeinstallationen, Betriebssystem-, Anwendungs- und Hardwarefehler sowie
Systemzeitänderungen an.
E: Das Hilfsprogramm Regsvr32 (Regsvr32.exe) kann verwendte werden, um OLE-Steuerelemente (OLE =
Object Linking and Embedding), wie zum Beispiel selbstregistrierende DLL-Dateien oder ActiveXSteuerelementdateien (OCX), zu registrieren oder aus der Registrierung zu entfernen.
014. Sie sind Administrator bei Contoso. Das Unternehmen hat eine Hauptgeschäftsstelle und fünf
Zweigstellen. Die Active Directory Gesamtstruktur besteht aus einer einzelnen Domäne, die mit vier
Standorten konfiguriert ist.
Die Domäne enthält einen Servercomputer auf dem die Rolle Active Directory-Zertifikatsdienste (AD CS)
installiert ist. Der Server ist als Unternehmensstammzertifizierungsstelle konfiguriert. Das Stammzertifikat
der Zertifizierungsstelle ist auf allen Computern der Domäne installiert.
Sie verteilen eine neue Anwendung auf alle Computer. Die Firmensicherheitsrichtlinien sehen vor, dass die
neue Anwendung ausschließlich das Lightweight Directory Access Protocol über Secure Sockets Layer
(LDAPS) verwenden darf.
Sie stellen fest, dass die Anwendung keine Verbindung mit einem globalen Katalogserver (GC) an einem
Remotestandort herstellen kann.
Sie müssen die Verbindung zwischen den Clientcomputern und dem globalen Katalogserver am
Remotestandort testen.
Wie gehen Sie vor?
A. Verwenden Sie das Programm Ldp.exe.
B. Verwenden Sie das Befehlszeilenprogramm Repadmin.exe.
C. Verwenden Sie die Konsole Zertifizierungsstelle.
D. Verwenden Sie die Konsole Active Directory-Standorte und -Dienste.
Answer: A
Erläuterungen:
Der LDAP-Browser Ldp.exe ist Bestandteil der Support Tools für Microsoft Windows XP Professional und
Windows Server 2003. In Windows Server 2008 ist das Programm bereits fest integriert. Um LDP.exe auf
Windows Vista Systemen zu verwenden, können die Support Tools von der Windows Server 2003 CD
installiert werden.
Bei der Verbindungsherstellung mit einem LDAP-Verzeichnis kann neben dem Servernamen auch der Port
festgelegt werden. Wenn die Option SSL aktiviert wird, versucht das Programm eine LDAPS Verbindung mit
dem Verzeichnisdienst herzustellen.
Domäne mit dem Namen Contoso.de. Sie installieren Windows Server 2008 Core Edition mit den
Seite 12 von 209
MS 70-649
22.12.2009
Standardeinstellungen auf einem neuen Servercomputer im Netzwerk.
Sie wollen nun den Namen des Servers ändern und ihn in die Domäne aufnehmen.
Welches Befehlszeilenprogramm werden Sie verwenden?
A. Netsh.exe
B. Netdom.exe
C. Ocsetup.exe
D. Oclist.exe
Answer: B
Erläuterungen:
Mit dem Befehlszeilenprogramm Netdom.exe ist es sowohl möglich den Servernamen zu ändern als auch
den Computer in eine Domäne aufzunehmen.
Umbenennen eines Computers:
netdom renamecomputer AlterName /newname:NeuerName
Hinzufügen zu einer Active Directory Domäne:
netdom join Computername /domain:Contoso.de /userD:administrator /passwordD:*
Falsche Antworten:
A: Das Befehlszeilenprogramm Netsh kann für die Konfiguration von Netzwerkeinstellungen, wie
beispielsweise das Ändern der IP-Adresse, verwendet werden.
C: Das Programm dient zur Installation von Serverrollen.
D: Oclist zeigt die installierten Serverrollen an.
Sie planen die Installation einer Active Directory Unternehmenszertifizierungsstelle (CA) auf einem
alleinstehenden Server.
Bei dem Versuch die Rolle Active Directory-Zertifikatdienste (AD CS) zu installieren, stellen Sie fest, dass
der Setuptyp Unternehmen nicht verfügbar ist.
Sie müssen auf dem Server eine Active Directory Unternehmenszertifizierungsstelle (CA) installieren.
Wie gehen Sie vor?
A. Aktivieren Sie die Rolle DNS-Server.
B. Aktivieren Sie die Rolle Active Directory-Domänendienste (AD DS).
C. Aktivieren Sie die Rolle Active Directory Lightweight Directory Services (AD LDS).
D. Aktivieren Sie die Rollen Webserver (IIS) und Active Directory-Zertifikatdienste (AD CS).
Answer: B
Erläuterungen:
Voraussetzung für den Installationstyp Unternehmen ist, das der Server Mitglied einer Domäne ist oder
selber über eine Kopie des Active Directory verfügt. Eine Unternehmenszertifizierungsstelle verwendet den
Verzeichnisdienst für das Ausstellen und Verwalten von Zertifikaten.
Sie installieren einen schreibgeschützten Domänencontroller (RODC) an einem Remotestandort. Der
Remotestandort bietet keine ausreichende physikalische Sicherheit für den Servercomputer.
Sie wollen den schreibgeschützten Domänencontroller ausschließlich mit Kennwörtern von nichtadministrativen Benutzerkonten auffüllen.
Seite 13 von 209
MS 70-649
22.12.2009
Wie gehen Sie vor?
A. Entfernen Sie alle Benutzerkonten mit administrativen Berechtigungen aus der Gruppe Zulässige RODCKennwortreplikationsgruppe.
B. Nehmen Sie alle Benutzerkonten mit administrativen Berechtigungen in die Gruppe Abgelehnte RODCKennwortreplikationsgruppe auf.
C. Konfigurieren Sie die Berechtigung Empfangen als – Verweigern für Benutzerkonten mit administrativen
Berechtigungen auf dem Register Sicherheit in den Eigenschaften des Computerkontos des
schreibgeschützten Domänencontrollers (RODC).
D. Erstellen Sie ein neues Gruppenrichtlinienobjekt (GPO) und konfigurieren Sie die
Kontosperrungsrichtlinien. Verknüpfen Sie das GPO mit dem Remotestandort. Bearbeiten Sie die
Sicherheitseinstellungen für das GPO und erteilen Sie der Gruppe Administratoren die Berechtigungen
Lesen – Zulassen und Gruppenrichtlinie übernehmen – Zulassen.
Answer: B
Erläuterungen:
Bei der Zwischenspeicherung von Anmeldeinformationen handelt es sich um das Speichern von Benutzeroder Computeranmeldeinformationen. Standardmäßig werden auf einem schreibgeschützten Windows
Server 2008-Domänencontroller (Read-Only Domain Controller, RODC) keine
Benutzeranmeldeinformationen oder Computeranmeldeinformationen gespeichert außer für das eigene
Computerkonto sowie für ein besonderes krbtgt-Konto für diesen RODC. Das Zwischenspeichern aller
anderen Anmeldeinformationen auf dem RODC muss ausdrücklich zugelassen werden.
Zur Unterstützung von RODC-Vorgängen wurden in Windows Server 2008-Active Directory-Domänen zwei
neue integrierte Gruppen aufgenommen. Bei diesen neuen integrierten Gruppen handelt es sich um die
Gruppe mit Domänen-RODC-Kennwortreplikationserlaubnis und die Gruppe ohne Domänen-RODCKennwortreplikationserlaubnis. Mithilfe dieser neuen Gruppen kann eine Standardliste zulässiger Objekte
sowie eine Standardliste verweigerter Objekte für die RODC-Kennwortreplikationsrichtlinie implementiert
werden.
Auf einem Windows Server 2008 Computer mit dem Namen VAN-LDS1 sind die Rollen Active DirectoryDomänendienste (AD DS) und Active Directory Lightweight Directory Services (AD LDS) installiert.
Die Daten einer AD LDS Instanz mit dem Namen LDS1 werden in der StandardAnwendungsverzeichnispartition gespeichert. Die Festplattenkonfiguration von VAN-LDS1 wird in der
Abbildung gezeigt (klicken Sie auf die Schaltfläche Zeichnung).
Sie stellen fest, dass die Active Directory Lightweight Directory Services (AD LDS) Datenbankdateien rapide
anwachsen.
Sie müssen die AD LDS Anwendungsverzeichnispartition auf Laufwerk D: verschieben.
Welche drei Aktionen werden Sie in geordneter Reihenfolge durchführen? (Die zur Auswahl stehenden
Aktionen werden in der Abbildung gezeigt. Klicken Sie auf die Schaltfläche Zeichnung.)
Seite 14 von 209
MS 70-649
22.12.2009
A. Reihenfolge: 1, 3, 6
B. Reihenfolge: 1, 4, 6
C. Reihenfolge: 2, 3, 5
D. Reihenfolge: 2, 4, 5
Answer: C
Erläuterungen:
Für Organisationen, die flexible Unterstützung für Anwendungen mit Active Directory-Aktivierung benötigen,
hat Microsoft Active Directory Lightweight Directory Services (AD LDS) entwickelt. AD LDS ist ein LDAPVerzeichnisdienst (Lightweight Directory Access-Protokoll).
AD LDS stellt Datenspeicherung und Datenabruf für verzeichnisfähige Anwendungen bereit. Dabei gelten
jedoch nicht die für Active Directory-Domänendienste (Active Directory Domain Services, AD DS)
erforderlichen Abhängigkeiten. AD LDS bietet eine ähnliche Funktionalität wie AD DS, erfordert jedoch nicht
die Bereitstellung von Domänen oder Domänencontrollern. Sie können mehrere Instanzen von AD LDS
gleichzeitig auf demselben Computer ausführen. Für jede AD LDS-Instanz wird dann ein eigenes Schema
verwaltet.
Bei einer AD-aktivierten Anwendung werden die dazugehörigen Daten in einem Verzeichnis statt (oder
zusätzlich) in einer Datenbank, einer Flatfile oder einer anderen Datenspeicherstruktur gespeichert. Vielen
Standardanwendungen liegt ebenso wie vielen benutzerdefinierten Anwendungen ein Entwurf mit Active
Directory-Aktivierung zugrunde. Beispiele für Anwendungstypen, für die häufig ein Entwurf mit Active
Directory-Aktivierung verwendet wird, sind CRM-Anwendungen (Customer Relationship Management),
Personalverwaltungsanwendungen sowie globale Adressbuchanwendungen.
Verzeichnisdienste (wie AD LDS) bieten ebenso wie relationale Datenbanken Datenspeicherung und -abruf,
beide unterscheiden sich jedoch in ihrer Optimierung. Verzeichnisdienste sind hinsichtlich der Verarbeitung
von Lesevorgängen optimiert, relationale Datenbanken hinsichtlich der Transaktionsverarbeitung. Im
Allgemeinen sollten Sie das Implementieren eines Verzeichnisdiensts in Betracht ziehen, wenn eine
Anwendung häufiger Daten liest als schreibt. Das Implementieren einer relationalen Datenbank ist
Seite 15 von 209
MS 70-649
22.12.2009
empfehlenswert, wenn eine Anwendung häufiger Daten schreibt oder ändert als Daten liest.
Darüber hinaus bieten Verzeichnisdienste Vorteile wie z. B. eine verteilte Architektur (Multimasterentwurf,
Replikation und geografische Skalierbarkeit), Speicherung von Identitätsdaten, die von Anwendungen und
Plattformen im gesamten Unternehmen gemeinsam verwendet werden, ein flexibles Datenschema und
abgestimmte Zugriffsrichtlinien.
019. Sie sind Administrator bei Contoso. Die Firma hat 4 regionale Standorte. Sie installieren die WindowsBereitstellungsdienste (WDS) auf einem Windows Server 2008 Computer im Netzwerk.
Das Unternehmen hat insgesamt 16 verschiedene Abbilder, die für Standardinstallationen von
Clientcomputern verwendet werden. Sie stellen die Abbilder auf dem Server mit den WindowsBereitstellungsdiensten ein.
Eine Administratorin aus einer der Zweigstellen berichtet Ihnen, dass beim Start eines WDS-Clientcomputers
nicht alle Abbilder für ihren Standort im Bootmenü angezeigt werden.
Sie müssen sicherstellen, dass alle Administratoren alle Abbilder für ihren jeweiligen regionalen Standort
auswählen können.
Wie gehen Sie vor?
A. Erstellen Sie für jeden Standort eine Abbildgruppe mit den erforderlichen Abbildern und gewähren Sie nur
dem entsprechenden Standort die erforderlichen Zugriffsrechte für die Auswahl der Abbilder.
B. Erstellen Sie für jeden regionalen Standort eine globale Sicherheitsgruppe und ordnen Sie die
Computerkonten der entsprechenden Gruppe zu.
C. Erstellen Sie für jeden regionalen Standort eine Organisationseinheit (OU) und ordnen Sie die
Computerkonten der entsprechenden OU zu.
D. Stellen Sie alle Clientcomputer mit Hilfe des individuellen Global Unique Identifiers (GUID) vorab bereit
(Pre-Staging), um den zugehörigen regionalen Standort zu identifizieren.
Answer: A
Erläuterungen:
Die Liste der Einträge im Bootmenü ist auf maximal 13 Einträge beschränkt. Wir können für jeden Standort
eine Abbildgruppe erstellen und die Anzeige durch die Sicherheitsfilterung für jeden Standort auf die
entsprechende Abbildgruppe beschränken.
Eine Abbildgruppe ist eine Sammlung von WIM-Dateien mit gemeinsamen Dateiressourcen und
gemeinsamer Sicherheit. Für das Bearbeiten eines Abbilds innerhalb einer Abbildgruppe (beispielsweise
zum Anwenden eines Hotfixes oder eines Service Packs oder zum Aktualisieren von Dateien) ist exklusiver
Zugriff auf die gesamte Abbildgruppe erforderlich. Dateiressourcen sind innerhalb der Abbildgruppe
freigegeben (Einzelinstanz), obwohl die Metadaten jedes Abbilds sich in einer separaten physikalischen
WIM-Datei befinden.
Sie installieren die Windows-Bereitstellungsdienste (WDS) im Netzwerk. Anschließend zeichnen Sie auf
einem Referenzcomputer ein neues Abbild auf.
Sie verteilen das Abbild auf 300 Clientcomputer und stellen fest, dass alle Clientcomputer denselben Namen
erhalten.
Sie müssen sicherstellen, dass die Clientcomputer eindeutige Identitäten erhalten.
Wie gehen Sie vor?
A. Verwenden Sie die Konsole Windows-Bereitstellungsdienste und erstellen Sie eine neue Abbildgruppe.
Verteilen Sie das Abbild erneut auf die Clientcomputer.
B. Führen Sie an einer Befehlszeile auf dem Windows-Bereitstellungsserver den Befehl WDSUTIL /enable
aus. Verteilen Sie das Abbild erneut auf die Clientcomputer.
Seite 16 von 209
MS 70-649
22.12.2009
C. Führen Sie auf dem Referenzcomputer das Systemvorbereitungsprogramm Sysprep aus. Zeichnen Sie
ein neues Abbild auf und verteilen Sie das neue Abbild auf die Clientcomputer.
D. Konfigurieren Sie für das Verzeichnis, das die Abbilddateien enthält, die Berechtigung Lesen – Zulassen
für die Gruppe Authentifizierte Benutzer. Verteilen Sie das Abbild erneut auf die Clientcomputer.
Answer: C
Erläuterungen:
Das Systemvorbereitungstool (Sysprep) bereitet eine Installation von Windows für die Duplizierung,
Überwachung und Kundenauslieferung vor. Duplizierung, auch als Abbilderstellung bezeichnet, ermöglicht
Ihnen, ein benutzerdefiniertes Windows-Abbild zu erstellen, das Sie im gesamten Unternehmen wieder
verwenden können. Mithilfe des Überwachungsmodus können Sie einer Windows-Installation zusätzliche
Gerätetreiber oder Anwendungen hinzufügen. Nachdem Sie die zusätzlichen Treiber und Anwendungen
installiert haben, können Sie die Integrität der Windows-Installation testen. Mit Sysprep können Sie ein
Abbild vorbereiten, das an einen Kunden geliefert wird. Wenn der Kunde Windows startet, wird die WindowsWillkommensseite angezeigt.
Sysprep kann systemspezifische Daten wie beispielsweise die Sicherheits-ID (SID) oder den
Computernamen aus Windows entfernen.
021. Sie sind Administrator bei Contoso. Sie installieren die Windows-Bereitstellungsdienste (WDS) auf
einem Windows Server 2008 Computer mit dem Namen Server1.
Bei dem Versuch ein mehrteiliges Image auf den WDS-Server zu laden, erhalten Sie eine Fehlermeldung.
Das Hinzufügen des Abbildes schlägt fehl.
Sie müssen sicherstellen, dass das Abbild auf den Windows-Bereitstellungsserver geladen werden kann.
Wie gehen Sie vor?
A. Führen Sie das mehrteilige Abbild in einer neuen .wim Datei zusammen.
B. Erteilen Sie der Gruppe Authentifizierte Benutzer die Berechtigung Vollzugriff – Zulassen für das
Verzeichnis RemoteInstall.
C. Führen Sie den Befehl WDSUTIL /Convert aus.
D. Führen Sie für jede Datei des mehrteiligen Abbildes den Befehl WDSUTIL /Add-Image
/Imagefile:\\Server\Freigabe\Sources\Install.wim /ImageType:Install aus.
Answer: A
Erläuterungen:
Bei einem mehrteiligen Abbild (spanned Image) handelt es sich um Abbild, das bei der Erstellung mit dem
Befehl Imagex /split in mehrere Dateien aufgeteilt wurde. Wir können die Teile in einer neuen .wim Datei
zusammenführen. Hierzu kann der Befehl
ImageX /export source.wim 2 destination.wim "Neues Image"
verwendet werden.
022. Sie sind Administrator bei Contoso. Sie installieren Windows Server 2008 auf einem neuen Computer
mit dem Namen Server1. Sie führen 6 Treiber-Installationsprogramme von den zur Hardware gehörenden
CD-Roms aus.
Nach einem Neustart kann Server1 nicht korrekt gestartet werden. Es wird eine Fehlermeldung angezeigt,
die besagt, dass Windows nicht gestartet werden kann, da Dateien im Pfad
%systemroot%\System32\Config\System fehlen oder korrupt sind.
Sie müssen die Registrierungsdatenbank auf Server1 reparieren.
Wie gehen Sie vor?
A. Schalten Sie Server1 aus. Starten Sie Server1 von dem Windows Server 2008 Installationsmedium und
führen Sie eine Systemwiederherstellung durch.
Seite 17 von 209
MS 70-649
22.12.2009
B. Schalten Sie Server1 aus. Starten Sie Server1 von dem Windows Server 2008 Installationsmedium.
Starten Sie die Wiederherstellungskonsole und führen Sie den Befehl Fixboot aus.
C. Starten Sie Server1 im abgesicherten Modus und führen Sie den Befehl bootcfg mit den entsprechenden
Parametern an einer Befehlszeile aus.
D. Starten Sie Server1 im abgesicherten Modus und führen Sie den Befehl bcdedit mit den entsprechenden
Parametern an einer Befehlszeile aus.
Answer: A
Erläuterungen:
Das Serverbetriebssystem oder einen vollständigen Server können Sie mithilfe eines Windows SetupDatenträgers und einer zuvor mit Windows Server-Sicherung erstellten Sicherung wiederherstellen. Mit dem
Windows Setup-Datenträger können Sie auf die Seite Systemwiederherstellungsoptionen in der WindowsWiederherstellungsumgebung zugreifen. Auf manchen Computern können Sie möglicherweise auf die
Windows-Wiederherstellungsumgebung in einer Wiederherstellungspartition zugreifen. Sie können die
Windows-Wiederherstellungsumgebung auch lokal auf dem Server installieren, wenn Sie die Server so
konfigurieren möchten, dass bei einem Startfehler ein Failover auf die WindowsWiederherstellungsumgebung ausgeführt wird.
Sie stellen das Betriebssystem wieder her, indem Sie alle betriebswichtigen Volumes wiederherstellen.
Volumes ohne Systemkomponenten werden nicht wiederhergestellt. Sie stellen den vollständigen Server
wieder her, indem Sie alle Volumes wiederherstellen.
Wenn Sie eine Wiederherstellung des Betriebssystems oder eines vollständigen Servers ausführen, müssen
Sie Folgendes angeben:

Die zu verwendende Sicherung

Den Ort der Wiederherstellung

Ob Sie nur eine Wiederherstellung des Betriebssystems oder eine Wiederherstellung des gesamten
Servers ausführen möchten

Ob die Datenträger neu formatiert und neu partitioniert werden sollen
Zum Wiederherstellen des Betriebssystems oder eines vollständigen Servers sollten Sie zunächst wie folgt
vorgehen:

Installieren Sie Windows Server-Sicherung.

Wenn Sie auf einer neuen Festplatte wiederherstellen möchten, stellen Sie sicher, dass der
Datenträger mindestens so groß ist wie der Datenträger, auf dem sich die gesicherten Volumes
befanden. Die Größe dieser Volumes spielt dabei keine Rolle. Wenn beispielsweise während der
Sicherung nur ein Volume von 100 GB auf einem 1-TB-Datenträger vorhanden war, sollten Sie beim
Wiederherstellen einen Datenträger verwenden, der mindestens 1 TB groß ist.

Wenn Sie nur das Betriebssystem wiederherstellen, überzeugen Sie sich, dass Sie über eine
Sicherung verfügen, die zumindest die betriebswichtigen Servervolumes enthält. Wenn Sie den
Server vollständig wiederherstellen möchten, überzeugen Sie sich, dass Sie über eine Sicherung
verfügen, die alle Servervolumes enthält.

Stellen Sie sicher, dass Sie über einen Windows Setup-Datenträger für Windows Server 2008
verfügen.
Falsche Antworten:
B: Das Befehlszeilenprogramm fixboot schreibt einen neuen Partitions-Bootsektor auf das angegebene
Laufwerk. Standardmäßig wird das Systemlaufwerk verwendet.
C: Das Befehlszeilenprogramm bootcfg verwaltet die Einträge der boot.ini.
D: Das Befehlszeilenprogramm bcdedit verwaltet den Startkonfigurationsdatenspeicher (BCD Store), der
unter Windows Vista und Windows Server 2008 die Datei boot.ini ersetzt.
023. Sie sind Administrator bei Contoso. Das Firmennetzwerk enthält einen Windows Server 2008 Computer
Seite 18 von 209
MS 70-649
22.12.2009
mit dem Namen VS1. Auf VS1 wird Microsoft Virtual Server 2005 R2 ausgeführt. Der Server hostet 10
virtuelle Serversysteme.
Einer der virtuellen Server hat den Namen WinNT und führt eine Datenbankanwendung aus. Der Server wird
ausschließlich von einem bestimmten Administrator betreut. Der Administrator verwendet ein Benutzerkonto
mit dem Namen WinNT_Admin.
Sie planen, dem Benutzerkonto WinNT_Admin Zugriff für die Virtual Server-Standardtools auf VS1 zu
ermöglichen. Sie möchten jedoch sicherstellen, dass das administrative Konto ausschließlich den virtuellen
Server WinNT einsehen und verwalten kann.
Sie müssen VS1 entsprechend Ihrer Planung konfigurieren.
Welche zwei Schritte werden Sie durchführen? (Jede korrekte Antwort stellt einen Teil der Lösung dar.
Wählen Sie zwei Antworten.)
A. Öffnen Sie die Virtual Server-Verwaltungswebsite und stellen Sie eine Verbindung mit VS1 her.
Konfigurieren Sie den virtuellen Server WinNT, so dass er im Sicherheitskontext des Kontos WinNT_Admin
ausgeführt wird.
B. Öffnen Sie die Virtual Server-Verwaltungswebsite und stellen Sie eine Verbindung mit VS1 her.
Konfigurieren Sie die Virtual Server-Sicherheitseigenschaften und verweigern Sie dem Benutzerkonto
WinNT_Admin die Berechtigung Ändern.
C. Öffnen Sie die Virtual Server-Verwaltungswebsite und stellen Sie eine Verbindung mit VS1 her.
Konfigurieren Sie die Virtual Server-Sicherheitseigenschaften und erteilen Sie dem Benutzerkonto
WinNT_Admin die Berechtigungen Anzeigen und Ändern.
D. Konfigurieren Sie für alle Virtual Server-Konfigurationsdateien, außer für die Konfigurationsdatei des
virtuellen Server WinNT, die Berechtigung Lesen – Verweigern für das Benutzerkonto WinNT_Admin.
E. Konfigurieren Sie für alle Dateien der virtuellen Festplatten, außer für die virtuelle Festplatte des virtuellen
Server WinNT, die Berechtigung Lesen – Verweigern für das Benutzerkonto WinNT_Admin.
Answer: C,D
Erläuterungen:
Auf der Seite Virtual Server-Sicherheitseigenschaften der Virtual Server-Verwaltungswebsite können Sie
Berechtigungen für das Verwalten von Virtual Server konfigurieren. Sie können einen Berechtigungseintrag
für ein Benutzerkonto oder eine Gruppe hinzufügen und entsprechende Berechtigungen konfigurieren.
Außerdem können Sie die für einen bestehenden Berechtigungseintrag festgelegten Berechtigungen ändern
oder einen Berechtigungseintrag entfernen.
Über das Konfigurieren der Einstellungen auf dieser Seite können Sie Benutzern Zugriff auf bestimmte
Funktionen von Virtual Server erteilen. Standardmäßig haben beispielsweise alle Mitglieder der
Administratorengruppe Vollzugriff auf Virtual Server. Sie können jedoch zulassen, dass ein Mitglied
der Administratorengruppe Konfigurationseinstellungen anzeigen und ändern, aber keine
Berechtigungseinträge hinzufügen oder entfernen kann. Sie können dazu einen Berechtigungseintrag für
das Benutzerkonto der entsprechenden Person hinzufügen und diesem dann die Berechtigung zum Ändern
von Berechtigungen verweigern. Das Benutzerkonto behält dann alle Berechtigungen, die für die
Administratorengruppe zugelassen sind, mit Ausnahme der Berechtigung zum Ändern von
Berechtigungen.
Für jeden Berechtigungseintrag können Sie die in der folgenden Tabelle beschriebenen Berechtigungen
konfigurieren.
Element
Beschreibung
Vollständig
Aktivieren Sie das Kontrollkästchen für diese Berechtigung, um automatisch
alle anderen Berechtigungen auszuwählen.
Seite 19 von 209
MS 70-649
22.12.2009
Hinzufügen virtueller Computer und virtueller Netzwerke zu Virtual Server
sowie Vornehmen von Änderungen an den folgenden Seiten:
Ändern



Virtual Machine-Remotesteuerung (VMRC) Servereigenschaften
Virtual Server-Skripteinstellungen
Virtual Server-Suchpfade
Anzeigen
Lesen der Virtual Server-Konfigurationsinformationen und des
Virtual Server-Ereignisprotokolls sowie der Konfigurationsinformationen für
virtuelle Computer, für die Benutzer im entsprechenden Dateisystem
Leseberechtigungen besitzen. Benutzer dürfen auch virtuelle Computer, für
die sie die entsprechenden Berechtigungen besitzen, mit VMRC verwalten.
Entfernen
Entfernen des virtuellen Computers und der virtuellen
Netzwerkkonfigurationen von Virtual Server.
Berechtigungen ändern
Ändern von Berechtigungen auf der Seite Virtual ServerSicherheitseigenschaften.
Steuerelement
Zugreifen auf die COM-Schnittstellen (Component Object Model). Dadurch
können Benutzer Virtual Server mithilfe der COM-Schnittstelle oder der
Verwaltungswebsite verwalten. Diese Berechtigung ist für Benutzerkonten
oder Gruppen erforderlich, die administrativen Zugriff auf Virtual Server
haben sollen. Ohne diese Berechtigung sind Verwaltungswebsite und
COM-Schnittstelle nicht verfügbar. Wurde einem Benutzerkonto oder einer
Gruppe Berechtigungen für die VMC-Datei (Virtual Machine Configuration,
Konfiguration des virtuellen Computers) erteilt, kann das Benutzerkonto
bzw. die Gruppe den virtuellen Computer mithilfe des VMRC-Clients und
nicht über die Verwaltungswebsite verwalten.
Gibt an, ob für den Virtual Server-Ordner spezielle Berechtigungen
Sonderberechtigungen konfiguriert wurden. Sie können dieses Kontrollkästchen nicht aktivieren
oder deaktivieren.
In den meisten Fällen ist es nicht notwendig, die Standardberechtigungen für Systemkonten zu ändern.
Sollte es doch erforderlich sein, sollten Sie diese durch das Konfigurieren der DACL im Dateisystem ändern.
Durch die von Ihnen auf dieser Seite konfigurierten Berechtigungen wird die freigegebene
Zugriffssteuerungsliste (Discretionary Access ControlList, DACL) für den Virtual Server-Ordner geändert.
Dieser befindet sich standardmäßig in C:\Dokumente und Einstellungen\Alle
Benutzer\Anwendungsdaten\Microsoft. Sie können diese Berechtigungen zwar durch das Ändern
der DACL direkt im Dateisystem konfigurieren, sollten dazu aber diese Seite verwenden. Wenn Sie die
DACL direkt konfigurieren, müssen Sie den Virtual Server-Dienst nämlich neu starten, damit die
Einstellungen wirksam werden. Dies gilt jedoch nicht für das Konfigurieren von Berechtigungen für virtuelle
Computer, virtuelle Netzwerke und virtuelle Disketten. Für diese Dateien können Sie DACLs direkt im
Dateisystem konfigurieren.
Die Berechtigungen, die Sie auf dieser Seite konfigurieren, gelten für den Virtual Server-Ordner
sowie die darin enthaltenen Unterordner und Dateien. Darüber hinaus gelten diese Berechtigungen auch für
den Standardkonfigurationsordner des virtuellen Computers, auch wenn dieser nicht im Virtual ServerOrdner enthalten ist. Der Ordner ist auf der Seite Virtual Server-Suchpfade der Verwaltungswebsite
angegeben. Auf dieser Seite werden nur Berechtigungen für Benutzerkonten und Gruppen angezeigt. Es
werden keine Berechtigungen für Systemkonten, wie dem lokalen Systemkonto, angezeigt. Auf diese Weise
wird verhindert, dass Benutzer der Seite versehentlich Berechtigungen für Systemkonten löschen oder
ändern, die für das einwandfreie Ausführen von Virtual Server wichtig sind.
024. Sie sind Administrator bei Contoso. Das Firmennetzwerk besteht aus einer Active Directory
Gesamtstruktur mit sechs Domänen und 15 Standorten. Auf allen Servercomputern ist das Betriebssystem
Windows Server 2008 installiert.
Seite 20 von 209
MS 70-649
22.12.2009
Das Unternehmen möchte eine neue verteilte Anwendung einsetzen, die eine eigene
Anwendungsverzeichnispartition mit dem Namen ResData für die Datenreplikation verwendet. Die
Anwendung wird in fünf Standorten jeweils auf einem Mitgliedsserver installiert.
Sie müssen die fünf Mitgliedsserver konfigurieren und sicherstellen, dass die
Anwendungsverzeichnispartition ResData auf diese Server repliziert wird.
Wie gehen Sie vor?
A. Führen Sie auf den fünf Mitgliedsservern den Assistenten zum Installieren von Active DirectoryDomänendienste (Dcpromo) aus.
B. Führen Sie auf den fünf Mitgliedsservern den Befehl Regsvr32 aus.
C. Führen Sie auf den fünf Mitgliedsservern den Befehl Wbadmin aus.
D. Führen Sie auf den fünf Mitgliedsservern das Utility RacAgent aus.
Answer: A
Erläuterungen:
Verzeichnisspeicher für eine bestimmte AD LDS-Instanz in der folgenden Datei:
% ProgramFiles%\Microsoft ADAM\Instanzname\data\adamntds.dit
werden.
Der Replikationsbereich einer Verzeichnispartition kann mit den Befehlszeilenprogrammen Dnscmd und
Ntdsutil festgelegt und erweitert werden.
Falsche Antworten:
B: Das Hilfsprogramm Regsvr32 (Regsvr32.exe) kann verwendte werden, um OLE-Steuerelemente (OLE =
Object Linking and Embedding), wie zum Beispiel selbstregistrierende DLL-Dateien oder ActiveXSteuerelementdateien (OCX), zu registrieren oder aus der Registrierung zu entfernen.
C: Wbadmin verwaltet Datensicherungen und führt Backups durch.
D: RacAgent stellt den Dienst für die Zuverlässigkeitsüberwachung dar. Die Zuverlässigkeitsüberwachung
erstellt Berichte über Systemstabilität. Sie zeigt detaillierte Informationen über Anwendungsinstallationen,
Anwendungsdeinstallationen, Betriebssystem-, Anwendungs- und Hardwarefehler sowie
Systemzeitänderungen an.
025. Sie sind Administrator bei Contoso. Das Firmennetzwerk enthält 200 Servercomputer und 5000
Clientcomputer. Um Hochverfügbarkeit für den DHCP-Serverdienst zu gewährleisten, wurde der DHCPServerdienst auf einem zwei-Knoten Microsoft Failover Cluster mit dem Namen CBCL1 installiert. Die
Namen der beiden Knoten lauten CBCLN1 und CBCLN2.
Der Cluster verfügt über einen physikalische Datenträger mit einer Kapazität von 320 GB für die
gemeinsame Nutzung. Der Datenträger ist derzeit mit einem 100 GB Volume konfiguriert.
Das Unternehmen hat sich entschieden Microsoft Windows Internet Name Service (WINS) ebenfalls über
Seite 21 von 209
MS 70-649
22.12.2009
den Cluster CBCL1 bereitzustellen. Der DHCP-Serverdienst und der WINS-Dienst sollen auf verschiedenen
Knoten gehostet werden.
Sie starten den Assistenten für hohe Verfügbarkeit, um den WINS-Dienst über den Cluster CBCL1
bereitzustellen. Der Assistent kann aufgrund eines Fehlers nicht abgeschlossen werden. Das entsprechende
Dialogfeld wird in der Abbildung gezeigt (klicken Sie auf die Schaltfläche Zeichnung).
Sie müssen einen Speicher auf CBCL1 konfigurieren, um die Installation des geclusterten Dienstes
abzuschließen.
Wie gehen Sie vor?
A. Verwenden Sie den freien Speicherplatz auf dem gemeinsam verwendeten Datenträger und erstellen Sie
ein neues Volume.
B. Erweitern Sie den Cluster CBCL1 um einen zusätzlichen physikalischen Datenträger für die gemeinsame
Nutzung. Erstellen Sie ein neues Volume auf dem Datenträger.
C. Erweitern Sie den Knoten CBCLN1 um einen zusätzlichen physikalischen Datenträger und erstellen Sie
ein neues Volume auf dem Datenträger. Erweitern Sie den Knoten CBCLN2 um einen zusätzlichen
physikalischen Datenträger und erstellen Sie ein neues Volume auf dem Datenträger.
D. Sichern Sie alle Daten auf dem vorhandenen Datenträger für die gemeinsame Nutzung. Konvertieren Sie
den vorhandenen physikalischen Datenträger in einen GPT-Datenträger und erstellen Sie zwei separate
Volumes. Schreiben Sie die gesicherten Daten auf eines der beiden Volumes zurück.
Answer: B
Erläuterungen:
Im Grunde geht bereits aus der Abbildung hervor, dass Antwort A nicht möglich ist. Wenn man den freien
Speicherplatz auf dem vorhandenen Datenträger verwenden könnte, müsste der Speicher im Assistenten
auch angezeigt werden.
Ein Datenträger kann nur auf einem Knoten Online sein,
auf dem anderen Knoten ist der Datenträger dann Offline inkl. aller Volumen darauf.
Seite 22 von 209
MS 70-649
22.12.2009
Ein Cluster besteht aus unabhängigen Computern, die miteinander interagieren und somit die Verfügbarkeit
von Diensten und Anwendungen erhöhen. Die gruppierten Server (so genannte Knoten) sind durch
physische Kabel und durch Software vernetzt. Wenn einer der Knoten ausfällt, werden seine Aufgaben
durch einen als Failover bezeichneten Prozess sofort auf einen anderen Knoten übertragen.
Mithilfe des MMC-Snap-Ins (Microsoft Management Console) Failover-Clusterverwaltung können Sie
Failoverclusterkonfigurationen überprüfen, Failovercluster erstellen und verwalten und bestimmte
Einstellungen aus einem Cluster unter Windows Server 2003 zu einem Cluster unter dem Betriebssystem
Windows Server 2008 migrieren.
Unter Windows Server 2008 zielen die Verbesserungen an Failoverclustern (früher als Servercluster
bezeichnet) auf die Vereinfachung von Clustern ab. Sie werden dadurch sicherer, und die Clusterstabilität
wird verbessert. Die Clustereinrichtung und -verwaltung ist somit einfacher. Die Sicherheit und die
Netzwerke in Clustern wurden ebenso wie die Kommunikation eines Failoverclusters mit dem Speicher
verbessert.
Das Feature Failover-Clusterunterstützung ist im Umfang von Windows Server 2008 Enterprise und
Windows Server 2008 Datacenter enthalten. Im Umfang von Windows Server 2008 Standard oder Windows
Web Server 2008 ist es nicht enthalten.
Domäne mit dem Namen Contoso.de. Sie installieren und konfigurieren die Rolle Webserver (IIS) auf einem
Windows Server 2008 Servercomputer.
Sie wollen Ihre Konfigurationsänderungen auf dem Internetinformationsdienste (IIS) Server sichern.
Wie gehen Sie vor?
A. Führen Sie das Verwaltungsskript Adsutil.vbs mit der Option create C:\mainbackup auf dem IIS Server
aus.
B. Führen Sie den Befehl Appcmd add site „MainBackup“ auf dem IIS Server aus.
C. Führen Sie den Befehl Appcmd add backup „MainBackup“ auf dem IIS Server aus.
D. Verwenden Sie die Microsoft Windows PowerShell und führen Sie den Befehl Add-Member Method
Mainbackup auf dem IIS Server aus.
Answer: C
Erläuterungen:
Beim IIS 7 gibt es ein neues Kommandozeilenprogramm mit dem Namen Appcmd.exe, das sich im
Verzeichnis %windows%\system32\inetsrv befindet und nur mit administrativen Rechten ausgeführt werden
kann. Mit diesem Tool erzeugen und konfigurieren Sie Websites, Web-Anwendungen, Application Pools,
Konfigurationssicherungen und virtuelle Verzeichnisse. Ebenso dient es dazu, Sites zu starten und
anzuhalten oder Application Pools zu starten, anzuhalten und wiederzuverwenden. Zudem zeigt es
Informationen über die Worker Prozesse und Anfragen an den Webserver an. Die Hilfe von appcmd
funktioniert so ähnlich wie die vom Befehl Net: AppCmd /? liefert eine erste kleine Übersicht, Details zu den
einzelnen Befehlen erhalten Sie, indem Sie zusätzliche Parameter angeben. Hilfe zum Parameter Request
liefert beispielsweise die Eingabe von: AppCmd Request /?
027. Sie sind Administrator bei Contoso. Das Unternehmen hostet Websites für 22 Kunden. Auf allen
Servercomputern ist das Betriebssystem Windows Server 2008 installiert.
Das Unternehmen hat für jede Website einen dedizierten SMTP Server. Sie haben die Rolle Webserver (IIS)
und das Feature SMTP-Server auf einem Windows Server 2008 Computer mit dem Namen Web4 installiert.
Das Unternehmen hat einen neuen Kunden akquiriert. Sie erstellen eine neue Website und einen SMTPServer für den neuen Kunden. Der SMTP-Server startet jedoch nicht.
Sie müssen den neuen SMTP-Server auf Web4 so konfigurieren, dass er gestartet werden kann.
Welche zwei Möglichkeiten stehen Ihnen für das Erreichen Ihres Ziels zur Verfügung? (Jede korrekte
A. Führen Sie den Befehl iisreset auf Web4 aus.
Seite 23 von 209
MS 70-649
22.12.2009
B. Führen Sie den Befehl iisreset /Enable SMTP auf Web4 aus.
C. Konfigurieren Sie für den neuen SMTP-Server einen Smarthost.
D. Konfigurieren Sie für den neuen SMTP-Server einen anderen TCP-Port.
E. Konfigurieren Sie für den neuen SMTP-Server eine andere IP-Adresse.
Answer: D,E
Erläuterungen:
Auf Web4 wurde bereits ein SMTP-Server installiert. Wenn ein zweiter virtueller SMTP-Server auf
demselben physikalischen Servercomputer betrieben werden soll, muss der neue SMTP-Serverdienst
entweder einen anderen TCP-Anschluss oder eine andere IP-Adresse verwenden. Es ist nicht möglich zwei
SMTP-Server auf derselben IP-Adresse über denselben TCP-Port zu betreiben. Der zweite SMTP-Server
kann bei dieser Konfiguration nicht gestartet werden.
Falsche Antworten:
A: Der Befehl führt einen Neustart der Internetinformationsdienste (IIS) durch.
B: Der Befehl aktiviert den automatischen Neustart für den IIS-Verwaltungsdienst , den WWW-Dienst und
den SMTP-Dienst für den Fall, dass einer der Dienste außerplanmäßig beendet wird. Diese Option ist
standardmäßig aktiviert.
C: Sie können alle ausgehenden Nachrichten für Remotedomänen über einen Smarthost routen, anstatt sie
direkt an die Domäne zu senden. Auf diese Weise können Nachrichten über eine Verbindung geroutet
werden, die entweder schneller oder kostengünstiger ist als andere Routen.
028.Sie sind Administrator bei Contoso. Sie haben die Serverrolle Webserver (IIS) auf einem neuen
Windows Server 2008 Computer installiert.
Derzeit hosten Sie die älteren Common Gateway Interface (CGI) Anwendungen des Unternehmens auf
einem Internetinformationsdienste (IIS) 5.0 Server. Sie wollen die Anwendungen nun über den neuen IIS 7.0
Server bereitstellen.
Sie müssen den IIS 7.0 Server so konfigurieren, dass CGI Anwendungen ausgeführt werden können.
Welchen Befehl werden Sie auf dem IIS 7.0 Server ausführen?
A. Iisreset /Start
B. Iisreset /enable
C. Appcmd.exe Set Config /Section:Handlers /[Name=“CGIModule“].requireAccess:Script
D. Appcmd.exe Set Config /Section:Handlers /[Name=“CGIModule“].requireAccess:Execute
Answer: D
Erläuterungen:
Das Common Gateway Interface (CGI) – in etwa Allgemeine Vermittlungsrechner-Schnittstelle – ist ein
Standard für den Datenaustausch zwischen einem Webserver und dritter Software, die Anfragen bearbeitet.
CGI ist eine schon länger bestehende Variante, Webseiten dynamisch bzw. interaktiv zu machen, deren
erste Überlegungen auf das Jahr 1993 zurückgehen.
Ein Webserver, der CGI unterstützt, stellt der externen Software eine Laufzeitumgebung zur Verfügung, die
insbesondere aus folgendem besteht:


Umgebungsvariablen (z. B. „SERVER_NAME“), die dem Programm helfen, sich über die Anfrage,
Webserver-Einstellung und -Situation zu informieren. Die Bezeichnungen sowie das Format der
Inhalte sind größtenteils standardisiert.
Bereitstellung von Ein- und Ausgabekanälen. Meist wird der stdout-Kanal mit der Antwort des
Webservers verknüpft, stdin mit eventuell vorhandenen POST-Daten.
IIS 7.0 stellt Standardeinstellungen für CGI-Anwendungen bereit. Sie können diese Einstellungen über die
Benutzeroberfläche oder das Befehlszeilenprogramm Appcmd.exe anpassen.
Seite 24 von 209
MS 70-649
22.12.2009
029. Sie sind Administrator bei Contoso. Sie installieren die Serverrolle Webserver (IIS) auf einem Windows
Server 2008 Computer.
Sie planen eine neue Website über den Internetinformationsdienste (IIS) 7.0 Server bereitzustellen. Die
geplanten Konfigurationsdaten werden in der nachstehenden Tabelle gezeigt:
Name
Wert
Site-Name
Contoso
ID
2
Speicherpfad D:\Contoso_content
TCP-Port
80
Hostheader
www.Contoso.de
Sie müssen die neue Website mit den geplanten Daten konfigurieren.
Wie gehen Sie vor?
A. Führen Sie den Befehl Appcmd set app /app.name:Contoso
/[path=“/“].physicalPath:D:\Contoso_content_ID2 auf dem Webserver aus.
B. Führen Sie den Befehl Appcmd add app /app.name:Contoso
/[path=“/“].physicalPath:D:\Contoso_content_ID2 auf dem Webserver aus.
C. Führen Sie den Befehl Appcmd add site /name:Contoso /id:2 /physicalPath:D:\Contoso_content
/binding:http/*:80:www.Contoso.de auf dem Webserver aus.
D. Verwenden Sie die Microsoft Windows PowerShell und führen Sie den Befehl Set-Location Cliteralpath
„D:\Contoso_content“ Contoso ID:2 location Port:80 Domain:www.Contoso.de aus.
Answer: C
Erläuterungen:
Für das Erstellen einer neuen Website können Sie entweder die Benutzeroberfläche oder das
Befehlszeilenprogramm Appcmd.exe verwenden. Die grundlegende Syntax, um mittels Appcmd eine neue
Website zu erstellen, lautet wie folgt:
appcmd add site /name:string /id:uint /physicalPath:string /bindings:string
030. Sie sind Administrator bei Contoso. Sie administrieren einen Windows Server 2008 Computer mit dem
Namen FTP1.
Die Firmensicherheitsrichtlinien schreiben vor, dass der FTP-Serverdienst nur verfügbar ist, wenn er von
autorisierten Projekten benötigt wird.
Sie müssen sicherstellen, dass der FTP-Serverdienst auf FTP1 nach einem Neustart des Servers nicht
verfügbar ist.
Wie gehen Sie vor?
A. Führen Sie auf FTP1 den Befehl iisreset aus.
B. Führen Sie auf FTP1 den Befehl net stop msftpsvc aus.
C. Führen Sie auf FTP1 den Befehl cscript lisftp /stop aus.
D. Führen Sie auf FTP1 den Befehl WMIC /Node:FTP1 Service
Seite 25 von 209
MS 70-649
22.12.2009
Answer: D
Erläuterungen:
Um sicherzustellen, dass der FTP-Publishingdienst nach einem Neustart des Server nicht automatisch
gestartet wird, müssen wir den Starttyp des Dienstes mit deaktiviert festlegen. Wir können zu diesem Zweck
die Konsole Dienste verwenden oder die Befehlszeile aus Antwort D. Alternativ kann auch der der
nachstehende Befehl verwendet werden:
Sc config msftpsvc start= disabled
Ein Administrator hat versehentlich eine Organisationseinheit (OU) aus dem Active Directory gelöscht, die
2000 Computer und Benutzerobjekte enthielt.
Sie verwenden das Sicherungsprogramm eines Drittanbieters und sichern die Systemstatusdateien auf
regelmäßiger Basis. Sie starten einen der Domänencontroller der betroffenen Domäne im
Verzeichnisdienstwiederherstellungsmodus (Directory Services Restore Mode, DSRM).
Sie müssen eine autorisierende Wiederherstellung der gelöschten Organisationseinheit (OU) durchführen
und den Domänencontroller wieder in den normalen Betriebsmodus versetzen.
Welche drei Schritte werden Sie in Reihenfolge ausführen? (Die Liste der verfügbaren Aktionen wird in der
Abbildung dargestellt. Klicken Sie auf die Schaltfläche Zeichnung. Ordnen Sie die notwendigen Aktionen in
der richtigen Reihenfolge an.)
A. 3, 1, 5
B. 2, 4, 5
C. 1, 4, 5
D. 4, 1, 5
E. 4, 2, 5
Answer: D
Erläuterungen:
Um die Active Directory-Daten maßgebend wiederherzustellen, führen Sie nach dem Wiederherstellen der
Systemstatusdaten (jedoch noch vor dem Neustart des Servers) das Befehlszeilenprogramm Ntdsutil aus.
Mit dem Befehlszeilenprogramm Ntdsutil können Sie Active Directory-Objekte für die maßgebende
Seite 26 von 209
MS 70-649
22.12.2009
Wiederherstellung kennzeichnen. Bei einem Objekt, das für die maßgebende Wiederherstellung
gekennzeichnet ist, wird die Sequenznummer für die Aktualisierung (USN) erhöht, bis die Nummer größer ist
als die anderen Aktualisierungssequenznummern im Replikationssystem Active Directory. Auf diese Weise
stellen Sie sicher, dass die wiederhergestellten replizierten oder verteilten Daten fehlerfrei im gesamten
Unternehmen repliziert bzw. verteilt werden.
Sie haben beispielsweise versehentlich Objekte im Verzeichnisdienst Active Directory gelöscht oder
geändert, und diese Objekte werden auf andere Server repliziert oder an diese verteilt. In diesem Fall
müssen Sie die betreffenden Objekte mit der maßgebenden Wiederherstellung bearbeiten, so dass sie
erneut repliziert oder verteilt werden. Wenn Sie keine maßgebende Wiederherstellung der Objekte
durchführen, werden sie nicht auf den anderen Servern repliziert und nicht an die Server verteilt, da diese
Objekte scheinbar älter sind als die derzeit auf den anderen Servern vorliegenden Objekte. Kennzeichnen
Sie die Objekte mit dem Befehlszeilenprogramm Ntdsutil für die maßgebende Wiederherstellung, um
sicherzustellen, dass die wiederherzustellenden Daten im gesamten Unternehmen repliziert oder verteilt
werden.
Zu den neuen Funktionen von Windows Server 2008 gehört es, dass die Active Directory-Domänendienste
über einen Dienst abgebildet werden. Der Wechsel vom normalen Betriebsmodus in den
Verzeichnisdienstwiederherstellungsmodus kann nun durch Starten und Beenden dieses Dienstes vollzogen
werden.
Gesamtstruktur. Auf allen Servercomputern ist das Betriebssystem Windows Server 2008 installiert. Die
Domänenstruktur wird in der Abbildung gezeigt (klicken Sie auf die Schaltfläche Zeichnung).
Jede Domäne enthält 10 Domänencontroller. Sie verwenden die Remotedesktop-Clientsoftware auf Ihrem
Arbeitscomputer für die Verwaltung der Domänencontroller. Ihr Computer ist Mitglied der Domäne
ma.corp.Contoso.de.
Sie modifizieren die Verzeichnisberechtigungen auf einem Dateiserver mit dem Namen FS1 innerhalb der
Domäne ca.corp.Contoso.de. Sie öffnen die Sicherheitseinstellungen eines Verzeichnisses und stellen fest,
dass einige Einträge mit der Zeichenfolge S-1-5-21 beginnen und kein Kontoname angezeigt wird.
Sie müssen sicherstellen, dass die Kontennamen auf dem Register Sicherheit in den Eigenschaften der
Verzeichnisse angezeigt werden.
Wie gehen Sie vor?
A. Konfigurieren Sie FS1 als Server für den globalen Katalog (GC).
B. Bearbeiten Sie das Schema und aktivieren Sie die Option Attribut in den globalen Katalog replizieren für
das Attribut Friendly-Nmes.
C. Verschieben Sie die Betriebsmasterrolle (FSMO) RID-Master der Domäne ma.corp.Contoso.de auf einen
Seite 27 von 209
MS 70-649
22.12.2009
Domänencontroller, der nicht als globaler Katalogserver konfiguriert ist.
D. Verschieben Sie die Betriebsmasterrolle (FSMO) Infrastruktur-Master der Domäne ma.corp.Contoso.de
auf einen Domänencontroller, der nicht als globaler Katalogserver konfiguriert ist.
Answer: D
Erläuterungen:
Die Aufgabe des Infrastruktur-Masters besteht darin, Objekte der eigenen Domäne mit Objekten anderer
Domänen derselben Gesamtstruktur zu vergleichen und mögliche Unterschiede (insbesondere
domänenübergreifende Gruppenmitgliedschaften) zu korrigieren. Wenn nun der Server, der die
Infrastrukturmaster-Rolle hält, gleichzeitig Globaler Katalog ist, wird er keine Unterschiede feststellen, weil er
bereits über eine Teilkopie jedes Objekts der gesamten Struktur verfügt. Daher wird der IM in diesem Fall in
seiner eigenen Domäne niemals eine Änderung an solchen Objekten durchführen.
Wenn allerdings jeder DC innerhalb der Domäne auch GC ist, hat der IM schlicht nichts zu tun, denn jeder
GC kennt ohnehin alle Objekte der anderen Domänen. Der Infrastrukturmaster kann demnach auf einem GC
betrieben werden, wenn es sich um ein Einzeldomänen-Netzwerk handelt (denn dann gibt es keine anderen
Domänen, von denen Objekte repliziert werden) oder wenn die Gesamtstruktur aus mehreren Domänen
besteht, aber jeder DC auch als GC konfiguriert ist.
In einer Gesamtstruktur mit mehreren Domänen sollte der Infrastrukturmastermaster nicht auf einem
globalen Katalogserver betrieben werden, wenn nicht alle Domänencontroller als globale Katalogserver
konfiguriert sind.
033.Sie sind Administrator bei Contoso. Das Firmennetzwerk besteht aus drei Active Directory Domänen in
einer gemeinsamen Gesamtstruktur. Auf allen Servercomputern ist das Betriebssystem Windows Server
2008 installiert.
Sie installieren eine neue Active Directory basierte Anwendung. Die Anwendung erweitert das Active
Directory Schema mit neuen Attributen für das Benutzerobjekt.
Nach der Installation der neuen Anwendung stellen sie einen signifikanten Anstieg des Active Directory
Replikationsvolumens der globalen Katalogserver fest.
Sie müssen verhindern, dass die neuen Attribute in den globalen Katalog repliziert werden.
Wie gehen Sie vor?
A. Deinstallieren Sie die neue Anwendung.
B. Löschen Sie die neuen Attribute aus dem Active Directory Schema.
C. Ändern Sie das Replikationsintervall für die Active Directory Verbindung DEFAULTIPSITELINK auf 9990
Minuten.
D. Ändern Sie die Einstellungen für die neuen Attribute im Schema des Active Directory.
Answer: D
Erläuterungen:
Mit Hilfe der Konsole Active Directory-Schema können die Eigenschaften der Objekte und Attribute
bearbeitet werden. Über die Option Attribut in den globalen Katalog replizieren kann festgelegt werden,
welche Attribute in den globalen Katalog repliziert werden.
Attribut in den globalen Katalog replizieren
Fügt das Attribut dem Satz von Attributen hinzu, dem so genannten Teilattributsatz (Partial Attribute Set,
PAS), der auf alle Domänencontroller in der Gesamtstruktur repliziert wird. Alle Objekte werden in den
globalen Katalog repliziert. Es werden jedoch nur die Attribute repliziert, die im Teilattributsatz enthalten
sind. Die Attribute, die am ehesten für die Suche nach dem Objekt verwendet werden, sollten keine PASAttribute sein.
2008 installiert.
Seite 28 von 209
MS 70-649
22.12.2009
Contoso hat eine Zweigstelle, die innerhalb des Active Directory als separater Standort konfiguriert ist. Der
Standort verfügt über einen Domänencontroller. Die Installation einer neuen Anwendung erfordert, dass der
Domänencontroller der Zweigstelle als globaler Katalogserver konfiguriert wird.
Sie müssen den Domänencontroller der Zweigstelle als globalen Katalogserver konfigurieren.
Welches Tool werden Sie verwenden?
A. Das Programm Dcpromo.exe.
B. Die Konsole Computerverwaltung.
C. Die Konsole Active Directory-Domänen und –Vertrauensstellungen.
D. Die Konsole Active Directory-Standorte und –Dienste.
E. Die Konsole Server-Manager.
Answer: D
Erläuterungen:
Der globale Katalog ist die Menge aller Objekte in einer AD DS-Gesamtstruktur (Active Directory Domain
Services, Active Directory-Domänendienste). Ein globaler Katalogserver ist ein Domänencontroller, auf dem
eine vollständige Kopie aller Objekte im Verzeichnis für die dazugehörige Hostdomäne und eine
schreibgeschützte Teilkopie aller Objekte für alle anderen Domänen in der Gesamtstruktur gespeichert
werden. Globale Katalogserver antworten auf Abfragen des globalen Katalogs.
So fügen Sie den globalen Katalog hinzu oder entfernen diesen
1. Öffnen Sie Active Directory-Standorte und -Dienste. Klicken Sie zum Öffnen von Active DirectoryStandorte und -Dienste auf Start, klicken Sie auf Verwaltung, und klicken Sie dann auf Active
Directory-Standorte und -Dienste.
2. Klicken Sie in der Konsolenstruktur auf das Serverobjekt, dem der globale Katalog hinzugefügt
werden soll oder von dem der globale Katalog entfernt werden soll.
3. Klicken Sie im Detailbereich mit der rechten Maustaste auf die Option NTDS-Einstellungen des
ausgewählten Serverobjekts, und klicken Sie dann auf Eigenschaften.
4. Aktivieren Sie das Kontrollkästchen Globaler Katalog, um den globalen Katalog hinzuzufügen, oder
deaktivieren Sie das Kontrollkästchen, um den globalen Katalog zu entfernen.
Gesamtstruktur mit 12 Domänen. Das Unternehmen hat 24 Standorte. Auf allen Servercomputern ist das
Betriebssystem Windows Server 2008 installiert.
An einer der Zweigstellen sind 40 Benutzer beschäftigt. Die Benutzer sind Mitglied einer universellen
Gruppe, die ihnen Zugriff auf Ressourcen in allen 24 Standorten ermöglicht.
Die Zweigstelle verfügt über einen Domänencontroller mit dem Namen DC17. Der Standort ist über eine 128
Kbps WAN-Verbindung mit dem Unternehmensnetzwerk verbunden. Die WAN-Verbindung ist nur während
der Geschäftszeiten verfügbar. Die Benutzer berichten, dass sie sich außerhalb der Geschäftszeiten nicht
am Netzwerk anmelden können.
Sie müssen den Benutzern die Anmeldung am Netzwerk zu jeder Tageszeit ermöglichen.
Wie gehen Sie vor?
A. Konfigurieren Sie DC17 als Bridgeheadserver für den Standort der Zweigstelle.
B. Aktivieren Sie das Zwischenspeichern der universellen Gruppenmitgliedschaft für den Standort der
Zweigstelle.
C. Verringern Sie das Replikationsintervall für die Standortverbindung, die die Zweigstelle mit dem
Firmennetzwerk verbindet.
D. Erhöhen Sie das Replikationsintervall für die Standortverbindung, die die Zweigstelle mit dem
Firmennetzwerk verbindet.
E. Positionieren Sie in der Zweigstelle einen schreibgeschützten Domänencontroller (RODC).
Answer: B
Seite 29 von 209
MS 70-649
22.12.2009
Erläuterungen:
Das Zwischenspeichern der universellen Gruppenmitgliedschaft erübrigt die Notwendigkeit, dass der
Domänencontroller der Zweigstelle einen globalen Katalogserver an einem anderen Standort kontaktiert, um
die universelle Gruppenmitgliedschaft während der Domänenanmeldungen zu überprüfen.
mit dem Namen Server1. Auf Server1 werden die Microsoft Windows Server Update Services (WSUS)
ausgeführt.
Die Windows Server Update Services (WSUS) wurden für die Standardwebsite installiert. Sie konfigurieren
den Updatedienst und den Statistikserver für die Verwendung von Secure Socket Layer (SSL).
Sie wollen nun ein Gruppenrichtlinienobjekt (GPO) konfigurieren und den internen Pfad für den Microsoft
Updatedienst angeben.
Welche URLs werden Sie verwenden?
A. Interner Updatedienst: http://server1
Intranetserver für die Statistik: http://server1
B. Interner Updatedienst: http://server1:8080
Intranetserver für die Statistik: http://server1:8080
C. Interner Updatedienst: https://server1
Intranetserver für die Statistik: https://server1
D. Interner Updatedienst: https://server1:8080
Intranetserver für die Statistik: https://server1:8080
Answer: C
Erläuterungen:
Die Standardwebsite ist für das Abhören auf Port 80 konfiguriert. Aus dem Aufgabentext geht hervor, dass
der sichere Kanal für diese Website erfordert wurde. Der korrekte URL für den Updatedienst und den
Statistikserver lautet daher https://server1.
Richtlinie: Internen Pfad für den Microsoft Updatedienst angeben
Gibt einen Intranetserver an, der als Host für die Updates von Microsoft Update fungiert. Mit diesem
Updatedienst können Computer im Netzwerk automatisch aktualisiert werden.
Mit dieser Einstellung können Sie einen Server im Netzwerk als Host für einen internen Updatedienst
bestimmen. Der "Automatische Updates"-Client durchsucht diesen Dienst nach Updates, die auf die
Computer im Netzwerk angewendet werden können.
Sie müssen zwei Servernamenwerte festlegen, um diese Einstellung verwenden zu können: Einen Server,
von dem der "Automatische Updates"-Client Updates ermittelt und herunterlädt, und einen Server, auf dem
die Statistik der aktualisierten Arbeitsstationen hochgeladen werden. Sie können für beide Werte den
gleichen Server festlegen.
Wenn der Status auf "Aktiviert" festgelegt ist, stellt der "Automatische Updates"-Client eine Verbindung mit
dem angegebenen Microsoft Updatedienst im Intranet und nicht mit Windows Update her, um nach
Downloads zu suchen und diese zu installieren. Durch Aktivieren dieser Einstellung müssen Benutzer in
Ihrer Organisation die Updates nicht über eine Firewall herunterladen. Außerdem können Sie auf diese
Weise die Updates vor der Bereitstellung testen.
Wenn der Status auf "Deaktiviert" oder "Nicht konfiguriert" festgelegt ist und "Automatische Updates" nicht
Seite 30 von 209
MS 70-649
22.12.2009
durch eine Richtlinie oder benutzerdefinierte Einstellung deaktiviert ist, stellt der "Automatische Updates"Client direkt eine Verbindung mit der Windows Update-Website im Internet her.
037. Sie sind Administrator bei Contoso. Das Unternehmen hat eine Hauptgeschäftsstelle und 250
Zweigstellen. Auf allen Servercomputern wird das Betriebssystem Windows Server 2008 ausgeführt.
Das Unternehmen verwendet eine verteilte Anwendung, um Daten zwischen der Hauptgeschäftsstelle und
allen Zweigstellen zu synchronisieren. Zu den Komponenten der Anwendung zählt auch der Dienst
Distributed Transaction Coordinator (DTC).
In der Hauptgeschäftsstelle ist der Distributed Transaction Coordinator Dienst auf einem Microsoft
Failovercluster mit drei Knoten installiert. Die Namen der drei Knoten lauten DTCNODE1, DTCNODE2 und
DTCNODE3. Der Cluster ist mit einer dedizierten Ressourcengruppe mit dem Namen DTC_Service für den
Distributed Transaction Coordinator Dienst konfiguriert.
Sie testen das Failover für die Ressourcengruppe DTC_Service. Sie stellen fest, dass das Failover von
DTCNODE1 und DTCNODE2 auf DTCNODE3 nicht funktioniert. Das Failover von DTCNODE1 auf
DTCNODE2 funktioniert ohne Fehler. Weitere Tests zeigen, dass ein Failover von DTCNODE1 und
DTCNODE2 auf DTCNODE3 für andere Ressourcengruppen einwandfrei funktioniert.
Sie müssen die Ressourcengruppe DTC_Service so konfigurieren, dass das Failover für alle Knoten
unterstützt wird.
Wie gehen Sie vor?
A. Lassen Sie das Failback für die Ressourcengruppe DTC_Service zu.
B. Konfigurieren Sie DTCNODE3 als bevorzugten Besitzer für die Ressourcengruppe DTC_Service.
C. Entfernen Sie DTCNODE3 aus der Liste der möglichen Besitzer für die Ressourcengruppe DTC_Service.
D. Konfigurieren Sie DTCNODE3 als möglichen Besitzer für die Ressourcengruppe DTC_Service.
Answer: D
Erläuterungen:
Ein Cluster besteht aus unabhängigen Computern, die miteinander interagieren und somit die Verfügbarkeit
von Diensten und Anwendungen erhöhen. Die gruppierten Server (so genannte Knoten) sind durch
physische Kabel und durch Software vernetzt. Wenn einer der Knoten ausfällt, werden seine Aufgaben
durch einen als Failover bezeichneten Prozess sofort auf einen anderen Knoten übertragen.
Die Liste möglicher Besitzer in der Clusterverwaltung bestimmt, welche Clusterknoten die Ausführung
ausgefallener Anwendungen übernehmen können.
038.Sie sind Administrator bei Contoso. Das Unternehmen plant die Struktur eines neuen Netzwerks. Das
Netzwerk wird den IPv4 Adressbereich 131.107.40.0/22 verwenden. Die Anforderungen für das geplante
Netzwerk werden in der Abbildung dargestellt (klicken Sie auf die Schaltfläche Zeichnung).
Seite 31 von 209
MS 70-649
22.12.2009
Sie müssen Subnetze für die Segmente des Netzwerks konfigurieren. Ihre Lösung muss alle Computer der
einzelnen Segmente unterstützen.
Welche Adressen werden werden Sie verwenden?
A. Segment A: 131.107.40.0/23
Segment B: 131.107.44.0/24
Segment C: 131.107.45.0/25
Segment D: 131.107.45.128/27
B. Segment A: 131.107.40.0/25
Segment B: 131.107.42.128/26
Segment C: 131.107.45.192/27
Segment D: 131.107.45.224/30
C. Segment A: 131.107.40.0/23
Segment B: 131.107.43.0/24
Segment C: 131.107.43.128/25
Segment D: 131.107.45.0/27
D. Segment A: 131.107.40.128/23
Segment B: 131.107.45.0/24
Segment C: 131.107.46.0/25
Segment D: 131.107.46.128/27
Answer: A
Erläuterungen:
Zu Lösung A:
Segment A: 131.107.40.0/23 – 131.107.40.1 - 131.107.41.254 - 510 Hostadressen
Segment B: 131.107.44.0/24 – 131.107.44.1 - 131.107.44.254 - 254 Hostadressen
Segment C: 131.107.45.0/25 – 131.107.45.1 - 131.107.45.126 - 126 Hostadressen
Segment D: 131.107.45.128/27 – 131.107.45.129 - 131.107.45.158 - 30 Hostadressen
2008 installiert.
Sie installieren die Rolle Webserver (IIS) auf einem Servercomputer mit dem Namen Server1. Anschließend
installieren Sie die Rolle Dateidienste auf einem Servercomputer mit dem Namen Server2.
Der Datenträger von Server1, auf dem die Daten für das virtuelle Verzeichnis Contoso/Anwendungen
gespeichert sind, verfügt nicht mehr über ausreichend freien Speicherplatz. Sie verschieben die Daten in ein
neues freigegebenes Verzeichnis mit dem Namen WebApp auf Server2.
Sie müssen nun das virtuelle Verzeichnis Anwendungen für die Verwendung der Freigabe WebApp
konfigurieren.
Wie gehen Sie vor?
A. Führen Sie den Befehl Appcmd set vdir /vdir.name:Server2/Anwendungen /physicalPath:C:\WebApp auf
Server2 aus.
B. Führen Sie den Befehl Appcmd set vdir /vdir.name:Contoso/Anwendungen /physicalPath:C:\WebApp auf
Server2 aus.
C. Führen Sie den Befehl Appcmd set vdir /vdir.name:WebApp/Anwendungen
/physicalPath:\\Server2\WebApp auf Server1 aus.
Seite 32 von 209
MS 70-649
22.12.2009
D. Führen Sie den Befehl Appcmd set vdir /vdir.name:Contoso/Anwendungen
/physicalPath:\\Server2\WebApp auf Server1 aus.
Answer: D
Erläuterungen:
Um den physikalischen Pfad für den Inhalt eines virtuellen Verzeichnisses zu ändern kann der Befehl
Appcmd mit folgender Syntax verwendet werden:
Appcmd set vdir /vdir.name:string /physicalPath:string
Die Variable vdir.name:string gibt den virtuellen Pfad des virtuellen Verzeichnisses an, dessen
physikalischer Pfad geändert werden soll.
Die Variable physicalPath:string gibt den physikalischen Pfad zu den Inhaltsdateien der Anwendung an.
040. Sie sind Administrator bei Contoso. Das Firmennetzwerk enthält einen Windows Server 2008
Computer, auf dem die Rolle Webserver (IIS) installiert wurde.
Die Benutzer berichten, dass sie Fehlermeldungen erhalten, wenn sie versuchen Verbindungen mit dem
Webserver herzustellen.
Sie untersuchen den Webserver und erhalten eine Fehlermeldung, die besagt, dass die maximale Anzahl an
Arbeitsprozessen erreicht wurde.
Sie müssen die Website identifizieren, die den Fehler verursacht.
Welchen Befehl werden Sie auf dem Webserver ausführen?
A. Appcmd list wp
B. Appcmd list site
C. Appcmd list apppool
D. Appcmd list requests
Answer: A
Erläuterungen:
Der Befehl Appcmd list wp listet die auf dem Computer ausgeführten Arpeitsprozesse (Worker Processes)
auf. Mit dem Befehl können Sie auch einen bestimmten Arbeitsprozess anhand einer ID oder eines Namens
suchen und die Arbeitsprozesse nach Anwendungspool auflisten.
Namen Web1. Auf Web1 ist die Serverrolle Webserver (IIS) installiert.
Web1 hostet eine Website für das Intranet des Unternehmens. Für die Website ist ausschließlich die
Authentifizierungsmethode Windows-Authentifizierung aktiviert.
Sie erstellen ein neues virtuelles Verzeichnis mit dem Namen /hr/. Auf den Inhalt des neuen Verzeichnisses
sollen ausschließlich Mitglieder der globalen Sicherheitsgruppe Personalabteilung Zugriff erhalten.
Sie müssen die Website so konfigurieren, dass ausschließlich Mitglieder der globalen Sicherheitsgruppe
Personalabteilung Zugriff auf das virtuelle Verzeichnis /hr/ erhalten.
Wie gehen Sie vor?
A. Entfernen Sie die Standard-Zulassungsregel für das virtuelle Verzeichnis /hr/.
B. Bearbeiten Sie die Standard-Zulassungsregel für das virtuelle Verzeichnis /hr/. Wählen Sie die Einstellung
Bestimmte Rollen oder Benutzergruppen und tragen Sie den Gruppennamen Personalabteilung ein.
C. Erstellen Sie eine neue Ablehnungsregel für das virtuelle Verzeichnis /hr/, die auf alle anonymen
Benutzer angewendet wird. Entfernen Sie die Standard-Zulassungsregel für das virtuelle Verzeichnis /hr/.
D. Bearbeiten Sie die Standard-Zulassungsregel für das virtuelle Verzeichnis /hr/. Wählen Sie die Einstellung
Seite 33 von 209
MS 70-649
22.12.2009
Bestimmte Rollen oder Benutzergruppen und tragen Sie den Gruppennamen Personalabteilung ein.
Erstellen Sie eine neue Ablehnungsregel für das virtuelle Verzeichnis /hr/, die auf alle Benutzer angewendet
wird.
Answer: B
Erläuterungen:
Auf der Seite Autorisierungsregeln können Sie die Liste der Zulassungs- und Ablehnungsregeln verwalten,
mit denen der Zugriff auf Inhalte gesteuert wird. Die Standardregel gestattet allen Benutzern den Zugriff.
Über die Aktion Bearbeiten, kann die Zulassungsregel modifiziert und der Zugriff auf eine oder mehrere
Gruppen oder Personen eingeschränkt werden.
Web1 hostet eine SSL Website, die ausschließlich von den Führungskräften des Unternehmens geöffnet
werden darf. Die Firmensicherheitsrichtlinien schreiben vor, dass die Führungskräfte Benutzerzertifikate
verwenden müssen, um Zugriff auf die vertraulichen Informationen zu erhalten.
Sie stellen fest, dass die Führungskräfte über die Eingabe ihrer Benutzernamen und Kennwörter Zugriff auf
die Website erhalten. Sie müssen sicherstellen, dass die Führungskräfte ausschließlich über die
Verwendung ihrer Benutzerzertifikate Zugriff auf die Website erhalten.
Wie gehen Sie vor?
A. Konfigurieren Sie die SSL-Einstellungen der vertraulichen Website und legen Sie fest, dass die 128-BitSSL-Verschlüsselung erfordert wird.
B. Konfigurieren Sie die SSL-Einstellungen der vertraulichen Website und legen Sie fest, dass
Clientzertifikate akzeptiert werden.
C. Konfigurieren Sie die SSL-Einstellungen der vertraulichen Website und legen Sie fest, dass
Clientzertifikate erforderlich sind.
D. Konfigurieren Sie ein Gruppenrichtlinienobjekt (GPO) und nehmen Sie das Zertifikat der
Zertifizierungsstelle, von der die Zertifikate der Führungskräfte ausgestellt wurden, in die Liste der
vertrauenswürdigen Herausgeber auf. Wenden Sie die Richtlinie auf die Benutzerkonten der Führungskräfte
an.
Answer: C
Erläuterungen:
Verwenden Sie die Seite SSL-Einstellungen, um die Datenverschlüsselung für Übertragungen zwischen dem
Server und den Clients zu verwalten. Sie können außerdem durch Auswahl von Ignorieren, Akzeptieren oder
Erforderlich für Zertifikate festlegen, dass ein Client identifiziert werden muss, bevor der Zugriff auf Inhalte
gewährt wird.
In den folgenden Tabellen werden die Benutzeroberflächenelemente erläutert, die auf der Featureseite
verfügbar sind.
Elementname
Beschreibung
SSL erforderlich
Wählen Sie SSL erforderlich (Secure
Sockets Layer) aus, um eine 40-Bit-Datenverschlüsselungsmethode zu
ermöglichen, mit der Sie die Übertragungen zwischen dem Server und den
Clients sichern können. Diese Optionseinstellung funktioniert sowohl in
Intranet- als auch in Internetumgebungen.
128-Bit SSL erforderlich
Wählen Sie 128-Bit SSL erforderlich aus,
um eine stärkere Verschlüsselung als die 40-Bit-Version bereitzustellen.
Sie können 128–Bit-SSL verwenden, um Übertragungen zwischen dem Server
und den Clients in einer Intranet- oder einer Internetumgebung zu
sichern.
Ignorieren
Dies ist die Standardoption. Bei dieser
Seite 34 von 209
MS 70-649
22.12.2009
Einstellung werden keine Clientzertifikate akzeptiert, die
bereitgestellt werden.
Akzeptieren
Wählen Sie diese Einstellung aus, wenn Sie
Clientzertifikate akzeptieren möchten (sofern diese bereitgestellt
werden) und die Clientidentität überprüfen möchten, bevor dem Client der
Zugriff auf die Inhalte gewährt wird.
Erforderlich
Wählen Sie diese Option aus, um
festzulegen, dass Zertifikate die Clientidentität überprüfen müssen,
bevor dem Client der Zugriff auf die Inhalte gewährt wird.
Der voll qualifizierte Domänenname (FQDN) von Web1 lautet web1.Contoso.de. Auf dem öffentlichen DNS
Server wurde ein Alias Eintrag mit dem Namen owa.Contoso.de erstellt, der mit web1.Contoso.de verknüpft
ist. Internetbenutzer verwenden den URL http://owa.Contoso.de, um sich mit Web1 zu verbinden.
Die neuen Firmensicherheitsrichtlinien schreiben vor, dass Internetbenutzer für Verbindungen mit
owa.Contoso.de ausschließlich das sichere HTTPS Protokoll verwenden dürfen. Ferner dürfen die
Internetbenutzer beim Herstellen der Verbindung keine Sicherheitswarnungen erhalten.
Sie entschließen sich ein Zertifikat von einer öffentlichen Zertifizierungsstelle anzufordern. Sie öffnen die
Featureseite Serverzertifkate und starten den Assistenten für das Erstellen einer Zertifikatanforderung.
Sie müssen das Formular für die Zertifikatsregistrierung vervollständigen. Welchen Namen werden Sie in
das Feld Allgemeiner Name (Common Name) ein?
A. Web1
B. Contoso GmbH
C. Owa.Contoso.de
D. Web1.Contoso.de
Answer: C
Erläuterungen:
Es gibt mehrere Möglichkeiten, ein Serverzertifikat zu erhalten. Sie können ein selbstsigniertes Zertifikat
erstellen, ein Zertifikat von einer externen, öffentlichen Drittanbieterzertifizierungsstelle erwerben oder ein
Zertifikat von einer internen Domänenzertifizierungsstelle anfordern. Selbstsignierte Serverzertifikate sind
von diesen drei Optionen die unsichersten Zertifikate. Sie sollten ausschließlich zum Testen oder zur
Fehlerbehandlung von Anwendungen verwendet werden, die HTTPS verwenden.
Der allgemeine Name des Serverzertifikats sollte mit dem URL der Website übereinstimmen. Stimmt der
Name nicht mit dem aufgerufenen URL überein, wird eine Sicherheitswarnung mit folgendem Hinweis
ausgegeben:
Das Sicherheitszertifikat dieser Website wurde für eine andere Adresse der Website ausgestellt.
044. Sie sind Administrator bei Contoso. Das Unternehmen bietet Webhosting-Dienste für Firmen und
Privatkunden. Sie administrieren einen Windows Server 2008 Computer mit dem Namen Web1. Auf Web1
ist die Serverrolle Webserver (IIS) installiert.
Web1 hostet Websites für 10 Partnerunternehmen. Sie konfigurieren auf dem Internetinformationsdienste
(IIS) Server eine neue Website für das Unternehmen TrainCert. Anschließend speichern Sie die Inhalte für
die neue Website auf dem Server.
Die HTML-Dokumente für ein virtuelles Verzeichnis der Website speichern Sie in einer Freigabe mit dem
Namen TrainCert_Vdir auf einem Remoteserver mit dem Namen FS3. Auf FS3 wird ebenfalls Windows
Server 2008 ausgeführt. Sie erteilen einem Benutzerkonto mit mit dem Namen Traincert_GUY die
Seite 35 von 209
MS 70-649
22.12.2009
erforderlichen Freigabe- und NTFS-Berechtigungen für das Verzeichnis auf FS3.
Den Benutzern ist es nicht möglich auf die Inhalte des virtuellen Verzeichnisses zuzugreifen. Der Zugriff auf
Stammwebsite erfolgt ohne Probleme.
Sie müssen den Benutzern den Zugriff auf die Inhalte des virtuellen Verzeichnisses ermöglichen.
Wie gehen Sie vor?
A. Nehmen Sie das Benutzerkonto Traincert_GUY in die globale Sicherheitsgruppe Domänen-Admins auf.
B. Nehmen Sie das Benutzerkonto Traincert_GUY in die domänenlokale Sicherheitsgruppe WindowsAutorisierungszugriffsgruppe auf.
C. Konfigurieren Sie die Option Verbinden als in den Grundeinstellungen des virtuellen Verzeichnisses und
legen Sie das Konto Traincert_GUY als Benutzer fest.
D. Verwenden Sie die Aktion Berechtigungen bearbeiten für das virtuelle Verzeichnis. Legen Sie die Option
Diesen Ordnertyp als Vorlage verwenden auf dem Register Anpassen mit Dokumente fest.
Answer: C
Erläuterungen:
In den Grundeinstellungen des virtuellen Verzeichnisses kann der physikalische Pfad der Inhaltsdateien und
der Sicherheitsprinzipal für den Zugriff auf die Dateien festgelegt werden. Standardmäßig ist
Anwendungsbenutzer (Pass-Through-Authentifizierung) ausgewählt.
2008 installiert.
Sie administrieren einen Dateiserver mit dem Namen FS1. Der Server stellt im Verzeichnis D:\Managament
Dateien für die Geschäftsführung bereit. Die Führungskräfte benötigen Zugriff auf das Verzeichnis über das
HTTPS-Protokoll.
Sie installieren auf FS1 die Serverrolle Webserver (IIS) mit den Standardeinstellungen und ändern den
physikalischen Pfad der Standardwebsite auf D:\Management. Anschließend öffnen Sie die SSLEinstellungen für die Standardwebsite und stellen fest, dass alle Optionen ausgegraut und nicht verfügbar
sind.
Sie müssen die SSL-Verschlüsselung für die Standardwebsite aktivieren.
Wählen Sie zwei Antworten).
A. Verwenden Sie den Internetinformationsdienste-Manager und installieren Sie ein Serverzertifikat auf FS1.
B. Verwenden Sie den Internetinformationsdienste-Manager und ergänzen Sie für die Standardwebsite eine
Bindung an das HTTPS Protokoll.
C. Verwenden Sie die Konsole Server-Manager und installieren Sie die Komponente Digestauthentifizierung
für den Webserver.
D. Öffnen Sie den Internetinformationsdienste-Manager und verwenden Sie die Aktion Schlüssel generieren
im Fenster Computerschlüssel.
E. Verwenden Sie die Konsole Internetinformationsdienste-Manager, um die Standardeinstellungen für die
Standardwebsite wiederherzustellen. Erstellen Sie eine neue Website und legen Sie den physikalischen
Pfad mit D:\Management fest.
Answer: A,B
Erläuterungen:
Für die Aktivierung von SSL müssen Sie ein gültiges Serverzertifikat anfordern und installieren. Sie können
ein Serverzertifikat von einer Zertifizierungsstelle (Certification Authority, CA) erhalten, bei der es sich um
eine interne Windows-Domänenzertifizierungsstelle oder um eine vertrauenswürdige öffentliche
Drittanbieterzertifizierungsstelle handeln kann. Sie können zur Problembehandlung, zum Testen oder zur
Anwendungsentwicklung auch ein selbstsigniertes Serverzertifikat erstellen. Nachdem Sie das
Serverzertifikat erhalten haben, müssen Sie es installieren und das HTTPS-Protokoll an die Website binden.
Seite 36 von 209
MS 70-649
22.12.2009
046.Sie sind Administrator bei Contoso. Sie installieren die Serverrolle Webserver (IIS) auf einem Windows
Server 2008 Computer. Anschließend konfigurieren Sie eine neue Website und ein virtuelles Verzeichnis mit
dem Namen App1. Das virtuelle Verzeichnis enthält eine geprüfte Common Gateway Interface (CGI)
Anwendung.
Beim Testen der Website stellen Sie fest, dass die CGI Anwendung nicht gestartet werden kann.
Die Firmensicherheitsrichtlinien schreiben vor, dass Berechtigungen nur erteilt werden dürfen, wenn Sie für
das Erreichen der Unternehmensziele unerlässlich sind.
Sie müssen den Betrieb der CGI Anwendung unter Einhaltung der Firmensicherheitsrichtlinien sicherstellen.
Wie werden Sie die Featureberechtigungen der Handlerzuordnungen konfigurieren?
A. Aktivieren Sie die Option Ausführen für die Website.
B. Aktivieren Sie die Option Skript für die Website.
C. Aktivieren Sie die Option Ausführen für das virtuelle Verzeichnis.
D. Aktivieren Sie nur die Option Lesen für das virtuelle Verzeichnis.
Answer: C
Erläuterungen:
Mithilfe des Dialogfelds Featureberechtigungen bearbeiten kann die Zugriffsrichtlinie konfiguriert werden, die
den Typ der Featurerechte angibt, der für Handler auf Webserver-, Site-, Anwendungs-, Verzeichnis- oder
Dateiebene in IIS zulässig ist. Folgende Featurerechte können Sie in der Zugriffsrichtlinie aktivieren bzw.
deaktivieren: Lesen, Skripts und Ausführen. Die Zugriffsrichtlinie bestimmt zusammen mit der erforderlichen
Zugriffseinstellung eines Handlers, ob ein Handler ausgeführt werden kann. Wenn für einen Handler ein
Featurerechtetyp erforderlich ist, der in der Zugriffsrichtlinie nicht aktiviert ist, wird der Handler deaktiviert
und alle von diesem Handler verarbeitete Anforderungen (auf Grundlage der Handlerzuordnung) schlagen
fehl, sofern nicht ein anderer Handler die Anforderung verarbeiten kann.
Wenn Sie eine Option im Dialogfeld Featureberechtigungen bearbeiten auswählen, wird auf der Seite
Handlerzuordnungen in der Spalte Zustand für die durch die Auswahl aktivierten Handler der Eintrag
Aktiviert angezeigt. Entsprechend wird beim Deaktivieren einer Auswahl im Dialogfeld
Featureberechtigungen bearbeiten auf der Seite Handlerzuordnungen in der Spalte Zustand der Eintrag
Deaktiviert für die durch die Auswahl deaktivierten Handler angezeigt. Sie können eine Vorschau der
aktivierten bzw. deaktivierten Handler anzeigen, indem Sie die Seite Handlerzuordnungen anzeigen und
dann auf OK klicken, um das Dialogfeld Featureberechtigungen bearbeiten zu schließen. Wenn Sie nicht auf
OK, sondern auf Abbrechen klicken, werden die im Dialogfeld vorgenommenen Änderungen nicht
gespeichert.
Sie könnten beispielsweise Lesen und Skripts auf Webserverebene aktivieren, Skripts jedoch für eine
spezielle Site deaktivieren, die nur statischen Inhalt bereitstellt. Damit wird verhindert, dass der Server für
diese Site Skripts ausführt, wenn ein Benutzer eine Handlerzuordnung für ein Skript oder eine ausführbare
Datei auf Siteebene hinzufügt.
Liste der Benutzeroberflächenelemente
Elementname Beschreibung
Lesen
Aktivieren Sie das Kontrollkästchen Lesen,
um Handler zu aktivieren, die Leserechte für ein virtuelles Verzeichnis
benötigen. Deaktivieren Sie das Kontrollkästchen Lesen, um Handler zu
deaktivieren, die Leserechte für ein virtuelles Verzeichnis benötigen.
Sie sollten Lesen in einer Zugriffsrichtlinie aktivieren, wenn Sie
statische Inhalte bereitstellen oder Standarddokumente und das
Durchsuchen von Verzeichnissen konfigurieren möchten. Standardmäßig sind
Leseberechtigungen aktiviert.
Skripts
Aktivieren Sie das Kontrollkästchen
Skripts, um Handler zu aktivieren, die Skriptrechte für ein virtuelles
Seite 37 von 209
MS 70-649
22.12.2009
Verzeichnis benötigen. Deaktivieren Sie das Kontrollkästchen Skripts, um
Handler zu deaktivieren, die Leserechte für ein virtuelles Verzeichnis
benötigen.
Ausführen
Aktivieren Sie das Kontrollkästchen
Ausführen, um Handler zu aktivieren, die Ausführungsrechte für ein
virtuelles Verzeichnis benötigen. Deaktivieren Sie das Kontrollkästchen
Ausführen, um Handler zu deaktivieren, die Ausführungsrechte für ein
virtuelles Verzeichnis benötigen. Das Kontrollkästchen Ausführen wird
nur aktiviert, wenn das Kontrollkästchen Skripts ausgewählt wird. Sie
sollten Ausführen in einer Zugriffsrichtlinie aktivieren, wenn Sie
zusätzlich zu Skripts die Ausführung ausführbarer Dateien aktivieren
möchten, z. B. EXE-, DLL- und COM-Dateien.
047. Sie sind Administrator bei Contoso. Das Unternehmen bietet Dienstleistungen im Bereich Webhosting.
Sie administrieren einen Windows Server 2008 Computer mit dem Namen Server8. Auf dem Server ist die
Rolle Webserver (IIS) installiert.
Server8 hostet Websites für mehrere Unternehmenskunden. Sie konfigurieren eine neue Website für einen
neuen Unternehmenskunden und testen die Konfiguration. Die Website wird wie eine FTP Seite für den
Download von Dateien dargestellt. Sie erwarten jedoch eine HTTP Darstellung der Webinhalte.
Sie müssen die Website so konfigurieren, dass die Inhalte korrekt dargestellt werden. Zudem wollen Sie
sicherstellen, dass die Dateien nicht für den Download aufbereitet werden.
A. Erstellen Sie einen dedizierten Anwendungspool für die Website.
B. Konfigurieren Sie das Standarddokument der Website, so dass es mit der für den Start vorgesehenen
Inhaltsdatei übereinstimmt.
C. Führen Sie den Befehl Appcmd set config /section:directoryBrowse /enabled false aus.
D. Erteilen Sie dem Benutzerkonto IUSR die Berechtigung Lesen, Ausführen – Zulassen für das Verzeichnis,
das die Inhalte der Website enthält.
E. Erstellen Sie einen kanonischen Namen (CNAME) für den Host www in der DNS Zone für die Domäne
des neuen Unternehmenskunden.
Answer: B,C
Erläuterungen:
Mit der Featureseite Standarddokumente können Sie die Standarddokumentliste konfigurieren. Wenn ein
Benutzer ohne Angabe eines Dokumentnamens auf Ihre Site oder Anwendung zugreift (z. B. durch
Anforderung von http://www.contoso.com/ anstelle von http://www.contoso.com/default.htm), können Sie IIS
so konfigurieren, dass ein Standarddokument, beispielsweise Default.htm, ausgegeben wird. IIS gibt das
erste Standarddokument in der Liste zurück, das einem Dateinamen im Verzeichnis entspricht.
Wenn kein geeignetes Standarddokument konfiguriert und die Verzeichnissuche aktiviert ist, wird anstelle
der Webinhalte eine Liste mit den Inhalten des Verzeichnisses angezeigt. Die Option Verzeichnis
durchsuchen kann entweder über das gleichnamige Feature der Konsole InternetinformationsdiensteManager oder über den in Antwort C gezeigten Befehl aktiviert bzw. deaktiviert werden.
Domäne mit dem Namen Contoso.de. Sie administrieren einen Windows Server 2008 Computer mit dem
Namen Server8. Auf dem Server ist die Rolle Webserver (IIS) installiert.
Der Webserver hostet die Intranet Website Ihres Unternehmens. Die Authentifizierungseinstellungen der
Website werden in der Abbildung gezeigt (klicken Sie auf die Schaltfläche Zeichnung).
Die Mitarbeiter einer Zweigstelle verbinden sich mit der Website über einen Proxyserver. Alle Clientcomputer
verwenden den Microsoft Internet Explorer.
Seite 38 von 209
MS 70-649
22.12.2009
Den Mitarbeitern der Zweigstelle ist es nicht möglich sich gegenüber der Website zu authentifizieren. Die
Benutzer in der Hauptgeschäftsstelle haben keine Probleme bei der Authentifizierung und dem Zugriff auf
die Website.
Aus Gründen der Performance kann nur der Authentifizierungsprozess auf dem IIS Server verschlüsselt
werden.
Sie müssen die Website so konfigurieren, dass sich sowohl die Mitarbeiter der Zweigstelle als auch die
Mitarbeiter der Hauptgeschäftsstelle gegenüber der Website authentifizieren können.
Wie gehen Sie vor?
A. Installieren Sie den Rollendienst Digestauthentifizierung auf dem Webserver und aktivieren Sie die
Authentifizierungsmethode Digestauthentifizierung.
B. Installieren Sie den Rollendienst Host Credential Authorization Protocol (HCAP) auf dem Webserver und
aktivieren Sie die Authentifizierungsmethode Host Credential Authorization Protocol.
C. Aktivieren Sie die Standardauthentifizierung und deaktivieren Sie die Windows-Authentifizerung.
Konfigurieren Sie die Website, so dass die SSL-Verschlüsselung erfordert wird.
D. Konfigurieren Sie die erweiterten Internetoptionen auf allen Computern der Zweigstelle und deaktivieren
Sie die Option Integrierte Windows-Authentifizierung aktivieren.
Answer: A
Erläuterungen:
Hier kommen nur die Standardauthentifizierung und die Digestauthentifizierung als Methoden für die
Benutzer der Zweigstelle in Betracht. Da die Digestauthentifizierung ebenso wie die WindowsAuthentifizierung eine Verschlüsselung der Kontoinformationen bietet, sollte diese den Vorzug erhalten.
Digestauthentifizierung
Bei der Digestauthentifizierung werden Benutzer mithilfe eines Windows-Domänencontrollers authentifiziert,
wenn sie Zugriff auf den Inhalt Ihres Servers anfordern. Verwenden Sie die Digestauthentifizierung, wenn
Sie eine höhere Sicherheit als bei der Standardauthentifizierung benötigen.
2008 installiert.
Auf einem Servercomputer mit dem Namen Server1 ist die Rolle Terminaldienstegateway installiert. Die
Rolle Terminalserver ist auf zwei weiteren Servern mit den Namen Server2 und Server3 installiert. Server2
und Server3 sind als Terminalserver-Farm mit dem Namen TSLoad konfiguriert.
Einer Ihrer Kollegen installiert den Terminaldienste-Sitzungsbroker auf einem neuen Server mit dem Namen
Seite 39 von 209
MS 70-649
22.12.2009
Server4. Ihr Kollege nimmt die Terminalserver-Farm TSLoad in die Konfiguration des TerminaldiensteSitzungsbrokers auf Server4 auf.
Sie konfigurieren die veröffentlichten Anwendungen für die Verwendung des TerminaldiensteSitzungsbrokers und stellen fest, dass der Sitzungsbroker keine Verbindungen von Server2 und Server3
annimmt.
Sie müssen sicherstellen, dass der Terminaldienste-Sitzungsbroker auf Server4 Verbindungen von Server2
und Server3 annimmt.
Wie gehen Sie vor?
A. Nehmen Sie die Konten von Server2 und Server3 in die lokale Sicherheitsgruppe Sitzungsverzeichnis
Computer auf Server4 auf.
B. Nehmen Sie die Konten von Server2 und Server3 in die domänenlokale Sicherheitsgruppe WindowsAutorisierungszugriffsgruppe der Active Directory Domäne auf.
C. Erstellen Sie ein neues Gruppenrichtlinienobjekt (GPO) und aktivieren Sie die Richtlinie Sichere RPCKommunikation anfordern im Abschnitt Sicherheit des Knotens Terminalserver. Wenden Sie das GPO auf
Server2 und Server3 an.
D. Erstellen Sie ein neues Gruppenrichtlinienobjekt (GPO) und aktivieren Sie die Richtlinie Automatisch
erneut verbinden im Abschnitt Verbindungen des Knotens Terminalserver. Wenden Sie das GPO auf alle
Clientcomputer an.
Answer: A
Erläuterungen:
Die Sicherheitsgruppe Sitzungsverzeichnis Computer enthält die Liste der Terminalservercomputer, die dem
Sitzungsverzeichnis beitreten können.
Falsche Antworten:
B: Mitglieder dieser Gruppe haben Zugriff auf das berechnete Attribut "tokenGroupsGlobalAndUniversal" für
Benutzerobjekte.
C: Die Richtlinie legt fest, ob ein Terminalserver die sichere RPC-Kommunikation mit allen Clients erfordert
oder ungesicherte Kommunikation zulässt.
D: Die Richtlinie gibt an, ob Remotedesktopverbindungs-Clients die automatische erneute Verbindung mit
Terminaldienstesitzungen erlaubt wird, wenn ihre Netzwerkverbindung vorübergehend unterbrochen wird. In
der Standardeinstellung werden maximal 20 Verbindungsversuche in Intervallen von fünf Sekunden
ausgeführt.
050. Sie sind Administrator bei Contoso. Sie installieren die Serverrolle Terminalserver auf einem neuen
Windows Server 2008 Mitgliedsserver mit dem Namen TS01.
Die Benutzerprofile der Terminalserverprofile werden auf TS01 in einem Verzeichnis mit dem Namen
TSProfiles gespeichert. Die Basisverzeichnisse der Benutzer werden auf einem Dateiserver mit dem Namen
FS03 gespeichert.
Bei einer Routinekontrolle von TS01 stellen Sie fest, das auf dem Datenträger, der die Profile der
Terminalbenutzer enthält, lediglich noch 5 Prozent freier Speicherplatz zur Verfügung stehen. Ferner
ermitteln Sie, dass die Benutzer Daten in ihren Profilen anstelle der Basisverzeichnisse speichern.
Sie müssen das Datenvolumen, das in einem Benutzerprofil gespeichert werden kann, auf maximal 100 MB
limitieren.
Wie gehen Sie vor?
A. Erstellen Sie ein neues Gruppenrichtlinienobjekt (GPO), das auf den Terminalserver angewendet wird.
Legen Sie das Standarddatenträgerkontingent in der Richtlinie Standarddatenträgerkontingent und
Warnstufe mit 100 MB fest.
B. Erstellen Sie ein neues Gruppenrichtlinienobjekt (GPO), das auf alle Terminalserverbenutzer angewendet
wird. Konfigurieren Sie die Ordnerumleitung, so dass das Verzeichnis Dokumente auf FS03 umgeleitet wird.
C. Aktivieren Sie Datenträgerkontingente für das Volume auf dem das Verzeichnis TSProfiles gespeichert
ist. Konfigurieren Sie die Kontingentierung, so dass Benutzern bei Überschreitung von 100 MB weiterer
Seite 40 von 209
MS 70-649
22.12.2009
Speicherplatz verweigert wird.
D. Konfigurieren Sie das Attribut Profilpfad in den Eigenschaften der Active Directory-Benutzerkonten, so
dass Terminaldienstprofile in einer Freigabe auf FS03 gespeichert werden.
Answer: C
Erläuterungen:
Datenträgerkontingente sind eine Methode, um die Menge an Speicherplatz zu kontrollieren, die einem
Benutzer auf einem Fileserver zur Verfügung steht. Sie können mit Datenträgerkontingenten auch
nachsehen, wie viel Speicherplatz Ihre Benutzer blockieren.
Kontingente können auf zwei verschiedene Arten konfiguriert werden: zur Überwachung, so dass der
Administrator den Speicherbedarf je Nutzer verfolgen kann, oder als Tool, um zu verhindern, dass ein
Benutzer Dateien auf Festplatte ablegen kann, wenn ein bestimmtes Limit erreicht wurde.
051. Sie sind Administrator bei Contoso. Auf einem Mitgliedsserver mit dem Namen Server1 ist die
Serverrolle Terminaldienste installiert. Der Rollendienst Terminaldienstelizenzierung ist auf einem neuen
Testserver mit dem Namen Server10 installiert. Server10 ist Mitglied einer Arbeitsgruppe.
Es ist Ihnen nicht möglich, den Terminaldienste-Lizenzierungsmodus Pro Benutzer auf Server10 zu
aktivieren.
Sie müssen sicherstellen, dass der Lizenzierungsmodus Pro Benutzer auf Server10 verwendet werden
kann.
Wie gehen Sie vor?
A. Nehmen Sie Server10 in die Active Directory Domäne auf.
B. Beziehen Sie Terminaldienste-Clientzugriffslizenzen von Microsoft Clearinghouse. Installieren Sie die
Terminaldienste-Clientzugriffslizenzen auf dem Lizenzserver.
C. Konfigurieren Sie Server1, so dass Server10 als Lizenzserver verwendet wird. Legen Sie anschließend
auf Server10 den Lizenzierungsmodus Pro Benutzer fest.
D. Installieren Sie den Rollendienst Terminaldienstegateway auf Server1. Konfigurieren Sie ein
Gruppenrichtlinienobjekt (GPO), so dass Server10 auf Server1 als Lizenzserver festgelegt wird. Wenden Sie
das GPO auf Server1 an.
Answer: A
Erläuterungen:
Es gibt zwei Arten von Terminaldienste-Clientzugriffslizenzen (TS CALs):


Terminaldienste-Clientzugriffslizenzen (pro Gerät)
Terminaldienste-Clientzugriffslizenzen (pro Benutzer)
Wenn der Lizenzierungsmodus Pro Gerät verwendet wird und ein Clientcomputer oder ein Gerät zum ersten
Mal eine Verbindung mit einem Terminalserver herstellt, wird standardmäßig eine temporäre Lizenz für den
Clientcomputer oder das Gerät ausgestellt. Wenn der Clientcomputer oder das Gerät dann zum zweiten Mal
eine Verbindung mit einem Terminalserver herstellt und der Lizenzserver aktiviert ist und genügend
Terminaldienste-Clientzugriffslizenzen (pro Gerät) verfügbar sind, stellt der Lizenzserver eine dauerhafte
Terminaldienste-Clientzugriffslizenz (pro Gerät) für den Clientcomputer oder das Gerät aus.
Eine Terminaldienste-Clientzugriffslizenz (pro Benutzer) gewährt einem Benutzer das Zugriffsrecht für einen
Terminalserver von einer unbegrenzten Anzahl von Clientcomputern oder Geräten aus. TerminaldiensteClientzugriffslizenzen (pro Benutzer) werden von der Terminaldienstelizenzierung nicht erzwungen. Daher
können Clientverbindungen unabhängig von der Anzahl der auf dem Lizenzserver installierten
Terminaldienste-Clientzugriffslizenzen (pro Benutzer), hergestellt werden. Dies bedeutet jedoch nicht, dass
Administratoren die Anforderung der Microsoft-Software-Lizenzbedingungen, dass für jeden Benutzer eine
gültige Terminaldienste-Clientzugriffslizenz (pro Benutzer) vorhanden sein muss, nicht einhalten müssen.
Wenn der Lizenzierungsmodus Pro Benutzer verwendet wird und nicht für jeden Benutzer eine gültige
Terminaldienste-Clientzugriffslizenz (pro Benutzer) vorhanden ist, bedeutet dies einen Verstoß gegen die
Lizenzbedingungen.
Seite 41 von 209
MS 70-649
22.12.2009
Wenn Sie den Terminaldienstelizenzierungs-Rollendienst installieren, müssen Sie einen Suchbereich
angeben, der bestimmt, wie der Terminaldienste-Lizenzserver von Terminalservern automatisch ermittelt
werden kann.
Es gibt drei Suchbereiche:



Arbeitsgruppe
Domäne
Gesamtstruktur
Der empfohlene Suchbereich für einen Lizenzserver lautet Gesamtstruktur.
Wenn der Terminaldienstelizenzierungs-Rollendienst auf demselben Computer installiert wird wie der
Terminalserver, kann der Terminalserver automatisch den Lizenzserver ermitteln (kontaktieren), unabhängig
davon, welcher Suchbereich für den Lizenzserver konfiguriert ist.
Der Suchbereich Arbeitsgruppe ist nur verfügbar, wenn der Computer, auf dem Sie den
Terminaldienstelizenzierungs-Rollendienst installieren, kein Mitglied einer Domäne ist. Wenn Sie den
Suchbereich Arbeitsgruppe konfigurieren, können Terminalserver ohne zusätzliche Konfiguration
automatisch einen Lizenzserver in derselben Arbeitsgruppe ermitteln.
Die Suchbereiche Domäne und Gesamtstruktur sind nur verfügbar, wenn der Computer, auf dem Sie den
Terminaldienstelizenzierungs-Rollendienst installieren, Mitglied einer Domäne ist. .
Wenn Sie den Suchbereich Domänen konfigurieren, können Terminalserver ohne zusätzliche Konfiguration
einen Lizenzserver in derselben Domäne nur dann automatisch ermitteln, wenn der Lizenzserver auf einem
Domänencontroller installiert ist. Sie können den Terminaldienstelizenzierungs-Rollendienst auch auf einem
Nicht-Domänencontroller installieren. Dann kann der Lizenzserver jedoch nicht automatisch von den
Terminalservern in der Domäne ermittelt werden. Zum Konfigurieren des Suchbereichs Domänen müssen
Sie als Domänenadministrator bei der Domäne angemeldet sein, in der der Lizenzserver Mitglied ist.
Domäne mit dem Namen Contoso.de. Auf allen Clientcomputern ist das Betriebssystem Windows Vista
installiert.
Das Unternehmen setzt die Windows Server 2008 Terminaldienste ein.
Sie müssen sicherstellen, dass die Benutzer während der Terminalserversitzungen Windows Media Player
11 verwenden können.
Wie gehen Sie vor?
A. Installieren Sie das Feature Desktopdarstellung auf dem Terminalserver.
B. Installieren Sie das Feature Verbessertes Windows-Audio / Video-Streaming auf dem Terminalserver.
C. Erstellen Sie ein neues Gruppenrichtlinienobjekt (GPO) und aktivieren Sie in der Vorlage DesktopfensterManager die Richtlinie Desktopgestaltung nicht zulassen. Wenden Sie das GPO auf alle Clientcomputer der
Domäne an.
D. Erstellen Sie ein neues Gruppenrichtlinienobjekt (GPO) und konfigurieren Sie die richtlinienbasierten
QOS Optionen. Legen Sie den Differentiated Services Code Point (DSCP) für die ausführbare Datei von
Windows Media Player 11 mit 10 fest. Wenden Sie das GPO auf den Terminalserver an.
Answer: A
Erläuterungen:
Das Feature Desktopdarstellung umfasst Windows Vista-Features, wie z.B. Windows Media Player,
Desktopdesigns und Fotoverwaltung. Das Feature Desktoptopdarstellung aktiviert diese Funktionen jedoch
nicht automatisch. Die Features müssen manuell aktiviert werden.
Namen Server2. Auf Server2 ist die Serverrolle Terminaldienste installiert.
Sie planen die Installation einer neuen Terminalserveranwendung auf Server2. Der Hersteller der Software
Seite 42 von 209
MS 70-649
22.12.2009
hat Ihnen bestätigt, dass die Anwendung in einer Terminalserverumgebung verwendet werden kann.
Die Anwendung verwendet kein Microsoft Windows Installer Paket für die Installation und nimmt während
der Installation Änderungen im Registrierungspfad CurrentUser vor.
Sie installieren die Anwendung auf Server2. Die Benutzer berichten anschließend, dass die Anwendung
während der Nutzung plötzlich nicht mehr reagiert.
Sie müssen sicherstellen, dass die Anwendung in mehreren Sitzungen verwendet werden kann.
Wie gehen Sie vor?
A. Führen Sie auf Ihrem Clientcomputer den Befehl mstsc /v:Server2 /console aus. Melden Sie sich an
Server2 an und installieren Sie die Anwendung.
B. Führen Sie auf Server2 den Befehl chgusr /execute aus. Installieren Sie die Anwendung und führen Sie
anschließend den Befehl chgusr /install auf Server2 aus.
C. Führen Sie auf Server2 den Befehl chgusr /install aus. Installieren Sie die Anwendung und führen Sie
anschließend den Befehl chgusr /execute auf Server2 aus.
D. Führen Sie auf Server2 den Befehl chglogon /disable aus. Installieren Sie die Anwendung und führen Sie
anschließend den Befehl chglogon /enable auf Server2 aus.
Answer: C
Erläuterungen:
Der Terminalserver-Rollendienst sollte auf dem Computer installiert werden, bevor Sie Programme
installieren, die für Benutzer verfügbar sein sollen. Wenn Sie den Terminalserver-Rollendienst auf einem
Computer installieren, auf dem bereits Programme installiert sind, können einige der vorhandenen
Programme möglicherweise in einer Mehrbenutzerumgebung nicht ordnungsgemäß ausgeführt werden.
Durch Deinstallieren und anschließendes erneutes Installieren der entsprechenden Programme können
diese Probleme möglicherweise behoben werden.
Zum Sicherstellen der ordnungsgemäßen Installation einer Anwendung für die Verwendung in einer
Mehrbenutzerumgebung muss der Terminalserver in einen speziellen Installationsmodus versetzt werden,
bevor die Anwendung auf dem Terminalserver installiert wird. Mit diesem besonderen Installationsmodus
wird sichergestellt, dass die für die Ausführung der Anwendung in einer Mehrbenutzerumgebung
erforderlichen richtigen Registrierungseinträge und INI-Dateien während des Installationsvorgangs erstellt
werden.
Sie können einen Terminalserver mithilfe einer der folgenden Möglichkeiten in diesen besonderen
Installationsmodus versetzen:


Mithilfe des Tools Anwendung auf dem Terminalserver installieren in der Systemsteuerung unter
Programme: Mit diesem Tool wird ein Assistent ausgeführt, der bei der Installation der Anwendung
behilflich ist.
Mithilfe des Befehls Change user /install an der Eingabeaufforderung: Die Installation der
Anwendung muss manuell gestartet werden.
Nachdem die Anwendung installiert ist, müssen Sie den Terminalserver in den Ausführungsmodus
versetzen, bevor Remotebenutzer die Anwendung verwenden. Mit dem Tool Anwendung auf dem
Terminalserver installieren wird der Terminalserver nach der Ausführung automatisch in den
Ausführungsmodus versetzt. Verwenden Sie den Befehl change user /execute, um den Terminalserver von
der Eingabeaufforderung aus in den Ausführungsmodus zu versetzen.
2008 installiert.
Der Rollendienst Terminaldienstegateway ist auf einem Server mit dem Namen Server1 installiert. Die
Serverrolle Terminaldienste ist auf einem Server mit dem Namen Server2 installiert.
Alle Drucker im Netzwerk unterstützen ausschließlich das PostScript Protokoll. Die Domänenbenutzer
Seite 43 von 209
MS 70-649
22.12.2009
müssen in der Lage sein, Drucker zu verwenden, die nicht durch die standardmäßig installierten Treiber
unterstützt werden.
Wie gehen Sie vor?
A. Installieren Sie auf Server2 einen Drucker, der den PostScript Treiber verwendet. Konfigurieren Sie die
Clientcomputer, so dass der neue Drucker auf Server2 verwendet wird.
B. Installieren Sie auf Server2 einen Drucker, der den PostScript Treiber verwendet. Erstellen Sie ein neues
Gruppenrichtlinienobjekt (GPO), das den Drucker für alle Clientcomputer veröffentlicht. Wenden Sie das
GPO auf alle Clientcomputer an.
C. Erstellen Sie ein neues Gruppenrichtlinienobjekt (GPO) und konfigurieren Sie die Richtlinie Verhalten des
Terminalserver-Fallbackdruckertreibers angeben mit dem Wert PS verwenden, wenn kein Treiber gefunden
wird. Wenden Sie das GPO auf Server2 an.
D. Erstellen Sie ein neues Gruppenrichtlinienobjekt (GPO) und konfigurieren Sie die Richtlinie Verhalten des
Terminalserver-Fallbackdruckertreibers angeben mit dem Wert PS verwenden, wenn kein Treiber gefunden
wird. Wenden Sie das GPO auf alle Clientcomputer der Domäne an.
Answer: C
Erläuterungen:
Mit der Richtlinieneinstellung Verhalten des Terminalserver-Fallbackdruckertreibers angeben können Sie
das Verhalten des Terminalserver-Fallbackdruckertreibers festlegen.
Der Terminalserver-Fallbackdruckertreiber ist standardmäßig deaktiviert. Wenn auf dem Terminalserver kein
dem Drucker des Clients entsprechender Druckertreiber vorhanden ist, ist für die Terminalserversitzung kein
Drucker verfügbar.
Wenn Sie diese Richtlinieneinstellung aktivieren, ist der Fallbackdruckertreiber aktiviert, und der
Terminalserver sucht standardmäßig nach einem geeigneten Druckertreiber. Wird kein geeigneter
Druckertreiber gefunden, ist der Drucker des Clients nicht verfügbar. Dieses Standardverhalten kann
geändert werden. Folgende Optionen sind verfügbar:
"Keine Aktion durchführen, wenn kein Treiber gefunden wurde" - Wenn die Druckertreiber nicht
übereinstimmen, versucht der Server, einen geeigneten Treiber zu finden. Wird kein passender Treiber
gefunden, ist der Drucker des Clients nicht verfügbar. Dies ist das Standardverhalten.
"PCL verwenden, wenn kein Treiber gefunden wird" - Wenn kein geeigneter Druckertreiber gefunden wird,
wird der PCL-Fallbackdruckertreiber (PCL = Printer Control Language) verwendet.
"PS verwenden, wenn kein Treiber gefunden wird" - Wenn kein geeigneter Druckertreiber gefunden wird,
wird der PS-Fallbackdruckertreiber (PS = PostScript) verwendet.
"PCL und PS anzeigen, wenn kein Treiber gefunden wurde" - Wenn kein geeigneter Treiber gefunden wird,
werden sowohl PS- als auch PCL-basierte Fallbackdruckertreiber angezeigt.
Wenn Sie diese Richtlinieneinstellung deaktivieren, ist der Terminalserver-Fallbacktreiber deaktiviert, und
der Terminalserver versucht nicht, den Fallbackdruckertreiber zu verwenden.
Wenn Sie diese Richtlinieneinstellung nicht konfigurieren, ist das Verhalten des Fallbackdruckertreibers
standardmäßig deaktiviert.
Hinweis: Wenn die Einstellung "Clientdruckerumleitung nicht zulassen" aktiviert ist, wird diese
Richtlinieneinstellung ignoriert, und der Fallbackdruckertreiber ist deaktiviert.
55. Sie sind Administrator bei Contoso. Das Firmennetzwerk enthält zwei Windows Server 2008 Computer
mit den Namen Server2 und Server3. Auf beiden Servercomputern ist die Serverrolle Terminaldienste
installiert. Der Rollendienst Terminaldienstegateway ist auf Server3 installiert.
Die Anwendungen auf Server2 werden über eine Remotedesktopkonfigurationsdatei (.rdp Datei)
veröffentlicht. Die Benutzer laden die .rdp Dateien über das virtuelle Verzeichnis TSWeb von Server2
herunter.
Sie rekonfigurieren die Anwendungen auf Server2 für die Verwendung des Terminaldienstegateways auf
Seite 44 von 209
MS 70-649
22.12.2009
Server3. Anschließend exportieren Sie die RemoteApp-Einstellungen auf Server2 und importieren sie auf
Server3.
Die Benutzer berichten, dass sie keinen Zugriff auf die Remoteanwendungen auf Server3 erhalten. Die
Benutzer können jedoch auf die Remoteanwendungen von Server2 über das Terminaldienstegateway von
Server3 zugreifen.
Sie vergewissern sich, dass die Anwendungspfade auf beiden Servern identisch sind.
Sie müssen sicherstellen, dass die Benutzer Zugriff auf die Anwendungen auf Server3 erhalten.
Wie gehen Sie vor?
A. Deaktivieren Sie die Authentifizierung auf Netzwerkebene auf Server3.
B. Erstellen Sie die .rdp Dateien auf Server3 neu und verteilen Sie die neuen Dateien an die Benutzer.
C. Kopieren Sie die .rdp Dateien von Server2 in ein neues virtuelles TSWeb-Verzeichnis auf Server3.
D. Installieren und konfigurieren Sie den Terminalserver-Sitzungsbroker auf Server3. Konfigurieren Sie
Server2 für die Verwendung des Terminalserver-Sitzungsbrokers.
Answer: B
Erläuterungen:
Das Exportieren der RemoteApp-Einstellungen dient der erleichterten Konfiguration der Terminaldienste.
Der Schritt hat keinen Einfluss auf die Remotedesktopkonfigurationsdateien der Benutzer. Wir müssen auf
Server3 neue .rdp Dateien erstellen und an die Benutzer verteilen, damit diese die Anwendungen auf
Server3 verwenden können.
Domäne mit dem Namen Contoso.de. Auf allen Firmencomputern ist das Betriebssystem Windows Server
2008 installiert.
Das Unternehmen hat die Serverrollen Active Directory-Zertifikatdienste (AD CS) und Netzwerkrichtlinienund Zugriffsdienste (NAP) im Netzwerk implementiert.
Sie müssen sicherstellen, dass die Netzwerkzugriffsschutzrichtlinien auf alle tragbaren Computer
angewendet werden, die eine drahtlose Verbindung mit dem Netzwerk herstellen.
Wie gehen Sie vor?
A. Konfigurieren Sie alle Drahtloszugriffspunkte für die 802.1x Authentifizierung.
B. Konfigurieren Sie alle tragbaren Clientcomputer für die Verwendung der MS-CHAPv2 Authentifizierung.
C. Verwenden Sie die Konsole Gruppenrichtlinienverwaltung (GPMC) und erstellen Sie eine
Drahtlosrichtlinie für die Domäne. Aktivieren Sie die Option Verbindungen mit Ad-hoc-Netzwerken
verhindern.
D. Verwenden Sie die Konsole Gruppenrichtlinienverwaltung (GPMC) und erstellen Sie eine
Drahtlosrichtlinie für die Domäne. Aktivieren Sie die Option Verbindungen mit Infrastrukturnetzwerken
verhindern.
Answer: A
Erläuterungen:
Die Erzwingung des Netzwerkzugriffsschutzes (Network Access Protection, NAP) für die portbasierte
802.1X-Netzwerkzugriffssteuerung erfolgt mithilfe eines Servers, auf dem der Netzwerkrichtlinienserver
(Network Policy Server, NPS) ausgeführt wird, und einer EAP-Erzwingungsclientkomponente. Bei der
portbasierten 802.1X-Erzwingung weist der Netzwerkrichtlinienserver einen 802.1X-Authentifizierungsswitch
oder einen 802.1X-kompatiblen Drahtloszugriffspunkt an, nicht kompatible 802.1X-Clients in ein
Wartungsnetzwerk zu platzieren. Der Netzwerkrichtlinienserver beschränkt den Netzwerkzugriff des Clients
auf das Wartungsnetzwerk, indem IP-Filter oder der Bezeichner eines virtuellen LAN auf die Verbindung
angewendet werden. Die 802.1X-Erzwingung ermöglicht einen stark eingeschränkten Netzwerkzugriff für
alle Computer, die über 802.1X-fähige Netzwerkzugriffsserver auf das Netzwerk zugreifen.
Seite 45 von 209
MS 70-649
22.12.2009
Anforderungen für 802.1X-Kabelverbindungen
Zum Bereitstellen von NAP mit 802.1X-Kabelverbindung müssen Sie Folgendes konfigurieren:






Konfigurieren Sie in NPS eine Verbindungsanforderungsrichtlinie, eine Netzwerkrichtlinie und eine
NAP-Integritätsrichtlinie. Sie können diese Richtlinien einzeln über die NPS-Konsole oder mithilfe
des Assistenten für den Netzwerkzugriffsschutz konfigurieren.
Installieren und konfigurieren Sie 802.1X-Authentifizierungsswitches.
Aktivieren Sie den NAP-EAP-Erzwingungsclient und den NAP-Dienst auf NAP-fähigen
Clientcomputern.
Konfigurieren Sie die Windows-Sicherheitsintegritätsprüfung (Windows Security Health Validator,
WSHV), oder installieren und konfigurieren Sie andere Systemintegritäts-Agents (System Health
Agents, SHAs) und Systemintegritätsprüfungen (System Health Validators, SHVs) entsprechend der
NAP-Bereitstellung.
Stellen Sie eine Public Key-Infrastruktur (Public Key Infrastructure, PKI) mit Active DirectoryZertifikatsdiensten (Active Directory Certificate Services, AD CS) bereit, wenn Sie PEAP-TLS oder
EAP-TLS mit Smartcards oder Zertifikaten verwenden.
Bei Verwendung von PEAP-MS-CHAP v2 stellen Sie Serverzertifikate mit AD CS aus, oder
erwerben Sie Serverzertifikate von einer anderen vertrauenswürdigen Stammzertifizierungsstelle.
Anforderungen für 802.1X-Drahtlosverbindungen
Zum Bereitstellen von NAP mit 802.1X-Drahtlosverbindung müssen Sie Folgendes konfigurieren:




Konfigurieren Sie in NPS eine Verbindungsanforderungsrichtlinie, eine Netzwerkrichtlinie und eine
NAP-Integritätsrichtlinie. Sie können diese Richtlinien einzeln über die NPS-Konsole oder mithilfe
des Assistenten für den Netzwerkzugriffsschutz konfigurieren.
Installieren und konfigurieren Sie 802.1X-Drahtloszugriffspunkte.
Aktivieren Sie den NAP-EAP-Erzwingungsclient und den NAP-Dienst auf NAP-fähigen
Clientcomputern.
Konfigurieren Sie WSHV, oder installieren und konfigurieren Sie andere SHAs und SHVs
entsprechend Ihrer NAP-Bereitstellung.
057. Sie sind Administrator bei Contoso. Das Firmennetzwerk enthält 10 Servercomputer auf denen das
Betriebssystem Windows Server 2008 installiert ist.
Auf den Servercomputern wurde der Remotedesktop für die Fernadministration aktiviert. Die
Sicherheitseinstellungen des RDP-TCP Verbindungsobjektes sind mit den Standardeinstellungen
konfiguriert.
Auf den Computern der Administratoren wird das Betriebssystem Windows Vista ausgeführt.
Sie müssen die höchstmögliche Sicherheit für die RDP-Verbindungen sicherstellen.
A. Legen Sie die Sicherheitsstufe in den Eigenschaften des RDP-TCP Verbindungsobjektes auf allen 10
Servercomputern mit RDP-Sicherheitsstufe fest.
B. Konfigurieren Sie die Windows-Firewall auf allen 10 Servercomputern, so dass Port 3389 blockiert wird.
C. Beziehen Sie Benutzerzertifikate von der internen Zertifizierungsstelle des Unternehmens.
D. Konfigurieren Sie die Server, so dass Verbindungen nur von Computern zugelassen werden, die
Remotedesktop mit Authentifizierung auf Netzwerkebene verwenden.
Answer: C,D
Erläuterungen:
Seite 46 von 209
MS 70-649
22.12.2009
Sie können die Terminalserversicherheit erhöhen, indem Sie die Benutzerauthentifizierung beim
Verbindungsvorgang früher zur Verfügung stellen, d. h., wenn ein Client eine Verbindung mit einem
Terminalserver herstellt. Diese frühe Benutzerauthentifizierung wird als Authentifizierung auf Netzwerkebene
bezeichnet.
Die Authentifizierung auf Netzwerkebene ist eine neue Authentifizierungsmethode, die die
Benutzerauthentifizierung abschließt, bevor eine Remotedesktopverbindung hergestellt wurde und der
Anmeldebildschirm angezeigt wird. Diese Authentifizierungsmethode ist sicherer und schützt den
Remotecomputer vor böswilligen Benutzern und bösartiger Software. Die Authentifizierung auf
Netzwerkebene bietet folgende Vorteile:


Anfänglich werden weniger Ressourcen auf dem Remotecomputer benötigt. Vor dem
Authentifizieren des Benutzers verwendet der Remotebenutzer eine begrenzte Anzahl von
Ressourcen, anstatt eine vollständige Remotedesktopverbindung wie in früheren Versionen
herzustellen.
Dies kann die Sicherheit erhöhen, indem das Risiko durch Dienstverweigerungsangriffe vermindert
wird.
Wenn Sie die Authentifizierung auf Netzwerkebene verwenden möchten, müssen dazu alle der folgenden
Anforderungen erfüllt sein:



Auf dem Clientcomputer muss mindestens Remotedesktopverbindung 6.0 installiert sein.
Auf dem Clientcomputer muss ein Betriebssystem wie Windows Vista installiert sein, das das
Credential Security Support Provider-Protokoll (CredSSP) unterstützt.
Auf dem Terminalserver muss Windows Server 2008 installiert sein.
auf dem die Serverrolle Netzwerkrichtlinien- und Zugriffsdienste (NAP) installiert ist.
Sie wollen ausschließlich den Mitgliedern einer globalen Sicherheitsgruppe mit dem Namen Gruppe1 VPNZugriff auf das Firmennetzwerk ermöglichen.
Wie gehen Sie vor?
A. Nehmen Sie Gruppe1 in die Sicherheitsgruppe RAS- und IAS-Server auf.
B. Nehmen Sie Gruppe1 in die Sicherheitsgruppe Netzwerkkonfigurations-Operatoren auf.
C. Erstellen Sie eine neue Netzwerkrichtlinie und konfigurieren Sie eine gruppenbasierte Bedingung für
Gruppe1. Legen Sie die Zugriffsberechtigung der Richtlinie mit Zugriff gewährt und die
Verarbeitungsreihenfolge der Richtlinie mit 1 fest.
D. Erstellen Sie eine neue Netzwerkrichtlinie und konfigurieren Sie eine gruppenbasierte Bedingung für
Gruppe1. Legen Sie die Zugriffsberechtigung der Richtlinie mit Zugriff gewährt und die
Verarbeitungsreihenfolge der Richtlinie mit 3 fest.
Answer: C
Erläuterungen:
Bei der Verarbeitung von Verbindungsanforderungen als RADIUS-Server führt NPS die Authentifizierung
und Autorisierung für die Verbindungsanforderung aus. Während des Authentifizierungsvorgangs überprüft
NPS die Identität des Benutzers oder Computers, der eine Verbindung mit dem Netzwerk herstellt. Während
des Autorisierungsvorgangs bestimmt NPS, ob der Benutzer oder Computer auf das Netzwerk zugreifen
darf.
Seite 47 von 209
MS 70-649
22.12.2009
angewendet.
Falsche Antworten:
A: Server in dieser Gruppe können auf die RAS-Eigenschaften von Benutzern zugreifen.
B: Mitglieder dieser Gruppe verfügen über einige Administratorrechte zum Verwalten der Konfiguration von
Netzwerkfunktionen.
D: Die Standardrichtlinie Verbindungen mit Microsoft-Routing- und Remotezugriffsserver hat eine höhere
Verarbeitungsreihenfolge und verweigert den Verbindungsaufbau für alle Benutzer.
059. Sie sind Administrator bei Contoso. Ihr Unternehmen hat den Netzwerkzugriffsschutz (Network Access
Protection, NAP) für das Netzwerk implementiert.
Sie konfigurieren alle Drahtloszugriffspunkte für die 802.1x Authentifizierung, um einen sicheren drahtlosen
Zugriff auf das Netzwerk zu ermöglichen.
Sie müssen sicherstellen, dass alle drahtlosen Clientcomputer, die eine Verbindung mit dem Netzwerk
herstellen, zuvor durch die Netzwerkrichtlinien- und Zugriffsdienste geprüft werden.
Wie gehen Sie vor?
A. Konfigurieren Sie alle Drahtloszugriffspunkte als RADIUS-Clients der Wartungsserver.
B. Konfigurieren Sie alle Drahtloszugriffspunkte als RADIUS-Clients des Netzwerkrichtlinienservers (NPS).
C. Erstellen Sie eine Netzwerkrichtlinie, die die Netzwerkverbindungsmethode Remotezugriffsserver (VPNDial up) verwendet.
D. Erstellen Sie eine Netzwerkrichtlinie, die EAP-TLS als einzige verfügbare Authentifizierungsmethode
verwendet.
Answer: B
Erläuterungen:
Ein Netzwerkzugriffsserver (Network Access Server, NAS) ist ein Gerät, das einem größeren Netzwerk eine
bestimmte Zugriffsebene ermöglicht. Ein Netzwerkzugriffsserver, der eine RADIUS-Infrastruktur verwendet,
ist auch ein RADIUS-Client, der Verbindungsanforderungen und Kontoführungsnachrichten für die
Authentifizierung, Autorisierung und Kontoführung an einen RADIUS-Server sendet. .
Clientcomputer wie drahtlose Laptops und andere Computer, auf denen Clientbetriebssysteme ausgeführt
werden, sind keine RADIUS-Clients. RADIUS-Clients sind Netzwerkzugriffsserver (drahtlose Zugriffspunkte,
802.1X-Switchs zur Authentifizierung, VPN-Server (Virtual Private Network) und DFÜ-Server), da sie über
das RADIUS-Protokoll mit RADIUS-Servern wie NPS-Servern (Network Policy Server) kommunizieren. .
Um Netzwerkrichtlinienserver (Network Policy Server, NPS) als RADIUS-Server, RADIUS-Proxy oder NAPRichtlinienserver (Network Access Protection, Netzwerkzugriffschutz) bereitzustellen, müssen Sie RADIUSSeite 48 von 209
MS 70-649
22.12.2009
Clients in NPS konfigurieren.
Es folgen Beispiele für Netzwerkzugriffsserver:




Netzwerkzugriffsserver, die RAS-Konnektivität für das Netzwerk einer Organisation oder für das
Internet ermöglichen. Ein Beispiel hierfür wäre ein Computer unter Windows Server 2008, auf dem
der Routing- und RAS-Dienst ausgeführt wird und der dem Intranet einer Organisation traditionelle
DFÜ- oder VPN-Remotezugriffsdienste zur Verfügung stellt.
Drahtloszugriffspunkte, die auf physischer Ebene mithilfe drahtloser Sende- und
Empfangstechnologien den Zugriff auf das Netzwerk einer Organisation ermöglichen.
Switches, die auf physischer Ebene mithilfe traditioneller LAN-Technologien (z. B. Ethernet) den
Zugriff auf das Netzwerk einer Organisation ermöglichen.
RADIUS-Proxys, die Verbindungsanforderungen an RADIUS-Server weiterleiten, die Mitglied einer
Remote-RADIUS-Servergruppe sind, die für den RADIUS-Proxy konfiguriert ist.
mit dem Namen Server1.
Sie müssen verhindern, dass Server1 Verbindungen mit anderen Computern über Port 25 TCP herstellt.
Wie gehen Sie vor?
A. Ergänzen Sie eine Ausnahme in der Windows-Firewall.
B. Aktivieren Sie die Option Alle eingehenden Verbindungen blocken in der Windows-Firewall.
C. Verwenden Sie die Konsole Windows-Firewall mit erweiterter Sicherheit und erstellen Sie eine
eingehende Regel.
D. Verwenden Sie die Konsole Windows-Firewall mit erweiterter Sicherheit und erstellen Sie eine
ausgehende Regel.
Answer: D
Erläuterungen:
Sie können Firewallregeln erstellen, um diesem Computer das Senden oder Empfangen des Datenverkehrs
von Programmen, Systemdiensten, Computern und Benutzern zu erlauben. Firewallregeln führen eine von
drei möglichen Aktionen für alle Verbindungen aus, die mit ihren Kriterien übereinstimmen: Zulassen der
Verbindung, Zulassen nur solcher Verbindungen, die mithilfe von IPsec (Internet Procotol Security) gesichert
ist, und ausdrückliches Blockieren der Verbindung.
Regeln lassen sich jeweils für den ein- und den ausgehenden Datenverkehr erstellen. Die Regel kann
konfiguriert werden, um die Computer oder Benutzer, Programme, Dienste oder den Port und das Protokoll
anzugeben. Sie können angeben, auf welche Art von Netzwerkadapter die Regel angewendet werden soll:
LAN (lokales Netzwerk), drahtlos, Remotezugriff – z. B. ein virtuelles privates Netzwerk (VPN) – oder alle
Typen. Sie können die Regel auch so einrichten, dass sie bei der Verwendung eines bestimmten Profils oder
aber bei jedem beliebigen Profil angewendet wird.
Wenn sich Ihre IT-Umgebung ändert, können Sie auch die Regeln ändern, neu erstellen, deaktivieren oder
löschen.
Firewallregeln werden nach folgender Rangfolge angewendet:




Authentifizierte Umgehung (d.h. Regeln, die Regeln zum Blocken außer Kraft setzen)
Verbindung blocken
Verbindung zulassen
Standardprofilverhalten (Verbindung nach der Angabe auf der Registerkarte Profil des Dialgofelds
Eigenschaften der Windows-Firewall mit erweiterter Sicherheit zulassen bzw. blocken)
Eingehende Regeln
Seite 49 von 209
MS 70-649
22.12.2009
Eingehende Regeln lassen Datenverkehr, der mit ihren Kriterien übereinstimmt, ausdrücklich zu oder
blockieren ihn. Sie können z. B. eine Regel erstellen, die ausdrücklich gesicherten Datenverkehr für den
Remotedesktop durch die Firewall zulässt, wenn er mit IPsec gesichert ist, ihn aber anderenfalls blockiert.
Bei der Installation von Windows wird der gesamte eingehende Datenverkehr blockiert; zum Zulassen des
Datenverkehrs müssen Sie eine eingehende Regel erstellen. Sie können auch die Aktion konfigurieren, die
Windows-Firewall mit erweiterter Sicherheit ausführt (also das Zulassen oder Blockieren von Verbindungen),
wenn keine eingehende Regel angewendet wird.
Ausgehende Regeln
Ausgehende Regeln lassen von dem Computer ausgehenden Datenverkehr, der mit ihren Kriterien
übereinstimmt, ausdrücklich zu oder blockieren ihn. So können Sie z. B. eine Regel erstellen, die
ausgehenden Datenverkehr durch die Firewall blockiert, wenn er an einen bestimmten Computer gerichtet
ist, ihn aber für andere Computer zulassen. Ausgehender Datenverkehr wird standardmäßig zugelassen,
sodass Sie eine ausgehende Regel erstellen müssen, um ihn zu blockieren.
Die Standardaktion, also das Zulassen oder Blockieren von Verbindungen, kann konfiguriert werden.
Zusammenhang zwischen Firewallregeln und Verbindungssicherheit
Firewallregeln lassen den Datenverkehr durch die Firewall zu, sichern ihn aber nicht. Um den Datenverkehr
mit IPsec zu sichern, können Sie Verbindungssicherheitsregeln erstellen. Durch
Verbindungssicherheitsregeln wird der Datenverkehr durch die Firewall aber nicht zugelassen. Dazu müssen
Sie eine Firewallregel erstellen, falls der Datenverkehr nicht schon durch das Standardverhalten der Firewall
zugelassen ist. Verbindungssicherheitsregeln werden nicht auf Programme und Dienste angewendet,
sondern auf die Kommunikation zwischen den Computern, die die beiden Endpunkte bilden.
2008 installiert.
Die Domäne enthält eine Unternehmensstammzertifizierungsstelle. Das Unternehmen plant den Einsatz des
Netzwerkzugriffsschutzes, um VPN-Verbindungen zu schützen.
Sie installieren zwei Server mit den Namen NPS1 und VPN1. Die Rollen und Funktionen der Server werden
in der Abbildung gezeigt (klicken Sie auf die Schaltfläche Zeichnung).
Sie müssen sicherstellen, dass die Systemintegritätsrichtlinie auf alle Clientcomputer angewendet wird, die
eine VPN-Verbindung mit VPN1 herstellen.
Wie gehen Sie vor?
A. Konfigurieren Sie NPS1 als RADIUS-Client.
B. Konfigurieren Sie VPN1 als RADIUS-Client.
C. Installieren Sie die Serverrolle Netzwerkrichtlinien- und Zugriffsdienste (NAP) auf einem
Domänencontroller.
D. Installieren Sie die Serverrolle Netzwerkrichtlinien- und Zugriffsdienste (NAP) auf einem Server, der die
Zertifizierungsstelle des Unternehmens ausführt.
Answer: B
Erläuterungen:
Ein Netzwerkzugriffsserver (Network Access Server, NAS) ist ein Gerät, das einem größeren Netzwerk eine
bestimmte Zugriffsebene ermöglicht. Ein Netzwerkzugriffsserver, der eine RADIUS-Infrastruktur verwendet,
Seite 50 von 209
MS 70-649
22.12.2009
ist auch ein RADIUS-Client, der Verbindungsanforderungen und Kontoführungsnachrichten für die
Authentifizierung, Autorisierung und Kontoführung an einen RADIUS-Server sendet. .
Clientcomputer wie drahtlose Laptops und andere Computer, auf denen Clientbetriebssysteme ausgeführt
werden, sind keine RADIUS-Clients. RADIUS-Clients sind Netzwerkzugriffsserver (drahtlose Zugriffspunkte,
802.1X-Switchs zur Authentifizierung, VPN-Server (Virtual Private Network) und DFÜ-Server), da sie über
das RADIUS-Protokoll mit RADIUS-Servern wie NPS-Servern (Network Policy Server) kommunizieren. .
Um Netzwerkrichtlinienserver (Network Policy Server, NPS) als RADIUS-Server, RADIUS-Proxy oder NAPRichtlinienserver (Network Access Protection, Netzwerkzugriffschutz) bereitzustellen, müssen Sie RADIUSClients in NPS konfigurieren.
Es folgen Beispiele für Netzwerkzugriffsserver:




Netzwerkzugriffsserver, die RAS-Konnektivität für das Netzwerk einer Organisation oder für das
Internet ermöglichen. Ein Beispiel hierfür wäre ein Computer unter Windows Server 2008, auf dem
der Routing- und RAS-Dienst ausgeführt wird und der dem Intranet einer Organisation traditionelle
DFÜ- oder VPN-Remotezugriffsdienste zur Verfügung stellt.
Drahtloszugriffspunkte, die auf physischer Ebene mithilfe drahtloser Sende- und
Empfangstechnologien den Zugriff auf das Netzwerk einer Organisation ermöglichen.
Switches, die auf physischer Ebene mithilfe traditioneller LAN-Technologien (z. B. Ethernet) den
Zugriff auf das Netzwerk einer Organisation ermöglichen.
RADIUS-Proxys, die Verbindungsanforderungen an RADIUS-Server weiterleiten, die Mitglied einer
Remote-RADIUS-Servergruppe sind, die für den RADIUS-Proxy konfiguriert ist.
2008 installiert.
Sie implementieren einen Windows Server 2008 VPN-Server hinter einer Firewall. Remotebenutzer sollen
den Server verwenden, um mit ihren tragbaren Computern Verbindungen mit dem Firmennetzwerk
herzustellen. Auf den tragbaren Computern der Remotebenutzer ist das Betriebssystem Windows Vista mit
dem aktuellstem Service Pack installiert.
Die Firewall ist so konfiguriert, dass ausschließlich sichere Webkommunikation (HTTPS) zugelassen wird.
Sie müssen den Remotebenutzern Verbindungen mit dem VPN-Server ermöglichen. Sie wollen Ihr Ziel
erreichen, ohne zusätzliche Ports auf der Firewall zu öffnen.
Wie gehen Sie vor?
A. Erstellen Sie einen IPSec Tunnel.
B. Erstellen Sie eine SSTP VPN-Verbindung.
C. Erstellen Sie eine PPTP VPN-Verbindung.
D. Erstellen Sie eine L2TP VPN-Verbindung.
Answer: B
Erläuterungen:
Tunnelprotokolle ermöglichen die Kapselung eines Pakets eines Protokolltyps innerhalb des Datagramms
eines anderen Protokolls. Beispielsweise wird PPTP von VPN zur Kapselung von IP-Paketen in einem
öffentlichen Netzwerk wie dem Internet verwendet. Sie können eine VPN-Lösung konfigurieren, die auf
PPTP (Point-to-Point Tunneling Protocol), L2TP (Layer Two Tunneling Protocol) oder SSTP (Secure Socket
Tunneling Protocol) basiert.
PPTP, L2TP und SSTP sind unbedingt von den Features abhängig, die ursprünglich für das Point-to-PointProtokoll (PPP) festgelegt wurden. PPP wurde für das Senden von Daten über DFÜ- oder dedizierte Punktzu-Punkt-Verbindungen entwickelt. Für IP werden von PPP IP-Pakete innerhalb von PPP-Rahmen gekapselt
Seite 51 von 209
MS 70-649
22.12.2009
und dann die gekapselten PPP-Pakete über eine Punkt-zu-Punkt-Verbindung übertragen. PPP war
ursprünglich als Protokoll für den Einsatz zwischen einem DFÜ-Client und einem Netzwerkzugriffserver
gedacht.
SSTP
SSTP (Secure Socket Tunneling Protocol) ist ein neues Tunnelprotokoll, das das HTTPS-Protokoll über den
TCP-Port 443 für Datenverkehr durch Firewalls und Webproxies verwendet, die den PPTP- und L2TP/IPsecDatenverkehr blockieren könnten. SSTP bietet einen Mechanismus zur Kapselung von PPP-Datenverkehr
über den SSL-Kanal (Secure Sockets Layer) des HTTPS-Protokolls. Die Verwendung von PPP ermöglicht
die Unterstützung starker Authentifizierungsmethoden wie EAP-TLS. SSL bietet TLS (Transport Level
Security) mit verbesserter Schlüsselaushandlung, Verschlüsselung und Integritätsprüfung.
Wenn ein Client versucht, eine SSTP-basierte VPN-Verbindung herzustellen, wird von SSTP zuerst eine
bidirektionale HTTPS-Ebene zum SSTP-Server erstellt. Über diese HTTPS-Ebene werden diese
Protokollpakete als Dateninhalt versendet.
Kapselung
Von SSTP werden PPP-Rahmen in IP-Datagrammen für die Übertragung über das Netzwerk gekapselt. Von
SSTP wird eine TCP-Verbindung (über Port 443) für die Tunnelverwaltung sowie für PPP-Datenrahmen
verwendet.
Verschlüsselung
Die SSTP-Nachricht wird mit dem SSL-Kanal des HTTPS-Protokolls verschlüsselt.
Wenn Sie zwischen den RAS-VPN-Lösungen mit PPTP, L2TP/IPsec oder SSTP eine Auswahl treffen,
sollten Sie Folgendes beachten:

PPTP kann für eine Vielzahl von Microsoft-Clients, einschließlich Microsoft Windows 2000, Windows
XP, Windows Vista und Windows Server 2008, eingesetzt werden. Im Gegensatz zu L2TP/IPsec
erfordert PPTP nicht die Verwendung einer Infrastruktur mit öffentlichem Schlüssel (Public Key
Infrastructure, PKI). PPTP-basierte VPN-Verbindungen sorgen durch Verschlüsselung für die
Vertraulichkeit der Daten (abgefangene Pakete können ohne den Verschlüsselungsschlüssel nicht
interpretiert werden). PPTP-basierte VPN-Verbindungen bieten jedoch keine Datenintegrität
(Nachweis, dass die Daten bei der Übertragung nicht verändert wurden) oder
Datenursprungsauthentifizierung (Nachweis, dass die Daten vom autorisierten Benutzer stammen).

L2TP kann nur für Clientcomputer unter Windows 2000, Windows XP oder Windows Vista
verwendet werden. L2TP unterstützt entweder Computerzertifikate oder einen vorinstallierten
Schlüssel als Authentifizierungsmethode für IPsec. Die Computerzertifikatauthentifizierung, die
empfohlene Authentifizierungsmethode, erfordert eine PKI zur Ausstellung von Computerzertifikaten
für den VPN-Servercomputer und alle VPN-Clientcomputer. Durch die Verwendung von IPsec bieten
L2TP/IPsec-VPN-Verbindungen Datenvertraulichkeit, Datenintegrität und Datenauthentifizierung. Im
Gegensatz zu PPTP und SSTP ermöglicht L2TP/IPsec die Computerauthentifizierung auf IPsecEbene und die Benutzerebenenauthentifizierung auf PPP-Ebene.

SSTP kann nur für Clientcomputer unter Windows Vista Service Pack 1 (SP1) oder Windows Server
2008 verwendet werden. Durch die Verwendung von SSL bieten SSTP-VPN-Verbindungen
Datenvertraulichkeit, Datenintegrität und Datenauthentifizierung.

Alle drei Tunneltypen verwenden PPP-Rahmen über dem Netzwerkprotokollstapel. Daher sind die
allgemeinen Features von PPP wie Authentifizierungsschemas, IPv4- und IPv6-Aushandlung und
Netzwerkzugriffsschutz (Network Access Protection, NAP) bei allen drei Tunneltypen identisch.
063. Sie sind Administrator bei Contoso. Das Unternehmen setzt den Netzwerkzugriffsschutz (NAP) für die
Absicherung des Netzwerks ein.
Seite 52 von 209
MS 70-649
22.12.2009
Die Benutzer haben die Möglichkeit sich remote mit dem Firmennetzwerk zu verbinden.
Sie müssen sicherstellen, dass die Datenübertragung zwischen den Remotecomputern und dem
Firmennetzwerk so sicher wie möglich ist.
Wie gehen Sie vor?
A. Konfigurieren Sie die NAP-Erzwingung für die IPSec-Kommunikation.
B. Konfigurieren Sie die NAP-Erzwingung für 802.1x Drahtlosverbindungen.
C. Konfigurieren Sie die VPN-Verbindungen, so dass das Authentifizierungsprotokoll MS-CHAP v2
verwendet wird.
D. Konfigurieren Sie die NAP-Erzwingung für Dynamic Host Configuration Protocol (DHCP) Clients.
Answer: A
Erläuterungen:
Die Erzwingung des Netzwerkzugriffsschutzes (Network Access Protection, NAP) für IPsec-Richtlinien
(Internet Protocol security, Internetprotokollsicherheit) für Windows-Firewall wird über einen
Integritätszertifikatserver, einen Integritätsregistrierungsstellen-Server (Health Registration Authority, HRA),
einen Netzwerkrichtlinienserver (Network Policy Server, NPS) und einen IPsec-Erzwingungsclient
bereitgestellt. Der Integritätszertifikatserver stellt X.509-Zertifikate für NAP-Clients aus, wenn sie als konform
eingestuft werden. Mithilfe dieser Zertifikate werden dann NAP-Clients authentifiziert, wenn sie eine IPsecKommunikation mit anderen NAP-Clients in einem Intranet starten.
Die IPsec-Erzwingung beschränkt die Kommunikation im Netzwerk auf kompatible Clients und bietet die
sicherste Implementierung von NAP. Da bei dieser Erzwingungsmethode IPsec verwendet wird, können Sie
Anforderungen für eine sichere Kommunikation auf der Basis von IP-Adressen oder TCP/UDP-Portnummern
definieren.
2008 installiert.
Das Netzwerk enthält einen Servercomputer mit dem Namen NAT1. NAT1 dient als Server für die
Netzwerkadressübersetzung (Network Adress Translation, NAT).
Sie müssen sicherstellen, dass Administratoren Remotedesktopverbindungen mit einem Server namens
RDP1 herstellen können.
Wie gehen Sie vor?
A. Konfigurieren Sie NAT1, so dass Port 389 TCP an RDP1 weitergeleitet wird.
B. Konfigurieren Sie NAT1, so dass Port 1432 TCP an RDP1 weitergeleitet wird.
C. Konfigurieren Sie NAT1, so dass Port 3339 TCP an RDP1 weitergeleitet wird.
D. Konfigurieren Sie NAT1, so dass Port 3389 TCP an RDP1 weitergeleitet wird.
Answer: D
Erläuterungen:
Sie können die Terminaldienstekonfiguration auf einem Computer verwenden, selbst wenn der
Terminalserver-Rollendienst nicht auf diesem Computer installiert ist. Wenn der Terminalserver-Rollendienst
nicht installiert ist, wird in der Terminaldienstekonfiguration angezeigt, dass der Computer für
Remotedesktop für Verwaltung konfiguriert ist.
Im Folgenden sind Einschränkungen von Remotedesktop für Verwaltung aufgelistet:

Die Standardverbindung (RDP-Tcp) lässt maximal nur zwei gleichzeitige Remoteverbindungen zu.

Lizenzierungseinstellungen können nicht konfiguriert werden.

Einstellungen für den TS-Sitzungsbroker können nicht konfiguriert werden.

Der Benutzeranmeldemodus kann nicht konfiguriert werden.
Seite 53 von 209
MS 70-649
22.12.2009
Standardmäßig erwarten Remotedesktop, Terminalserver und Remoteunterstützung Verbindungsanfragen
auf Port 3389 TCP.
065. Sie sind Administrator bei Contoso. Sie führen ein Sicherheitsaudit für einen Windows Server 2008
Computer mit dem Namen CRM1 durch.
Sie wollen eine Liste aller DNS Abfragen erstellen, die von CRM1 initiiert wurden. Sie installieren Microsoft
Netzwerk Monitor 3.0 auf CRM1. Anschließend zeichnen Sie den gesamten lokalen Datenverkehr über
einen Zeitraum von 24 Stunden auf und speichern die Sammlungsdatei unter dem Namen Data.cap. Die
Größe der Datei beträgt mehr als 1 GB.
Sie wollen aus der bestehenden Sammlungsdatei eine Datei mit Namen DNSdata.cap erstellen, die
ausschließlich DNS-bezogene Daten enthält.
Wie gehen Sie vor?
A. Wenden Sie den Display Filter !DNS an und speichern Sie die angezeigten Frames in einer Datei mit dem
Namen DNSdata.cap.
B. Wenden Sie den Display Filter DNS an und speichern Sie die angezeigten Frames in einer Datei mit dem
Namen DNSdata.cap.
C. Erstellen Sie einen neuen Alias mit dem Namen DNS in der Aliastabelle und speichern Sie die Datei unter
dem Namen DNSdata.cab.
D. Führen Sie den Befehl nmcap.exe /inputcapture data.cap /capture DNS /file DNSdata.cap aus.
Answer: D
Erläuterungen:
Microsoft hat die neue Version des Netzwerk Monitors nicht mehr wie die bisherigen Versionen direkt in das
Betriebssystem integriert. Die aktuelle Version 3.1 ist als Download über die Microsoft Website verfügbar.
Unter der Adresse http://blogs.technet.com/NetMon gibt es einen Blog des Produktteams.
Hier die wesentlichen neuen Funktionen:

Komplett neu gestaltetes Benutzerinterface (GUI)

Echtzeit Aufnahme (Capture) und Anzeige von Rahmen (Frames)

Gleichzeitige Aufnahme an mehreren Netzwerkadaptern

Netzwerkunterhaltungen und eine Baumstrukturansicht der Rahmen einer Unterhaltung

Support für Vista/Windows XP/Windows Server 2003/ Windows Server 2008

Support für 32bit und 64bit Plattformen
Das Befehlszeilenprogramm Nmcap.exe befindet sich im Installationsverzeichnis von Netzwerkmonitor 3.0
und bietet gegenüber der grafischen Benutzeroberfläche eine bessere Performance bei zeitaufwändigen
Aufgaben.
Domäne mit dem Namen Contoso.de. Die Domäne enthält zwei Windows Server 2008 Computer mit den
Namen DC1 und DC2.
Sie planen die Ereignisweiterleitung von DC2 an DC1. Sie konfigurieren das erforderliche Abonnement. Sie
aktivieren die Option Normal für die Einstellung Event Delivery Optimization und wählen das Protokoll HTTP.
Später stellen Sie fest, dass keines der Abonnements funktioniert.
Sie müssen sicherstellen, dass die Server die Ereignisweiterleitung unterstützen und das Abonnement auf
DC2 erfolgreich aktualisiert werden kann.
Welche drei Schritte werden Sie durchführen? (Jede korrekte Antwort stellt einen Teil der Lösung dar.
Seite 54 von 209
MS 70-649
22.12.2009
Wählen Sie drei Antworten.)
A. Führen Sie den Befehl wecutil qc auf DC1 aus.
B. Führen Sie den Befehl wecutil qc auf DC2 aus.
C. Führen Sie den Befehl winrm quickconfig auf DC1 aus.
D. Führen Sie den Befehl winrm quickconfig auf DC2 aus.
E. Nehmen Sie das Computerkonto von DC2 in die Administratorengruppe auf DC1 auf.
F. Nehmen Sie das Computerkonto von DC1 in die Administratorengruppe auf DC2 auf.
Answer: A,D,F
Erläuterungen:
Mit der Ereignisanzeige können Sie Ereignisse auf einem einzelnen Computer betrachten. Bei der
Problembehandlung kann es jedoch erforderlich sein, eine Reihe von Ereignissen zu untersuchen, die in
verschiedenen Protokollen auf verschiedenen Computern gespeichert sind.
Windows Server 2008 bietet die Möglichkeit, Kopien der Ereignisse von mehreren Remotecomputern zu
sammeln und lokal zu speichern. Um anzugeben, welche Ereignisse gesammelt werden sollen, erstellen Sie
ein Ereignisabonnement. Neben anderen Einzelheiten gibt das Abonnement genau an, welche Ereignisse
gesammelt und in welchem Protokoll sie lokal gespeichert werden. Sobald ein Abonnement aktiv ist und die
Ereignisse gesammelt werden, können Sie diese weitergeleiteten Ereignisse wie lokal gespeicherte
Ereignisse betrachten und bearbeiten.
Um die Ereignissammlungsfunktion verwenden zu können, müssen Sie sowohl die weiterleitenden
(Quellcomputer) als auch die sammelnden (Sammlungscomputer) Computer konfigurieren. Diese
Funktionalität stützt sich auf den Windows-Remoteverwaltungsdienst (WinRM) und den WindowsEreignissammlungsdienst (Wecsvc). Beide Dienste müssen auf den Computern ausgeführt werden, die an
diesem Weiterleitungs- und Sammlungsprozess teilnehmen.
067. Sie sind Administrator bei Contoso. Das Firmennetzwerk enthält 100 Servercomputer.
Sie installieren Windows Server 2008 mit der Serverrolle Webserver (IIS) auf einem neuen Servercomputer.
Später stellen Sie fest, dass die Zuverlässigkeitsüberwachung keine Daten enthält und das
Systemstabilitätsdiagramm noch nie aktualisiert wurde.
Sie müssen den Server so konfigurieren, dass die erforderlichen Daten für die Zuverlässigkeitsüberwachung
gesammelt werden.
Wie gehen Sie vor?
A. Führen Sie den Befehl perfmon.exe /sys auf dem Server aus.
B. Konfigurieren Sie den Dienst Aufgabenplanung so dass er automatisch gestartet wird.
C. Konfigurieren Sie den Dienst Remoteregistrierung so dass er automatisch gestartet wird.
D. Konfigurieren Sie den Dienst Sekundäre Anmeldung so dass er automatisch gestartet wird.
Answer: B
Erläuterungen:
Die Windows-Zuverlässigkeits- und Leistungsüberwachung ist ein MMC-Snap-In (Microsoft Management
Console), das Tools zur Analyse der Systemleistung bereitstellt. Von einer zentralen Konsole aus können
Sie die Anwendungs- und Hardwareleistung in Echtzeit überwachen, festlegen, welche Daten Sie in
Protokollen erfassen möchten, Schwellenwerte für Warnungen und automatische Aktionen definieren,
Berichte erstellen und ältere Leistungsdaten auf verschiedene Weise anzeigen.
Die Windows-Zuverlässigkeits- und Leistungsüberwachung kombiniert die Funktionalität der früheren
eigenständigen Tools Leistungsprotokolle und -warnungen, Server Performance Advisor und
Systemmonitor. Sie enthält eine grafische Benutzeroberfläche zur Anpassung von Sammlungssätzen und
Ereignisablaufverfolgungssitzungen.
Die Zuverlässigkeitsüberwachung zeigt einen Überblick über die Systemstabilität und eine Trendanalyse mit
ausführlichen Informationen über einzelne Ereignisse, die die Gesamtstabilität des Systems beeinflussen,
z.B. Softwareinstallationen, Aktualisierungen des Betriebssystems und Hardwarefehler. Sie beginnt zum
Seite 55 von 209
MS 70-649
22.12.2009
Zeitpunkt der Systeminstallation mit dem Erfassen von Daten. Die Erhebung der Daten ist abhängig von der
Aufgabenplanung.
Falsche Antworten:
A: Der Befehl öffnet den Systemmonitor.
C: Ermöglicht Remotebenutzern, Registrierungseinstellungen dieses Computers zu verändern. Wenn dieser
Dienst beendet wird, kann die Registrierung nur von lokalen Benutzern dieses Computers verändert werden.
Falls dieser Dienst deaktiviert wird, können die Dienste, die von diesem Dienst ausschließlich abhängig sind,
nicht mehr gestartet werden.
D: Aktiviert das Starten von Prozessen mit verschiedenen Anmeldeinformationen. Wenn dieser Dienst
beendet wird, wird dieser Typ von Anmeldezugriff nicht mehr verfügbar sein. Wenn dieser Dienst deaktiviert
wird, können alle Dienste, die explizit von diesem Dienst abhängen, nicht mehr gestartet werden.
Domäne mit dem Namen Contoso.de. Die Domäne enthält zwei Domänencontroller mit den Namen DC1 und
DC2.
Sie konfigurieren beide Server für die Unterstützung der Ereignisweiterleitung. Anschließend erstellen Sie
auf DC1 ein neues Abonnement für DC2.
Sie müssen die Systemereignisse von DC2 einsehen.
Welches Ereignisprotokoll werden Sie öffnen?
A. Das Protokoll System auf DC1.
B. Das Protokoll Anwendung auf DC2.
C. Das Protokoll Weitergeleitete Ereignisse auf DC1.
D. Das Protokoll Weitergeleitete Ereignisse auf DC2.
Answer: C
Erläuterungen:
Weitergeleitete Ereignisse werden auf dem Sammlungscomputer im Protokoll weitergeleitete Ereignisse
gespeichert.
069. Sie sind Administrator bei Contoso. Das Firmennetzwerk enthält 100 Servercomputer.
Ein Windows Server 2008 Computer ist als Dateiserver für das Netzwerk konfiguriert. Server1 ist an ein
Storage Area Network (SAN) angeschlossen und hat 15 logische Laufwerke.
Sie wollen automatisiert ein Skript für die Datenarchivierung ausführen, wenn der freie Speicherplatz auf
einem der logischen Laufwerke unter 30 Prozent sinkt.
Sie müssen die Skriptausführung automatisieren. Sie erstellen einen neuen Sammlungssatz.
Was werden Sie als nächstes unternehmen?
A. Schließen Sie den Datentyp Daten der Ereignisablaufverfolgung in den Sammlungssatz ein.
B. Schließen Sie den Datentyp Leistungsindikatorenwarnung in den Sammlungssatz ein.
C. Schließen Sie den Datentyp Leistungsindikatoren in den Sammlungssatz ein.
D. Schließen Sie den Datentyp Systemkonfigurationsinformationen in den Sammlungssatz ein.
Answer: B
Erläuterungen:
Sie können einen Sammlungssatz aus einer benutzerdefinierten Kombination von Datensammlungen
erstellen. Zu diesen Datensammlungen können Leistungsindikatoren, Konfigurationsdaten und Daten von
Ablaufverfolgungsanbietern gehören.
Wenn Sie einen Sammlungssatz vom Typ Leistungsindikatorenwarnung erstellen, können Sie einen
benutzerdefinierten Sammlungssatz mit Leistungsindikatoren einrichten und Warnungen für den Fall
Seite 56 von 209
MS 70-649
22.12.2009
einrichten, dass diese Leistungsindikatoren unter einen von Ihnen festgelegten Grenzwert fallen oder ihn
übersteigen.
Nachdem Sie einen Sammlungssatz erstellt haben, müssen Sie die Aktionen einrichten, die das System
vornimmt, wenn die Warnbedingungen eintreffen.
2008 installiert.
Ein Server mit dem Namen Server1 stellt freigegebene Dokumente für die Benutzer bereit. Die Benutzer
berichten über extrem lange Antwortzeiten beim Zugriff auf die freigegebenen Dokumente.
Sie melden sich an Server1 an. Sie beobachten die Echtzeitdaten des Systems und stellen fest, dass der
Prozessor zu 100 Prozent ausgelastet ist.
Sie müssen zusätzliche Daten erheben, um die Ursache des Problems zu ermitteln.
Wie gehen Sie vor?
A. Verwenden Sie die Konsole Zuverlässigkeits- und Leistungsüberwachung. Erstellen Sie ein
Leistungsindikatorenprotokoll, um die Auslastung des Prozessors aufzuzeichnen.
B. Verwenden Sie die Konsole Ereignisanzeige und durchsuchen Sie das Protokoll Anwendung nach
Ereignissen, die in Zusammenhang mit der Systemleistung stehen.
C. Verwenden Sie die Konsole Zuverlässigkeits- und Leistungsüberwachung. Verwenden Sie die
Ressourcenübersicht, um den prozentualen Anteil der Prozessornutzung für jede Anwendung einzusehen.
D. Verwenden Sie die Konsole Zuverlässigkeits- und Leistungsüberwachung. Erstellen Sie eine Warnung,
die ausgelöst wird, wenn die Prozessorauslastung 80 Prozent für mehr als 5 Minuten übersteigt.
Answer: C
Erläuterungen:
Mit Hilfe der Ressourcenübersicht kann die Ressourcenverwendung detailiert analysiert werden. Vier
Diagramme mit Bildlaufleisten im Bereich Ressourcenübersicht zeigen die Echtzeitverwendung der CPU, der
Festplatte, des Netzwerks und des Arbeitsspeichers auf dem lokalen Computer an. Vier erweiterbare
Abschnitte unterhalb der Diagramme enthalten Einzelheiten auf Prozessebene zu den einzelnen
Ressourcen.
071. Sie sind Administrator bei Contoso. Das Firmennetzwerk enthält zwei Windows Server 2008 Computer
mit den Namen Server1 und Server2.
Sie installieren die Windows Update Services (WSUS) auf beiden Servercomputern. Sie wollen die Windows
Update Services auf Server1 so konfigurieren, dass die Updates und Patches von Server2 geladen werden.
Welche Aktion werden Sie auf Server1 durchführen?
A. Konfigurieren Sie einen Proxyserver.
B. Konfigurieren Sie einen Upstreamserver.
C. Erstellen Sie eine neue Replikationsgruppe.
D. Erstellen Sie eine neue Computergruppe.
Answer: B
Erläuterungen:
Der Einsatz mehrerer Windows Server Update Services (WSUS) Computer in einer Organisation erlaubt
eine flexible Skalierung des Dienstes. Einer der Server muss in diesem Szenario die Updates von Microsoft
Update synchronisieren. Dieser Server wird als Upstreamserver bezeichnet. Die verbleibenden Server
können Updates mit dem Upstreamserver synchronisieren und werden als Downstreamserver bezeichnet.
mit dem Namen DC1. Auf DC1 wurde die Serverrolle DHCP-Server installiert.
Sie stellen fest, dass ein Desktopcomputer mit dem Namen Desktop1 keine IP-Konfiguration von DC1
Seite 57 von 209
MS 70-649
22.12.2009
erhalten kann.
Sie installieren Microsoft Network Monitor V3.0 auf DC1 und aktivieren die Option P-mode in der Netzwerk
Interface Konfiguration. Sie wollen ausschließlich den DHCP-bezogenen Datenverkehr zwischen DC1 und
Desktop1 aufzeichnen.
Die Konfiguration der Netzwerkschnittstellen der beiden Computer wird in der Abbildung gezeigt (klicken Sie
auf die Schaltfläche Zeichnung).
Sie müssen einen Filter erstellen, der sicherstellt, dass ausschließlich DHCP-bezogener Datenverkehr
zwischen DC1 und Desktop1 aufgezeichnet wird.
Welchen Filter werden Sie verwenden?
A. IPv4.Address == 169.254.15.84 && DHCP
B. IPv4.Address == 169.254.15.84 && DHCP
C. Ethernet.Address == 0x000A5E1C7F67 && DHCP
D. Ethernet.Address == 0x001731D55EFF && DHCP
Answer: D
Erläuterungen:
Sammlungsfilter (Capture Filter) stellen eine sehr leistungsstarke Funktion von Network Monitor 3.0 dar. Es
können Standardfilter über ein Auswahlmenü eingefügt und komplexe Filter manuell erstellt werden.
Filterstrings können mit logischen Operatoren wie And und Or verknüpft werden.
073. Sie sind Administrator bei Contoso. Sie installieren die Windows Update Services (WSUS) auf einem
Windows Server 2008 Computer.
Sie müssen sicherstellen, dass der Datenverkehr zwischen der WSUS-Verwaltungswebsite und dem
Computer des Serveradministrators verschlüsselt wird.
Wie gehen Sie vor?
A. Konfigurieren Sie die SSL-Verschlüsselung für die Verwaltungswebsite der Windows Server Update
Services (WSUS).
B. Führen Sie den Befehl netdom trust /SecurePasswordPrompt auf dem WSUS-Server aus.
C. Konfigurieren Sie die NTFS-Berechtigungen für das Inhaltsverzeichnis der Website und verweigern Sie
der Gruppe Jeder das Recht Vollzugriff.
D. Erfordern Sie die integrierte Windows Authentifizierung (integrated Windows Authentication, IWA) für
Verbindungen mit der WSUS-Verwaltungswebsite.
Answer: A
Erläuterungen:
Sie können die SSL-Einstellungen der Website konfigurieren, um die Datenverschlüsselung für
Übertragungen zwischen dem Server und den Clients zu verwalten. Sie können außerdem durch Auswahl
von Ignorieren, Akzeptieren oder Erforderlich für Zertifikate festlegen, dass ein Client identifiziert werden
muss, bevor der Zugriff auf Inhalte gewährt wird.
074. Sie sind Administrator bei Contoso. Das Firmennetzwerk enthält 10 alleinstehende Windows Server
2008 Computer.
Seite 58 von 209
MS 70-649
22.12.2009
Sie installieren die Windows Server Update Services (WSUS) auf einem Servercomputer mit dem Namen
Server1. Sie wollen nun alle verbliebenen Server so konfigurieren, dass sie ihre Updates von Server1
beziehen.
Wie gehen Sie vor?
A. Konfigurieren Sie auf allen Servercomputern die Einstellungen für Windows Update. Verwenden Sie die
Systemsteuerung.
B. Führen Sie auf allen Servercomputern den Befehl wuauclt.exe /detectnow aus.
C. Führen Sie auf allen Servercomputern den Befehl wuauclt.exe /resetauthorization aus.
D. Konfigurieren Sie auf allen Servercomputern die Einstellungen für Windows Update. Verwenden Sie das
lokale Gruppenrichtlinienobjekt (GPO).
Answer: D
Erläuterungen:
Über die Richtlinie Internen Pfad für den Microsoft Updatedienst angeben kann der Windows Update
Clientdienst so konfiguriert werden, dass Updates von einem internen Windows Update Services (WSUS)
Server bezogen werden. Die Richtlinie befindet sich im Abschnitt Computerkonfiguration – Administrative
Vorlagen – Windows-Komponenten – Windows Update.
Falsche Antworten:
A: Über die Option Windows Update der Systemsteuerung kann kein interner Server für Updates festgelegt
werden.
B: Leitet den Download der erforderlichen Updates ein und dient zur Überprüfung der Konfiguration.
C: WSUS verwendet Cookies auf dem Client-Computer um verschiedene Arten der Informationen,
einschließlich Gruppenmitgliedschaft zu speichern. Das Cookie wird automatisch eine Stunde nach
erfolgreichem Update vom WSUS gelöscht. Wenn sie Clientgruppierungen verwenden kombinieren sie die
Funktion mit /detectnow damit das Cookie abläuft, eine neue Abfrage eingeleitet wird und WSUS die
Gruppenmitgliedschaft aktualisiert.
075. Sie sind Administrator bei Contoso. Das Unternehmen hat eine Hauptgeschäftsstelle und eine
Zweigstelle. Das Firmennetzwerk besteht aus einer einzelnen Active Directory Gesamtstruktur, die sich über
beide Standorte erstreckt. Die Gesamtstruktur wird im Modus Windows Server 2003 betrieben.
Die Hauptgeschäftsstelle verfügt über 4 Windows Server 2003 Domänencontroller.
Sie müssen sicherstellen, dass Sie einen schreibgeschützten Domänencontroller (RODC) in der Zweigstelle
aufstellen können.
A. Führen Sie den Befehl adprep /rodcprep aus.
B. Stufen Sie die Funktionsebene der Gesamtstruktur (FFL) auf Windows Server 2008 herauf.
C. Stufen Sie die Funktionsebene der Domäne (DFL) auf Windows Server 2008 herauf.
D. Installieren Sie einen Windows Server 2008 Domänencontroller in der Hauptgeschäftsstelle.
Answer: A,D
Erläuterungen:
Sie müssen folgende Punkte sicherstellen, um einen schreibgeschützten Windows Server 2008
Domänencontroller in einer vorhandenen Windows Server 2003 Gesamtstruktur zu installieren:

Die Gesamtstrukturfunktionsebene (FFL) muss mindestens Windows Server 2003 oder höher sein.

Sie müssen den Befehl adprep /rodcprep ausführen. Der Befehl aktualisiert die Berechtigungen für
alle DNS-Verzeichnispartitionen der Gesamtstruktur.

Sie müssen einen beschreibbaren Windows Server 2008 Domänencontroller installieren
Seite 59 von 209
MS 70-649
22.12.2009
Zweigstellen. Alle Bürostandorte sind als separate Active Directory Standorte konfiguriert. Jeder Standort hat
einen schreibgeschützten Domänencontroller (RODC).
Die Benutzer in den Zweigstellen können sich nicht mit Ihren Benutzerkonten anmelden.
Sie müssen sicherstellen, dass die zwischengespeicherten Zugangsdaten der Benutzerkonten
ausschließlich auf den schreibgeschützten Domänencontroller am Standort der jeweiligen Benutzer
gespeichert werden.
Wie gehen Sie vor?
A. Erstellen Sie in den Eigenschaften der Computerkonten der schreibgeschützten Domänencontroller
(RODC) jeweils eine separate Kennwortreplikationsrichtlinie.
B. Nehmen Sie die Benutzerkonten in die Sicherheitsgruppe Zulässige RODC-Kennwortreplikationsgruppe
der Domäne auf.
C. Konfigurieren Sie die Eigenschaften der Computerkonten der schreibgeschützten Domänencontroller
(RODC). Erteilen Sie den gewünschten Benutzerkonten auf dem Register Sicherheit die Berechtigung
Empfangen als – Zulassen zu.
D. Erstellen Sie für jeden Standort eine separate Sicherheitsgruppe und nehmen Sie die Benutzerkonten in
die entsprechende Gruppe auf. Nehmen Sie die Gruppenkonten in die Sicherheitsgruppe Zulässige RODCKennwortreplikationsgruppe der Domäne auf.
Answer: A
Erläuterungen:
Sie müssen bei der ersten Bereitstellung eines schreibgeschützten Domänencontrollers die
Kennwortreplikationsrichtlinie auf dem beschreibbaren Domänencontroller konfigurieren, der als
Replikationspartner des RODC verwendet wird. Die Kennwortreplikationsrichtlinie fungiert als
Zugriffssteuerungsliste (Access Control List, ACL). Mit ihr wird bestimmt, ob ein Kennwort von einem RODC
zwischengespeichert werden darf. Wenn ein RODC eine Anmeldeanforderung eines authentifizierten
Benutzers oder Computers erhält, bestimmt er mit Bezug auf die Kennwortreplikationsrichtlinie, ob das
Kennwort für das Konto zwischengespeichert werden soll. Nachfolgende Anmeldungen durch dasselbe
Konto können dann effizienter ausgeführt werden.
Servercomputer mit dem Namen Server1. Auf Server1 wird eine Instanz der Active Directory Lightweight
Directory Services (AD LDS) ausgeführt.
Sie müssen die AD LDS Instanz auf einen Testcomputer im Netzwerk replizieren.
Wie gehen Sie vor?
A. Führen Sie den Befehl Repadmin.exe /kcc "Servername" auf dem Testcomputer aus.
B. Verwenden Sie den Befehl Dsmgmt.exe, um einen Namenskontext auf dem Testcomputer zu erstellen.
C. Verwenden Sie den Befehl Dsmgmt.exe, um eine neue Verzeichnispartition auf dem Testcomputer zu
erstellen.
D. Verwenden Sie den Setup-Assistenten für die Active Directory Lightweight Directory Services auf dem
Testcomputer, um ein Replikat der AD LDS-Instanz zu erstellen.
Answer: D
Erläuterungen:
Auf der Seite Setup-Optionen des Setup-Assistenten für Active Directory Lightweight Directory Services
können Sie auswählen, ob Sie eine eindeutige AD LDS-Instanz (Active Directory Lightweight Directory
Services) installieren oder einem vorhandenen Konfigurationssatz eine neue Instanz zuordnen möchten.
Eine eindeutige Instanz installieren
Seite 60 von 209
MS 70-649
22.12.2009
Wenn Sie sich für das Installieren einer eindeutigen AD LDS-Instanz entscheiden, wird die installierte
Instanz keinem vorhandenen Konfigurationssatz zugeordnet und verfügt nicht über Replikationspartner. Vom
Assistenten werden neue Standardkopien der Konfigurations- und Schemaverzeichnispartitionen für die
neue AD LDS-Instanz erstellt. Schemaerweiterungen, die Sie möglicherweise anderen AD LDS-Instanzen
hinzugefügt haben, sind in dieser neuen AD LDS-Instanz nicht verfügbar.
Ein Replikat einer vorhandenen Instanz installieren
Wenn Sie sich für das Installieren eines Replikats einer vorhandenen AD LDS-Instanz entscheiden, enthält
die installierte AD LDS-Instanz replizierte Kopien der Konfigurations- und Schemaverzeichnispartitionen (ggf.
einschließlich Schemaerweiterungen) der Instanz, die Sie replizieren. Darüber hinaus bietet der Assistent die
Möglichkeit, ausgewählte Anwendungsverzeichnispartitionen aus dem Quellkonfigurationssatz zu
replizieren. Sie müssen eine gerade ausgeführte AD LDS-Instanz als Quelle für die Replikation angeben.
Zur Beschleunigung des Replikationsvorgangs für die neue Instanz können Sie eine wiederhergestellte
Kopie einer zuvor gesicherten AD LDS-Instanz als Datenquelle verwenden.
Eine AD LDS-Instanz besteht aus einer einzelnen Kopie des AD LDS-Verzeichnisdiensts zusammen mit
dem dazugehörigen Verzeichnisspeicher, den zugewiesenen LDAP- (Lightweight Directory AccessProtokoll) und SSL-Ports (Secure Sockets Layer) sowie dem Anwendungsereignisprotokoll. Sie können
mehrere AD LDS-Instanzen gleichzeitig auf einem Computer ausführen.
Das Zuordnen einer AD LDS-Instanz zu einem Konfigurationssatz ist nur während der AD LDS-Installation
möglich.
Auf einem Windows Server 2008 Mitgliedsserver ist die Serverrolle Active Directory-Verbunddienste (AD FS)
installiert.
Sie müssen die Active Directory-Verbunddienste konfigurieren und sicherstellen, dass die ausgestellten
Sicherheitstoken Informationen der Active Directory Domäne enthalten.
Wie gehen Sie vor?
A. Erstellen und konfigurieren Sie einen neuen Kontospeicher.
B. Erstellen und konfigurieren Sie einen neuen Kontopartner.
C. Erstellen und konfigurieren Sie einen neuen Ressourcenpartner.
D. Erstellen und konfigurieren Sie eine Ansprüche unterstützende Anwendung.
Answer: A
Erläuterungen:
AD FS ist eine Komponente von Windows Server 2003 R2 und Windows Server 2008, die Web-SSOTechnologien (Single-Sign-On, einmalige Webanmeldung) bereitstellt, mit deren Hilfe ein Benutzer während
einer Onlinesitzung bei mehreren Webanwendungen authentifiziert werden kann. AD FS realisiert dies durch
die sichere gemeinsame Nutzung der digitalen Identität und von Anspruchsberechtigungen über Sicherheitsund Unternehmensgrenzen. AD FS unterstützt WS-Verbund-PRP (Passive Requestor Profile).
Die Active Directory-Verbunddienste (Active Directory Federation Services, AD FS) verwenden
Kontospeicher, um Benutzer anzumelden und Sicherheitsansprüche für diese Benutzer zu extrahieren. Sie
können für einen Verbunddienst mehrere Kontospeicher konfigurieren. Sie können auch deren Priorität
definieren. Der Verbunddienst verwendet LDAP (Lightweight Directory Access Protocol) für die
Kommunikation mit Kontospeichern. Die folgenden beiden Kontospeicher werden von AD FS unterstützt:

Active Directory-Domänendienste (AD DS)

Active Directory Lightweight Directory Services (AD LDS)
AD FS eignet sich für unternehmensweite Bereitstellungen oder Instanzen von AD LDS. Bei der
Verwendung mit AD DS kann AD FS zudem die sicheren Authentifizierungstechnologien in AD DS nutzen (z.
B. Kerberos, digitale X.509-Zertifikate und Smartcards). Bei der Verwendung mit AD LDS authentifiziert AD
FS Benutzer mithilfe von LDAP-Bindungen (Lightweight Directory Access Protocol).
Seite 61 von 209
MS 70-649
22.12.2009
Falsche Antworten:
B: Dies ist ein Verbundpartner, dem der Verbunddienst vertraut und der den Benutzern (d. h. Benutzern in
der Kontopartnerorganisation) Sicherheitstokens bereitstellen kann, damit sie auf webbasierte Anwendungen
im Ressourcenpartner zugreifen können.
C: Dies ist ein Verbundpartner, der dem Verbunddienst vertraut und der anspruchbasierte Sicherheitstokens
für webbasierte Anwendungen (d. h. Anwendungen in der Ressourcenpartnerorganisation) ausstellen kann,
auf die Benutzer im Partnerkonto zugreifen können.
D: Ansprüche sind Aussagen (z. B. Name, Identität, Schlüssel, Gruppe, Berechtigung oder Funktion), die
über Benutzer getroffen werden (und von beiden Partnern in einem Active Directory-Verbunddienstverbund
(Active Directory Federation Services, AD FS) verstanden werden) und für die Autorisierung durch eine
Anwendung verwendet werden. Eine Ansprüche unterstützende Anwendung ist eine Microsoft ASP.NETAnwendung, die mit der AD FS-Klassenbibliothek erstellt wurde. Dieser Anwendungstyp kann AD FSAnsprüche verwenden, um Autorisierungsentscheidungen direkt zu treffen. Eine Ansprüche unterstützende
Anwendung akzeptiert vom Verbunddienst in AD FS-Sicherheitstokens gesendete Ansprüche.
Gesamtstruktur, die in der Funktionsebene Windows Server 2008 betrieben wird.
Sie planen die Implementierung der Active Directory-Rechteverwaltungsdienste (AD RMS). Sie installieren
Microsoft SQL Server 2005.
Bei dem Versuch die Verwaltungswebsite der Active Directory-Rechteverwaltungsdienste zu öffnen, erhalten
Sie eine Fehlermeldung mit dem Hinweis, dass der SQL Server nicht gefunden oder der Zugriff verweigert
wurde.
Sie müssen die AD RMS Verwaltungswebsite öffnen.
A. Führen Sie einen Neustart der Internetinformationsdienste (IIS) durch.
B. Installieren Sie das Feature Message Queuing.
C. Starten Sie den Dienst MSSQLSVC.
D. Löschen Sie den AD RMS-Dienstverbindungspunkt (Service Connection Point, SCP) manuell. Führen Sie
anschließend einen Neustart der Active Directory-Rechteverwaltungsdienste durch.
Answer: A,C
Erläuterungen:
Active Directory-Rechteverwaltungsdienste (Active Directory Rights Management Services, AD RMS) (AD
RMS) ist eine Technologie zum Informationsschutz, die mithilfe von AD RMS-fähigen Anwendungen digitale
Informationen vor unberechtigter Verwendung schützt. Inhaltsbesitzer können genau definieren, wie ein
Empfänger die Informationen verwenden kann. Sie können z. B. festlegen, wer die Informationen öffnen,
ändern, drucken, weiterleiten und/oder andere Aktionen mit den Informationen ausführen kann.
Organisationen können Nutzungsrechtevorlagen wie "Vertraulich – Schreibgeschützt" erstellen, die direkt auf
Informationen wie Finanzberichte, Produktspezifikationen, Kundendaten und E-Mails angewendet werden
können.
auf dem eine Instanz der Active Directory Lightweight Directory Services (AD LDS) ausgeführt wird.
Sie müssen neue Organisationseinheiten (OUs) in der AD LDS Anwendungsverzeichnispartition erstellen.
Wie gehen Sie vor?
A. Verwenden Sie das Snap-In Active Directory-Benutzer und -Computer, um Organisationseinheiten in der
AD LDS Anwendungsverzeichnispartition zu erstellen.
B. Verwenden Sie das Snap-In ADSI-Editor, um Organisationseinheiten in der AD LDS
Anwendungsverzeichnispartition zu erstellen.
C. Verwenden Sie den Befehl Dsadd OU „DN der Organisationseinheit“, um die Organisationseinheiten zu
erstellen.
Seite 62 von 209
MS 70-649
22.12.2009
D. Verwenden Sie den Befehl Dsmod OU „DN der Organisationseinheit“, um die Organisationseinheiten zu
erstellen.
Answer: B
Erläuterungen:
Der Active Directory-Dienstschnittstellen-Editor (ADSI Edit) ist ein LDAP-Editor (Lightweight Directory
Access Protocol), mit dem Sie Objekte und Attribute in den Active Directory-Domänendiensten (Active
Directory Domain Services, AD DS) und anderen LDAP-basierten Verzeichnissen verwalten können.
Mit ADSI Edit (adsiedit.msc) wird eine Ansicht der einzelnen Objekte und Attribute in einer Active DirectoryGesamtstruktur bereitgestellt. Mithilfe von ADSI Edit können Sie die Attribute anfragen, anzeigen und
bearbeiten, die nicht über andere AD DS-MMC-Snap-Ins (Microsoft Management Console) angezeigt
werden: Active Directory-Benutzer und -Computer, Active Directory-Standorte und -Dienste, Active DirectoryDomänen und -Vertrauensstellungen sowie Active Directory-Schema.
Zweigstelle.
Sie stellen einen schreibgeschützten Windows Server 2008 Domänencontroller (RODC) in der Zweigstelle
auf.
Sie müssen sicherstellen, dass die Benutzer den schreibgeschützten Domänencontroller für die Anmeldung
an der Domäne verwenden können.
Wie gehen Sie vor?
A. Installieren Sie einen zweiten schreibgeschützten Domänencontroller für die Zweigstelle.
B. Konfigurieren Sie einen neuen Bridgeheadserver in der Hauptgeschäftsstelle.
C. Konfigurieren Sie eine neue Kennwortreplikationsrichtlinie für den schreibgeschützten Domänencontroller
(RODC).
D. Verwenden Sie die Konsole Active Directory-Standorte und –Dienste und verringern Sie das
Replikationsintervall für alle Verbindungsobjekte.
Answer: C
Erläuterungen:
Sie müssen bei der ersten Bereitstellung eines schreibgeschützten Domänencontrollers die
Kennwortreplikationsrichtlinie auf dem beschreibbaren Domänencontroller konfigurieren, der als
Replikationspartner des RODC verwendet wird. Die Kennwortreplikationsrichtlinie fungiert als
Zugriffssteuerungsliste (Access Control List, ACL). Mit ihr wird bestimmt, ob ein Kennwort von einem RODC
zwischengespeichert werden darf. Wenn ein RODC eine Anmeldeanforderung eines authentifizierten
Benutzers oder Computers erhält, bestimmt er mit Bezug auf die Kennwortreplikationsrichtlinie, ob das
Kennwort für das Konto zwischengespeichert werden soll. Nachfolgende Anmeldungen durch dasselbe
Konto können dann effizienter ausgeführt werden.
Zweigstellen. Alle Unternehmensstandorte sind als separate Active Directory-Standorte konfiguriert.
Jede Zweigstelle verfügt über einen dedizierten schreibgeschützten Domänencontroller (RODC). In einer der
Zweigstellen ist der schreibgeschützte Domänencontroller gestohlen worden.
Sie müssen die Benutzerkonten identifizieren, die auf dem gestohlenen schreibgeschützten
Domänencontroller zwischengespeichert waren.
Welches Utility werden Sie verwenden?
A. Dsmod.exe
B. Ntdsutil.exe
C. Active Directory-Standorte und -Dienste
D. Active Directory-Benutzer und -Computer
Answer: D
Seite 63 von 209
MS 70-649
22.12.2009
Erläuterungen:
Die zwischengespeicherten Benutzerkonten werden über die Kennwortreplikationsrichtlinie des
schreibgeschützten Domänencontrollers definiert. Die Kennwortreplikationsrichtlinie kann über die
Eigenschaften des Computerkontos des RODCs eingesehen werden.
auf dem die Active Directory-Rechteverwendungsdienste (AD RMS) ausgeführt werden.
Alle Benutzer verwenden Windows Vista Computer. Die Active Directory Domäne des Unternehmens wird in
der Funktionsebene Windows Server 2003 betrieben.
Sie müssen die Active Directory-Rechteverwendungsdienste so konfigurieren, dass die Benutzer ihre
Dokumente schützen können.
Wie gehen Sie vor?
A. Installieren Sie den Active Directory Rights Management Services (AD RMS) Client 2.0 auf allen
Clientcomputern.
B. Nehmen Sie das Dienstkonto der Active Directory-Rechteverwendungsdienste in die lokale
Administratorengruppe auf dem AD RMS Server auf.
C. Erstellen Sie für jeden Benutzer ein E-Mail Konto in Active Directory-Domänendienste (AD DS).
D. Stufen Sie die Domänenfunktionsebene der Active Directory Domäne auf Windows Server 2008 herauf.
Answer: C
Erläuterungen:
Die verschiedenen Komponenten der Active Directory-Rechteverwaltungsdienste (Active Directory Rights
Management Services, AD RMS) verfügen über vertrauenswürdige Verbindungen, die durch eine Reihe von
Zertifikaten implementiert werden. Das Erzwingen der Gültigkeit dieser Zertifikate gehört zu den
Hauptfunktionen der AD RMS-Technologie. Sämtliche Teile des durch Rechte geschützten Inhalts werden
mit einer Lizenz veröffentlicht, die die zugehörigen Verwendungsregeln wiedergeben. Jeder Benutzer dieses
Inhalts erhält eine eindeutige Lizenz, die diese Verwendungsregeln liest, interpretiert und erzwingt. In
diesem Zusammenhang stellt eine Lizenz einen bestimmten Zertifikattyp dar.
AD RMS verwendet zum Wiedergeben der Verwendungsrechte für durch Rechte geschützten Inhalt ein
XML-Vokabular, das als eXtensible rights Markup Language (XrML) bezeichnet wird.
Die von AD RMS verwendeten Zertifikate und Lizenzen sind in einer Hierarchie verknüpft, sodass der AD
RMS-Client ausgehend von einem bestimmten Zertifikat oder einer bestimmten Lizenz über
vertrauenswürdige Zertifikate bis hin zu einem vertrauenswürdigen Schlüsselpaar stets einer Kette folgt.
Die RAC (Rights Account Certificate) Ausstellung basiert in der Regel auf der E-Mail Adresse des Benutzers.
Auf einem Servercomputer mit dem Namen Server1 sind die Rolle Terminaldienste und der Rollendienst
Terminaldienste-Webzugriff installiert. Auf einem zweiten Server mit dem Namen Server2 wird Internet
Security and Acceleration (ISA) Sever 2006 ausgeführt.
Das Unternehmen plant den Einsatz eines Terminaldienstegateways auf einem neuen Server mit dem
Namen Server3 und möchte den ISA Server als SSL-Endpunkt für Terminalserververbindungen verwenden.
Sie müssen die Rolle Terminaldienstegateway für die Verwendung des ISA Servers auf Server2
konfigurieren.
Wie gehen Sie vor?
A. Konfigurieren Sie das Terminaldienstegateway für die Verwendung von HTTPS-HTTP-Bridging.
B. Konfigurieren Sie den Speicher für Verbindungsautorisierungsrichtlinien auf Server3 für die Verwendung
von Server2 als zentralen Netzwerkrichtlinienserver.
C. Exportieren Sie das SSL-Zertifikat auf Server2 und installieren Sie es anschließend auf Server3.
Seite 64 von 209
MS 70-649
22.12.2009
Konfigurieren Sie das Terminaldienstegateway für die Verwendung des SSL-Zertifikats von Server2.
D. Exportieren Sie ein selbst signiertes SSL-Zertifikat auf Server3 und installieren Sie es anschließend auf
Server2. Konfigurieren Sie den ISA Server auf Server2 für die Verwendung des SSL-Zertifikats von Server3.
Answer: A
Erläuterungen:
Zur Erhöhung der Sicherheit für einen TS-Gatewayserver können Sie ISA Server (Microsoft Internet Security
and Acceleration) oder ein Produkt eines Drittanbieters als SSL-Bridging-Produkt konfigurieren. Ein SSLBridging-Produkt kann die Sicherheit durch das Beenden von SSL-Sitzungen, das Überprüfen von Paketen
und das Wiederherstellen von SSL-Sitzungen erhöhen.
Die ISA Server-Kommunikation mit dem TS-Gatewayserver kann wie folgt konfiguriert werden:

HTTPS-HTTPS-Bridging. Bei dieser Konfiguration initiiert der TS-Gatewayclient eine SSLAnforderung (HTTPS) an das SSL-Bridging-Produkt. Daraufhin initiiert das SSL-Bridging-Produkt
eine neue HTTPS-Anforderung an den TS-Gatewayserver, um größtmögliche Sicherheit zu
gewährleisten.

HTTPS-HTTP-Bridging. Bei dieser Konfiguration initiiert der TS-Gatewayclient eine SSLAnforderung (HTTPS) an das SSL-Bridging-Produkt. Daraufhin initiiert das SSL-Bridging-Produkt
eine neue HTTP-Anforderung an den TS-Gatewayserver.
085. Sie sind Administrator bei Contoso. Auf einem Windows Server 2008 Computer mit dem Namen
Server1 ist die Rolle Terminaldienste installiert. Sie stellen eine neue Anwendung über den Server bereit.
Die Anwendung erzeugt Dateien mit der Endung .xyz.
Sie müssen sicherstellen, dass die Benutzer die Remoteanwendung durch einen Doppelklick auf Dateien mit
der Endung .xyz starten können.
Wie gehen Sie vor?
A. Konfigurieren Sie den Remotedesktopclient auf den Computern der Benutzer mit einer Verbindung zu
Server1.
B. Veröffentlichen Sie die Remoteanwendung über eine Remotedesktop Programm (.rdp) Datei.
C. Veröffentlichen Sie die Remoteanwendung mit Hilfe eines Windows Installer Paketes (.msi).
D. Veröffentlichen Sie die Remoteanwendung über den Terminaldienste-Webzugriff.
Answer: C
Erläuterungen:
Sowohl bei der Veröffentlichung aus auch bei der Zuweisung eines Windows Installer Paketes über die
Softwareinstallation im Rahmen eines Gruppenrichtlinienobjektes (GPO) können Dateierweiterungen für
bestimmte Anwendung definiert werden.
086. Sie sind Administrator bei Contoso. Sie administrieren vier Windows Server 2008 Terminalserver. Die
Namen der vier Server lauten Server1, Server2, Server3 und Server4.
Sie installieren den Rollendienst Terminaldienste-Sitzungsbroker auf Server1. Nun wollen Sie den
Lastenausgleich für die vier Terminalserver konfigurieren.
Sie müssen sicherstellen, dass Server2 als bevorzugter Server für Terminalserversitzungen dient.
Welches Utility werden Sie verwenden?
A. Gruppenrichtlinienverwaltung
B. Terminaldienstekonfiguration
C. Terminaldiensteverwaltung
Seite 65 von 209
MS 70-649
22.12.2009
D. Terminaldienstegateway-Manager
Answer: B
Erläuterungen:
Der TS-Sitzungsbroker ist ein Rollendienst, der folgende Funktionen bietet:

Er ermöglicht es einem Benutzer, eine Verbindung mit seiner vorhandenen Sitzung in einer
Terminalserverfarm mit Lastenausgleich wiederherzustellen.

Er ermöglicht Ihnen die gleichmäßige Verteilung der Sitzungslast zwischen Servern in einer
Terminalserverfarm mit Lastenausgleich.
Der TS-Sitzungsbroker speichert Sitzungsstatusinformationen, d. h., Sitzungs-IDs, ihre zugeordneten
Benutzernamen sowie den Namen des Servers, auf dem sich die einzelnen Sitzungen befinden.
Wenn ein Benutzer die Verbindung mit einer Sitzung trennt (absichtlich oder aufgrund eines
Netzwerkfehlers), werden die entsprechenden Anwendungen weiterhin ausgeführt. Wenn ein Benutzer eine
Verbindung wiederherstellt, wird der TS-Sitzungsbroker abgefragt, um zu bestimmen, ob dieser Benutzer
über eine vorhandene Sitzung verfügt und wenn ja, auf welchem Server in der Farm. Gibt es eine
vorhandene Sitzung, leitet der TS-Sitzungsbroker den Client auf den Terminalserver um, auf dem sich die
entsprechende Sitzung befindet.
Beim Lastenausgleich des TS-Sitzungsbrokers wird der Benutzer auf den Terminalserver mit den wenigsten
Sitzungen umgeleitet, wenn der Benutzer ohne vorhandene Sitzung eine Verbindung mit einem
Terminalserver in der Farm mit Lastenausgleich herstellt. (Wenn Sie die Sitzungslast zwischen
leistungsstarken und weniger leistungsstarken Servern in der Farm verteilen möchten, können Sie einem
Server einen relativen Sitzungslastwert zuweisen.) Wenn ein Benutzer mit einer vorhandenen Sitzung eine
Verbindung wiederherstellt, wird dieser auf den Terminalserver umgeleitet, auf dem sich die entsprechende
Sitzung befindet.
Die Verwaltung des Terminaldienste-Sitzungsbrokers erfolgt über die Terminaldienstekonfiguration.
087. Sie sind Administrator bei Contoso. Das Firmennetzwerk besteht aus einer einzelnen Windows Server
2003 Active Directory Domäne mit dem Namen Contoso.de.
Die Domäne enthält einen Windows Server 2008 Computer mit dem Namen Server1 und einen Windows
Server 2003 Computer mit dem Namen Server2. Auf Server1 wurde die Rolle Terminaldienste installiert. Auf
Server2 wird die Terminaldienstelizenzierung ausgeführt.
Sie wollen den Terminaldienste-Lizenzierungsmodus pro Benutzer so konfigurieren, dass Sie Berichte über
die ausgestellten Lizenzen generieren können.
Wie gehen Sie vor?
A. Benennen Sie Server1 um, so dass der Computername mit dem Namen der Domäne übereinstimmt und
nehmen Sie Server1 in eine Arbeitsgruppe auf.
B. Konfigurieren Sie Server1, so dass er durch die Windows Server 2003 Terminaldienstelizenzierung
verwaltet wird.
C. Deinstallieren Sie die Terminaldienstelizenzierung auf Server2 und installieren Sie die entsprechende
Rolle auf Server1. Konfigurieren Sie die CAL-Verwendungsberichterstellung (pro Benutzer) auf Server1.
D. Aktivieren Sie den Terminaldienstelizenzserver auf Server2.
Answer: C
Erläuterungen:
Unter Windows Server 2008 können Sie das Tool Terminaldienstelizenzierungs-Manager verwenden, um
Berichte zu erstellen (zu generieren), mit denen Sie die Terminaldienste-Clientzugriffslizenzen (pro
Benutzer) nachverfolgen können, die von einem Terminaldienste-Lizenzserver ausgestellt wurden. Windows
Server 2003 pro Benutzer Zugriffslizenzen können nicht nachverfolgt werden.
Im Folgenden finden Sie wichtige Überlegungen zur Nachverfolgung von und Berichterstattung zu
Terminaldienste-Clientzugriffslizenzen (pro Benutzer) unter Windows Server 2008:
Seite 66 von 209
MS 70-649
22.12.2009

Die Nachverfolgung von und Berichterstattung zu Terminaldienste-Clientzugriffslizenzen (pro
Benutzer) wird nur in Szenarien mit Domänenmitgliedschaft unterstützt. Das bedeutet, dass der
Terminalserver und der Lizenzserver Mitglieder einer Domäne sein müssen.

Benutzer) wird im Arbeitsgruppenmodus nicht unterstützt.

Für die Nachverfolgung von und Berichterstattung zu Terminaldienste-Clientzugriffslizenzen (pro
Benutzer) werden die Active Directory-Domänendienste (Active Directory Domain Services, AD DS)
verwendet. Die Informationen zur Terminaldienste-Clientzugriffslizenz (pro Benutzer), die für einen
Benutzer ausgestellt wurde, werden als Teil des Benutzerkontos in AD DS gespeichert.

AD DS kann auf Windows Server 2008 oder Windows Server 2003 basieren.

Das Computerkonto für den Lizenzserver muss Mitglied der Gruppe Terminalserver-Lizenzserver in
der Domäne sein. Wenn der Lizenzserver auf einem Domänencontroller installiert ist, muss das
Netzwerkdienstkonto ebenfalls Mitglied der Gruppe Terminalserver-Lizenzserver sein.
088. Sie sind Administrator bei Contoso. Sie administrieren einen Windows Server 2008 Mitgliedsserver. Auf
dem Server sind die Rolle Terminaldienste und das Feature Windows-Systemressourcen-Manager (WSRM)
installiert.
Die Benutzer berichten über eine abnehmende Performance des Terminalservers. Sie überwachen den
Server und stellen fest, dass einer der Benutzer 100 Prozent der Prozessorzeit verwendet.
Sie erstellen eine Ressourcenzuweisungsrichtlinie mit dem Namen Policy1 und limitieren die Prozessorzeit
für jeden Benutzer auf maximal 30 Prozent. Sie stellen jedoch keine Leistungsverbesserung des
Terminalservers fest.
Sie müssen den Windows-Systemressourcen-Manager so konfigurieren, dass Policy1 erzwungen wird.
Wie gehen Sie vor?
A. Legen Sie Policy1 als Profilrichtlinie fest.
B. Legen Sie Policy1 als Verwaltungsrichtlinie fest.
C. Führen Sie einen Neustart des Dienstes Terminaldienstekonfiguration durch.
D. Starten Sie die Konsole Windows-Systemressourcen-Manager im Sicherheitskontext des
Terminaldiensteservers.
Answer: B
Erläuterungen:
Mit dem Windows-Systemressourcen-Manager für das Betriebssystem Windows Server 2008 können Sie die
Prozessor- und Speicherauslastung auf dem Server mit standardmäßigen oder benutzerdefinierten
Ressourcenrichtlinien verwalten. Durch Verwalten von Ressourcen wird sichergestellt, dass alle von einem
einzelnen Server bereitgestellten Dienste in gleichem Umfang zur Verfügung stehen oder dass für
Anwendungen, Dienste oder Benutzer mit einer hohen Priorität immer Ressourcen verfügbar sind.
Der Windows-Systemressourcen-Manager verwaltet Prozessorressourcen nur dann, wenn die
zusammengefasste Prozessorlast größer als 70 Prozent ist. Das bedeutet, dass bei einer geringen
Prozessorlast die für jeden Benutzer verfügbaren Ressourcen nicht aktiv eingeschränkt werden. Bei einer
konkurrierenden Nachfrage an Prozessorressourcen kann mit Ressourcenzuweisungsrichtlinien eine
Mindestverfügbarkeit für eine Ressource nach dem von Ihnen definierten Verwaltungsprofil sichergestellt
werden.
089. Sie sind Administrator bei Contoso. Das Unternehmen setzt die Terminaldienste ein.
Sie planen die Installation eines Updates für eine Anwendung mit dem Namen Lobapp.exe, die über einen
Terminalserver bereitgestellt wird. Sie finden auf dem Terminalserver mehrere Instanzen des Prozesses
Lobapp.exe, die von Benutzern hinterlassen wurden, die ihre Sitzung mit dem Server getrennt haben.
Seite 67 von 209
MS 70-649
22.12.2009
Sie müssen alle Instanzen des Prozesses Lobapp.exe terminieren, um die Aktualisierung der Anwendung
durchführen zu können.
Welche zwei Möglichkeiten stehen Ihnen zur Verfügung? (Jede korrekte Antwort stellt eine vollständige
Lösung dar. Wählen Sie zwei Antworten.)
A. Verwenden Sie das Commandlet Get-Process auf dem Terminalserver.
B. Führen Sie den Befehl Tskill lobapp /a auf dem Terminalserver aus.
C. Verwenden Sie die Terminaldiensteverwaltung und beenden Sie alle Instanzen von Lobapp.exe.
D. Führen Sie den Befehl Tasklist /fi „IMAGENAME eq lobapp.exe“ auf dem Terminalserver aus.
Answer: B,C
Erläuterungen:
Sie können einen Prozess beenden, der in einer Benutzersitzung ausgeführt wird, indem Sie in
Terminaldiensteverwaltung die Aktion Prozess beenden verwenden. Alternativ können Sie das
Befehlszeilentool TSKill.exe verwenden, um einen in einer Benutzersitzung ausgeführten Prozess zu
beenden.
Falsche Antworten:
A: Das Powershell Commandlet Get-Process listet die aktuell ausgeführten Prozesse auf.
D: Das Befehlszeilenprogramm Tasklist listet die laufenden Anwendungen und Prozesse auf.
Domäne mit dem Namen Contoso.de. Das Unternehmen setzt die Terminaldienste ein.
Sie konfigurieren den Drucker der Hauptgeschäftsstelle auf dem Terminalserver als Standarddrucker.
Die IT-Richtlinien des Unternehmens schreiben vor, dass alle Clientcomputer den folgenden Anforderungen
entsprechen müssen:

Der Drucker der Hauptgeschäftsstelle muss auf allen Clientcomputern als Standarddrucker
festgelegt sein.

Die Benutzer müssen während der Terminalserversitzungen in der Lage sein, auf ihren lokalen
Drucker zuzugreifen.
Sie müssen ein neues Gruppenrichtlinienobjekt (GPO) erstellen und die Richtlinien im Abschnitt
Druckerumleitung des Knotens Terminaldienste konfigurieren, um die Vorgaben umzusetzen.
Wie gehen Sie vor?
A. Deaktivieren Sie die Richtlinie Zuerst Easy Print-Druckertreiber der Terminaldienste verwenden. Wenden
Sie das GPO auf den Terminalserver an.
B. Deaktivieren Sie die Richtlinie Zuerst Easy Print-Druckertreiber der Terminaldienste verwenden. Wenden
Sie das GPO auf alle Clientcomputer an.
C. Aktivieren Sie die Richtlinie Standardclientdrucker nicht als Standarddrucker in einer Sitzung festlegen.
Wenden Sie das GPO auf den Terminalserver an.
D. Aktivieren Sie die Richtlinie Standardclientdrucker nicht als Standarddrucker in einer Sitzung festlegen.
Wenden Sie das GPO auf alle Clientcomputer an.
Answer: C
Erläuterungen:
Mit Hilfe der Richtlinie Standardclientdrucker nicht als Standarddrucker in einer Sitzung festlegen können Sie
festlegen, ob während einer Terminaldienstesitzung der Standarddrucker des Clients automatisch als
Standarddrucker der Sitzung genommen wird.
Standardmäßig legen die Terminaldienste den Standarddrucker des Clients als Standarddrucker einer
Terminaldienstesitzung fest. Sie können diese Richtlinieneinstellung verwenden, um dieses Verhalten außer
Kraft zu setzen.
Seite 68 von 209
MS 70-649
22.12.2009
Wenn Sie die Richtlinieneinstellung aktivieren, wird der auf dem Remotecomputer angegebene Drucker zum
Standarddrucker.
Wenn Sie diese Richtlinieneinstellung deaktivieren, ordnet der Terminalserver den Standarddrucker des
Clients automatisch zu und legt ihn bei Verbindungsherstellung als Standarddrucker fest.
Falls Sie diese Richtlinieneinstellung nicht konfigurieren, ist der Standarddrucker auf
Gruppenrichtlinienebene nicht festgelegt. Ein Administrator kann jedoch den Standarddrucker für die
Clientsitzungen mit dem Terminaldienste-Konfigurationsprogramm festlegen.
Mit der Richtlinie Zuerst Easy Print-Druckertreiber der Terminaldienste verwenden können Sie angeben, ob
zuerst der Easy Print-Druckertreiber der Terminaldienste verwendet wird, um alle Clientdrucker zu
installieren.
Wenn Sie diese Richtlinieneinstellung aktivieren oder nicht konfigurieren, versucht der Terminalserver
zuerst, den Easy Print-Druckertreiber der Terminaldienste zu verwenden, um alle Clientdrucker zu
installieren. Falls der Easy Print-Druckertreiber der Terminaldienste aus einem bestimmten Grund nicht
verwendet werden kann, wird ein Druckertreiber des Terminalservers verwendet, der für den jeweiligen
Clientdrucker geeignet ist. Wenn der Terminalserver keinen Druckertreiber aufweist, der für den
Clientdrucker geeignet ist, ist der Clientdrucker für die Terminaldienstesitzung nicht verfügbar.
Wenn Sie diese Richtlinieneinstellung deaktivieren, versucht der Terminalserver, einen geeigneten
Druckertreiber für die Installation des Clientdruckers zu finden. Wenn der Terminalserver keinen
Druckertreiber aufweist, der für den Clientdrucker geeignet ist, versucht der Server, den Easy PrintDruckertreiber der Terminaldienste zum Installieren des Clientdruckers zu verwenden. Wenn der Easy PrintDruckertreiber der Terminaldienste aus einem bestimmten Grund nicht verwendet werden kann, ist der
Clientdrucker für die Terminaldienstesitzung nicht verfügbar.
Hinweis: Wenn die Richtlinieneinstellung "Clientdruckerumleitung nicht zulassen" aktiviert ist, wird die
Richtlinieneinstellung "Zuerst Easy Print-Druckertreiber der Terminaldienste verwenden" ignoriert.
091. Sie sind Administrator bei Contoso. Sie installieren die Serverrolle Windows-Bereitstellungsdienste
(WDS) auf einem Windows Server 2008 Servercomputer.
Bei dem Versuch mehrteilige Abbilddateien auf den Bereitstellungsdiensteserver zu laden, erhalten Sie eine
Fehlermeldung.
Sie müssen sicherstellen, dass die Abbilddateien erfolgreich auf den Server geladen werden können.
Wie gehen Sie vor?
A. Erteilen Sie der Gruppe Authentifizierte Benutzer Vollzugriff auf das Verzeichnis REMINST.
B. Führen Sie an der Eingabeaufforderung des Servers mit den Windows-Bereitstellungsdiensten den Befehl
wdsutil /convert aus.
C. Führen Sie an der Eingabeaufforderung des Servers mit den Windows-Bereitstellungsdiensten den Befehl
ImageX /export aus.
D. Führen Sie an der Eingabeaufforderung des Servers mit den Windows-Bereitstellungsdiensten für jede
Komponentendatei individuell den Befehl wdsutil /add-image /imagefile:\\Server\Freigabe\Sources\install.wim
/image type:install aus.
Answer: c
Erläuterungen:
zusammenführen. Hierzu kann der Befehl
ImageX /export source.wim 2 destination.wim "Neues Image"
verwendet werden.
Seite 69 von 209
MS 70-649
22.12.2009
092. Sie sind Administrator bei Contoso. Das Unternehmen verfügt über einen zwei-Knoten
Netzwerklastenausgleich-Cluster (NLB). Der Cluster wird verwendet, um Hochverfügbarkeit und
Lastenausgleich für die Intranet-Website zu gewährleisten.
Der Name des Clusters lautet web.Contoso.de. Sie stellen fest, dass die Benutzer den
Netzwerklastenausgleich-Cluster in der Netzwerkumgebung sehen und über den Namen web.Contoso.de
Verbindungen mit verschiedenen Diensten des Servers herstellen können. Der NLB-Cluster web.Contoso.de
ist lediglich mit einer einzelnen Portregel konfiguriert.
Sie müssen den Cluster so konfigurieren, dass er ausschließlich HTTP bezogenen Datenverkehr zulässt.
A. Melden Sie sich an einem der beiden Clusterknoten an und führen Sie den Befehl wlbs disable all aus.
B. Öffnen Sie die Konsole Netzwerklastenausgleich-Manager und löschen Sie die Standard-Portregel.
C. Öffnen Sie die Konsole Netzwerklastenausgleich-Manager und erstellen Sie eine neue Portregel für Port
80 TCP.
D. Öffnen Sie die Konsole Netzwerklastenausgleich-Manager und bearbeiten Sie die Standard-Portregel.
Aktivieren Sie die Option Diesen Portbereich deaktivieren.
Answer: B,C
Erläuterungen:
Mit Portregeln wird die Funktionsweise eines Netzwerklastenausgleich-Clusters (Network Load Balancing,
NLB) gesteuert. Wenn Sie die Steuerung der verschiedenen Arten des TCP/IP-Datenverkehrs optimieren
möchten, können Sie Portregeln einrichten, mit denen die Behandlung des Datenverkehrs im
Clusternetzwerk der einzelnen Ports gesteuert wird. Die Methode, mit der der Netzwerkdatenverkehr eines
Ports behandelt wird, wird als dessen Filtermodus bezeichnet. Es gibt drei mögliche Filtermodi:
Mehrfachhosts, Einzelhost und Deaktiviert.
Sie können auch angeben, dass ein Filtermodus auf einen numerischen Bereich von Ports angewendet wird.
Definieren Sie dazu eine Portregel mit einer Gruppe von Konfigurationsparametern, mit denen der
Filtermodus definiert wird. Jede Regel besteht aus den folgenden Konfigurationsparametern:

Der virtuellen IP-Adresse, auf die diese Regel angewendet werden soll

Dem TCP- oder UDP-Portbereich, auf den diese Regel angewendet werden soll

Den Protokollen, auf die diese Regel angewendet werden soll (einschließlich TCP und/oder UDP)

Dem Filtermodus, mit dem angegeben wird, wie der Datenverkehr vom Cluster behandelt werden
soll. Dies wird durch den Portbereich und die Protokolle beschrieben.
Die Standard-Portregel regelt den Datenverkehr auf Port 0 bis Port 65335 für die Protokolle UDP und TCP.
093. Sie sind Administrator bei Contoso. Sie administrieren zwei Servercomputer mit den Namen FC1 und
FC2. Auf beiden Servern wird das Betriebssystem Windows Server 2008 Enterprise Edition ausgeführt.
Sie installieren auf beiden Servern das Feature Failover-Clusterunterstützung und konfigurieren einen zweiKnoten Cluster.
Der Cluster stellt eine Anwendung mit dem Namen App1 bereit. Die Geschäftszeiten des Unternehmens
sind täglich von 09:00 bis 17:00 Uhr. Die Anwendung App1 muss während dieser Zeiten zur Verfügung
stehen.
Sie konfigurieren FC1 als bevorzugten Besitzer von App1 und müssen das Failback während der
Geschäftszeiten verhindern.
Wie gehen Sie vor?
A. Bearbeiten Sie die Failover-Einstellungen und legen Sie den Failover-Zeitraum mit 8 Stunden fest.
Seite 70 von 209
MS 70-649
22.12.2009
B. Konfigurieren Sie die Option Failback zulassen, so dass das Failback zwischen 17:00 und 09:00 Uhr
zugelassen wird.
C. Bearbeiten Sie die Failover-Einstellungen und deaktivieren Sie die Option Failback zulassen.
D. Bearbeiten Sie die Failover-Einstellungen und legen Sie die Option Maximal zulässige Fehler im
angegebenen Zeitraum mit 0 fest.
Answer: B
Erläuterungen:
Sie können die Failover- und Failbackeinstellungen oder die Einstellungen für bevorzugte Besitzer
anpassen, um die Reaktion des Clusters auf einen Ausfall einer bestimmten Anwendung bzw. eines
bestimmten Diensts zu steuern. Der Failback auf den bevorzugten Besitzer kann auf einen konfigurierbaren
Zeitraum eingeschränkt werden.
094. Sie sind Administrator bei Contoso. Das Netzwerk enthält einen Servercomputer auf dem Windows
Server 2008 und Microsoft Hyper-V ausgeführt wird.
Sie administrieren zwei virtuelle Microsoft Windows Server 2003 Computer. Sie müssen die virtuellen
Maschinen so konfigurieren, dass Sie zu einem vorherigen Status zurückkehren können.
Wie gehen Sie vor?
A. Führen Sie jeweils eine Sicherung aller Volumes der beiden virtuellen Maschinen durch.
B. Führen Sie jeweils eine Sicherung der Systemstatusdateien auf den beiden virtuellen Maschinen durch.
C. Kopieren Sie die .vmc Dateien der beiden virtuellen Maschinen in ein Sicherungsverzeichnis.
D. Verwenden Sie die Konsole Hyper-V Manager und erstellen Sie jeweils einen Snapshot der beiden
virtuellen Maschinen.
Answer: D
Erläuterungen:
Snapshots sind als Funktionalität in Hyper-V für alle Gastsysteme verfügbar. Im Unterschied zu Virtual
Server werden Snapshots im laufenden Betrieb erstellt - das Gastsystem ist ohne Unterbrechung verfügbar.
Domäne mit dem Namen Contoso.de. Sie administrieren einen Windows Server 2008 Computer mit dem
Namen Server1.
Auf Server1 ist die Rolle Dateidienste installiert. Die Festplattenkonfiguration wird in der Abbildung gezeigt
(klicken Sie auf die Schaltfläche Zeichnung).
Sie müssen ein neues Stripesetvolume mit Parität erstellen.
Wie gehen Sie vor?
A. Installieren Sie einen weiteren Datenträger und erstellen Sie ein neues RAID-5 Volume.
B. Verwenden Sie Datenträger 1 und Datenträger 2 und erstellen Sie ein neues Stripesetvolume.
Seite 71 von 209
MS 70-649
22.12.2009
C. Verwenden Sie Datenträger 1 und Datenträger 2 und erstellen Sie ein gespiegeltes Volume.
D. Verwenden Sie Datenträger 1 und Datenträger 2 und erstellen Sie ein neues übergreifendes Volume.
Answer: A
Erläuterungen:
Dynamische Datenträger weisen im Vergleich zu Basisdatenträgern zusätzliche Funktionen auf. Dies
umfasst beispielsweise die Möglichkeit, Volumes zu erstellen, die sich über mehrere Datenträger erstrecken
(übergreifende Volumes und Stripesetvolumes), sowie die Möglichkeit, fehlertolerante Volumes (gespiegelte
Volumes und RAID-5-Volumes) zu erstellen. Alle Volumes auf dynamischen Datenträgern werden als
dynamische Volumes bezeichnet.
Es gibt fünf Typen von dynamischen Volumes: einfache Volumes, übergreifende Volumes,
Stripesetvolumes, gespiegelte und RAID-5-Volumes. Gespiegelte und RAID-5-Volumes sind fehlertolerant.
Für ein Stripeset mit Parität (Fehlertoleranz) sind mindestens drei Datenträger erforderlich.
Falsche Antworten:
B: Ein Stripesetvolume ist ein dynamisches Volume, auf dem Daten in Stripes auf mindestens zwei
physikalischen Datenträgern gespeichert werden. Die Daten auf einem Stripesetvolume werden
abwechselnd und gleichmäßig (in Stripes) auf den Datenträgern verteilt. Stripesetvolumes bieten von allen
unter Windows verfügbaren Volumes die beste Leistung; Fehlertoleranz bieten sie jedoch nicht. Wenn bei
einem der Datenträger in einem Stripesetvolume ein Fehler auftritt, gehen die Daten auf dem gesamten
Volume verloren.
C: Bei einem gespiegelten Datenträger (RAID-1) werden die Daten einer Festplatte gleichzeitig auf eine
zweite Festplatte derselben Größe gespiegelt.
D: Ein übergreifendes Volume ist ein dynamisches Volume, dessen Speicherplatz auf mehrere physikalische
Datenträger verteilt ist. Handelt es sich bei einem einfachen Volume nicht um ein System- oder Startvolume,
können Sie dieses auf mehrere zusätzliche Datenträger ausdehnen, um ein übergreifendes Volume zu
erstellen. Sie können ein übergreifendes Volume auch im verfügbaren Speicherplatz auf einem dynamischen
Datenträger erstellen. Übergreifende Volumes sind nicht fehlertolerant.
096. Sie sind Administrator bei Contoso. Sie administrieren einen Windows Server 2008 Computer mit der
Serverrolle Windows Server Virtualisierung (Hyper-V).
Auf dem Server wird eine virtuelle Maschine mit dem Betriebssystem Windows Server 2008 ausgeführt. Sie
wollen eine neue Anwendung in der virtuellen Umgebung installieren.
Sie müssen sicherstellen, dass Sie die virtuelle Maschine in ihren Ursprungszustand zurücksetzen können,
falls die Installation der Anwendung fehlschlägt.
Wie gehen Sie vor?
A. Melden Sie sich an der virtuellen Maschine an und installieren Sie das Feature
Remotedifferenzialkomprimierung.
B. Melden Sie sich an der virtuellen Maschine an und installieren Sie das Feature Windows ServerSicherungsfeatures.
C. Verwenden Sie die Konsole Virtualisierungs-Manager und erstellen Sie einen Snapshot.
D. Verwenden Sie die Konsole Virtualisierungs-Manager und speichern Sie den Status der virtuellen
Maschine.
Answer: C
Erläuterungen:
Snapshots sind als Funktionalität in Hyper-V für alle Gastsysteme verfügbar. Im Unterschied zu Virtual
Server werden Snapshots im laufenden Betrieb erstellt. Das Gastsystem ist ohne Unterbrechung verfügbar.
mit der Rolle Webserver (IIS). Das Unternehmen hostet eine öffentliche Website.
Seite 72 von 209
MS 70-649
22.12.2009
Sie stellen einen ungewöhnlich hohen Datenverkehr für die Website fest. Sie müssen die Quelle für den
Datenverkehr ermitteln.
Wie gehen Sie vor?
A. Aktivieren Sie die Featureberechtigung Skript in den Handlerzuordnungen.
B. Führen Sie den Befehl Netstat -an auf dem Server aus.
C. Erstellen Sie in der Ereignisanzeige eine benutzerdefinierte Ansicht, um das Protokoll Sicherheit nach
den gewünschten Informationen zu filtern.
D. Verwenden Sie den Internetinformationsdienste-Manager und aktivieren Sie die Protokollierung für die
Website. Filtern Sie die Protokolldateien nach der Quell-IP-Adresse.
Answer: B
Erläuterungen:
Der Befehl Netstat –an listet alle Verbindungen und abhörenden Ports auf. Die Option –n stellt sicher, dass
die Adressen in nummerischer Notation angezeigt werden und kein zeitaufwändiges DNS-Reverse-Lookup
durchgeführt wird. In der Ausgabe des Befehls können das Protokoll, die lokale Adresse, die Remoteadresse
und der Status der Verbindung eingesehen werden.
098. Sie sind Administrator bei Contoso. Sie administrieren einen Windows Server 2008 Computer mit der
Rolle Webserver (IIS). Sie planen die Bereitstellung mehrerer Websites über den Server.
Sie konfigurieren den Server mit einer einzelnen IP-Adresse. Alle geplanten Website sind im öffentlichen
Domain Name System (DNS) registriert und verweisen auf die konfigurierte IP-Adresse.
Sie müssen sicherstellen, dass alle Websites korrekt über ihren Uniform Ressource Locator (URL) geöffnet
werden können.
Wie gehen Sie vor?
A. Konfigurieren Sie für jede Website einen eindeutigen Port.
B. Konfigurieren Sie für jede Website eine eindeutige IP-Adresse.
C. Konfigurieren Sie für jede Website einen eindeutigen Hostheadernamen.
D. Bearbeiten Sie die Datei Hosts auf dem Servercomputer und ergänzen Sie Einträge für alle geplanten
Websites.
Answer: C
Erläuterungen:
Alle Websites verfügen über einen beschreibenden Namen und können einen oder mehrere
Hostheadernamen unterstützen. Organisationen, die mehrere Websites auf einem einzigen Server hosten,
verwenden häufig Hostheader, da sie mit dieser Methode mehrere Websiteidentitäten erstellen können,
ohne eine eindeutige IP-Adresse (Internetprotokoll) für jede Site zu verwenden.
Da der WWW-Publishingdienst (WWW-Dienst) einen nicht ausgelagerten Poolspeicher zum Verwalten eines
Endpunktes für jede IP-Adresse zuweisen muss, besteht ein Vorteil der Verwendung von Hostheadern darin,
die mögliche Beeinträchtigung der Systemleistung zu verhindern, die mit der Identifizierung mehrerer
Websites durch eindeutige IP-Adressen einhergeht.
Wenn beim Server eine Clientanforderung eingeht, verwendet Internetinformationsdienste (Internet
Information Services oder IIS) den Hostnamen, der im HTTP-Header (Hypertext Transfer Protocol)
übergeben wird, um zu bestimmen, welche Siteclients die Anforderung stellen. Wenn die Site in einem
privaten Netzwerk verwendet wird, kann es sich beim Hostheader um einen Intranetsitenamen, wie z. B.
SupIntranet, handeln. Wenn die Site im Internet verwendet wird, muss es sich beim Hostheader um einen
öffentlich zugänglichen DNS-Namen (Domain Name System) handeln, wie z. B. support.microsoft.com.
Registrieren Sie den Namen bei einer autorisierten Internetnamensstelle.
099. Sie sind Administrator bei Contoso. Sie installieren die Serverrolle Webserver (IIS) und das Feature
SMTP-Server auf einem Windows Server 2008 Computer.
Seite 73 von 209
MS 70-649
22.12.2009
Sie müssen den SMTP-Server für die Weiterleitung von E-Mail Nachrichten an den Mailserver Ihres Internet
Service Providers (ISP) konfigurieren.
Wie gehen Sie vor?
A. Konfigurieren Sie die Einstellung Smarthost und legen Sie die Verwendung des lokalen Computers fest.
B. Konfigurieren Sie die Einstellung Smarthost und legen Sie die Verwendung des Mailservers Ihres ISP
fest.
C. Führen Sie den Befehl Appcmd /delivery method:PickupDirectoryFromIis aus.
D. Konfigurieren Sie die Übermittlungsoptionen des SMTP-Servers und aktivieren Sie die Option Direkte
Übermittlung versuchen, bevor zum Smarthost gesendet wird.
Answer: B
Erläuterungen:
Sie können alle ausgehenden Nachrichten für Remotedomänen über einen Smarthost routen, anstatt sie
werden, die entweder schneller oder kostengünstiger ist als andere Routen. Der Smarthost ähnelt der Option
Routingdomäne für Remotedomänen. Der Unterschied besteht darin, dass alle ausgehenden Nachrichten an
diesen Server geroutet werden, nachdem ein Smarthost definiert wurde. Bei Routingdomänen werden nur
Nachrichten für die Remotedomäne an einen bestimmten Server geroutet.
Vergewissern Sie sich, dass der angegebene Smarthost für Sicherheit optimiert wurde und von einer
vertrauenswürdigen Stelle verwaltet wird, besonders, wenn vertrauliche Informationen weitergeleitet werden.
Wenn Sie einen Smarthost einrichten, können Sie auch weiterhin eine andere Route für eine
Remotedomäne festlegen. Die Einstellung für die Routingdomäne überschreibt die Smarthosteinstellung.
Geben Sie einen vollständig qualifizierten Domänennamen oder eine IP-Adresse ein, um den Smarthost zu
bezeichnen. Wenn Sie eine IP-Adresse verwenden, schließen Sie diese in eckige Klammern [ ] ein, um die
Systemleistung zu verbessern. Der SMTP-Dienst sucht zuerst nach einem Namen und dann nach einer IPAdresse. Die Klammern identifizieren den Wert als eine IP-Adresse. Daher wird das DNS-Lookup
übergangen.
100. Sie sind Administrator bei Contoso. Sie installieren den Rollendienst FTP-Server auf einem Windows
Server 2008 Computer.
Die Benutzer erhalten bei dem Versuch Dateien auf die FTP-Site zu laden eine Fehlermeldung.
Sie müssen es authentifizierten Benutzern ermöglichen, Dateien auf die FTP-Site zu laden.
Wie gehen Sie vor?
A. Führen Sie den Befehl ftp –a 192.168.1.200 auf dem Windows Server 2008 Computer aus.
B. Führen Sie den Befehl appcmd unlock config auf dem Windows Server 2008 Computer aus.
C. Konfigurieren Sie Schreibrechte für die FTP-Site. Konfigurieren Sie die NTFS-Berechtigungen für das
Basisverzeichnis der FTP-Site und erteilen Sie der Gruppe authentifizierte Benutzer die Berechtigung
Ändern – Zulassen.
D. Konfigurieren Sie Schreibrechte für die FTP-Site. Konfigurieren Sie die NTFS-Berechtigungen für das
Basisverzeichnis der FTP-Site und erteilen Sie der Gruppe authentifizierte Benutzer die Berechtigung
Attribute schreiben – Zulassen.
Answer: C
Erläuterungen:
In den Eigenschaften der FTP-Site müssen zunächst die allgemeinen Berechtigungen konfiguriert werden.
Auf dem Register Basisverzeichnis stehen folgende Optionen zur Verfügung:
Lesen
Wählen Sie diese Option aus, um den Benutzern das Lesen oder den Download von Dateien zu
ermöglichen, die in einem Basisverzeichnis oder einem virtuellen Verzeichnis gespeichert sind.
Seite 74 von 209
MS 70-649
22.12.2009
Schreiben
Wählen Sie diese Option aus, um Benutzern das Hochladen von Dateien in das entsprechende Verzeichnis
auf dem Server zu ermöglichen. Sie sollten Schreibberechtigungen nur für Verzeichnisse aktivieren, in die
das Übertragen von Dateien durch Benutzer möglich sein soll.
Besuche protokollieren
Wählen Sie diese Option aus, um Zugriffe auf dieses Verzeichnis in einer Protokolldatei aufzuzeichnen. Die
Besuche werden nur protokolliert, wenn die Protokollierung für die FTP-Site aktiviert ist. Die Protokollierung
ist standardmäßig aktiviert.
Im Anschluss müssen die NTFS-Berechtigungen für das Basisverzeichnis der FTP-Site konfiguriert werden,
um einzelnen Benutzern oder Gruppen den Zugriff zu erteilen.
101. Sie sind Administrator bei Contoso. Sie administrieren einen Windows Server 2008 Computer auf dem
die Serverrolle Webserver (IIS) installiert ist.
Der Server hostet eine Website, die ausschließlich für die Führungskräfte des Unternehmens freigegeben
ist. Die Firmensicherheitsrichtlinien sehen vor, dass die Führungskräfte Benutzerzertifikate für den Zugriff auf
die Website verwenden müssen.
Sie müssen sicherstellen, dass die Führungskräfte ausschließlich unter Verwendung ihrer installierten
Zertifikate Zugriff auf die sichere Website erhalten können.
Wie gehen Sie vor?
A. Konfigurieren Sie die SSL-Einstellungen der Website und aktivieren Sie die Option 128-Bit-SSL
erforderlich.
B. Konfigurieren Sie die Option Clientzertifikate in den SSL-Einstellungen der Website und legen Sie die
Einstellung Akzeptieren fest.
C. Konfigurieren Sie die Option Clientzertifikate in den SSL-Einstellungen der Website und legen Sie die
Einstellung Erforderlich fest.
D. Konfigurieren Sie eine Zertifikatsvertrauensliste und schließen Sie das Zertifikat der Zertifizierungsstelle
(CA) ein, über die die Benutzerzertifikate der Führungskräfte ausgestellt wurden.
Answer: C
Erläuterungen:
Sie können die Seite SSL-Einstellungen verwenden, um die Datenverschlüsselung für Übertragungen
zwischen dem Server und den Clients zu verwalten. Sie können außerdem durch Auswahl von Ignorieren,
Akzeptieren oder Erforderlich für Zertifikate festlegen, dass ein Client identifiziert werden muss, bevor der
Zugriff auf Inhalte gewährt wird.
Wählen Sie die Option Erforderlich für Clientzertifikate aus, um festzulegen, dass Zertifikate die
Clientidentität überprüfen müssen, bevor dem Client der Zugriff auf die Inhalte gewährt wird.
Domäne mit dem Namen Contoso.de. Auf allen Servercomputern wird das Betriebssystem Windows Server
2008 ausgeführt.
Das Netzwerk enthält einen Webserver mit dem Namen Web1. Die Domänenbenutzer verwenden den URL
http://web1, um auf den Server zuzugreifen.
Sie konfigurieren ein selbstsigniertes Zertifikat für Web1 und aktivieren die SSL Verschlüsselung. Die
Benutzer berichten anschließend, dass sie eine Warnung erhalten, wenn sie den URL https://web1
verwenden, um eine Verbindung mit dem Webserver herzustellen.
Sie müssen sicherstellen, dass die Benutzer Verbindungen mit Web1 herstellen können, ohne eine Warnung
zu erhalten.
Seite 75 von 209
MS 70-649
22.12.2009
Wie gehen Sie vor?
A. Nehmen Sie den URL https://web1 auf allen Computern der Domäne in die Liste der vertrauenswürdigen
Sites auf.
B. Öffnen Sie die Konsole Zertifikate auf Web1. Exportieren Sie das selbstsignierte Zertifikat in eine .cer
Datei und installieren Sie das Zertifikat auf allen Computern der Domäne.
C. Nehmen Sie Web1 in die Active Directory Domäne auf und stellen Sie ein neues selbstsigniertes Zertifikat
aus. Weisen Sie die Benutzer an, den URL https://web1.Contoso.de für Verbindungen mit Web1 zu
verwenden.
D. Erstellen Sie in der DNS Zone Contoso.de einen Host (A) Eintrag für Web1. Stellen Sie ein neues
selbstsigniertes Zertifikat aus. Weisen Sie die Benutzer an, den URL https://web1.Contoso.de für
Verbindungen mit Web1 zu verwenden.
Answer: B
Erläuterungen:
Im Dialogfeld Selbstsigniertes Zertifikat erstellen des Internetinformationsdienste-Managers können Sie
Zertifikate für Testumgebungen von Servern und für die Problembehandlung bei Zertifikaten von
Drittanbietern erstellen. Die mit diesem Feature erstellten Zertifikate stammen nicht von einer
vertrauenswürdigen Zertifizierungsstelle (CA) und sollten grundsätzlich nur verwendet werden, um die
Datenübertragung zwischen dem Server und den Clients in einer Testumgebung zu sichern. Um
Warnungsmeldungen auf den Clientcomputern zu vermeiden, muss das Zertifikat auf den Clientcomputern in
den Speicher vertrauenswürdige Stammzertifizierungsstellen importiert werden.
103. Sie sind Administrator bei Contoso. Sie administrieren einen Windows Server 2008 Computer auf dem
die Serverrolle Webserver (IIS) installiert ist.
Der Server hostet mehrere Websites.
Sie müssen eine der Websites so konfigurieren, dass nicht mehr benötigter Speicher automatisch
freigegeben wird. Sie wollen Ihr Ziel erreichen, ohne die anderen Websites zu beeinflussen.
Wie gehen Sie vor?
A. Erstellen Sie eine neue Website und bearbeiten Sie die Bindungen der Website.
B. Erstellen Sie einen neuen Anwendungspool und verbinden Sie die Website mit dem Anwendungspool.
C. Erstellen Sie in neues virtuelles Verzeichnis und bearbeiten Sie die hinterlegten Zugangsdaten für den
physikalischen Pfad des virtuellen Verzeichnisses.
D. Bearbeiten Sie die Anwendungspoolstandardwerte und bearbeiten Sie die Optionen für die
Wiederverwendung.
Answer: C
Erläuterungen:
Wir können die Optionen für die Wiederverwendung eines Anwendungspools bearbeiten, um die
automatische Freigabe von Speicher bei überschreiten eines Grenzwertes zu konfigurieren. Um die anderen
Website nicht zu beeinflussen, darf der Anwendungspool nur von der einen Website verwendet werden.
Server 2008 Computer. Anschließend installieren Sie eine Microsoft .Net Framework Anwendung in eine
Website, die in einem Verzeichnis mit dem Namen wwwRoot auf dem Server gehostet wird.
Die .Net Framework Anwendung muss in eine Protokolldatei schreiben, die sich im Verzeichnis
C:\Programme\WebApp befindet.
Sie müssen die .Net-Vertrauensebene für die Website konfigurieren und sicherstellen, dass die Anwendung
in die Protokolldatei schreiben kann.
Wie gehen Sie vor?
A. Konfigurieren Sie die .Net-Vertrauensebene der Website mit Full.
Seite 76 von 209
MS 70-649
22.12.2009
B. Konfigurieren Sie die .Net-Vertrauensebene der Website mit High.
C. Konfigurieren Sie die .Net-Vertrauensebene der Website mit Minimal.
D. Konfigurieren Sie die .Net-Vertrauensebene der Website mit Medium.
Answer: D
Erläuterungen:
Auf der Featureseite .NET-Vertrauensebenen können Sie das trust-Element in der Datei Web.config
festlegen. Mit dem trust-Element können Sie die Ebene der Codezugriffssicherheit (Code Access Security,
CAS) für eine Anwendung festlegen. Wir müssen die Stufe Medium festlegen, da die Anwendung auf eine
Datei außerhalb des Anwendungsverzeichnisses zugreifen muss.
Vollzugriff (intern)
Gibt uneingeschränkte Berechtigungen an. Gewährt der ASP.NET-Anwendung Berechtigungen für den
Zugriff auf alle Ressourcen für die Betriebssystemsicherheit. Alle berechtigten Vorgänge werden unterstützt.
Hoch (web_hightrust_config)
Gibt eine hohe Codezugriffs-Sicherheitsebene an. Die Anwendung kann standardmäßig keine der folgenden
Aktionen durchführen:





Aufrufen von nicht verwaltetem Code
Aufrufen von verwalteten Komponenten
Schreiben in das Ereignisprotokoll
Zugreifen auf die Warteschlangen des Message Queuing-Diensts
Zugreifen auf ODBC-, OleDb- und Oracle-Datenquellen
Mittel (web_mediumtrust_config)
Gibt eine mittlere Codezugriffs-Sicherheitsebene an. In der Standardeinstellung werden neben den
Einschränkungen der hohen Vertrauensebene auch die folgenden Aktionen durch ASP.NET-Anwendungen
verhindert:



Zugreifen auf Dateien außerhalb des Anwendungsverzeichnisses
Zugreifen auf die Registrierung
Durchführen von Netzwerk- oder Webdienstaufrufen
Niedrig (web_lowtrust_config)
Gibt eine niedrige Codezugriffs-Sicherheitsebene an. In der Standardeinstellung werden neben den
Einschränkungen der mittleren Vertrauensebene auch die folgenden Aktionen durch Anwendungen
verhindert:


Schreiben in das Dateisystem
Aufrufen der Assert-Methode.
Minimal (web_minimaltrust_config)
Gibt eine minimale Codezugriffs-Sicherheitsebene an. Die Anwendung verfügt lediglich über
Ausführberechtigungen.
Namen Server1. Auf Server1 ist die Serverrolle Webserver (IIS) installiert.
Das Netzwerk enthält ein SMTP-Gateway, das mit dem Internet verbunden ist. Die interne Firewall blockiert
Verbindungen über Port 25 TCP für alle Computer des Netzwerks, außer für das SMTP-Gateway.
Seite 77 von 209
MS 70-649
22.12.2009
Sie konfigurieren das SMTP-Gateway für die Weiterleitung (Relay) von E-Mail Nachrichten von Server1. Sie
müssen eine Website auf Server1 so konfigurieren, dass E-Mail Nachrichten an Internetnutzer versendet
werden können.
Wie gehen Sie vor?
A. Installieren Sie auf Server1 das Feature SMTP-Server.
B. Konfigurieren Sie auf Server1 das Feature SMTP-E-Mail der Website.
C. Erstellen Sie auf einem internen DNS-Server einen Mail Exchange (MX) Eintrag für Server1.
D. Erstellen Sie auf einem internen DNS-Server einen Mail Exchange (MX) Eintrag für das SMTP-Gateway.
Answer: B
Erläuterungen:
Auf der Featureseite SMTP E-mail können Sie die Übermittlung von E-Mail-Nachrichten aus Anwendungen
konfigurieren, die die System.Net.Mail-API verwenden. Sie können die Absender-E-Mail-Adresse für
ausgehende E-Mail-Nachrichten festlegen und entscheiden, ob diese direkt an einen Online-SMTP-Server
gesendet oder auf dem Datenträger gespeichert werden, von wo aus sie für die spätere Übermittlung
abgerufen werden können. In unserem Fall muss das SMTP-Gateway als Online-SMTP-Server konfiguriert
werden.
Namen FTPSrv1.
Die Firmensicherheitsrichtlinien erfordern, dass der FTP-Serverdienst nur dann verfügbar ist, wenn er von
autorisierten Projekten benötigt wird.
Sie müssen sicherstellen, dass der FTP-Serverdienst nach einem Neustart des Servercomputers nicht
verfügbar ist.
Wie gehen Sie vor?
A. Führen Sie auf FTPSrv1 den Befehl iisreset.exe aus.
B. Führen Sie auf FTPSrv1 den Befehl net stop msftpsvc aus.
C. Führen Sie auf FTPSrv1 das Powershell Commandlet suspend-service msftpsvc aus.
D. Führen Sie auf FTPSrv1 den Befehl wmic /node:FTPSrv1 Service Where Caption=“FTP-Publishingdienst“
CALL ChangeStartMode Disabled aus.
Answer: D
Erläuterungen:
Um sicherzustellen, dass der FTP-Serverdienst nach einem Neustart des Computers nicht zur Verfügung
steht, müssen wir den FTP-Publishingdienst deaktivieren. Antwort D zeigt die korrekte Syntax, um den
Dienst über das Windows Management Instrumentation Commandline (WMIC) Tool zu deaktivieren.
auf dem die Serverrolle Webserver (IIS) installiert ist.
Sie müssen die Secure Socket Layer (SSL) Verschlüsselung für die Default Website aktivieren.
A. Beziehen und importieren Sie ein Serverzertifikat mit Hilfe der Konsole InternetinformationsdiensteManager.
B. Verwenden Sie die Aktion Schlüssel generieren im Dialog Computerschlüssel der Default Website.
C. Verwenden Sie die Konsole Internetinformationsdienste-Manager und konfigurieren Sie Bindungen an
das HTTPS Protokoll für die Default Website.
D. Verwenden Sie den Server-Manager und installieren Sie den Dienst Digestauthentifizierung der Rolle
Webserver (IIS).
Seite 78 von 209
MS 70-649
22.12.2009
Answer: A,C
Erläuterungen:
Aktivieren Sie SSL (Secure Sockets Layer), um zwischen einem Webserver und einem Client gesendete
Daten zu verschlüsseln. Für die Aktivierung von SSL müssen Sie ein gültiges Serverzertifikat anfordern und
installieren. Sie können ein Serverzertifikat von einer Zertifizierungsstelle (Certification Authority, CA)
erhalten, bei der es sich um eine interne Windows-Domänenzertifizierungsstelle oder um eine
vertrauenswürdige öffentliche Drittanbieterzertifizierungsstelle handeln kann. Sie können zur
Problembehandlung, zum Testen oder zur Anwendungsentwicklung auch ein selbstsigniertes Serverzertifikat
erstellen. Nachdem Sie das Serverzertifikat erhalten haben, müssen Sie es installieren und das HTTPSProtokoll an die Website binden.
108. Sie sind Administrator bei Contoso. Das Unternehmen hostet eine Website auf einem Windows Server
2008 Computer. Die Secure Socket Layer (SSL) Verschlüsselung ist für einzelne virtuelle Verzeichnisse der
Website konfiguriert, die die verschlüsselte Datenübertragung erfordern.
Sie implementieren eine neue Webanwendung in der Website. Die neue Anwendung hat eine eigene Seite
mit dem Namen userlogin.aspx für die Anmeldung.
Sie aktivieren die Formularauthentifizierung in den Eigenschaften der Website und müssen die Website nun
so konfigurieren, dass die Seite userlogon.aspx für die Authentifizierung der Benutzerkonten verwendet wird.
Wie gehen Sie vor?
A. Konfigurieren Sie die Einstellungen der Formularauthentifizierung und legen Sie fest, dass die SSLVerschlüsselung erfordert wird.
B. Konfigurieren Sie die Einstellungen der Formularauthentifizierung und legen Sie die Eigenschaft Name
der Cookieeinstellungen mit userlogin.aspx fest.
C. Konfigurieren Sie die Einstellungen der Formularauthentifizierung und legen Sie den URL für die
Anmeldung mit userlogin.aspx fest.
D. Konfigurieren Sie das HTTP-Feature Standarddokument der Website und nehmen Sie den Dateinamen
userlogin.aspx in die Liste der Dokumente auf.
Answer: C
Erläuterungen:
Die Formularauthentifizierung kann zum Verwalten von Clientregistrierung und -authentifizierung auf
Anwendungsebene, anstelle der Authentifizierungsmechanismen des Betriebssystems verwendet werden.
Die Option URL für Anmeldung gibt die URL an, an die Anforderungen zur Anmeldung umgeleitet werden,
wenn kein gültiges Authentifizierungscookie gefunden wird. Der Standardwert ist login.aspx.
Server 2008 Computer. Sie konfigurieren eine Website mit dem Namen Contoso.de und eine Anwendung
mit dem Namen Acctg auf dem Webserver.
Die Kapazität des Datenträgers, auf dem die Anwendungsdateien gespeichert sind, ist nahezu erschöpft. Sie
verschieben die Dateien der Anwendung Acctg auf einen anderen Datenträger des Webservers. Die aktuelle
Konfiguration der Anwendung wird in der Tabelle gezeigt (klicken Sie auf die Schaltfläche Zeichnung).
Die Benutzer berichten, dass ihnen der Zugriff auf die Anwendung nicht mehr möglich ist. Sie müssen
sicherstellen, dass die Benutzer die Anwendung verwenden können.
Welchen Befehl werden Sie auf dem Server ausführen?
A. Appcmd add app /site.name: Contoso /path:/Acctg /physicalPath:d:\Acctg
Seite 79 von 209
MS 70-649
22.12.2009
B. Appcmd add app /site.name: Contoso /path:/Acctg /physicalPath:f:\Acctg
C. Appcmd set app /site.name: Contoso /path:/Acctg /physicalPath:d:\Acctg
D. Appcmd set app /site.name: Contoso /path:/Acctg /physicalPath:f:\Acctg
Answer: D
Erläuterungen:
Durch das Verschieben der Inhaltsdateien hat sich der physikalische Pfad der Anwendung geändert. Antwort
D zeigt die korrekte Syntax, um den physikalischen Pfad der bestehenden Anwendung mit Hilfe des
Befehlszeilenprogramms Appcmd.exe anzupassen.
2008 installiert.
Sie administrieren einen Mitgliedsserver mit dem Namen Server4. Auf Server4 wird der Rollendienst
Terminaldienste-Gateway (TS Gateway) ausgeführt.
Sie müssen feststellen, ob ein Benutzer mit dem Namen Udo den Terminaldienste-Gateway Server jemals
verwendet hat, um sich mit seinem Bürocomputer zu verbinden.
Wie gehen Sie vor?
A. Verwenden Sie die Konsole Terminaldienstegateway-Manager und sehen Sie die Ereignisse im
Verzeichnis Überwachung ein.
B. Verwenden Sie die Konsole Ereignisanzeige und sehen Sie das Protokoll Sicherheit ein.
C. Verwenden Sie die Konsole Ereignisanzeige und sehen Sie das Protokoll Anwendung ein.
D. Verwenden Sie die Konsole Ereignisanzeige und sehen Sie das Protokoll TerminalServices-Gateway ein.
Answer: D
Erläuterungen:
Terminaldienste-Gateway (TS-Gateway) ist ein Rollendienst, der autorisierten Remotebenutzern das
Herstellen von Verbindungen mit Ressourcen in einem internen Firmennetzwerk oder privaten Netzwerk von
jedem Computer aus ermöglicht, der mit dem Internet verbunden ist und den RemotedesktopverbindungsClient (RDC-Client) ausführen kann. Netzwerkressourcen können Terminalserver, Terminalserver mit
RemoteApp-Programmen oder Computer mit aktiviertem Remotedesktop sein.
TS-Gateway verwendet das Remotedesktopprotokoll (RDP) über HTTPS zur Herstellung einer sicheren,
verschlüsselten Verbindung zwischen Remotebenutzern im Internet und den internen Netzwerkressourcen,
auf denen Produktivitätsanwendungen ausgeführt werden.
Die Ereignisanzeige enthält im Abschnitt Anwendungs- und Dienstprotokolle ein Protokoll, in dem die
Verbindungen und operativen Ereignisse des Terminaldienstegateways protokolliert werden.
Domäne mit dem Namen Contoso.de. Auf allen Clientcomputern ist das Betriebssystem Windows XP
Professional Service Pack 2 (SP2) installiert.
Das Netzwerk enthält einen Windows Server 2008 Computer mit dem Namen Server1. Auf Server1 sind die
Serverrolle Terminaldienste und der Rollendienst Terminaldienste-Webzugriff installiert.
Sie installieren und veröffentlichen eine Anwendung mit dem Namen TimeReport auf Server1. Der
Rollendienst Terminaldienste-Webzugriff verwendet die Active Directory-Domänendienste (AD DS) und ist
für die Authentifizierung auf Netzwerkebene aktiviert.
Sie müssen sicherstellen, dass die Benutzer die neue Anwendung TimeReport über die Webseite
Terminaldienste-Webzugriff öffnen können.
Wie gehen Sie vor?
Seite 80 von 209
MS 70-649
22.12.2009
A. Deaktivieren Sie die Veröffentlichung der Remoteanwendung TimeReport im Active Directory.
B. Installieren Sie die Remotedesktop-Clientsoftware in der Version 6.1 auf allen Clientcomputern.
C. Veröffentlichen Sie die Anwendung TimeReport auf Server1 als Windows Installer Paket und verteilen Sie
das Windows Installer Paket an die Benutzer.
D. Installieren Sie auf Server1 den Rollendienst Terminaldienstegateway und passen Sie die Konfiguration
der veröffentlichten Remoteanwendung an die geänderte Infrastruktur an.
Answer: B
Erläuterungen:
TS Web Access ist ein Rollendienst, der den Benutzern über einen Webbrowser den Zugriff auf RemoteAppProgramme und auf einen Link zum Terminalserverdesktop ermöglicht. Darüber hinaus umfasst TS Web
Access das Feature Remotedesktop-Webverbindung, das den Benutzern das Herstellen einer
Remoteverbindung mit dem Desktop jedes Computers ermöglicht, auf dem sie über Remotedesktopzugriff
verfügen.
Mit TS Web Access können Benutzer eine Website besuchen (entweder über das Internet oder über das
Intranet), um auf eine Liste verfügbarer RemoteApp-Programme zuzugreifen. Zum Starten eines
RemoteApp-Programms müssen Sie einfach auf das Programmsymbol klicken.
Wenn ein RemoteApp-Programm gestartet wird, wird auf dem Terminalserver, der das RemoteAppProgramm hostet, eine Terminaldienstesitzung gestartet.
Für die Unterstützung von Remoteanwendungen und Authentifizierung auf Netzwerkebene ist der
Remotedesktopverbindungsclient in der Version 6.1 erforderlich.
Domäne. Auf allen Servercomputern ist das Betriebssystem Windows Server 2008 installiert.
Auf einem Servercomputer mit dem Namen Server1 ist der Rollendienst Terminaldienstegateway (TS
Gateway) installiert. Die Rolle Terminalserver ist auf zwei Servern mit den Namen Server2 und Server3
installiert. Server2 und Server3 sind in einer Terminalserverfarm mit dem Namen TSLoad für den
Netzwerklastenausgleich konfiguriert.
Sie installieren den Terminaldienste-Sitzungsbroker auf einem neuen Servercomputer mit dem Namen
Server4.
Sie müssen Server2 und Server3 für die Verwendung von Server4 als Sitzungsbroker konfigurieren.
Wie gehen Sie vor?
A. Konfigurieren Sie Server2 und Server3, so dass der Rollendienst Terminaldienstegateway verwendet
wird, um eine Verbindung mit dem Terminaldienste-Sitzungsbroker herzustellen.
B. Erstellen Sie ein neues Gruppenrichtlinienobjekt (GPO), dass Server4 als Sitzungsbroker für Server2 und
Server3 zuweist. Wenden Sie das GPO auf Server2 und Server3 an.
C. Konfigurieren Sie ein Gruppenrichtlinienobjekt (GPO) und legen Sie die Adresse des
Terminaldienstegatways mit Server1 fest. Wenden Sie das GPO auf alle Clientcomputer an.
D. Konfigurieren Sie ein Gruppenrichtlinienobjekt (GPO) und deaktivieren Sie die Richtlinie Sichere RPCKommunikation anfordern im Abschnitt Sicherheit des Knotens Terminalserver. Wenden Sie das GPO auf
Server2 und Server3 an.
Answer: B
Erläuterungen:
Der TS-Sitzungsbroker ist ein Rollendienst, der folgende Funktionen bietet:


Er ermöglicht es einem Benutzer, eine Verbindung mit seiner vorhandenen Sitzung in einer
Terminalserverfarm mit Lastenausgleich wiederherzustellen.
Er ermöglicht Ihnen die gleichmäßige Verteilung der Sitzungslast zwischen Servern in einer
Terminalserverfarm mit Lastenausgleich.
Seite 81 von 209
MS 70-649
22.12.2009
Der TS-Sitzungsbroker speichert Sitzungsstatusinformationen, d. h., Sitzungs-IDs, ihre zugeordneten
Benutzernamen sowie den Namen des Servers, auf dem sich die einzelnen Sitzungen befinden.
Wenn ein Benutzer die Verbindung mit einer Sitzung trennt (absichtlich oder aufgrund eines
Netzwerkfehlers), werden die entsprechenden Anwendungen weiterhin ausgeführt. Wenn ein Benutzer eine
Verbindung wiederherstellt, wird der TS-Sitzungsbroker abgefragt, um zu bestimmen, ob dieser Benutzer
über eine vorhandene Sitzung verfügt und wenn ja, auf welchem Server in der Farm. Gibt es eine
vorhandene Sitzung, leitet der TS-Sitzungsbroker den Client auf den Terminalserver um, auf dem sich die
entsprechende Sitzung befindet.
Beim Lastenausgleich des TS-Sitzungsbrokers wird der Benutzer auf den Terminalserver mit den wenigsten
Sitzungen umgeleitet, wenn der Benutzer ohne vorhandene Sitzung eine Verbindung mit einem
Terminalserver in der Farm mit Lastenausgleich herstellt. (Wenn Sie die Sitzungslast zwischen
leistungsstarken und weniger leistungsstarken Servern in der Farm verteilen möchten, können Sie einem
Server einen relativen Sitzungslastwert zuweisen.) Wenn ein Benutzer mit einer vorhandenen Sitzung eine
Verbindung wiederherstellt, wird dieser auf den Terminalserver umgeleitet, auf dem sich die entsprechende
Sitzung befindet.
Das Unternehmen setzt die Windows Server 2008 Terminaldienste ein. Alle Terminaldienstekonten sind so
konfiguriert, dass Sitzungen ohne weitere Berechtigungen vom Benutzer übernommen werden können.
Ein Benutzer verwendet ein Benutzerkonto mit dem Namen Tom, um eine Terminalserversitzung mit Server2
herzustellen. Die ID der Sitzung lautet 1337.
Sie müssen die Sitzung des Benutzers übernehmen.
Welchen Befehl werden Sie ausführen?
A. Zunächst Chgusr 1337 /disable und anschließend Tscon 1337.
B. Zunächst Takeown /U Tom 1337 und anschließend Tscon 1337.
C. Zunächst Tsdiscon 1337 und anschließend Chgport /U Tom 1337.
D. Zunächst Tsdiscon 1337 und anschließend Tscon 1337.
Answer: D
Erläuterungen:
Um die Sitzung des Benutzers zu übernehmen, müssen wir die Sitzung zunächst trennen (Tsdiscon) und
anschließend übernehmen bzw. eine Verbindung mit der verwaisten Sitzung herstellen (Tscon). Alternativ zu
den Befehlszeilenprogrammen kann auch die Konsole Terminaldiensteverwaltung verwendet werden, um
Sitzungen zu trennen, zu beenden oder zu übernehmen.
Namen Server1. Auf Server1 ist der Rollendienst Terminaldienstegateway installiert.
Sie müssen einer Sicherheitsgruppe Zugriff auf den Terminaldienstegateway-Server ermöglichen.
Wie gehen Sie vor?
A. Nehmen Sie die Sicherheitsgruppe in die Gruppe Remotedesktopbenutzer auf.
B. Nehmen Sie die Sicherheitsgruppe in die Gruppe Terminaldienste-Webzugriffscomputer auf.
C. Erstellen und konfigurieren Sie eine Terminaldienste-Ressourcenautorisierungsregel (TS RAP).
D. Erstellen und konfigurieren Sie eine Terminaldienste-Verbindungsautorisierungsrichtlinie (TS CAP).
Answer: D
Seite 82 von 209
MS 70-649
22.12.2009
Erläuterungen:
Mithilfe von Terminaldienste-Verbindungsautorisierungsrichtlinien (TS CAPs) können Sie angeben, wer eine
Verbindung mit einem TS-Gatewayserver herstellen kann. Sie können eine Benutzergruppe angeben, die
auf dem lokalen TS-Gatewayserver oder in den Active Directory-Domänendiensten vorhanden ist. Darüber
hinaus können Sie andere Bedingungen angeben, die Benutzer für den Zugriff auf einen TS-Gatewayserver
erfüllen müssen. In jeder TS CAP können Sie bestimmte Bedingungen auflisten. Beispielsweise können Sie
festlegen, dass eine Gruppe von Benutzern eine Smartcard verwenden muss, um über TS-Gateway eine
Verbindung herzustellen.
Falsche Antworten:
A: Mitglieder dieser Gruppe haben die Berechtigung, sich remote anzumelden.
B: Mitglieder dieser Gruppe können die Liste der RemoteApp-Programme abfragen, die auf diesem
Terminalserver verfügbar sind.
C: TS RAPs ermöglichen Ihnen das Angeben der internen Netzwerkressourcen, mit denen Remotebenutzer
über einen TS-Gatewayserver eine Verbindung herstellen können. Wenn Sie eine TS RAP erstellen, können
Sie eine Computergruppe erstellen (eine Liste der Computer im internen Netzwerk, mit denen die
Remotebenutzer Verbindungen herstellen können) und diese der TS RAP zuordnen.
Domäne mit dem Namen Contoso.de. Das Unternehmen setzt die Windows Server 2008 Terminaldienste
(TS) ein.
Die Konten der Standardbenutzer, die sich mit einem Terminalserver verbinden, befinden sich einer
Organisationseinheit (OU) mit dem Namen TSBenutzer. Die Konten von Benutzern mit administrativen
Privilegien befinden sich in einer OU mit dem Namen TSAdmins. Andere Benutzer können keine
Verbindungen mit den Terminalservern herstellen.
Sie müssen sicherstellen, dass ausschließlich Benutzer, deren Konto sich in der OU TSAdmins befindet,
Remotedesktopprotokolldateien (.rdp) ausführen können.
Wie gehen Sie vor?
A. Erstellen Sie ein neues Gruppenrichtlinienobjekt (GPO) und deaktivieren Sie die Richtlinie RDP-Dateien
von unbekannten Herausgebern zulassen im Vorlagenverzeichnis Remotedesktopverbindungs-Client.
Wenden Sie das GPO auf die Organisationseinheit (OU) TSBenutzer an.
B. Erstellen Sie ein neues Gruppenrichtlinienobjekt (GPO) und deaktivieren Sie die Richtlinie RDP-Dateien
von gültigen Herausgebern und standardmäßige RDP-Einstellungen des Benutzers zulassen im
Vorlagenverzeichnis Remotedesktopverbindungs-Client. Wenden Sie das GPO auf die Organisationseinheit
(OU) TSBenutzer an.
C. Erstellen Sie ein neues Gruppenrichtlinienobjekt (GPO) und aktivieren Sie die Richtlinie RDP-Dateien von
gültigen Herausgebern und standardmäßige RDP-Einstellungen des Benutzers zulassen im
(OU) TSAdmins an.
D. Erstellen Sie ein neues Gruppenrichtlinienobjekt (GPO) und aktivieren Sie die Richtlinie SHA1Fingerabdrücke von Zertifikaten angeben, die vertrauenswürdige RDP-Herausgeber darstellen im
(OU) TSAdmins an.
Answer: B
Erläuterungen:
Mit der Richtlinie RDP-Dateien von gültigen Herausgebern und standardmäßige RDP-Einstellungen des
Benutzers zulassen können Sie festlegen, ob Benutzer RDP-Dateien (Remotedesktopprotokoll) von einem
Herausgeber, der die Datei mit einem gültigen Zertifikat signiert hat, ausführen können. Ein Zertifikat ist
gültig, wenn es von einer Zertifizierungsstelle ausgestellt wurde, die vom Client erkannt wird, z. B. von einem
der Aussteller im Zertifikatspeicher "Stammzertifizierungsstellen von Drittanbietern" des Clients. Mit dieser
Richtlinieneinstellung wird auch gesteuert, ob der Benutzer eine RDP-Sitzung mithilfe der standardmäßigen
RDP-Einstellungen starten kann (z. B. wenn ein Benutzer den RDC-Client ohne Angabe einer RDP-Datei
öffnet).
Wenn Sie diese Richtlinieneinstellung aktivieren oder nicht konfigurieren, können Benutzer RDP-Dateien
Seite 83 von 209
MS 70-649
22.12.2009
ausführen, die mit einem gültigen Zertifikat signiert wurden. Benutzer können auch eine RDP-Sitzung mit
standardmäßigen RDP-Einstellungen starten, indem Sie den RDC-Client direkt öffnen. Wenn ein Benutzer
eine RDP-Sitzung startet, wird er aufgefordert, die Verbindungsherstellung zu bestätigen.
Wenn Sie diese Richtlinieneinstellung deaktivieren, können Benutzer keine RDP-Dateien ausführen, die mit
einem gültigen Zertifikat signiert wurden. Zudem können Benutzer eine RDP-Sitzung nicht direkt starten,
indem Sie den RDC-Client öffnen und den Remotecomputernamen angeben. Wenn ein Benutzer versucht,
eine RDP-Sitzung zu starten, wird der Benutzer mit einer Meldung darüber informiert, dass der Herausgeber
blockiert wurde.
Hinweis: Sie können diese Richtlinieneinstellung im Knoten "Computerkonfiguration" oder im Knoten
"Benutzerkonfiguration" definieren. Wenn Sie diese Richtlinieneinstellung für den Computer konfigurieren,
sind alle Benutzer auf dem Computer betroffen.
Die Serverrolle Terminalserver wurde auf einem Mitgliedsserver mit dem Namen TS01 installiert. Der
Rollendienst Terminaldienstelizenzierung wurde auf einem neuen Testserver mit dem Namen TS10
installiert. TS10 ist Mitglied einer Arbeitsgruppe.
Es ist Ihnen nicht möglich auf TS10 im Terminaldienstelizenzierungs-Manager den TerminaldiensteLizenzierungsmodus Pro Benutzer (TS per User CAL) zu aktivieren.
Sie müssen sicherstellen, dass Sie den Terminaldienste-Lizenzierungsmodus Pro Benutzer auf TS10
verwenden können.
Wie gehen Sie vor?
A. Nehmen Sie TS10 in die Domäne auf.
B. Entfernen Sie TS01 aus der Domäne.
C. Erweitern Sie das Schema des Active Directory und ergänzen Sie Attribute für die
Terminaldienstelizenzierung.
D. Erstellen Sie ein Gruppenrichtlinienobjekt (GPO), das TS10 als Lizenzserver für TS01 konfiguriert.
Answer: A
Erläuterungen:
Wenn Sie den Terminaldienstelizenzierungs-Rollendienst installieren, müssen Sie einen Suchbereich
angeben, der bestimmt, wie der Terminaldienste-Lizenzserver von Terminalservern automatisch ermittelt
werden kann.
Es gibt drei Suchbereiche:



Arbeitsgruppe
Domäne
Gesamtstruktur
Der empfohlene Suchbereich für einen Lizenzserver lautet Gesamtstruktur.
Wenn der Terminaldienstelizenzierungs-Rollendienst auf demselben Computer installiert wird wie der
Terminalserver, kann der Terminalserver automatisch den Lizenzserver ermitteln (kontaktieren), unabhängig
davon, welcher Suchbereich für den Lizenzserver konfiguriert ist.
Der Suchbereich Arbeitsgruppe ist nur verfügbar, wenn der Computer, auf dem Sie den
Terminaldienstelizenzierungs-Rollendienst installieren, kein Mitglied einer Domäne ist. Wenn Sie den
Suchbereich Arbeitsgruppe konfigurieren, können Terminalserver ohne zusätzliche Konfiguration
automatisch einen Lizenzserver in derselben Arbeitsgruppe ermitteln.
Seite 84 von 209
MS 70-649
22.12.2009
Die Suchbereiche Domäne und Gesamtstruktur sind nur verfügbar, wenn der Computer, auf dem Sie den
Terminaldienstelizenzierungs-Rollendienst installieren, Mitglied einer Domäne ist.
Wenn Sie den Suchbereich Domänen konfigurieren, können Terminalserver ohne zusätzliche Konfiguration
einen Lizenzserver in derselben Domäne nur dann automatisch ermitteln, wenn der Lizenzserver auf einem
Domänencontroller installiert ist. Sie können den Terminaldienstelizenzierungs-Rollendienst auch auf einem
Nicht-Domänencontroller installieren. Dann kann der Lizenzserver jedoch nicht automatisch von den
Terminalservern in der Domäne ermittelt werden. Zum Konfigurieren des Suchbereichs Domänen müssen
Sie als Domänenadministrator bei der Domäne angemeldet sein, in der der Lizenzserver Mitglied ist.
Wenn der Lizenzierungsmodus Pro Gerät verwendet wird und ein Clientcomputer oder ein Gerät zum ersten
Mal eine Verbindung mit einem Terminalserver herstellt, wird standardmäßig eine temporäre Lizenz für den
Clientcomputer oder das Gerät ausgestellt. Wenn der Clientcomputer oder das Gerät dann zum zweiten Mal
eine Verbindung mit einem Terminalserver herstellt und der Lizenzserver aktiviert ist und genügend
Terminaldienste-Clientzugriffslizenzen (pro Gerät) verfügbar sind, stellt der Lizenzserver eine dauerhafte
Terminaldienste-Clientzugriffslizenz (pro Gerät) für den Clientcomputer oder das Gerät aus.
Eine Terminaldienste-Clientzugriffslizenz (pro Benutzer) gewährt einem Benutzer das Zugriffsrecht für einen
Terminalserver von einer unbegrenzten Anzahl von Clientcomputern oder Geräten aus. TerminaldiensteClientzugriffslizenzen (pro Benutzer) werden von der Terminaldienstelizenzierung nicht erzwungen. Daher
können Clientverbindungen unabhängig von der Anzahl der auf dem Lizenzserver installierten
Terminaldienste-Clientzugriffslizenzen (pro Benutzer), hergestellt werden. Dies bedeutet jedoch nicht, dass
Administratoren die Anforderung der Microsoft-Software-Lizenzbedingungen, dass für jeden Benutzer eine
gültige Terminaldienste-Clientzugriffslizenz (pro Benutzer) vorhanden sein muss, nicht einhalten müssen.
Wenn der Lizenzierungsmodus Pro Benutzer verwendet wird und nicht für jeden Benutzer eine gültige
Terminaldienste-Clientzugriffslizenz (pro Benutzer) vorhanden ist, bedeutet dies einen Verstoß gegen die
Lizenzbedingungen.
Namen Server1. Auf Server1 ist die Serverrolle Windows Server-Virtualisierung (Hyper-V) installiert.
Sie erstellen eine neue virtuelle Maschine und führen eine Installation von Windows Server 2008 in der
virtuellen Umgebung durch. Sie konfigurieren die virtuelle Maschine für die Verwendung der physikalischen
Netzwerkschnittstelle des Hostservers.
Sie stellen fest, dass Sie aus der virtuellen Umgebung keinen Zugriff auf Ressourcen im Netzwerk erhalten.
Sie müssen sicherstellen, dass die virtuelle Maschine Verbindungen mit dem physikalischen Netzwerk
herstellen kann.
Wie gehen Sie vor?
A. Installieren Sie den Microsoft Loopbackadapter auf dem Hostserver.
B. Installieren Sie das Feature Multipfad-E/A auf dem Hostserver.
C. Installieren Sie den Microsoft Loopbackadapter in der virtuellen Maschine.
D. Installieren Sie die Windows Server virtualization Guest Integration Components in der virtuellen
Maschine.
Answer: D
Erläuterungen:
Die „Integration Components“ implementieren den VMBus und ermöglichen damit die Verwendung des
neuen, generischen Treibermodells von Windows Server-Virtualisierung. Die volle Performanz für
Virtualisierungs-Gastsysteme erhalten Sie nur, wenn die Integration Components installiert sind.
2008 installiert.
Sie installieren ein iSCSI Storage Area Network (SAN) für eine Gruppe von Dateiservern. Die
Firmensicherheitsrichtlinien erfordern, dass die Datenkommunikation mit dem iSCSI SAN so sicher wie
Seite 85 von 209
MS 70-649
22.12.2009
möglich sein muss.
Sie müssen die höchstmögliche Sicherheit für die Datenkommunikation mit dem iSCSI SAN implementieren.
Wie gehen Sie vor?
A. Erstellen Sie ein Gruppenrichtlinienobjekt (GPO) und aktivieren Sie die Sicherheitsoption Systemobjekte:
Standardberechtigungen interner Systemobjekte verstärken.
B. Erstellen Sie ein Gruppenrichtlinienobjekt (GPO) und aktivieren Sie die Sicherheitsoption
Systemkryptografie: FIPS-konformen Algorithmus für Verschlüsselung, Hashing und Signatur verwenden.
C. Implementieren Sie die IP-Sicherheit (IPSec) in den Eigenschaften des iSCSI-Initiators. Erstellen Sie
eingehende und ausgehende Sicherheitsregeln in der Windows-Firewall.
D. Implementieren Sie die gegenseitige Microsoft Challenge Handshake Authentication Protocol (MSCHAPv2) Authentifizierung in den Eigenschaften des iSCSI-Initiators. Erstellen Sie eingehende und
ausgehende Sicherheitsregeln in der Windows-Firewall.
Answer: C
Erläuterungen:
Für die Interaktion zwischen Internet Storage Name Service (iSNS) Servern und iSNS-Clients wird das
iSNS-Protokoll (Internet Storage Name Service) verwendet. iSNS-Clients sind Computer (auch als Initiatoren
bezeichnet), die in Ethernetnetzwerken Speichergeräte (auch als Ziele bezeichnet) suchen. iSNS erleichtert
die automatisierte Erkennung, Verwaltung und Konfiguration von iSCSI- und Fibre Channel-Geräten (über
iFCP-Gateways) in TCP/IP-Netzwerken.
Der iSNS-Server bietet intelligente Speichersuch- und Verwaltungsdienste, die mit denen in Fibre ChannelNetzwerken vergleichbar sind. Sie ermöglichen den Betrieb eines Commodity-IP-Netzwerks mit ähnlicher
Funktion wie ein Storage Area Network. iSNS ermöglicht eine nahtlose Integration von IP-Netzwerken und
die Verwaltung von iSCSI-Geräten. So erhöht iSNS den Wert jedes Speichernetzwerks, das aus iSCSIGeräten besteht.
Features des iSNS-Servers






Der iSNS-Server ist ein Repository derzeit aktiver iSCSI-Knoten und deren zugeordneter Portale,
Entitäten usw.
Knoten können Initiatoren, Ziele oder Verwaltungsknoten darstellen.
Meist werden Initiatoren und Ziele beim iSNS-Server registriert, und die Initiatoren fragen den iSNSServer nach der Liste der verfügbaren Ziele ab.
Eine dynamische Datenbank der iSCSI-Geräte und zugehörige Informationen, die derzeit im
Netzwerk verfügbar sind: Die Datenbank stellt iSCSI-Zielerkennungsfunktionen für die iSCSIInitiatoren im Netzwerk bereit. Die Datenbank bleibt durch Verwendung der iSNS-Features
Registrierungsperiode und Entitätsstatusabfrage dynamisch. Mithilfe der Registrierungsperiode kann
der Server veraltete Einträge automatisch aus der Registrierung entfernen. Die Entitätsstatusabfrage
bietet dem Server eine dem Befehl ping ähnliche Funktion zum Ermitteln, ob im Netzwerk noch
registrierte Clients vorhanden sind, und ermöglicht es dem Server, die Registrierung nicht mehr
vorhandener Clients automatisch aufzuheben.
Benachrichtigungsdienst für Statusänderungen: Hiermit können registrierte Clients über Änderungen
an der Datenbank auf dem iSNS-Server benachrichtigt werden. Er ermöglicht es den Clients, ein
dynamisches Abbild der im Netzwerk verfügbaren iSCSI-Geräte beizubehalten.
Discovery-Domänendienst: Hiermit können Administratoren iSCSI-Knoten und -Portale einer oder
mehreren Gruppen zuweisen, die als Discovery-Domänen bezeichnet werden. Discovery-Domänen
bieten eine Zonenfunktionalität, mit deren Hilfe ein iSCSI-Initiator nur solche iSCSI-Ziele suchen
kann, mit denen dieser mindestens eine Discovery-Domäne teilt.
119. Sie sind Administrator bei Contoso. Sie installieren die Serverrolle Windows-Bereitstellungsdienste
(Windows Deployment Services, WDS) auf einem Windows Server 2008 Computer.
Seite 86 von 209
MS 70-649
22.12.2009
Sie planen die Installation von Windows Vista auf einem Computer ohne Preboot Execution Environment
(PXE) Unterstützung. Sie verfügen über ein Windows Vista Image, das auf dem WindowsBereitstellungsdienste Server gespeichert ist.
Sie müssen den neuen Computer starten und das Windows Vista Image installieren.
Was werden Sie erstellen?
A. Ein Aufzeichnungsabbild.
B. Eine CD-Rom mit PXE Treibern.
C. Ein Suchabbild.
D. Ein Installationsabbild.
Answer: C
Erläuterungen:
Suchabbilder Suchabbilder sind Startabbilder, mit denen erzwungen wird, dass Setup.exe im WindowsBereitstellungsdienstemodus gestartet wird. Anschließend wird ein Windows-Bereitstellungsdiensteserver
gesucht. Diese Abbilder werden in der Regel verwendet, um Abbilder für Computer bereitzustellen, die für
PXE nicht eingerichtet sind oder die sich in Netzwerken befinden, in denen PXE nicht zugelassen ist.
Wenn Sie ein Suchabbild erstellen und es auf dem Medium (beispielsweise CD, DVD oder USB-Laufwerk)
speichern, können Sie anschließend einen Computer mit dem Medium starten. Mit dem Suchabbild auf dem
Medium wird der Windows-Bereitstellungsdiensteserver gesucht. Das Installationsabbild wird vom Server für
den Computer bereitgestellt.
Falsche Antworten:
A: Aufzeichnungsabbilder sind Startabbilder, mit denen das Dienstprogramm zum Aufzeichnen der
Windows-Bereitstellungsdienste anstelle des Setups gestartet wird.
B: PXE bezeichnet die Eigenschaft eines Computers über die Netzwerkkarte zu starten und einen
Bootloader aus dem Netzwerk zu laden.
D: Installationsabbilder sind die von Ihnen für den Clientcomputer bereitgestellten Betriebssystemabbilder.
Namen VS1. Auf VS1 ist die Serverrolle Windows Server-Virtualisierung (Hyper-V) installiert.
VS1 hostet 10 virtuelle Server. Ein virtueller Server mit dem Namen VS-DB verfügt über eine virtuelle
Festplatte mit einer statischen Größe von 64 GB. Der Name der virtuellen Festplattendatei (Virtual Hard
Disk, VHD) lautet disk1.vhd.
Sie stellen fest, dass die Festplatte von VS-DB nur zu einem geringen Teil genutzt wird und wollen den
ungenutzten Speicherplatz für den physikalischen Server zurückgewinnen.
Sie müssen VS-DB konfigurieren und die virtuelle Festplattendatei disk1.vhd so klein wie möglich machen.
Wie gehen Sie vor? (Die Liste der verfügbaren Aktionen wird in der Abbildung dargestellt. Klicken Sie auf die
Schaltfläche Zeichnung. Ordnen Sie die notwendigen Aktionen in der richtigen Reihenfolge an.)
Seite 87 von 209
MS 70-649
22.12.2009
A. Reihenfolge: 4, 1, 3
B. Reihenfolge: 5, 1, 2
C. Reihenfolge: 4, 1, 2
D. Reihenfolge: 1, 4, 2
Answer: C
Erläuterungen:
Zu den wichtigsten Dateitypen mit denen die verschiedenen Aspekte eines Gastsystems abgebildet werden
zählen:




*.vhd - Dies ist die virtuelle Festplatte, die unser Gastsystem enthält.
*.vmc - Gibt es in Hyper-V nicht mehr. In Virtual Server befand sich hier die Hardware-Konfiguration
des Gastsystems. In Hyper-V gibt es hierfür eine XML-Datei.
*.bin + *.vsv - Diese beiden Dateien zusammen enthalten den Status eines Gastsystems.
*.avhd - Ist eine 'Differencing Disk', die ihrerseits wieder auf eine *.vhd-Datei zeigt. Das Gastsystem
schreibt alle Änderungen dort hinein, was den kuriosen Effekt hat, dass die beiden Dateien
zusammen nur größer werden können - selbst wenn Sie Daten von der Festplatte löschen, ist es
eine Änderung, die notiert werden muss.
Zweigstelle.
Das Netzwerk der Zweigstelle enthält 3 Servercomputer auf denen eine Server Core-Installation von
Windows Server 2008 ausgeführt wird. Die Namen der Server lauten Server1, Server2 und Server3.
Sie wollen auf Server1 ein Ereignisabonnement konfigurieren, um Ereignisse von Server2 und Server3 zu
sammeln. Es ist Ihnen jedoch nicht möglich einen anderen Computer zu verwenden, um das Abonnement
auf Server1 zu erstellen.
Sie müssen das Abonnement auf Server1 erstellen.
Wie gehen Sie vor? (Jede korrekte Antwort stellt einen Teil der Lösung dar. Wählen Sie zwei Antworten.)
Seite 88 von 209
MS 70-649
22.12.2009
A. Führen Sie auf Server1 den Befehl wecutil.exe cs subscription.xml aus.
B. Führen Sie auf Server1 den Befehl wevtutil.exe im subscription.xml aus.
C. Erstellen Sie eine Konfigurationsdatei für den Ereignissammlungsdienst und speichern Sie die Datei unter
dem Namen subscription.xml.
D. Verwenden Sie die Ereignisanzeige eines Remotecomputers, um auf Server1 eine benutzerdefinierte
Ansicht zu erstellen. Exportieren Sie die benutzerdefinierte Ansicht in eine Datei mit dem Namen
subscription.xml.
Answer: A,C
Erläuterungen:
Sie können Ereignisse von Remotecomputern zusammentragen und in Protokollen auf dem lokalen
Computer speichern. Welche Ereignisse gesammelt werden sollen, geben Sie an, indem Sie ein
Abonnement erstellen. Sie können die Ereignisanzeige verwenden oder den Befehl wevtutil an einer
Eingabeaufforderung eingeben, um Ereignisprotokolle auf einem Remotecomputer zu verwalten. Die
Ereignisanzeige kann jedoch nicht zum Erstellen eines Abonnements verwendet werden, während sie mit
einem Remotecomputer verbunden ist.
122. Sie sind Administrator bei Contoso. Sie führen ein Sicherheitsaudit auf einem Servercomputer mit dem
Namen Server1 durch. Sie installieren Microsoft Netzwerkmonitor 3.0 auf Server1.
Sie stellen fest, dass nur für einige der gesammelten Rahmen mnemonic Namen (Pseudocodes) in den
Spalten Source und Destination angezeigt werden. Für alle anderen Rahmen werden IP-Adressen
angezeigt.
Sie wollen für alle gesammelten Rahmen mnemonic Hostnamen anstelle der IP-Adressen anzeigen lassen.
Wie gehen Sie vor?
A. Erstellen Sie einen neuen Display Filter und wenden Sie den Filter auf die gesammelten Daten an.
B. Erstellen Sie einen neuen Capture Filter und wenden Sie den Filter auf die gesammelten Daten an.
C. Erstellen Sie Einträge in der Aliastabelle und wenden Sie die Aliase auf die gesammelten Daten an.
D. Aktivieren Sie die Option Enable Conversations (consumes more memory) und zeichnen Sie die Daten
erneut auf.
Answer: C
Erläuterungen:
Über die Aliastabelle in Network Monitor 3.x können Sie IPv4 und IPv6 Adressen in der Übersicht der
gesammelten Rahmen durch frei konfigurierbare Pseudocodes (mnemonic Namen) ersetzen und so eine
bessere Lesbarkeit erzielen.
123. Sie sind Administrator bei Contoso. Sie führen ein Sicherheitsaudit auf einem Servercomputer mit dem
Namen DC1 durch. Sie installieren Microsoft Netzwerkmonitor 3.0 auf DC1.
Sie planen, den gesamten LDAP bezogenen Datenverkehr des nächsten Tages von und zu DC1 zwischen
20:00 Uhr und 07:00 Uhr aufzuzeichnen und in die Datei E:\Data.cap zu speichern.
Sie erstellen eine geplante Aufgabe und nehmen die Aktion Programm starten in den Task auf. Sie müssen
den Anwendungsnamen und die Argumente für die neue Aktion ergänzen.
Wie gehen Sie vor?
A. Konfigurieren Sie den Anwendungsnamen nmcap.exe. Legen Sie /networks * /capture LDAP /file
e:\Data.cap /stopwhen /timeafter 11hours als Argument fest.
B. Konfigurieren Sie den Anwendungsnamen netmon.exe. Legen Sie /networks * /capture LDAP /file
C. Konfigurieren Sie den Anwendungsnamen nmcap.exe. Legen Sie /networks * /capture !LDAP /file
Seite 89 von 209
MS 70-649
22.12.2009
D. Konfigurieren Sie den Anwendungsnamen nmconfig.exe. Legen Sie /networks * /capture &LDAP /file
Answer: A
Erläuterungen:
Sie können das Befehlszeilenprogramm Nmcap.exe verwenden, um Rahmen ohne die grafische
Benutzeroberfläche (GUI) des Netzwerkmonitors zu sammeln. Das Befehlszeilenprogramm Nmcap.exe
befindet sich im Installationsverzeichnis von Microsoft Network Monitor V3.x. Über die Eingabe von
Nmcap.exe /? Erhalten Sie eine Übersicht der verfügbaren Parameter.
124. Sie sind Administrator bei Contoso. Auf einem Windows Server 2008 Computer mit dem Namen
Server1 werden die Windows Server Update Services (WSUS) ausgeführt. Server1 befindet sich im Intranet
des Unternehmens.
Sie konfigurieren die Secure Socket Layer (SSL) Verschlüsselung für die Windows Server Update Services
(WSUS) Website und wollen nun ein Gruppenrichtlinienobjekt (GPO) konfigurieren, um den Pfad für den
internen Updatedienst auf den Clientcomputern festzulegen.
Welchen Uniform Ressource Locator (URL) werden Sie verwenden?
A. http://Server1
B. http://Server1:8080
C. https://Server1
D. https://Server1:8080
Answer: C
Erläuterungen:
Über die Richtlinie Computerkonfiguration – Administrative Vorlagen – Windows-Komponenten – Windows
Update – Internen Pfad für den Microsoft Updatedienst angeben kann ein Intranetserver konfiguriert werden,
der als Host für die Updates von Microsoft Update fungiert. Mit diesem Updatedienst können Computer im
Netzwerk automatisch aktualisiert werden. Da die SSL Verschlüsselung für die Windows Update Services
konfiguriert wurde, muss das HTTPS Protokoll verwendet werden. Die Website wird standardmäßig auf Port
80 TCP ausgeführt.
125. Sie sind Administrator bei Contoso. Einige Mitarbeiter stellen Remoteverbindungen mit dem
Firmennetzwerk über einen Windows Server 2008 VPN Server her.
Sie müssen sicherstellen, dass die Mitarbeiter zwischen 22:00 Uhr und 05:00 Uhr keine VPN-Verbindungen
herstellen können.
Wie gehen Sie vor?
A. Erstellen Sie eine neue Netzwerkrichtlinie für Remotezugriffsserver und konfigurieren Sie Tag- und
Uhrzeiteinschränkungen.
B. Erstellen Sie eine neue Netzwerkrichtlinie für Remotezugriffsserver und konfigurieren Sie IP-Filter, um
den Zugriff auf das Firmennetzwerk einzuschränken.
C. Bearbeiten Sie die Anmeldezeiten für alle Benutzerobjekte und konfigurieren Sie die Liste der
Anmeldearbeitsstationen, so dass nur der VPN-Server enthalten ist.
D. Bearbeiten Sie die Default Domain Policy (DDP) und aktivieren Sie die Sicherheitsoption
Netzwerksicherheit: Abmeldung nach Ablauf der Anmeldezeit erzwingen.
Answer: A
Erläuterungen:
Seite 90 von 209
MS 70-649
22.12.2009
Clientintegritätsprüfungen ausführt. Bei der Verarbeitung von Verbindungsanforderungen als RADIUSServer führt NPS die Authentifizierung und Autorisierung für die Verbindungsanforderung aus. Während des
Authentifizierungsvorgangs überprüft NPS die Identität des Benutzers oder Computers, der eine Verbindung
mit dem Netzwerk herstellt. Während des Autorisierungsvorgangs bestimmt NPS, ob der Benutzer oder
Computer auf das Netzwerk zugreifen darf.
angewendet.
Domäne mit dem Namen Contoso.de. Sie administrieren einen Windows Server 2008 Mitgliedsserver.
Sie müssen auf dem Servercomputer umgehend alle eingehenden Verbindungen blockieren.
Wie gehen Sie vor?
A. Verwenden Sie die Konsole Dienste und deaktivieren Sie den Dienst IP-Hilfsdienst.
B. Verwenden Sie die Konsole Dienste und deaktivieren Sie den Dienst Anmeldedienst.
C. Verwenden Sie die Konsole Windows-Firewall mit erweiterter Sicherheit und blockieren Sie alle
eingehenden Verbindungen im öffentlichen Profil.
D. Verwenden Sie die Konsole Windows-Firewall mit erweiterter Sicherheit und blockieren Sie alle
eingehenden Verbindungen im Domänenprofil.
Answer: D
Erläuterungen:
Eine Firewallprofil bietet die Möglichkeit, Einstellungen wie Firewall- und Verbindungssicherheitsregeln
zusammenzufassen, um sie je nachdem, wo der Computer angeschlosen wird, anzuwenden. Auf Computern
unter dieser Version von Windows stehen für die Windows-Firewall mit erweiterter Sicherheit drei Profile zur
Verfügung. Es wird jeweils nur ein Profil angewendet.
Die folgenden Profile sind verfügbar:
Domäne
Dieses Profil wird verwendet, wenn ein Computer mit einem Netzwerk verbunden ist, in dem sich sein
Domänenkonto befindet.
Privat
Dieses Profil wird verwendet, wenn ein Computer mit einem Netzwerk verbunden ist, in dem sich sein
Seite 91 von 209
MS 70-649
22.12.2009
Domänenkonto nicht befindet, z. B. in einem Heimnetzwerk. Die Einstellungen des privaten Profils sollten
einschränkender sein als die des Domänenprofils.
Öffentlich
Wird angewendet, wenn ein Computer über ein öffentliches Netzwerk mit einer Domäne verbunden ist, wie
z. B. Computer an Flughäfen und in Coffee Shops. Die Einstellungen des öffentlichen Profils sollten die
stärksten Einschränkungen aufweisen, da der Computer mit einem öffentlichen Netzwerk verbunden ist, in
dem die Sicherheit nicht so streng kontrolliert werden kann wie in einer IT-Umgebung.
Die Einstellung Eingehende Verbindungen in den Eigenschaften eines Profils bestimmt das Verhalten für
eingehende Verbindungen, die keiner eingehenden Firewallregel entsprechen. Das installierte Verhalten
besteht darin, alle Verbindungen zu blockieren, sofern sie nicht durch Firewallregeln zugelassen sind. Sie
können das folgende Verhalten für eingehende Verbindungen auswählen.
Blocken (Standard)
Blockiert alle Verbindungen, die nicht ausdrücklich durch Firewallregeln zugelassen sind.
Alle Verbindungen blocken
Blockiert alle Verbindungen unabhängig davon, ob sie ausdrücklich durch Firewallregeln zugelassen sind.
Zulassen
Lässt alle Verbindungen zu, die nicht ausdrücklich durch Firewallregeln blockiert werden.
Falsche Antworten:
A: Der Dienst bietet automatische IPv6-Konnectivität über ein IPv4-Netzwerk. Wenn dieser Dienst beendet
wird, verfügt der Computer nur IPv6-Konnectivität, wenn er an ein IPv6-Netzwerk angeschlossen wird.
B: Der Dienst unterstützt einen sicheren Kanal zwischen diesem Computer und dem Domänencontroller zum
Authentifizieren von Benutzern und Diensten. Möglicherweise wird der Computer Benutzer und Dienste nicht
authentifizieren und der Domänencontroller kann keine DNS-Einträge registrieren, falls dieser Dienst
beendet wird. Falls dieser Dienst deaktiviert wird, können die Dienste, die von diesem Dienst ausschließlich
abhängig sind, nicht mehr gestartet werden.
C: Der Computer ist Mitglied einer Domäne. Es müssen die Einstellungen des Domänenprofils bearbeitet
werden.
Mitgliedsserver mit dem Namen RAS1.
Sie konfigurieren Routing und RAS (RRAS) auf RAS1. Die Remotezugriffsrichtlinien des Unternehmens
erlauben den Mitgliedern der Gruppe Domänen-Benutzer die Einwahl in das Firmennetzwerk über RAS1.
Das Unternehmen stellt Smartcards für alle Mitarbeiter aus. Sie müssen sicherstellen, dass die Benutzer
Smartcards für die Einwahl auf RAS1 verwenden können.
Wie gehen Sie vor?
A. Installieren Sie den Netzwerkrichtlinienserver (Network Policy Server, NPS) auf RAS1.
B. Erstellen Sie eine Netzwerkrichtlinie für Remotezugriffsserver und erfordern Sie die
Benutzerauthentifizierung über das Protokoll SPAP.
C. Erstellen Sie eine Netzwerkrichtlinie für Remotezugriffsserver und erfordern Sie die
Benutzerauthentifizierung über das Protokoll EAP-TLS.
D. Erstellen Sie eine Netzwerkrichtlinie für Remotezugriffsserver und erfordern Sie die
Benutzerauthentifizierung über das Protokoll MS-CHAP-v2.
Answer: C
Erläuterungen:
Seite 92 von 209
MS 70-649
22.12.2009
Zertifikate sind digitale Dokumente, die von Zertifizierungsstellen (Certification Authorities, CAs) wie z. B.
Active Directory®-Zertifikatsdienste (Active Directory Certificate Services, AD CS) oder der öffentlichen
Zertifizierungsstelle VeriSign ausgestellt werden. Zertifikate können vielseitig eingesetzt werden,
beispielsweise für Codesignaturen oder zum Schützen der E-Mail-Kommunikation, aber mit dem
Netzwerkrichtlinienserver (Network Policy Server, NPS) werden Zertifikate für die Authentifizierung des
Netzwerkzugriffs verwendet. .
Mit Zertifikaten wird der Netzwerkzugriff authentifiziert, da sie ein hohes Maß an Sicherheit für die
Authentifizierung von Benutzern und Computern bieten und weniger sichere kennwortbasierte
Authentifizierungsmethoden ersetzen.
Sie können die folgenden beiden Authentifizierungsmethoden verwenden, wenn zertifikatbasierte
Authentifizierungstypen konfiguriert werden, Zertifikate: EAP und PEAP. Mit EAP können Sie den
Authentifizierungstyp TLS (EAP-TLS) und mit PEAP die Authentifizierungstypen TLS (PEAP-TLS) und MSCHAP v2 (PEAP-MS-CHAP v2) konfigurieren. Mit diesen Authentifizierungsmethoden werden stets
Zertifikate für die Serverauthentifizierung verwendet. In Abhängigkeit von dem für die
Authentifizierungsmethode verwendeten Authentifizierungstyp können Zertifikate auch für die
Authentifizierung von Benutzern und Clientcomputern verwendet werden. .
Die Verwendung von Zertifikaten für die Authentifizierung von VPN-Verbindungen stellt unter Windows
Server 2008 die stärkste Form der Authentifizierung dar. Sie müssen die zertifikatbasierte Authentifizierung
für VPN-Verbindungen verwenden, die auf L2TP/IPsec (Layer Two Tunneling-Protokoll mit Internet Protocol
Security) basieren. PPTP-Verbindungen (Point-to-Point-Tunneling-Protokoll) erfordern zwar keine Zertifikate,
aber Sie können für diese Verbindungen dennoch Zertifikate für die Computerauthentifizierung verwenden,
wenn Sie EAP-TLS als Authentifizierungsmethode verwenden. Für Drahtlosclients wird PEAP mit EAP-TLS
und Smartcards oder Zertifikaten als Authentifizierungsmethode empfohlen.
128. Sie sind Administrator bei Contoso. Das Unternehmen hat die Erzwingung des
Netzwerkzugriffsschutzes (Network Access Protection, NAP) für VPN-Verbindungen implementiert.
Sie müssen sicherstellen, dass der Sicherheitsintegritätsstatus aller Clientcomputer überwacht und
ausgewertet werden kann.
Wie gehen Sie vor?
A. Erstellen Sie ein Gruppenrichtlinienobjekt (GPO) und aktivieren Sie die Richtlinie Sicherheitscenter
aktivieren. Verknüpfen Sie das GPO mit der Domäne.
B. Erstellen Sie ein Gruppenrichtlinienobjekt (GPO) und aktivieren Sie die Richtlinie Sicherheitscenter
aktivieren. Verknüpfen Sie das GPO mit der Organisationseinheit Domain Controllers.
C. Erstellen Sie ein Gruppenrichtlinienobjekt (GPO) und aktivieren Sie die Richtlinie Vertrauenswürdiger
Pfad für Anmeldeinformationseintrag erforderlich. Verknüpfen Sie das GPO mit der Domäne.
D. Erstellen Sie ein Gruppenrichtlinienobjekt (GPO) und aktivieren Sie die Richtlinie Vertrauenswürdiger
Pfad für Anmeldeinformationseintrag erforderlich. Verknüpfen Sie das GPO mit der Organisationseinheit
Domain Controllers.
Answer: A
Erläuterungen:
Die Erzwingung des Netzwerkzugriffsschutzes (Network Access Protection, NAP) für VPN wird über eine
VPN-Erzwingungsserverkomponente und eine VPN-Erzwingungsclientkomponente bereitgestellt. Mithilfe
dieser Erzwingungsmethode können VPN-Server Integritätsrichtlinien erzwingen, wenn Clientcomputer
versuchen, eine VPN-Verbindung mit dem Netzwerk herzustellen. Die VPN-Erzwingung ermöglicht einen
stark eingeschränkten Netzwerkzugriff für alle Computer, die über eine VPN-Verbindung auf das Netzwerk
zugreifen.
Anforderungen
Seite 93 von 209
MS 70-649
22.12.2009
Zum Bereitstellen des Netzwerkzugriffsschutzes für VPN müssen Sie Folgendes konfigurieren:







Installieren und konfigurieren Sie Routing und RAS als VPN-Server. Konfigurieren Sie Ihren Server,
auf dem der Netzwerkrichtlinienserver (Network Policy Server, NPS) ausgeführt wird, als primären
RADIUS-Server in Routing und RAS.
Konfigurieren Sie VPN-Server in NPS als RADIUS-Clients. Konfigurieren Sie zudem eine
Verbindungsanforderungsrichtlinie, eine Netzwerkrichtlinie und eine NAP-Integritätsrichtlinie. Sie
können diese Richtlinien einzeln über die NPS-Konsole oder mithilfe des Assistenten für den
Netzwerkzugriffsschutz konfigurieren.
Aktivieren Sie auf NAP-fähigen Clientcomputern die RAS- und EAP-Erzwingungsclients.
Aktivieren Sie den NAP-Dienst auf NAP-fähigen Clientcomputern.
Konfigurieren Sie die Windows-Sicherheitsintegritätsprüfung (Windows Security Health Validator,
WSHV), oder installieren und konfigurieren Sie andere Systemintegritäts-Agents (System Health
Agents, SHAs) und Systemintegritätsprüfungen (System Health Validators, SHVs) entsprechend der
NAP-Bereitstellung.
Stellen Sie eine Public Key-Infrastruktur (Public Key Infrastructure, PKI) mit Active DirectoryZertifikatsdiensten (Active Directory Certificate Services, AD CS) bereit, wenn Sie PEAP-TLS oder
EAP-TLS mit Smartcards oder Zertifikaten verwenden.
Bei Verwendung von PEAP-MS-CHAP v2 stellen Sie Serverzertifikate mit AD CS aus, oder
erwerben Sie Serverzertifikate von einer vertrauenswürdigen Stammzertifizierungsstelle.
Wenn Sie die Windows-Sicherheitsintegritätsprüfung (Windows Security Health Validator, WSHV) in der
NAP-Bereitstellung verwenden, müssen Sie das Sicherheitscenter auf NAP-fähigen Clients mithilfe der
Gruppenrichtlinie aktivieren.
Falsche Antworten:
B: Das Sicherheitscenter muss auf allen Clientcomputern aktiviert werden.
C, D: Diese Richtlinieneinstellung zwingt die Benutzer, Microsoft Windows-Anmeldeinformationen unter
Verwendung eines vertrauenswürdigen Pfads eingeben, damit Trojanische Pferde oder andere Arten
gefährlichen Codes ihre Windows-Anmeldeinformationen nicht ausspionieren.
129. Sie sind Administrator bei Contoso. Das Unternehmen setzt die Active Directory-Zertifikatsdienste (AD
CS) und die Netzwerkrichtlinien- und Zugriffsdienste (NPS) ein.
Sie müssen das Drahtlosnetzwerk so konfigurieren, dass Smartcards verwendet werden können.
Wie gehen Sie vor?
A. Konfigurieren Sie das Drahtlosnetzwerk, so dass WPA2, PEAP und MSCHAPv2 unterstützt werden.
B. Konfigurieren Sie das Drahtlosnetzwerk, so dass WPA2, 802.1x Authentifizierung und EAP-TLS
C. Konfigurieren Sie das Drahtlosnetzwerk, so dass WPA2, 802.1x Authentifizierung, PEAP und MSCHAPv2
D. Konfigurieren Sie das Drahtlosnetzwerk, so dass WPA2, PEAP und MSCHAPv2 unterstützt werden.
Erfordern Sie zusätzlich komplexe Benutzerkennwörter.
Answer: B
Erläuterungen:
Die Erzwingung des Netzwerkzugriffsschutzes (Network Access Protection, NAP) für die portbasierte
802.1X-Netzwerkzugriffssteuerung erfolgt mithilfe eines Servers, auf dem der Netzwerkrichtlinienserver
(Network Policy Server, NPS) ausgeführt wird, und einer EAP-Erzwingungsclientkomponente. Bei der
portbasierten 802.1X-Erzwingung weist der Netzwerkrichtlinienserver einen 802.1X-Authentifizierungsswitch
oder einen 802.1X-kompatiblen Drahtloszugriffspunkt an, nicht kompatible 802.1X-Clients in ein
Wartungsnetzwerk zu platzieren. Der Netzwerkrichtlinienserver beschränkt den Netzwerkzugriff des Clients
auf das Wartungsnetzwerk, indem IP-Filter oder der Bezeichner eines virtuellen LAN auf die Verbindung
angewendet werden. Die 802.1X-Erzwingung ermöglicht einen stark eingeschränkten Netzwerkzugriff für
alle Computer, die über 802.1X-fähige Netzwerkzugriffsserver auf das Netzwerk zugreifen.
Seite 94 von 209
MS 70-649
22.12.2009
Stellen Sie eine Public Key-Infrastruktur (Public Key Infrastructure, PKI) mit Active DirectoryZertifikatsdiensten (Active Directory Certificate Services, AD CS) bereit, wenn Sie PEAP-TLS oder EAP-TLS
mit Smartcards oder Zertifikaten verwenden.
Domäne mit dem Namen Contoso.de. Die Domäne enthält einen Windows Server 2008 Mitgliedsserver mit
dem Namen Server1.
Auf Server1 ist der Routing und RAS Dienst installiert. Sie implementieren die Netzwerkrichtlinien- und
Zugriffsdienste (NAP) für die Domäne.
Sie müssen eine Authentifizierungsmethode für Point-to-Point Protokoll (PPP) Verbidnungen konfigurieren.
Welche Authentifizierungsmethode werden Sie verwenden?
A. Challenge Handshake Authentication Protocol (CHAP).
B. Extensible Authentication Protocol (EAP).
C. Microsoft Challenge Handshake Authentication Protocol Version 2 (MS-CHAP-v2).
D. Password Authentication Protocol (PAP).
Answer: B
Erläuterungen:
Bei Verwendung des Extensible-Authentication-Protokolls (EAP) wird eine RAS-Verbindung durch einen
zufälligen Authentifizierungsmechanismus authentifiziert. Das genaue Authentifizierungsschema, das
verwendet werden soll, wird vom RAS-Client und dem Authentifikator (entweder ein RAS-Server oder ein
RADIUS-Server) ausgehandelt. In Routing und RAS wird EAP-TLS standardmäßig unterstützt. Auf dem
Server, auf dem Routing und RAS ausgeführt wird, können andere EAP-Module als Plug-In verwendet
werden, um weitere EAP-Methoden bereitzustellen. EAP ermöglicht eine erweiterbare Kommunikation
zwischen dem RAS-Client und dem Authentifikator. Diese Kommunikation umfasst
Authentifizierungsinformationsanforderungen des Authentifikators sowie die Antworten des RAS-Clients.
Wenn EAP beispielsweise in Verbindung mit Sicherheitstokenkarten verwendet wird, kann der
Authentifikator vom RAS-Client einzeln einen Namen, eine PIN-Nummer und einen Kartentokenwert
anfordern. Durch die Beantwortung der einzelnen Anforderungen durchläuft der RAS-Client verschiedene
Authentifizierungsstufen. Wenn alle Fragen zufriedenstellend beantwortet wurden, gilt der RAS-Client als
authentifiziert. Ein EAP-Authentifizierungsschema wird als EAP-Typ bezeichnet. Der RAS-Client und der
Authentifikator müssen denselben EAP-Typ unterstützen, damit eine Authentifizierung erfolgen kann.
Aktivieren von EAP
Zum Aktivieren der EAP-basierten Authentifizierung müssen Sie die folgenden Schritte ausführen:
1. Aktivieren Sie EAP als Authentifizierungsprotokoll auf dem RAS-Server.
2. Aktivieren Sie EAP, und konfigurieren Sie ggf. den EAP-Typ in der entsprechenden
Netzwerkrichtlinie.
3. Aktivieren und konfigurieren Sie EAP auf dem RAS-Client.
Namen Server1.
Sie müssen Server1 als VPN-Server konfigurieren.
Welche Serverrollen werden Sie auf Server1 installieren?
A. Die Serverrolle Windows-Bereitstellungsdienste und den Rollendienst Bereitstellungsserver.
B. Die Serverrolle Windows-Bereitstellungsdienste und den Rollendienst Transportserver.
C. Die Serverrolle Netzwerkrichtlinien- und Zugriffsdienste und den Rollendienst Routing- und RAS-Dienste.
Seite 95 von 209
MS 70-649
22.12.2009
D. Die Serverrolle Netzwerkrichtlinien- und Zugriffsdienste und den Rollendienst Host Credential
Authorization-Protokoll.
Answer: C
Erläuterungen:
Virtuelle private Netzwerke (VPNs) sind Punkt-zu-Punkt-Verbindungen über ein privates oder ein öffentliches
Netzwerk, z. B. über das Internet. Ein VPN-Client verwendet spezielle TCP/IP-basierte Protokolle, so
genannte Tunnelprotokolle, um einen virtuellen Anruf bei einem virtuellen Port auf einem VPN-Server zu
tätigen. In einer typischen VPN-Bereitstellung initiiert ein Client über das Internet eine virtuelle Punkt-zuPunkt-Verbindung mit einem RAS-Server. Der RAS-Server beantwortet den Anruf, authentifiziert den Anrufer
und übermittelt Daten zwischen dem VPN-Client und dem privaten Netzwerk des Unternehmens.
Zur Emulierung einer Punkt-zu-Punkt-Verbindung werden die Daten in einen Header gekapselt bzw.
eingebunden. Dieser Header enthält Routinginformationen, die es den Daten ermöglichen, das freigegebene
oder öffentliche Netzwerk zu durchqueren und ihren Endpunkt zu erreichen. Zur Emulierung einer privaten
Verbindung werden die gesendeten Daten verschlüsselt, um die Vertraulichkeit der Informationen zu
wahren. Pakete, die im freigegebenen oder öffentlichen Netzwerk abgefangen werden, können ohne die
Verschlüsselungsschlüssel nicht entschlüsselt werden. Die Verbindung, in der die privaten Daten gekapselt
und verschlüsselt werden, wird als VPN-Verbindung bezeichnet.
Um einen Windows Server 2008 Computer als VPN-Server zu konfigurieren werden die Die Serverrolle
Netzwerkrichtlinien- und Zugriffsdienste und der Rollendienst Routing- und RAS-Dienste benötigt.
132.Sie sind Administrator bei Contoso. Das Unternehmen hat den Netzwerkzugriffsschutz (NAP) im
Firmennetzwerk implementiert. Die Benutzer verwenden tragbare Computer, um sich mit dem
Firmennetzwerk zu verbinden
Die Firmensicherheitsrichtlinien erfordern die Vertraulichkeit der Daten während der Übertragung zwischen
den tragbaren Computern der Benutzer und den Servercomputern.
Sie müssen sicherstellen, dass die Benutzer ausschließlich Computer für den Zugriff auf
Netzwerkressourcen verwenden können, die den Anforderungen der Firmensicherheitsrichtlinien
entsprechen.
Wie gehen Sie vor?
A. Konfigurieren Sie die NAP-Erzwingung für die IPsec-Kommunikation.
B. Konfigurieren Sie die NAP-Erzwingung für die 802.1x-Netzwerkzugriffssteuerung.
C. Erstellen Sie eine Richtlinie für verkabelte Netzwerke (IEEE 802.3).
D. Erstellen Sie eine Netzwerkrichtline für die Verwendung der Extensible Authentication Protocol (EAP)
Authentifizierung.
Answer: A
Erläuterungen:
Die Erzwingung des Netzwerkzugriffsschutzes (Network Access Protection, NAP) für IPsec-Richtlinien
(Internet Protocol security, Internetprotokollsicherheit) für Windows-Firewall wird über einen
Integritätszertifikatserver, einen Integritätsregistrierungsstellen-Server (Health Registration Authority, HRA),
einen Netzwerkrichtlinienserver (Network Policy Server, NPS) und einen IPsec-Erzwingungsclient
bereitgestellt. Der Integritätszertifikatserver stellt X.509-Zertifikate für NAP-Clients aus, wenn sie als konform
eingestuft werden. Mithilfe dieser Zertifikate werden dann NAP-Clients authentifiziert, wenn sie eine IPsecKommunikation mit anderen NAP-Clients in einem Intranet starten.
Die IPsec-Erzwingung beschränkt die Kommunikation im Netzwerk auf kompatible Clients und bietet die
sicherste Implementierung von NAP. Da bei dieser Erzwingungsmethode IPsec verwendet wird, können Sie
Anforderungen für eine sichere Kommunikation auf der Basis von IP-Adressen oder TCP/UDP-Portnummern
definieren.
133. Sie sind Administrator bei Contoso. Das Firmennetzwerk umfasst eine Active Directory Gesamtstruktur
mit einer einzelnen Domäne. Der Name der Domäne lautet Contoso.de.
Seite 96 von 209
MS 70-649
22.12.2009
Auf allen Domänencontrollern wird Windows Server 2008 ausgeführt. Alle Domänencontroller sind als DNS
Server konfiguriert. Das Unternehmen verwendet zwei Active Directory-integrierte Zonen mit den Namen
Contosoa.de und Contosob.de.
Sie müssen sicherstellen, dass ein Benutzer mit dem Namen Markus Einträge in der Zone Contosoa.de
bearbeiten kann. Gleichzeitig müssen Sie verhindern, dass Markus den SOA (State of Authority,
Autoritätsursprung) Eintrag der Zone Contosob.de verändern kann.
Wie gehen Sie vor?
A. Verwenden Sie die Konsole DNS-Manager und bearbeiten Sie die Sicherheitseinstellungen der Zone
Contosoa.de.
B. Konfigurieren Sie die Berechtigungen der Zone Contosoa.de so, dass alle Benutzer eingeschlossen sind.
Legen Sie die Sicherheitseinstellungen der Zone Contosob.de so fest, dass nur Mitglieder der Gruppe
Administratoren Einträge der Zone ändern können.
C. Verwenden Sie die Konsole DNS-Manager und bearbeiten Sie die Sicherheitseinstellungen der Zone
Contosob.de.
D. Verwenden Sie die Konsole Active Directory-Benutzer und -Computer und bearbeiten Sie die
Sicherheitseinstellungen der Organisationseinheit (OU) Domain Controllers.
Answer: A
Erläuterungen:
Sie können die freigegebene Zugriffssteuerungsliste (Discretionary Access Control List, DACL) für die DNSZonen verwalten, die in den Active Directory-Domänendiensten (Active Directory Domain Services, AD DS)
gespeichert sind. Mithilfe der DACL können Sie die Berechtigungen für die Active Directory-Benutzer und Gruppen steuern, die DNS-Zonen steuern dürfen.
Sie müssen mindestens Mitglied der Gruppe DnsAdmins oder Domänen-Admins in AD DS oder einer
entsprechenden Gruppe sein, damit Sie dieses Verfahren ausführen können.
So ändern Sie die Sicherheit für eine Directory-integrierte Zone
1.
2.
3.
4.
Öffnen Sie den DNS-Manager.
Klicken Sie in der Konsolenstruktur auf die entsprechende Zone.
Klicken Sie im Menü Aktion auf Eigenschaften.
Stellen Sie sicher, dass auf der Registerkarte Allgemein der Zonentyp auf Active Directory-integriert
festgelegt ist.
5. Ändern Sie auf der Registerkarte Sicherheit die Liste der Benutzer oder Gruppen, denen eine
sichere Aktualisierung der betreffenden Zone gestattet ist, und setzen Sie ihre Berechtigungen bei
Bedarf zurück.
Die Sicherheitseinstellungen bestimmten, wer die Zone verwalten kann. Sie haben jedoch keine
Auswirkungen auf dynamische Updates der Zone.
Domäne mit dem Namen Contoso.de. Das Unternehmen verfügt über fünf Windows Server 2008 Computer,
die alle als Domänencontroller eingesetzt werden.
Die DNS Server hosten derzeit ausschließlich primäre Standardzonen.
Sie müssen eine DNS-Infrastruktur implementieren, in der alle DNS Server dieselbe Datenbank verwenden
und in der die Verwendung sichererer dynamischer Updates ermöglicht wird.
Wie werden Sie die DNS-Infrastruktur für das Unternehmen entwerfen?
A. Ändern Sie den Zonentyp auf einem der Server in eine Active Directory-integrierte Zone und verwenden
Sie auf den übrigen Servern Stubzonen.
B. Ändern Sie den Zonentyp auf einem der Server in eine Active Directory-integrierte Zone und verwenden
Sie auf den übrigen Servern sekundäre Zonen.
Seite 97 von 209
MS 70-649
22.12.2009
C. Konfigurieren Sie alle Server so, dass Active Directory-integrierte Zonen verwendet werden.
D. Konfigurieren Sie die Replikation zwischen den bestehenden primären Standardzonen.
Answer: C
Erläuterungen:
Wir können die Zonen in Active Directory speichern und auf den anderen Servern jeweils Stubzonen mit
einem Verweis auf den autorisierenden Namensserver erstellen. Sollen alle 5 Server weiterhin als
Domänencontroller betrieben werden, genügt es die Zone auf jeweils einem Server in das Active Directory
zu integrieren und eventuell gleichnamige primäre Standardzonen auf den anderen Servern zu löschen. Mit
Replikation des Active Directory steht die Zone anschließend auch auf den übrigen DNS-Servern zu
Verfügung und alle beteiligten Server verwenden dieselbe Datenbank.
Um in einer Zone nur sichere dynamische Updates mithilfe von Active Directory-basierten
Sicherheitseinstellungen zu gestatten, ist es zwingend erforderlich, dass die Zone im Active Directory
gespeichert ist.
135. Sie sind für das Unternehmen Contoso tätig. Das Firmennetzwerk besteht aus einer einzelnen Active
Directory Domäne mit dem Namen Contoso.de. Sie sind der verantwortliche Administrator für die
Netzwerkinfrastruktur.
Sie versuchen eine Verbindung zwischen der Client- und der Serverkomponente einer Anwendung
herzustellen und sind sich unsicher, ob ein Problem mit der Namensauflösung vorliegt. Sie benötigen
Bestätigung, dass Sie den richtigen Hostnamen verwenden und wollen DNS über das lokale System testen.
Sie müssen sicherstellen, dass der Hostname Server1 in die IP-Adresse 192.168.1.1 aufgelöst wird.
Wie gehen Sie vor?
A. Installieren Sie einen DNS Server im lokalen Subnetz Ihres Clientcomputers.
B. Erstellen Sie einen entsprechenden Eintrag in der Datei hosts auf dem lokalen Computer.
C. Ergänzen Sie einen A-Eintrag im WINS Server des lokalen Netzwerks.
D. Ergänzen Sie einen MX-Eintrag im DNS Server des lokalen Netzwerks.
Answer: B
Erläuterungen:
Die Datei hosts stellt einen Vorläufer moderner DNS Server dar. In der Textdatei werden Hostnamen und
ihre zugehörigen IP-Adressen tabellarisch aufgelistet. Die Datei wird standardmäßig vor der
Kontaktaufnahme mit einem DNS Server abgefragt und befindet sich im Verzeichnis
C:\Windows\System32\Driver\etc.
Domäne mit dem Namen Contoso.de. Die DNS Zone zur Unterstützung der Domäne ist im Active Directory
gespeichert.
Sie haben sich entschlossen in einer neuen Zweigstelle des Unternehmens einen schreibgeschützten
Domänencontroller (RODC) als DNS Server einzusetzen.
Welchen der folgenden Zonentypen werden Sie erhalten?
A. Primäre Active Directory-integrierte Zonen.
B. Read-only Zonen.
C. Sekundäre Zonen.
D. Stubzonen.
Answer: B
Erläuterungen:
Ein schreibgeschützter Domänencontroller (RODC) hält lediglich eine reduzierte und auf den lesenden
Zugriff beschränkte KOpie des Active Directory. Dies betrifft auch die Möglichkeit der Aktualisierung von
Seite 98 von 209
MS 70-649
22.12.2009
Einträgen in Active Directory-integrierten DNS-Zonen. Eine Kennwortänderung oder eine DNS-Aktualsierung
löst daher eine zeitnahe Replikation mit einem schreibbaren Domänencontroller aus.
Replikation eines DNS-Updates auf einem RODC
Wenn ein Client ein dynamisches DNA-Update versucht, sendet er eine FAZ-Abfrage (Find Authoritative
Zone) zu seinem bevorzugten DNS-Server. Zweigstellenkunden werden typischerweise zur Verwendung
eines DNS-Servers auf einem RODC im Büro als ihren bevorzugten DNS-Server konfiguriert. Da der DNSServer auf einem RODC für eine Abfrage für eine beliebige DNS-Zone nicht autorisierend ist, bezieht sich
der Client auf einen autorisierenden DNS-Server für eine Zone, die den Eintrag hostet, die der Client
aktualisiert.
Die FAZ-Abfrage löst aus, dass der DNS-Server auf dem RODC einen Eintrag in die remotePollList leitet.
Dies ist eine interne Warteschlange auf einem DNS-Server. Der Eintrag beinhaltet:



Das zu replizierende Objekt
Die Quelle, von der repliziert wird
Ein Zeitstempel
Der Zeitstempel wird auf eine zukünftige Zeit festgelegt, die gleich der aktuellen Zeit plus einer
Replikationsverzögerung ist. Die Replikationsverzögerung wird durch eine Registrierungseinstellung mit
Namen DsRemoteReplicationDelay gesteuert. Standardmäßig ist ein Wert von 30 Sekunden zulässig.
Die interne Warteschlange (remotePollList) wird in regulären Intervallen bearbeitet. Das Intervall wird durch
eine Registrierungseinstellung mit Namen DSPollingInterval gesteuert. Standardmäßig beträgt der Wert 3
Minuten.
Wenn der DNS-Server die Warteschlange bearbeitet, repliziert er nur die Objekte, deren Zeitstempel
geringer als die aktuelle Zeit ist. Die Verzögerung zwischen der Zeit, die der RODC sich auf einen Client zu
einem autorisierenden DNS-Server bezieht, sowie die Replikation werden bestimmt durch:
1. Das nächste Mal, wenn der DNS-Server eine Warteschlange verarbeitet
2. Ob die Remotereplikationsverzögerung, die auf den Eintrag in der Warteschlange festgelegt ist,
verstrichen ist.
Wenn Sie die Standardwerte für die Registrierungseinstellung verwenden, beträgt die Zeitspanne, bevor der
RODC das DNS-Update repliziert, mindestens 30 Sekunden und maximal 210 Sekunden.
Sie können die Werte dieser Registrierungseinstellungen ändern, um die Zeitspanne, bevor der RODC das
DNS-Update repliziert, zu reduzieren. Der minimale Wert für die Einstellung DsRemoteReplicationDelay ist 5
Sekunden. Der minimale Wert für die Einstellung DSPollingInterval ist 30 Sekunden. Wenn Sie die
minimalen Werte verwenden, beträgt die Zeitspanne, bevor der RODC das DNS-Update repliziert,
mindestens 5 Sekunden und maximal 35 Sekunden.
Zweigstelle. Das Firmennetzwerk umfasst eine Active Directory Gesamtstruktur mit einer einzelnen Domäne.
Der Name der Domäne lautet Contoso.de.
Die Hauptgeschäftsstelle enthält zwei Domänencontroller mit den Namen DC1 und DC2. Auf beiden
Domänencontrollern wird das Betriebssystem Windows Server 2008 ausgeführt. Die Zweigstelle verfügt über
einen schreibgeschützten Domänencontroller (RODC) mit dem Namen DC3.
Auf allen Domänencontrollern ist die Rolle DNS-Server installiert. Alle DNS-Zonen sind als Active Directoryintegrierte Zonen und ausschließlich für sichere dynamische Updates konfiguriert.
Sie möchten dynamische DNS Updates auf DC3 ermöglichen.
Wie gehen Sie vor?
A. Erstellen Sie auf DC1 eine neue Anwendungsverzeichnispartition. Konfigurieren Sie die neue Partition so,
dass sie die Active Directory-integrierten Zonen enthält.
Seite 99 von 209
MS 70-649
22.12.2009
B. Deinstallieren Sie die Active Directory Domänendienste (AD DS) auf DC3 und konfigurieren Sie DC3
anschließend als schreibbaren Domänencontroller.
C. Rekonfigurieren Sie den DNS-Server auf DC3 so, dass dynamische Updates zugelassen werden.
D. Führen Sie auf DC3 den Befehl Dnscmd /ZoneResetType aus.
Answer: B
Erläuterungen:
Updates für Active Directory-integrierte DNS Zonen können nur auf einem schreibbaren Domänencontroller
durchgeführt werden.
Ein DNS Client sendet eine rekursive Abfrage an seinen lokalen DNS Server, um die IP-Adresse für
www.cblabs.de zu erhalten. Der DNS Server verfügt über keine lokale Zone für den angeforderten
Namensraum und leitet die Anfrage an einen Stammserver weiter.
Welche Information wird der Stammserver an den lokalen DNS Server zurückgeben?
A. Die IP-Adresse des Namensservers für die Domäne cblabs.de.
B. Den DNS Namen des Namensservers für die Top-Level Domäne .de.
C. Die IP-Adresse für www.cblabs.de.
D. Die IP-Adresse des Namensservers für die Top-Level Domäne .de.
Answer: D
Erläuterungen:
Das Domain Name System (DNS) ist ein hierarchisches System. Werden die Server der Stammzone (.) im
Rahmen einer Abfrage kontaktiert, geben Sie die Adresse eines Namensservers für die angeforderte TopLevel Domäne zurück. Der DNS Server kann sich dann an den Namensserver für die Top-Level Domäne
(de) wenden und erhält die Adresse eines Namensservers für die angeforderte Domäne (cblabs.de) zurück.
Dieser würde seinerseits die Adresse des Namensservers für eine eventuell angeforderte Subdomäne
zurückgeben usw.
Ein Spamversender versucht Junk-E-Mail Nachrichten über einen schwach geschützten Mailserver der
Domäne Contoso.de zu versenden. Der Spamversender verwendet einen gefälschten DNS Namen als
Absender, von dem er denkt, dass dieser akzeptiert wird.
Was würde den Mailserver der Domäne Contoso.de dazu veranlassen, die E-Mail Nachrichten des
Spamversenders abzuweisen?
A. Wenn der DNS Name des Spamversenders nicht im Zwischenspeicher (Cache) des primären DNS
Servers enthalten wäre, der die Zone des Mailservers bereitstellt.
B. Wenn der Spamversender über keinen MX-Eintrag in der Datenbank des DNS Servers verfügen würde,
der die Zone des Absenders bereitstellt.
C. Wenn der Mailserver eine Revers-Lookup-Anfrage durchführen würde, um festzustellen, ob der DNS
Name gefälscht ist.
D. Wenn der Spamversender über keinen MX-Eintrag in der Datenbank des DNS Servers verfügen würde,
der die Zone des Mailservers bereitstellt.
Answer: C
Erläuterungen:
Bei der Kontaktaufnahme übermittelt der SMTP-Server des Spamversenders seinen vollqualifizierten
Hostnamen (FQDN) und seine IP-Adresse. Würde unser Mailserver nun eine DNS Abfrage nach der IPAdresse durchführen und nicht den vorgegebenen DNS-Namen als Antwort erhalten, wäre eine Fälschung
(oder eine Fehlkonfiguration) ermittelt und die eingehenden E-Mail Nachrichten könnten abgewiesen
Seite 100 von 209
MS 70-649
22.12.2009
werden.
Ihr Vorgesetzter bittet Sie um Unterstützung bei einem Fehler, wo ein Clientcomputer scheinbar veraltete
DNS Daten enthält.
Sie verwenden das Befehlszeilenprogramm Ipconfig, um die konfigurierten DNS Server zu ermitteln und Sie
verwenden den Ping Befehl, um die Konnektivität zu diesen Servern zu überprüfen.
Welchen der folgenden Befehle werden Sie verwenden, um das Problem zu beheben?
A. Ipconfig /Cleardns
B. Nslookup /Flushdns
C. Dns /register
D. Ipconfig /Flushdns
Answer: D
Erläuterungen:
Der Befehl Ipconfig /flushdns leert den lokalen DNS-Auflösungscache.
141. Sie sind Administrator bei Contoso. Ein Kunde möchte einen Windows Server 2008 DNS Server so
konfiguriert haben, dass Anfragen für Hosts im internen Netzwerk beantwortet werden, Internetnamen
jedoch nicht aufgelöst werden.
Wie konfigurieren Sie den DNS Server? (Jede korrekte Antwort stellt einen Teil der Lösung dar. Wählen Sie
zwei Antworten.)
A. Installieren Sie den DNS Server hinter der Firewall des Unternehmens.
B. Konfigurieren Sie den Server als Stammserver und entfernen Sie die Stammhinweise.
C. Lassen Sie die Weiterleitung abgeschaltet.
D. Deaktivieren Sie rekursive Abfragen.
Answer: B,C
Erläuterungen:
Ein DNS Server hat grundsätzlich zwei Möglichkeiten, um externe Namen aufzulösen. Einerseits über die
Stammhinweise und andererseits über Weiterleitungen von Anforderungen, die lokal nicht aufgelöst werden
können.
Mit den Lösungen aus den Antworten B und C werden beide Möglichkeiten verhindert.
142. Sie sind Administrator bei Contoso. Sie installieren einen neuen Windows Server 2008 Computer für
die Verwendung als DNS Server.
Welches der nachstehenden Tools kann für die Konfiguration eines DNS Servers verwendet werden?
A. Die Konsole DNS-Manager.
B. Die Konsole Computerverwaltung.
C. Das Netzwerk- und Freigabecenter.
D. Die Konsole Active Directory-Computer und -Benutzer.
Answer: A
Erläuterungen:
Der DNS-Manager kann für die Konfiguration des DNS-Serverdienstes verwendet werden. DNSZonendateien können auch über einen Standard Texteditor bearbeitet werden.
Seite 101 von 209
MS 70-649
22.12.2009
143. Sie sind Administrator bei Contoso. Das Firmennetzwerk enthält 10 Windows Server 2008 Computer.
Sie haben das Remotedesktopprotokoll (RDP) aktiviert, um die Fernadministration der Server zu
ermöglichen. Auf allen Clientcomputern, die für die Fernadministration verwendet werden, ist das
Betriebssystem Windows Vista installiert.
Sie haben den Remotedesktop der Server mit den Standardsicherheitseinstellungen konfiguriert. Sie sind
mit diesen Einstellungen jedoch nicht einverstanden und wollen sicherstellen, dass RDP Verbindungen so
sicher wie möglich sind.
Welche zwei der folgenden Aktionen werden Sie durchführen, um sichere RDP Verbindungen zu
konfigurieren? (Jede korrekte Antwort stellt einen Teil der Lösung dar. Wählen Sie zwei Antworten.)
A. Beziehen Sie Benutzerzertifikate.
B. Blockieren Sie Port 3389 TCP in der Firewall auf allen Servercomputern.
C. Legen Sie die Sicherheitsstufe des RDP-Tcp Verbindungsobjektes auf den Servercomputern mit RDPSicherheitsstufe fest.
D. Konfigurieren Sie die Servercomputer so, dass nur Remotedesktopverbindungen mit Authentifizierung auf
Netzwerkebene zugelassen werden.
Answer: A,D
Erläuterungen:
Anhand der folgenden Informationen können Sie die Einstellungen auf der Registerkarte Remote in den
Systemeigenschaften festlegen:



Durch Auswählen von Keine Verbindung mit diesem Computer zulassen können Sie verhindern,
dass andere Benutzer mithilfe von Remotedesktop oder RemoteApp für Terminaldienste eine
Verbindung mit dem Computer herstellen.
Wählen Sie Verbindungen von Computern zulassen, auf denen eine beliebige Version von
Remotedesktop ausgeführt wird aus, um Benutzern beliebiger Versionen von Remotedesktop oder
RemoteApp für Terminaldienste die Verbindung mit dem Computer zu ermöglichen. Dies empfiehlt
sich, wenn Ihnen die Version der Remotedesktopverbindung anderer Benutzer nicht bekannt ist.
Wählen Sie Verbindungen nur von Computern zulassen, auf denen Remotedesktop mit
Authentifizierung auf Netzwerkebene ausgeführt wird aus, um Benutzern mit Computern, auf denen
Versionen von Remotedesktop oder RemoteApp für Terminaldienste mit Authentifizierung auf
Netzwerkebene ausgeführt werden, die Verbindung mit dem Computer zu ermöglichen. Dies stellt
die sicherste Wahl dar, wenn Ihnen bekannt ist, dass die Benutzer, die eine Verbindung mit Ihrem
Computer herstellen möchten, Windows Vista auf ihren Computern ausführen. (Unter Windows Vista
verwendet Remotedesktop die Authentifizierung auf Netzwerkebene.)
Die Authentifizierung auf Netzwerkebene ist eine neue Authentifizierungsmethode, die die
Benutzerauthentifizierung abschließt, bevor eine vollständige Remotedesktopverbindung hergestellt ist und
der Anmeldebildschirm angezeigt wird. Diese Authentifizierungsmethode ist sicherer und schützt den
Remotecomputer vor Hackern und bösartiger Software. Die Vorteile der Authentifizierung auf
Netzwerkebene sind Folgende:



Anfänglich werden weniger Ressourcen auf dem Remotecomputer benötigt. Vor dem
Authentifizieren des Benutzers verwendet der Remotebenutzer eine begrenzte Anzahl von
Ressourcen, anstatt eine vollständige Remotedesktopverbindung wie in früheren Versionen
herzustellen.
Höhere Sicherheit, da das Risiko für Dienstverweigerungsangriffe gesenkt wird (der Zugriff auf das
Internet wird eingeschränkt oder verhindert).
Verwendung der Remotedesktopauthentifizierung, wodurch Benutzer vor Verbindungen mit
Remotecomputern geschützt werden, die mit böswilliger Absicht eingerichtet wurden.
144. Sie sind Administrator bei Contoso. Sie installieren die Serverrolle Webserver auf einem Windows
Server 2008 Computer mit dem Namen Server1. Anschließend installieren Sie die Serverrolle Dateiserver
Seite 102 von 209
MS 70-649
22.12.2009
auf einem Servercomputer mit dem Namen Server2.
Das virtuelle Verzeichnis Contoso\App1 befindet sich auf der Festplatte von Server1. Sie stellen fest, dass
die Festplatte von Server1 nur noch über wenig freien Speicherplatz verfügt. Sie erstellen ein neues
freigegebenes Verzeichnis mit dem Namen CBApp1 auf Server2 und verschieben die Daten von Server1 in
das neue Verzeichnis auf Server2.
Welchen Befehl werden Sie ausführen, um sicherzustellen, dass die Daten am neuen Speicherort verwendet
werden?
A. Führen Sie den Befehl Appcmd set vdir /vdir.name:CBApp1/App1 /physicalPath::\\Server2\CBApp1 auf
Server1 aus.
B. Führen Sie den Befehl Appcmd set vdir /vdir.name:Contoso/App1 /physicalPath:\\Server2\CBApp1 auf
Server1 aus.
C. Führen Sie den Befehl Appcmd set vdir /vdir.name:Contoso/App1 /physicalPath:C:\CBApp1 auf Server2
aus.
D. Führen Sie den Befehl Appcmd set vdir /vdir.name:Server2/App1 /physicalPath:C:\CBApp1 auf Server2
aus.
Answer: B
Erläuterungen:
IIS 7 bietet das neue Befehlszeilentool Appcmd.exe zum Konfigurieren und Abfragen von Objekten auf dem
Webserver sowie zur Rückgabe der Ausgabe im Text- oder XML-Format. Im Folgenden finden Sie einige
Beispiele für Aufgaben, die Sie mit Appcmd.exe ausführen können:




Erstellen und Konfigurieren von Websites, Anwendungen, Anwendungspools und virtuellen
Verzeichnissen
Starten und Beenden von Websites
Starten, Anhalten und Wiederverwenden von Anwendungspools
Anzeigen von Informationen zu Arbeitsprozessen und Anforderungen, die auf dem Webserver
ausgeführt werden
Appcmd.exe stellt konsistente Befehle für allgemeine Abfragen und Konfigurationsaufgaben bereit und
vereinfacht dadurch das Erlernen der Syntax. Sie können z. B. mithilfe des Befehls list nach Informationen
über ein Objekt, z. B. eine Anwendung, suchen oder mithilfe des Befehls add ein Objekt, z. B. eine Website,
erstellen.
Außerdem können Sie Befehle kombinieren, um komplexere Daten über Objekte auf dem Webserver
zurückzugeben oder umfangreichere Aufgaben auszuführen. Sie können beispielsweise komplexe Aufgaben
ausführen, z. B. alle Websites mit Anforderungen anhalten, die seit mehr als 60 Sekunden ausgeführt
werden.
145. Sie sind Administrator bei Contoso. Auf einem Mitgliedsserver mit dem Namen Server1 ist die
Serverrolle Hyper-V installiert.
Sie installieren Windows Server 2003 auf einem neuen virtuellen Computer. Später stellen Sie fest, dass die
neue Maschine extrem langsam reagiert. Zudem stellen Sie fest, dass einige Geräte im Geräte-Manager
nicht identifiziert werden.
Ihr Vorgesetzter bittet Sie, die Ursache für das Problem zu identifizieren
Was ist die wahrscheinlichste Ursache für die Probleme?
A. Die Integrationsdienste müssen installiert werden.
B. Für den virtuellen Windows Server 2003 Computer muss der Turbomodus aktiviert werden.
C. Auf dem Windows Server 2003 Computer müssen die aktuellen Windows Updates installiert werden.
D. Auf dem Windows Server 2008 Computer müssen die aktuellen Windows Updates installiert werden.
Answer: A
Erläuterungen:
Seite 103 von 209
MS 70-649
22.12.2009
Hyper-V enthält ein Softwarepaket zur Verbesserung der Integration zwischen dem physischen Computer
und dem virtuellen Computer. Dieses Paket umfasst Integrationsdienste und Treiber für virtuelle Computer.
So installieren Sie Integrationsdienste und Treiber für virtuelle Computer




Stellen Sie eine Verbindung mit dem virtuellen Computer her.
Klicken Sie im Fenster Verbindung mit virtuellen Computern im Menü Aktion auf
Installationsdatenträger für Integrationsdienste einlegen. Der Installationsdatenträger wird in das
virtuelle DVD-Laufwerk geladen.
Abhängig vom installierten Betriebssystem muss die Installation möglicherweise manuell gestartet
werden. Klicken Sie an einer beliebigen Stelle im Fenster des Gastbetriebssystems, und navigieren
Sie zum CD-Laufwerk. Starten Sie das Installationspaket mit der für das Gastbetriebssystem
geeigneten Methode vom CD-Laufwerk.
Nach Abschluss der Installation sind alle Integrationsdienste und Treiber für virtuelle Computer
verfügbar.
Computer, auf dem die Internetinformationsdienste (IIS) 7.0 ausgeführt werden. Sie wollen auf dem Server
eine ASP.Net Webanwendung für die Mitarbeiter der Vertriebsabteilung bereitstellen.
Sie haben eine neue Version des .Net Frameworks installiert und wollen, dass die neue Anwendung diese
Version des .Net Frameworks verwendet.
Wie gehen Sie vor, um eine spezifische Version des .Net Frameworks für eine bestimmte Anwendung
festzulegen?
A. Verwenden Sie den Internetinformationsdienste-Manager und öffnen Sie die Eigenschaften des
Anwendungspools der Anwendung. Legen Sie die .Net Framework-Version fest.
B. Verwenden Sie das Befehlszeilenprogramm Aspnet_regiis.exe, um die .Net Framework-Version für die
Anwendung festzulegen.
C. Sie müssen die anderen Versionen des .Net Framework deinstallieren. Es kann immer nur eine Version
auf einem Server verwendet werden.
D. Verwenden Sie den Internetinformationsdienste-Manager und öffnen Sie die Eigenschaften der Website.
Legen Sie die .Net Framework-Version fest.
Answer: A
Erläuterungen:
Die .Net Framework-Version wird für den Anwendunspool der Webanwendung festgelegt. Ein
Anwendungspool kann nur eine Version von .NET Framework laden. Alle Anwendungen im
Anwendungspool müssen dieselbe Version verwenden.
Ein Anwendungspool ist eine Gruppe von einer oder mehreren URLs, die von einem Arbeitsprozess oder
einer Reihe von Arbeitsprozessen verarbeitet wird. Anwendungspools legen Begrenzungen für die
enthaltenen Anwendungen fest, d. h., dass alle Anwendungen, die außerhalb eines bestimmten
Anwendungspools ausgeführt werden, keine Auswirkungen auf die Anwendungen im Anwendungspool
haben.
Anwendungspools bieten die folgenden Vorteile:



Verbesserte Server- und Anwendungsleistung. Sie können ressourcenintensive Anwendungen
eigenen Anwendungspools zuordnen, sodass sich die Leistung anderer Anwendungen nicht
verringert.
Verbesserte Anwendungsverfügbarkeit. Wenn eine Anwendung in einem Anwendungspool
fehlschlägt, werden Anwendungen in anderen Anwendungspools davon nicht beeinflusst.
Verbesserte Sicherheit. Indem Sie Anwendungen isolieren, reduzieren Sie die Gefahr, dass eine
Anwendung auf die Ressourcen einer anderen Anwendung zugreift.
Seite 104 von 209
MS 70-649
22.12.2009
Zweigstelle. Die Hauptgeschäftsstelle enthält 20 Windows Server 2008 Computer und 125 Windows XP
Professional Computer. In der Zweigstelle befinden sich 3 Windows Server 2008 Computer und 50 Windows
XP Professional Computer.
Die Computer der Hauptgeschäftsstelle haben Zugriff auf das Internet. Alle Server sind mit denselben
Sicherheitseinstellungen konfiguriert und es gibt keine Planungen, in der näheren Zukunft neue Server oder
Clientcomputer in das Netzwerk zu integrieren.
Sie installieren das Volume Activation Management Tool (VAMT) auf einem Server in der
Hauptgeschäftsstelle mit dem Namen DC1. Sie nehmen alle Server in das Volume Activation Management
Tool (VAMT) auf und konfigurieren die Server für die Mehrfachaktivierungsschlüssel (Multiple Activation Key,
MAK) independent Activation.
Die Server der Zweigstelle können jedoch nicht aktiviert werden.
Wie gehen Sie vor, um Windows Server 2008 auf allen Servercomputern zu aktivieren?
A. Installieren Sie einen Mehrfachaktivierungsschlüssel (Multiple Activation Key, MAK) Server im Netzwerk.
B. Konfigurieren Sie die MAK-Proxyaktivierung für alle Server der Zweigstelle.
C. Konfigurieren Sie auf allen Servern der Zweigstelle eine Firewallausnahme für die WindowsVerwaltungsinstrumentation.
D. Öffnen Sie die VAMT-Verwaltungskonsole auf DC1 und exportieren Sie die Computerinformationsliste
(Computer Information List, CIL). Senden Sie die Datei für die Aktivierung der Computer an den technischen
Support von Microsoft.
Answer: B
Erläuterungen:
Mit dem Volume Activation Management Tool (VAMT) können IT-Professionals den
Volumenaktivierungsprozess mittels Mehrfachaktivierungsschlüssel (Multiple Activation Key, MAK)
automatisieren und zentral verwalten. Das VAMT kann sowohl mittels MAK Proxy Activation als auch MAKunabhängige Aktivierung einzelne oder mehrere Remotecomputer aktivieren. Darüber hinaus ermittelt das
Tool den Aktivierungsstatus aller Computer in der Umgebung, die Windows Vista ausführen, und die noch
verbleibende Anzahl zulässiger MAK-Aktivierungen.
MAK wird für eine einmalige Aktivierung mit den gehosteten Aktivierungsdiensten von Microsoft verwendet.
Computer können mithilfe von MAK auf die folgenden Arten aktiviert werden: Die erste Methode ist die MAKunabhängige Aktivierung, bei der jeder Computer für die Aktivierung einzeln eine Verbindung mit Microsoft
herstellen muss. Die Aktivierung kann über das Internet oder telefonisch erfolgen. Die zweite Methode ist die
MAK-Proxyaktivierung. Dabei ruft ein als MAK-Proxy fungierender Computer Aktivierungsinformationen von
mehreren Computern im Netzwerk ab und sendet dann für diese eine zentralisierte Aktivierungsanforderung.
Die MAK-Proxyaktivierung wird mithilfe von VAMT (Volume Activation Management Tool,
Volumenaktivierungs-Verwaltungstool) konfiguriert.
mit dem Namen Server1. Auf Server1 wird die Serverrolle Webserver (IIS) ausgeführt.
Sie stellen fest, dass die Anzahl der Webzugriffe auf Server1 stark zunimmt und die Antwortzeiten
entsprechend abnehmen.
Ihr Vorgesetzter bittet Sie eine Lösung zu entwerfen, mit der Leistungseinbrüche des Webservers verhindert
werden können.
Wie gehen Sie vor?
A. Installieren Sie einen zweiten Webserver und verwenden Sie DNS Roundrobin, um HTTP-Anfragen
Seite 105 von 209
MS 70-649
22.12.2009
gleichmäßig auf die beiden Server zu verteilen.
B. Implementieren Sie einen Failovercluster, um die Website auf mehrere Server zu verteilen.
C. Migrieren Sie Website auf einen leistungsstärkeren Server.
D. Verwenden Sie den Netzwerklastenausgleich (NLB) und konfigurieren Sie einen Cluster zur
Unterstützung der Website.
Answer: D
Erläuterungen:
Mit dem NLB-Dienst wird die Verfügbarkeit und Skalierbarkeit von Internetserveranwendungen für Web-,
FTP-, Firewall- sowie Proxyserver, virtuelle private Netzwerke (VPN) und andere unternehmenskritische
Server verbessert.
Was sind NLB-Cluster?
Wird Windows nur auf einem einzigen Computer ausgeführt, ist die Serverzuverlässigkeit und Skalierbarkeit
möglicherweise eingeschränkt. Wenn allerdings die Ressourcen von zwei oder mehr Computern, auf denen
eines der Produkte von Windows Server 2008 ausgeführt wird, zu einem einzelnen virtuellen Cluster
zusammengeführt werden, kann durch den Netzwerklastenausgleich die Zuverlässigkeit und Leistung
bereitgestellt werden, die für Webserver und andere unternehmenskritische Server erforderlich ist.
Auf jedem Host wird eine Kopie der gewünschten Serveranwendungen (z. B. Anwendungen für Web-, FTPund Telnetserver) ausgeführt. Der Netzwerklastenausgleich verteilt eingehende Clientanforderungen an die
Hosts des Clusters. Das von den einzelnen Hosts zu verarbeitende Lastgewicht kann nach Bedarf
konfiguriert werden. Sie können Hosts auch dynamisch dem Cluster hinzufügen, um erhöhte Lasten
verarbeiten zu können. Mit dem Netzwerklastenausgleich kann außerdem der gesamte Datenverkehr auf
einen einzelnen zugewiesenen Host weitergeleitet werden. Dieser wird als Standardhost bezeichnet.
Mit dem Netzwerklastenausgleich können alle Computer eines Clusters mit derselben Gruppe von ClusterIP-Adressen adressiert werden. Dabei wird eine Gruppe von eindeutigen dedizierten IP-Adressen für jeden
Host beibehalten. Wenn bei Anwendungen mit Lastenausgleich ein Host ausfällt oder dieser offline
geschaltet wird, wird die Last automatisch auf die anderen noch aktiven Computer verteilt. Wenn ein
Computer ausfällt oder unerwartet offline geschaltet wird, werden alle aktiven Verbindungen zu diesem
Computer getrennt. Wenn ein Host allerdings absichtlich heruntergefahren wird, können Sie den Befehl
drainstop verwenden, um alle aktiven Verbindungen aufrechtzuerhalten, bevor der Computer offline
geschaltet wird. Wenn der offline geschaltete Computer wieder bereit ist, kann er in jedem Fall erneut
transparent mit dem Cluster verbunden werden und seinen Teil der Auslastung wieder aufnehmen. Dadurch
muss von den anderen Computern wieder weniger Datenverkehr verarbeitet werden.
149. Sie sind als Organisationsadministrator für das Unternehmen Contoso tätig. Das Netzwerk enthält
einen Mitgliedsserver, der die Serverrolle Webserver (IIS) ausführt.
Ihr Vorgesetzter bittet Sie, die Authentifizierungseinstellungen für eine neue Website zu konfigurieren. Die
Benutzer sollen beim Zugriff auf die Website zur Eingabe ihrer Authentifizierungsinformationen aufgefordert
werden. Benutzer, die über ein Benutzerkonto in der Active Directory Domäne des Unternehmens verfügen,
sollen anschließend Zugriff auf die Website erhalten.
Sie müssen die Authentifizierungseinstellungen der Website konfigurieren und die bestmögliche Sicherheit
für die Website gewährleisten.
A. Aktivieren Sie die Anonyme Authentifizierung.
B. Deaktivieren Sie die Anonyme Authentifizierung.
C. Aktivieren Sie die Standardauthentifizierung.
D. Aktivieren Sie die Windows-Authentifizierung.
Answer: B,D
Erläuterungen:
Auf der Featureseite Authentifizierung können Sie die Authentifizierungsmethoden konfigurieren, mit denen
Clients Zugriff auf den Inhalt erhalten.
Seite 106 von 209
MS 70-649
22.12.2009
Die folgenden Authentifizierungsmethoden stehen zur Auswahl:
AD-Clientzertifikatauthentifizierung
Die AD-Clientzertifikatauthentifizierung ermöglicht die Verwendung des Active Directory-Verzeichnisdiensts
für das Zuordnen von Clientzertifikaten zur Authentifizierung. Das Zuordnen von Benutzern zu
Clientzertifikaten ermöglicht das automatische Authentifizieren von Benutzern, ohne andere
Authentifizierungsmethoden wie Standard-, Digest- oder die integrierte Windows-Authentifizierung zu
verwenden.
Diese Art der Authentifizierung ist unter Windows Vista Home Premium nicht verfügbar.
Anonyme Authentifizierung
Die anonyme Authentifizierung ermöglicht allen Benutzern den Zugriff auf die gesamten öffentlichen Inhalte,
ohne einen Benutzernamen oder ein Kennwort anzugeben. Die anonyme Authentifizierung ist in IIS 7.0
standardmäßig aktiviert.
Verwenden Sie die anonyme Authentifizierung, wenn alle Clients, die Ihre Site besuchen, den Inhalt
anzeigen können sollen.
Standardauthentifizierung
Bei der Standardauthentifizierung müssen Benutzer einen gültigen Benutzernamen und ein Kennwort
angeben, um Zugriff auf die Inhalte zu erhalten.
Bei der Standardauthentifizierung werden Kennwörter im Netzwerk mit schwacher Verschlüsselung
übermittelt. Sie sollten die Standardauthentifizierung nur verwenden, wenn Sie wissen, dass die Verbindung
zwischen Client und Server sicher ist.
Digestauthentifizierung
Bei der Digestauthentifizierung werden Benutzer mithilfe eines Windows-Domänencontrollers authentifiziert,
wenn sie Zugriff auf den Inhalt Ihres Servers anfordern. Verwenden Sie die Digestauthentifizierung, wenn
Sie eine höhere Sicherheit als bei der Standardauthentifizierung benötigen.
Browser, die das HTTP 1.1-Protokoll nicht unterstützen, können die Digestauthentifizierung nicht
unterstützen.
Formularauthentifizierung
Bei der Formularauthentifizierung wird eine clientseitige Umleitung für die Weiterleitung nicht authentifizierter
Benutzer zu einem HTML-Formular verwendet, in dem sie ihre Anmeldeinformationen eingeben können, die
i. d. R. aus einem Benutzernamen und einem Kennwort bestehen. Nach dem Überprüfen der
Anmeldeinformationen werden die Benutzer auf die Seite umgeleitet, die sie ursprünglich angefordert hatten.
Da der Benutzername und das Kennwort bei der Formularauthentifizierung im Klartext an den Webserver
gesendet werden, sollten Sie für die Anmeldeseite und alle anderen Seiten der Anwendung die SSL(Secure
Sockets Layer)-Verschlüsselung verwenden.
Windows-Authentifizierung
Bei der Windows-Authentifizierung werden NTLM- oder Kerberos-Protokolle verwendet, um Clients zu
authentifizieren. Die Windows-Authentifizierung ist für Intranetumgebungen am besten geeignet. Sie ist
allerdings nicht für die Verwendung im Internet geeignet, da die Verschlüsselung der
Benutzeranmeldeinformationen nicht erforderlich ist und daher auch nicht durchgeführt wird.
Die Standardeinstellung für die Windows-Authentifizierung lautet Aushandeln. Diese Einstellung bedeutet,
Seite 107 von 209
MS 70-649
22.12.2009
dass der Client den entsprechenden Sicherheitsanbieter auswählen kann.
einen Mitgliedsserver mit dem Namen Server2. Auf Server2 wird die Serverrolle Terminaldienste ausgeführt.
Das Unternehmen verfügt zudem über einen Drucker, der ausschließlich die Druckersprache PostScript
unterstützt.
Sie müssen sicherstellen, dass der Drucker im Rahmen von Terminalserversitzungen verwendet werden
kann, ohne dass ein PostScript Treiber installiert wird. Sie wollen die Terminaldienste so konfigurieren, dass
automatisch ein generischer Druckertreiber für die Unterstützung des Druckers bereitgestellt wird.
Wie gehen Sie vor?
A. Erstellen Sie ein neues Gruppenrichtlinienobjekt (GPO) und konfigurieren Sie die Richtlinie Verhalten des
Terminalserver-Fallbackdruckertreibers angeben so, dass PostScript verwendet wird, wenn kein Treiber
gefunden wird. Wenden Sie das GPO auf alle Clientcomputer an.
B. Erstellen Sie ein neues Gruppenrichtlinienobjekt (GPO) und konfigurieren Sie die Richtlinie Verhalten des
gefunden wird. Wenden Sie das GPO auf Server2 an.
C. Installieren Sie den PostScript Druckertreiber auf Server2.
D. Erstellen Sie ein neues Gruppenrichtlinienobjekt (GPO) und konfigurieren Sie es so, dass automatisch
PostScript Treiber auf alle Computer installiert werden.
Answer: B
Erläuterungen:
Mit der Richtlinie Verhalten des Terminalserver-Fallbackdruckertreibers angeben können Sie das Verhalten
des Terminalserver-Fallbackdruckertreibers festlegen.
Drucker verfügbar.
151. Sie sind als Organisationsadministrator für das Unternehmen Contoso tätig. Das Unternehmen enthält
Seite 108 von 209
MS 70-649
22.12.2009
einen Mitgliedsserver mit dem Namen Server2. Auf Server2 wird der Rollendienst FTP Service 7.0
ausgeführt.
Das Unternehmen hat kürzlich die Verwendung von FTP über SSL (FTPS) für Server2 beschlossen und ein
Zertifikat von einer vertrauenswürdigen Drittanbieter Zertifizierungsstelle bezogen.
Sie stellen fest, dass die Leistung der FTP-Site aufgrund der Verschlüsselung stark eingebrochen ist. Sie
wollen die FTP-Site nun so konfigurieren, dass nur Zugangsdaten und Steuerbefehle, nicht aber die
Nutzdaten selber verschlüsselt werden. Auf diese Weise wollen Sie die Leistung des Servers verbessern.
A. Konfigurieren und aktivieren Sie die benutzerdefinierte SSL-Richtlinie.
B. Aktivieren Sie die SSL-Richtlinie SSL-Verbindungen erforderlich.
C. Aktivieren Sie die SSL-Richtlinie SSL-Verbindungen zulassen.
D. Deaktivieren Sie die Option 128-Bit Verschlüsselung für SSL-Verbindungen verwenden.
Answer: A,D
Erläuterungen:
Standardmäßig wird mit der Serverrolle Webserver (IIS) der FTP Publishingdienst in der Version 6.0
installiert. Dieser unterstützt kein FTP über SSL und entspricht der Version von Windows Server 2003. Den
FTP Rollendienst in der Version 7.0 bzw. aktuell in der Version 7.5 können Sie über die folgende
Einstiegsseite separat herunterladen:
http://learn.iis.net/page.aspx/263/installing-and-troubleshooting-ftp75/
In der benutzerdefinierten SSL Richtlinie können separate Einstellungen für den Steuerkanal und den
Datenkanal der FTP-Verbindungen konfiguriert werden.
Die Option 128-Bit Verschlüsselung für SSL-Verbindungen verwenden führt zu einer starken
Systembelastung und einem erhöhten Datenübertragungsaufkommen, da zusätzliche
Verschlüsselungsinformationen übertragen werden. Wenn die Option deaktiviert ist, wird eine 40-Bit
Verschlüsselung verwendet.
152. Sie sind als Organisationsadministrator für das Unternehmen Contoso tätig. Das Unternehmen betreibt
einen Webhostingservice und hostet Websites für mehr als 40 Kunden. Jede Website verfügt über einen
dedizierten SMTP Server.
Sie tauschen einen der Server und installieren die Serverrolle Webserver (IIS) und das Feature SMTPServer auf dem neuen Windows Server 2008 Computer.
Das Unternehmen hat einen neuen Kunden akquiriert. Sie erstellen eine neue Website und installieren einen
neuen virtuellen SMTP-Server für den neuen Kunden. Der SMTP-Server kann jedoch nicht gestartet werden.
Wie konfigurieren Sie den neuen SMTP-Server, damit er auf dem Webserver gestartet werden kann?
(Wählen Sie alle zutreffenden Antworten.)
A. Konfigurieren Sie den SMTP-Server so, dass er in die Serverrolle Webserver (IIS) integriert wird.
B. Verwenden Sie eine separate IP-Adresse für den neuen SMTP-Server.
C. Verwenden Sie den Befehl iiscnfgr.exe /enable, um den SMTP-Server zu konfigurieren.
D. Nehmen Sie die IP-Adresse des SMTP-Servers in die SMTP-E-Mail Einstellungen der zugehörigen
Website im Internetinformationsdienste-Manager auf.
E. Verwenden Sie einen separaten Port für den neuen SMTP-Server.
Answer: B,E
Erläuterungen:
Im Dialogfeld Erweitert der Eigenschaften eines virtuellen SMTP-Servers können Sie IP-Adressen und TCPPortnummern für den virtuellen SMTP-Server hinzufügen, entfernen oder bearbeiten. Jeder virtuelle Server
wird durch seine Kombination aus IP-Adresse und TCP-Port identifiziert. Sie können weitere IP-Adressen
definieren, auf die der virtuelle SMTP-Server antwortet. Benutzer können eine Verbindung mit dem virtuellen
Seite 109 von 209
MS 70-649
22.12.2009
SMTP-Server herstellen, indem sie eine der definierten IP-Adressen verwenden.
Sollen mehrere virtuelle SMTP-Server auf einem System betrieben werden, muss jeder virtuelle SMTPServer über eine eindeutige Kombination aus IP-Adresse und Portnummer verfügen.
einen Mitgliedsserver, auf dem der Rollendienst FTP-Server 7.0 ausgeführt wird.
Der FTP-Serverdienst verwendet in der aktuellen Version keine Metadaten und greift stattdessen auf den
neuen Konfigurationsspeicher in IIS 7.0 zurück, um Konfigurationsdateien zu speichern.
Welches Format wird für die neuen Konfigurationsdateien verwendet?
A. .txt
B. HTML Dateien
C. CGI Skriptdateien
D. .Net XML basierte Dateien
Answer: D
Erläuterungen:
In IIS 7.0 wird ein neuer Konfigurationsspeicher eingeführt, in dem die Konfigurationseinstellungen für IIS
und ASP.NET für die gesamte Webplattform integriert sind. Mit dem neuen Konfigurationsspeicher können
Sie folgende Aufgaben durchführen:




Konfigurieren der IIS- und ASP.NET-Einstellungen in einem Konfigurationsspeicher, der ein
einheitliches Format verwendet und auf den über gemeinsame APIs zugegriffen werden kann.
Präzises und sicheres Delegieren einer Konfiguration an verteilte Konfigurationsdateien, die sich in
Inhaltsverzeichnissen befinden.
Kopieren von Konfigurationen und Inhalten einer bestimmten Website oder Anwendung auf andere
Computer.
Skriptkonfiguration für IIS und ASP.NET mit einem neuen WMI-Anbieter.
einen Mitgliedsserver mit dem Namen Server1. Auf Server1 ist die Rolle Webserver (IIS) installiert. Bislang
werden keine manuellen Sicherungen der IIS Konfigurationsdateien durchgeführt.
Ein Entwickler hat kürzlich zwei Websites aus der IIS Konfiguration gelöscht. Die beiden Websites enthielten
zahlreiche Anwendungen. Die Websites werden im Internetinformationsdienste-Manager nicht angezeigt.
Die Inhaltsdateien befinden sich aber nach wie vor im Verzeichnis C:\Contoso.
Ihr Vorgesetzter bittet Sie, die Websites wiederherzustellen. Es sind zwischenzeitlich keine anderen
Änderungen durchgeführt worden.
Wie gehen Sie vor?
A. Kopieren Sie eine frühere Version der Datei ApplicationHost.config aus dem Verzeichnis
C:\Inetpub\History und überschreiben Sie die aktuelle Version der Datei ApplicationHost.config.
B. Verwenden Sie das Befehlszeilenprogramm AppCmd.exe, um die IIS-Konfiguration wiederherzustellen.
C. Stellen Sie die beiden Websites und die zugehörigen Applikationen manuell wieder her.
D. Bearbeiten Sie die Datei ApplicationHost.config auf Server1 und ergänzen Sie die Websites und die
zugehörigen Einstellungen für die Anwendungen.
Answer: A
Erläuterungen:
Microsoft spricht beim IIS 7.0 von einem „Unified Configuration Model“. Zentrale Einstellungen, die für den
ganzen Webserver gelten, befinden sich in ApplicationHost.config im Verzeichnis
Seite 110 von 209
MS 70-649
22.12.2009
systemroot\System32\inetsrv. Die ApplicationHost.config erbt wieder von der Machine.config des .NET
Frameworks. Unterhalb der ApplicationHost.config in der Vererbungshierarchie steht die globale web.configDatei, die sich in systemroot\Microsoft.NET\Framework\Versionnummer\CONFIG\Web.config befindet. Die
Web.Config-Dateien der einzelnen virtuellen Webserver (alias Websites) erben von dieser globalen
web.config-Datei.
In der ApplicationHost.config-Datei sind die Pfade der virtuellen Webserver sowie die
Anwendungspooleinstellungen enthalten. Einstellungen für die Pfade der Websites können nicht auf
untergeordneter Ebene überschrieben werden, da dies keinen Sinn machen würde.
Das zurücksichern einer älteren Version der Datei ApplicationHost.config, sorgt dafür, dass die beiden
entfernten Websites wieder Bestandteil der aktuellen Konfiguration sind und im InternetinformationsdiensteManager angezeigt werden.
155. Dies Frage kommt doppelt vor: Sie sind als Organisationsadministrator für das Unternehmen Contoso
tätig. Das Netzwerk enthält einen Mitgliedsserver mit dem Namen Server1. Auf Server1 ist die Rolle
Webserver (IIS) installiert. Bislang werden keine manuellen Sicherungen der IIS Konfigurationsdateien
durchgeführt.
Ein Entwickler hat kürzlich zwei Websites aus der IIS Konfiguration gelöscht. Die beiden Websites enthielten
zahlreiche Anwendungen. Die Websites werden im Internetinformationsdienste-Manager nicht angezeigt.
Die Inhaltsdateien befinden sich aber nach wie vor im Verzeichnis C:\Contoso.
Ihr Vorgesetzter bittet Sie, die Websites wiederherzustellen. Es sind zwischenzeitlich keine anderen
Änderungen durchgeführt worden.
Wie gehen Sie vor?
A. Kopieren Sie eine frühere Version der Datei ApplicationHost.config aus dem Verzeichnis
C:\Inetpub\History und überschreiben Sie die aktuelle Version der Datei ApplicationHost.config.
B. Verwenden Sie das Befehlszeilenprogramm AppCmd.exe, um die IIS-Konfiguration wiederherzustellen.
C. Stellen Sie die beiden Websites und die zugehörigen Applikationen manuell wieder her.
D. Bearbeiten Sie die Datei ApplicationHost.config auf Server1 und ergänzen Sie die Websites und die
zugehörigen Einstellungen für die Anwendungen.
Answer: A
Erläuterungen:
Microsoft spricht beim IIS 7.0 von einem „Unified Configuration Model“. Zentrale Einstellungen, die für den
ganzen Webserver gelten, befinden sich in ApplicationHost.config im Verzeichnis
systemroot\System32\inetsrv. Die ApplicationHost.config erbt wieder von der Machine.config des .NET
Frameworks. Unterhalb der ApplicationHost.config in der Vererbungshierarchie steht die globale web.configDatei, die sich in systemroot\Microsoft.NET\Framework\Versionnummer\CONFIG\Web.config befindet. Die
Web.Config-Dateien der einzelnen virtuellen Webserver (alias Websites) erben von dieser globalen
web.config-Datei.
In der ApplicationHost.config-Datei sind die Pfade der virtuellen Webserver sowie die
Anwendungspooleinstellungen enthalten. Einstellungen für die Pfade der Websites können nicht auf
untergeordneter Ebene überschrieben werden, da dies keinen Sinn machen würde.
Das zurücksichern einer älteren Version der Datei ApplicationHost.config, sorgt dafür, dass die beiden
entfernten Websites wieder Bestandteil der aktuellen Konfiguration sind und im InternetinformationsdiensteManager angezeigt werden.
einen Windows Server 2008 Computer mit dem Namen Server1. Server1 führt die Rolle Webserver (IIS) aus
und hostet eine öffentliche Website.
Bei einer Routineüberwachung der öffentlichen Website, stellen Sie einen ungewöhnlich hohen
Datenverkehr mit der Website fest.
Seite 111 von 209
MS 70-649
22.12.2009
Sie müssen die Quelle für den hohen Datenverkehr mit der öffentlichen Website ermitteln.
Wie gehen Sie vor?
A. Verwenden Sie den Internetinformationsdienste-Manager und aktivieren Sie die Protokollierung für die
Website. Filtern Sie die Protokolldateien nach der Quell-IP-Adresse.
B. Installieren Sie eine Analysesoftware eines Drittanbieters und untersuchen Sie die Quell-IP-Adressen des
Datenverkehrs.
C. Führen Sie den Befehl Net Session auf dem Webserver aus.
D. Führen Sie den Befehl Netstat /all auf dem Webserver aus.
Answer: A
Erläuterungen:
IIS 7 bietet zusätzliche Protokollierungsfeatures zu den vom Windows-Betriebssystem bereitgestellten.
Beispielsweise können Sie ein Protokolldateiformat auswählen und festlegen, welche Anforderungen
protokolliert werden sollen.
Domäne mit dem Namen Contoso.de. Auf allen Domänencontrollern ist das Betriebssystem Windows Server
2008 installiert.
Sie möchten für die Benutzer unterschiedliche Kontosperrungsrichtlinien nach Ihrer Abteilungszugehörigkeit
erstellen.
Wie gehen Sie vor?
A. Erstellen Sie für jede Abteilung eine Organisationseinheit (OU) und konfigurieren Sie die Kontorichtlinien
für jede OU in einem separaten Gruppenrichtlinienobjekt.
B. Erstellen Sie mehrere Gruppenrichtlinienobjekte (GPOs) auf Ebene der Domäne und konfigurieren Sie die
Kontorichtlinien. Filtern Sie die Gruppenrichtlinienobjekte so, dass Sie auf die entsprechenden Benutzer der
Abteilungen angewendet werden.
C. Verwenden Sie die Konsole Active Directory-Benutzer und -Computer und bearbeiten Sie die Attribute der
Benutzerobjekte.
D. Erstellen Sie abgestimmte Kennwortrichtlinien (Fine Grained Passwort Policys).
Answer: D
Erläuterungen:
Windows Server 2008 bietet die Möglichkeit sogenannte abgestimmte Kennwortrichtlinien zu erstellen, die
es ermöglichen für verschiedene Benutzer oder Gruppen unterschiedliche Kennwort- und
Kontosperrungsrichtlinien zu erstellen.
Weitere Informationen finden Sie unter:
http://community.Contoso.de/blogs/mg/archive/2009/05/19/abgestimmte-kennwortrichtlinien.aspx
Sie wollen verhindern, dass andere Benutzer einen bestimmten Dienst auf einem Domänencontroller starten
und beenden können.
Welches der folgenden Tools können Sie verwenden?
A. Die Konsole Active Directory-Benutzer und -Computer.
B. Die Sicherheitseinstellungen in der Default Domain Controllers Policy.
C. Die Sicherheitseinstellungen in der Default Domain Policy.
D. Die lokale Sicherheitsrichtlinie.
Answer: B
Seite 112 von 209
MS 70-649
22.12.2009
Erläuterungen:
Sie können den Startmodus und die Berechtigungen für Dienste über den Abschnitt Sicherheitseinstellungen
\ Systemdienste in der Default Domain Controllers Policy konfigurieren. Die Einstellungen werden auf alle
Domänencontroller der Domäne angewendet.
Die lokale Sicherheitsrichtlinie eines Domänencontrollers enthält keinen Abschnitt für die Konfiguration von
Diensten.
Das Unternehmen hat mehrere Außenstellen, die über langsame WAN-Verbindungen mit der
Hauptgeschäftsstelle verbunden sind.
Sie wollen den DNS-Serverdienst an diesen Standorten so konfigurieren, dass Clientcomputer auf einfache
Weise einen autorisierten DNS Server in der Hauptgeschäftsstelle ermitteln können.
Welchen der nachfolgenden Zonentypen werden Sie auf den DNS Server der Außenstellen verwenden?
A. Primäre DNS Zonen.
B. Sekundäre DNS Zonen.
C. Active Directory integrierte Zonen.
D. Stubzonen.
Answer: D
Erläuterungen:
Wenn eine Zone, für die ein DNS-Server als Host dient, eine Stubzone ist, stellt der DNS-Server nur eine
Quelle für Informationen zu den autorisierenden Namenservern für diese Zone dar. Die Zone auf dem Server
muss von einem anderen DNS-Server abgerufen werden, der als Host für die Zone fungiert. Der DNS-Server
muss über Netzwerkzugriff für den Remote-DNS-Server verfügen, um die Informationen zu den
autorisierenden Namenservern für diese Zone zu kopieren.
Stubzonen können für folgende Aufgaben verwendet werden:



Zur Aktualisierung der Informationen für die delegierte Zone. Durch regelmäßige Aktualisierung einer
Stubzone für eine der untergeordneten Zonen erhält der DNS-Server, der als Host für die
übergeordnete Zone und die Stubzone dient, eine aktuelle Liste der autorisierenden DNS-Server für
die untergeordnete Zone.
Zur Verbesserung der Namensauflösung. Stubzonen ermöglichen einem DNS-Server die
Durchführung einer Rekursion anhand der Namenserverliste für die Stubzone, ohne eine Abfrage an
das Internet oder an einen internen Stammserver für den DNS-Namespace zu senden.
Zur Vereinfachung der DNS-Verwaltung. Durch die Verwendung von Stubzonen innerhalb Ihrer
DNS-Infrastruktur können Sie eine Liste der autorisierenden DNS-Server für eine Zone verteilen,
ohne sekundäre Zonen zu verwenden. Stubzonen erfüllen jedoch nicht denselben Zweck wie
sekundäre Zonen und stellen keine Alternative zur Verbesserung der Redundanz und des
Lastenausgleichs dar.
Zum Laden und zur Verwaltung einer Stubzone werden zwei Listen von DNS-Servern benötigt:



Die Liste der Masterserver, über die der DNS-Server eine Stubzone lädt und aktualisiert. Ein
Masterserver kann ein primärer oder sekundärer DNS-Server für die Zone sein. In beiden Fällen ist
eine vollständige Liste der DNS-Server für die Zone vorhanden.
Die Liste der autorisierenden DNS-Server für eine Zone. Diese Liste wird mithilfe von NamenserverRessourceneinträgen (NS) in der Stubzone gespeichert.
Wenn ein DNS-Server eine Stubzone wie widgets.tailspintoys.com lädt, sendet er Abfragen an die
Masterserver, die sich an verschiedenen Standorten befinden können, um die erforderlichen
Ressourceneinträge der autorisierenden Server für die Zone widgets.tailspintoys.com abzurufen. Die
Seite 113 von 209
MS 70-649
22.12.2009
Liste der Masterserver kann einen einzelnen Server oder mehrere Server enthalten und jederzeit
geändert werden.
Die DNS Zone der Domäne wird auf zwei DNS Servern gehostet. Einer der beiden Server dient als primärer
Server. Der andere wird als sekundärer DNS Server eingesetzt.
Über welchen Teil der DNS Zone können Sie feststellen, ob die Daten des primären DNS Servers sich nach
einer Synchronisation auf den sekundären Server geändert haben?
A. Über die Time To Live (TTL).
B. Über die Namensserver (NS) Einträge.
C. Über die Seriennummer.
D. Über das Aktualisierungsintervall.
Answer: C
Erläuterungen:
Der sekundäre DNS Server verwendet die Seriennummer der DNS Zone, um im Rahmen der
Synchronisation festzustellen, ob sich die Zonendaten seit der letzten Synchronisation geändert haben. Bei
Änderungen in der primären Zone wird die Seriennummer automatisch erhöht. Um Probleme mit der
Synchronisation zu behandeln, können Sie die Seriennummer über eine Schaltfläche auch manuell erhöhen.
161. Sie sind Administrator bei Contoso. Das Unternehmen handelt mit Armbanduhren und betreibt eine
erfolgreiche eCommerce Website. Um den stetig steigenden Zugriffszahlen gerecht zu werden, installieren
Sie mehrere zusätzliche Webserver.
Der Name der Website lautet www.Contoso.de. Sie replizieren die Inhalte auf die zusätzlichen Webserver,
die sich in unterschiedlichen Subnetzen befinden und erstellen die erforderlichen Host (A) Einträge in DNS.
Später stellen Sie fest, dass nur einer der Webserver auf Clientanfragen antwortet.
Sie müssen sicherstellen, dass die Zugriffe auf die Website www.Contoso.de gleichmäßig auf alle
Webserver verteilt werden.
Wie gehen Sie vor?
A. Aktivieren Sie die Serverfunktion BIND-Sekundärzonen.
B. Aktivieren Sie die Serverfunktion Rekursionsvorgang (und Weiterleitungen) deaktivieren.
C. Aktivieren Sie die Serverfunktion Roundrobin.
D. Bearbeiten Sie die Protokollierungseinstellungen für die Website und aktivieren Sie das Protokollfeld
Referenz (cs(Referer)).
Answer: C
Erläuterungen:
DNS lässt es zu, dass einem Namen mehrere IP-Adressen zugewiesen werden können. Allgemeiner
formuliert: Es können mehrere Resource Records mit gleichem Label, gleicher Klasse und gleichem Typ
aber jeweils unterschiedlichem Datenfeld existieren. Eine derartige Anordnung wird als Resource Record
Set bezeichnet.
Durch Resource Record Sets kann mit Hilfe der DNS-Serverfunktion Round Robin eine einfache
Lastverteilung (engl. Loadbalancing) realisiert werden.
Beispiel:
Seite 114 von 209
MS 70-649
22.12.2009
www.Contoso.de. 1800 IN A 192.0.2.70
Wird ein derartiger Name von einem Resolver abgefragt, so liefert der DNS-Server grundsätzlich alle
bekannten IP-Adressen zurück, allerdings in wechselnder Reihenfolge. Der erste Request wird dann
beispielsweise mit [192.0.2.70, 192.0.2.71, 192.0.2.72] beantwortet und der zweite mit [192.0.2.71,
192.0.2.72, 192.0.2.70]. Es liegt dann in der Verantwortung des Resolvers, welche IP-Adresse er tatsächlich
verwendet.
Nach welcher Strategie ein DNS-Server die Reihenfolge vorgibt, kann bei Bind-kompatiblen Nameservern
konfiguriert werden. Bei BIND sind drei Varianten möglich: zyklisch, zufällig und fest. Bei der Variante fest
werden die IP-Adressen in der Reihenfolge zurückgegeben, in der sie im Nameserver abliegen.
Wird Round Robin vom DNS Server nicht unterstützt oder ist die Funktion deaktiviert, wird jeweils die erste
dem Namen zugeordnete IP-Adresse ermittelt und an den Client zurückgegeben.
Domäne mit dem Namen ad.Contoso.de.
Die Domäne enthält zwei Windows Server 2008 Domänencontroller mit den Namen DC1 und DC2. Andere
Administratoren versuchen sich an den Domänencontrollern anzumelden. Die Anmeldeversuche schlagen
jedoch fehl.
Sie müssen die Anmeldeversuche auf den Domänencontrollern identifizieren.
Wie gehen Sie vor?
A. Überprüfen Sie die Einträge auf dem Register Sicherheit in den Eigenschaften der Computerkonten der
beiden Domänencontroller.
B. Verwenden Sie die Ereignisanzeige auf Ihrer administrativen Arbeitsstation und prüfen Sie das Protokoll
Sicherheit.
C. Verwenden Sie die Ereignisanzeige auf den beiden Domänencontrollern und prüfen Sie jeweils das
Protokoll Sicherheit.
D. Verwenden Sie die Eingabeaufforderung und führen Sie auf beiden Domänencontrollern den Befehl
Netsh /Events aus.
Answer: C
Erläuterungen:
Erfolgreiche oder fehlgeschlagene Anmeldeversuche für Domänenbenutzerkonten werden auf dem
authentifizierenden Domänencontroller im Sicherheitsprotokoll protokolliert. Da wir nicht genau wissen,
welcher der beiden Domänencontroller die Authentifizierung durchgeführt hat, müssen wir das
Sicherheitsprotokoll auf beiden Domänencontrollern prüfen.
Domäne mit dem Namen ad.Contoso.de. Auf allen Domänencontrollern ist das Betriebssystem Windows
Server 2008 installiert.
Die Domänenfunktionsebene und die Gesamtstrukturfunktionsebene sind beide mit Windows 2000 pur
festgelegt.
Sie müssen sicherstellen, dass das Benutzerprinzipalnamen-Suffix Contoso.de für Benutzerkonten
ausgewählt werden kann.
Welchen Schritt werden Sie als erstes ausführen?
Seite 115 von 209
MS 70-649
22.12.2009
A. Ändern Sie das primäre DNS-Suffix in der Default Domain Controllers Policy auf Contoso.de.
B. Ergänzen Sie das Benutzerprinzipalnamen-Suffix in der Gesamtstruktur.
C. Stufen Sie die Domänenfunktionsebene der Domäne ad.Contoso.de auf Windows Server 2003 oder
Windows Server 2008 herauf.
D. Stufen Sie die Gesamtstrukturfunktionsebene der Gesamtstruktur ad.Contoso.de auf Windows Server
2003 oder Windows Server 2008 herauf.
Answer: B
Erläuterungen:
Um den Benutzern bei langen Domänennamen die Anmeldung zu erleichtern, können alternative
Benutzerprinzipalnamen-Suffixe (UPN-Suffixe) konfiguriert werden, die den Benutzerkonten zugeordnet und
im Rahmen der Anmeldung verwendet werden können.
Die Liste alternativer Benutzerprinzipalnamen-Suffixe wird in der Konsole Active Directory-Domänen und Vertrauensstellungen über die Eigenschaften des Stammknotens verwaltet.
Domäne mit dem Namen Contoso.de. Das Unternehmen plant den Einsatz von Windows Server 2008.
Einige Außenstellen verfügen über kein ausreichendes Maß an Sicherheit für die Servercomputer. Sie
wollen an diesen Standorten schreibgeschützte Domänencontroller (Read-only Domain Controllers, RODCs)
einsetzen.
Welche zwei Gesamtstrukturfunktionsebenen unterstützen die Installation von schreibgeschützten
Domänencontrollern? (Jede korrekte Antwort stellt eine vollständige Lösung dar. Wählen Sie zwei
Antworten.)
A. Windows 2000 gemischt.
B. Windows 2000 pur.
C. Windows 2003.
D. Windows 2008.
Answer: C,D
Erläuterungen:
Die Gesamtstrukturfunktionsebene muss entweder auf Windows 2003 oder auf Windows 2008 festgelegt
sein, bevor schreibgeschützte Domänencontroller in der Umgebung installiert werden können.
Jeder Domänenbenutzer kann überprüfen, ob die Gesamtstrukturfunktionsebene Windows Server 2003 oder
höher lautet. Zum Heraufstufen der Gesamtstrukturfunktionsebene müssen Sie jedoch entweder ein Mitglied
der Gruppe Domänen-Admins in der Stammdomäne der Gesamtstruktur oder ein Mitglieder der Gruppe
Organisations-Admins sein.
So stellen Sie eine Gesamtstrukturfunktionsebene unter Windows Server 2003 oder höher sicher
1. Öffnen Sie Active Directory-Domänen und -Vertrauensstellungen.
2. Klicken Sie in der Konsolenstruktur mit der rechten Maustaste auf den Namen der Gesamtstruktur,
und klicken Sie dann auf Eigenschaften.
3. Überprüfen Sie unter Gesamtstrukturfunktionsebene, ob der Wert Windows Server 2003 oder
Windows Server 2008 lautet.
4. Falls die Gesamtstrukturfunktionsebene heraufgestuft werden muss, klicken Sie in der
Konsolenstruktur mit der rechten Maustaste auf Active Directory-Domänen und Vertrauensstellungen, und klicken Sie dann auf Gesamtstrukturfunktionsebene heraufstufen.
5. Klicken Sie unter Wählen Sie eine verfügbare Gesamtstrukturfunktionsebene auf Windows Server
2003, und klicken Sie dann auf Heraufstufen.
Seite 116 von 209
MS 70-649
22.12.2009
Sie stufen einen Windows Server 2008 Computer zu Testzecken zu einem Domänencontroller für die
bestehende Active Directory Domäne herauf. Während der Ausführung des Assistenten zum Installieren der
Active Directory-Domänendienste tritt ein Fehler auf, der verhindert, dass der Server zu einem
Domänencontroller heraufgestuft werden kann.
Welche Umstände könnten den Fehler verursachen? (Jede korrekte Antwort stellt eine vollständige Lösung
dar. Wählen Sie zwei Antworten.)
A. Der Server verfügt über keine NTFS-formatierte Partition, auf der das Verzeichnis Sysvol erstellt werden
könnte.
B. Das Netzwerk enthält keinen Windows Server 2008 DNS-Server.
C. Die TCP/IP Einstellungen des neuen Servers sind nicht korrekt konfiguriert.
D. Die Domäne enthält bereits die maximale Anzahl an Domänencontrollern.
Answer: A,C
Erläuterungen:
Das SYSVOL-Verzeichnis ist auf jedem Domänencontroller mit dem Freigabenamen SYSVOL freigegeben
und wird beim Ausführen des Active Directory-Assistenten DCPROMO automatisch eingerichtet. Es stellt ein
wichtiges Verzeichnis in einer Active Directory-Domäne dar und wird auf alle Domänencontroller der
Domäne repliziert. Das Verzeichnis Sysvol kann ausschließlich auf NTFS-formatierten Datenträgern
gespeichert werden.
Um einen Server als zusätzlichen Domänencontroller für eine bestehende Active Directory Domäne zu
installieren, ist es zwingend erforderlich, dass der Server mit einem gültigen DNS-Server für die Zone der
Active Directory Domäne konfiguriert wird. Ohne diese Einstellung kann der Server nicht zu einem
zusätzlichen Domänencontroller heraufgestuft werden.
Falsche Antworten:
B: Ein Windows Server 2008 DNS-Server ist nicht erforderlich. Der DNS-Serverdienst kann auch unter
Windows 2000 Server oder Windows Server 2003 ausgeführt werden. Es ist ebenfalls, wenn auch mit
zusätzlichem Aufwand, möglich einen BIND-Server einzusetzen.
D: Bereits unter Windows Server 2003 wurden bis zu 1200 Domänencontroller pro Domäne unterstützt.
Dass diese Grenze bereits erreicht ist, ist recht unwahrscheinlich.
166. Sie sind Administrator bei Contoso. Ihnen wurde die Aufgabe übertragen, den ersten
Domänencontroller für die neue Active Directory Domäne des Unternehmens zu installieren.
Sie müssen den Assistenten zum Installieren der Active Directory-Domänendienste starten.
Welchen der nachstehenden Befehle werden Sie ausführen?
A. DCPromote.exe
B. DomainPromote.exe
C. DCPromo.exe
D. Promote.exe
Answer: C
Erläuterungen:
Der Name des Befehlszeilenprogramms für das Installieren und Entfernen der Active DirectoryDomänendienste (AD DS) lautet Dcpromo.exe.
Syntax
dcpromo [/Answer[:] | /unattend[:] | /unattend | /adv] /uninstallBinaries [/CreateDCAccount |
/UseExistingAccount:Attach] /? /?[:{Promotion | CreateDCAccount | UseExistingAccount | Demotion}]
Seite 117 von 209
MS 70-649
22.12.2009
/Answer[:]
Gibt eine Antwortdatei mit Wertparametern für die Installation an.
/unattend[:]
Gibt eine Antwortdatei mit Wertparametern für die Installation an. Entspricht der Option /Answer[:].
/unattend
Führt eine unbeaufsichtigte Installation durch, bei der Installationsparameter und Werte in der Befehlszeile
übermittelt werden.
/adv
Führt eine Installation von einem Installationsmedium (IFM) durch.
/UninstallBinaries
Deinstalliert die Binärdateien der Active Directory-Domänendienste (AD DS).
/CreateDCAccount
Erstellt ein Konto für einen schreibgeschützten Domänencontroller (RODC). Der Befehl kann nur von einem
Mitglied der Gruppe Doänen-Admin oder der Gruppe Organisations-Admins ausgeführt werden.
/UseExistingAccount:Attach
Verbindet einen Server mit einem bestehenden Computerkonto für einen schreibgeschützten
Domänencontroller (RODC).
/?
Ruft Hilfeinformationen ab.
167. Sie sind als Organisationsadministrator für das Unternehmen Contoso tätig. Das Firmennetzwerk
besteht aus einer einzelnen Active Directory Domäne mit dem Namen Contoso.de. Auf allen
Servercomputern ist das Betriebssystem Microsoft Windows Server 2008 installiert. Auf allen
Clientcomputern wird Microsoft Windows Vista ausgeführt.
Das Unternehmen hat zur Zeit drei Standorte. Ein vierter Standort befindet sich in der Planungsphase.
Ihr Vorgesetzter bittet Sie, dem neuen Standort ein Subnetz unter Verwendung des globalen Adresspräfixes
3FFA:FF2B:4D:B000::/41 zuzuweisen.
Wie gehen Sie vor?
A. Verwenden Sie den IPv6 Adressbereich 3FFA:FF2B:4D:C000::/43 für den neuen Standort.
B. Verwenden Sie den IPv6 Adressbereich 3FFA:FF2B:4D:F000::/45 für den neuen Standort.
C. Verwenden Sie den IPv6 Adressbereich 3FFA:FF2B:4D:C800::/43 für den neuen Standort.
D. Verwenden Sie den IPv6 Adressbereich 3FFA:FF2B:4D:B400::/43 für den neuen Standort.
Answer: C
Erläuterungen:
IPv6-Adressen sind 128 Bit lang (IPv4: 32 Bit). Typischerweise bekommt ein Internetprovider (ISP) die
ersten 32 Bit (oder weniger) als Netz von einer Regional Internet Registry (RIR) zugewiesen.Dieser Bereich
wird vom Provider weiter in Subnetze aufgeteilt. Die Länge der Zuteilung an Endkunden wird dabei dem ISP
überlassen; vorgeschrieben ist die minimale Zuteilung eines /64. Ältere Dokumente (z. B. RFC 3177)
schlagen eine Zuteilung von /48-Netzen an Endkunden vor; in Ausnahmefällen ist die Zuteilung größerer
Netze als /48 oder mehrerer /48-Netze an einen Endkunden möglich.
Seite 118 von 209
MS 70-649
22.12.2009
Einem einzelnen Netzsegment wird in der Regel ein 64 Bit langes Präfix zugewiesen, das dann zusammen
mit einem 64 Bit langen Interface Identifier die Adresse bildet. Der Interface Identifier kann entweder aus der
MAC-Adresse der Netzwerkkarte erstellt oder anders eindeutig zugewiesen werden; das genaue Verfahren
ist in RFC 4291, Anhang A beschrieben.
Hat z. B. ein Netzwerkgerät die IPv6-Adresse 2001:0db8:85a3:08d3:1319:8a2e:0370:7347/64, so lautet das
Präfix 2001:0db8:85a3:08d3::/64, der Interface Identifier 1319:8a2e:0370:7347; der Provider bekam von der
RIR wahrscheinlich das Netz 2001:0db8::/32 zugewiesen und der Endkunde das Netz 2001:0db8:85a3::/48
vom Provider.
Das Netzwerk enthält einen Server mit dem Namen Server1. Server1 dienst als Dynamic Host Configuration
Protocol (DHCP) Server im Netzwerk.
Sie müssen sicherstellen, dass DHCP-Clients, die sich in einem Subnetz befinden, das kein DHCPv6
verwenden soll, weder eine IPv6 Adresse noch andere Konfigurationseinstellungen über Server1 erhalten.
Wie gehen Sie vor?
A. Konfigurieren Sie das verwaltete Adresskonfigurationskennzeichen (Managed Address Configuration
Flag) mit 0 und das Kennzeichen für andere statusbehaftete Konfigurationen (Other Stateful Configuration
Flag) mit 1.
B. Konfigurieren Sie das verwaltete Adresskonfigurationskennzeichen (Managed Address Configuration
Flag) mit 1 und das Kennzeichen für andere statusbehaftete Konfigurationen (Other Stateful Configuration
Flag) mit 0.
C. Konfigurieren Sie sowohl das verwaltete Adresskonfigurationskennzeichen (Managed Address
Configuration Flag) als auch das Kennzeichen für andere statusbehaftete Konfigurationen (Other Stateful
Configuration Flag) mit 0.
D. Konfigurieren Sie sowohl das verwaltete Adresskonfigurationskennzeichen (Managed Address
Configuration Flag) als auch das Kennzeichen für andere statusbehaftete Konfigurationen (Other Stateful
Configuration Flag) mit 1.
Answer: C
Erläuterungen:
Das Dynamic Host Configuration-Protokoll (DHCP) wurde entworfen, um Computern IP-Adressen und
andere Netzwerkinformationen zuzuweisen, sodass sie im Netzwerk automatisch kommunizieren können.
Bei einem IPv6-Netzwerk wird DHCP eigentlich nicht zum Konfigurieren von Adressen benötigt, es können
jedoch gute Gründe für seine Verwendung sprechen. DHCP für IPv6 (DHCPv6) kann die Einstellungen für
statusbehaftete Adresskonfigurationseinstellungen oder statusfreie Konfigurationseinstellungen für IPv6Hosts bereitstellen.
IPv6-Hosts können mehrere Methoden verwenden, um Adressen zu konfigurieren:

Statusfreie automatische Adresskonfiguration wird zum Konfigurieren sowohl von
verbindungslokalen Adressen als auch von zusätzlichen nicht verbindungslokalen Adressen durch
den Austausch der Routeranfrage- und Routerankündigungsnachrichten mit angrenzenden Routern
verwendet.

Statusbehaftete automatische Adresskonfiguration wird verwendet, um nicht verbindungslokale
Adressen durch die Verwendung eines Konfigurationsprotokolls zu konfigurieren, z. B. DHCP.
Ein IPv6-Host führt eine statusfreie Autokonfiguration automatisch durch und verwendet ein
Konfigurationsprotokoll, wie z. B. DHCPv6. Dies erfolgt aufgrund der folgenden Kennzeichen, die in der von
einem angrenzenden Router gesendeten Routerankündigungsnachricht enthalten sind:
Seite 119 von 209
MS 70-649
22.12.2009

Das verwaltete Adresskonfigurationskennzeichen (Managed Address Configuration Flag), das auch
M-Kennzeichen genannt wird. Wenn dieses Kennzeichen auf 1 eingestellt ist, wird der Host
angewiesen, ein Konfigurationsprotokoll zu verwenden, um statusbehaftete Adressen zu erhalten.

Ein anderes statusbehaftetes Konfigurationskennzeichen, das auch O-Kennzeichen genannt wird.
Wenn dieses Kennzeichen auf 1 eingestellt ist, wird der Host angewiesen, ein
Konfigurationsprotokoll zu verwenden, um andere Konfigurationseinstellungen zu erhalten.

Wenn die Werte der M- und O-Kennzeichen kombiniert werden, kann sich Folgendes ergeben:

Beide Kennzeichen, sowohl M als auch O, sind auf 0 eingestellt. Diese Kombination entspricht
einem Netzwerk ohne DHCPv6-Infrastruktur. Hosts verwenden Routerankündigungen für nicht
verbindungslokale Adressen und andere Methoden (wie z. B. manuelle Konfiguration), um andere
Einstellungen zu konfigurieren.

Beide Kennzeichen, sowohl M als auch O, sind auf 1 eingestellt. DHCPv6 wird sowohl für Adressen
als auch für andere Konfigurationseinstellungen verwendet. Diese Kombination wird „DHCPv6
statusbehaftet“ genannt, wobei DHCPv6 den IPv6-Hosts statusbehaftete Adressen zuweist.

Das M-Kennzeichen ist auf 0 und das O-Kennzeichen auf 1 eingestellt. DHCPv6 wird nur dazu
verwendet, andere Konfigurationseinstellungen, aber keine Adressen zuzuweisen. Angrenzende
Router werden konfiguriert, um nicht verbindungslokale Adresspräfixe anzukündigen, von denen die
IPv6-Hosts statusfreie Adressen ableiten. Diese Kombination wird „DHCPv6 statusfrei“ genannt:
DHCPv6 weist IPv6-Hosts keine statusbehafteten Adressen, sondern statusfreie
Konfigurationseinstellungen zu.

Das M-Kennzeichen ist auf 1 und das O-Kennzeichen auf 0 eingestellt. In dieser Kombination wird
DHCPv6 für die Adresskonfiguration, nicht jedoch für andere Einstellungen verwendet. Da IPv6Hosts in der Regel mit anderen Einstellungen konfiguriert werden müssen, wie z. B. den IPv6Adressen der DNS-Server, stellt dies eine unwahrscheinliche Kombination dar.
besteht aus einer einzelnen Active Directory Domäne mit dem Namen Contoso.de. Ein Ausschnitt des
Netzwerks wird in der Abbildung gezeigt (klicken Sie auf die Schaltfläche Zeichnung).
Die Unternehmensleitung hat beschlossen ein IPv4 Adressierungsschema unter Verwendung des
Adressbereichs 129.108.8.0/21 zu verwenden.
Sie haben den Auftrag erhalten, den Adressbereich in vier Bereiche zu untergliedern, die für die
abgebildeten Segmente verwendet werden können.
Welche Adressen werden Sie verwenden?
Seite 120 von 209
MS 70-649
22.12.2009
A. Segment A: 129.108.8.0/22
Segment B: 129.108.8.128/23
Segment C: 129.108.8.0/192
Segment D: 129.108.8.224/25
B. Segment A: 129.108.8.128/22
Segment B: 129.108.8.192/23
Segment C: 129.108.8.224/24
Segment D: 129.108.8.0/26
C. Segment A: 129.108.8.109/22
Segment B: 129.108.8.0/23
Segment C: 129.108.8.0/24
Segment D: 129.108.8.109/25
D. Segment A: 129.108.8.0/22
Segment B: 129.108.8.0/23
Segment C: 129.108.8.0/24
Segment D: 129.108.8.128/26
Answer: D
Erläuterungen:
Das verwendete Subnetz 129.108.8.0/21 (Subnetzmaske: 255.255.248.0) enthält den Adressraum
129.108.8.1 - 129.108.15.255. Die insgesamt 2046 IP-Adressen können wie folgt für die einzelnen
Segmente untergliedert werden:
Segment A: 129.108.8.0/22 - 1022 Hostadressen
Segment B: 129.108.8.0/23 - 510 Hostadressen
Segment C: 129.108.8.0/24 - 254 Hostadressen
Segment D: 129.108.8.128/26 - 62 Hostadressen
Die übrigen Antworten enthalten jeweils mindestens eine ungültige Subnetz-ID.
Das Netzwerk enthält einen DNS-Server mit dem Namen Server1.
Sie erhalten den Auftrag zwei neue DHCP-Server für das Netzwerk zu konfigurieren und den Adressbereich
so auf die beiden Server zu verteilen, dass die Computer im Netzwerk auch bei Ausfall von einem der
beiden Server eine gültige IP-Konfiguration erhalten.
Nachdem Sie die IP-Adresse von Server1 geändert haben, berichten Ihnen die Benutzer, dass es ihnen
nicht mehr möglich ist, sich an der Domäne anzumelden.
Sie müssen sicherstellen, dass sich alle Netzwerkbenutzer erfolgreich an der Domäne anmelden können.
Wie gehen Sie vor?
A. Rekonfigurieren Sie die DHCP-Bereichsoption 006 DNS-Server auf beiden DHCP-Servern mit der neuen
IP-Adresse von Server1.
B. Konfigurieren Sie die Arbeitsstationen der Benutzer und deaktivieren Sie NetBIOS über TCP/IP.
C. Führen Sie einen Neustart des Dienstes Anmeldedienst (Netlogon) auf Server1 durch.
D. Öffnen Sie die Eingabeaufforderung auf Server1 und führen Sie den Befehl Ipconfig /registerdns aus.
Answer: A
Seite 121 von 209
MS 70-649
22.12.2009
Erläuterungen:
Um einen Domänencontroller für die Authentifizierung im Rahmen einer Domänenanmeldung zu finden wird
das Domain Name System (DNS) verwendet. Der DNS Server der Domäne hat eine neue IP-Adresse
erhalten. Da die TCP/IP Konfiguration der Clientcomputer bislang nicht entsprechend angepasst wurde,
kann über DNS kein Domänencontroller ermittelt werden und die Anmeldung schlägt fehl.
Wir müssen die DHCP-Bereichsoptionen auf Server1 bearbeiten und sicherstellen, dass die Clientcomputer
Server1 als DNS Server verwenden. Anschließend muss die IP-Konfiguration der Clientcomputer durch
einen Neustart aktualisiert werden.
besteht aus einer einzelnen Active Directory Domäne mit dem Namen Contoso.de. Die Hauptgeschäftsstelle
des Unternehmens befindet sich in Hamburg.
Auf den Servercomputern der Domäne wird Windows Server 2008 ausgeführt. Auf den Clientcomputern ist
Windows Vista installiert.
Contoso eröffnet eine Zweigstelle in Kiel. Der neue Standort wird ca. 50 Clientcomputer erhalten.
Sie müssen ein geeignetes IP-Adressierungsschema für die neue Zweigstelle in Kiel festlegen. Für welchen
Adressbereich werden Sie sich entscheiden?
A. 192.10.100.0/29
B. 192.10.100.0/31
C. 192.10.100.0/26
D. 192.10.100.0/30
Answer: C
Erläuterungen:
Wenn wir 26 Bits für die Subnetzmaske verwenden, bleiben 6 Bits für Hostadressen. Die 6 Bits ermöglichen
die Adressierung von 2^6 - 2 = 62 Hosts. Die übrigen Adressbereiche bieten nicht ausreichend
Hostadressen.
des Unternehmens befindet sich in Berlin.
Auf den Servercomputern der Domäne wird Windows Server 2008 ausgeführt. Auf den Clientcomputern ist
Windows Vista installiert.
Sie installieren die Rolle Netzwerkrichtlinien- und Zugriffsdienste auf einem Computer mit dem Namen
Server2. Sie wollen das Internetprotokoll Version 6 (IPv6) für alle Verbindungen, außer für den
Tunneladapter und die Loopback Schnittstelle, deaktivieren.
Wie gehen Sie vor?
A. Führen Sie den Befehl netsh ras ipv6 set aus.
B. Bearbeiten Sie die Eigenschaften der LAN-Verbindung und deaktivieren Sie das Element Internetprotokoll
Version 6 (TCP/IPv6).
C. Führen Sie den Befehl netsh interface ipv6 delete aus.
D. Verwenden Sie das Utility IPv6.exe, um das Internetprotokoll Version 6 (IPv6) zu entfernen.
Answer: B
Erläuterungen:
Wenn Sie das Internet Protokoll Version 6 in den Eigenschaften der LAN-Verbindung deaktivieren, bleiben
der Tunneladapter 6To4 und die IPv6 Loopback Schnittstelle weiterhin aktiv.
Wie Sie alle IPv6 Komponenten auf einem Windows Server 2008 System deaktivieren können, erfahren Sie
Seite 122 von 209
MS 70-649
22.12.2009
in folgendem Artikel:
http://community.Contoso.de/blogs/mg/archive/2008/12/04/ipv6-in-vista-und-windows-server-2008deaktivieren.aspx
173. Sie sind als Organisationsadministrator für das Unternehmen Contoso tätig. Das Netzwerk besteht aus
einer einzelnen Active Directory Domäne mit dem Namen Contoso.de. Auf allen Servern wird Windows
Server 2008 und auf allen Clientcomputern wird Windows Vista ausgeführt.
Ihr Vorgesetzter überreicht Ihnen eine Liste mit 8 segmentierten IPv6 Präfixen Die Liste der Präfixe wird
nachstehend dargestellt:
3FFE:FFFF:0:C000::/54
3FFE:FFFF:0:C400::/54
3FFE:FFFF:0:C800::/54
3FFE:FFFF:0:CC00::/54
3FFE:FFFF:0:D000::/54
3FFE:FFFF:0:D400::/54
3FFE:FFFF:0:D800::/54
3FFE:FFFF:0:DC00::/54
Welche Länge hat das originale Präfix des globalen Adressbereiches 3FFE:FFFF:0:C000::?
A. Der originale, globale Adressbereich hat das Präfix 3FFE:FFFF:0:C000::/52.
B. Der originale, globale Adressbereich hat das Präfix 3FFE:FFFF:0:C000::/54.
C. Der originale, globale Adressbereich hat das Präfix 3FFE:FFFF:0:C000::/51.
D. Der originale, globale Adressbereich hat das Präfix 3FFE:FFFF:0:C000::/53.
Answer: C
Erläuterungen:
Der ursprüngliche Adressbereich wurde in acht Segment zergliedert. Gehen wir davon aus, dass wir für 8
Subnetze 3 Subnetzbits benötigen (2^3=8) ergeben sich 54 - 3 = 51 Bits für die originale Präfixlänge.
des Unternehmens befindet sich in Bremen.
Auf allen Servercomputern ist das Betriebssystem Windows Server 2008 installiert. Auf allen
Clientcomputern wird Microsoft Windows Vista ausgeführt. Die Geschäftführung plant die Migration auf das
Internet Protokoll Version 6 (IPv6). Derzeit verwendet das Netzwerk der Hauptgeschäftsstelle den
Adressbereich 131.107.x.x mit der Subnetzmaske 255.255.224.0.
Ihr Vorgesetzter möchte von Ihnen wissen, wie viele gültige IP-Adressen für die Hostadressierung der
Adressbereich der Hauptgeschäftsstelle enthält.
Was werden Sie ihm antworten?
A. Der Adressbereich enthält 254 gültige IP-Adressen für die Hostadressierung.
B. Der Adressbereich enthält 2046 gültige IP-Adressen für die Hostadressierung.
C. Der Adressbereich enthält 8190 gültige IP-Adressen für die Hostadressierung.
D. Der Adressbereich enthält 1022 gültige IP-Adressen für die Hostadressierung.
Answer: C
Erläuterungen:
Für die Subnetzmaske 255.255.224.0 werden 19 der 32 verfügbaren Bits verwendet. Es verbleiben 13 Bits
für die Hostadressen. Die Anzahl der verfügbaren IP-Adressen ergibt sich dann über die Rechnung 2^13 - 2
= 8190 Hostadressen.
Seite 123 von 209
MS 70-649
22.12.2009
des Unternehmens befindet sich in Bremen. Auf allen Servercomputern ist das Betriebssystem Windows
Server 2008 installiert. Auf allen Clientcomputern wird Microsoft Windows Vista ausgeführt.
Das Netzwerk enthält derzeit sechs Computer und verwendet den Adressbereich 172.16.1.0/29. Das
Unternehmen plant den Einsatz zehn weiterer Computersysteme.
Sie müssen sicherstellen, dass der verwendete Adressbereich ausreichend Adressen für die neuen
Computer enthält.
Wie gehen Sie vor?
A. Erweitern Sie das Netzwerk auf einen /27 Adressbereich.
B. Erweitern Sie das Netzwerk auf einen /28 Adressbereich.
C. Erweitern Sie das Netzwerk auf einen /26 Adressbereich.
D. Eine Erweiterung des Netzwerks ist nicht erforderlich. Der /29 Adressbereich enthält ausreichend
Adressen für das geplante Wachstum.
Answer: A
Erläuterungen:
Die Subnetzmaske 255.255.255.248 (/29) bietet nur drei Bits für Hostadressen. Daraus ergeben sich 2^32=6 IP-Adressen für die Hostadressierung. Es stehen daher keine weiteren freien Adressen mehr zur
Verfügung.
Die Subnetzmaske 255.255.255.224 (/26) bietet sechs Bits für Hostadressen. Daraus ergeben sich 2^62=62 IP-Adressen für die Hostadressierung.
Die Subnetzmaske 255.255.255.224 (/27) bietet fünf Bits für Hostadressen. Daraus ergeben sich 2^5-2=30
IP-Adressen für die Hostadressierung.
Die Subnetzmaske 255.255.255.224 (/28) bietet vier Bits für Hostadressen. Daraus ergeben sich 2^4-2=14
IP-Adressen für die Hostadressierung.
Die Antworten A und C kommen als gültige Lösung in Betracht. Wenn wir davon ausgehen, den kleinsten
gültigen Bereich auswählen zu müssen, ist Antwort A die richtige Lösung.
Das Unternehmen verwendet das Internet Protokoll Version 6 (IPv6) im lokalen Netzwerk der
Hauptgeschäftsstelle.
Sie installieren einen neuen Servercomputer mit dem Namen Server1 und müssen eine geeignete IPAdresse konfigurieren.
Welchen Adresstyp werden Sie verwenden?
A. Konfigurieren Sie eine verbindungslokale Adresse (link-local address).
B. Konfigurieren Sie eine lokal generierte private Adresse (unique local address).
C. Konfigurieren Sie eine globale Adresse (global address).
D. Konfigurieren Sie eine standortlokale Adresse (site-local address).
Answer: B
Erläuterungen:
Es gibt verschiedene IPv6-Adressbereiche mit Sonderaufgaben und unterschiedlichen Eigenschaften. Diese
Seite 124 von 209
MS 70-649
22.12.2009
werden meist schon durch die ersten Bits der Adresse signalisiert. Sofern nicht weiter angegeben, werden
die Bereiche in RFC 4291 definiert.
Link Local Unicast
fe80::/10 (fe80… bis febf…) sind verbindungslokale bzw. link-lokale Adressen (link local unicast addresses).
Diese sollen von Routern nicht weitergeleitet werden und sind daher nur im gleichen Teilnetz erreichbar. Von
ihnen wird insbesondere im Rahmen der Autokonfiguration Gebrauch gemacht. Soll ein Gerät mittels einer
dieser Adressen kommunizieren, so muss die zu verwendende Netzwerkschnittstelle mit angegeben
werden, da link-lokale Präfixe auf einem Gerät mehrfach vorhanden sein können und damit unterschiedliche
Netzsegmente den gleichen Adressraum beanspruchen.
Unique Local Unicast
fc00::/7 (fc… und fd…). Für private Adressen gibt es die Unique Local Addresses (ULA), beschrieben in RFC
4193. Dabei wird zwischen lokal generierten ULA mit dem Präfix fd und global zugewiesenen eindeutigen
ULA mit dem Präfix fc unterschieden. Auf dieses Präfix folgen dann 40 Bits, die als eindeutige Site-ID
fungieren. Diese Site-ID ist bei den ULA mit dem Präfix fd zufällig zu generieren und somit nur sehr
wahrscheinlich eindeutig, bei den global vergebenen ULA jedoch auf jeden Fall eindeutig. Nach der Site-ID
folgt eine 16-Bit-Subnet-ID, welche ein Netz innerhalb der Site angibt.
Eine Beispiel-ULA wäre fd9e:21a7:a92c:2323::1. Hierbei ist fd der Präfix für lokal generierte ULAs,
9e:21a7:a92c ein einmalig zufällig erzeugter 40-Bit-Wert und 2323 eine willkürlich gewählte Subnet-ID.
Die Verwendung von wahrscheinlich eindeutigen Site-IDs hat den Vorteil, dass zum Beispiel beim Einrichten
eines Tunnels zwischen getrennt voneinander konfigurierten Netzwerken Adresskollisionen sehr
unwahrscheinlich sind. Weiterhin wird erreicht, dass Pakete, welche an eine nicht erreichbare Site gesendet
werden, mit großer Wahrscheinlichkeit ins Leere laufen, anstatt an einen lokalen Host gesendet zu werden,
der zufällig die gleiche Adresse hat.
Site Local Unicast
fec0::/10 (fec0… bis feff…), auch standortlokale Adressen (site local addresses), waren die Nachfolger der
privaten IP-Adressen (beispielsweise 192.168.x.x). Sie durften nur innerhalb der gleichen Organisation
geroutet werden. Diese Adressen sind nach RFC 3879 inzwischen veraltet und werden aus zukünftigen
Standards verschwinden. Neue Implementierungen müssen diesen Adressbereich als Global-UnicastAdressen behandeln. Nachfolger der standortlokalen Adressen sind die Unique Local Addresses.
Global Unicast
2001:... kennzeichnet globale native IPv6-Adressen. Wenn Ihr DSL-Internetanbieter IPv6 unterstützt,
verwendet sowohl Ihr Router als auch jeder angeschlossene Computer eine eigene IPv6-Adresse mit
diesem Präfix für die Internet-Kommunikation.
2002:... kennzeichnet globale IPv6-Adressen beim Einsatz eines 6to4-Tunnels. Wenn Sie in der FRITZ!BoxBenutzeroberfläche die Option "IPv6 über eine IPv4-Anbindung nutzen (6to4)" aktiviert haben, verwendet
sowohl die FRITZ!Box als auch jeder angeschlossene Computer eine eigene IPv6-Adresse mit diesem Präfix
für die Internet-Kommunikation.
Die Geschäftsführung beschließt eine Testumgebung zur Vorbereitung der Migration nach Internet Protokoll
Version 6 (IPv6). Sie müssen ein Testnetzwerk mit drei IPv6 Subnetzen innerhalb des bestehenden
Netzwerks erstellen.
Wie gehen Sie vor?
A. Konfigurieren Sie die Hosts im Testnetzwerk mit globalen Adressen (global address).
B. Konfigurieren Sie die Hosts im Testnetzwerk mit verbindungslokalen Adressen (link-local address).
Seite 125 von 209
MS 70-649
22.12.2009
C. Konfigurieren Sie die Hosts im Testnetzwerk mit lokal generierten privaten Adressen (unique local
address).
D. Konfigurieren Sie die Hosts im Testnetzwerk mit standortlokalen Adressen (site-local address).
Answer: C
Erläuterungen:
Link Local Unicast
Site Local Unicast
Global Unicast
178. Sie sind als Organisationsadministrator für das Unternehmen Contoso tätig. Auf allen Servercomputern
im Netzwerk ist das Betriebssystem Windows Server 2008 installiert.
Auf einem Server mit dem Namen Server1 ist die Rolle DHCP-Server instaliert. Sie öffnen die Konsole
Seite 126 von 209
MS 70-649
22.12.2009
DHCP und führen den Bereichserstellungs-Assistenten aus. Das relevante Dialogfeld wird in der Abbildung
gezeigt (klicken Sie auf die Schaltfläche Zeichnung).
Welche der folgenden Aussagen sind in Bezug auf die in der Abbildung gezeigten Daten richtig? (Wählen
Sie alle zutreffenden Antworten.)
A. Das gezeigte Präfix ist zu lang.
B. Der Wert für die Präferenz ist nicht richtig. Die Präferenz muss für alle Adresse mit der Option /64 auf 1
festgelegt werden.
C. Sowohl das Präfix als auch die Präferenz sind richtig konfiguriert.
D. Das gezeigte Präfix ist nicht richtig. Der Wert darf nicht mit 0:0:0: beginnen.
Answer: A,D
Erläuterungen:
IPv6-Adressen haben eine Länge von 128 Bit, unterteilt in acht Abschnitte von jeweils 16 Bit. Sie sind somit
viermal länger als herkömmliche IPv4-Adressen. Dargestellt werden IPv6-Adressen in hexadezimaler
Schreibweise, wobei die einzelnen Abschnitte durch Doppelpunkte voneinander getrennt werden. Die
Präfixlänge in der Abbildung ist mit 64 Bit angegeben. Es dürften daher nur 4 Abschnitt mit einer Länge von
jeweils 16 Bit eingetragen werden.
Beim Einsatz von IPv6 hat jede Adresse unterschiedliche Eigenschaften, die anhand der ersten Bits
("Präfix") identifizierbar sind. Der Wert 0:0:0: stellt kein gültiges Präfix dar.
besteht aus einer einzelnen Active Directory Domäne mit dem Namen Contoso.de. Alle Clientcomputer sind
Mitglied der Domäne. Auf allen Servercomputern wird Windows Server 2008 ausgeführt.
Seite 127 von 209
MS 70-649
22.12.2009
Sie administrieren einen Servercomputer mit dem Namen Server1.
Sie müssen Server1 über das Internet Protokoll Version 6 (IPv6) an das Internet anschließen. Für diesen
Zweck müssen Sie Server1 mit einer geeigneten IPv6 Adresse konfigurieren.
Welchen IPv6 Adresstyp werden Sie verwenden?
A. Verwenden Sie eine lokal generierte private Adresse (unique local address).
B. Verwenden Sie eine standortlokale Adresse (site-local address).
C. Verwenden Sie eine verbindungslokale Adresse (link-local address).
D. Verwenden Sie eine globale Adresse (global address).
Answer: D
Erläuterungen:
Link Local Unicast
Site Local Unicast
Global Unicast
Seite 128 von 209
MS 70-649
22.12.2009
einen Windows Server 2008 Computer mit dem Namen Server1. Auf Server1 sind die Rolle Webserver (IIS)
und das Feature SMTP-Server installiert.
Sie haben den Auftrag erhalten, den neuen SMTP-Server für das Weiterleiten aller E-Mail Nachrichten an
den Mailserver Ihres Internetdienstanbieters (ISP) zu konfigurieren.
Wie gehen Sie vor?
A. Führen Sie den Befehl Adprep /dm:getfromiis aus.
B. Legen Sie die Domäne Ihres Internetdienstanbieters (ISP) als Maskeradendomäne fest.
C. Konfigurieren Sie die SMTP-Zustellungsoptionen und legen Sie den Port fest, der Ihnen von Ihrem
Internetdienstanbieter (ISP) für den SMTP-Dienst zugewiesen wurde.
D. Legen Sie den Mailserver Ihres Internetdienstanbieters (ISP) als Smarthost fest.
Answer: D
Erläuterungen:
Sie können alle ausgehenden Nachrichten für Remotedomänen über einen Smarthost routen, anstatt sie
werden, die entweder schneller oder kostengünstiger ist als andere Routen. Der Smarthost ähnelt der Option
Routingdomäne für Remotedomänen. Der Unterschied besteht darin, dass alle ausgehenden Nachrichten an
diesen Server geroutet werden, nachdem ein Smarthost definiert wurde. Bei Routingdomänen werden nur
Nachrichten für die Remotedomäne an einen bestimmten Server geroutet.
Vergewissern Sie sich, dass der angegebene Smarthost für Sicherheit optimiert wurde und von einer
vertrauenswürdigen Stelle verwaltet wird, besonders, wenn vertrauliche Informationen weitergeleitet werden.
Wenn Sie einen Smarthost einrichten, können Sie auch weiterhin eine andere Route für eine
Remotedomäne festlegen. Die Einstellung für die Routingdomäne überschreibt die Smarthosteinstellung.
Geben Sie einen vollständig qualifizierten Domänennamen oder eine IP-Adresse ein, um den Smarthost zu
bezeichnen. Wenn Sie eine IP-Adresse verwenden, schließen Sie diese in eckige Klammern [ ] ein, um die
Systemleistung zu verbessern. Der SMTP-Dienst sucht zuerst nach einem Namen und dann nach einer IPAdresse. Die Klammern identifizieren den Wert als eine IP-Adresse. Daher wird das DNS-Lookup
übergangen.
einen Windows Server 2008 Computer mit dem Namen Server1. Server1 führt die Rolle Webserver (IIS)
aus.
Ihr Vorgesetzter bittet Sie, alle Benutzer von CBSite1 auf CBSite2 weiterzuleiten.
Wie gehen Sie vor?
A. Führen Sie den Befehl Appcmd set Config /section:httpRedirect /+ [Wildcard='CBSite1',
Destination='CBSite2'] aus.
B. Führen Sie den Befehl Appcmd set Config /section:http:Redirect /+ [Wildcard='CBSite1',
C. Führen Sie den Befehl Appcmd set Config /section:Redirect /+ [Wildcard='CBSite1',
D. Führen Sie den Befehl Appcmd set Config /section:Redirecthttp /+ [Wildcard='CBSite1',
Answer: A
Seite 129 von 209
MS 70-649
22.12.2009
Erläuterungen:
Gehen Sie folgendermaßen vor, um eine HTTP-Umleitung mit Hilfe des Befehlszeilenprogramm Appcmd.exe
zu aktivieren:
1. Klicken Sie auf Start und klicken Sie in der Liste Programme mit der rechten Maustaste auf
Eingabeaufforderung und klicken Sie dann auf als Administrator ausführen.
2. Geben Sie den folgenden Befehl ein, und drücken Sie die [EINGABETASTE]:
CD \windows\system32\inetsrv
3. Geben Sie den folgenden Befehl ein, und drücken Sie die [EINGABETASTE]:
Appcmd set Config /section:httpRedirect /enabled:true,
Um eine HTTP-Umleitung Regel hinzuzufügen, geben Sie den folgenden Befehl ein, und drücken Sie
anschließend die [EINGABETASTE]:
Appcmd set Config /section:httpRedirect /+ [Wildcard ='WildcardHeader', Destination='Destination']
Hinweis: In diesem Befehl steht WildcardHeader für die Webseite oder Seiten, die Sie umleiten möchten.
Destination stellt die Ziel-Webseite dar, an den der WildcardHeaderwert umgeleitet wird.
Um die HTTP-Umleitung zu deaktivieren, geben Sie den folgenden Befehl, und drücken Sie anschließend
die [EINGABETASTE]:
Appcmd set Config /section:httpRedirect /enabled:false
182. Sie sind als Organisationsadministrator für das Unternehmen Contoso tätig. Das Netzwerk enthält zwei
Mitgliedsserver mit den Namen TS1 und TS2. Auf beiden Servercomputern ist die Serverrolle
Terminaldienste installiert.
Ihr Vorgesetzter bittet Sie, TS1 und TS2 für den Lastenausgleich zu konfigurieren.
Wie gehen Sie vor?
A. Konfigurieren Sie auf beiden Servern jeweils eine NPS Verbindungsanforderungsrichtlinie.
B. Konfigurieren Sie die Remoteeinstellungen auf beiden Servern und legen Sie fest, dass nur sichere
Remotedesktopverbindungen zugelassen werden.
C. Lassen Sie beide Servercomputer zu einem TS-Sitzungsbroker beitreten.
D. Öffnen Sie auf TS1 die Konsole Remotedesktops und nehmen Sie TS2 in die Liste der Verbindungen auf.
Öffnen Sie anschließend die Konsole Remotedesktops auf TS2 und nehmen Sie TS1 in die Liste der
Verbindungen auf.
Answer: C
Erläuterungen:
Mit TS-Sitzungsbroker werden Benutzersitzungen in einer Terminalserverfarm mit Lastenausgleich
nachverfolgt. In der TS-Sitzungsbroker-Datenbank werden die Sitzungsstatusinformationen gespeichert,
einschließlich der Sitzungs-IDs, der zugeordneten Benutzernamen und des Namens des Servers, auf dem
sich die jeweilige Sitzung befindet. Wenn ein Benutzer mit einer vorhandenen Sitzung eine Verbindung mit
einem Terminalserver in einer Farm mit Lastenausgleich herstellt, leitet TS-Sitzungsbroker den Benutzer an
den Terminalserver um, auf dem die entsprechende Sitzung vorhanden ist. Dadurch wird verhindert, dass
der Benutzer eine Verbindung mit einem anderen Server in der Farm herstellt und eine neue Sitzung startet.
Wenn das TS-Sitzungsbroker-Lastenausgleichsfeature aktiviert ist, verfolgt TS-Sitzungsbroker auch die
Anzahl der Benutzersitzungen auf jedem Terminalserver in der Farm nach und leitet Benutzer um, die über
keine vorhandene Sitzung mit dem Server mit den wenigsten Sitzungen verfügen. Mit dieser Funktionalität
können Sie die Sitzungslast gleichmäßig auf die Server in einer Terminalserverfarm mit Lastenausgleich
verteilen.
Seite 130 von 209
MS 70-649
22.12.2009
183. Sie sind als Organisationsadministrator für das Unternehmen Contoso tätig. Sie betreiben einen SMTPServer auf einem Windows Server 2008 Computer mit dem Namen Server2.
Die Entwicklungsabteilung möchte eine Webanwendung erstellen, in der Benutzer Nachrichten in ein
Formular eingeben und an die E-Mail Adresse [email protected] senden können. Die Anwendung erstellt
aus der Eingabe eine korrekt formatierte Textdatei mit allen erforderlichen SMTP-Headerinformationen.
In welches Verzeichnis sollte die Datei kopiert werden?
A. Mailroot\Delivery
B. Mail\Queue
C. Mailroot\Pickup
D. Mailroot\Queue
Answer: C
Erläuterungen:
Beim Setup werden im Mailrootverzeichnis fünf Standardunterverzeichnisse eingerichtet, um dem Windows
Server 2008-SMTP-Server das Verarbeiten von Nachrichten zu ermöglichen. Vier der Verzeichnisse sind
nachstehend beschrieben: Im Verzeichnis SortTemp, das während des Setups erstellt wird, werden
temporäre Dateien gespeichert. Der Standardspeicherort des Mailrootverzeichnisses lautet
root:\Inetpub\Mailroot. Sie können beim Setup jedoch auch einen anderen Speicherort angeben. Die
Unterverzeichnisse von Mailroot und ihr Inhalt werden im folgendem beschrieben:

Badmail Hierin werden unzustellbare Nachrichten gespeichert, die nicht an den Sender
zurückgesendet werden können.

Drop Hierin werden alle eingehenden Nachrichten für sämtliche Domänen empfangen, die auf dem
Computer gespeichert werden. Sie können jedes beliebige Verzeichnis, das nicht bereits als
Pickupverzeichnis angegeben wurde, als Dropverzeichnis verwenden.

Pickup Hierin werden ausgehende Nachrichten verarbeitet, die als Textdateien erzeugt und in das
Verzeichnis kopiert werden. Sobald eine gemäß RFC (Request for Comments) 2822
ordnungsgemäß formatierte Nachricht in das Pickupverzeichnis kopiert wird, nimmt der SMTPDienst sie auf und leitet die Übermittlung ein.

Queue (Warteschlange) Enthält zu übermittelnde Nachrichten. Wenn eine Nachricht nicht
übermittelt werden kann, weil die Verbindung belegt oder unterbrochen ist, wird sie in einer
Warteschlange gespeichert und in festgelegten Intervallen erneut gesendet.
184. Sie sind als Organisationsadministrator für das Unternehmen Contoso tätig. Sie administrieren einen
Windows Server 2008 Webserver. Der Webserver hostet die Intranetwebsite des Unternehmens. WindowsAuthentifizierung ist die einzige aktivierte Authentifizierungsmethode auf dem Webserver.
Sie müssen ein neues virtuelle Verzeichnis mit dem Namen /Vertrieb erstellen. Auf die Inhalte des neuen
virtuellen Verzeichnisses dürfen ausschließlich die Mitglieder der globalen Gruppe Vertriebsmitarbeiter
zugreifen.
Wie gehen Sie vor?
A. Entfernen Sie die Standard-Zulassungsregel aus der Liste der Autorisierungsregeln des virtuellen
Verzeichnisses Vertrieb.
B. Bearbeiten Sie die Standard-Zulassungsregel für das virtuelle Verzeichnis Vertrieb und aktivieren Sie die
Option Bestimmte Rollen oder Benutzergruppen und tragen Sie die Gruppe Vertriebsmitarbeiter ein.
C. Erstellen Sie eine neue Ablehnungsregel für das virtuelle Verzeichnis Vertrieb und wenden Sie die neue
Regel auf alle anonymen Benutzer an. Entfernen Sie die Standard-Zulassungsregel aus der Liste der
Autorisierungsregeln des virtuellen Verzeichnisses Vertrieb.
D. Bearbeiten Sie die Standard-Zulassungsregel für das virtuelle Verzeichnis Vertrieb und aktivieren Sie die
Option Bestimmte Rollen oder Benutzergruppen und tragen Sie die Gruppe Vertriebsmitarbeiter ein.
Seite 131 von 209
MS 70-649
22.12.2009
Erstellen Sie eine neue Ablehnungsregel für das virtuelle Verzeichnis Vertrieb und wenden Sie die neue
Regel auf alle Benutzer an.
Answer: B
Erläuterungen:
Es gibt zwei Möglichkeiten den Zugriff auf Inhalte von Websites zu autorisieren. Wenn die Site eine
Authentifizierungsmethode zur Identifizierung der Benutzer verwendet, kann einigen Benutzern der Zugriff
mit Autorisierungsregeln gewährt und anderen verweigert werden. Wenn der Zugriff auf der Basis von
Domänenamen oder IP-Adressbereichen autorisiert werden soll, kann mit Regeln zum Einschränken von IPAdressen und Domänen der Zugriff auf einige Domänen gewährt und auf andere verweigert werden. Diese
Regeln können zu einem Autorisierungsschema kombiniert werden, das optimale Sicherheit für Ihre Inhalte
bietet.
einen Windows Server 2008 Webserver mit dem Namen Server1.
Server1 hostet eine Website mit statischen HTML Seiten, Bildern und anderen Inhalten.
Ihr Vorgesetzter bittet Sie die Featureberechtigungen der Handlerzuordnungen zu konfigurieren und
sicherzustellen, dass auf der Website keine unautorisierten Skripte ausgeführt werden können.
Wie gehen Sie vor?
A. Aktivieren Sie die Featureberechtigung Lesen. Deaktivieren Sie die Featureberechtigung Skript.
B. Aktivieren Sie die Featureberechtigungen Lesen, Skript und Ausführen.
C. Aktivieren Sie die Featureberechtigungen Lesen und Ausführen.
D. Aktivieren Sie die Featureberechtigungen Lesen und Skript.
Answer: A
Erläuterungen:
Mithilfe des Dialogfelds Featureberechtigungen bearbeiten kann die Zugriffsrichtlinie konfiguriert werden, die
den Typ der Featurerechte angibt, der für Handler auf Webserver-, Site-, Anwendungs-, Verzeichnis- oder
Dateiebene in IIS zulässig ist. Folgende Featurerechte können Sie in der Zugriffsrichtlinie aktivieren bzw.
deaktivieren: Lesen, Skripts und Ausführen. Die Zugriffsrichtlinie bestimmt zusammen mit der erforderlichen
Zugriffseinstellung eines Handlers, ob ein Handler ausgeführt werden kann. Wenn für einen Handler ein
Featurerechtetyp erforderlich ist, der in der Zugriffsrichtlinie nicht aktiviert ist, wird der Handler deaktiviert
und alle von diesem Handler verarbeitete Anforderungen (auf Grundlage der Handlerzuordnung) schlagen
fehl, sofern nicht ein anderer Handler die Anforderung verarbeiten kann.
Wenn Sie eine Option im Dialogfeld Featureberechtigungen bearbeiten auswählen, wird auf der Seite
Handlerzuordnungen in der Spalte Zustand für die durch die Auswahl aktivierten Handler der Eintrag
Aktiviert angezeigt. Entsprechend wird beim Deaktivieren einer Auswahl im Dialogfeld
Featureberechtigungen bearbeiten auf der Seite Handlerzuordnungen in der Spalte Zustand der Eintrag
Deaktiviert für die durch die Auswahl deaktivierten Handler angezeigt. Sie können eine Vorschau der
aktivierten bzw. deaktivierten Handler anzeigen, indem Sie die Seite Handlerzuordnungen anzeigen und
dann auf OK klicken, um das Dialogfeld Featureberechtigungen bearbeiten zu schließen. Wenn Sie nicht auf
OK, sondern auf Abbrechen klicken, werden die im Dialogfeld vorgenommenen Änderungen nicht
gespeichert.
Folgende Featureberechtigungen können konfiguriert werden:

Lesen - Aktivieren Sie das Kontrollkästchen Lesen, um Handler zu aktivieren, die Leserechte für ein
virtuelles Verzeichnis benötigen. Deaktivieren Sie das Kontrollkästchen Lesen, um Handler zu
deaktivieren, die Leserechte für ein virtuelles Verzeichnis benötigen. Sie sollten Lesen in einer
Zugriffsrichtlinie aktivieren, wenn Sie statische Inhalte bereitstellen oder Standarddokumente und
das Durchsuchen von Verzeichnissen konfigurieren möchten. Standardmäßig sind
Leseberechtigungen aktiviert.
Seite 132 von 209
MS 70-649
22.12.2009

Skripts Aktivieren Sie das Kontrollkästchen Skripts, um Handler zu aktivieren, die Skriptrechte für
ein virtuelles Verzeichnis benötigen. Deaktivieren Sie das Kontrollkästchen Skripts, um Handler zu
deaktivieren, die Leserechte für ein virtuelles Verzeichnis benötigen.

Ausführen Aktivieren Sie das Kontrollkästchen Ausführen, um Handler zu aktivieren, die
Ausführungsrechte für ein virtuelles Verzeichnis benötigen. Deaktivieren Sie das Kontrollkästchen
Ausführen, um Handler zu deaktivieren, die Ausführungsrechte für ein virtuelles Verzeichnis
benötigen. Das Kontrollkästchen Ausführen wird nur aktiviert, wenn das Kontrollkästchen Skripts
ausgewählt wird. Sie sollten Ausführen in einer Zugriffsrichtlinie aktivieren, wenn Sie
zusätzlich zu Skripts die Ausführung ausführbarer Dateien aktivieren möchten, z. B. EXE-, DLL- und COMDateien.
Aus Gründen der Sicherheit und Leistung sollten Sie Ausführungsrechte nur für Programme aktivieren, die
Sie getestet haben und die für die Anwendungen erforderlich sind.
einen Windows Server 2008 Computer mit dem Namen Server1. Server1 führt die Serverrolle Webserver
(IIS) aus.
Ihr Vorgesetzter bittet Sie, eine URL-Autorisierungsregel zu erstellen, die Mitglieder der Rolle Azubis daran
hindert, Websites auf Server1 zu öffnen.
Wie gehen Sie vor?
A. Verwenden Sie den Befehl Appcmd set config /section:authorization /+"[accessType='Deny', users='*']".
B. Verwenden Sie den Befehl Appcmd set config /section:authorization /+"[accessType 'Deny', users='?']".
C. Verwenden Sie den Befehl Appcmd set config /section:authorization /+"[accessType ='Deny',
users='Azubis']".
D. Verwenden Sie den Befehl Appcmd set config /section:authorization /+"[accessType ='Deny',
roles='Azubis']".
Answer: D
Erläuterungen:
Sie können bestimmten Computern, Computergruppen oder Domänen den Zugriff auf Sites, Anwendungen,
Verzeichnisse oder Dateien auf dem Server gewähren oder verweigern. Nehmen wir als Beispiel einen
Intranetserver, der neben Inhalten, die allen Mitarbeitern zur Verfügung stehen sollen, auch Inhalte hostet,
die nur von einer bestimmten Gruppe wie der Finanz- oder Personalabteilung angezeigt werden dürfen.
Durch Konfigurieren von URL-Autorisierungsregeln können Mitarbeiter, die diesen festgelegten Gruppen
nicht angehören, am Zugriff auf eingeschränkte Inhalte gehindert werden.
URL-Autorisierungsregeln können sowohl über die Benutzeroberfläche, als auch mit dem
Befehlzeilenprogramm Appcmd.exe erstellt werden.
mit dem Namen VS1. Auf VS1 ist Microsoft Virtual Server 2005 R2 installiert.
Sie wollen 8 virtuelle Windows Server 2008 Maschinen erstellen. Sie planen mit den virtuellen Servern eine
Active Directory Gesamtstruktur für Testzwecke zu konfigurieren.
Sie stellen fest, dass auf VS1 lediglich noch 30 GB freier Festplattenspeicher zur Verfügung steht.
Sie müssen die 8 neuen Server auf VS1 installieren.
Wie gehen Sie vor? (Die Liste der verfügbaren Aktionen wird in der Abbildung dargestellt. Klicken Sie auf die
Schaltfläche Zeichnung. Ordnen Sie die notwendigen Aktionen in der richtigen Reihenfolge an.)
Seite 133 von 209
MS 70-649
22.12.2009
A. Schritt 6 Schritt 1
B. Schritt 4 Schritt 1 Schritt 3 Schritt 5
C. Schritt 4 Schritt 2 Schritt 1 Schritt 3 Schritt 5
D. Schritt 3 Schritt 5 Schritt 1
Answer: B
Erläuterungen:
Eine virtuelle Festplatte stellt Speicher für einen virtuellen Computer bereit. Innerhalb des virtuellen
Computers wird die virtuelle Festplatte als physikalische Festplatte dargestellt und vom virtuellen Computer
verwendet, als wäre sie eine physikalische Festplatte. Technisch gesehen handelt es sich bei der virtuellen
Festplatte um eine Datei, die sich auf einer physikalischen Festplatte befindet, auf die das
Hostbetriebssystem zugreifen kann. Die Datei der virtuellen Festplatte wird als VHD-Datei auf der
physikalischen Festplatte gespeichert. Generell gilt, dass Sie eine VHD-Datei auf jeder Art von
Speichergerät speichern können, solange das Hostbetriebssystem auf das Speichergerät zugreifen kann. Ist
das Gerät für das Hostbetriebssystem verfügbar, ist es auch für Virtual Server 2005 und infolgedessen für
alle virtuellen Computer verfügbar. Beispielsweise können Sie die folgenden Speicherarten verwenden:




IDE-Laufwerk
SCSI-Laufwerk
RAID
Storage Area Network (SAN)
Innerhalb eines virtuellen Computers besteht kein direkter Zugriff auf die physikalische Festplatte, auf der die
vom virtuellen Computer als virtuelle Festplatte verwendete VHD-Datei gespeichert ist. Dies bedeutet, dass
Sie auf dem virtuellen Computer nicht auf Informationen zur physikalischen Festplatte zugreifen können.
Seite 134 von 209
MS 70-649
22.12.2009
Beispielsweise können auf einem virtuellen Computer keine Format- und Bezeichnungsinformationen zu
einer physikalischen Festplatte abgerufen werden.
Informationen zu Datenträgern mit fester Größe
Bei einer virtuellen Festplatte mit fester Größe handelt es sich um eine VHD-Datei, deren Größe bei der
Erstellung der Datei bestimmt wird. Selbst wenn die Menge der in der Datei gespeicherten Daten geändert
wird, bleibt die Größe der VHD-Datei fest. Wenn Sie z. B. eine virtuelle Festplatte mit einer festen Größe von
1 GB erstellen, wird eine VHD-Datei mit einer Größe von 1 GB von Virtual Server erstellt.
Die Größe einer virtuellen Festplatte mit fester Größe wird nicht geändert, da der gesamte Speicherplatz, der
auf einer virtuellen Festplatte mit fester Größe verfügbar ist, beim Erstellen der virtuellen Festplatte reserviert
wird. Die Datei verwendet die größtmögliche Menge von zusammenhängenden Speicherplatz, der auf der
physikalischen Festplatte, auf der die VHD-Datei gespeichert ist, verfügbar ist. Der reservierte Speicherplatz
wird nach Bedarf gefüllt, wenn Daten auf die Festplatte geschrieben werden. Die Wahrscheinlichkeit, dass
der Speicherplatz auf einem Datenträger mit fester Größe zusammenhängend ist, ist größer als bei einem
dynamisch erweiterbaren Datenträger. Daher stellen Datenträger mit fester Größe im Allgemeinen eine
bessere Leistung bereit. Außerdem muss die Dateigröße einer virtuellen Festplatte mit fester Größe nicht
erweitert werden, bevor Daten in die Datei geschrieben werden, wodurch ebenfalls die Leistung verbessert
wird.
Informationen zu dynamisch erweiterbaren Datenträgern
Bei einer dynamisch erweiterbaren virtuellen Festplatte handelt es sich um eine Festplatte, bei der die VHDDatei vergrößert wird, wenn Daten auf die virtuelle Festplatte geschrieben werden. Dies ist der Standardtyp
der von Virtual Server erstellten virtuellen Festplatten.
Beim Erstellen einer dynamisch erweiterbaren virtuellen Festplatte geben Sie eine maximale Dateigröße an.
Diese Größe schränkt ein, wie groß die Festplatte werden kann. Die Anfangsgröße der VHD-Datei beträgt
jedoch nur ca. 3 MB. Wenn Sie z. B. eine dynamisch erweiterbare virtuelle Festplatte mit einer Größe von 1
GB erstellen, beträgt die Anfangsgröße der VHD-Datei ca. 3 MB. Wenn ein virtueller Computer die virtuelle
Festplatte verwendet, wächst die Größe der VHD-Datei, um die neuen Daten aufzunehmen. Die Größe
eines dynamisch erweiterbaren Datenträgers wächst nur. Sie wird nicht verkleinert, auch dann nicht, wenn
Sie Daten löschen. Möglicherweise können Sie die Größe eines dynamisch erweiterbaren Datenträgers
reduzieren, indem Sie ihn komprimieren.
Es könnte eine Situation auftreten, in der Virtual Server nicht in der Lage ist, die virtuelle Festplatte auf die
maximale Größe zu erweitern. Dieses Problem tritt auf, wenn auf der physikalischen Festplatte, auf der die
VHD-Datei gespeichert ist, nicht genügend freier Speicherplatz vorhanden ist. Virtual Server überwacht den
freien Speicherplatz auf der physikalischen Festplatte. Wenn der dynamisch erweiterbare Datenträger
beginnt, sich den Grenzen des verbleibenden verfügbaren Speicherplatzes auf dem Volume, auf dem die
Datei der virtuellen Festplatte gespeichert ist, anzunähern, hält Virtual Server den virtuellen Computer an
und schreibt einen Fehler in das Ereignisprotokoll von Virtual Server.
Informationen zu verknüpften Datenträgern
Bei einer verknüpften virtuellen Festplatte handelt es sich um eine virtuelle Festplatte, die auf einen ganzen
physikalischen Datenträger zeigt und diesen verwendet, um einen physikalischen Datenträger in eine
virtuelle Festplatte zu konvertieren. Ein verknüpfter Datenträger kann nur einem Laufwerk zugeordnet
werden. Er kann nicht einem Volume zugeordnet werden. Da verknüpfte Datenträger nur zur Konvertierung
vorgesehen sind, können Sie einen virtuellen Computer nicht einschalten, wenn dem virtuellen Computer ein
verknüpfter Datenträger zugeordnet ist.
Informationen zu Rückgängig-Datenträgern und differenzierenden Datenträgern
Auf Rückgängig-Datenträgern und differenzierenden Datenträgern werden alle Zustandsänderungen eines
virtuellen Computers oder einer virtuellen Festplatte in einer separaten Datei gespeichert. Dies ermöglicht es
Ihnen, Änderungen an einem virtuellen Computer zu isolieren und eine virtuelle Festplatte in einem
unveränderten Zustand zu belassen. Der Hauptunterschied zwischen einem Rückgängig-Datenträger und
einem differenzierenden Datenträger besteht darin, dass Rückgängig-Datenträger für alle einem virtuellen
Computer zugeordneten virtuellen Festplatten gelten und ein differenzierender Datenträger nur für eine
virtuelle Festplatte gilt.
Sie können für beide Datenträgertypen keine Größe angeben. Beide Datenträgertypen können als spezieller
Typ von dynamisch erweiterbaren Datenträgern betrachtet werden. Die Größe eines dynamisch
erweiterbaren Datenträgers wächst nur. Sie wird nicht verkleinert, auch dann nicht, wenn Sie Daten löschen.
Rückgängig-Datenträger und differenzierende Datenträger können so groß werden wie die übergeordneten
Datenträger, denen sie zugeordnet sind. Anders als dynamisch erweiterbare Datenträger können
Rückgängig-Datenträger und differenzierende Datenträger jedoch nicht direkt komprimiert werden. Sie
Seite 135 von 209
MS 70-649
22.12.2009
können den übergeordneten Datenträger mit den auf dem Rückgängig-Datenträger oder differenzierenden
Datenträger gespeicherten Änderungen aktualisieren. Anschließend können Sie den übergeordneten
Datenträger komprimieren, falls es sich bei ihm um einen dynamisch erweiterbaren Datenträger handelt.
Wenn es sich bei dem übergeordneten Datenträger um einen Datenträger mit fester Größe handelt, können
Sie ihn komprimieren, indem Sie ihn in einen dynamisch erweiterbaren Datenträger konvertieren und dann
den konvertierten Datenträger komprimieren.
188. Sie sind als Organisationsadministrator für das Unternehmen Contoso tätig. Auf allen Servercomputern
im Firmennetzwerk ist das Betriebssystem Windows Server 2008 installiert. Auf einem Server mit dem
Namen Server2 ist die Rolle Webserver (IIS) installiert.
Server2 hostet eine Webanwendung mit dem Namen App1. Aufgrund geänderter Anforderungen führen Sie
einige Konfigurationsänderungen an App1 durch. Nach den Änderungen, berichten Benutzer, dass die
Anwendung nicht mehr funktioniert.
Um das Problem zu diagnostizieren, überprüfen Sie die Ereignisanzeige und ermitteln die Fehlermeldung
503 Service unavailable.
Sie müssen sicherstellen, dass die Benutzer sich erfolgreich mit der Anwendung App1 auf Server2
verbinden können.
Wie gehen Sie vor?
A. Führen Sie den Befehl Appcmd.exe Stop Apppool aus.
B. Führen Sie den Befehl Appcmd.exe Set Config aus.
C. Führen Sie den Befehl Appcmd.exe Start Apppool aus.
D. Führen Sie den Befehl Appcmd.exe Set Apppool aus.
Answer: C
Erläuterungen:
Vermutlich ist der Anwendungspool nach der Rekonfiguration nicht gestartet. Die Fehlermeldung 503
Service unavailable ist bei einer ASP.Net Anwendung in den allermeisten Fällen auf einen beendeten
Anwendungspool zurückzuführen.
189. Sie sind als Organisationsadministrator für das Unternehmen Contoso tätig. Sie administrieren einen
Windows Server 2008 Computer, auf dem die Serverrolle Hyper-V installiert ist. Sie erstellen einen neuen
virtuellen Computer.
Sie müssen den neuen virtuellen Computer so konfigurieren, dass die folgenden Anforderungen erfüllt
werden:


Die Netzwerkkommunikation darf nur zwischen der virtuellen Maschine und dem Hostsystem
zugelassen werden.
Die Kommunikation mit anderen Servercomputern im Firmennetzwerk muss verhindert werden.
Wie gehen Sie vor?
A. Installieren Sie den Microsoft Loopback Adpater.
B. Erstellen Sie ein neues virtuelles Netzwerk.
C. Aktivieren Sie die Internetverbindungsfreigabe (Internet Connection Sharing, ICS).
D. Konfigurieren Sie die Option Netzwerk des virtuellen Computers mit Nicht verbunden.
Answer: B
Erläuterungen:
Der Manager für virtuelle Netzwerke ermöglicht das Erstellen und Verwalten virtueller Netzwerke (Switche).
Die Netzwerkkarten der virtuellen Computer können anschließend mit einem der konfigurierten virtuellen
Netzwerke verbunden werden.
Seite 136 von 209
MS 70-649
22.12.2009
Nachstehend werden die verfügbaren Einstellungen im Manager für virtuelle Netzwerke beschrieben:

Extern Erstellt eine Verbindung mit einem physikalischen Netzwerkadapter, sodass virtuelle
Computer auf ein physikalisches Netzwerk zugreifen können.
Die Einstellung Gemeinsames Verwenden dieses Netzwerkadapters für das
Verwaltungsbetriebssystem zulassen bestimmt, ob dieser physikalische Netzwerkadapter für den
Zugriff auf das Verwaltungsbetriebssystem verwendet werden kann - das Betriebssystem, auf dem
die Hyper-V-Rolle ausgeführt wird. Mit dieser Option können Sie das Verwaltungsbetriebssystem
von der Kommunikation zwischen virtuellen Computern und anderen Computern in einem
physikalischen Netzwerk isolieren. Dies bedeutet jedoch auch, dass eine Remoteverbindung mit
dem Verwaltungsbetriebssystem über diesen physikalischen Netzwerkadapter nicht möglich ist,
wenn diese Option deaktiviert ist.

Intern Stellt die Kommunikation zwischen dem Verwaltungsbetriebssystem und virtuellen
Computern bereit.

Privat Stellt die Kommunikation nur zwischen virtuellen Computern bereit.

Identifizierung virtueller LANs aktivieren Mit dieser Einstellung legen Sie eine
Identifikationsnummer fest, mit deren Hilfe Netzwerkdatenverkehr vom Verwaltungsbetriebssystem
isoliert werden kann. Der physikalische Netzwerkadapter muss die Konfiguration eines virtuellen
LAN unterstützen.

MAC-Adressbereich Diese Einstellung ermöglicht Ihnen die Angabe eines Bereichs von Adressen,
die bei der Zuweisung von dynamischen MAC-Adressen zu virtuellen Computern verwendet werden.
Dadurch vermeiden Sie Konflikte, die auftreten können, wenn mehrere physikalische Computer mit
Hyper-V dasselbe Subnetz verwenden und dieselbe MAC-Adresse mehreren, mit diesem
physikalischen Subnetz kommunizierenden virtuellen Computern zugewiesen ist. Dynamische MACAdressen werden von Hyper-V unter Verwendung eines Standardbereichs zugewiesen, der bei allen
Hyper-V-Installationen identisch ist. Sie können diese Einstellung verwenden, um diesen
Standardbereich in "Unterbereiche" zu unterteilen und jedem der physikalischen Computer mit
Hyper-V einen anderen Unterbereich zuzuweisen.
190. Sie sind Administrator bei Contoso. Sie müssen den Befehl für das Aufrufen des Assistenten zum
Installieren der Active Directory-Domänendienste (AD DS) identifizieren.
Welcher der nachstehenden Befehle wird verwendet, um den Assistenten zum Installieren der Active
Directory-Domänendienste zu starten?
A. Domaininstall.exe
B. Domainupgrade.exe
C. Dconfig.exe
D. Dcinstall.exe
E. Dcpromo.exe
Answer: E
Erläuterungen:
Der Name des Befehlszeilenprogramms für das Installieren und Entfernen der Active DirectoryDomänendineste (AD DS) lautet Dcpromo.exe.
Syntax
dcpromo [/Answer[:] | /unattend[:] | /unattend | /adv] /uninstallBinaries [/CreateDCAccount |
/UseExistingAccount:Attach] /? /?[:{Promotion | CreateDCAccount | UseExistingAccount | Demotion}]
/Answer[:]
Seite 137 von 209
MS 70-649
22.12.2009
Gibt eine Antwortdatei mit Wertparametern für die Installation an.
/unattend[:]
Gibt eine Antwortdatei mit Wertparametern für die Installation an. Entspricht der Option /Answer[:].
/unattend
Führt eine unbeaufsichtigte Installation durch, bei der Installationsparameter und Werte in der Befehlszeile
übermittelt werden.
/adv
Führt eine Installation von einem Installationsmedium (IFM) durch.
/UninstallBinaries
Deinstalliert die Binärdateien der Active Directory-Domänendienste (AD DS).
/CreateDCAccount
Erstellt ein Konto für einen schreibgeschützten Domänencontroller (RODC). Der Befehl kann nur von einem
Mitglied der Gruppe Doänen-Admin oder der Gruppe Organisations-Admins ausgeführt werden.
/UseExistingAccount:Attach
Verbindet einen Server mit einem bestehenden Computerkonto für einen schreibgeschützten
Domänencontroller (RODC).
/?
Ruft Hilfeinformationen ab.
Sie wollen einen Domänencontroller aus der Active Directory Domäne entfernen.
Wie gehen Sie vor?
A. Verwenden Sie den Assistenten zum Installieren der Active Directory-Domänendienste, um den
Domänencontroller zu demoten.
B. Verwenden Sie den Befehl Dcpromo /Remove.
C. Führen Sie eine Neuinstallation des Servers über die bestehende Installation durch und konfigurieren Sie
den Server anschließend als Mitglied einer Arbeitsgruppe.
D. Führen Sie eine Neuinstallation des Servers über die bestehende Installation durch und konfigurieren Sie
den Server anschließend als Mitglied der Domäne.
Answer: A
Erläuterungen:
Der Assistent zum Installieren der Active Directory-Domänendienste wird sowohl für das promoten
(heraufstufen) eines Servers zum Domänencontroller als auch für das demoten (herabstufen) eines
Domänencontrollers zum Mitgliedsserver verwendet. Der Assistent entfernt das Active Directory und
aktualisiert die Informationen der Domäne.
Für den Fall, dass die Domäne nicht aktualisiert werden kann, entfernt der Aufruf des Assistenten über den
Befehl Dcpromo /forceremoval das Active Directory ohne die übrige Umgebung darüber zu informieren.
Computerkonten, DNS Einträge und Standortverbindungen müssen in dem Fall manuell aus dem Active
Directory entfernt werden.
Seite 138 von 209
MS 70-649
22.12.2009
Gesamtstruktur mit einer Domäne. Der Name der Active Directory Domäne lautet Contoso.de. Das
Unternehmen hat kürzlich den Dienstleister TrainCert übernommen.
Sie müssen die Infrastruktur für das übernommene Unternehmen in die bestehende Gesamtstruktur
integrieren. Die Domäne für TrainCert soll neu erstellt und einen eigenen Namensraum neben dem der
bestehenden Stammdomäne erhalten.
Wie gehen Sie vor?
A. Erstellen Sie die neue Domäne in einer neuen Gesamtstruktur.
B. Erstellen Sie die neue Domäne als neue Domäne in der bestehenden Gesamtstruktur.
C. Erstellen Sie eine neue sekundäre DNS Zone für die bestehende Domäne.
D. Erstellen Sie in DNS einen Aliasnamen (CName) für die neue Domäne, um die Übersetzung von Namen
zu ermöglichen.
Answer: B
Erläuterungen:
Die einzige Anforderung lautet, dass die neue Domäne einen eigenen Namensraum wie beispielsweise
traincert.de neben dem bestehenden Namensraum der Stammdomäne (Contoso.de) erhält. Wir können die
neue Domäne zu diesem Zweck in einer neuen Gesamtstruktur erstellen, oder eine neue Domänenstruktur
in der bestehenden Gesamtstruktur erstellen. Aus Gründen einer einheitlichen und leichteren Verwaltung ist
die letztere Vorgehensweise vorzuziehen.
193. Sie sind Administrator bei Contoso. Sie planen die Active Directory Domäne des Unternehmens und
müssen die Domänenfunktionsebene bestimmen.
Welche Domänenfunktionsebene müssen Sie verwenden, damit Domänencontroller mit den
Betriebssystemen Windows 2000 Server, Windows Server 2003 und Windows Server 2008 eingesetzt
werden können?
A. Windows 2000 pur
B. Windows Server 2003
C. Windows Server 2008
D. Windows Server 2008 R2
Answer: A
Erläuterungen:
Mit der Domänenfunktionalität werden Features aktiviert, die die gesamte Domäne, jedoch nur diese eine
Domäne, betreffen. In AD DS von Windows Server 2008 R2 sind vier Domänenfunktionsebenen verfügbar:
Windows 2000 pur, Windows Server 2003 (Standard), Windows Server 2008 und Windows Server 2008 R2.
In der folgenden Überswicht werden die Domänenfunktionsebenen und die entsprechenden unterstützten
Domänencontroller aufgelistet:
Windows 2000 pur




Windows 2000 Server
Windows Server 2003
Windows Server 2008
Windows Server 2008 R2
Windows Server 2003

Windows Server 2003
Seite 139 von 209


MS 70-649
22.12.2009
Windows Server 2008
Windows Server 2008


Windows Server 2008

Nachdem die Domänenfunktionsebene heraufgestuft wurde, können Domänencontroller unter früheren
Betriebssystemen nicht in der Domäne verwendet werden. Wenn Sie die Domänenfunktionsebene
beispielsweise auf Windows Server 2008 R2 heraufstufen, können der Domäne keine Domänencontroller
unter Windows Server 2008 hinzugefügt werden.
Sie haben einen neuen Windows Server 2008 Domänencontroller installiert und müssen die
domänenlokalen Gruppen identifizieren, die standardmäßig erstellt werden.
Welches der nachstehenden Gruppenkonten wird nicht standardmäßig erstellt?
A. Remoteadministratoren
B. Administratoren
C. Sicherungs-Operatoren
D. Druck-Operatoren
E. Gäste
F. Benutzer
Answer: A
Erläuterungen:
Standardgruppen wie die Gruppe Domänen-Admins stellen Sicherheitsgruppen dar, die automatisch erstellt
werden, wenn Sie eine Active Directory-Domäne erstellen. Sie können diese vordefinierten Gruppen
verwenden, um den Zugriff auf freigegebene Ressourcen zu steuern und bestimmte domänenweite
Verwaltungsrollen zu delegieren.
Vielen Standardgruppen werden automatisch Benutzerrechte zugewiesen, mit denen die Mitglieder der
Gruppe autorisiert werden, bestimmte Aktionen in einer Domäne auszuführen, beispielsweise die
Anmeldung in einem lokalen System oder das Sichern von Dateien und Ordnern. Beispielsweise hat ein
Mitglied der Gruppe Sicherungsoperatoren das Recht, Sicherungsvorgänge für alle Domänencontroller in
der Domäne auszuführen.
Wenn Sie einer Gruppe einen Benutzer hinzufügen, erhält der Benutzer folgende Berechtigungen:


•Alle der Gruppe zugewiesenen Benutzerrechte
•Alle Berechtigungen, die der Gruppe für alle freigegebenen Ressourcen zugewiesen sind
Die Standardgruppen befinden sich im Container Vordefiniert und im Container Benutzer. Die
Standardgruppen im Container Vordefiniert besitzen den Gruppenbereich Lokal (vordefiniert).
Seite 140 von 209
MS 70-649
22.12.2009
Gruppenbereich und Gruppentyp können nicht geändert werden. Der Container Benutzer enthält Gruppen,
die mit dem globalen Bereich definiert werden, und Gruppen, die mit dem lokalen Domänenbereich definiert
werden. Sie können Gruppen, die sich in diesen Containern befinden, in andere Gruppen oder OUs
innerhalb der Domäne verschieben, Sie können sie jedoch nicht in andere Domänen verschieben.
Das Unternehmen beginnt, wichtige Informationen zu den insgesamt 350 Mitarbeitern im Active Directory zu
speichern. Die Mehrzahl der benötigten Felder sind bereits im Standardschema des Active Directory
enthalten. Sie benötigen jedoch noch ein zusätzliches Feld, um einen Reputationswert für den Mitarbeiter zu
speichern.
Sie wollen von der Erweiterbarkeit des Active Directory profitieren und das Feld als Attribut des
Benutzerobjektes ergänzen.
Auf welchem der folgenden Server können Sie die geplanten Änderungen durchführen?
A. Auf jedem beliebigen Domänencontroller.
B. Auf jedem beliebigen Mitgliedsserver.
C. Auf dem Domänencontroller mit der Betriebsmasterrolle Schemamaster.
D. Auf einem globalen Katalogserver.
Answer: C
Erläuterungen:
Änderungen am Schema des Active Directory können ausschließlich auf dem Schemamaster der
Gesamtstruktur durchgeführt werden.
Sie müssen die logische Struktur des Active Directory neu planen und gestalten.
Welches der nachstehenden Objekte werden Sie zu diesem Zweck verwenden?
A. Benutzer
B. Standorte
C. Organisationseinheiten (OUs)
D. Bäume
Answer: C
Erläuterungen:
Active Directory ermöglicht es, ein Netzwerk entsprechend der realen Struktur des Unternehmens oder
seiner räumlichen Verteilung zu gliedern. Dazu verwaltet es verschiedene Objekte in einem Netzwerk wie
beispielsweise Benutzer, Gruppen, Computer, Dienste, Server, Dateifreigaben und andere Geräte wie
Drucker und Scanner und deren Eigenschaften. Mit Hilfe von Active Directory kann ein Administrator die
Informationen der Objekte organisieren, bereitstellen und überwachen.
Wald (forest)
Die gesamte hierarchische Struktur heißt „Wald“ (forest) oder auch Gesamtstruktur; eine Ansammlung aller
Objekte, deren Attribute, Regeln und Container in dem Verzeichnis abgelegt werden. Der Wald verwaltet
einen oder mehrere transitiv verknüpfte Bäume (trees). Ein Baum verwaltet eine oder mehrere Domänen,
welche wiederum transitiv in der Hierarchie miteinander verknüpft sind. Domänen werden nach den Regeln
des DNS-Systems benannt, dem „Namensraum“ (Namespace).
Organisationseinheiten
Eine Organisationseinheit (OU) ist ein Containerobjekt, das zum Gruppieren anderer Objekte im AD dient.
Eine OU kann neben Objekten auch andere OUs enthalten. Die frei definierbare Hierarchie der OUs
Seite 141 von 209
MS 70-649
22.12.2009
vereinfacht die Administration von Active Directory. In der Regel richtet sie sich nach den Netzwerkstrukturen
(Netzwerkverwaltungsmodell) oder nach der Organisationsstruktur des Unternehmens. Die OUs sind die
unterste Ebene von Active Directory, in der administrative Rechte aufgeteilt werden können.
Standort
Eine Möglichkeit der Unterteilung ist ein Standort. Dieser stellt eine physikalische Gruppierung eines oder
mehrerer logischer IP-Unternetze dar.
Standorte zeichnen sich durch die Verbindung zwischen langsamen Netzwerken wie zum Beispiel WAN
oder VPN einerseits und schnellen Netzwerken wie zum Beispiel LAN andererseits aus. Domänen können
Standorte enthalten und Standorte können Domänen beinhalten. Dies ist wichtig für die Kontrolle des
Netzwerkverkehrs der durch Replikationsvorgänge entsteht.
Sie möchten die Abteilungen des Unternehmens im Active Directory organisieren. Beispielsweise möchten
Sie die Ressourcen der Buchhaltungsabteilung von den Ressourcen der Vertriebsabteilung trennen.
Wie gehen Sie vor, um ein System zur Organisation und Unterteilung der Ressourcen im Active Directory zu
erstellen?
A. Verwenden Sie Organisationseinheiten (OUs).
B. Verwenden Sie Benutzer- und Gruppenkonten.
C. Verwenden Sie die Konsole Active Directory-Standorte und -Dienste und gruppieren Sie die bestehenden
Subnetzobjekte.
D. Verwenden Sie Container.
Answer: A
Erläuterungen:
Eine Organisationseinheit (OU) ist ein spezielles Containerobjekt, das zum Gruppieren anderer Objekte im
AD dient. Eine OU kann neben Objekten auch andere OUs enthalten. Die frei definierbare Hierarchie der
OUs vereinfacht die Administration von Active Directory. In der Regel richtet sie sich nach den
Netzwerkstrukturen (Netzwerkverwaltungsmodell) oder nach der Organisationsstruktur des Unternehmens.
Die OUs sind die unterste Ebene von Active Directory, in der administrative Rechte aufgeteilt werden
können.
Gruppenrichtlinienobjekte können mit Organisationseinheiten nicht aber mit Containern verknüpft werden.
Container haben eigenes Symbol, das sich leicht von dem Symbol der Organisationseinheiten unterscheidet
und können nicht manuell erstellt werden. Die Container Builtin, Computers, ForeignSecurityPrincipals,
Managed Service Accounts und Users werden standardmäßig bei der Installation des Active Directory
erstellt.
Sie planen die autorisierende Wiederherstellung des Active Directory.
Was wird mit der Replik des Active Directory auf anderen Domänencontrollern derselben Domäne
geschehen, wenn Sie die gesamte Active Directory Datenbank autorisierend wiederherstellen?
A. Die Replik des Active Directory auf anderen Domänencontrollern wird überschrieben.
B. Die Informationen aller Domänencontroller werden zusammengeführt.
C. Andere Domänencontroller werden automatisch heruntergestuft (demoted).
D. Die Replik des Active Directory auf dem wiederhergestellten Domänencontroller wird überschrieben.
Answer: A
Erläuterungen:
Seite 142 von 209
MS 70-649
22.12.2009
Bei der autorisierenden Wiederherstellung der gesamten Active Directory Datenbank wird das komplette
Active Directory als autorisierend für die Wiederherstellung gekennzeichnet. Dabei wird die USN (Unique
Sequence Number) aller Objekte künstlich erhöht. Bei der folgenden Replikation werden die Objekte anderer
Domänencontroller als veraltet erkannt und folglich überschrieben.
Einen Artikel zum Thema Sichern und wiederherstellen von Active Directory-Domänendienste (AD DS)
finden Sie unter der Adresse:
http://community.Contoso.de/blogs/mg/archive/2009/03/09/sichern-und-wiederherstellen-von-activedirectory-dom-228-nendienste-ad-ds.aspx
Domäne mit dem Namen Contoso.de. Die Domäne umfasst mehr als 45 Domänencontroller.
Wie wird der Vorgang der Konvertierung eines Windows Server 2008 Computers in einen
Domänencontroller bezeichnet?
A. Advertising
B. Reinstallation
C. Promotion
D. Concersion
E. Demotion
Answer: C
Erläuterungen:
Der Fachbegriff für das Heraufstufen eines Windows Server 2008 Domänencontrollers lautet Promotion. Das
Herunterstufen wird entsprechend als Demotion bezeichnet.
Mit Windows Server 2008 ist es erstmals möglich die Active Directory Binärdateien zu installieren, ohne den
Server dabei gleichzeitig zu einem Domänencontroller heraufzustufen. Für die Promotion und die Demotion
wird der Assistent zum Installieren der Active Directory Domänendienste (AD DS) (Dcpromo.exe) verwendet.
Answer:
des Unternehmens befindet sich in Dresden. Auf allen Servercomputern ist das Betriebssystem Windows
Sie konfigurieren einen neuen Server mit dem Namen Server1 als DHCP-Server für das Netzwerk.
Später berichten ihnen die Benutzer, dass ihre Computer keine IP-Adressen von Server1 erhalten.
Stattdessen werden ihre Computer mit Adressen aus dem Bereich 169.168.x.x konfiguriert.
Sie stellen fest, dass der DHCP-Serverdienst auf Server1 angehalten ist. Sie vergewissern sich, dass die
Einstellungen für den Adressbereich korrekt konfiguriert sind.
Sie müssen sicherstellen, dass der DHCP-Serverdienst auf Server1 nicht angehalten wird und dass die
Clientcomputer ihre TCP/IP Konfiguration über den Server erhalten können.
Wie gehen Sie vor?
A. Führen Sie einen Neustart von Server1 durch.
B. Autorisieren Sie Server1 für die Verteilung von IP-Adressen an Clientcomputer.
C. Rekonfigurieren Sie Server1 und stellen Sie sicher, dass korrekte DNS-Einstellungen an die
Clientcomputer vergeben werden.
D. Führen Sie einen Neustart des DHCP-Serverdienstes von Server1 durch.
E. Konfigurieren Sie einen Adressbereich auf Server1.
Answer: B
Seite 143 von 209
MS 70-649
22.12.2009
Erläuterungen:
Es ist wahrscheinlich, dass Server1 noch kein Mitglied der Domäne ist und der DHCP-Server daher auch
nicht in Active Directory-Domänendienste autorisiert ist. Unter diesen Umständen wird der DHCPServerdienst auf einem Mitgliedsserver automatisch angehalten und so von der Adressverteilung
abgehalten.
Unter Windows Server 2008 wird der DHCP-Serverdienst in Active Directory integriert, damit DHCP-Server
autorisiert werden können. Durch Zuweisung falscher Adressen oder Konfigurationsoptionen kann ein nicht
autorisierter DHCP-Server in einem Netzwerk Netzwerkvorgänge unterbrechen. Ein DHCP-Server, der ein
Domänencontroller oder Mitglied einer Active Directory-Domäne ist, fragt die Liste autorisierter Server
(identifiziert durch die IP-Adresse) von Active Directory ab. Wenn die IP-Adresse des Servers nicht in der
Liste autorisierter DHCP-Server aufgeführt ist, schließt der DHCP-Serverdienst seine Startsequenz nicht ab
und fährt automatisch herunter.
Das ist ein häufiges Problem von Netzwerkadministratoren, die versuchen, einen DHCP-Server in einer
Active Directory-Umgebung zu installieren und konfigurieren, ohne den Server vorher zu autorisieren.
Bei einem DHCP-Server, der kein Mitglied der Active Directory-Domäne ist, sendet der DHCP-Serverdienst
die Broadcastmeldung DHCPInform, um Informationen zur Active Directory-Stammdomäne anzufordern, in
der andere DHCP-Server installiert und konfiguriert sind. Die anderen DHCP-Server im Netzwerk antworten
mit der Nachricht DHCPAck, die Informationen enthält, die vom abfragenden DHCP-Server verwendet
werden, um die Active Directory-Stammdomäne zu suchen. Der startende DHCP-Server sucht dann in
Active Directory nach einer Liste mit autorisierten DHCP-Servern und startet den DHCP-Serverdienst nur,
wenn seine eigene Adresse in der Liste aufgeführt ist.
Funktionsweise der Autorisierung
Der Autorisierungsvorgang für DHCP-Servercomputer hängt von der installierten Rolle des Servers im
Netzwerk ab. Es gibt drei Rollen oder Servertypen, für die jeder Servercomputer eingerichtet werden kann:

Domänencontroller – Der Computer behält eine Kopie der Active Directory-Datenbank und bietet
Domänenmitgliedern und -computern eine sichere Kontoverwaltung.

Mitgliedsserver – Der Computer wird nicht als Domänencontroller verwendet, gehört jedoch zu
einer Domäne und verfügt dort über ein Mitgliedskonto in der Active Directory-Datenbank.

Eigenständiger Server – Der Computer wird nicht als Domänencontroller oder Mitgliedsserver in
einer Domäne verwendet. Stattdessen wird der Servercomputer über den Namen einer speziellen
Arbeitsgruppe im Netzwerk angezeigt, der auch andere Computer angehören können. Er wird
jedoch nur für das Durchsuchen von Computern verwendet und bietet keinen gesicherten
Anmeldezugriff auf freigegebene Domänenressourcen.
Wenn Sie Active Directory bereitstellen, müssen alle als DHCP-Server verwendeten Computer entweder
Domänencontroller oder Domänenmitgliedsserver sein, bevor sie autorisiert werden können und DHCPDienste für Clients bereitstellen.
Sie können einen eigenständigen Server, auch wenn es nicht empfohlen wird, als DHCP-Server verwenden,
solange sich dieser nicht in einem Subnetz mit autorisierten DHCP-Servern befindet. Wenn ein
eigenständiger DHCP-Server einen autorisierten Server im gleichen Subnetz entdeckt, stoppt dieser
automatisch das Leasing von IP-Adressen an DHCP-Clients.
des Unternehmens befindet sich in München. Auf allen Servercomputern ist das Betriebssystem Windows
Sie planen die Installation eines neuen Servers mit dem Namen Server1. Der neue Server soll die
Serverrolle DHCP-Server ausführen und IP-Adresskonfigurationen für Clientcomputer im Netzwerk
bereitstellen.
Sie müssen Server1 konfigurieren und sicherstellen, dass der DHCP-Serverdienst automatisch autorisiert
Seite 144 von 209
MS 70-649
22.12.2009
wird.
Wie gehen Sie vor?
A. Konfigurieren Sie Server1 als Domänencontroller, bevor Sie die Rolle DHCP-Server installieren.
B. Konfigurieren Sie Server1 als Mitgliedsserver und legen Sie in den DHCP-Serveroptionen einen
Domänencontroller als DNS-Server fest.
C. Konfigurieren Sie Server1 als eigenständigen Server, bevor Sie die Rolle DHCP-Server installieren.
D. Konfigurieren Sie Server1 als Mitgliedsserver, bevor Sie die Rolle DHCP-Server installieren.
Answer: A
Erläuterungen:
Der DHCP-Serverdienst wird bei der Installation auf einem Windows Server 2008 Domänencontroller
automatisch autorisiert.
Autorisieren von DHCP-Servern in AD DS
Unter Windows Server 2008 wird der DHCP-Serverdienst in Active Directory integriert, damit DHCP-Server
autorisiert werden können. Durch Zuweisung falscher Adressen oder Konfigurationsoptionen kann ein nicht
autorisierter DHCP-Server in einem Netzwerk Netzwerkvorgänge unterbrechen. Ein DHCP-Server, der ein
Domänencontroller oder Mitglied einer Active Directory-Domäne ist, fragt die Liste autorisierter Server
(identifiziert durch die IP-Adresse) von Active Directory ab. Wenn die IP-Adresse des Servers nicht in der
Liste autorisierter DHCP-Server aufgeführt ist, schließt der DHCP-Serverdienst seine Startsequenz nicht ab
und fährt automatisch herunter.
Das ist ein häufiges Problem von Netzwerkadministratoren, die versuchen, einen DHCP-Server in einer
Active Directory-Umgebung zu installieren und konfigurieren, ohne den Server vorher zu autorisieren.
Bei einem DHCP-Server, der kein Mitglied der Active Directory-Domäne ist, sendet der DHCP-Serverdienst
die Broadcastmeldung DHCPInform, um Informationen zur Active Directory-Stammdomäne anzufordern, in
der andere DHCP-Server installiert und konfiguriert sind. Die anderen DHCP-Server im Netzwerk antworten
mit der Nachricht DHCPAck, die Informationen enthält, die vom abfragenden DHCP-Server verwendet
werden, um die Active Directory-Stammdomäne zu suchen. Der startende DHCP-Server sucht dann in
Active Directory nach einer Liste mit autorisierten DHCP-Servern und startet den DHCP-Serverdienst nur,
wenn seine eigene Adresse in der Liste aufgeführt ist.
Funktionsweise der Autorisierung
Der Autorisierungsvorgang für DHCP-Servercomputer hängt von der installierten Rolle des Servers im
Netzwerk ab. Es gibt drei Rollen oder Servertypen, für die jeder Servercomputer eingerichtet werden kann:

Domänencontroller – Der Computer behält eine Kopie der Active Directory-Datenbank und bietet
Domänenmitgliedern und -computern eine sichere Kontoverwaltung.

Mitgliedsserver – Der Computer wird nicht als Domänencontroller verwendet, gehört jedoch zu
einer Domäne und verfügt dort über ein Mitgliedskonto in der Active Directory-Datenbank.

Eigenständiger Server – Der Computer wird nicht als Domänencontroller oder Mitgliedsserver in
einer Domäne verwendet. Stattdessen wird der Servercomputer über den Namen einer speziellen
Arbeitsgruppe im Netzwerk angezeigt, der auch andere Computer angehören können. Er wird
jedoch nur für das Durchsuchen von Computern verwendet und bietet keinen gesicherten
Anmeldezugriff auf freigegebene Domänenressourcen.
Wenn Sie Active Directory bereitstellen, müssen alle als DHCP-Server verwendeten Computer entweder
Domänencontroller oder Domänenmitgliedsserver sein, bevor sie autorisiert werden können und DHCPDienste für Clients bereitstellen.
Sie können einen eigenständigen Server, auch wenn es nicht empfohlen wird, als DHCP-Server verwenden,
solange sich dieser nicht in einem Subnetz mit autorisierten DHCP-Servern befindet. Wenn ein
eigenständiger DHCP-Server einen autorisierten Server im gleichen Subnetz entdeckt, stoppt dieser
automatisch das Leasing von IP-Adressen an DHCP-Clients.
Seite 145 von 209
MS 70-649
22.12.2009
202. Sie sind als Organisationsadministrator für das Unternehmen Contoso tätig. Die Hauptgeschäftsstelle
des Unternehmens befindet sich in München. Darüber hinaus betreibt das Unternehmen eine Zweigstelle in
Zürich.
Die Active Directory Domäne der Hauptgeschäftsstelle hat den Namen Contoso.de. Die Active Directory
Domäne der Zweigstelle trägt den Namen ch.Contoso.de. Aufgrund neuer Arbeitsabläufe hat es sich
ergeben, dass die Benutzer der Hauptgeschäftsstelle Zugriff auf Ressourcen der Domäne ch.Contoso.de
benötigen.
Die Geschäftsführung informiert Sie, dass die Namensauflösung für Hostnamen der Remotedomäne sehr
langsam ist. Sie müssen die Antwortzeiten für die Auflösung von Namen der Domäne ch.Contoso.de
verbessern, indem Sie eine stets aktuelle Liste der autorisierten Namensserver für die Domäne
ch.Contoso.de vorhalten und gleichzeitig den Datenverkehr durch Zonenübertragungen möglichst gering
halten.
Wie gehen Sie vor?
A. Erstellen Sie auf einem DNS Server in der Hauptgeschäftstelle eine neue delegierte Zone für den
Namensraum ch.Contoso.de.
B. Erstellen Sie auf einem DNS Server in der Hauptgeschäftstelle eine neue sekundäre Zone für den
Namensraum ch.Contoso.de.
C. Erstellen Sie eine bedingte Weiterleitung, so dass Abfragen für Namen aus dem Raum ch.Contoso.de
automatisch an Namensserver der Zweigstelle weitergeleitet werden.
D. Erstellen Sie auf einem DNS Server in der Hauptgeschäftstelle eine neue Stubzone für den Namensraum
ch.Contoso.de.
Answer: D
Erläuterungen:
Eine Stubzone stellt eine Quelle für Informationen zu den autorisierenden Namenservern für diese Zone dar.
Die Zone auf diesem Server muss von einem anderen DNS-Server abgerufen werden, der als Host für die
Zone fungiert. Dieser DNS-Server muss über Netzwerkzugriff für den Remote-DNS-Server verfügen, um die
Informationen zu den autorisierenden Namenservern für diese Zone zu kopieren.
Stubzonen können für folgende Aufgaben verwendet werden:

Zur Aktualisierung der Informationen für die delegierte Zone. Durch regelmäßige Aktualisierung einer
Stubzone für eine der untergeordneten Zonen erhält der DNS-Server, der als Host für die
übergeordnete Zone und die Stubzone dient, eine aktuelle Liste der autorisierenden DNS-Server für
die untergeordnete Zone.

Zur Verbesserung der Namensauflösung. Stubzonen ermöglichen einem DNS-Server die
Durchführung einer Rekursion anhand der Namenserverliste für die Stubzone, ohne eine Abfrage an
das Internet oder an einen internen Stammserver für den DNS-Namespace zu senden.

Zur Vereinfachung der DNS-Verwaltung. Durch die Verwendung von Stubzonen innerhalb Ihrer
DNS-Infrastruktur können Sie eine Liste der autorisierenden DNS-Server für eine Zone verteilen,
ohne sekundäre Zonen zu verwenden. Stubzonen erfüllen jedoch nicht denselben Zweck wie
sekundäre Zonen und stellen keine Alternative zur Verbesserung der Redundanz und des
Lastenausgleichs dar.
Zum Laden und zur Verwaltung einer Stubzone werden zwei Listen von DNS-Servern benötigt:

Die Liste der Masterserver, über die der DNS-Server eine Stubzone lädt und aktualisiert. Ein
Masterserver kann ein primärer oder sekundärer DNS-Server für die Zone sein. In beiden Fällen ist
eine vollständige Liste der DNS-Server für die Zone vorhanden.

Die Liste der autorisierenden DNS-Server für eine Zone. Diese Liste wird mithilfe von NamenserverRessourceneinträgen (NS) in der Stubzone gespeichert.
Seite 146 von 209
MS 70-649
22.12.2009
Wenn ein DNS-Server eine Stubzone wie widgets.tailspintoys.com lädt, sendet er Abfragen an die
Masterserver, die sich an verschiedenen Standorten befinden können, um die erforderlichen
Ressourceneinträge der autorisierenden Server für die Zone widgets.tailspintoys.com abzurufen. Die Liste
der Masterserver kann einen einzelnen Server oder mehrere Server enthalten und jederzeit geändert
werden.
besteht aus einer einzelnen Active Directory Domäne mit dem Namen Contoso.de.
Sie installieren einen neuen Windows Server 2008 Computer mit dem Namen Server1. Sie migrieren die
DNS Zone der Domäne nach Server1 und aktivieren die Option für das Speichern der Zone im Active
Directory.
Während einer späteren Routineüberprüfung stellen Sie fest, dass die Zone auf einem Windows 2000
Server Domänencontroller mit dem Namen Server4 nicht angezeigt wird, obwohl die DNSServerkomponente auf Server4 installiert ist.
Sie müssen sicherstellen, dass die Zone Contoso.de auf allen Domänencontrollern der Domäne angezeigt
wird.
Wie gehen Sie vor?
A. Bearbeiten Sie den Bereich der Zonenreplikation und aktivieren Sie die Replikation auf alle DNS-Server
der Gesamtstruktur.
B. Bearbeiten Sie den Bereich der Zonenreplikation und aktivieren Sie die Replikation auf alle
Domänencontroller im Bereich einer benutzerdefinierten Verzeichnispartition. Erstellen Sie eine neue
Verzeichnispartition.
C. Bearbeiten Sie den Bereich der Zonenreplikation und aktivieren Sie die Replikation auf alle
Domänencontroller der Domäne.
D. Bearbeiten Sie den Bereich der Zonenreplikation und aktivieren Sie die Replikation auf alle DNS-Server
der Domäne.
Answer: C
Erläuterungen:
DNS-Zonen (Domain Name System) können in den Domänen- oder Anwendungsverzeichnispartitionen der
Active Directory-Domänendienste (Active Directory Domain Services, AD DS) gespeichert werden. Eine
Partition ist eine Datenstruktur in AD DS, mit der Daten für verschiedene Replikationszwecke unterschieden
werden.
Nachstehend sind die verfügbaren Zonenreplikationsbereiche für AD DS-integrierte DNS-Zonendaten
beschrieben:

Alle DNS-Server in der Gesamtstruktur, die Domänencontroller unter Windows Server 2003
oder Windows Server 2008 darstellen - Repliziert Zonendaten auf allen Domänencontrollern unter
Windows Server 2003 und Windows Server 2008, auf denen der DNS-Serverdienst in der AD DSGesamtstruktur ausgeführt wird. Durch diese Option werden die Zonendaten in der Partition
ForestDNSZones repliziert. Daher stellt sie den umfangreichsten Replikationsbereich dar.

Alle DNS-Server in der Domäne, die Domänencontroller unter Windows Server 2003 oder
Windows Server 2008 darstellen - Repliziert Zonendaten auf allen Domänencontrollern unter
Windows Server 2003 und Windows Server 2008, auf denen der DNS-Serverdienst in der AD DSDomäne ausgeführt wird. Durch diese Option werden die Zonendaten in der Partition
DomainDNSZone repliziert. Dies ist die Standardeinstellung für die DNS-Zonenreplikation unter
Windows Server 2003 und Windows Server 2008.

Alle Domänencontroller in der Active Directory-Domäne - Repliziert die Zonendaten auf allen
Domänencontrollern in der Active Directory-Domäne. Wenn DNS-Server unter Windows 2000 eine
Active Directory-integrierte Zone laden sollen, müssen Sie für diese Zone diesen Bereich angeben.
Seite 147 von 209

MS 70-649
22.12.2009
Alle Domänencontroller in einer angegebenen Anwendungsverzeichnispartition - Repliziert
Zonendaten entsprechend des Replikationsbereichs der angegebenen
Anwendungsverzeichnispartition. Damit eine Zone in der angegebenen
Anwendungsverzeichnispartition gespeichert wird, muss der als Host für die Zone dienende DNSServer in der angegebenen Anwendungsverzeichnispartition eingetragen sein. Verwenden Sie
diesen Bereich, wenn die Zonendaten auf Domänencontrollern in mehreren Domänen, jedoch nicht
in der vollständigen Gesamtstruktur repliziert werden sollen.
Beachten Sie bei der Entscheidung für einen Replikationsbereich, dass ein größerer Replikationsbereich
auch mehr Netzwerkverkehr bei der Replikation verursacht. Wenn Sie beispielsweise entscheiden, dass AD
DS-integrierte Zonendaten auf allen DNS-Servern in der Gesamtstruktur repliziert werden sollen, entsteht
mehr Datenverkehr als bei einer Replikation der DNS-Zonendaten auf allen DNS-Servern in einer einzelnen
AD DS-Domäne in dieser Gesamtstruktur.
AD DS-integrierte DNS-Zonendaten, die in einer Anwendungsverzeichnispartition gespeichert sind, werden
nicht in den globalen Katalog für die Gesamtstruktur repliziert. Der Domänencontroller, der den globalen
Katalog enthält, kann auch als Host für Anwendungsverzeichnispartitionen dienen, repliziert diese Daten
jedoch nicht in seinen globalen Katalog.
AD DS-integrierte DNS-Zonendaten, die in einer Domänenpartition gespeichert sind, werden auf alle
Domänencontroller in dessen AD DS-Domäne repliziert, und ein Teil dieser Daten wird im globalen Katalog
gespeichert. Diese Einstellung wird zur Unterstützung von Windows 2000 verwendet.
Wenn sich der Replikationsbereich einer Anwendungsverzeichnispartition über mehrere AD DS-Standort
erstreckt, erfolgt die Replikation anhand desselben standortübergreifenden Replikationszeitplans, der auch
für die Domänenpartitionsdaten verwendet wird.
Der Netzwerkanmeldedienst registriert Domänencontrollerlocator-DNS-Ressourceneinträge (Locator) für die
Anwendungsverzeichnispartitionen, die auf einem Domänencontroller gehostet werden, auf dieselbe Weise
wie die Domänencontrollerlocator-DNS-Ressourceneinträge (Locator) für die Domänenpartition, die auf
einem Domänencontroller gehostet wird.
besteht aus einer einzelnen Active Directory Domäne mit dem Namen Contoso.de. Das Unternehmen hat
seine Hauptgeschäftsstelle in Bremen und eine Zweigstelle in Lingen.
Sie haben das Netzwerk der Zweigstelle innerhalb des Active Directory als Standort konfiguriert und in
Lingen mehrere Domänencontroller aufgestellt. Alle Active Directory Standorte sind über das
Standortverknüpfungsobjekt DefaultIPSitelink miteinander verbunden.
Die Geschäftsführung bittet Sie, die Latenzzeit der Replikation zwischen den Domänencontrollern der
Domäne Contoso.de zu verringern.
Wie gehen Sie vor?
A. Verringern Sie das Replikationsintervall der Standortverknüpfung DefaultIPSitelink.
B. Erhöhen Sie das Replikationsintervall der Standortverknüpfung DefaultIPSitelink.
C. Verringern Sie die Kosten der Standortverknüpfung DefaultIPSitelink.
D. Verringern Sie das Replikationsintervall für alle Verbindungsobjekte.
Answer: A
Erläuterungen:
Um die Latenzzeit (Verzögerungszeit) der Replikation zwischen den Domänencontrollern zu reduzieren,
müssen wir das Replikationsintervall zwischen den Domänencontrollern verringern und sicherstellen, dass
häufiger repliziert wird. Innerhalb eines Standortes wird standardmäßig einmal pro Stunde repliziert.
standortübergreifend beträgt das Standardintervall 180 Minuten. Durch Herabsetzen des
Replikationsintervalls der Standortverknüpfung DefaultIPSitelink erreichen wir die bestmögliche Reduzierung
der Latenzzeit für alle Domänencontroller.
Seite 148 von 209
MS 70-649
22.12.2009
besteht aus einer einzelnen Active Directory Domäne mit dem Namen Contoso.de. Die Domäne enthält 10
Domänencontroller. Auf allen Domänencontrollern wird Windows Server 2008 ausgeführt. Alle
Domänencontroller sind als DNS Server konfiguriert.
Sie planen die Erstellung einer neuen Active Directory-integrierten Zone. Sie müssen sicherstellen, dass die
neue Zone nur auf vier ausgewählte Domänencontroller repliziert wird.
Welchen Schritt werden Sie als erstes durchführen?
A. Erstellen Sie eine neue Delegierung in der Anwendungsverzeichnispartition ForestDnsZones.
B. Verwenden Sie die Eingabeaufforderung und führen Sie den Befehl Dnscmd.exe mit dem Parameter
/CreateDirectoryPartition aus.
C. Verwenden Sie die Eingabeaufforderung und führen Sie den Befehl Dnscmd.exe mit dem Parameter
/EnlistDirectoryPartition aus.
D. Erstellen Sie eine neue Delegierung in der Anwendungsverzeichnispartition DomainDnsZones.
Answer: B
Erläuterungen:
DNS-Zonen (Domain Name System) können in den Domänen- oder Anwendungsverzeichnispartitionen der
Active Directory-Domänendienste (Active Directory Domain Services, AD DS) gespeichert werden. Eine
Partition ist eine Datenstruktur in AD DS, mit der Daten für verschiedene Replikationszwecke unterschieden
werden. Wenn Sie eine Anwendungsverzeichnispartition für DNS erstellen, können Sie den
Replikationsbereich für die Zone überwachen, die in dieser Partition gespeichert ist.
So erstellen Sie eine DNS-Anwendungsverzeichnispartition:
1. Öffnen Sie eine Eingabeaufforderung.
2. Geben Sie den folgenden Befehl ein, und drücken Sie dann die EINGABETASTE:
dnscmd [Servername] /CreateDirectoryPartition [FQDN]
Dnscmd.exe gibt den Namen des Befehlszeilentools für die DNS-Serververwaltung an.
Servername gibt den DNS-Hostnamen des DNS-Servers an. Sie können auch die IP-Adresse des DNSServers eingeben. Sie können auch einen Punkt (.) eingeben, um den DNS-Server auf dem lokalen
Computer anzugeben.
CreateDirectoryPartition erstellt eine DNS-Anwendungsverzeichnispartition.
FQDN gibt den Namen der neuen DNS-Anwendungsverzeichnispartition an. Hierbei müssen Sie den
vollqualifizierten DNS-Domänennamen (FQDN, Fully Qualified Domain Name) verwenden.
Nachdem Sie eine DNS-Anwendungsverzeichnispartition (Domain Name System) für die Speicherung einer
Zone erstellt haben, müssen Sie den DNS-Server, der als Host für die Zone dient, in die
Anwendungsverzeichnispartition eintragen. Hierzu wird der Parameter /EnlistDirectoryPartition verwendet.
So tragen Sie einen DNS-Server in eine DNS-Anwendungsverzeichnispartition ein:
1. Öffnen Sie eine Eingabeaufforderung.
2. Geben Sie den folgenden Befehl ein, und drücken Sie dann die EINGABETASTE:
3. dnscmd [Servername] /EnlistDirectoryPartition [FQDN]
Servercomputern im Netzwerk ist das Betriebssystem Windows Server 2008 installiert. Auf allen
Seite 149 von 209
MS 70-649
22.12.2009
Contoso hat seine Hauptgeschäftsstelle in Frankfurt und Zweigstellen in Hamburg und Dortmund. Alle
Domänencontroller der Hauptgeschäftsstelle hosten eine Active Directory-integrierte Zone. Die Zweigstellen
verfügen jeweils über einen DNS-Server und einen Anwendungsserver. Die DNS-Server der Zweigstellen
verwenden einen DNS-Server der Hauptgeschäftsstelle als Masterserver für ihre Zone.
Um auf den lokalen Anwendungsserver zuzugreifen, verwenden die Benutzer der Zweigstellen den
jeweiligen vollqualifizierten Domänennamen (FQDN).
Sie müssen sicherstellen, dass die Benutzer auch bei einem Ausfall der WAN-Verbindung bis zu einer Dauer
von fünf Tagen Zugriff auf ihren Anwendungsserver erhalten.
Wie gehen Sie vor?
A. Aktivieren Sie die Option Veraltete Ressourceneinträge aufräumen im Dialogfeld Zonenalterung /
Eigenschaften für Aufräumvorgang. Legen Sie das Intervall für Nichtaktualisierung mit 6 Tagen fest.
B. Erhöhen Sie den Wert der Einstellung Aktualisierungsintervall für den Autoritätsursprung (SOA) der Zone
auf 6 Tage.
C. Erhöhen Sie den Wert der Einstellung Läuft ab nach für den Autoritätsursprung (SOA) der Zone auf 6
Tage.
D. Aktivieren Sie die Option Veraltete Ressourceneinträge aufräumen im Dialogfeld Zonenalterung /
Eigenschaften für Aufräumvorgang. Legen Sie das Aktualisierungsintervall mit 6 Tagen fest.
Answer: C
Erläuterungen:
Der SOA-Eintrag (Autoritätsursprung) gibt für eine Zone Folgendes an:




Primärer Server
E-Mail-Adresse des Zonenadministrators
Werte für das Ablaufen von Einträgen für sekundärer Zonen (Läuft ab nach)
Mindestwerte für die standardmäßige Gültigkeitsdauer (Time to Live, TTL) für
Zonenressourceneinträge
besteht aus zwei Active Directory Domänen mit den Namen nord.Contoso.de und sued.Contoso.de. Auf
allen Servercomputern im Netzwerk ist das Betriebssystem Windows Server 2008 installiert. Auf allen
Den Benutzern ist es möglich, durch Angabe des vollqualifizierten Domänennamens (FQDN) auf
Ressourcen in beiden Domänen zuzugreifen.
Die Geschäftsführung hat kürzlich entschieden, dass Benutzer der Domäne nord.Contoso.de. die
Möglichkeit erhalten sollen, sich durch Angabe eines einteiligen, unpunktierten Namens in einem UNC
(universal Naming Convention) Pfad mit Computern der Domäne sued.Contoso.de verbinden zu können.
Sie müssen die Entscheidung der Geschäftsführung realisieren.
Wie gehen Sie vor?
A. Sie müssen nichts unternehmen, das DNS-Suffix der anderen Domäne wird automatisch an einen
einfachen Namen angefügt.
B. Konfigurieren Sie auf den Clientcomputern der Domäne nord.Contoso.de die TCP/IP Eigenschaften der
LAN-Verbindung und aktivieren Sie die Option DNS-Suffix dieser Verbindung in DNS-Registrierung
verwenden.
C. Erstellen Sie in der Domäne nord.Contoso.de ein neues Gruppenrichtlinienobjekt (GPO) und
Seite 150 von 209
MS 70-649
22.12.2009
konfigurieren Sie die Richtlinie Suchliste für DNS-Suffix. Nehmen Sie das Suffix sued.Contoso.de in die Liste
auf.
D. Konfigurieren Sie den bevorzugten Namensserver der Clientcomputer der Domäne nord.Contoso.de mit
einer bedingten Weiterleitung so, dass Abfragen für den Namensraum sued.Contoso.de an einen DNSServer der Domäne sued.Contoso.de weitergeleitet werden.
Answer: C
Erläuterungen:
Die Richtlinie Suchliste für DNS-Suffix legt die DNS-Suffixe fest, die an einen nicht qualifizierten, einteiligen
Namen angehängt werden, bevor eine DNS-Abfrage nach diesem Namen gesendet wird.
Ein nicht qualifizierter, einteiliger Name enthält keine Punkte, z. B. "example". Damit unterscheidet er sich
von einem vollqualifizierten Domänennamen wie "example.microsoft.com".
Wenn diese Einstellung aktiviert ist, hängt ein lokaler DNS-Client vor dem Absenden an einen DNS-Server
einer Abfrage nach einem einteiligen Namen wie "example" ein Suffix wie "microsoft.com" an, sodass sich
die Abfrage "example.microsoft.com" ergibt.
Wenn Sie diese Einstellung aktivieren, können Sie die DNS-Suffixe angeben, die vor der Übertragung einer
Abfrage nach einem nicht qualifizierten einteiligen Namen angehängt werden. Die Werte der DNS-Suffixe
können bei dieser Einstellung anhand von kommagetrennten Zeichenfolgen eingegeben werden, wie
"microsoft.com,serverua.microsoft.com,office.microsoft.com". Ein DNS-Suffix wird bei jeder Weiterleitung
einer Abfrage hinzugefügt. Wird eine Abfrage nicht erfolgreich durchgeführt, wird anstelle eines
gescheiterten Suffixes ein neues DNS-Suffix hinzugefügt und diese neue Abfrage dann weitergeleitet. Die
Werte werden in der Reihenfolge verwendet, in der sie in der Zeichenkette erscheinen, wobei mit dem Wert
ganz links begonnen wird.
Wenn Sie diese Einstellung aktivieren, müssen Sie mindestens ein Suffix angeben.
Wenn Sie diese Einstellung deaktivieren, werden an nicht qualifizierte Abfragen das primäre DNS-Suffix und
verbindungsspezifische DNS-Suffixe angehängt.
Wenn diese Einstellung nicht konfiguriert ist, wird sie auf keinen Computer angewendet. Die Computer
verwenden dann ihre lokale Konfiguration.
Servercomputern wird Windows Server 2008 ausgeführt. Auf allen Clientcomputern wird Windows Vista
ausgeführt.
Während einer Routineuntersuchung stellen Sie fest, dass ein Clientcomputer mit dem Namen Desktop4
seinen DNS Eintrag auf dem DNS-Server nicht aktualisieren konnte. Desktop4 ist mit einer statischen IPAdresse konfiguriert und verwendet den autorisierten DNS-Server der Zone Contoso.de als bevorzugten
DNS-Server.
Ihr Vorgesetzter teilt Ihnen mit, dass die TCP/IP Eigenschaften von Desktop4 nicht verändert wurden und
bittet Sie, sicherzustellen, dass Desktop4 seine IP-Adresse in der Zone Contoso.de auf dem DNS-Server
registriert und zukünftig aktualisert.
Wie gehen Sie vor?
A. Aktivieren Sie auf Desktop4 die Option Adressen dieser Verbindung in DNS registrieren.
B. Konfigurieren Sie auf Desktop4 ein primäres DNS-Suffix.
C. Konfigurieren Sie auf Desktop4 ein verbindungsspezifisches DNS-Suffix.
D. Aktivieren Sie auf Desktop4 die Option DNS-Suffix dieser Verbindung in DNS-Registrierung verwenden.
Answer: B
Erläuterungen:
Scheinbar ist Desktop4 nicht Mitglied der Domäne Contoso.de, ansonsten wäre das primäre DNS-Suffix
beim Beitritt zur Domäne automatisch konfiguriert worden. Die Option aus Antwort A ist standardmäßig
Seite 151 von 209
MS 70-649
22.12.2009
aktiviert und stellt sicher, dass die IP-Adressen in DNS registriert werden. Die Zone in der die Registrierung
und Aktualisierung der IP-Adresse vorgenommen wird, ist durch das primäre DNS-Suffix festgelegt.
Alternativ zur Lösung B sollten die Antworten C und D in Kombination auch zum Ziel führen.
einen Windows Server 2008 Computer mit dem Namen Server1. Auf Server1 ist die Rolle Webserver (IIS)
installiert.
Sie haben kürzlich eine neue Website mit dem Namen CBIntranet erstellt. Die Website umfasst fünf
Anwendungen. Eine der Anwendungen benötigt einen neuen Handler für einen bestimmten Dateitypen. Bei
dem Handler handelt es sich um eine .Net Bibliotheksdatei (.dll).
Sie müssen die Anforderungen für den Betrieb der Anwendung erfüllen und gleichzeitig ein Höchstmaß an
Sicherheit bewahren.
Wie gehen Sie vor?
A. Ergänzen Sie eine neue Modulzuordnung für die Webanwendung.
B. Ergänzen Sie eine neue Modulzuordnung für die Website CBIntranet.
C. Ergänzen Sie einen neuen verwalteten Handler für die Website CBIntranet.
D. Ergänzen Sie einen neuen verwalteten Handler für die Webanwendung.
Answer: D
Erläuterungen:
Wenn ein verwalteter Handler auf dem Webserver Anforderungen für eine bestimmte Datei oder
Dateinamenerweiterung verarbeiten soll, können Sie eine Zuordnung eines verwalteten Handlers erstellen.
Verwaltete Handler werden in verwaltetem Code geschrieben und reagieren auf bestimmte Anforderungen
auf dem Webserver. Die PageHandlerFactory-Integrated-Handlerzuordnung gibt beispielsweise an, dass der
System.Web.UI.PageHandlerFactory-Handler Anforderungen für ASPX-Dateien verarbeitet.
Aus Sicherheitsgründen sollte der neue verwaltete Handler nur für den Bereich (in diesem Fall die eine
Webanwendung) erstellt werden, für den er erfordert wird.
Falsche Antworten:
A: Die Webanwendung erfordert eine Handlerzuordnung.
B: Die Webanwendung erfordert eine Handlerzuordnung.
C: Der Handler wird nur von einer der fünf Webanwendungen benötigt.
210. Sie sind als Organisationsadministrator für das Unternehmen Contoso tätig. Das Feature WindowsSystemressourcen-Manager (Windows System Ressource Manager, WSRM) verwendet
Ressourcenverwaltungsrichtlinien, um festzulegen, wie die Systemressourcen den laufenden Prozessen
eines Computers zugeordnet werden.
Sie müssen die beiden Ressourcenverwaltungsrichtlinien identifizieren, die speziell für Computer entworfen
sind, auf denen die Serverrolle Terminaldienste ausgeführt wird.
Welche Ressourcenverwaltungsrichtlinien sind speziell für die Serverrolle Terminaldienste entworfen?
A. Equal_Per-User und Equal_Per-Session
B. Per_user_Equal und Per_Session_Equal
C. Equal_Per_User und Equal_Per_Session
D. User_Per_Equal und Session_Per_Equal
Answer: C
Erläuterungen:
Mit dem Windows-Systemressourcen-Manager für das Betriebssystem Windows Server 2008 können Sie die
Seite 152 von 209
MS 70-649
22.12.2009
Prozessor- und Speicherauslastung auf dem Server mit standardmäßigen oder benutzerdefinierten
Ressourcenrichtlinien verwalten. Durch Verwalten von Ressourcen wird sichergestellt, dass alle von einem
einzelnen Server bereitgestellten Dienste in gleichem Umfang zur Verfügung stehen oder dass für
Anwendungen, Dienste oder Benutzer mit einer hohen Priorität immer Ressourcen verfügbar sind.
Der Windows-Systemressourcen-Manager verwaltet Prozessorressourcen nur dann, wenn die
zusammengefasste Prozessorlast größer als 70 Prozent ist. Das bedeutet, dass bei einer geringen
Prozessorlast die für jeden Benutzer verfügbaren Ressourcen nicht aktiv eingeschränkt werden. Bei einer
konkurrierenden Nachfrage an Prozessorressourcen kann mit Ressourcenzuweisungsrichtlinien eine
Mindestverfügbarkeit für eine Ressource nach dem von Ihnen definierten Verwaltungsprofil sichergestellt
werden.
Integrierte Ressourcenverwaltungsrichtlinien
Durch Auswählen des zu verwendenden Richtlinientyps können Sie integrierte
Ressourcenverwaltungsrichtlinien aktivieren. Es ist keine weitere Konfiguration erforderlich.
Folgende integrierte Ressourcenverwaltungsrichtlinien stehen zur Auswahl:

Gleich pro Prozess - Wenn die Ressourcenzuweisungsrichtlinie Equal_Per_Process das System
verwaltet, wird jeder aktive Prozess gleich behandelt. Wenn beispielsweise ein Server, auf dem zehn
Prozesse ausgeführt werden, eine Prozessorauslastung von 70 Prozent erreicht, schränkt der
Windows-Systemressourcen-Manager jeden Prozess so ein, dass er während der
Konkurrenzsituation 10 Prozent der Prozessorressourcen verwendet. Beachten Sie, dass
Ressourcen, die von Prozessen mit geringer Auslastung nicht verwendet werden, anderen
Prozessen zugeteilt werden.

Gleich pro Benutzer - Wenn die Ressourcenzuweisungsrichtlinie Equal_Per_User das System
verwaltet, werden Prozesse nach dem Benutzerkonto gruppiert, unter dem sie ausgeführt werden,
und jede dieser Prozessgruppen wird dann gleich behandelt. Wenn beispielsweise vier Benutzer
Prozesse auf dem Server ausführen, werden jedem Benutzer zum Ausführen seiner Prozesse 25
Prozent der Systemressourcen zugeordnet. Einem Benutzer, der nur eine einzige Anwendung
ausführt, werden dieselben Ressourcen zugeordnet wie einem Benutzer, der mehrere
Anwendungen ausführt. Diese Richtlinie ist besonders für Anwendungsserver hilfreich.

Für Sitzung identisch - Wenn die Ressourcenzuweisungsrichtlinie Equal_Per_Session das
System verwaltet, werden Ressourcen gleichmäßig zwischen allen mit dem System verbundenen
Sitzungen aufgeteilt. Diese Richtlinie ist besonders bei Terminalservern hilfreich.

Für IIS-Anwendungspool identisch - Wenn die Ressourcenzuweisungsrichtlinie
Equal_Per_IISAppPool das System verwaltet, werden alle aktiven IIS-Anwendungspools gleich
behandelt. Anwendungen, die sich nicht in einem IIS-Anwendungspool befinden, können nur
Ressourcen verwenden, die nicht von IIS-Anwendungspools belegt sind.
Die Domäne enthält einen Windows Server 2008 Computer mit dem Namen Server7. Auf einem Computer
mit dem Namen Server9 ist das Betriebssystem Windows Server 2003 installiert. Auf Server7 ist die
Serverrolle Terminalserver installiert. Auf Server9 wird der Lizenzserver ausgeführt.
Sie wollen das Nachverfolgen der Ausstellung von Terminaldienste-Clientzugriffslizenzen (pro Benutzer) für
die Terminalserver aktivieren.
Wie gehen Sie vor?
A. Deinstallieren Sie den Lizenzserver auf Server9. Installieren Sie anschließend den Rollendienst
Terminaldienstelizenzierung auf Server7.
B. Installieren Sie den Rollendienst Terminaldienstelizenzierung auf Server7. Installieren Sie die
Seite 153 von 209
MS 70-649
22.12.2009
Terminaldienste auf Server9 und aktivieren Sie das Nachverfolgen der Ausstellung von TerminaldiensteClientzugriffslizenzen (pro Benutzer).
C. Konfigurieren Sie den Lizenzserver auf Server9.
D. Konfigurieren Sie Server7 so, dass Lizenzen von Server9 verwaltet werden.
Answer: A
Erläuterungen:
Unter Windows Server 2008 können Sie das Tool Terminaldienstelizenzierungs-Manager verwenden, um
Berichte zu erstellen (zu generieren), mit denen Sie die Terminaldienste-Clientzugriffslizenzen (pro
Benutzer) nachverfolgen können, die von einem Terminaldienste-Lizenzserver ausgestellt wurden.
Im Folgenden finden Sie wichtige Überlegungen zur Nachverfolgung von und Berichterstattung zu
Terminaldienste-Clientzugriffslizenzen (pro Benutzer) unter Windows Server 2008:

Benutzer) wird nur in Szenarien mit Domänenmitgliedschaft unterstützt. Das bedeutet, dass der
Terminalserver und der Lizenzserver Mitglieder einer Domäne sein müssen.

Benutzer) wird im Arbeitsgruppenmodus nicht unterstützt.

Für die Nachverfolgung von und Berichterstattung zu Terminaldienste-Clientzugriffslizenzen (pro
Benutzer) werden die Active Directory-Domänendienste (Active Directory Domain Services, AD DS)
verwendet. Die Informationen zur Terminaldienste-Clientzugriffslizenz (pro Benutzer), die für einen
Benutzer ausgestellt wurde, werden als Teil des Benutzerkontos in AD DS gespeichert.

AD DS kann auf Windows Server 2008 oder Windows Server 2003 basieren.

Das Computerkonto für den Lizenzserver muss Mitglied der Gruppe Terminalserver-Lizenzserver in
der Domäne sein. Wenn der Lizenzserver auf einem Domänencontroller installiert ist, muss das
Netzwerkdienstkonto ebenfalls Mitglied der Gruppe Terminalserver-Lizenzserver sein.
212. Sie sind als Organisationsadministrator für das Unternehmen Contoso tätig. Das Unternehmen hat eine
neue Webanwendung im Netzwerk implementiert. Die Webanwendung basiert auf einer 2-Tier-Architektur
und umfasst einen Web-Frontend-Server und einen SQL-Backend-Server.
Da die Webanwendung kritisch für die Unternehmensabläufe ist, möchte die Geschäftsführung
Fehlertoleranz implementieren und gleichzeitig ein Höchstmaß an Leistung wahren.
Wie gehen Sie vor?
A. Konfigurieren Sie für das Frontend und das Backend jeweils einen Cluster für den
Netzwerklastenausgleich (NLB).
B. Konfigurieren Sie für das Frontend einen Cluster für den Netzwerklastenausgleich (NLB). Konfigurieren
Sie für das Backend einen Failovercluster.
C. Konfigurieren Sie für das Frontend und das Backend jeweils einen Failovercluster.
D. Konfigurieren Sie für das Frontend einen Failovercluster. Konfigurieren Sie für das Backend einen Cluster
für den Netzwerklastenausgleich (NLB).
Answer: B
Erläuterungen:
Mit dem Feature Netzwerklastenausgleich (Network Load Balancing, NLB) in Windows Server 2008 wird die
Verfügbarkeit und Skalierbarkeit von Internetserveranwendungen für Web-, FTP-, Firewall- und Proxyserver
sowie virtuelle private Netzwerke (VPN) und andere unternehmenskritische Server verbessert. Wird
Windows Server 2008 nur auf einem einzigen Computer ausgeführt, ist die Serverzuverlässigkeit und
Skalierbarkeit eingeschränkt. Wenn allerdings die Ressourcen von zwei oder mehr Computern, auf denen
eines der Produkte von Windows Server 2008 ausgeführt wird, zu einem einzelnen virtuellen Cluster
zusammengeführt werden, kann durch Netzwerklastenausgleich die Zuverlässigkeit und Leistung
bereitgestellt werden, die für Webserver und andere unternehmenskritische Server erforderlich ist.
Seite 154 von 209
MS 70-649
22.12.2009
Ein Failovercluster besteht aus unabhängigen Computern, die miteinander interagieren und somit die
Verfügbarkeit von Diensten und Anwendungen wie Datenbankserver, Mailserver, Dateiserver, DHCP-Server
usw. erhöhen. Die gruppierten Server (so genannte Knoten) sind durch physische Kabel und durch Software
vernetzt. Wenn einer der Knoten ausfällt, werden seine Aufgaben durch einen als Failover bezeichneten
Prozess sofort auf einen anderen Knoten übertragen.
213. Sie sind als Organisationsadministrator für das Unternehmen Contoso tätig. Ihre Aufgabe ist es,
sicherzustellen, dass alle Computer im Firmennetzwerk stets die aktuellen Microsoft Updates erhalten. Zu
diesem Zweck installieren Sie die Windows Server Update Services (WSUS) 3.0 auf einem Windows Server
2008 Computer mit dem Namen Server10.
Um die sichere Kommunikation zwischen der WSUS-Verwaltungskonsole, die auf den Computern der
Serveradministratoren ausgeführt wird, und dem WSUS Server sicherzustellen, entschließen Sie sich, den
Datenverkehr zu verschlüsseln.
Wie gehen Sie vor?
A. Führen Sie auf Server10 den Befehl Netdom Trust /SecurePasswordPrompt aus.
B. Konfigurieren Sie Server10 so, dass die Windows-Authentifizierung für Benutzerverbindungen erfordert
wird.
C. Aktivieren Sie die SSL-Verschlüsselung für die WSUS-Website auf Server10.
D. Konfigurieren Sie die NTFS-Berechtigungen für das Verzeichnis WsusContent auf Server10 und
verweigern Sie der Gruppe Jeder das Recht Vollzugriff.
Answer: C
Erläuterungen:
Wir können die SSL-Verschlüsselung für die WSUS-Website erfordern, um sicherzustellen, dass der
gesamte Datenverkehr zwischen dem Windows Server Update Services (WSUS) Srever und den
Clientcomputern verschlüsselt wird.
So konfigurieren Sie SSL auf dem WSUS-Server mithilfe von IIS 7.0
1. Öffnen Sie auf dem WSUS-Server den Internetinformationsdienste-Manager.
2. Erweitern Sie Sites, und erweitern Sie dann die Website für den WSUS-Server. Beim Installieren von
WSUS wurde möglicherweise die Standardwebsite ausgewählt, es wird jedoch empfohlen, die
benutzerdefinierte WSUS-Verwaltungswebsite zu verwenden.
3. Führen Sie auf der WSUS-Website in den virtuellen Verzeichnissen APIRemoting30,
ClientWebService, DSSAuthWebService, ServerSyncWebService und SimpleAuthWebService die
folgenden Schritte aus:
Doppelklicken Sie in der Ansicht „Features“ auf SSL-Einstellungen.
Wählen Sie auf der Seite SSL-Einstellungen SSL erforderlich aus.
Klicken Sie im Bereich Aktionen auf Anwenden.
4. Schließen Sie das Dialogfeld Internetinformationsdienste-Manager.
5. Führen Sie unter WSUS-Installationsordner\Tools den folgenden Befehl aus: WSUSUtil.exe
configuressl "Antragstellername im Signaturzertifikat".
214. Sie sind als Administrator für das Unternehmen Contoso tätig. Das Unternehmen hostet Websites für
verschiedene Kunden. Sie administrieren einen Windows Server 2008 Mitgliedsserver mit dem Namen
Server2.
Server2 hat die Serverrolle Webserver (IIS) installiert und hostet die Websites von fünf Unternehmen. Sie
konfigurieren eine neue Website für die Traincert GmbH, die kürzlich als neuer Kunde gewonnen wurde.
Sie erstellen ein neues virtuelles Verzeichnis für die Website traincert.de und speichern die Inhaltsdateien
des virtuellen Verzeichnisses auf einem Windows Server 2008 Computer mit dem Namen Server3.
Seite 155 von 209
MS 70-649
22.12.2009
Das Inhaltsverzeichnis auf Server3 hat den Namen Traincert_VDir. Sie erteilen einem Benutzer mit dem
Namen Traincert_Admin die erforderlichen Freigabe- und NTFS-Berechtigungen für den Zugriff auf die
Daten.
Später berichtet ein Benutzer, dass er zwar Zugriff auf die Inhalte der Stammwebsite erhält, die Inhalte des
virtuellen Verzeichnisses jedoch nicht einsehen kann.
Sie müssen sicherstellen, dass Besucher der Website Zugriff auf die Inhalte des virtuellen Verzeichnisses
erhalten.
Wie gehen Sie vor?
A. Bearbeiten Sie die Kontoeinstellungen des Benutzerkontos Traincert_Admin und aktivieren Sie die Option
Konto ist vertraulich und kann nicht delegiert werden.
B. Öffnen Sie das Kontextmenü des virtuellen Verzeichnisses und wählen Sie die Option Berechtigungen
bearbeiten. Wechseln Sie auf das Register Anpassen und Legen Sie für die Option Diesen Ordnertyp als
Vorlage verwenden: den Wert Dokumente fest.
C. Erstellen Sie ein Gruppenrichtlinienobjekt (GPO) und verknüpfen Sie es mit dem virtuellen Verzeichnis.
Konfigurieren Sie das GPO so, dass der Benutzer Traincert_Admin Zugriff auf die Inhaltsdateien auf Server3
erhält.
D. Konfigurieren Sie die Grundeinstellungen für das virtuelle Verzeichnis Traincert_VDir und klicken Sie auf
Verbinden als. Aktivieren Sie die Option Bestimmter Benutzer und legen Sie den Benutzer Traincert_Admin
fest.
Answer: D
Erläuterungen:
Im Dialogfeld Verbinden als kann die Methode ausgewählt werden, mit der IIS auf Inhalte des physikalischen
Pfads, der für die Site, Anwendung oder das virtuelle Verzeichnis angegeben war, zugreift. Der
physikalische Pfad kann ein Pfad zu einem Verzeichnis auf dem lokalen Computer oder zu einem
Verzeichnis oder einer Freigabe auf einem Remotecomputer sein.
Die folgenden Optionen können konfiguriert werden:

Bestimmter Benutzer - Wählen Sie diese Option aus, wenn Sie Anmeldeinformationen für ein
bestimmtes Benutzerkonto bereitstellen müssen, das über den Zugriff auf den physikalischen Pfad
verfügt.

Festlegen - Öffnet das Dialogfeld Anmeldeinformationen festlegen, in dem Sie den Benutzernamen
und das Kennwort für das Benutzerkonto eingeben können, das über den Zugriff auf den
physikalischen Pfad verfügt. Dieser Benutzer wird verwendet, um auf die Inhalte im angegebenen
physikalischen Pfad zuzugreifen. Diese Schaltfläche ist nur verfügbar, wenn Sie im Dialogfeld
Verbinden als die Option Bestimmter Benutzer auswählen.

Anwendungsbenutzer (Pass-Through-Authentifizierung) - Aktivieren Sie diese Option, wenn Sie
die Pass-Through-Authentifizierung verwenden möchten. Mit dieser Option verwendet IIS die
Anmeldeinformationen des anfordernden Benutzers, um auf den physikalischen Pfad zuzugreifen.
Für anonyme Anforderungen verwendet IIS die Identität, die zum Zugreifen auf den physikalischen
Pfad für anonyme Authentifizierung konfiguriert wurde. Standardmäßig ist diese Identität das
integrierte IUSR-Konto.
Bei authentifizierten Anforderungen verwendet IIS die authentifizierten Anmeldeinformationen des
anfordernden Benutzers, um auf den physikalischen Pfad zuzugreifen. Stellen Sie sicher, dass die
Anwendungspoolidentität dieser Anwendung über Lesezugriff auf den physikalischen Pfad verfügt,
sodass der authentifizierte Benutzer auf den Inhalt des physikalischen Pfads zugreifen kann.
215. Sie sind als Organisationsadministrator für das Unternehmen Contoso tätig. Das Unternehmen hat
kürzlich einen Auszubildenden von einer anderen Firma übernommen. Der Auszubildende hat bislang
ausschließlich Windows Server 2003 verwendet.
Seite 156 von 209
MS 70-649
22.12.2009
Der Auszubildende möchte wissen auf welchen Versionen von Windows Server 2008 die Windows Media
Dienste mit Unterstützung für das Multicast Streaming ausgeführt werden können.
Was werden Sie dem Auszubildenden antworten? (Jede korrekte Antwort stellt eine vollständige Lösung dar.
A. Die Windows Media-Dienste 2008 können auf Windows Server 2008 Datacenter Edition ausgeführt
werden.
B. Die Windows Media-Dienste 2008 können auf Windows Server 2008 Enterprise Edition ausgeführt
werden.
C. Die Windows Media-Dienste 2008 können auf Windows Server 2008 Web Edition ausgeführt werden.
D. Die Windows Media-Dienste 2008 können auf Windows Server 2008 Standard Edition ausgeführt werden.
Answer: A,B
Erläuterungen:
Windows Media-Dienste 2008 für Windows Server 2008 ist eine optionale Ergänzung zu Windows Server
2008. In Windows Server 2008 sind die Rolle "Streaming Media-Dienste" (inkl. der neuesten Version von
Windows Media-Dienste) und die Remoteverwaltungstools nicht im Server-Manager enthalten. Wenn Sie die
neuen Features und Tools von Windows Media-Dienste für Windows Server 2008 erhalten möchten, z. B.
das integrierte WM-Cacheproxy-Plug-In, müssen Sie die entsprechende Installationsdatei für die Streaming
Media-Dienste-Rolle herunterladen und auf der aktualisierten Plattform ausführen.
Die MSU-Dateien der eigenständigen Microsoft Update-Pakete installieren entweder die 32-Bit (x86) oder
die 64-Bit-Version (x64) (wie in den Dateienamen angegeben) der folgenden Komponenten:

Windows Media-Dienste und die übrigen Komponenten der Rolle "Streaming Media-Dienste" im
Server-Manager, bei vollständigen Installationen der Standard und Enterprise Editions von Windows
Server 2008.

Die Rolle "Server Core" von Streaming Media-Dienste für "Server Core"-Installationen der Standard
und Enterprise Editions von Windows Server 2008.

Das Windows Media-Dienste-Snap-In für Microsoft Management Console (MMC) auf Computern mit
der Business, Enterprise oder Ultimate Edition des Microsoft Windows Vista-Betriebssystems.
Auch wenn die Windows Media-Dienste auf allen Editionen von Windows Server 2008 installiert werden
können, werden bestimmte, erweiterte Features nur von der Enterprise und der Datacenter Edition
unterstützt.
Eine deatilierte Auflistung der Unterstützung für die einzelnen Features finden Sie auf der nachstehenden
Website: http://www.microsoft.com/windows/windowsmedia/forpros/server/version.aspx
besteht aus einer einzelnen Active Directory Domäne mit dem Namen Contoso.de. Die Domäne enthält
einen Windows Server 2008 Computer mit den Namen Server1.
Ihr Vorgesetzter bittet Sie, Server1 neu zu konfigurieren und Fehlertoleranz für das Volume bereitzustellen,
das die Betriebssystemdateien enthält. Ferner informiert er Sie darüber, dass Server1 über zwei BasisDatenträger verfügt und das Betriebssystem auf der ersten Festplatte installiert ist.
Wie gehen Sie vor?
A. Konvertieren Sie Datenträger 0 und Datenträger 1 in dynamische Datenträger und erstellen Sie auf
Datenträger 1 eine Spiegelung für Datenträger 0.
B. Konvertieren Sie Datenträger 1 in einen dynamischen Datenträger und konfigurieren Sie ein neues
gespiegeltes Volume unter Verwendung von Datenträger 0 und Datenträger 1.
C. Erstellen Sie ein neues gespiegeltes Volume unter Verwendung von Datenträger 0 und Datenträger 1.
D. Konvertieren Sie Datenträger 0 in einen dynamischen Datenträger und konfigurieren Sie ein neues
gespiegeltes Volume unter Verwendung von Datenträger 0 und Datenträger 1.
Seite 157 von 209
MS 70-649
22.12.2009
Answer: A
Erläuterungen:
Dynamische Datenträger weisen im Vergleich zu Basisdatenträgern zusätzliche Funktionen auf. Dies
umfasst beispielsweise die Möglichkeit, Volumes zu erstellen, die sich über mehrere Datenträger erstrecken
(übergreifende Volumes und Stripesetvolumes), sowie die Möglichkeit, fehlertolerante Volumes (gespiegelte
Volumes und RAID-5-Volumes) zu erstellen. Alle Volumes auf dynamischen Datenträgern werden als
dynamische Volumes bezeichnet.
Es gibt fünf Typen von dynamischen Volumes: einfache Volumes, übergreifende Volumes,
Stripesetvolumes, gespiegelte und RAID-5-Volumes. Gespiegelte und RAID-5-Volumes sind fehlertolerant.
besteht aus einer einzelnen Active Directory Domäne mit dem Namen Contoso.de. Die Domäne enthält
einen Windows Server 2008 Terminalserver mit dem Namen Server1.
Einige Benutzer teilen Ihnen mit, dass sie nicht in der Lage sind auf lokal angeschlossenen Druckern zu
drucken, wenn Sie eine Sitzung mit dem Terminalserver hergestellt haben.
Sie müssen sicherstellen, dass Server1 einen generischen PostScript Druckertreiber verwendet, wenn auf
dem Terminalserver kein passender Treiber für die Drucker der Benutzer gefunden wird.
Wie gehen Sie vor?
A. Erstellen Sie ein neues Gruppenrichtlinienobjekt (GPO) und konfigurieren Sie die Richtlinie Verhalten des
gefunden wird. Stellen Sie sicher, dass Server1 in den Anwendungsbereich der Richtlinie fällt.
B. Erstellen Sie ein neues Gruppenrichtlinienobjekt (GPO) und aktivieren Sie die Richtlinie Zuerst Easy PrintDruckertreiber der Terminaldienste verwenden. Stellen Sie sicher, dass Server1 in den Anwendungsbereich
der Richtlinie fällt.
C. Konfigurieren Sie das RDP-Tcp Verbindungsobjekt auf Server1 und aktivieren Sie die Option WindowsDrucker.
D. Konfigurieren Sie das RDP-Tcp Verbindungsobjekt auf Server1 und aktivieren Sie die Option
Standardmäßig den Hauptdrucker des Clients verwenden.
Answer: A
Erläuterungen:
Mit der Richtlinie Verhalten des Terminalserver-Fallbackdruckertreibers angeben können Sie das Verhalten
des Terminalserver-Fallbackdruckertreibers festlegen.
Drucker verfügbar.
Seite 158 von 209
MS 70-649
22.12.2009
einen Windows Server 2008 Computer, auf dem die Serverrolle Windows Media-Dienste und der
Clearinghouse License Server des Windows Media Rights Managers ausgeführt werden.
Sie veröffentlichen eine Audiodatei für Internetbenutzer. Später erhalten Sie die Vorgabe, dass die
Audiodatei nur für zwei Tage verwendet werden darf.
Wie gehen Sie vor, um die neue Vorgabe umzusetzen?
A. Ändern Sie den Lizenzschlüssel (License Key).
B. Erstellen Sie ein neues Paket.
C. Ändern Sie den privaten Lizenzschlüssel (License Key Seed).
D. Ändern Sie die Key ID der paketierten Audiodatei.
Answer: A
Erläuterungen:
Der Windows Media Rights Manager, eine Komponente der Plattform für Windows Media DRM, ist eine
Technologie, die dazu beiträgt, die Rechte von Inhaltsbesitzern zu schützen, und gleichzeitig dafür sorgt,
dass Benutzer digitale Inhalte problemlos und legal abrufen können.

Dauerhafter Schutz - Der Windows Media Rights Manager "sperrt" digitale Mediendateien mit
einem Lizenzschlüssel, um den Schutz der Inhalte auch bei einer weitreichenden Verteilung dieser
Dateien zu gewährleisten. Jedem Computer wird eine eindeutige Lizenz zugewiesen. Damit wird die
illegale Verteilung digitaler Mediendateien verhindert.

Starke Verschlüsselung - Der Windows Media Rights Manager enthält bewährte
Verschlüsselungsschemas, die verhindern, dass verteilte digitale Mediendateien der Piraterie oder
sonstigen illegalen Verwendungszwecken zum Opfer fallen.

Individualisierung - Der Windows Media Rights Manager verknüpft einen Player mit dem
Hostcomputer und macht somit jeden Player eindeutig. Damit wird die Verteilung eines gefährdeten
Players über das Internet verhindert. Dank der Individualisierung ist das Identifizieren und
Deaktivieren gefährdeter Player beim Lizenzieren möglich.

Separate Verteilung von Lizenzen und Inhalten - Lizenzen werden unabhängig von den
eigentlichen digitalen Mediendateien ausgestellt. Dies bietet ein Maximum an Flexibilität und lässt
eine breite Verteilung von Inhalten zu. Bei der Wiedergabe einer digitalen Mediendatei überprüft der
Windows Media Rights Manager jedes Mal, ob es auf dem Computer des Heimanwenders eine
Lizenz gibt. Ist dies nicht der Fall wird der Benutzer an eine Seite weitergeleitet, auf der er die Lizenz
registrieren kann.

Secure Audio Path - Der Windows Media Rights Manager stellt den Inhaltsschutz bei den
Betriebssystemen Windows Millennium Edition und Windows XP im Betriebssystem vom Player bis
zum Soundkartentreiber sicher. Diese sichere Beziehung verringert die Wahrscheinlichkeit, dass ein
nicht autorisiertes Programm einen digitalen Medienstream in einem Computer aufzeichnet.

Verbesserungen bei der Sperrung und Erneuerbarkeit - Der Windows Media Rights Manager
ermöglicht das Sperren gefährdeter Player, wenn neue Player erhältlich sind.
Seite 159 von 209
MS 70-649
22.12.2009

Problemlos änderbare Lizenzbedingungen - Da Lizenzen und digitale Mediendateien separat
gespeichert werden, können die Lizenzbedingungen auf dem Lizenzierungsserver geändert werden,
ohne dass die digitale Mediendatei neu verteilt oder neu verpackt werden muss.

Verschlüsselung von Inhalten in Echtzeit - Mit dem Rechte-Manager der Windows Media 9-Reihe
und höher können Inhaltsbesitzer geschützte digitale Liveinhalte, wie z. B. Nachrichten,
Rockkonzerte und wichtige Sportveranstaltungen, live über das Internet übermitteln, ohne dass die
Inhalte zuerst zusammengefasst und gespeichert werden müssen. Diese neue Funktion bietet die
simultane Codierung und Verschlüsselung und schützt die nicht autorisierte Verwendung von
Liveinhalten, während Benutzer sich Übertragungen in Echtzeit über das Internet ansehen können.
219. Sie sind Administrator bei Contoso. Das Firmennetzwerk besteht aus zwei separaten Active Directory
Domänen mit den Namen Contoso.de und traincert.de. Zwischen den beiden Domänen wurden bislang
keine Vertrauensstellungen konfiguriert.
Um der Anforderung nach einem gemeinsamen Zugriff auf Dateien nachzukommen, planen Sie die
Konfiguration einer Vertrauensstellung zwischen Contoso.de und traincert.de.
Bevor Sie die notwendigen Aktionen durchführen, müssen Sie identifizieren, welche der nachstehenden
Aussagen richtig sind.
Welche der folgenden Aussagen sind korrekt? (Wählen Sie alle zutreffenden Antworten.)
A. Jeder Benutzer der Domäne Contoso.de hat die Möglichkeit, auf alle Ressourcen der Domäne
traincert.de zuzugreifen.
B. Jeder Benutzer der Domäne traincert.de hat die Möglichkeit, auf alle Ressourcen der Domäne
Contoso.de zuzugreifen.
C. Ressourcen können nicht gemeinsam von Benutzern verschiedener Domänen verwendet werden.
D. Benutzer der Domäne Contoso.de haben keine Berechtigungen zum Zugriff auf Ressourcen der Domäne
traincert.de.
E. Benutzer der Domäne traincert.de haben keine Berechtigungen zum Zugriff auf Ressourcen der Domäne
Contoso.de.
Answer: D,E
Erläuterungen:
Eine Vertrauensstellung zwischen zwei Domänen bietet zunächst nur die Möglichkeit Benutzer der einen
Domäne in der anderen Domäne zu authentifizieren und diesen Benutzern Berechtigungen für den
Ressourcenzugriff zu erteilen. Standardmäßig werden mit der Erstellung einer Vertrauensstellung jedoch
keine Berechtigungen erteilt.
Gesamtstruktur mit mehreren Domänen.
Welche der folgenden Aussagen beschreibt die zwischen den Domänen innerhalb eines Baumes einer
Gesamtstruktur automatisch erstellten Vertrauensstellungen am besten?
A. Die Vertrauensstellungen zwischen den Domänen einer Gesamtstruktur sind transitiv.
B. Die Vertrauensstellungen zwischen den Domänen einer Gesamtstruktur sind bidirektional.
C. Die Vertrauensstellungen zwischen den Domänen einer Gesamtstruktur sind transitiv bidirektional.
D. Die Vertrauensstellungen zwischen den Domänen einer Gesamtstruktur sind nicht transitiv bidirektional.
E. Die Vertrauensstellungen zwischen den Domänen einer Gesamtstruktur sind unidirektional.
Answer: C
Erläuterungen:
Eine Vertrauensstellung ist eine Beziehung, die Sie zwischen Domänen herstellen. Dadurch können die
Benutzer in einer Domäne von einem Domänencontroller in der anderen Domäne authentifiziert werden.
Seite 160 von 209
MS 70-649
22.12.2009
Alle Vertrauensstellungen in einer Windows 2000 Server-, Windows Server 2003- und Windows Server
2008-Gesamtstruktur sind transitive bidirektionale Vertrauensstellungen. Deshalb wird beiden Domänen in
einer Vertrauensstellung vertraut. Aus der folgenden Abbildung ist Folgendes ersichtlich: Wenn Domäne A
Domäne B vertraut und Domäne B Domäne C vertraut, können Benutzer aus Domäne C auf Ressourcen in
Domäne A zugreifen (sofern ihnen die entsprechenden Berechtigungen zugewiesen werden).
Vertrauensstellungen können nur von Mitgliedern der Gruppe Domänen-Admins verwaltet werden.
Welche zwei der nachstehenden Objekte sind nicht abhängig von einem DNS-Namensraum? (Jede korrekte
A. Organisationseinheiten (OUs)
B. Active Directory-Domänen
C. Active Directory-Domänenbäume
D. Active Directory-Gesamtstrukturen
E. DNS-Zonen
F. Active Directory-Standorte
Answer: A,F
Erläuterungen:
Organisationseinheiten (OUs) dienen zum Gruppieren anderer Objekte in Active Directory und werden nicht
in DNS registriert. OUs sind ein wesentlicher Bestandteil der logischen Struktur des Active Directory.
Active Directory Standorte werden ebenfalls nicht in DNS registriert. Es werden jedoch standortspezifische
Dienstidentifizierungseinträge (SRV) registriert.
Domäne mit dem Namen Contoso.de. Die Domäne umfasst drei Standorte.
Ihr Vorgesetzter bittet Sie, die Standortverknüpfungen so zu konfigurieren, dass sie transitiv sind.
Seite 161 von 209
MS 70-649
22.12.2009
Welches Active Directory Objekt werden Sie verwenden, um transitive Beziehungen zwischen den
Standorten sicherzustellen?
A. Zusätzliche Standorte
B. Zusätzliche Standortverknüpfungen
C. Bridgeheadserver
D. Standortverknüpfungsbrücken
Answer: D
Erläuterungen:
Mithilfe von Standortverknüpfungseinstellungen können Sie die Replikation zwischen Standorten steuern. Zu
den konfigurierbaren Einstellungen zählen die relativen Kosten jeder Standortverknüpfung, die
Replikationsrate jeder Standortverknüpfung und die Verfügbarkeit jeder Standortverknüpfung für die
Replikation.
Standardmäßig sind alle Standortverknüpfungen überbrückt bzw. transitiv. Auf diese Weise können zwei
beliebige Standorte, die nicht mittels einer expliziten Standortverknüpfung miteinander verbunden sind, über
eine Abfolge von Zwischenstandortverknüpfungen und -standorten direkt miteinander kommunizieren. Ein
Vorteil der Überbrückung aller Standortverknüpfungen ist, dass das Netzwerk einfacher zu verwalten ist, weil
Sie keine Standortverknüpfung erstellen müssen, um jeden denkbaren Pfad zwischen Standortpaaren zu
beschreiben.
Im Allgemeinen können Sie die automatischen Standortverknüpfungsbrücken aktiviert lassen. In den
folgenden Fällen sollten Sie allerdings für bestimmte Standortverknüpfungen die automatischen
Standortverknüpfungsbrücken deaktivieren und Standortverknüpfungsbrücken manuell erstellen:

Ihr Netzwerk ist nicht vollständig geroutet (nicht jeder Domänencontroller kann direkt mit jedem
anderen Domänencontroller kommunizieren).

Eine Netzwerkrouting- oder Sicherheitsrichtlinie ist vorhanden, die verhindert, dass jeder
Domänencontroller direkt mit jedem anderen Domänencontroller kommunizieren kann.

Ihr Active Directory-Entwurf enthält eine Vielzahl von Standorten.
So erstellen Sie eine Standortverknüpfungsbrücke
1. Öffnen Sie Active Directory-Standorte und -Dienste.
2. Klicken Sie in der Konsolenstruktur mit der rechten Maustaste auf den Ordner des
standortübergreifenden Transports, für den Sie eine neue Standortverknüpfungsbrücke erstellen
möchten, und klicken Sie dann auf Neue Standortverknüpfungsbrücke.
3. Geben Sie unter Name einen Namen für die Standortverknüpfungsbrücke ein.
4. Klicken Sie auf zwei oder mehrere zu überbrückende Verknüpfungen, und klicken Sie dann auf
Hinzufügen.
Ihr Vorgesetzter möchte mehrere neue Router implementieren, um das Netzwerk in kleinere Segmente zu
untergliedern und bessere Kontrolle über den Datenverkehr zwischen einzelnen Bereichen des Netzwerks
zu erlangen.
Sie müssen die Replikation des Active Directory rekonfigurieren, um den physikalischen Änderungen des
Netzwerks gerecht zu werden.
Welches Active Directory Objekt werden Sie verwenden, um Netzwerkgrenzen für Active Directory Standorte
zu definieren?
Seite 162 von 209
MS 70-649
22.12.2009
A. Standortverknüpfungen
B. Standortverknüpfungsbrücken
C. Bridgeheadserver
D. Subnets
Answer: D
Erläuterungen:
In Active Directory repräsentieren Standorte die physikalische Struktur bzw. Topologie Ihres Netzwerks.
Active Directory erstellt mithilfe von Topologieinformationen, die als Standort- und
Standortverknüpfungsobjekte in Active Directory gespeichert sind, die effizienteste Replikationstopologie.
Standorte und Standortverknüpfungen definieren Sie mit Active Directory-Standorte und -Dienste. Ein
Standort besteht aus Subnetzen, die gut miteinander verbunden sind. Standorte unterscheiden sich von
Domänen. Standorte repräsentieren die physikalische Struktur Ihres Netzwerks, während Domänen die
logische Struktur Ihrer Organisation repräsentieren.
Domäne mit dem Namen Contoso.de. Das Unternehmen hat Standorte in Bremen und Hamburg.
Zwischen den beiden Standorten bestehen eine 10-MBit SDSL Leitung und eine ISDN Wählverbindung zur
Ausfallsicherheit.
Sie wollen sicherstellen, dass die Active Directory Replikation standardmäßig über die SDSL Leitung erfolgt
und nur bei einem Ausfall der SDSL Leitung die Wählverbindung verwendet wird.
Welche zwei der nachstehenden Schritte werden Sie durchführen, um Ihr Ziel zu erreichen?
A. Verringern Sie die Kosten der SDSL Leitung.
B. Verringern Sie die Kosten der Wählverbindung.
C. Erhöhen Sie die Kosten der SDSL Leitung.
D. Erhöhen Sie die Kosten der Wählverbindung.
Answer: A,D
Erläuterungen:
Mithilfe von Standortverknüpfungseinstellungen können Sie die Replikation zwischen Standorten steuern. Zu
den konfigurierbaren Einstellungen zählen die relativen Kosten jeder Standortverknüpfung, die
Replikationsrate jeder Standortverknüpfung und die Verfügbarkeit jeder Standortverknüpfung für die
Replikation. Informationen zu Standortverknüpfungen finden Sie unter Replikation zwischen Standorten.
Kosten der Standortverknüpfungen
Die Kosten einer Standortverknüpfung bestimmt die relative Bevorzugung der Konsistenzprüfung
(Knowledge Consistency Checker, KCC) von Active Directory für die Verwendung einer bestimmten
Standortverknüpfung in der Replikationstopologie. Je teurer eine Standortverknüpfung ist, desto
unwahrscheinlicher ist es, dass sie von der Konsistenzprüfung als bevorzugte Standortverknüpfung
verwendet wird. Wenn z. B. zwei Standortverknüpfungen vorhanden sind, nämlich Standortverknüpfung A
und Standortverknüpfung B, und Sie die Kosten für die Standortverknüpfung A auf 150 und die Kosten für
die Standortverknüpfung B auf 200 festlegen, bevorzugt die Konsistenzprüfung die Standortverknüpfung A in
der Replikationstopologie. Standardmäßig betragen die Kosten einer neu erstellten Standortverknüpfung
100. Informationen zum Festlegen der Kosten für Standortverknüpfungen finden Sie unter So konfigurieren
Sie Standortverknüpfungskosten.
Replikationsrate
Die Replikationsrate einer Standortverknüpfung bestimmt, wie oft die Replikation über diese
Standortverknüpfung erfolgt. Standardmäßig beträgt die Replikationsrate für eine Standortverknüpfung 180
Minuten. Dies bedeutet, dass die Replikation über diese Standortverknüpfung alle 180 Minuten, also alle drei
Stunden, erfolgt. Mit Active Directory-Standorte und -Dienste können Sie die Replikationsrate zwischen 15
und 10.080 Minuten (1 Woche) festlegen. Eine Standortverknüpfung muss verfügbar sein, damit die
Replikation ausgeführt werden kann. Sollte eine Standortverknüpfung nicht verfügbar sein, nachdem die
Seite 163 von 209
MS 70-649
22.12.2009
Minuten zwischen den Replikationsaktualisierungen verstrichen sind, erfolgt keine Replikation.
Verfügbarkeit der Standortverknüpfungen
Die Verfügbarkeit einer Standortverknüpfung bestimmt, zu welchen Uhrzeiten oder an welchen Tagen eine
Standortverknüpfung für die Replikation verwendet werden kann. Standardmäßig ist eine
Standortverknüpfung an 7 Tagen der Woche 24 Stunden lang für die Replikation verfügbar. Sie können
diesen Zeitplan ändern, um z. B. Geschäftszeiten auszuschließen, in denen Ihr Netzwerk mit anderem
Datenverkehr ausgelastet ist. Oder Sie schließen bestimmte Tage aus, an denen keine Replikation
stattfinden soll. Die Zeitplaninformationen werden von Standortverknüpfungen, die das SMTP-Protokoll
(Simple Mail Transfer Protocol) zur Replikation verwenden, ignoriert.
Anmerkung
Genau genommen funktioniert diese Aufgabenstellung in der Praxis nicht. Die Active Directory
Verbindungen zwischen den Standorten bilden keine physikalischen Leitungen ab. Standortverknüpfungen
im Active Directory bilden vielmehr Netzwerkrouten zwischen Subnetzen ab. Das Verwenden einer
alternativen Leitung bei einem Ausfall wird vom Router übernommen und geschieht für das Active Directory
völlig transparent.
Sie sind verantwortlich für die Konfiguration von Standorten und Subnetzen. Sie müssen die Planung eines
Auszubildenden bezüglich neuer Active Directory Subnetzobjekte überprüfen.
Welches der folgenden Subnetzobjekte kann nicht verwendet werden?
A. 10.1.1.0/8
B. 192.168.256.0/24
C. 11.1.1.0/8
D. 172.16.1.0/16
Answer: B
Erläuterungen:
Für die Subnetze eines LANs sollten grundsätzlich Adressbereiche für die private Nutzung verwendet
werden. Dies würde auch Antwort C ausschließen. Während der Adressbereich 11.1.1.0/8 aber durchaus
konfiguriert werden kann, ist der Adressberech aus Antwort B ungültig.
Private IP-Adressen gehören zu bestimmten IP-Adressbereichen, die im Internet nicht geroutet werden. Sie
können von jedem für private Netze wie etwa LANs verwendet werden.
Von der IANA wurden drei private IP-Adressbereiche festgelegt, wobei sich jeder der drei Bereiche in einer
anderen Klasse des historischen Netzklassen-Konzepts befindet. Die Adressbereiche wurden 1994 im RFC
1597 dokumentiert. Dieses RFC wurde anschließend 1996 von dem noch heute gültigen RFC 1918
abgelöst, wobei die privaten Adressbereiche nicht geändert worden sind.
Mittels Subnetting kann auch nur ein Teil eines privaten Adressbereichs genutzt werden.
Adressbereiche für die private Nutzung:
Seite 164 von 209
MS 70-649
22.12.2009
Domäne mit dem Namen Contoso.de. Auf allen Domänencontrollern ist das Betriebssystem Windows Server
2003 installiert.
Ihr Vorgesetzter bittet Sie alle Domänencontroller auf Windows Server 2008 zu aktualisieren.
Nachdem Sie die Domänencontroller aktualisiert haben, möchten Sie sicherstellen, dass das Sysvol
Verzeichnis die DFS Replikation (DFS-R) anstelle des Dateireplikationsdienstes (FRS) verwendet.
Wie gehen Sie vor?
A. Führen Sie den Befehl Dfsutil /AddFTRoot:Sysvolume an der Eingabeaufforderung aus.
B. Führen Sie den Befehl Netdom /dfs-r an der Eingabeaufforderung aus.
C. Führen Sie den Befehl Dcpromo /Attend:Attendfile.xml an der Eingabeaufforderung aus.
D. Stufen Sie die Funktionsebene der Domäne auf Windows Server 2008 herauf.
Answer: D
Erläuterungen:
Nach der Migration der Domain Controller auf Windows Server 2008 kann die SYSVOL Replikation dem
DFS-R Dienst übertragen werden. Der Dateireplikationsdinest (File Replication Service, FRS), der dies
bislang durchgeführt hat, kann anschließend abgeschaltet werden. Das Heraufstufen der
Domänenfunktionsebene auf Windows Server 2008 ist der erste jedoch nicht der einzigste Schritt in diesem
Prouzess. Für die weiteren Schritte im Rahmen der Migration kommt vorwiegend das
Befehlszeilenprogramm Dfsmig.exe zum Einsatz.
Domäne mit dem Namen Contoso.de. Die Domäne umfasst drei Standorte.
Sie sind verantwortlich für die Konfiguration und die Überwachung der Active Directory Replikation.
Welches der nachstehenden Objekte müssen Sie im Rahmen der Replikation nicht manuell erstellen?
A. Standorte
B. Standortverknüpfungen
C. Verbindungsobjekte
D. Subnetze
Answer: C
Erläuterungen:
Standortverknüpfungen für die standortübergreifende (Inter-Site) Replikation müssen manuell erstellt
werden.
Seite 165 von 209
MS 70-649
22.12.2009
Wenn Sie Standortverknüpfungen im Container Sites\ Inter-Site Transports\ IP auf der Basis von Standorten
erstellen, werden die Verbindungsobjekte auf Serverebene automatisch erstellt und bei einem Verschieben
des Servers auch automatisch angepasst.
Domäne mit dem Namen Contoso.de. Die Domäne umfasst fünf Standorte. Auf allen Domänencontrollern ist
das Betriebssystem Windows Server 2008 installiert.
Sie erstellen mehrere neue Benutzerobjekte und stellen fest, dass die neuen Konten nicht auf die
Domänencontroller der anderen Standorte repliziert werden.
Welches der nachstehenden Tools können Sie verwenden, um die Replikation Ihrer Domänencontroller zu
überprüfen?
A. RepConsole.exe
B. RepAdmin.exe
C. RepView.exe
D. RepMonitor.exe
Answer: B
Erläuterungen:
Unter Windows Server 2003 war das Befehlszeilenprogramm RepAdmin.exe Bestandteil der Microsoft
Supporttools und musste mit diesen nachinstalliert werden. Unter Windows Server 2008 wird das Programm
nun standardmäßig mit der Rolle Active Directory Domänendienste (AD DS) installiert.
Das Befehlszeilenprogramm RepAdmin ermöglicht das Sicherstellen einer konsistenten Replikation
zwischen Replikationspartnern; Überwachen des Replikationsstatus, Anzeigen von Replikationsmetadaten;
Erzwingen von Replikationsereignissen und Neuberechnungen der Konsistenzprüfung.
des Unternehmens befindet sich in München. Auf allen Servercomputern wird Windows Server 2008
ausgeführt. Auf allen Clientcomputern wird Windows Vista ausgeführt.
Das Netzwerk enthält einen Virtual Private Network (VPN) Server mit dem Namen Server1. Contoso
beschäftigt Remotebenutzer, die sensible Informationen über VPN-Verbindungen mit Server1 übertragen.
Die Firmensicherheitsrichtlinien schreiben vor, dass Benutzer oder Computer, die sich mit Server1
verbinden, eine Public Key Infrastruktur (PKI) einbeziehen müssen, um sich mit der Domäne zu verbinden
und Daten zu übertragen.
Sie müssen sicherstellen, dass die Anforderungen der Firmensicherheitsrichtlinie eingehalten werden.
Wie gehen Sie vor?
A. Führen Sie an der Eingabeaufforderung auf Server1 den Befehl secedit /refreshpolicy machine_policy
aus.
B. Erstellen Sie eine Netzwerkrichtlinie und stellen Sie sicher, dass nur der Tunneltyp Layer Two Tunneling
Protocol (L2TP) in Verbindung mit der zertifikatsbasierten Authentifizierung zugelassen wird.
C. Erstellen Sie eine benutzerdefinierte IP-Sicherheitsrichtlinie (IPSec) und stellen Sie sicher, dass das
Authentifizierungsprotokoll Kerberos Version 5 verwendet wird.
D. Erstellen Sie eine benutzerdefinierte IP-Sicherheitsrichtlinie (IPSec) und verwenden Sie einen
vorinstallierten Schlüssel für die Authentifizierung.
Answer: B
Erläuterungen:
Die Firmensicherheitsrichtlinie schreibt vor, dass Benutzer oder Computer, die sich per VPN mit dem
Firmennetzwerk verbinden möchten, eine Public Key Infrastruktur (PKI) einbeziehen müssen. Dies ist ein
Hinweis darauf, dass im Rahmen der Authentifizierung Zertifikate verwendet werden müssen. Antwort B
Seite 166 von 209
MS 70-649
22.12.2009
stellt sicher, dass für alle VPN-Verbindungen eine zertifikatsbasierte Authentifizierung erforderlich ist.
befindet sich in Hamburg. Darüber hinaus betreibt das Unternehmen eine Zweigstelle in Bremen.
Auf allen Servercomputern im Firmennetzwerk ist das Betriebssystem Windows Server 2008 installiert. Auf
allen Clientcomputern wird Windows Vista ausgeführt.
Sie erhalten Anweisung nach Bremen zu reisen, um dort einen neuen Windows Server 2008 Computer zu
installieren. Nach der Installation müssen Sie eine Verbindung mit einer Windows Server 2008 Server CoreInstallation in der Hauptgeschäftsstelle herstellen.
A. Führen Sie auf dem neuen Server den Befehl winrs -r "Server Core Name" dir C:\Windows aus.
B. Verwenden Sie den Server-Manager auf dem neuen Server und stellen Sie eine Verbindung mit der
Windows Server 2008 Server Core-Installation in der Hauptgeschäftsstelle her.
C. Führen Sie auf dem Server mit der Windows Server 2008 Server Core-Installation den Befehl slmgr.vbs ato aus.
D. Führen Sie auf dem Server mit der Windows Server 2008 Server Core-Installation den Befehl netsh und
anschließend set port status aus.
Answer: A,D
Erläuterungen:
Das Befehlszeilenprogramm Netsh.exe ermöglicht es, den Server mit der Windows Server 2008 Server
Core-Installation so zu konfigurieren, dass die Windows Remote Management (WinRM) Verbindung
angenommen wird. Über den Befehl set port status kann ein Port für die Verbindung spezifiziert werden.
Mit der Windows Remote Management Clientkomponente WinRS können anschließend Befehle auf den
WinRM Server übertragen und dort ausgeführt werden, die Ausgabe des jeweiligen Befehls wird dabei
wieder an den Client zurückgegeben.
Die Basis-Syntax sieht wie folgt aus:
winrs -r:target command
Um den Remotedesktop eines entfernten System einzuschalten, kann die nachfolgende Befehlszeile
verwendet werden:
winrs -r:SEA-SC2 cscript %WINDIR%\system32\scregedit.wsf /ar 0
Sie haben die Installation einer Windows Server 2008 Server Core-Installation abgeschlossen und müssen
nun neue Freigaben für die Benutzer erstellen.
Wie gehen Sie vor?
A. Verwenden Sie das Befehlszeilenprogramm Share.exe.
B. Verwenden Sie das Befehlszeilenprogramm Netsh.exe.
C. Verwenden Sie das Befehlszeilenprogramm Ipconfig.exe.
D. Verwenden Sie das Befehlszeilenprogramm Net Share.
Answer: D
Erläuterungen:
Der Befehl Net Share erstellt freigegebene Ressourcen, löscht sie oder zeigt sie an.
Seite 167 von 209
MS 70-649
22.12.2009
Beispiele für die Verwendung:
net share
net share Freigabename
net share Freigabename=Laufwerk:Pfad [/users:Anzahl| /unlimited] [/remark:"Beschreibung"]
net share Freigabename [/users:Anzahl| unlimited] [/remark:"Beschreibung"]
net share {Freigabename | Laufwerk:Pfad} /delete
Beschreibung der Parameter:
ohne Parameter
Ohne Parameter zeigt der Befehl net share Informationen über alle auf dem lokalen Computer
freigegebenen Ressourcen an.
Freigabename
Wird der Befehl net share zusammen mit Freigabename verwendet, werden Informationen über die
betreffende Freigabe angezeigt.
Laufwerk:Pfad
Legt den absoluten Pfad des Verzeichnisses fest, das freigegeben werden soll.
/users:Anzahl
Legt die maximale Anzahl von Benutzern fest, die gleichzeitig auf die freigegebene Ressource zugreifen
können.
/unlimited
Legt fest, dass eine unbegrenzte Anzahl von Benutzern gleichzeitig auf die freigegebene Ressource
zugreifen kann.
/remark:"Beschreibung"
Fügt eine Beschreibung der Ressource hinzu. Der Text muss in Anführungszeichen eingeschlossen sein.
/delete
Beendet die Freigabe der Ressource.
Sie haben die Installation einer Windows Server 2008 Server Core-Installation abgeschlossen und müssen
nun Datenträgerkontingente für die Domänenbenutzer erstellen.
Wie gehen Sie vor?
A. Verwenden Sie das Befehlszeilenprogramm Net.
B. Verwenden Sie das Befehlszeilenprogramm Share.
C. Verwenden Sie das Befehlszeilenprogramm StorRept.
D. Verwenden Sie das Befehlszeilenprogramm DirQuota.
Answer: D
Seite 168 von 209
MS 70-649
22.12.2009
Erläuterungen:
Die folgenden Befehlszeilentools werden mit dem Ressourcen-Manager für Dateiserver installiert:

Dirquota.exe Mit diesem Tool können Sie Kontingente, automatisch zugewiesene Kontingente und
Kontingentvorlagen erstellen und verwalten.

Filescrn.exe Mit diesem Tool können Sie Dateiprüfungen, Dateiprüfungsvorlagen,
Dateiprüfungsausnahmen und Dateigruppen erstellen und verwalten.

Storrept.exe Mit diesem Tool können Sie Berichtsparameter konfigurieren und Speicherberichte
nach Bedarf generieren. Verwenden Sie dieses Tool außerdem zum Erstellen von Berichtstasks, die
Sie mithilfe von schtasks.exe planen können.
Jedes Tool bietet mehrere Möglichkeiten zum Ausführen von Aktionen, die den im MMC-Snap-In
Ressourcen-Manager für Dateiserver verfügbaren Aktionen ähneln. Wenn Sie eine Aktion über einen Befehl
auf einem Remotecomputer und nicht auf einem lokalen Computer ausführen möchten, verwenden Sie den
/remote:ComputerName-Parameter.
Beispielsweise werden durch den Befehl Dirquota.exe ein template export-Parameter zum Schreiben von
Kontingentvorlageneinstellungen in eine XML-Datei und ein template import-Parameter zum Importieren von
Vorlageneinstellungen aus der XML-Datei eingefügt. Wenn Sie den /remote:ComputerName-Parameter dem
Befehl Dirquota.exe template import hinzufügen, werden die Vorlagen aus der XML-Datei auf dem lokalen
Computer auf den Remotecomputer importiert.
Servercomputern wird Windows Server 2008 ausgeführt. Auf allen Clientcomputern ist Windows Vista
installiert.
Sie haben die Installation von Windows Server 2008 Server Core auf einem neuen Computer
abgeschlossen.
Ihr Vorgesetzter bittet Sie sicherzustellen, dass eine E-Mail versendet wird, wenn ein einzelner
Domänenbenutzer mehr als 90 MB Speicherplatz belegt. Auf diese Weise sollen Benutzer daran gehindert
werden, mehr als 100 MB Speicherplatz zu verwenden.
Sie entschließen sich für den Einsatz von Datenträgerkontingenten.
Wie gehen Sie vor?
A. Erstellen Sie eine weiche Kontingentgrenze mit einem Limit von 90 MB und eine zweite weiche
Kontingentgrenze mit einem Limit von 100 MB.
B. Erstellen Sie eine harte Kontingentgrenze mit einem Limit von 90 MB und eine zweite harte
Kontingentgrenze mit einem Limit von 100 MB.
C. Erstellen Sie eine einzelne weiche Kontingentgrenze mit einem Limit von 100 MB und einem
Benachrichtigungsschwellenwert 90 Prozent.
D. Erstellen Sie eine einzelne harte Kontingentgrenze mit einem Limit von 100 MB und einem
Benachrichtigungsschwellenwert 90 Prozent.
Answer: D
Erläuterungen:
Mit Kontingenten können Sie den für ein Volume oder einen Ordner zulässigen Speicherplatz einschränken
und Benachrichtigungen generieren, wenn die Kontingentgrenzen erreicht oder überschritten werden.
Eine harte Kontingentgrenze gibt an, dass Benutzer die Kontingentgrenze nicht überschreiten dürfen.
Eine weiche Kontingentgrenze gibt an, dass Benutzer die Kontingentgrenze überschreiten dürfen, in diesem
Fall jedoch konfigurierte Benachrichtigungen generiert werden.
Seite 169 von 209
MS 70-649
22.12.2009
Servercomputern wird Windows Server 2008 ausgeführt. Auf allen Clientcomputern ist Windows Vista
installiert.
Sie planen Änderungen an einer Vielzahl von kritischen Konfigurationsdateien auf einem Mitgliedsserver mit
dem Namen Server5. Während einer Routineüberprüfung stellen Sie fest, dass wichtige Informationen bei
einem Stromausfall verloren gegangen sind.
Sie müssen einen früheren Status der kritischen Dateien wiederherstellen.
Wie gehen Sie vor?
A. Verwenden Sie das Befehlszeilenprogramm DirQuota.
B. Verwenden Sie das Befehlszeilenprogramm Ipconfig.
C. Verwenden Sie das Befehlszeilenprogramm Share.
D. Verwenden Sie das Befehlszeilenprogramm Vssadmin.
Answer: D
Erläuterungen:
Vssadmin.exe ist das Verwaltungsbefehlszeilenprogramm des Volumeschattenkopie-Dienstes und bietet
Unterstützung für folgende Befehle:

Add ShadowStorage - Fügt eine neue Volumeschattenkopie-Assoziation hinzu.

Create Shadow - Erstellt eine neue Volumeschattenkopie.

Delete Shadows - Löscht Volumeschattenkopien.

Delete ShadowStorage - Löscht Volumeschattenkopie-Speicherassoziationen.

List Providers - Zeigt die registrierten Volumeschattenkopie-Anbieter an.

List Shadows - Zeigt bestehende Volumeschattenkopien an.

List ShadowStorage - Zeigt Volumeschattenkopie-Speicherassoziationen an.

List Volumes - Zeigt Volumes an, auf denen Volumeschattenkopien erstellt werden können.

List Writers - Zeigt abonnierte Volumeschattenkopie-Verfasser an.

Resize ShadowStorage - Ändert die Gräte einer Schattenkopie-Speicherassoziation. Revert Shadow
- Wiederherstellen einer Schattenkopie aus einem Volume

Query Reverts - Den Verlauf der aktuell ausgef hrten Wiederherstellungsvorgänge abfragen.
Das Netzwerk enthält einen Dateiserver mit dem Namen Server2.
Ihr Vorgesetzter bittet Sie eine manuelle Sicherung von Volume D: des Dateiservers zu erstellen. Er übergibt
Ihnen einen externen USB-Datenspeicher, der als Ziel für die Sicherungsdateien verwendet werden soll. Das
USB-Laufwerk wird unter dem Buchstaben F: auf Server2 eingebunden.
Sie entschließen sich, Windows Server-Sicherung zu verwenden, um der Bitte Ihres Vorgesetzten
nachzukommen.
Sie müssen Ihrem Vorgesetzten mitteilen, an welchem Speicherort die Sicherung erstellt wird.
In welchem der folgenden Speicherorte wird Windows Server-Sicherung die Sicherung von Volume D:
Seite 170 von 209
MS 70-649
22.12.2009
erstellen?
A. Die Sicherung wird im Pfad F:\WindowsFileBackup\Server2\ erstellt.
B. Die Sicherung wird im Pfad F:\WindowsImageBackup\Server2\ erstellt.
C. Die Sicherung wird im Pfad F:\Server2\WindowsImage\Backup\ erstellt.
D. Die Sicherung wird im Pfad F:\WindowsIMage\Backup\\Server2\ erstellt.
Answer: B
Erläuterungen:
Das Feature Windows Server-Sicherung in Windows Server 2008 besteht aus einem MMC-Snap-In
(Microsoft Management Console) sowie Befehlszeilentools, die zusammen eine vollständige Lösung für
tägliche Sicherungs- und Wiederherstellungsaufgaben darstellen. Sie werden von vier Assistenten durch die
Ausführung der Sicherungen und Wiederherstellungen geleitet. Mit der Windows Server-Sicherung können
Sie einen vollständigen Server (alle Volumes), ausgewählte Volumes oder den Systemstatus sichern. Sie
können Volumes, Ordner, Dateien, bestimmte Anwendungen und den Systemstatus wiederherstellen. In
Notfällen, z. B. bei Festplattenausfall, können Sie zudem eine Systemwiederherstellung ausführen, mit der
das gesamte System auf einer neuen Festplatte wiederhergestellt wird. Dazu werden eine vollständige
Serversicherung und die Windows-Wiederherstellungsumgebung verwendet.
Mit der Windows Server-Sicherung können Sie Sicherungen für den lokalen Computer oder einen
Remotecomputer erstellen und verwalten. Außerdem können Sie die automatische Ausführung von
Sicherungen planen.
Wenn Sie Windows Server-Sicherung, um eine Einmalsicherung in einem freigegebenen Remoteordner
oder auf einem lokalen Volume zu speichern werden dem Zielspeicher die Ordner \WindowsImageBackup\
hinzugefügt. Die Sicherung wird im Ordner gespeichert.
Servercomputern ist das Betriebssystem Windows Server 2008 installiert. Auf allen Clientcomputern wird
Windows Vista ausgeführt.
Sie administrieren einen Windows Server 2008 Dateiserver mit dem Namen Server2. Durch einen
Stromausfall sind einige Dateien auf Server2 verloren gegangen.
Sie müssen Windows Server-Sicherung verwenden, um die verloren gegangenen Daten wiederherzustellen.
Zuvor müssen Sie ermitteln, welche Möglichkeiten Ihnen das Programm Windows Server-Sicherung bietet.
Welche der nachfolgenden Aussagen treffen zu? (Wählen Sie alle zutreffenden Antworten.)
A. Sie können ein Volume ohne Systemkomponenten wiederherstellen.
B. Sie können ein Volume mit Systemkomponenten wiederherstellen.
C. Sie können Dateien überschreiben, die in Verwendung sind.
D. Sie können einzelne Dateien und Verzeichnisse wiederherstellen.
Answer: A,D
Erläuterungen:
Mit dem Wiederherstellungs-Assistenten in Windows Server-Sicherung können Sie von einer Sicherung
Dateien und Ordner wiederherstellen. Bevor Sie beginnen, sollten Sie Folgendes beachten:

Stellen Sie sicher, dass auf dem Computer, auf dem Sie Dateien wiederherstellen, Windows Server
2008 ausgeführt wird.

Überzeugen Sie sich, dass auf einem externen Datenträger oder in einem freigegebenen
Remoteordner mindestens eine Sicherung vorhanden ist. Dateien und Ordner können nicht von
Sicherungen auf DVDs oder Wechselmedien wiederhergestellt werden. Stellen Sie außerdem
sicher, dass die Sicherung keine Systemstatussicherung darstellt. Die Wiederherstellung von
Dateien und Ordnern ist von Sicherungen des Systemstatus nicht möglich.
Seite 171 von 209
MS 70-649
22.12.2009

Stellen Sie sicher, dass der externe Datenträger oder der freigegebene Ordner zum Hosten der
Sicherung online und für den Server verfügbar ist.

Bestimmen Sie die Dateien oder Ordner, die Sie wiederherstellen möchten.
Mit dem Wiederherstellungs-Assistenten in Windows Server-Sicherung können Sie ein Volume
wiederherstellen. Wenn Sie ein vollständiges Volume wiederherstellen, wird der gesamte Inhalt des Volumes
wiederhergestellt. Es ist dann nicht möglich, einzelne Dateien oder Ordner wiederherzustellen. Bevor Sie
beginnen, sollten Sie Folgendes beachten:

Stellen Sie sicher, dass auf dem Computer, auf dem Sie Volumes wiederherstellen, Windows Server
2008 ausgeführt wird.

Stellen Sie sicher, dass der externe Datenträger oder der freigegebene Ordner zum Hosten der
Sicherung online und für den Server verfügbar ist. Wenn Sie die Sicherung auf DVDs oder
Wechselmedien ausführen, stellen Sie sicher, dass das DVD-Laufwerk bzw. das Gerät mit dem
lokalen Server verbunden und online ist und dass alle DVDs mit Teilen der Sicherung beschriftet und
verfügbar sind.

Bestimmen Sie, welche Volumes Sie wiederherstellen möchten.
Falsche Antworten:
B: Das Serverbetriebssystem oder einen vollständigen Server können Sie mithilfe eines Windows SetupDatenträgers und einer zuvor mit Windows Server-Sicherung erstellten Sicherung wiederherstellen. Mit dem
Windows Setup-Datenträger können Sie auf die Seite Systemwiederherstellungsoptionen in der WindowsWiederherstellungsumgebung zugreifen, von wo aus der Prozess gestartet wird.
C: Sie können keine Dateien wiederherstellen, die in Verwendung sind. Sie müssen diese Dateien zunächst
an einen alternativen Speicherort wiederherstellen.
Sie administrieren einen Windows Server 2008 Computer mit dem Namen Server1. Auf Server1 ist die Rolle
Terminaldienste installiert. Die Terminaldienst-Benutzerprofile der Benutzer befinden sich auf einem Server
mit dem Namen Server2. Ein Windows Server 2008 Dateiserver mit dem Namen Server3 hostet die
Basisverzeichnisse aller Domänenbenutzer.
Während einer Routineüberprüfung stellen Sie fest, dass auf Server2 nur noch 8 Prozent freier
Speicherplatz zur Verfügung stehen. Weitere Untersuchungen ergeben, dass die Benutzer ihre Dateien in
den Benutzerprofilen anstelle der Basisverzeichnisse speichern.
Sie wollen den Speicherplatz pro Benutzer auf 225 MB beschränken.
Wie gehen Sie vor?
A. Konfigurieren Sie Datenträgerkontingente für das Volume, auf dem die Profile gespeichert werden.
Beschränken Sie den Speicherplatz auf 225 MB.
B. Konfigurieren Sie die Ordnerumleitung, um sicherzustellen, dass die Benutzer Ihre Daten auf Server3
speichern.
C. Erstellen Sie ein neues Gruppenrichtlinienobjekt (GPO) und wenden Sie es auf Server1 an. Verwenden
Sie das GPO, um das Verzeichnis Profile so zu konfigurieren, dass der Speicherplatz für alle Benutzer auf
225 MB begrenzt wird.
D. Erstellen Sie ein neues Gruppenrichtlinienobjekt (GPO) und wenden Sie es auf Server1 an. Konfigurieren
Sie das GPO und legen Sie ein Standarddatenträgerkontingent und eine Warnstufe fest.
Answer: A
Seite 172 von 209
MS 70-649
22.12.2009
Erläuterungen:
Wir können Datenträgerkontingente für das Volume, das die Terminaldienst-Benutzerprofile enthält
konfigurieren. Datenträgerkontingente werden auf dem Register Kontingent in den Eigenschaften eines
Volumes konfiguriert und gelten für alle Daten eines Volumes
Falsche Antworten:
B: Auch wenn dies sinnvoll wäre, ist es nicht Ziel der Aufgabe sicherzustellen, dass die Benutzer ihre
Dateien auf Server3 speichern.
C: In einem Gruppenrichtlinienobjekt können nur Volume-basierte Datenträgerkontingente konfiguriert
werden. Zudem müsste das GPO auf Server2 und nicht auf Server1 angewendet werden.
D: Das GPO müsste auf Server2 angewendet werden, da dort die Terminaldienst-Benutzerprofile der
Benutzer gespeichert werden.
238. Sie sind als Organisationsadministrator für das Unternehmen Contoso tätig. Sie installieren die
Serverrolle Windows-Bereitstellungsdienste (WDS) auf einem Windows Server 2008 Servercomputer.
Bei dem Versuch mehrteilige Abbilddateien auf den Bereitstellungsdiensteserver zu laden, erhalten Sie eine
Fehlermeldung.
Sie müssen sicherstellen, dass die Abbilddateien erfolgreich auf den Server geladen werden können.
Wie gehen Sie vor?
A. Führen Sie die Komponentendateien des Abbildes in einer einzelnen .wim Datei zusammen.
B. Erteilen Sie der Gruppe Authentifizierte Benutzer Vollzugriff auf das Verzeichnis REMINST.
C. Führen Sie an der Eingabeaufforderung des Servers mit den Windows-Bereitstellungsdiensten den Befehl
wdsutil /convert aus.
D. Führen Sie an der Eingabeaufforderung des Servers mit den Windows-Bereitstellungsdiensten für jede
Komponentendatei individuell den Befehl wdsutil /add-image /imagefile:\\Server\Freigabe\Sources\install.wim
/image type:install aus.
Answer: A
Erläuterungen:
zusammenführen. Hierzu kann der Befehl ImageX /export source.wim 2 destination.wim "Neues Image"
verwendet werden.
einen Windows Server 2008 Mitgliedsserver mit dem Namen Server1. Auf Server1 wird die Serverrolle
Windows SharePoint Services (WSS) ausgeführt.
Contoso hat mehrere Geschäftspartner, die über externe Verbindungen auf die Windows SharePoint
Services (WSS) zugreifen. Die externen Benutzer berichten, dass ihnen die Anmeldung an der SharePoint
Website nicht möglich ist.
Sie vergewissern sich, dass alle erforderlichen Rollendienste installiert sind und die Website mit den
Standardwerten der Installationsroutine ordnungsgemäß ausgeführt wird.
Sie müssen den externen Geschäftspartnern die Anmeldung an der SharePoint Website ermöglichen.
Wie gehen Sie vor?
A. Erstellen Sie eine neue Autorisierungsregel für die externen Benutzer.
B. Ändern Sie den Authentifizierungsmodus für die Webanwendung und konfigurieren Sie die
Formularauthentifizierung.
C. Erstellen Sie in der bestehenden Websitesammlung eine neue Website für die externen Benutzer.
D. Erstellen Sie für die externen Benutzer eine neue Websitesammlung.
Seite 173 von 209
MS 70-649
22.12.2009
Answer: B
Erläuterungen:
Standardmäßig ist für die Windows SharePoint Services nur die Windows-Authentifizierung aktiviert. Externe
Benutzer, die nicht über eine vertraute Verbindung auf den Websrever zugreifen, können daher nicht
authentifiziert werden.
Als Authentifizierung wird das Verfahren zur Überprüfung der Identität eines Benutzers bezeichnet.
Nachdem die Identität eines Benutzers überprüft wurde, wird im Autorisierungsverfahren ermittelt, auf
welche Standorte, Inhalte und anderen Features der Benutzer zugreifen kann.
In Windows SharePoint Services 3.0 wird die Authentifizierung von IIS (Internet Information Services,
Internetinformationsdienste) verwaltet. Nach der Benutzerauthentifizierung in IIS erfolgt das
Autorisierungsverfahren anhand der Sicherheitsfeatures in Windows SharePoint Services 3.0.
Windows SharePoint Services 3.0 bietet ein flexibles und erweiterbares Authentifizierungssystem, das die
Authentifizierung mit Identitätsverwaltungssystemen unterstützt, die u. a. auf dem Betriebssystem Microsoft
Windows basieren. Durch Integration in die austauschbare ASP.NET-Authentifizierung unterstützt Windows
SharePoint Services 3.0 mehrere formularbasierte Authentifizierungsschemas. Durch die Unterstützung der
Authentifizierung in Windows SharePoint Services 3.0 können z. B. die folgenden
Authentifizierungsszenarien verwendet werden:

Verwenden der Windows-Standardauthentifizierungsmethoden

Verwenden einer einfachen Datenbank aus Benutzernamen und Kennwörtern

Direktverbindung mit dem Identitätsverwaltungssystem einer Organisation

Verwenden einer Kombination aus mindestens zwei Authentifizierungsmethoden für den Zugriff auf
Partneranwendungen (z. B. aus dem Herstellen einer Verbindung mit dem
Identitätsverwaltungssystem eines Partnerunternehmens zur Authentifizierung der Mitarbeiter des
Partnerunternehmens und aus den Windows-Authentifizierungsmethoden zur Authentifizierung der
eigenen Mitarbeiter).

Verwenden von föderierten Identitätsverwaltungssystemen
240. Sie sind als Organisationsadministrator für das Unternehmen Contoso tätig. Das Unternehmen bietet
Webhostingdienste für Privat- und Geschäftskunden. Sie administrieren einen Windows Server 2008
Computer mit dem Namen Server1. Auf Server1 ist die Serverrolle Webserver (IIS) installiert.
Server1 hostet bereits mehrere Websites. Sie müssen eine neue Website für einen neuen Kunden erstellen.
Nach der Einrichtung stellen Sie fest, dass die Website eher wie eine FTP-Site und nicht wie eine normale
HTTP-Website aussieht. Benutzer erhalten beim Zugriff über den Browser eine Auflistung der Dateien des
Webverzeichnisses und haben die Möglichkeit einzelne Dateien herunterzuladen.
Sie müssen die Website so konfigurieren, dass die Inhalte über HTTP dargestellt werden. Zudem müssen
Sie sicherstellen, dass Dateien nicht durch die Benutzer heruntergeladen werden.
A. Konfigurieren Sie die Liste der Standarddokumente und ergänzen Sie die Startseite der Website.
B. Konfigurieren Sie die Website für die Verwendung eines Anwendungspools.
C. Führen Sie den Befehl Appcmd set config /section:directoryBrowse /enabled:false aus.
D. Konfigurieren Sie das Verzeichnis, dass die Dateien der Website enthält und erteilen Sie der Gruppe
Jeder die Berechtigungen für das Lesen und Ausführen der Dateien.
E. Erstellen Sie eine DNS Zone für den Domänennamen der Website. Erstellen Sie in der neuen Zone einen
CNAME Eintrag.
Seite 174 von 209
MS 70-649
22.12.2009
Answer: A,C
Erläuterungen:
Falls in einer Anforderung kein Dokumentname angegeben ist und von IIS kein Standarddokument
zurückgegeben werden kann, können Sie die Verzeichnissuche aktivieren, wenn Sie möchten, dass
Clientbrowser eine Webseite mit einer Auflistung der Inhalte eines Verzeichnisses anzeigen. Es kann kein
Standarddokument zurückgegeben werden, wenn von IIS im Verzeichnis keine Datei gefunden wird, die
einem in der IIS-Standarddokumentliste angegebenen Dateinamen entspricht, oder wenn das Feature
Standarddokument in IIS deaktiviert ist.
Standardmäßig ist die Verzeichnissuche in IIS deaktiviert, sodass die Benutzer den Inhalt von
Verzeichnissen nicht sehen können.Sie können entweder die Benutzeroberfläche oder das
Befehlszeilenprogramm Appcmd (Antwort C) verwenden, um die Verzeichnissuche zu aktivieren bzw. zu
deaktivieren.
So verwenden Sie die Benutzeroberfläche zum aktivieren bze. deaktivieren der Verzeichnissuche:
1. Öffnen Sie IIS-Manager, und navigieren Sie zu der Ebene, die Sie verwalten möchten. Weitere
Informationen über das Öffnen von IIS-Manager finden Sie unter IIS 7.0: Öffnen des IIS-Managers.
Informationen über das Navigieren zu Positionen auf der Benutzeroberfläche finden Sie unter IIS
7.0: Navigation im IIS-Manager.
2. Doppelklicken Sie in der Ansicht Features auf Verzeichnis durchsuchen.
3. Klicken Sie im Bereich Aktionen auf Aktivieren, falls das Feature Verzeichnis durchsuchen
deaktiviert ist und Sie es aktivieren möchten. Klicken Sie auf Deaktivieren, falls das Feature
Verzeichnis durchsuchen aktiviert ist und Sie es deaktivieren möchten.
einen Mitgliedsserver mit dem Namen Server1. Sie haben Windows Server 2008 aber noch keine weiteren
Serverrollen oder Features auf Server1 installiert.
Ihr Vorgesetzter bitte Sie, die Windows SharePoint Services (WSS) in einer Serverfarm zu installieren.
Ferner möchte Ihr Vorgesetzter wissen, welche Serverrollen von den Windows SharePoint Services (WSS)
nicht benötigt werden.
Was werden Sie ihm antworten? (Jede korrekte Antwort stellt eine vollständige Lösung dar. Wählen Sie zwei
Antworten.)
A. Die Windows SharePoint Services (WSS) hängen nicht von der Serverrolle Webserver (IIS) ab.
B. Die Windows SharePoint Services (WSS) hängen nicht von dem Feature Microsoft .Net Framework 3.0
ab.
C. Die Windows SharePoint Services (WSS) hängen nicht von der Serverrolle Dateidienste ab.
D. Die Windows SharePoint Services (WSS) hängen nicht von dem Systemdienst WindowsProzessaktivierungsdienst ab.
E. Die Windows SharePoint Services (WSS) hängen nicht von dem Feature Interne Windows-Datenbank ab.
Answer: C,E
Erläuterungen:
Die Windows SharePoint Services verwenden eine SQL Server Datenbank für das Speichern von
Konfigurations- und Inhaltsdateien. Die interne Windows-Datenbank ist daher nicht erforderlich. Auch die
Serverrolle Dateidienste wird für den Betrieb der Windows SharePoint Services nicht benötigt.
242. Sie sind als Organisationsadministrator für das Unternehmen Contoso tätig. Das Unternehmen
beabsichtigt ein neues Datenträger-Speichersubsystem für die Erweiterung des SAN (Storage Area
Network) anzuschaffen.
Seite 175 von 209
MS 70-649
22.12.2009
Sie testen eine der verfügbaren Hardwarelösungen und verbinden das Datenträger-Speichersubsystem mit
dem Netzwerk. Sie wollen logische Gerätenummern (Logical Unit Numbers, LUNs) erstellen und diese
einem Mitgliedsserver mit dem Namen Server1 zuweisen.
Sie öffnen den Speicher-Manager für SANs, können die neue Hardware jedoch nicht hinzufügen. Mit der
Software, die von dem Hersteller des Datenträger-Speichersubsystems mitgeliefert wurde, können Sie
problemlos auf den neuen Speicher zugreifen.
Sie wollen die Möglichkeit haben, das neue Datenträger-Speichersubsystem mit dem Speicher-Manager für
SANs zu verwalten.
Wie gehen Sie vor?
A. Verwenden Sie den Speicher-Manager und konfigurieren Sie Server1 als iSNS (Internet Storage Name
Service) Server.
B. Konfigurieren Sie auf Server1 einen iSCSI-Initiator und spezifizieren Sie die neue Hardware als
bevorzugtes Ziel.
C. Verwenden Sie die Datenträgerverwaltung und führen Sie die Aktion Datenträger neu einlesen aus.
D. Wählen Sie ein Datenträger-Speichersubsystem mit Unterstützung für den Dienst für virtuelle
Datenträger.
Answer: D
Erläuterungen:
Mit dem Speicher-Manager für SANs können Sie LUNs (Logical Unit Numbers, logische Gerätenummern)
auf Fibre Channel- und iSCSI-Datenträger-Speichersubsystemen erstellen und verwalten, die den Dienst für
virtuelle Datenträger (Virtual Disk Service, VDS) unterstützen.
Unterschiede bei Hardware, Protokollen und Sicherheit führen dazu, dass die Konfiguration und Verwaltung
von LUNs in Fibre Channel- und iSCSI-Umgebungen unterschiedlich ist.
Verwalten von LUNs in einer Fibre Channel-Umgebung
In einer Fibre Channel-Umgebung werden LUNs, die auf einem Datenträger-Speichersubsystem erstellt
wurden, einem Server oder Cluster, der über einen oder mehrere Fibre Channel-HBA-Ports (Host Bus
Adapter, Hostbusadapter) auf die LUN zugreift, direkt zugewiesen. Sie müssen lediglich den Server oder
Cluster identifizieren, der auf die LUN zugreift, und dann auswählen, welche HBA-Ports auf diesem Server
oder Cluster für den LUN-Verkehr verwendet werden sollen.
Nach dem Identifizieren des Servers ermittelt der Speicher-Manager für SANs automatisch die verfügbaren
Fibre Channel-HBA-Ports auf diesem Server oder Cluster. Sie können Ports auch manuell hinzufügen,
indem Sie ihren WWN (World Wide Name) eingeben.
Verwalten von LUNs in einer iSCSI-Umgebung
Im Gegensatz zu einer Fibre Channel-Umgebung werden LUNs, die auf einem iSCSI-DatenträgerSpeichersubsystem erstellt wurden, einem Server oder Cluster nicht direkt zugewiesen. Bei iSCSI werden
LUNs zunächst logischen Entitäten zugewiesen, die Ziele genannt werden.
Ziele werden zum Verwalten der Verbindungen zwischen einem iSCSI-Gerät und den Servern, die auf das
Gerät zugreifen müssen, erstellt. Ein Ziel definiert die Portale (IP-Adressen), über die eine Verbindung mit
dem iSCSI-Gerät hergestellt werden kann. Außerdem definiert ein Ziel ggf. die Sicherheitseinstellungen, die
das iSCSI-Gerät zum Authentifizieren der Server benötigt, die Zugriff auf die Ressourcen des iSCSI-Geräts
anfordern.
Meistens können Sie Ziele selbst erstellen und verwalten. Manche iSCSI-Speichersubsysteme unterstützen
jedoch nur einfache Zielkonfigurationen, bei denen Ziele beim Erstellen einer LUN automatisch erstellt
werden. Bei einfachen Zielkonfigurationen können Sie ein Ziel jedoch nicht manuell löschen oder dem Ziel
eine LUN zuweisen. LUNs werden automatisch zugewiesen, wenn Sie erstellt werden. Bei dieser Art von
Subsystem müssen Sie nur den Server oder Cluster identifizieren, der auf die LUN zugreift, und das iSCSISubsystem aktiviert den Zugriff von diesem Server auf die LUN.
Zum Herstellen der Verbindung mit einem Ziel verwenden Server in einem SAN (Storage Area Network)
Seite 176 von 209
MS 70-649
22.12.2009
einen iSCSI-Initiator. Ein iSCSI-Initiator ist eine logische Entität, mit deren Hilfe der Server mit dem Ziel
kommunizieren kann. Zunächst meldet sich der iSCSI-Initiator beim Ziel an. Wenn das Ziel den Zugriff
gewährt hat, kann der Server mit Lese- und Schreibvorgängen in den LUNs beginnen, die diesem Ziel
zugewiesen sind. Jeder iSCSI-Initiator kann über eine oder mehrere Netzwerkkarten verfügen, über die
kommuniziert wird.
Wie in Fibre Channel-Umgebungen müssen Sie nur den Server oder Cluster identifizieren, der auf die LUN
zugreift. Der Speicher-Manager für SANs ermittelt die iSCSI-Initiatoren auf diesem Server oder Cluster
automatisch und listet alle für diese Initiatoren verfügbaren Adapter auf. Nach dem Ermitteln der iSCSIInitiatoradapter können Sie auswählen, welche Adapter für den LUN-Verkehr verwendet werden sollen.
243. Sie sind als Organisationsadministrator für das Unternehmen Contoso tätig. Auf einem Windows Server
2008 Mitgliedsserver mit dem Namen Server1 ist die Serverrolle Terminaldienste installiert.
Sie haben kürzlich eine RDP-Datei für eine neue Anwendung mit dem Namen CBApp erstellt. Später stellen
Sie fest, dass die Serverleistung für die Anwendung nicht ausreichend ist.
Sie müssen die Anwendung auf einen leistungsstärkeren Server verschieben und sicherstellen, dass die
Benutzer das Programm über den neuen Terminalserver verwenden können.
Wie gehen Sie vor? (Jede korrekte Antwort stellt eine vollständige Lösung dar. Wählen Sie zwei Antworten.)
A. Bearbeiten Sie die Eigenschaften des RemoteApp-Programmes auf dem alten Server und passen Sie
den Pfad so an, dass er auf den neuen Server verweist.
B. Bearbeiten Sie die Eigenschaften der bestehenden RDP-Datei und verteilen Sie die Datei erneut an die
Benutzer.
C. Erstellen Sie eine neue Terminaldienste-Webzugriff Website auf dem neuen Terminalserver und
veröffentlichen Sie die Anwendung über die neue Site.
D. Erstellen Sie eine neue RDP-Datei, nachdem Sie die Anwendung auf den neuen Terminalserver migriert
haben. Verteilen Sie die neue RDP-Datei an die Benutzer.
Answer: C,D
Erläuterungen:
Mithilfe von TS RemoteApp können Sie festlegen, dass sich Programme, auf die über die Terminaldienste
remote zugegriffen wird, so verhalten, als ob sie auf dem lokalen Computer des Endbenutzers ausgeführt
werden würden. Diese Programme werden als RemoteApp-Programme bezeichnet. Anstatt auf dem
Desktop des Remoteterminalservers angezeigt zu werden, wird das RemoteApp-Programm in den Desktop
des Clients integriert. Das RemoteApp-Programm wird in einem eigenen Fenster mit veränderbarer Größe
ausgeführt, kann von einem Bildschirm in einen anderen Bildschirm gezogen werden und verfügt über einen
eigenen Eintrag in der Taskleiste. Wenn ein Benutzer mehr als ein RemoteApp-Programm auf demselben
Terminalserver ausführt, wird für die RemoteApp-Programme dieselbe Terminaldienstesitzung verwendet.
Die Benutzer haben verschiedene Möglichkeiten, auf die RemoteApp-Programme zuzugreifen. Folgendes ist
möglich:
1. Mithilfe von Terminaldienste-Web Access (TS Web Access) auf einen Programmlink auf einer
Website zugreifen.
2. Auf eine RDP-Datei doppelklicken, die von ihrem Administrator erstellt und verteilt wurde.
3. Auf dem Desktop oder im Startmenü auf ein Programmsymbol doppelklicken, das von ihrem
Administrator mithilfe eines Windows Installer-Pakets erstellt und verteilt wurde.
4. Auf eine Datei doppelklicken, deren Dateinamenerweiterung mit einem RemoteApp-Programm
verknüpft ist. Diese kann vom Administrator mithilfe eines Windows Installer-Pakets konfiguriert
werden.
Die RDP-Dateien und die Windows Installer-Pakete enthalten die Einstellungen, die zur Ausführung der
RemoteApp-Programme benötigt werden. Nach dem Öffnen eines RemoteApp-Programms auf dem lokalen
Computer können die Benutzer mit dem Programm, das auf dem Terminalserver ausgeführt wird, so
interagieren, als ob es lokal ausgeführt werden würde.
Seite 177 von 209
MS 70-649
22.12.2009
einen Windows Server 2008 Computer mit dem Namen Server1. Auf Server1 wird die Serverrolle Active
Directory Lightweight Directory Services (AD LDS) ausgeführt.
Um eine AD LDS-Instanz zu testen, müssen Sie die Instanz auf einen Testcomputer im Netzwerk replizieren.
Wie gehen Sie vor, um Ihr Ziel zu erreichen?
A. Führen Sie den Setup-Assistenten für Active Directory Lightweight Directory Services auf dem
Testcomputer aus und erstellen Sie eine Replik der AD LDS-Instanz.
B. Führen Sie auf dem Testcomputer den Befehl Repadmin /bs Server1 aus.
C. Installieren und konfigurieren Sie auf dem Testcomputer eine neue AD LDS-Instanz, indem Sie die
Datenbankdateien von Server1 auf den Testcomputer kopieren.
D. Führen Sie auf dem Testcomputer das Befehlszeilenprogramm Dsmgmt.exe aus und erstellen Sie eine
neuen Namenskontext.
Answer: A
Erläuterungen:
Für Organisationen, die flexible Unterstützung für Anwendungen mit Active Directory-Aktivierung benötigen,
hat Microsoft Active Directory Lightweight Directory Services (AD LDS) entwickelt. AD LDS ist ein LDAPVerzeichnisdienst (Lightweight Directory Access-Protokoll).
verwaltet.
Neue AD LDS-Instanzen und Repliken bestehender AD LDS-Instanzen können mit dem Setup-Assistenten
für Active Directory Lightweight Directory Services erstellt werden.
245. Sie sind als Organisationsadministrator für das Unternehmen Contoso tätig. Contoso hat eine
Hauptgeschäftsstelle in Frankfurt und eine Zweigstelle in Hamburg. Für die Zweigstelle wurden kürzlich 12
neue Clientcomputer und 3 neue Server angeschafft.
Sie sind damit beauftragt Windows Vista auf den Clientcomputern und Windows Server 2008 auf den
Servercomputern zu installieren.
Welches der Betriebssysteme am Standort Hamburg ist für die Lizensierung über einen
Schlüsselverwaltungsdienst (Key Management Service, KMS) geeignet?
A. Windows Vista und Windows Server 2008 sind für die Lizensierung über den Schlüsselverwaltungsdienst
geeignet.
B. Windows Vista und Windows Server 2008 sind nicht für die Lizensierung über den
Schlüsselverwaltungsdienst geeignet.
C. Windows Server 2003 ist für die Lizensierung über den Schlüsselverwaltungsdienst geeignet.
D. Windows XP Professional ist für die Lizensierung über den Schlüsselverwaltungsdienst geeignet.
Answer: A
Erläuterungen:
Der Schlüsselverwaltungsdienst (KMS) 1.2 kann unter Windows Server 2003 Service Pack 2 (SP2) und
späteren Versionen von Windows Server ausgeführt werden. KMS 1.2 bietet Unterstützung für die folgenden
KMS-Client-Installationen:


Windows Server 2008 und Windows Server 2008 Service Pack 2 (SP2)
Seite 178 von 209


MS 70-649
22.12.2009
Windows 7
Windows Vista und Windows Vista Service Pack 2 (SP2)
Serverrolle Webserver (IIS) auf einem Windows Server 2008 Computer mit dem Namen Server1.
Anschließend erstellen Sie eine neue Website mit dem Namen Contoso.de.
Sie müssen eine Anwendung mit dem Namen Webcontent in der neuen Website installieren. Zunächst
kopieren Sie die Anwendungsdateien auf den Server.
Welchen Schritt werden Sie als nächstes ausführen?
A. Erstellen Sie ein neues virtuelles Verzeichnis und kopieren Sie die Anwendung in das Verzeichnis.
Installieren Sie die Anwendung.
B. Öffnen Sie die Eingabeaufforderung auf dem Webserver und führen Sie den Befehl Appcmd.exe aus.
C. Verwenden Sie den Internetinformationsdienste-Manager und führen Sie die Aktion Anwendung
hinzufügen für die Website aus.
D. Öffnen Sie die Eingabeaufforderung auf dem Webserver und führen Sie den Befehl Appcmd.exe -t aus.
Answer: C
Erläuterungen:
In den Dialogfeldern Anwendung hinzufügen und Anwendung bearbeiten können Sie einer Website eine
Webanwendung hinzufügen oder eine vorhandene Webanwendung bearbeiten. Bei einer Anwendung
handelt es sich um eine Gruppierung von Dateien, die Inhalte oder Dienste über Protokolle wie HTTP
bereitstellen. Eine Anwendung gehört nicht nur zu einer Website, sondern auch zu einem Anwendungspool,
durch den die Anwendung von anderen Anwendungen in anderen Anwendungspools auf dem Server isoliert
wird. Wenn Sie eine Anwendung in IIS erstellen, wird der Anwendungspfad Bestandteil der Site-URL. Sie
weisen ein Verzeichnis als Anwendungsstamm oder Ausgangspunkt für die Anwendung zu und geben dann
Eigenschaften für diese Anwendung an.
Domäne mit dem Namen Contoso.de. Die Domäne enthält drei Domänencontroller. Auf allen drei
Domänencontrollern ist das Betriebssystem Windows Server 2008 installiert.
Sie ermitteln im Anwendungs- und Dienstprotokoll Verzeichnisdienst auf allen Domänencontrollern Fehler
des Konsistenzprüfungsdienstes (Knowledge Consistency Checker, KCC).
Worauf weisen diese Fehler hin?
A. Replikationsprobleme.
B. DNS Probleme.
C. Probleme mit der Namensauflösung.
D. Probleme aufgrund der Platzierung des globalen Katalogs.
Answer: A
Erläuterungen:
Die Konsistenzprüfung (Knowledge Consistency Checker, KCC) ist ein integrierter Prozess, der auf allen
Domänencontrollern ausgeführt wird und der die Replikationstopologie für die Active DirectoryGesamtstruktur generiert. In angegebenen Abständen überprüft der KCC die Replikationstopologie und
ändert sie, um die direkte oder transitive Propagierung der Daten sicherzustellen.
Domäne mit dem Namen Contoso.de. Auf allen Servercomputern wird Windows Server 2008 ausgeführt.
Im Zuge einer Erweiterung des Unternehmens wurden 50 neue Computer angeschafft. Ihr Vorgesetzter
Seite 179 von 209
MS 70-649
22.12.2009
bittet Sie die 50 neuen Computer zu installieren und als Mitglieder der Domäne zu konfigurieren.
Sie entschließen sich Computerkonten für die neuen Computer zu erstellen und in einer bestimmten
Organisationseinheit (OU) abzulegen.
Wie gehen Sie vor?
A. Führen Sie den Befehl Dsmod.exe Computer "Computer-DN" aus.
B. Führen Sie den Befehl Csvde.exe -f computer.csv aus.
C. Führen Sie den Befehl Ldifde.exe -f computer.ldf aus.
D. Führen Sie den Befehl Dsadd.exe Computer "Computer-DN" aus.
Answer: D
Erläuterungen:
Das Befehlszeilenprogramm Dsadd ermöglicht das Erstellen neuer Active Directory Objekte über die
Befehlszeile. Der Befehl Dsadd Computer "Computer-DN" erstellt beispielsweise ein neues Computerkonto,
wobei "Computer-DN" den definierten Namen des hinzuzufügenden Computers angibt.
Sie vermuten, dass die Konfiguration der Active Directory Replikation fehlerhaft ist.
Wie gehen Sie vor, um die spezifischen Fehlermeldungen im Zusammenhang mit der Replikation zu
ermitteln?
A. Verwenden Sie die Konsole Active Directory-Standorte und -Dienste.
B. Verwenden Sie die Konsole Computerverwaltung.
C. Verwenden Sie die Ereignisanzeige und überprüfen Sie das Protokoll System.
D. Verwenden Sie die Ereignisanzeige und überprüfen Sie das Protokoll Verzeichnisdienst.
Answer: D
Erläuterungen:
Das Ereignisprotokoll Verzeichnisdienst enthält alle Ereignisse, die in Zusammenhang mit dem Active
Directory-Verzeichnisdienst stehen.
Das Systemprotokoll enthält Ereignisse, die von den Windows-Systemkomponenten protokolliert wurden. So
wird beispielsweise ein Fehler beim Laden eines Gerätetreibers oder einer anderen Systemkomponente
beim Systemstart im Systemprotokoll aufgezeichnet. Die von den Systemkomponenten aufgezeichneten
Ereignistypen sind durch Windows vordefiniert.
Das Netzwerk umfasst mehrere Standorte. Sie sind verantwortlich für die Planung und Überwachung der
standortübergreifenden Replikation des Active Directory.
Welcher Active Directory Dienst ist dafür zuständig, die beste Replikationstopologie für das Netzwerk zu
ermitteln?
A. Der Dateireplikationsdienst (File Replication Service, FRS).
B. Die Konsistenzprüfung (Knowledge Consistency Checker, KCC).
C. Der Windows Internet Name Service (WINS).
D. Das Domain Name System (DNS).
Answer: B
Erläuterungen:
Der KCC (= Konsistenzprüfungsdienst) ist ein Prozess des Active Directory und dafür zuständig, dass die
Seite 180 von 209
MS 70-649
22.12.2009
Verbindung zwischen den Replikationspartnern besteht und in der Gesamtstruktur eine effiziente
Replikationstopologie entsteht. Ebenfalls sorgt der KCC für eine Konsistenz der verteilten Active DirectoryDatenbank auf allen Domänencontrollern in der Gesamtstruktur. Wenn z.B. eine Verbindung/Leitung ausfällt,
stellt der KCC wieder eine neue Verbindung zum Replikationspartner her. In der Regel nimmt der KCC alle
15 Minuten eine erneute Berechnung der Replikationstopologie für den Domänencontroller vor, damit
Änderungen an der Active Directory-Struktur automatisch berücksichtigt werden und somit ein manuelles
Eingreifen nicht erforderlich ist. Der Administrator kann weitere Verbindungen erstellen. Falls aber die
Verbindung an irgendeiner Stelle abbricht, greift der KCC erneut ein und behebt dies. Dabei wird das
Verfahren des Least-Cost-Spanning-Tree-Algorithmus (Inter-Site = standortübergreifend) angewendet, das
auf Bandbreiteneffizienz ausgelegt ist.
Der KCC erstellt anhand eines Ringentwurfs automatisch eine effiziente Replikationstopologie innerhalb
eines Standortes (Intra-Site) und eine für die standortübergreifende Replikation (zwischen den Standorten –
Inter-Site).
Diese Ringtopologie versucht zwecks Fehlertoleranz mindestens zwei Verbindungen zu jedem
Domänencontroller zu erstellen mit maximal 3 Hops zwischen den beliebigen DCs (dies wegen Reduzierung
der Replikationswartezeit). Weiter erstellt der KCC für jede Verzeichnispartition eine eigene
Replikationstopologie (Schema-, Konfigurations-, Anwendungs- sowie Domänenverzeichnispartition). Er
überwacht (dynamisch) permanent die Gegebenheiten wie z.B., wenn DCs einem Standort hinzugefügt,
entfernt oder verschoben werden, die Kosten sich ändern oder wenn ein Domänencontroller nicht erreichbar
ist. In diesen Fällen "justiert" der KCC nach, so dass die Replikation weiter reibungslos verläuft.
Bei welchem der nachstehenden Tools handelt es sich um ein Befehlszeilenprogramm, das Administratoren
dabei unterstützt Replikationsprobleme zwischen Windows Domänencontrollern zu diagnostizieren?
A. RepAdmin.exe
B. RepWatch.exe
C. RepUtility.exe
D. RepAlert.exe
Answer: A
Erläuterungen:
Repadmin.exe ist ein Hilfsprogramm aus dem Windows 2000 Resource Kit, das Ihnen im Ordner "Support
Tools" auf der Windows 2000-CD-ROM zur Verfügung steht. Es handelt sich dabei um eine
Befehlszeilenschnittstelle zur Active Directory-Replikation. Dieses Hilfsprogramm bietet eine leistungsfähige
Schnittstelle zu den inneren Abläufen der Active Directory-Replikation und ist äußerst nützlich für die
Behandlung von Problemen, die bei der Active Directory-Replikation auftreten können.
Unter Windows Server 2008 wird das Tool automatisch mit der Rolle Active Directory Domänendienste (AD
DS) installiert.
Sie beabsichtigen eine Auflistung aller globalen Katalogserver (Global Catalogs, GCs) der Domäne zu
erstellen.
Welche Computertypen enthalten eine Kopie des globalen Katalogs (GC)?
A. Alle Windows NT Domänencontroller.
B. Alle Active Directory Domänencontroller.
C. Spezifische Active Directory Domänencontroller.
D. Active Directory Arbeitsstationen.
Answer: C
Seite 181 von 209
MS 70-649
22.12.2009
Erläuterungen:
Ein Domänencontroller kann während der Installation des Active Directory mit Dcpromo oder später mit Hilfe
der Konsole Active Directory-Standorte und -Dienste für das Hosting des globalen Katalogs konfiguriert
werden.
Auf den globalen Katalog replizierte Attribute
Die schreibgeschützten Teilkopien der Objekte, aus denen der globale Katalog besteht, werden als "Teil-"
beschrieben, da sie eine begrenzte Anzahl von Attributen enthalten – die für das Schema erforderlichen
Attribute sowie die für Suchvorgänge durch Benutzer am häufigsten verwendeten Attribute. Diese Attribute
werden für die Inklusion im Teilattributsatz (Partial Attribute Set, PAS) als Teil der jeweiligen
Schemadefinition markiert. Durch das Speichern der am häufigsten gesuchten Attribute aller
Domänenobjekte im globalen Katalog werden Suchvorgänge für Benutzer effizienter gestaltet, ohne dabei
die Netzwerkleistung durch unnötige Verweise auf Domänencontroller zu beinträchtigen und ohne die
Notwendigkeit eines globalen Katalogservers zum Speichern großer Mengen nicht erforderlicher Daten.
Funktionen des globalen Katalogs
Wenn Sie AD DS installieren, wird der globale Katalog für eine neue Gesamtstruktur automatisch auf dem
ersten Domänencontroller in der Gesamtstruktur erstellt. Sie können weiteren Domänencontrollern die
Funktionen des globalen Katalogs hinzufügen. Sie können den globalen Katalog auch von einem
Domänencontroller entfernen.
Mit einem globalen Katalogserver wird Folgendes ermöglicht:
Suchen von Objekten
Der globale Katalog ermöglicht Benutzern das Suchen nach Verzeichnisinformationen innerhalb aller
Domänen in einer Gesamtstruktur, und zwar unabhängig vom Speicherort der Daten. Suchvorgänge
innerhalb einer Gesamtstruktur werden mit maximaler Geschwindigkeit und minimalem Netzwerkverkehr
ausgeführt.
Wenn ein Benutzer über das Startmenü nach Personen oder Druckern sucht oder in einer Abfrage die
Option Gesamtes Verzeichnis auswählt, durchsucht dieser Benutzer den globalen Katalog. Nachdem der
Benutzer eine Suchanforderung eingegeben hat, wird die Anforderung an den Standardport 3268 des
globalen Katalogs weitergeleitet und zur Auflösung an den globalen Katalogserver gesendet.
UPN-Authentifizierung (User Principal Name, Benutzerprinzipalname)
Ein globaler Katalogserver löst einen Benutzerprinzipalnamen (User Principal Name, UPN) auf, wenn der
authentifizierende Domänencontroller das Benutzerkonto nicht kennt. Wenn das Konto eines Benutzers sich
beispielsweise in sales1.cohovineyard.com befindet und der Benutzer sich mit dem Benutzerprinzipalnamen
[email protected] von einem Computer aus anmeldet, der sich in Sales2.cohovineyard.com
befindet, kann der Domänencontroller in sales2.cohovineyard.com das Konto des Benutzers nicht finden.
Daher muss zum Abschließen des Anmeldevorgangs ein globaler Katalogserver kontaktiert werden.
Überprüfen von Objektverweisen innerhalb einer Gesamtstruktur
Der globale Katalog wird von Domänencontrollern verwendet, um Verweise auf Objekte anderer Domänen in
der Gesamtstruktur zu überprüfen. Wenn ein Domänencontroller über ein Verzeichnisobjekt mit einem
Attribut verfügt, das einen Verweis auf ein Objekt in einer anderen Domäne enthält, wird der Verweis vom
Domänencontroller überprüft, indem ein globaler Katalogserver kontaktiert wird.
Universelle Gruppenmitgliedschaftsinformationen in einer Umgebung mit mehreren Domänen
Ein Domänencontroller kann immer lokale Gruppenmitgliedschaften (in Domäne) und globale
Seite 182 von 209
MS 70-649
22.12.2009
Gruppenmitgliedschaften für einen beliebigen Benutzer in der Domäne ermitteln. Die Mitgliedschaft dieser
Gruppen wird nicht auf den globalen Katalog repliziert. In einer Gesamtstruktur mit einer einzelnen Domäne
kann ein Domänencontroller immer universelle Gruppenmitgliedschaften ermitteln. Universelle Gruppen
können jedoch über Mitglieder in unterschiedlichen Domänen verfügen. Aus diesem Grund wird das
member-Attribut von universellen Gruppen (mit der Liste der Mitglieder in der Gruppe) auf den globalen
Katalog repliziert. Wenn sich ein Benutzer in einer Gesamtstruktur mit mehreren Domänen an einer Domäne
anmeldet, in der universelle Gruppen zugelassen sind, muss der Domänencontroller einen globalen
Katalogserver kontaktieren, um die universellen Gruppenmitgliedschaften abzurufen, über die der Benutzer
möglicherweise in anderen Domänen verfügt.
Wenn ein globaler Katalogserver beim Anmelden eines Benutzers an einer Domäne, in der universelle
Gruppen verfügbar sind, nicht verfügbar ist, kann die Anmeldung des Clientcomputers des Benutzers mithilfe
zwischengespeicherter Anmeldeinformationen erfolgen, wenn der Benutzer sich bereits zuvor an der
Domäne angemeldet hat. Wenn der Benutzer sich nicht zuvor an der Domäne angemeldet hat, kann der
Benutzer sich nur am lokalen Computer anmelden.
Wie ist der Name eines Domänenservers, der Kenntnis über die Topologie der Active Directory
Gesamtstruktur hat und Quelle für Schemainformationen ist?
A. Domänenpartitionsserver
B. Schemamaster
C. Globaler Katalog
D. Domänencontroller
Answer: C
Erläuterungen:
254. Sie sind Administrator bei Contoso. Auf allen Servercomputern im Netzwerk ist das Betriebssystem
Windows Server 2008 installiert. Die Hauptgeschäftsstelle des Unternehmens befindet sich in Frankfurt.
Darüber hinaus betreibt Contoso eine Zweigstelle in Dortmund.
Für die Zweigstelle ist innerhalb des Active Directory ein separater Standort konfiguriert. Der Standort enthält
einen Domänencontroller mit dem Namen DC6.
Sie erhalten den Auftrag, eine neue Anwendung am Standort Dortmund zu installieren. Für den Betrieb der
Anwendung ist ein globaler Katalogserver (GC) erforderlich. Um die Produktivität am Standort Dortmund
sicherzustellen, entscheiden Sie, DC6 als globalen Katalogserver zu konfigurieren.
Wie gehen Sie vor?
A. Verwenden Sie die Computerverwaltung, um DC6 als Server für den globalen Katalog (GC) zu
konfigurieren.
B. Verwenden Sie das Utility Dcpromo.exe, um DC6 als Server für den globalen Katalog (GC) zu
konfigurieren.
C. Verwenden Sie die Konsole Server-Manager, um DC6 als Server für den globalen Katalog (GC) zu
konfigurieren.
D. Verwenden Sie die Konsole Active Directory-Domänen und -Vertrauensstellungen, um DC6 als Server für
den globalen Katalog (GC) zu konfigurieren.
E. Verwenden Sie die Konsole Active Directory-Standorte und -Dienste, um DC6 als Server für den globalen
Katalog (GC) zu konfigurieren.
Seite 183 von 209
MS 70-649
22.12.2009
Answer: E
Erläuterungen:
Sie können dieselbe Benutzeroberfläche im Snap-In Active Directory-Standorte und Dienste verwenden, um
den globalen Katalog hinzuzufügen oder zu entfernen. Das Aktivieren des globalen Katalogs kann
zusätzlichen Replikationsdatenverkehr verursachen. Das Entfernen des globalen Katalogs erfolgt jedoch
graduell im Hintergrund und hat weder Auswirkungen auf die Replikation noch auf die Leistung.
Sie müssen mindestens Mitglied der Gruppe Organisations-Admins in der Gesamtstruktur bzw. Mitglied der
Gruppe Domänen-Admins in der Gesamtstruktur-Stammdomäne oder Mitglied einer entsprechenden
Gruppe sein, um dieses Verfahren ausführen zu können.
So fügen Sie den globalen Katalog hinzu oder entfernen diesen
1. Öffnen Sie Active Directory-Standorte und -Dienste. Klicken Sie zum Öffnen von Active DirectoryStandorte und -Dienste auf Start, klicken Sie auf Verwaltung, und klicken Sie dann auf Active
Directory-Standorte und -Dienste.
2. Klicken Sie in der Konsolenstruktur auf das Serverobjekt, dem der globale Katalog hinzugefügt
werden soll oder von dem der globale Katalog entfernt werden soll.
3. Klicken Sie im Detailbereich mit der rechten Maustaste auf die Option NTDS-Einstellungen des
ausgewählten Serverobjekts, und klicken Sie dann auf Eigenschaften.
4. Aktivieren Sie das Kontrollkästchen Globaler Katalog, um den globalen Katalog hinzuzufügen, oder
deaktivieren Sie das Kontrollkästchen, um den globalen Katalog zu entfernen.
Weitere Überlegungen

Zum Ausführen dieses Verfahrens müssen Sie Mitglied der Gruppe Domänen-Admins in der
Domäne des ausgewählten Domänencontrollers bzw. Mitglied der Gruppe Organisations-Admins in
der Gesamtstruktur sein, oder es müssen die entsprechenden Berechtigungen an Sie delegiert
worden sein. Aus Sicherheitsgründen sollte dieses Verfahren mithilfe von Als Administrator
ausführen ausgeführt werden. Melden Sie sich mit dem Benutzerkonto der niedrigsten Ebene an,
und verwenden Sie beim Verwalten von AD DS Administratorberechtigungen.

Der Domänencontroller kündigt sich in DNS (Domain Name System) erst dann als globaler
Katalogserver an, wenn alle Teil-Domänenverzeichnispartitionen empfangen wurden.
Sie wollen die Vergabe von Lizenzen mit Hilfe des Lizenzservers nachverfolgen.
Wo können Sie einen Lizenzserver festlegen?
A. In der Systemsteuerung.
B. In der Registrierungsdatenbank im Schlüssel HKEY_CLASSES_ROOT.
C. In der Computerverwaltung.
D. In der Konsole Active Directory-Standorte und -Dienste.
Answer: D
Erläuterungen:
Von den genannten Konsolen bzw. Komponenten kann nur die Konsole Active Directory-Standorte und Dienste für die Konfiguration eines Lizenzservers verwendet werden.
So ändern Sie den Lizenzserver eines Standorts:
Seite 184 von 209
1.
2.
3.
4.
5.
MS 70-649
22.12.2009
Öffnen Sie Active Directory-Standorte und -Dienste.
Klicken Sie in der Konsolenstruktur auf den zu konfigurierenden Standort.
Klicken Sie im Detailfenster auf Lizenzierungsstandorteinstellungen.
Klicken Sie im Menü Aktion auf Eigenschaften.
Klicken Sie unter Lizenzierungscomputer auf Ändern, um einen anderen Server als Lizenzserver des
Standorts auszuwählen.
Das Netzwerk enthält einen Dateiserver mit dem Namen Server2. Server2 hostet eine Freigabe, die von
allen Benutzern für das Speichern von Dateien verwendet wird. Aufgrund der Wichtigkeit der Daten,
möchten Sie den Benutzern das Speichern nicht verbieten, wenn sie das 400 MB Speicherlimit
überschreiten. Sie wollen jedoch eine Benachrichtigung erhalten, wenn ein Benutzer mehr als 400 MB Daten
in der Freigabe speichert.
Wie gehen Sie vor?
A. Verwenden Sie den Ressourcen-Manager für Dateiserver und erstellen Sie ein Kontingent mit einer
harten Kontingentgrenze.
B. Verwenden Sie den Ressourcen-Manager für Dateiserver und erstellen Sie eine passive Dateiprüfung.
C. Konfigurieren Sie Volume-basierte Datenträgerkontingente und legen Sie eine Warnstufe fest.
D. Verwenden Sie den Ressourcen-Manager für Dateiserver und erstellen Sie ein Kontingent mit einer
weichen Kontingentgrenze.
E. Verwenden Sie den Ressourcen-Manager für Dateiserver und erstellen Sie eine aktive Dateiprüfung.
Answer: D
Erläuterungen:
Eine harte Kontingentgrenze gibt an, dass Benutzer die Kontingentgrenze nicht überschreiten dürfen. Eine
weiche Kontingentgrenze gibt an, dass Benutzer die Kontingentgrenze überschreiten dürfen, in diesem Fall
jedoch konfigurierte Benachrichtigungen (an den Benutzer und den Administrator) generiert werden.
enthält zur Zeit acht Windows Server 2008 Druckserver.
Das Unternehmen plant die Zentralisierung der Druckerverwaltung und möchte zukünftig alle Drucker auf
einen einzelnen Windows Server 2008 Servercore Computer verschieben.
Sie exportieren die Drucker auf den einzelnen Druckservern und müssen die Drucker nun auf dem neuen
Druckserver importieren.
Wie gehen Sie vor?
A. Verwenden Sie das Befehlszeilenprogramm Printbrm.exe mit den Parametern -r -f [Dateiname].
B. Verwenden Sie das Befehlszeilenprogramm Printui.exe mit den Parametern -b -f [Dateiname].
C. Verwenden Sie das Befehlszeilenprogramm Netsh.exe mit den Parametern print import [Dateiname].
D. Verwenden Sie das Befehlszeilenprogramm Printbrmengine.exe mit den Parametern -r -f [Dateiname].
Answer: A
Erläuterungen:
Sie können Druckwarteschlangen, Druckereinstellungen, Druckeranschlüsse und Sprachmonitore
exportieren und diese anschließend auf einem anderen Druckerserver mit einem Windows-Betriebssystem
importieren. Dies ist eine effiziente Methode zum Konsolidieren mehrerer Druckerserver oder zum Ersetzen
Seite 185 von 209
MS 70-649
22.12.2009
eines älteren Druckerservers.
Sie können den Druckermigrations-Assistenten oder das Befehlszeilentool Printbrm.exe verwenden, um zu
einem Computer unter Windows Server 2008 R2 zu migrieren. Auf Computern unter Windows Vista und
Windows Server 2008 steht Ihnen nur das Befehlszeilentool Printbrm.exe zur Verfügung. Unter Windows
Server 2003 können Sie Printbrm.exe nur verwenden, um Druckerserver remote zu verwalten.
Sie haben mehrere neue Druckserver für die Bereitstellung von Netzwerkdruckern installiert. Ihr Vorgesetzter
bittet Sie nun ein Skript zu schreiben, das es ermöglicht, die Drucker im Active Directory zu veröffentlichen.
Wie gehen Sie vor?
A. Verwenden Sie das Skript PubPrn.vbs für die Veröffentlichung.
B. Verwenden Sie das Skript PrnQctl.vbs für die Veröffentlichung.
C. Verwenden Sie das Skript PrnMngr.vbs für die Veröffentlichung.
D. Verwenden Sie das Skript PrnCnfg.vbs für die Veröffentlichung.
Answer: A
Erläuterungen:
Mit der Serverrolle Druckserver werden auf einem Windows Server 2008 System auch mehrere Skripte zur
Druckverwaltung installiert. Sie finden diese Skripte im Verzeichnis
C:\Windows\System32\Printing_Admin_Scripts\de-DE.
Um beispielsweise alle Drucker auf einem Computer mit dem Namen Server1 in der OU Drucker der
Domäne Contoso.de zu veröffentlichen, können Sie den folgenden Befehl verwenden:
Cscript Ppubprn.vbs Server1 "LDAP://OU=Drucker,DC=Contoso,DC=De"
Um einen Laserdrucker mit dem Namen Laser1 auf einem Computer mit dem Namen Server1 in der OU
Drucker der Domäne Contoso.de zu veröffentlichen, können Sie den folgenden Befehl verwenden:
Cscript Ppubprn.vbs \\Server1\LaserPrinter1 "LDAP://OU=Drucker,DC=Contoso,DC=De"
Falsche Antworten:
B: Das Skript prnqctl.vbs wird verwendet, um eine Testseite zu drucken.
C: Das Skript prnmngr.vbs wird verwendet, um Drucker zum Server hinzuzufügen oder von diesem zu
entfernen.
D: Das Skript prncfg.exe wird verwendet, um Namen, Berechtigungen und andere Einstellungen für Drucker
zu konfigurieren.
Sie haben einen Drucker mit dem Namen Drucker1 über einen Mitgliedsserver mit dem Namen Server1
freigegeben. Auf Server1 ist die Serverrolle Druckserver installiert.
Sie müssen einen Clientcomputer so konfigurieren, dass Benutzer den Drucker über eine Firewall
verwenden können, die ausschließlich Webverbindungen zulässt.
Wie gehen Sie vor?
A. Verwenden Sie den Pfad \\Server1\Drucker1, um den Clientcomputer mit dem Drucker zu verbinden.
Seite 186 von 209
MS 70-649
22.12.2009
B. Verwenden Sie den Pfad \\Server1\Drucker\Drucker1, um den Clientcomputer mit dem Drucker zu
verbinden.
C. Verwenden Sie den Pfad http://Server1/Drucker/Drucker1, um den Clientcomputer mit dem Drucker zu
verbinden.
D. Verwenden Sie den Pfad http://Server1/ Drucker1, um den Clientcomputer mit dem Drucker zu verbinden.
Answer: C
Erläuterungen:
Vom Rollendienst Internetdrucken in Windows Server 2008 wird eine von den Internetinformationsdiensten
(Internet Information Services, IIS) gehostete Website erstellt. Auf dieser Website stehen den Benutzern
folgende Möglichkeiten zur Verfügung:

Verwalten von Druckaufträgen auf dem Server

Herstellen einer Verbindung mit und Drucken auf freigegebenen Druckern auf diesem Server über
einen Webbrowser und das Internet Printing Protocol (IPP) (Benutzerseitig muss der
Internetdruckclient installiert sein.)
Zum Verwalten eines Servers über die durch Internetdrucken erstellte Website öffnen Sie einen
Webbrowser, und rufen Sie "http://Servername/printers" auf, wobei Servername den UNC-Pfad des
Druckservers darstellt.
Verwenden Sie zum Installieren des Internetdruckclients eine der folgenden Methoden:

Windows Vista: Klicken Sie in der Systemsteuerung auf Programme und Funktionen und auf
Windows-Funktionen ein- oder ausschalten, erweitern Sie Druckdienste, aktivieren Sie das
Kontrollkästchen Internetdruckclient, und klicken Sie dann auf OK.

Windows Server 2008: Klicken Sie im Server-Manager auf Funktionen hinzufügen, aktivieren Sie
das Kontrollkästchen Internetdruckclient, und klicken Sie dann auf OK.
Servercomputern wird Windows Server 2008 ausgeführt. Auf allen Clientcomputern wird Windows Vista
ausgeführt.
Sie haben mehrere neue Druckserver für die Verwendung in den Zweigstellen des Unternehmens installiert.
Sie wollen die Druckserver nun so konfigurieren, dass Sie per E-Mail benachrichtigt werden, wenn ein
Drucker kein Papier mehr hat oder es zu einem Papierstau kommt.
Wie gehen Sie vor?
A. Bearbeiten Sie die Eigenschaften der Druckertreiber und konfigurieren Sie Benachrichtigungen.
B. Erstellen Sie einen benutzerdefinierten Filter in der Konsole Druckverwaltung.
C. Verwenden Sie das Befehlszeilenprogramm , um eine E-Mail Benachrichtigung zu konfigurieren.
D. Bearbeiten Sie die Eigenschaften der Drucker und konfigurieren Sie Benachrichtigungen
Answer: B
Erläuterungen:
Durch das Festlegen eines Filters können nur die Drucker angezeigt werden, die eine bestimmte Gruppe
von Kriterien erfüllen. So kann es beispielsweise nützlich sein, nach Druckern zu filtern, auf denen
bestimmte Fehler auftreten, oder aber nach Druckern in bestimmten Gebäuden unabhängig vom jeweils
verwendeten Druckserver. Filter werden in der Druckerverwaltungsstruktur im Ordner Benutzerdefinierte
Druckerfilter gespeichert und sind dynamisch, sodass die Daten immer aktuell sind.
Mit der Druckverwaltung (Printmanagement.msc) werden zwei Standardfilter mitgeliefert. Für jeden Filter,
Seite 187 von 209
MS 70-649
22.12.2009
den Sie erstellen, können Sie festlegen, dass eine E-Mail-Benachrichtigung versandt oder ein Skript
ausgeführt wird, wenn die Filterbedingungen zutreffen. Dies ist nützlich, wenn Sie eine Benachrichtigung bei
Druckerproblemen erhalten möchten. Besonders hilfreich ist diese Funktion bei einer Organisation mit
mehreren Gebäuden und Administratoren.
Festlegen optionaler Benachrichtigungen
Wenn Sie einen Filter erstellen oder ändern, können Sie festlegen, dass automatisch eine E-MailBenachrichtigung versandt oder ein Skript ausgeführt werden soll, wenn die Filterbedingungen zutreffen.
Dies ist nützlich für das Beheben von Druckerproblemen, insbesondere in einer Organisation mit mehreren
Gebäuden und Administratoren.
So können Sie beispielsweise eine gefilterte Ansicht für alle Drucker festlegen, die von einem bestimmten
Druckserver verwaltet werden und deren Status nicht Bereit ist. Wenn der Status eines Druckers von Bereit
in einen anderen Status wechselt, kann der Administrator von der Druckverwaltung eine Benachrichtigung
per E-Mail erhalten.
Zusätzlich zum Festlegen von Benachrichtigungen für eine benutzerdefinierte Gruppe von Druckern können
Sie auch Benachrichtigungen für Druckerserverobjekte festlegen. So kann beispielsweise eine E-MailBenachrichtigung versandt werden, wenn der Server offline ist oder der Spooler ausfällt.
Das Festlegen von Benachrichtigungen in Form von Skripts ist nützlich für das Beheben von
Druckerproblemen und für die Problembehandlung. So können Sie beispielsweise festlegen, dass
automatisch ein Skript ausgeführt werden soll, um den Spooler neu zu starten, wenn Drucker offline gehen.
Sie können auch ein Skript automatisch ausführen, um eine Testseite zu drucken.
Skripts können in Visual Basic Script (VBS) oder in einer anderen Skriptsprache verfasst werden, die auf
dem Computer verfügbar ist. Das Skript muss sich auf dem Computer mit der Druckverwaltung befinden.
Das Skript sollte unter Ihren Anmeldeinformationen ausgeführt werden. Sie müssen über die Berechtigungen
für die Aktionen verfügen, die mit dem Skript ausgeführt werden.
Servercomputern wird Windows Server 2008 ausgeführt.
Das Netzwerk enthält einen Windows Server Updates Services (WSUS) Server mit dem Namen Server2.
Die Datenbank des WSUS Servers befindet sich auf einem Microsoft SQL Server Computer mit dem Namen
Server8.
Sie verwenden Secure Socket Layer (SSL) auf Server2, um die Übertragung der Metadaten an
Clientcomputer und Downstream WSUS-Server zu verschlüsseln. Die Verbindung zwischen Server2 und
Server8 ist jedoch ungeschützt.
Sie müssen die Verbindung zwischen dem Windows Server Updates Services (WSUS) Server und dem SQL
Server absichern.
A. Hosten Sie die Datenbank auf Server2.
B. Installieren Sie den SQL Server und die Windows Server Updates Services (WSUS) jeweils auf separate
Servercomputer. Konfigurieren Sie die Server als eigenständige Server.
C. Konfigurieren Sie die IP-Sicherheit (IPSec) für die Verbindung zwischen Server8 und Server2.
D. Konfigurieren Sie die Verbindung zwischen Server8 und Server2 so, dass statische IPv6 Adressen
verwendet werden.
Answer: A,C
Erläuterungen:
Befinden sich der SQL Server und die Windows Server Updates Services (WSUS) auf demselben Server
kann das Protokoll Shared Memory für die Kommunikation zwischen den Diensten verwendet werden.
Befinden Sich die Serveranwendungen auf separaten Computern, kann die Verbindung mit Hilfe der IPSeite 188 von 209
MS 70-649
22.12.2009
Sicherheit (IPSec) verschlüsselt werden.
besteht nicht aus einer Active Directory Umgebung. Auf allen Servercomputern im Netzwerk wird das
Betriebssystem Windows Server 2008 ausgeführt.
Das Netzwerk enthält einen Windows Server Updates Services (WSUS) Server mit dem Namen Server4.
Sie müssen die Server im Netzwerk so konfigurieren, dass sie ihre Updates von Server4 erhalten.
Wie gehen Sie vor?
A. Öffnen Sie auf jedem Server die Systemsteuerung und konfigurieren Sie die Einstellungen für Windows
Update.
B. Führen Sie auf jedem Server den Befehl wuauclt.exe /resetauthorization aus.
C. Konfigurieren Sie die Einstellungen für Windows Update auf jedem Server im lokalen
Gruppenrichtlinienobjekt (GPO).
D. Führen Sie auf jedem Server den Befehl wuauclt.exe /detectnow aus.
Answer: C
Erläuterungen:
Da die Server im Firmennetzwerk keiner Active Directory Domäne angehören, können wir die Einstellungen
für Windows Update nicht zentral über Gruppenrichtlinien steuern. Stattdessen müssen wir auf jedem Server
das lokale Gruppenrichtlinienobjekt bearbeiten (Gpedit.msc) und die Einstellungen für Windows Update
konfigurieren.
Contoso hat eine Hauptgeschäftsstelle in Düsseldorf und 15 Zweigstellen in den umliegenden Regionen.
Insgesamt beschäftigt das Unternehmen 1500 Mitarbeiter. Die Benutzer der Zweigstellen werden von den
IT-Mitarbeitern der Zentrale betreut und verwaltet.
Ihr Vorgesetzter bittet Sie eine Windows Server Update Services (WSUS) Architektur für das gesamte
Firmennetzwerk zu planen.
Wie gehen Sie vor?
A. Installieren Sie einen WSUS Server für jede Zweigstelle. Konfigurieren Sie die WSUS-Server der
Zweigstellen als Replikatserver der Hauptgeschäftsstelle.
B. Installieren Sie einen WSUS Server für jede Zweigstelle. Konfigurieren Sie die WSUS-Server der
Zweigstellen so, dass sie von den Mitarbeitern vor Ort verwaltet werden.
C. Installieren Sie einen WSUS Server in der Hauptgeschäftsstelle und konfigurieren Sie alle Clientcomputer
der Zweigstellen so, dass sie ihre Updates aus der Hauptgeschäftsstelle beziehen.
D. Installieren Sie einen WSUS Server in der Hauptgeschäftsstelle und konfigurieren Sie alle Clientcomputer
der Zweigstellen so, dass sie ihre Updates direkt von Microsoft beziehen.
Answer: A
Erläuterungen:
Ein im Replikatmodus ausgeführter WSUS-Server ist ein Downstreamserver, von dem die auf einem
Verwaltungsserver erstellten Updategenehmigungen und Computergruppen übernommen werden. Mit dem
Replikatmodus werden normalerweise von einem einzelnen Verwaltungsserver ein oder mehrere WSUSReplikatserver verwaltet, die entsprechend den örtlichen Gegebenheiten des Standorts oder der
Organisation verteilt sind. Das Genehmigen von Updates und Erstellen von Computergruppen erfolgt auf
dem Verwaltungsserver, der dann von den Servern im Replikatmodus gespiegelt wird. Replikatserver
können auf der Seite Optionen eingerichtet werden. Klicken Sie dazu auf Updatequelle und Proxyserver,
wählen Sie Von einem anderen Windows Server Update Services-Server synchronisieren auf der
Registerkarte Updatequelle, und aktivieren Sie anschließend das Kontrollkästchen Dieser Server ist ein
Seite 189 von 209
MS 70-649
22.12.2009
Replikat des Upstreamservers.
Wenn Ihr WSUS-Server im Replikatmodus ausgeführt wird, stehen auf dem Server nur die folgenden
eingeschränkten Verwaltungsfunktionen zur Verfügung:

Festlegen eines Synchronisierungszeitplans

Angeben von Proxyservereinstellungen

Festlegen der Updatequelle (der Verwaltungsserver oder ein anderer Server)

Anzeigen der verfügbaren Updates

Überwachen des Update-, Synchronisierungs- und Computerstatus sowie der WSUS-Einstellungen
auf dem Server (alle WSUS-Standardberichte)
Sie planen eine Infrastruktur für das Patchmanagement des Unternehmens. Sie haben Anweisung, die
Computer der Mitarbeiter so zu konfigurieren, dass Updates automatisch heruntergeladen und automatisch
installiert werden.
Um Ihr Ziel zu erreichen, wollen Sie Gruppenrichtlinien einsetzen.
Wie gehen Sie vor?
A. Erstellen Sie ein neues Gruppenrichtlinienobjekt und konfigurieren Sie die Richtlinie Automatische
Updates sofort installieren.
B. Erstellen Sie ein neues Gruppenrichtlinienobjekt und konfigurieren Sie die Richtlinie Automatische
Updates konfigurieren.
C. Erstellen Sie ein neues Gruppenrichtlinienobjekt und konfigurieren Sie die Richtlinie Clientseitige
Zielzuordnung aktivieren.
D. Erstellen Sie ein neues Gruppenrichtlinienobjekt und konfigurieren Sie die Richtlinie Keinen
automatischen Neustart für geplante Installationen automatischer Updates durchführen.
Answer: B
Erläuterungen:
Die Richtlinie Automatische Updates konfigurieren legt fest, ob der Computer Sicherheitsupdates und
andere wichtige Downloads über den Windows-Dienst für automatische Updates erhält.
Mit dieser Einstellung können Sie festlegen, ob auf dem Computer automatische Updates aktiviert sind. Falls
der Dienst aktiviert ist, müssen Sie eine der folgenden vier Optionen in der Gruppenrichtlinieneinstellung
auswählen:
2 = Vor dem Herunterladen von Updates benachrichtigen und vor deren Installation erneut benachrichtigen
Wenn Windows Updates ermittelt, die auf den Computer angewendet werden können, wird im Statusbereich
ein Symbol mit einer Meldung angezeigt, die darüber informiert, dass Updates heruntergeladen werden
können. Durch Klicken auf das Symbol oder die Meldung können Sie Updates zum Herunterladen
auswählen. Die ausgewählten Updates werden dann im Hintergrund heruntergeladen. Nachdem das
Herunterladen abgeschlossen ist, wird im Statusbereich erneut ein Symbol angezeigt, das Sie darüber
informiert, dass die Updates installiert werden können. Wenn Sie auf das Symbol oder die Meldung klicken,
können Sie die Updates auswählen, die installiert werden sollen.
3 = (Standardeinstellung) Updates automatisch herunterladen und über installierbare Updates
benachrichtigen
Seite 190 von 209
MS 70-649
22.12.2009
Windows sucht nach Updates, die auf den Computer angewendet werden können, und lädt diese
automatisch im Hintergrund herunter (der Benutzer wird während dieses Vorgangs nicht benachrichtigt oder
gestört). Nachdem das Herunterladen abgeschlossen ist, wird im Statusbereich ein Symbol angezeigt, das
Sie darüber informiert, dass die Updates installiert werden können. Wenn Sie auf das Symbol oder die
Meldung klicken, können Sie die Updates auswählen, die installiert werden sollen.
4 = Updates automatisch herunterladen und laut angegebenem Zeitplan installieren
Legen Sie den Zeitplan mit den Optionen in der Gruppenrichtlinieneinstellung fest. Standardmäßig sind
Installationen für 3 Uhr morgens geplant, falls kein Zeitplan angegeben wird. Wenn zum Abschluss der
Updateinstallation ein Neustart erforderlich ist, startet Windows den Computer automatisch neu. (Falls ein
Benutzer am Computer angemeldet ist, wenn Windows neu gestartet werden soll, wird der Benutzer
benachrichtigt und kann den Neustart verzögern.)
5 = Lokalen Administratoren erlauben, über automatische Updates den Konfigurationsmodus für die
Updateinstallation auszuwählen
Mit dieser Option kann den lokalen Administratoren ermöglicht werden, über das Systemsteuerungssymbol
"Automatische Updates" eine Konfigurationsoption auszuwählen. Sie können beispielsweise selbst einen
Zeitpunkt für eine geplante Installation auswählen. Lokalen Administratoren wird nicht gestattet, die
"Automatische Updates"-Konfiguration zu deaktivieren.
Klicken Sie auf "Aktiviert", um diese Einstellung zu verwenden, und wählen Sie dann eine Option aus (2, 3, 4
oder 5). Wenn Sie Option 4 auswählen, können Sie einen regelmäßigen Zeitplan einrichten (ohne
Zeitplanangabe werden alle Installationen um 3 Uhr morgens ausgeführt).
Wenn der Status auf "Aktiviert" festgelegt ist, kann Windows erkennen, wann dieser Computer online ist, und
dessen Internetverbindung verwenden, um unter Windows Update nach Updates zu suchen, die auf den
Computer angewendet werden können.
Falls der Status auf "Deaktiviert" festgelegt ist, müssen alle unter Windows Update verfügbaren Updates
manuell heruntergeladen und installiert werden. Öffnen Sie hierzu die Website unter
"http://windowsupdate.microsoft.com", oder klicken Sie im Menü "Start" auf "Programme" (oder auf "Alle
Programme"), und klicken Sie anschließend auf Windows Update.
Falls der Status auf "Nicht konfiguriert" festgelegt ist, ist die Verwendung von automatischen Updates nicht
auf Gruppenrichtlinie festgelegt. Ein Administrator kann automatische Updates jedoch über die
Systemsteuerung konfigurieren.
Das Netzwerk enthält einen Windows Server Updates Services (WSUS) Server mit dem Namen Server4. Im
Rahmen einer Projektarbeit müssen Sie ermitteln, welche Betriebssysteme den WSUS-Client nicht
unterstützen.
Auf welchen Betriebssystemen kann der Windows Server Update Services (WSUS) Client nicht verwendet
werden? (Wählen Sie alle zutreffenden Antworten.)
A. Windows XP Professional unterstützt den WSUS-Client nicht.
B. Windows 2000 Professional unterstützt den WSUS-Client nicht.
C. Windows 95 unterstützt den WSUS-Client nicht.
D. Windows 98 unterstützt den WSUS-Client nicht.
Answer: C,D
Erläuterungen:
Der Windows Server Update Services-Client wird von den nachstehenden Betriebssystemen unterstützt:

Windows 2000 ab Service Pack 3
Seite 191 von 209

Windows XP

Windows Server 2003

Windows Vista

Windows Server 2008 / R2

Windows 7
MS 70-649
22.12.2009
einen Windows Server 2008 Computer mit dem Namen Server1. Auf Server1 ist die Serverrolle Hyper-V
installiert.
Sie wollen drei neue virtuelle Windows Server 2003 Computer erstellen. Später wollen Sie kritische Updates
auf einem der Windows Server 2003 Computer installieren.
Sie wollen sicherstellen, dass Fehler durch Installation der Updates vermieden werden können, indem Sie
die Änderungen auf einfache Weise zurücknehmen können.
Wie gehen Sie vor?
A. Speichern Sie den Status des virtuellen Computers und erstellen Sie eine Kopie. Starten Sie den
Computer anschließend und installieren Sie die Updates.
B. Konfigurieren Sie den Undo-Modus für die virtuelle Festplatte des Windows Server 2003 Computers.
C. Erstellen Sie einen Snapshot, bevor Sie die Updates installieren.
D. Aktivieren Sie die Transaktionsprotokollierung, um Änderungen später zurücknehmen zu können.
Answer: C
Erläuterungen:
Snapshots eines virtuellen Computers sind dateibasierte Snapshots des Status, der Datenträgerdaten und
Konfiguration eines virtuellen Computers zu einem bestimmten Zeitpunkt. Sie können mehrere Snapshots
eines virtuellen Computers erstellen, auch während er ausgeführt wird. Der virtuelle Computer kann dann
durch Anwenden eines Snapshots auf einen der vorherigen Stati zurückgesetzt werden.
Snapshots können mit dem Hyper-V-Manager oder Verbindung mit virtuellen Computern erstellt werden. Alle
anderen Aufgaben im Zusammenhang mit Snapshots, z. B. das Anwenden oder Löschen eines Snapshots
und Anzeigen einer Liste aller Snapshots für einen bestimmten virtuellen Computer, werden über den HyperV-Manager ausgeführt. Sie können auch die AVHD-Dateien überprüfen oder bearbeiten und bestimmen,
welchem Snapshot eine AVHD-Datei zugeordnet ist.
einen Windows Server 2008 Computer mit dem Namen Server1. Auf Server1 ist das Feature SMTP-Server
installiert.
Zur Zeit verwendet das Unternehmen den virtuellen SMTP Standardserver, um Bestätigungen für
Bestellungen einer Webanwendung mit dem Namen Buchhandel zu versenden.
Sie stellen fest, dass über den Server eine hohe Anzahl von E-Mail Nachrichten von anderen Benutzern und
Computern versendet wird.
Sie müssen die nicht autorisierte Verwendung von Server1 für den Versand von E-Mail Nachrichten
verhindern.
A. Bearbeiten Sie die Einstellungen auf dem Register Sicherheit in den Eigenschaften des virtuellen SMTPSeite 192 von 209
MS 70-649
22.12.2009
Servers.
B. Konfigurieren Sie die Verbindungsoptionen des virtuellen SMTP-Servers und schränken Sie die IPAdressen ein, die den Server verwenden können.
C. Konfigurieren Sie die Zugriffssteuerung und legen Sie die Standardauthentifizierung fest.
D. Konfigurieren Sie die erweiterten Übermittlungsoptionen und legen Sie einen Smarthost fest.
Answer: B,C
Erläuterungen:
Mithilfe der Optionen im Dialogfeld Verbindung können Sie den Zugriff auf den virtuellen SMTP-Server über
die IP-Adresse oder den Domänennamen einschränken. Sie können allen Computern den Zugriff gewähren
und dann Ausnahmen dieser Regel definieren, indem Sie bestimmten Computern den Zugriff verweigern.
Wenn Sie allen Computern den Zugriff verweigern, können Sie ihn bestimmten Computern dennoch
gewähren.
Grundsätzlich sollte der Zugriff auf die erforderlichen Computer beschränkt werden.
Im Dialogfeld Authentifizierung können Sie eine oder mehrere Authentifizierungsmethoden für den virtuellen
SMTP-Server auswählen. Der Windows Server 2008-SMTP-Server überprüft anhand des konfigurierten
Authentifizierungsmechanismus die Identität des Benutzers und gewährt Zugriff auf den virtuellen SMTPServer. Standardmäßig ist nur der anonyme Zugriff aktiviert. Für den Zugriff auf den virtuellen SMTP-Server
sind in diesem Fall weder Benutzername noch Kennwort erforderlich.
einen Mitgliedsserver mit dem Namen Server1. Auf Server1 ist das Betriebssystem Windows Server 2008
Standard Edition installiert.
Sie planen die Installation der Serverrolle Windows Media Dienste auf Server1. Sie öffnen den ServerManager und stellen fest, dass die Rolle Windows Media Dienste nicht zur Auswahl steht.
Sie müssen die Windows Media-Dienste 2008 auf Server1 installieren.
Wie gehen Sie vor?
A. Installieren Sie Windows Server 2008 Enterprise Edition auf Server1.
B. Installieren Sie Windows Media Player 11 auf Server1.
C. Führen Sie Windows Update aus und installieren Sie die aktuellen Updates.
D. Installieren Sie das eigenständige Microsoft Update-Paket (MSU) für die Serverrolle Windows MediaDienste.
Answer: D
Erläuterungen:
Die Windows Media-Dienste sind eine optionale Ergänzung zu Windows Server 2008. In Windows Server
2008 sind die Rolle "Streaming Media-Dienste" (inkl. der neuesten Version von Windows Media-Dienste) und
die Remoteverwaltungstools nicht im Server-Manager enthalten. Wenn Sie die neuen Features und Tools
von Windows Media-Dienste für Windows Server 2008 erhalten möchten, müssen Sie die entsprechende
Installationsdatei für die Streaming Media-Dienste-Rolle herunterladen und auf der aktualisierten Plattform
ausführen.
Die MSU-Dateien der eigenständigen Microsoft Update-Pakete installieren entweder die 32-Bit (x86) oder
die 64-Bit-Version (x64) der folgenden Komponenten:

Windows Media-Dienste und die übrigen Komponenten der Rolle "Streaming Media-Dienste" im
Server-Manager, bei vollständigen Installationen der Standard und Enterprise Editions von Windows
Server 2008.

Die Rolle "Server Core" von Streaming Media-Dienste für "Server Core"-Installationen der Standard
und Enterprise Editions von Windows Server 2008.

Das Windows Media-Dienste-Snap-In für Microsoft Management Console (MMC) auf Computern mit
der Business, Enterprise oder Ultimate Edition des Microsoft Windows Vista-Betriebssystems.
Seite 193 von 209
MS 70-649
22.12.2009
Serverrolle Webserver (IIS) auf einem Windows Server 2008 Computer mit dem Namen Server1.
Sie müssen auf dem Server eine neue Website mit den folgenden Einstellungen erstellen:
Sitename: Contoso
ID: 2
Port: 80
Hostheadername: www.Contoso.de
Wie gehen Sie vor, um die Website mit den vorgegebenen Einstellungen zu erstellen?
A. Führen Sie den Befehl Appcmd set app /app.name:Contoso
/[path='/'].physicalPath:d:\Contoso_Content_ID2 aus.
B. Führen Sie den Befehl Appcmd add site /name:Contoso /id:45 /physicalPath:f:\Contoso_Content
/bindings:http/*:80:www.Contoso.de aus.
C. Führen Sie den Befehl Appcmd add app /app.name:Contoso /[path='/'] aus.
D. Führen Sie den Befehl set-location /Contoso -new website port:80 aus.
E. Keiner der Lösungsvorschläge ist geeignet, um die neue Website nach den Vorgaben zu erstellen.
Answer: E
Erläuterungen:
Sie können eine neue Website erstellen, indem Sie die Benutzeroberfläche verwenden, die Appcmd.exeBefehle in einem Befehlszeilenfenster ausführen, die Konfigurationsdateien direkt bearbeiten oder WMISkripts erstellen.
Verwenden Sie folgende Syntax, um eine Site hinzuzufügen:
appcmd add site /name: string /id: uint /physicalPath: string /bindings: string
Die Variable name string steht für den Namen, und die Variable id uint steht für die Ganzzahl ohne
Vorzeichen, die der Site zugewiesen werden sollen. Beim Hinzufügen einer Site mit Appcmd.exe sind nur
die Variablen name string und id uint erforderlich.
Hinweis
Wenn Sie eine Site hinzufügen, ohne Werte für die Attribute bindings and physicalPath anzugeben, kann die
Site nicht gestartet werden.
Die Variable physicalPath string entspricht dem Pfad des Siteinhalts im Dateisystem.
Die Variable bindings string enthält Zugriffsinformationen für die Site und muss in folgendem Format
vorliegen:
protocol/IP_address:port:host_header.
Eine Websitebindung ist zum Beispiel eine Kombination aus Protokoll, IP-Adresse, Port und Hostheader.
Eine Bindung der Form
http/*:85:
ermöglicht es einer Website, HTTP-Anforderungen an Port 85 für alle IP-Adressen und Domänennamen
(auch Hostheader oder Hostnamen genannt) zu überwachen. Andererseits erlaubt die Bindung
Seite 194 von 209
MS 70-649
22.12.2009
http/*:85:marketing.contoso.com
einer Website, HTTP-Anforderungen an Port 85 für alle IP-Adressen und den Domänennamen
marketing.contoso.com zu überwachen.
Geben Sie Folgendes an der Eingabeaufforderung ein, um eine Website mit dem Namen Contoso mit der ID
2 hinzuzufügen, deren Inhalt sich im Verzeichnis c:\Contoso befindet und die HTTP-Anforderungen an Port
80 für alle IP-Adressen und den Domänennamen www.Contoso.de überwacht, und drücken Sie dann die
EINGABETASTE:
appcmd add site /name:Contoso /id:2 /physicalPath:c:\Contoso /bindings:http/*:80:www.Contoso.de
Sie müssen einem Kollegen Berechtigungen für Konfigurationsänderungen in mehreren Domänen Ihrer
Gesamtstruktur erteilen.
In welche der folgenden Sicherheitsgruppen werden Sie das Benutzerkonto Ihres Kollegen aufnehmen?
A. Domänen-Admins
B. Domänen-Benutzer
C. Administratoren
D. Organisations-Admins
Answer: D
Erläuterungen:
Standardgruppen wie die Gruppe Domänen-Admins stellen Sicherheitsgruppen dar, die automatisch erstellt
werden, wenn Sie eine Active Directory-Domäne erstellen. Sie können diese vordefinierten Gruppen
verwenden, um den Zugriff auf freigegebene Ressourcen zu steuern und bestimmte domänenweite
Verwaltungsrollen zu delegieren.
In erster Linie werden drei Kategorien von Administratorkonten zur Anmeldung an Computern oder
Domänen verwendet. Zu jeder Kategorie gehören einzigartige Funktionen und Berechtigungen:

Lokale Administratorkonten. Diese Kategorie enthält das bei der Erstinstallation von Windows
Server 2003 erstellte und verwendete, integrierte Administratorkonto. Zu dieser Kategorie gehören
auch alle nachfolgend erstellten und zur integrierten Gruppe der lokalen Administratoren
hinzugefügten Benutzerkonten. Mitglieder dieser Gruppe haben vollständigen und
uneingeschränkten Zugriff auf den lokalen Computer.

Domänenadministratorkonten. Diese Kategorie enthält das bei der Erstinstallation von Active
Directory erstellte und verwendete, integrierte Domänenadminstratorkonto. Zu dieser Kategorie
gehören auch alle nachfolgend erstellten und zur integrierten Gruppe der lokalen Administratoren
oder zur Gruppe Domänen-Admins hinzugefügten Benutzerkonten. Mitglieder dieser Gruppen haben
vollständigen und uneingeschränkten Zugriff auf die Domäne und, falls diese nicht richtig
abgesichert ist, auf die ganze Gesamtstruktur.

Gesamtstrukturadministratorkonten. Diese Kategorie enthält das integrierte
Domänenadministratorkonto aus der ersten in der Gesamtstruktur erstellten Domäne, der so
genannten Stammdomäne der Gesamtstruktur – das Administratorkonto der Stammdomäne der
Gesamtstruktur wird bei der Installation von Active Directory automatisch zur Gruppe OrganisationsAdministratoren hinzugefügt. Zu dieser Kategorie gehören auch alle nachfolgend erstellten und zur
Gruppe Organisations-Administratoren hinzugefügten Benutzerkonten. Mitglieder der Gruppe
„Organisations-Admins“ haben vollständigen und uneingeschränkten Zugriff auf die ganze
Gesamtstruktur. Organisations-Administratoren können auch Zertifizierungsstellen (CAs) installieren,
Seite 195 von 209
MS 70-649
22.12.2009
die anschließend dazu verwendet werden können, die Identität aller Benutzer der Gesamtstruktur
anzunehmen.
2008 ausgeführt.
Ihr Vorgesetzter bittet Sie die Active Directory-Verbunddienste (ADFS) auf einem Server mit dem Namen
Server2 zu installieren.
Welche der folgenden Anwendungen werden Sie für die Installation verwenden?
A. Server Set-Up
B. Rollen-Manager
C. Server-Manager
D. Programme und Funktionen
Answer: C
Erläuterungen:
Mit Windows Server 2008 wird die Verwaltung und Sicherung mehrerer Serverrollen in einem Unternehmen
mit der Server-Manager-Konsole vereinfacht. Mit dem Server-Manager unter Windows Server 2008 wird eine
einzige Quelle zum Verwalten der Identität eines Servers, zum Anzeigen des Serverstatus, zum
Identifizieren von Problemen mit der Serverrollenkonfiguration sowie zum Verwalten aller auf dem Server
installierten Rollen bereitgestellt.
Active Directory-Verbunddienste (Active Directory Federation Services, AD FS) ist ein Feature in den
Betriebssystemen Microsoft Windows Server 2003 R2 und Windows Server 2008, das einmalige
Webanmeldungstechnologien (Single-Sign-On, SSO) bereitstellt. Mithilfe dieser Technologien kann ein
Benutzer während einer Onlinesitzung bei mehreren Webanwendungen authentifiziert werden. AD FS
realisiert dies durch die sichere gemeinsame Nutzung der digitalen Identität und von
Anspruchsberechtigungen bzw. "Ansprüchen" über Sicherheits- und Unternehmensgrenzen hinweg.
272. Sie sind als Consultant für das Unternehmen Contoso tätig und damit beauftragt beim Design der
Active Directory Umgebung zu unterstützen.
In einem ersten Schritt soll eine Liste mit Informationen erarbeitet werden, die als Grundlage für den Aufbau
einer geeigneten Organisationseinheiten (OU) Struktur für eine einzelne Domäne herangezogen werden
kann.
Welche der nachstehenden Informationen ist für das Design der Organisationseinheiten (OU) Struktur nicht
relevant?
A. Die physikalische Netzwerktopologie.
B. Anforderungen seitens der Geschäftsorganisation.
C. Anforderungen seitens der administrativen Organisation.
D. Anforderungen bezüglich der Sicherheit.
Answer: A
Erläuterungen:
Organisationseinheiten stellen eine Basisinstrument der logischen Struktur einer Active Directory Umgebung
dar. Ein geschickter Aufbau der Organisationseinheitenstruktur sollte geschäftliche, administrative und
sicherheitsrelevante Anforderungen insbesondere auch für das spätere Verknüpfen von
Gruppenrichtlinienobjekten (GPOs) berücksichtigen.
Die physikalische Netzwerktopologie ist für die Struktur der Organisationseinheiten irrelevant. Der
physikalische Aufbau spiegelt sich in der Konfiguration von Standorten und Subnetzen wider.
Seite 196 von 209
MS 70-649
22.12.2009
Sie sind verantwortlich für den Aufbau der technischen Infrastruktur einer neuen Abteilung. Sie haben den
Auftrag fünf neue Windows Server 2008 Computer zu installieren.
Sie müssen zunächst die normale Last der Systeme unter regulären Betriebsbedingungen ermitteln.
Wie gehen Sie vor?
A. Konfigurieren Sie den Task-Manager.
B. Erstellen Sie eine Basislinie der Auslastung unter normalen Bedingungen.
C. Konfigurieren Sie Warnungen mit Hilfe der Konsole Zuverlässigkeit und Leistung.
D. Verwenden Sie den Microsoft Netzwerkmonitor, um die derzeitige und die zukünftige Auslastung zu
ermitteln.
Answer: B
Erläuterungen:
Als Basislinie wird unter anderem das Aufzeichnen der Leistungswerte eines Computersystems unter
normalen Bedingungen bezeichnet. Im Rahmen später durchgeführter Analysen können diese Werte zu
Vergleichszwecken herangezogen werden.
Einer der Domänencontroller weist Fehlfunktionen auf. Ein anderer Systemadministrator überwacht die
Leistung des Servers und kommt zu dem Schluss, dass die Leistungsfähigkeit nicht als Fehlerursache in
Betracht kommt.
Wo werden Sie schauen, um weitere Details zu den aufgetretenen spezifischen Problemen und Fehlern zu
ermitteln?
A. Im Task-Manager.
B. In einem Netzwerkmonitor.
C. Im Systemmonitor.
D. In der Ereignisanzeige.
Answer: D
Erläuterungen:
Die Ereignisanzeige ist ein Snap-In von Microsoft Management Console (MMC), das es Ihnen ermöglicht,
Ereignisprotokolle zu durchsuchen und zu verwalten. Sie ist ein unverzichtbares Tool zur Überwachung der
Systemgesundheit und zur unmittelbaren Behandlung von Problemen.
Mit der Ereignisanzeige können Sie die folgenden Aufgaben durchführen:

Anzeigen von Ereignissen aus verschiedenen Ereignisprotokollen

Speichern nützlicher Ereignisfilter als wiederverwendbare benutzerdefinierte Ansichten

Planen eines Tasks, der als Reaktion auf ein Ereignis ausgeführt werden soll

Erstellen und Verwalten von Ereignisabonnements
Wenn Sie die Ereignisanzeige verwenden, um ein Problem zu lösen, müssen Sie Ereignisse finden, die mit
diesem Problem zu tun haben, und zwar unabhängig davon, in welchem Protokoll sie aufgezeichnet werden.
In der Ereignisanzeige können Sie Ereignissen über mehrere Protokolle hinweg filtern. Dadurch können Sie
auf einfache Weise alle Ereignisse anzeigen, die möglicherweise mit dem Problem zu tun haben, das Sie
Seite 197 von 209
MS 70-649
22.12.2009
untersuchen
Sie starten einen Domänencontroller im Verzeichnisdienst-Wiederherstellungsmodus. Anschließend
versuchen Sie sich mit einem Domänenadministratorenkonto an dem Servercomputer anzumelden. Der
Anmeldeversuch schlägt jedoch fehl.
Was ist der wahrscheinlichste Grund für das Fehlschlagen Ihres Anmeldeversuchs?
A. Ein anderer Domänenadministrator hat das Konto deaktiviert.
B. Die konfigurierten Berechtigungen des Domänencontrollers lassen eine lokale Benutzeranmeldung nicht
zu.
C. Die Active Directory Domänendienste sind nicht verfügbar. Sie müssen daher das lokale
Administratorkonto für die Anmeldung verwenden.
D. Es steht kein anderer Domänencontroller für die Verarbeitung des Anmeldeversuchs zur Verfügung.
Answer: C
Erläuterungen:
Das Starten eines Domänencontrollers im Verzeichnisdienst-Wiederherstellungsmodus (Directory Services
Restore Mode, DSRM) ist beispielsweise im Rahmen der autorisierenden Wiederherstellung des Active
Directory erforderlich. Da die Active Directory Domänendienste in diesem Modus nicht geladen werden
können Sie nur das lokale Administratorkonto mit dem sogenannten DSRM-Kennwort für die Anmeldung
verwenden. Das DSRM Kennwort wird im Rahmen der Active Directory Installation (Dcpromo.exe) festgelegt
und kann später über das Befehlszeilenprogramm Ntdsutil.exe geändert werden.
Mit den MMC-Snap-Ins (Microsoft Management Console) oder dem Befehlszeilentool Net.exe können Sie
AD DS (Active Director Domain Services, Active Directory-Domänendienste) unter Windows Server 2008
auch im normalen Betriebsmodus starten oder beenden. Sie können AD DS ohne einen Neustart des
Domänencontrollers beenden, um Aufgaben wie die Offlinedefragmentierung der AD DS-Datenbank
auszuführen. Während AD DS beendet ist, sind andere Dienste, die auf dem Server ausgeführt werden,
ohne jedoch auf AD DS angewiesen zu sein, für Clientanforderungen verfügbar. Ein Beispiel für solch einen
Dienst wäre DHCP (Dynamic Host Configuration Protocol).
Während einer Routineüberprüfung der Warnungen und Fehler der Ereignisprotokolle auf einem Windows
Server 2008 Computer, stellen Sie fest, dass das Laden eines Treibers während des Startvorganges
fehlgeschlagen ist.
Welches der folgenden Protokolle werden Sie öffnen, um den gespeicherten Eintrag zu lokalisieren?
A. Das Protokoll Einrichtung.
B. Das Protokoll Anwendung.
C. Das Protokoll System.
D. Das Protokoll Sicherheit.
Answer: C
Erläuterungen:
Windows Server 2008 enthält zwei Kategorien von Ereignisprotokollen: Windows-Protokolle und
Anwendungs- und Dienstprotokolle. Sie können die Ereignisanzeige oder das wevtutil-Befehlszeilentool
verwenden, um Ereignisprotokolle zu verwalten. Wenn Sie den Befehl wevtutil verwenden, um
Ereignisprotokolle zu verwalten, werden in den Nachrichten, die Sie von wevtutil erhalten, Ereignisprotokolle
möglicherweise als Kanäle bezeichnet. In den meisten Fällen entsprechen Ereignisprotokolle und Kanäle
einander.
Seite 198 von 209
MS 70-649
22.12.2009
Windows-Protokolle
Die Kategorie der Windows-Protokolle enthält die Protokolle, die auch schon unter früheren WindowsVersionen zur Verfügung standen: das Anwendungs-, Sicherheits- und Systemprotokoll. Dazu gehören auch
zwei neue Protokolle: das Setupprotokoll und das ForwardedEvents-Protokoll. Die Windows-Protokolle
dienen dazu, Ereignisse von älteren Anwendungen sowie Ereignisse zu speichern, die das gesamte System
betreffen.
Anwendungsprotokoll
Das Anwendungsprotokoll enthält Ereignisse, die von Anwendungen oder Programmen protokolliert wurden.
Von einem Datenbankprogramm könnte beispielsweise ein Dateifehler im Anwendungsprotokoll
aufgezeichnet werden. Die Entwickler des jeweiligen Programms entscheiden, welche Ereignisse
protokolliert werden.
Sicherheitsprotokoll
Das Sicherheitsprotokoll enthält Ereignisse wie gültige und ungültige Anmeldeversuche sowie Ereignisse zur
Ressourcenverwendung, z. B. das Erstellen, Öffnen oder Löschen von Dateien oder anderen Objekten. Die
Administratoren entscheiden, welche Ereignisse im Sicherheitsprotokoll aufgezeichnet werden. Wenn die
Sicherheitsprotokollierung aktiviert ist, werden z.B. die Versuche, sich am System anzumelden, im
Sicherheitsprotokoll aufgezeichnet.
Setupprotokoll
Das Setupprotokoll enthält Ereignisse im Zusammenhang mit der Anwendungsinstallation.
Systemprotokoll
Das Systemprotokoll enthält Ereignisse, die von den Windows-Systemkomponenten protokolliert wurden. So
wird beispielsweise ein Fehler beim Laden eines Gerätetreibers oder einer anderen Systemkomponente
beim Systemstart im Systemprotokoll aufgezeichnet. Die von den Systemkomponenten aufgezeichneten
Ereignistypen sind durch Windows vordefiniert.
Sie installieren die Serverrolle Active Directory Lightweight Directory Services (AD LDS) auf einem Windows
Server 2008 Computer. Um Secure Socket Layer (SSL) Verbindungen mit dem AD LDS Server zu
ermöglichen, installieren Sie Zertifikate einer vertrauten Zertifizierungsstelle (CA) sowohl auf dem
Servercomputer als auch auf den Clientcomputern.
Welches Tool werden Sie verwenden, um die Zertifikate im Rahmen einer Verbindung mit dem AD LDS
Server zu testen?
A. Ldp.exe
B. Active Directory-Benutzer und -Computer
C. Ntdsutil.exe
D. Lds.exe
E. Wsamain.exe
Answer: A
Erläuterungen:
Microsoft Active Directory Lightweight Directory Services (AD LDS) ist ein LDAP-Verzeichnisdienst
(Lightweight Directory Access-Protokoll).
Seite 199 von 209
MS 70-649
22.12.2009
verwaltet.
Ldp.exe ist ein LDAP Reader mit grafischer Benutzeroberfläche, der bei der Verbindungsherstellung mit
einem LDAP-Server die Auswahl der SSL Verschlüsselung ermöglicht.
Sie verwenden den Microsoft Baseline Security Analyzer (MBSA), um eine Sicherheitsüberprüfung der
Clientcomputer durchzuführen. Dabei stellen Sie fest, dass einige Computer nicht alle Sicherheitsupdates
installiert haben.
Sie müssen feststellen, warum einige Computer nicht alle Sicherheitsupdates installiert haben.
Wie gehen Sie vor? (Wählen Sie alle zutreffenden Antworten.)
A. Schauen Sie auf den betroffenen Clientcomputern in die Protokolldatei Windows\Windowsupdate.log.
B. Schauen Sie auf dem Windows Server Update Services (WSUS) Computer in das Protokoll System.
C. Schauen Sie auf den betroffenen Clientcomputern in der Ereignisanzeige unter Anwendungs- und
Dienstprotokolle /Microsoft / Windows / WindowsUpdateClient / Operational.
D. Schauen Sie auf den Clientcomputern in das Protokoll System.
Answer: A,C,D
Erläuterungen:
Um Probleme im Zusammenhang mit der Installation von Sicherheitsupdates zu verfolgen, gibt es mehrere
relevante Protokolle. Die Antworten A, C und D bezeichnen die wichtigsten.
Das Netzwerk enthält einen Windows Server Update Services (WSUS) Server mit dem Namen WSUS1. Sie
wollen sichergehen, dass Updates erfolgreich über den Server verteilt werden.
Welche der folgenden Informationen können Sie dem Bericht Updatestatus-Zusammenfassung entnehmen?
(Wählen Sie alle zutreffenden Antworten.)
A. Der Bericht bietet Ihnen Informationen zu Systemen, auf denen Updates deinstalliert werden können.
B. Der Bericht bietet Ihnen Informationen zu Systemen, bei denen die Installation von Updates
fehlgeschlagen ist.
C. Der Bericht bietet Ihnen Informationen darüber, welche Computergruppen für die Installation eines
Updates genehmigt sind.
D. Der Bericht bietet Ihnen Informationen zu Systemen, die ein bestimmtes Update installiert haben.
Answer: B,C
Erläuterungen:
Mithilfe der Berichte von WSUS 3.0 können Sie Updates, Computer und Synchronisierungsergebnisse für
die Computer und WSUS-Server überwachen, die von Ihrem Server verwaltet werden. Außerdem kann ein
Rollup der Daten von den Downstreamservern ausgeführt werden, die eine Verbindung mit Ihrem Server
herstellen. Mitglieder der Sicherheitsgruppe "WSUS-Berichterstatter" haben die Berechtigung, WSUSSeite 200 von 209
MS 70-649
22.12.2009
Berichte zu erstellen und anzuzeigen.
Im Updatestatus-Zusammenfassungsbericht finden Sie für jedes Update eine ausführliche
Zusammenfassung mit den Eigenschaften und dem Genehmigungsstatus des Updates. Wenn Sie diesen
Bericht erstellen, finden Sie alle Updates, die den Berichtskriterien entsprechen, im Strukturfenster. Wählen
Sie ein Uptate aus der Struktur aus, um Informationen über die Eigenschaften und den Genehmigungsstatus
des Updates anzuzeigen. Sie können den Bericht drucken oder im Microsoft Office Excel- oder Adobe
Acrobat-Format (PDF) exportieren. Sie können zwischen den Ansichten "Zusammenfassung", "Details" und
"Tabellarisch" wechseln, indem Sie auf der Symbolleiste auf Berichtsansicht klicken und eine andere Option
auswählen.
Das Netzwerk enthält einen Windows Server Update Services (WSUS) Server mit dem Namen Server1.
Sie planen die Gruppierung der Systeme im Netzwerk für den Erhalt von Updates. Sie wollen die Computer
in unterschiedlichen Gruppen zusammenfassen, um die Möglichkeit zu erhalten, die Freigabe und die
Installation von Updates detailliert zu steuern.
A. Verwenden Sie die Konsole Update Services und erweitern Sie den Knoten Computer. Klicken Sie mit der
rechten Maustaste auf einen Computer und wählen Sie die Option Mitgliedschaft ändern.
B. Verwenden Sie die Konsole Update Services und ziehen Sie die Computer auf die gewünschte Gruppe.
C. Aktivieren und konfigurieren Sie die Richtlinie Automatische Updates konfigurieren.
D. Aktivieren und konfigurieren Sie die Richtlinie Clientseitige Zielzuordnung aktivieren.
Answer: A,D
Erläuterungen:
Mithilfe von WSUS können Sie Updates für Gruppen von Clientcomputern bereitstellen. Durch die
Zuordnung bestimmter Zielgruppen können Sie sicherstellen, dass die Computer die richtigen Updates zur
passenden Zeit erhalten. Sie können beispielsweise festlegen, wann Computer mit einer bestimmten
Konfiguration aktualisiert werden sollen und welche Updates sie erhalten sollen. Anschließend können Sie
mithilfe der Berichtsfunktionen von WSUS den Erfolg der Aktualisierung für diese Computergruppe
überprüfen.
In der Standardeinstellung ist jeder Computer der Gruppe "Alle Computer" zugewiesen. Außerdem gehören
alle Computer der Gruppe "Nicht zugewiesene Computer" an, bis Sie einer anderen Gruppe zugewiesen
werden. Ein Computer kann beliebig vielen Gruppen angehören. Sie können für die Computergruppen eine
Hierarchie erstellen. Dies ist ein neues Feature von WSUS 3.0.
Es gibt zwei Möglichkeiten, Computer Gruppen zuzuweisen: die serverseitige Zielzuordnung oder die
clientseitige Zielzuordnung. Bei serverseitiger Zielzuordnung werden Clientcomputer mithilfe der WSUSVerwaltungskonsole zu Computergruppen hinzugefügt. Bei clientseitiger Zielzuordnung verwenden Sie
"Gruppenrichtlinien" oder bearbeiten die Registrierungseinstellungen der Clientcomputer, damit sich diese
Computer den Computergruppen automatisch zuordnen können. Sie müssen die gewünschte Methode
durch Auswählen einer Option auf der Seite Computer angeben.
Sie administrieren einen Servercomputer mit dem Namen Server1. Nachdem Sie eine neue Anwendung auf
Server1 installiert haben, stellen Sie gelegentlich auftretende Leistungsdefizite und Instabilitäten auf Server1
fest.
Sie wollen sich vergewissern, dass die Leistungsprobleme in Zusammenhang mit der
Anwendungsinstallation stehen. Zu diesem Zweck müssen Sie das Datum der Anwendungsinstallation
Seite 201 von 209
MS 70-649
22.12.2009
ermitteln.
Wie gehen Sie vor?
A. Verwenden Sie den Microsoft Netzwerkmonitor, um das Datum der Anwendungsinstallation zu ermitteln.
B. Verwenden Sie den Knoten Sammlungssätze der Konsole Zuverlässigkeits- und Leistungsüberwachung,
um das Datum der Anwendungsinstallation zu ermitteln.
C. Verwenden Sie die Zuverlässigkeitsüberwachung in der Konsole Zuverlässigkeits- und
Leistungsüberwachung, um das Datum der Anwendungsinstallation zu ermitteln.
D. Verwenden Sie den Systemmonitor in der Konsole Zuverlässigkeits- und Leistungsüberwachung, um das
Datum der Anwendungsinstallation zu ermitteln.
Answer: C
Erläuterungen:
Das Snap-In Zuverlässigkeitsüberwachung für Microsoft Management Console (MMC) bietet einen Überblick
über die Systemstabilität und Einzelheiten über Ereignisse, die sich auf die Zuverlässigkeit auswirken. Es
berechnet den Stabilitätsindex und zeigt seinen Verlauf in der Lebensdauer des Systems im
Systemstabilitätsdiagramm an.
Die Zuverlässigkeitsüberwachung unterhält den Verlauf der Systemstabilität und die mit der Zuverlässigkeit
zusammenhängenden Ereignisse für bis zu ein Jahr. Das Systemstabilitätsdiagramm zeigt einen laufenden
Graphen, der nach dem Datum aufgetragen ist.
Die obere Hälfte des Systemstabilitätsdiagramms zeigt einen Graphen des Stabilitätsindex. In der unteren
Hälfte des Diagramms verfolgen fünf Zeilen Zuverlässigkeitsereignisse nach, die entweder zur
Stabilitätsmessung für das System beitragen oder verwandte Informationen über das Installieren und
Entfernen von Software bieten. Wenn ein oder mehrere Zuverlässigkeitsereignisse eines Typs erkannt
werden, erscheint in der Spalte für das Datum ein Symbol.

Bei Softwareinstallation und -deinstallation zeigt ein Informaionssymbol ein erfolgreiches Ereignis
dieses Typs an, ein Warnungssymbol hingegen einen Fehler.

Bei allen anderen Arten von Zuverlässigkeitsereignissen zeigt ein Fehlersymbol einen Fehler an.
Sie erhalten zahlreiche Beschwerden von Benutzern, in denen Ihnen berichtet wird, das der E-Mail
Serverdienst während der Geschäftszeiten sehr träge und langsam ist.
Sie müssen herausfinden, welche Ressourcen die Leistung des Server beeinträchtigen. Zu diesem Zweck
wollen Sie Leistungsdaten während des Tages und während der Nacht aufzeichnen und miteinander
vergleichen.
A. Verwenden Sie den Microsoft Netzwerkmonitor.
B. Verwenden Sie einen Sammlungssatz.
C. Verwenden Sie die Zuverlässigkeitsüberwachung.
D. Verwenden Sie den Systemmonitor.
Answer: B,D
Erläuterungen:
Sie können einen Sammlungssatz erstellen oder den vorkonfigurierten Sammlungssatz System Performance
(Systemleistung) verwenden, um die erforderlichen Daten aufzuzeichnen. Anschließend können Sie die
gesammelten Daten mit dem Systemmonitor betrachten.
Seite 202 von 209
MS 70-649
22.12.2009
Sammlungssätze sind die Grundbausteine der Leistungsüberwachung und Berichterstellung in der
Windows-Zuverlässigkeits- und Leistungsüberwachung. Sie ordnen mehrere Datenerfassungspunkte in
einer einzelnen Komponente an, die zum Untersuchen oder Protokollieren der Leistung verwendet werden
kann. Sie können einen Sammlungsatz erstellen und dann einzeln aufzeichnen, mit anderen
Sammlungssätzen gruppieren und in Protokolle aufnehmen, im Systemmmonitor anzeigen, zur Ausgabe von
Warnungen beim Überschreiten von Schwellenwerten konfigurieren und von anderen Nicht-MicrosoftAnwendungen verwenden lassen. Sie können ihn auch mit Regeln für die Zeitplanung verknüpfen, um die
Datenerfassung zu bestimmten Zeiten durchzuführen. Außerdem können Sie WMI-Tasks (Windows
Management Interface) einrichten, die nach dem Abschluss der Sammlungssatz-Datenerfassung ausgeführt
werden.
Sammlungssätze können die folgenden Typen von Datensammlungen enthalten:

Leistungsindikatoren

Ereignisablaufverfolgungsdaten

Systemkonfigurationsinformationen (Registrierungsschlüsselwerte)
Sie können einen Sammlungsatz von einer Vorlage oder von einem vorhanden Satz von Datensammlungen
in einer Systemmonitoransicht erstellen, aber auch dadurch, dass Sie einzelne Datensammlungen
auswählen und die einzelnen Optionen in den Eigenschaften des Sammlungssatzes einrichten.
Der Systemmonitor ist ein einfaches, aber leistungsfähiges Visualisierungstool für Leistungsdaten, sowohl in
Echtzeit als auch in Form von Protokolldateien. Sie können damit Leistungsdaten in einem Diagramm,
Histogramm oder Bericht untersuchen.
Das Netzwerk enthält einen Servercomputer mit dem Namen Server1. Server1 wird als Datei- und
Druckserver für das Netzwerk eingesetzt.
Sie öffnen die Eingabeaufforderung auf Server1, um einen Mitschnitt des Netzwerkverkehrs von und zu
Server1 zu erstellen. Sie benötigen die Information zur Analyse von Leistungsproblemen im Zusammenhang
mit dem Zugriff auf Dateifreigaben.
Welches der folgenden Befehlszeilenprogramme werden Sie verwenden?
A. Verwenden Sie das Befehlszeilenprogramm Nmcap.exe.
B. Verwenden Sie das Befehlszeilenprogramm Nmconfig.exe.
C. Verwenden Sie das Befehlszeilenprogramm Netmon.exe.
D. Verwenden Sie das Befehlszeilenprogramm Nmwifi.exe.
Answer: A
Erläuterungen:
Das Befehlszeilenprogramm Nmcap.exe wird mit dem Microsoft Netzwerkmonitor installiert und stellt die
Befehlszeilenversion von Network Monitor 3.x dar. Sie können das Tool verwenden, um Netzwerkdaten
ressourcenschonend und zeitgesteuert aufzuzeichnen.
Auf einem Windows Server 2008 Computer mit dem Namen LDS1 sind die Active Directory Domänendienste
(AD DS) und die Active Directory Lightweight Directory Services (AD LDS) installiert.
Eine Active Directory Lightweight Directory Services Instanz mit dem Namen LDSI speichert ihre Daten in
Seite 203 von 209
MS 70-649
22.12.2009
der standardmäßigen Anwendungsverzeichnispartition. Die Datenbankdateien der AD LDS Instanz wachsen
schnell an.
Sie entschließen sich, die Anwendungsverzeichnispartition der Active Directory Lightweight Directory
Services Instanz auf Laufwerk D zu verschieben.
Wie gehen Sie vor? (Jede korrekte Antwort stellt einen Teil der Lösung dar. Wählen Sie drei Antworten.)
A. Führen Sie den Befehl Net Stop "Domain Controller" aus.
B. Führen Sie den Befehl Net Stop LDSI aus.
C. Verwenden Sie Ntdsutil.exe, um die Datenbankdateien zu verschieben.
D. Verwenden Sie Xcopy.exe, um die Datenbankdateien zu verschieben.
E. Führen Sie den Befehl Net Start LDSI aus.
F. Führen Sie den Befehl Net Start "Domain Controller" aus.
Answer: B,C,E
Erläuterungen:
Verzeichnisspeicher für eine bestimmte AD LDS-Instanz in der folgenden Datei:
%ProgramFiles%\Microsoft ADAM\Instanzname\data\adamntds.dit
werden.
Wie in Active Directory-Domänendienste (Active Directory Domain Services, AD DS) wird auch von AD LDS
ESE (Extensible Storage Engine) zur Verwaltung des Verzeichnisspeichers verwendet.
Verzeichnispartitionen
Der AD LDS-Verzeichnisspeicher ist in logische Verzeichnispartitionen unterteilt. Drei Typen von
Verzeichnispartitionen werden unterschieden: Konfigurations-, Schema- und
Anwendungsverzeichnispartitionen. Jeder AD LDS-Verzeichnisspeicher muss eine einzelne
Konfigurationsverzeichnispartition und eine einzelne Schemaverzeichnispartition enthalten. Darüber hinaus
kann er bei Bedarf mehrere Anwendungsverzeichnispartitionen enthalten. In der folgenden Tabelle sind die
Partitionstypen, ihre Inhalte und die jeweiligen AD LDS-Anforderungen aufgeführt.
Konfigurationsverzeichnispartition
Die Konfigurationsverzeichnispartition enthält unter anderem Informationen zur AD LDSReplikationszeitplanung und zu Replikatsätzen, zur Definition der anderen Partitionen im Replikatsatz sowie
zu den Benutzern und Gruppen im Replikatsatz.
Schemaverzeichnispartition
Seite 204 von 209
MS 70-649
22.12.2009
Die Schemaverzeichnispartition enthält die Definitionen zum Typ der Daten, die im Verzeichnisspeicher
gespeichert werden können. Der AD LDS-Verzeichnisdienst greift auf die Definitionen in der
Schemaverzeichnispartition zurück, um die Datenkonsistenz aufrechtzuerhalten. Darüber hinaus können
Anwendungen auf die Schemaverzeichnispartition Bezug nehmen, um den in der AD LDS-Instanz
zulässigen Datentyp zu ermitteln. Sie können das Schema erweitern, um die Speicherung
anwendungsspezifischer Daten in AD LDS zu ermöglichen.
Eine gemeinsame Konfigurationspartition und eine gemeinsame Schemapartition werden auf AD LDSDienstinstanzen repliziert, die demselben Konfigurationssatz angehören.
Anwendungsverzeichnispartitionen
Sie planen die Sicherungsstrategie für die Active Directory Lightweight Directory Services (AD LDS). Sie
müssen sicherstellen, dass Daten- und Protokolldateien regelmäßig gesichert werden. Zudem müssen Sie
die ununterbrochene Verfügbarkeit der Daten für Anwendungen und Benutzer bei einem Systemausfall
sicherstellen.
Da Sie nur einen begrenzten Satz an Sicherungsmedien zur Verfügung haben, entschließen Sie sich,
ausschließlich spezifische AD LDS Instanzen, anstelle des gesamten Volumes zu sichern.
Wie gehen Sie vor?
A. Verwenden Sie das Programm Windows Server-Sicherung und aktivieren Sie das Kontrollkästchen, so
dass nur die Datenbankdateien und die Protokolldaten der Active Directory Lightweight Directory Services
(AD LDS) gesichert werden.
B. Verwenden Sie Dsdbutil.exe und erstellen Sie ein Installationsmedium, das der AD LDS Instanz
entspricht.
C. Verschieben Sie die Datenbankdateien und die Protokolldaten der Active Directory Lightweight Directory
Services (AD LDS) auf ein separates Volume und verwenden Sie die Windows Server-Sicherung, um das
Volume zu sichern.
D. Verschieben Sie die Datenbankdateien und die Protokolldaten der Active Directory Lightweight Directory
Services (AD LDS) auf ein separates Volume und verwenden Sie das Sicherungsprogramm eines
Drittanbieters, um das Volume zu sichern.
Answer: B
Erläuterungen:
Die Daten- und Protokolldateien von Active Directory Lightweight Directory Services (AD LDS) sollten
regelmäßig gesichert werden, um die ununterbrochene Verfügbarkeit von Daten für Anwendungen und
Benutzer bei einem Systemausfall sicherzustellen.
Standardmäßig werden die Datenbankdatei Adamntds.dit und die dazugehörigen Protokolldateien für jede
auf einem AD LDS-Server ausgeführte AD LDS-Instanz unter %program files%\Microsoft
ADAM\Instanzname\data gespeichert, wobei Instanzname den Namen der AD LDS-Instanz darstellt. Diese
Dateien sollten in den regelmäßigen Sicherungsplan der Organisation eingeschlossen werden. Zum Sichern
der Daten für eine AD LDS-Instanz sichern Sie diese Dateien.
Während Sie mit Windows Server-Sicherung nur die gesamten Volumes sichern können, die AD LDS
INstanzdaten enthalten können Sie mit Dsdbutil.exe Installationsmedien erstellen, die nur Daten einer
bestimmten AD LDS Instanz enthalten.
Seite 205 von 209
MS 70-649
22.12.2009
Sichern von AD LDS-Instanzdaten mit "Dsdbutil.exe"
Mit dem Tool Dsdbutil.exe können Sie im Gegensatz zur Sicherung vollständiger Volumes, die die AD LDSInstanz enthalten, nur Installationsmedien erstellen, die der zu sichernden AD LDS-Instanz entsprechen.
Sie müssen mindestens Mitglied der lokalen Gruppe Sicherungs-Operatoren oder einer entsprechenden
Gruppe sein, damit Sie dieses Verfahren ausführen können.
So erstellen Sie Installationsmedien für AD LDS mit "Dsdbutil.exe"
-- 1.Klicken Sie auf Start, klicken Sie mit der rechten Maustaste auf Eingabeaufforderung, und klicken Sie
dann zum Öffnen einer Eingabeaufforderung mit erhöhten Rechten auf Als Administrator ausführen.
-- 2.Geben Sie den folgenden Befehl ein, und drücken Sie dann die EINGABETASTE:
dsdbutil
-- 3.Geben Sie an der Aufforderung dsdbutil: den folgenden Befehl ein, und drücken Sie dann die
EINGABETASTE:
activate instance .Dabei ist der Name der AD LDS-Instanz, für die Sie die Installationsmedien erstellen
möchten.
Beispiel:
activate instance Instanz1
Geben Sie an der Aufforderung dsdbutil: den folgenden Befehl ein, und drücken Sie dann die
EINGABETASTE:
ifm
-- 4.Geben Sie an der Aufforderung ifm: den Befehl für den Typ des Installationsmediums ein, das Sie
erstellen möchten, und drücken Sie anschließend die EINGABETASTE:
create full
Dabei ist der Pfad zu dem Ordner, in dem das Installationsmedium erstellt werden soll. Sie können das
Installationsmedium in einem freigegebenen Netzwerkordner oder auf beliebigen anderen Wechselmedien
speichern.
Beispiel:
create full C:\Sicherung\Instanz1
-- 5.Führen Sie zum Beenden von dsdbutil folgende Aktionen aus:
Geben Sie an der Aufforderung ifm: den Befehl quit ein, und drücken Sie dann die EINGABETASTE.
Geben Sie an der Aufforderung dsdbutil: den Befehl quit ein, und drücken Sie dann die EINGABETASTE.
Das Netzwerk enthält einen Windows Server 2008 Computer mit dem Namen Server1. Server1 stellt eine
Instanz der Active Directory Lightweight Directory Services (AD LDS) bereit.
Um AD LDS zu testen, wollen Sie die AD LDS Instanz auf einen Testcomputer im selben Netzwerk
replizieren.
Seite 206 von 209
MS 70-649
22.12.2009
Wie gehen Sie vor, um die AD LDS Instanz auf den Testcomputer zu replizieren?
A. Starten Sie die Installationsroutine der Active Directory Lightweight Directory Services (AD LDS) auf dem
Testcomputer und erstellen und installieren Sie mit dem Assistenten eine Replik der AD LDS Instanz.
B. Führen Sie auf dem Testcomputer den Befehl Repadmin /bs server1.Contoso.de aus.
C. Installieren und konfigurieren Sie eine neue AD LDS Instanz auf dem Testcomputer, indem Sie die
gesamte Anwendungsverzeichnispartition von Server1 auf den Testcomputer kopieren.
D. Führen Sie auf dem Testcomputer den Befehl Dsmgmt.exe aus und erstellen Sie einen Namenskontext.
Answer: A
Erläuterungen:
Eine Instanz von Active Directory Lightweight Directory Services (AD LDS) ist eine einzelne ausgeführte
Kopie von AD LDS. Es können mehrere Kopien von AD LDS gleichzeitig auf einem Computer ausgeführt
werden. (Dies gilt nicht für Active Directory-Domänendienste (Active Directory Domain Services, AD DS).)
Dadurch werden Verfügbarkeit und Lastenausgleich beim Replizieren von Instanzen über mehrere Server
hinweg verbessert. Jede Instanz von AD LDS verfügt über ein getrenntes Verzeichnis, einen eindeutigen
Dienstnamen und eine eindeutige Dienstbeschreibung, die bei der Erstellung der Instanz zugewiesen wird.
Sie können Dienstinstanzen von Active Directory Lightweight Directory Services (AD LDS) mithilfe des
Setup-Assistenten für Active Directory Lightweight Directory Services erstellen. In AD LDS bezieht sich
Dienstinstanz (oder einfach Instanz) auf eine einzelne ausgeführte Kopie von AD LDS. AD LDS-Instanzen
können Teil eines Konfigurationssatzes sein, um Fehlertoleranz und Lastenausgleich bereitzustellen. Alle
AD LDS-Instanzen in einem Konfigurationssatz replizieren eine gemeinsame
Konfigurationsverzeichnispartition und eine gemeinsame Schemaverzeichnispartition sowie beliebig viele
Anwendungsverzeichnispartitionen.
Zum Erstellen einer AD LDS-Instanz und zum Zuordnen dieser zu einem vorhandenen Konfigurationssatz
verwenden Sie den Setup-Assistenten für Active Directory Lightweight Directory Services, und erstellen Sie
eine AD LDS-Replikatinstanz. Sie müssen den DNS-Namen (Domain Name System) des Servers kennen,
auf dem eine zu dem Konfigurationssatz gehörende AD LDS-Instanz ausgeführt wird, sowie den LDAP-Port
(Lightweight Directory Access-Protokoll), der beim Erstellen der Instanz angegeben wurde. Außerdem
können Sie die auch als DNs bezeichneten definierten Namen bestimmter
Anwendungsverzeichnispartitionen angeben, die Sie aus dem Konfigurationssatz in die zu erstellende AD
LDS-Instanz kopieren möchten.
So erstellen Sie ein AD LDS-Instanzreplikat
1. Klicken Sie auf Start, zeigen Sie auf Verwaltung, und klicken Sie dann auf Setup-Assistent für Active
Directory Lightweight Directory Services.
2. Klicken Sie auf der Seite Willkommen auf Weiter.
3. Klicken Sie auf der Seite Setupoptionen auf Ein Replikat einer vorhandenen Instanz installieren, und
klicken Sie dann auf Weiter.
4. Beenden Sie das Erstellen der neuen Instanz, indem Sie den Anweisungen des Assistenten folgen.
2008 ausgeführt.
Sie sind verantwortlich für einen Server mit dem Namen Server1. Ihr Vorgesetzter bittet Sie, Server1 für eine
neue Rolle im Netzwerk zu konfigurieren. Derzeit hostet Server1 drei Active Directory Lightweight Directory
Services (AD LDS) Instanzen. Im Zuge der Rekonfiguration, müssen Sie AD LDS auf Server1 deinstallieren.
Sie melden sich an Server1 an, um eine Eingabeaufforderung mit erhöhten Rechten zu starten. Sie
benutzen den Befehl Ocsetup.exe mit dem Parameter /Uninstall. Der Befehl kann jedoch nicht ausgeführt
werden.
Seite 207 von 209
MS 70-649
22.12.2009
Wie können Sie den Fehler beheben und sicherstellen, dass der Befehl korrekt ausgeführt wird?
A. Deinstallieren Sie die bestehenden AD LDS Instanzen. Führen Sie anschließend den Befehl Ocsetup
/uninstall aus.
B. Führen Sie einen Neustart von Server1 durch, um sicherzustellen, dass alle laufenden Prozesse
abgeschlossen sind. Führen Sie anschließend den Befehl Ocsetup /uninstall aus.
C. Verwenden Sie den Befehl Oclist.exe, um die korrekte Syntax für die Optionen zu ermitteln, die Sie mit
dem Befehl Ocsetup verwenden müssen. Führen Sie anschließend den Befehl Ocsetup /uninstall aus.
D. Verwenden Sie den Server-Manager, um die AD LDS Instanzen und die Serverrolle Active Directory
Lightweight Directory Services (AD LDS) von Server1 zu entfernen.
Answer: A
Erläuterungen:
Bevor Sie die Serverrolle Active Directory Lightweight Directory Services (AD LDS) entfernen können,
müssen Sie zunächst alle konfigurierten AD LDS Instanzen entfernen.
2008 installiert.
Sie installieren die Active Directory Lightweight Directory Services (AD LDS) und müssen die
Verwaltungstools für diese Serverrolle identifizieren.
Welches der nachstehenden Tools wird für die Administration der Serverrolle Active Directory Lightweight
Directory Services (AD LDS) verwendet?
A. Die Konsole Active Directory-Standorte und -Dienste.
B. Die Konsole Active Directory-Benutzer und -Computer.
C. Die Konsole Active Directory-Schemaverwaltung.
D. Die Konsole Active Directory-Domänen und -Vertrauensstellungen.
Answer: A
Erläuterungen:
Die Konsole Active Directory-Standorte und -Dienste kann verwendet werden, um die Replikation zwischen
AD LDS Instanzen zu konfigurieren.
auf dem die Active Directory-Rechteverwendungsdienste (AD RMS) ausgeführt werden.
Alle Benutzer verwenden Windows Vista Computer. Die Active Directory Domäne des Unternehmens wird in
der Funktionsebene Windows Server 2003 betrieben.
Sie müssen die Active Directory-Rechteverwendungsdienste so konfigurieren, dass die Benutzer ihre
Dokumente schützen können.
Wie gehen Sie vor?
A. Installieren Sie den Active Directory Rights Management Services (AD RMS) Client 2.0 auf allen
Clientcomputern.
B. Nehmen Sie das Dienstkonto der Active Directory-Rechteverwendungsdienste in die lokale
Administratorengruppe auf dem AD RMS Server auf.
C. Erstellen Sie für jeden Benutzer ein E-Mail Konto in Active Directory-Domänendienste (AD DS).
D. Stufen Sie die Domänenfunktionsebene der Active Directory Domäne auf Windows Server 2008 herauf.
Answer: C
Erläuterungen:
Die verschiedenen Komponenten der Active Directory-Rechteverwaltungsdienste (Active Directory Rights
Seite 208 von 209
MS 70-649
22.12.2009
Management Services, AD RMS) verfügen über vertrauenswürdige Verbindungen, die durch eine Reihe von
Zertifikaten implementiert werden. Das Erzwingen der Gültigkeit dieser Zertifikate gehört zu den
Hauptfunktionen der AD RMS-Technologie. Sämtliche Teile des durch Rechte geschützten Inhalts werden
mit einer Lizenz veröffentlicht, die die zugehörigen Verwendungsregeln wiedergeben. Jeder Benutzer dieses
Inhalts erhält eine eindeutige Lizenz, die diese Verwendungsregeln liest, interpretiert und erzwingt. In
diesem Zusammenhang stellt eine Lizenz einen bestimmten Zertifikattyp dar.
AD RMS verwendet zum Wiedergeben der Verwendungsrechte für durch Rechte geschützten Inhalt ein
XML-Vokabular, das als eXtensible rights Markup Language (XrML) bezeichnet wird.
Die von AD RMS verwendeten Zertifikate und Lizenzen sind in einer Hierarchie verknüpft, sodass der AD
RMS-Client ausgehend von einem bestimmten Zertifikat oder einer bestimmten Lizenz über
vertrauenswürdige Zertifikate bis hin zu einem vertrauenswürdigen Schlüsselpaar stets einer Kette folgt.
Die RAC (Rights Account Certificate) Ausstellung basiert in der Regel auf der E-Mail Adresse des Benutzers.
Seite 209 von 209

Upgrading to Windows Server 2008 MS 70-649

Transcrição

Documentos relacionados

Inhaltsverzeichnis zum

Netzwerktechnik CHS Villach Mag. Rainer Swatek Dauer: 2

Bericht über eine Migration von NT SBS auf Windows 2003

Windows Netzwerk-Inventarisierung Netzwerk

PDF

MBR-Wiederherstellung unter Windows 2000®/XP

Sophos Anti-Virus —Business

Technische Daten - i

10 Systemvoraussetzungen

IT-Voraussetzung_7-2-0-x