LÖSUNGEN UND BEGRÜNDUNGEN FÜR EXAMEN Neuerungen für das Examen Lösungen und Begründungen - 1 -

Transkript

1 Neuerungen für das Examen Lösungen und Begründungen - 1 -

2 Frage 1 Sie sind Netzwerkadministrator der Firma MVS M. Völk Systems. Das Netzwerk ist im Moment als Arbeitsgruppe konfiguriert. Das Netzwerk besteht im Moment aus fünf Servern.»MVSSRV210«,»MVSSRV220«,»MVSSRV230«,»MVSSRV240«und»MVSSRV250«die folgende Aufgaben übernehmen: MVSSRV210«und»MVSSRV220«sind als Webserverfarm konfiguriert und wurden mit Windows Server 2003 Web Edition installiert.»mvssrv230«wurde mit Windows Server 2003 Standard Edition und Zertifizierungsdiensten installiert. Dieser Server ist die Zertifizierungsstelle (CA).»MVSSRV240«ist als Mailserver konfiguriert und läuft mit Windows Server 2003 Enterprise Edition.»MVSSRV250«ist ein Datenbankserver mit Windows Server 2003 Database Edition. Sie müssen nun eine ausfallsichere Active Directory Domäne für MVSNET.DE erstellen. Auf welchem(n) Server(n) sollten Sie Active Directory installieren? Zählen Sie alle Zutreffenden auf!. A»MVSSRV210«. B»MVSSRV220«. C»MVSSRV230«. D»MVSSRV240«. E»MVSSRV250«. Richtige Antworten: D und E Begründung Um eine fehlertolerante Domäne zu installieren werden mind. 2 Domänencontroller benötigt.»mvssrv240«und»mvssrv250«sind die einzigen Server die von der Konfiguration und des installierten Betriebssystems in Frage kommen. Lösungsvorschlag A und B sind falsch, da eine Installation eines Domänencontrollers bei der Windows Server 2003 Web Edition nicht möglich ist. Antwort C scheidet aus, da wir einen Server der bereits als Zertifizierungsstelle arbeitet nicht zum Domänencontroller machen können. Allerdings kann man einen Domänencontroller als Zertifizierungsstelle konfigurieren

3 Hilfe Domänencontroller MS Training Seiten 5ff

4 Frage 2 Sie sind Netzwerk Administrator der Firma MVS M. Völk Systems. Das Netzwerk besteht aus einer Domäne. Alle Server im Netzwerk laufen mit Windows Server 2003 und alle Client Computer mit Windows XP Professional. Ein Server der»mvssrv050«heißt ist als zentrale Authentifizierungsstelle (CA) konfiguriert. Die Firma MVS M. Völk Systems fusioniert mit einer anderen Firma (mvspress.com) die eine eigene zentrale Zertifizierungsstelle (CA) hat. Die neue Sicherheitsrichtlinie der Firma mvspress.com stellt folgende Anforderungen für Computer die sich in dem mvsnet.com Netzwerk befinden: Zertifikate müssen für die gegenseitige Authentifizierung verwendet werden. Es muss für die Kommunikation zwischen mvsnet.de Clientcomputer und Servern IPSec verwendet werden. IPSec muss für die Kommunikation zwischen MVS M. Völk Systems und mvspress.com verwendet werden. Sie müssen die Anforderungen umsetzten. Weiterhin möchte Sie es realisieren, dass alle Computer von MVS M. Völk Systems den Zertifikaten der Computer von mvspress.com vertrauen. Was müssen Sie machen um alle Anforderungen umzusetzen? Wählen Sie 2 Antwortmöglichkeiten. Jede Antwort stellt einen Teil der Lösung dar. A Konfigurieren einer neuen GPO für die automatische Ausgabe von Computerzertifikaten, von»mvssrv050«aus, an alle mvspress.com Computer. B Importieren des Enterprise CA Zertifikats von mvspress.com in die Trusted Root Certification Authorities der Computer, hinterlegt in der Default Domain Policy GPO. C Konfigurieren einer neuen GPO für die Ausgabe von Benutzerzertifikaten, von»mvssrv05«aus, für alle mvspress.com Benutzer. D Importieren des Enterprise CA Zertifikats von mvspress.com in die Trusted Root Certification Authorities der Benutzer, hinterlegt in der Default Domain Policy GPO. Richtige Antworten: A und B Begründung - 4 -

5 Bevor man IPSec für die gegenseitige Authentifizierung verwenden kann, muss sichergestellt sein, dass alle Computer ein Computerzertifikat besitzen. Zusätzlich muss jeder Computer dem Zertifikat eines anderen Computers vertrauen. Sie können das automatische anfordern und ausrollen beschleunigen des mvsnet.com Enterprise CA Zertifikats, indem Sie in der Default Domain Policy die Einstellung Automatic Certificate Request einschalten. Die Einstellung des automatischen Ausrollens von Zertifikaten ist standardmäßig für Benutzer und Computer in Windows Server 2003 aktiviert. Um es allen mvsnet.com Computern zu ermöglichen den Computern von mvspress.com zu vertrauen, muss das Enterprise CA Zertifikat von mvspress.com zu der Trusted Root Certification Authorities der Computer hinzugefügt und in der Default Domain Policy hinterlegt werden. Damit bekommen alle Computer von MVS M. Völk Systems das Enterprise CA Zertifikat von mvspress.com. Lösungsvorschlag C ist falsch, da eine der Anforderungen IPSec für die Kommunikation zwischen den Client Computern war. Deshalb benötigen auch die Computer und nicht die Benutzer die Zertifikate. Antwort D ist falsch, da es keine Benutzerpolicy gibt um ein Zertifikat in die Trusted Root Certification Authorities einzufügen. Hilfe Zertifikate MS Training Seite 891ff - 5 -

6 Frage 3 Sie sind Netzwerk Administrator der Firma MVS M. Völk Systems. Das Netzwerk besteht aus einer Windows 2000 Active Directory Gesamtstruktur die drei Domänen enthält. Die Domänen heißen MVSNET.BIZ, MVSPRESS.BIZ und MVSNET.INFO. Alle Server im Netzwerk werden mit Windows Server 2003 und alle Client Computer mit Windows XP Professional betrieben. Sie bekommen den Auftrag ein Enterprise Root Certification Authority (CA) zu integrieren, die folgende Bestimmungen erfüllt: Allen Usern muss ein Zertifikat von der Zentralen Authentifizierungsstelle (CA) ausgestellt werden. Die Zertifikate werden für die Authentifizierung von Usern verwendet, die auf Ressourcen der Domäne zugreifen möchten. Jede Nachricht die zu einem anderen Angestellten geschickt wird, muss elektronisch signiert werden. Jede Art des Datenverkehrs über das Netzwerk muss verschlüsselt werden. Alle Zertifikate müssen im Active Directory veröffentlicht werden. Sie installieren die Zertifikats Dienste auf einem Windows Server 2003 der»mvssrv170«heißt und konfigurieren diesen Server zur zentralen Authentifizierungsstelle (CA).»MVSSRV170«ist in der Domäne MVSNET.BIZ. Sie konfigurieren die benötigten Zertifikate und die Benutzer, so dass alle Benutzer Zertifikate von der zentralen Authentifizierungsstelle (CA) erhalten. Sie müssen sicherstellen, dass jeder Benutzer Zertifikate von der zentralen Authentifizierungsstelle erhält, egal in welcher Domäne der Benutzer angesiedelt ist. Was müssen Sie tun? A Fügen Sie in jeder Domäne die zentrale Authentifizierungsstelle der Gruppe CertPublisher hinzu. B Fügen Sie die zentrale Authentifizierungsstelle nur der Gruppe CertPublisher in der Domäne MVSNET.COM hinzu. C Erteilen Sie jedem Benutzer die Berechtigung Erlauben Ausrollen und Bearbeiten von Zertifikaten. D Konfigurieren Sie alle Benutzer für das automatische empfangen von Zertifikaten. Richtige Antwort: A - 6 -

7 Begründung Die Fragestellung gibt vor, dass es sich um eine Gesamtstruktur handelt, in der sich 3 Domänen befinden. In der Domäne mvsnet.biz befindet sich die zentrale Authentifizierungsstelle (CA). Sie müssen sicherstellen, dass die Zertifikate für alle Benutzer in allen Domänen verfügbar sind. Um dies zu erreichen müssen Sie den Server in jeder Domäne in die Gruppe CertPublisher aufnehmen. Wenn Sie eine neue zentrale Authentifizierungsstelle (CA) installieren, so ist diese nur in der Gruppe CertPublisher der Domäne, in der der Server steht. Deshalb müssen Sie in den anderen zwei Domänen den Server noch der Gruppe zuweisen. Lösungsvorschlag B ist falsch, da die zentrale Authentifizierungsstelle (CA) bereits in der Gruppe CertPuplisher steht. Da er dort automatisch beim erstellen eingetragen wird. Antwort C scheidet aus, da Sie normalen Benutzern nicht das Recht geben sollten Zertifikate zu bearbeiten oder auszurollen. Antwort D ist falsch, da diese Einstellung keine Anforderung an Sie war. Hilfe Zertifikate MS Training Seite 891ff - 7 -

8 Frage 4 Sie arbeiten als Netzwerkadministrator der Firma MVS M. Völk Systems. Das Netzwerk besteht aus einer Domäne die MVSNET.DE heißt. Alle Server im Netzwerk laufen mit Windows Server 2003 und alle Client Computer mit Windows XP Professional. Im Netzwerk gibt es zwei Server auf denen Zertifikats Diensten laufen.»mvssrv220«ist als offline Zertifizierungsstelle (CA) konfiguriert und»mvssrv230«ist als untergeordnete Authentifizierungsstelle (CA) konfiguriert.»mvssrv230«wurde für das Ausrollen von Zertifikate an Computer und Benutzer konfiguriert. Sie erhalten den Auftrag eine Sicherung zu erstellen, die es ihnen ermöglicht, die Zertifikats Datenbank mit einer (CA) wiederherzustellen. Sie müssen Sicherstellen, dass Sie jede Zertifikats Datenbank wiederherstellen könne, egal welcher CA ausfällt. Was müssen Sie tun? A Konfigurieren Sie alle Zertifikate so, dass die Schlüsselarchivierung erlaubt ist. B Sichern Sie auf jedem CA den Sysvol Ordner mit dem Backuptool. C Sichern Sie auf jedem CA die System State date mit dem Backuptool. D Sichern Sie auf jedem CA den Sysvol Ordner und den Systemstatus mit dem Backuptool. Richtige Antwort: C Begründung Jede Zertifikatsdatenbank enthält folgende wichtige Informationen: Alle ausgegebenen Zertifikate Alle widerrufenen Zertifikate Alle Anforderungen für Zertifikate Wenn auf einem Windows Server 2003 die Zertifikatsdienste installiert wurden, so enthalten die Systemstatusdaten auch die Zertifikats Datenbank, zusammen mit allen anderen wichtigen System Informationen und Komponenten. Deshalb ist es wichtig, falls Sie eine Zertifizierungsstelle (CA = Certificate Authority) wieder herstellen möchten, dass Sie den Systemstatus sichern und nicht nur die Zertifikatsdatenbank alleine

9 Lösungsvorschlag A ist falsch, denn wenn Sie die Schlüsselarchivierung erlauben, wird der Schlüssel des Zertifikats in die Zertifikats Datenbank geschrieben, dass bedeutet, dass der Zertifikatsschlüssel bei einer Sicherung des System States mitgesichert wird. Dies hat aber nichts mit dem Backup der CA zu tun. Antwort C und D sind falsch, da sich der Sysvol Ordner auf dem Domänencontroller befindet und keine Informationen über Zertifikats Dienste enthält. Hilfe Zertifikate MS Training Seite 891ff - 9 -

10 Frage 5 Sie sind Netzwerk Administrator der Firma MVS M. Völk Systems. Das Netzwerk besteht aus einer Active Directory Domäne die MVSNET.DE heißt. Alle Server im Netzwerk laufen mit Windows Server 2003 und alle Client Computer mit Windows XP Professional. Das Netzwerk beinhaltet mehrere Windows Server 2003 Server, auf denen die Zertifikats Dienste ausgeführt werden. Diese Server sind als zentrale Authentifizierungsstellen (CA) konfiguriert. Sie planen die Server so zu konfigurieren, dass User, die Zertifikate für den Fernzugriff, Authentifizierung für die Datenverschlüsselung benötigen, diese zugewiesen bekommen. Sie müssen sicherstellen, dass nur ausgewählte Administratoren das Recht erhalten, Anforderungen für Zertifikate zu genehmigen, sowie das Zuweisen und Widerrufen, ebenso das Verweigern und Erneuern von Zertifikaten. Sie erstellen eine neue Globale Sicherheitsgruppe mit dem Namen CertAdministrators und fügen alle autorisierten Administratoren dieser Gruppe hinzu. Sie müssen die Aufgabe des Zuweisens und des Widerrufens von Zertifikaten der Gruppe CertAdministrators ermöglichen. Nur die Mitglieder der Gruppe CertAdministrators darf das Recht besitzen Zertifikate zu managen. Was müssen Sie tun? A Fügen Sie die Gruppe CertAdministrators der Zertifikats Manager Rolle auf jedem CA hinzu. B Weisen Sie der Gruppe CertAdministrators das Recht Erlauben Ausrollen von Zertifikatsvorlagen. C Nehmen Sie die Gruppe CertAdministrators in die Gruppe CertPublisher auf. D Stellen Sie sicher, dass jedes Mitglied der CertAdministrators Gruppe das Enrollment Agent Zertifikat erhalten hat. Richtige Antwort: A Begründung Bei Windows Server 2003 benutzen die Zertifikats Dienste eine Rollenbasierende Administration. Nur Benutzer die zur Rolle Zertifikats Manager gehören, können anfragen für Zertifikate bestätigen oder zuweisen bzw. widerrufen, auch verweigern und erneuern ist nur dann möglich. Um es den Mitgliedern der Gruppe CertAdministrators zu ermöglichen, die geforderten Aufgaben zu übernehmen, müssen Sie auf jeder CA im Netzwerk die Gruppe der Rolle des Zertifikats Managers zuweisen

11 Lösungsvorschlag B ist falsch, da dies es den Mitgliedern der Gruppe CertAdministrators zwar ermöglicht Zertifikatsvorlagen auszurollen, Sie könnten aber nicht die geforderten Aufgaben übernehmen. Lösung C scheidet aus, da die Gruppe CertPuplisher nur CAs enthalten sollte, aber keine Administratoren als Mitglieder. Lösung D ist ebenfalls falsch, da dies es den Mitgliedern der Gruppe CertAdministrators nur ermöglich auf Anfrage anderer Benutzer Zertifikate anzufordern. Hilfe Zertifikate MS Training Seite 891ff

12 Frage 6 Sie sind Netzwerkadministrator der Firma MVS M. Völk Systems. Das Netzwerk besteht aus einer einzigen Active Directory Domäne namens MVSNET.DE. Alle Server im Netzwerk sind mit Windows Server 2003 und alle Client Computer, in der Firmenzentrale, mit Windows XP Professional installiert. Das Netzwerk von MVSNET.DE besteht aus einem internen Netzwerk und einer DMZ. Die DMZ wird durch eine Firewall vor dem Internet geschützt und das interne Netzwerk wird besitzt eine Firewall vor der DMZ. Benutzer aus der Verkaufsabteilung benutzen Laptops wenn Sie auf Kundenbesuch sind. Eine Einwahlverbindung ermöglicht den Zugriff auf das gesamte Netzwerk. Die Laptops sind entweder mit Windows 98 oder Windows XP Professional installiert. Sie sollen einen VPN-Server in der DMZ einrichten. Der VPN-Server soll in Zukunft dazu verwendet werden den Zugriff auf das Netzwerk von außerhalb zu verwalten. Sie müssen definieren, welche Netzwerkprotokolle auf dem VPN-Server konfiguriert werden müssen. Die Netzwerkprotokolle müssen folgende Eigenschaften erfüllen. Benutzerauthentifizierung durch Zertifikate. Datenverschlüsselung Datenintegrität Sie müssen auf dem VPN-Server die Netzwerkprotokolle so konfigurieren, dass diese Vorraussetzungen erfüllt werden. Sie möchten keine unnötigen Ports an der Firewall öffnen. Welches Netzwerkprotokoll sollten Sie verwenden? (Jede richtige Antwort ist ein Teil der Lösung. Wählen Sie zwei Antworten aus.) A Einschalten von Point-to-Point Tunneling Protocol (PPTP). B Einschalten von IP Security (IPSec). C Einschalten von Microsoft Point-to-Point Encryption (MPPE). D Einschalten von Layer 2 Tunneling Protocol (L2TP). Richtige Antworten: B und D Begründung Es ist besser die Protokolle L2TP und IPSec zu verwenden als PPTP. Bei L2TP/IPSec wird eine verschlüsselte Verbindung zwischen Client und Server aufgebaut. Der Server schickt dann eine Authentifizierungsanfrage an. Der Client antwortet auf diese Anfrage mit einer verschlüsselten

13 Antwort. Nun überprüft der Server ob die in der erhaltenen Antwort des Clients die richtigen Informationen enthalten sind um den Zugriff auf das Netzwerk gestatten zu können. Wenn man L2TP mit IPSec verwendet hat man den sichersten Zugriff auf das Netzwerk. Um L2TP und IPSec für Windows 98 Computer zu konfigurieren muss auf den entsprechenden Clients die Clientsoftware dafür installiert werden. Aus den oben genannten Gründen ist Antwort A falsch, da PPTP die übertragenen Daten nicht verschlüsselt. Antwort D ist ebenfalls falsch, da MPPE die Protokolle EAP-TLS oder MS-CHAP benötigt um eine Verschlüsselte Verbindung aufzubauen. Hilfe IPSec MS Training Seite 847ff

14 Frage 7 Sie sind Netzwerkadministrator der Firma MVS M. Völk Systems. Das Netzwerk der Firma MVS M. Völk Systems besteht aus einer Active Directory Domäne namens MVSNET.DE. MVSNET.DE hat ihre Zentrale in München und jeweils eine Zweigstelle in Puchheim und Cottbus. Alle Server im Netzwerk wurden mit Windows Server 2003 installiert. Jedes Büro wurde als Site konfiguriert. Jede Site ist mit einem Domänencontroller ausgerüstet. Die Sites sind jeweils mit einer T1 Verbindung untereinander verbunden. Die Authentifizierung wird durch die MVSNET.DE Zertifikatsstelle übernommen, die Zertifikate für Secure Sockets Layer (SSL) für Clients ausgibt. Der VPN-Server von MVSNET.DE befindet sich in München und die Einwahlzugangspunkte befinden sich in allen 3 Standorten. Die Mitarbeiter der Verkaufsabteilung sind oft auf reisen und müssen stets auf die Dateien im Netzwerk zugreifen können. Um dies den Mitarbeitern zu ermöglichen, wurden Sie mit Laptops ausgestattet. Die Laptops sind unterschiedlich mit Windows XP Professional, Windows Me oder auch Windows 2000 Professional installiert. Die Geschäftsführung hat beschlossen, die Sicherheit auf Grund einer Attacke auf den Firmen VPN-Server durch eine konkurrierende Firma zu erhöhen. Sie müssen eine neue Sicherheitsrichtlinie erstellen. Die neue Sicherheitsrichtlinie muss eine gegenseitige Authentifizierung aller Fernzugriffe erzwingen, außerdem sollen alle Dateien die über eine VPN Verbindung übertragen werden mit der höchst möglichen Methode verschlüsselt werden. Sie bekommen den Auftrag diese Sicherheitsvorlagen durch das konfigurieren der Remote Access Policy umzusetzen. Was müssen Sie tun?

15 A Der Remote Access Server sollte konfiguriert werden um nur EAP-TLS Authentifizierungen zuzulassen. Der VPN- Server sollte für PPTP mit EAP-TLS Authentifizierung konfiguriert werden. B Der Remote Access Server sollte konfiguriert werden um nur MS-CHAPv2 Authentifizierungen zuzulassen. Der VPN-Server sollte für L2TP/IPSec mit EAP-TLS Authentifizierung konfiguriert werden. C Der Remote Access Server sollte konfiguriert werden um nur MS-CHAPv2 Authentifizierungen zuzulassen. Der VPN-Server sollte für L2TP/IPSec mit MS-CHAPv2 Authentifizierung konfiguriert werden. D Der Remote Access Server sollte konfiguriert werden um nur MS-CHAPv2 Authentifizierungen zuzulassen. Der VPN-Server sollte für PPTP mit MS-CHAPv2 Authentifizierung konfiguriert werden. Richtige Antwort: B Begründung Antwort B ist richtig, da beide Methoden, sowohl MS-CHAPv2 und EAP- TLS, die gegenseitige Authentifizierung unterstützen. Windows Me Clients können nur EAP-TLS für VPN-Verbindungen nutzen wenn Sie die L2TP/IPSec Client Software haben. Das einzige Authentifizierungsprotokoll, das eine Einwahlverbindung von Windows Me Clients mit einer gegenseitigen Authentifizierung anbietet, ist MS- CHAPv2. Antwort A scheidet aus, da eine Authentifizierung mit EAP-TLS bei Windows Me nicht möglich ist. Antwort C ist falsch, da eine Authentifizierung mit L2TP/IPSec EAP-TLS benötigt, Sie kann nicht mit MS-CHAPv2 verwendet werden. Die Antwortmöglichkeit D ist falsch, da PPTP nicht so sicher ist wie L2TP/IPSec. L2TP/IPSec sollte eher verwendet werden als PPTP wenn es möglich ist. Hilfe IPSec MS Training Seite 847ff

16 Frage 8 Sie sind Netzwerkadministrator der Firma MVS M. Völk Systems. Das Netzwerk besteht aus einer einzelnen Domäne namens MVSNET.DE. Alle Server im Netzwerk laufen mit Windows Server 2003 und alle Client Computer mit Windows XP Professional. Es gibt bei MVSNET.DE viele Mitarbeiter, die nach den Öffnungszeiten noch von zu Hause auf das Netzwerk zugreifen müssen. Um dies den Mitarbeitern zu ermöglichen wurde ein Server»MVSSRV001«mit der Funktion eines Routing und Remote Access Servers (RRAS) aufgesetzt.»mvssrv001«wurde so konfiguriert, dass er Einwahlverbindungen akzeptiert. Die Sicherheitsvorgaben ihrer Firma schreiben vor, dass Smart Cards für die Einwahl ins Firmennetz nötig sind. Sie müssen»mvssrv001«so konfigurieren, dass er den Sicherheitsvorgaben entspricht. Was müssen Sie tun? A»MVSSRV001«so konfigurieren, dass nur noch PPTP - Verbindungen akzeptiert werden. B Die Remote Access Sicherheitsrichtlinie auf»mvssrv001«so abändern, dass nur noch EAP-TLS Authentifizierung gestattet ist. C Die Konfiguration von»mvssrv001«so ändern, dass nur noch L2TP/IPSec akzeptiert wird. D In der Standard Domänen Richtlinie das Interaktive Anmelden auf Smart Card verlangen umkonfigurieren. Richtige Antwort: B Begründung EAP-TLS (Transport Level Security) ist ein sehr sicheres Protokoll, das auf dem SSL (Secure Sockets Layer) System basiert. EAP-TLS verwendet verschlüsselte Zertifikate für die Authentifizierung. Falls Sie Smart Card oder Zertifikate für die Authentifizierung verwenden, ist dies das einzige Protokoll das diese Art der Authentifizierung unterstützt. Um der Sicherheitsvorgabe zu entsprechen müssen Sie die Remote Access Sicherheitsrichtlinie so um konfigurieren, dass nur EAP-TLS Authentifizierungen akzeptiert werden. Antwort A scheidet aus, da es sich hier um Einwahlverbindungen der Mitarbeiter handelt und nicht um eine Point-to-Point Verbindungen. Antwort C ist falsch, da wir als Authentifizierungsmethode Smart Card verwenden. L2TP/IPSec unterstützt diese Methode nicht. Die Antwortmöglichkeit D ist nicht richtig, da der Eintrag des interaktiven Anmelden nur für die Domänenanmeldung nötig ist und nichts mit der Authentifizierung mit Smart Card zu tun hat

17 Hilfe IPSec MS Training Seite 847ff

18 Frage 9 Sie arbeiten als Netzwerkadministrator für die Firma MVS M. Völk Systems. Das Firmennetzwerk besteht aus einer einzelnen Active Directory Domäne namens MVSNET.DE. Das Netzwerk beinhaltet zwei Domänencontroller mit Windows Server 2003 und zwei Remote Access Server, wobei eine Remote Access Server mit Windows Server 2000 und der andere mit Windows Server 2003 installiert wurde. Die Benutzer der Firma wählen sich häufig in die Firma ein. Deshalb wurden die Benutzer mit Laptops ausgestattet auf denen Windows XP Professional oder Windows 2000 Professional installiert ist. Die Authentifizierung der Benutzer wird im Moment mit MS-CHAP durchgeführt, wenn sich ein Benutzer ins Netzwerk einwählt. Eine neue Anforderung mit folgenden Punkten muss umgesetzt werden: Eine Möglichkeit alle Benutzer zu sehen, die sich über eine VPN Verbindung eingewählt haben, um die Leistung verbessern zu können. Umstellung auf Layer 2 Tunneling Protocol (L2TP) mit IP Security (IPSec) als Authentifizierungsprotokoll für die VPN-Verbindungen. Eine andere Firma einbinden, die ähnliche Dienste anbietet. Wenn Sie die letzte Anforderung durchführen, werden es mehr als doppelt so viele Benutzer als gegenwärtig geben. Aus diesem Grund erhalten Sie den Auftrag eine Vorgehensweise zu entwickeln, die es allen gegenwärtigen und neuen Benutzern von mvsnet.de ermöglicht authentifiziert zu werden, wenn Sie sich über eine Einwahlverbindung oder VPN in das Firmennetzwerk Verbinden möchten. Sie müssen sicherstellen, dass Ihre Lösung einfach zu erweitern ist, da dies die erste von vielen geplanten übernahmen war. Es gibt zwei Faktoren, die berücksichtigt werden müssen: Die VPN Vorgaben und die einfache Erweiterung der Lösung. Welche Änderungen erlauben Ihnen, beide Punkte umzusetzen? (Jede korrekte Antwort stellt einen Teil der Lösung dar. Wählen Sie drei.)

19 A Installation eines Internet Authentication Servers (IAS) in der Domäne. B Installation eines Internet Authentication Servers (IAS) und eines VPN Servers in der Domäne. C Umkonfigurieren eines Remote Access Servers zu einem VPN Server in der Domäne und das einstellen der Authentifizierungsmethode auf EAP-TLS. D Konfiguration des Remote Access Servers, so dass MS- CHAPv2 als Authentifizierungsmethode verwendet wird. E Konfiguration des Remote Access Servers und des VPN Servers, so dass ein IAS Server für die Authentifizierung zuständig ist. F Konfiguration des VPN Servers, so dass EAP-TLS als Authentifizierungsmethode verwendet wird. G Konfiguration des IAS Servers, so dass EAP-TLS als Authentifizierungsmethode verwendet wird. Richtige Antworten: B, E und G Begründung Da L2TP/IPSec in Verbindung mit Computer Zertifikaten verwendet werden muss, ist die Authentifizierungsmethode mit EAP-TLS besser geeignet. IAS ermöglicht es Authentifizierungen von Fernzugriffen und Richtlinienzuweisungen für mehrere Zugangspunkte von einem einzelnen Server zu steuern. In diesem Fall ist es Sinnvoll den Authentifizierungsprozess zu zentralisieren, da Sie in der Lage sein müssen die Lösung zu erweitern. Die Implementierung und Konfiguration des IAS Servers wie auch die Erstellung von Remote Access Richtlinien auf dem IAS Server stellt einen Teil der Lösung dar, sowie jeden RRAS und VPN Server als RADIUS Client zu konfigurieren. Antwort A ist nur zum Teil korrekt, da Sie dem Wunsch von MVSNET.DE entsprechen müssen und sich um die VPN-Verbundenen Clients kümmern müssen. Diese Antwortmöglichkeit geht nur auf die Einwahl der Clients ein. Die Antwortmöglichkeit C ist nicht richtig, da die Umkonfigurierung eines Remote Access Servers zu einem VPN Server die Ressourcen für den Fernzugriff verringern würde. Weiterhin wäre es nicht sinnvoll, den VPN- Server so zu konfigurieren, dass er EAP-TLS unterstützt, da er sonst selber die Clients authentifizieren würde. Diese Server sollten den IAS Server für die Authentifizierung benutzen. Antwort D scheidet aus, die Konfiguration des Remote Access Servers um MS-CHAPv2 zu verwenden ist zum einen nicht nötig, zum anderen würde EAP-TLS besser zu den Vorgaben passen. Antwort F ist falsch, auch wenn es möglich wäre den VPN-Server mit EAP-TLS als Authentifizierungsmethode zu konfigurieren, da in diesem Fall jeder VPN-Server selbst die Authentifizierung

20 durchführen würde. Das würde bedeutet, dass jede Zugriffs Richtlinie auf allen VPN-Servern gepflegt werden muss. Hilfe IPSec MS Training Seite 847ff

21 Frage 10 Sie sind Netzwerk Administrator der Firma MVS M. Völk Systems. Das Netzwerk besteht aus zwei Domänengesamtstrukturen innerhalb einer Gesamtstruktur mit jeweils einer Domäne. Diese zwei Domänen heißen MVSNET.BIZ und MVSPRESS.BIZ. Die Domänenfunktionsebene der Domänengesamtstruktur ist Windows 2000 gemischt. Ihre Firma plant, innerhalb der nächsten 2 Monate, alle Windows 2000 Server entweder auf Windows 2003 upzugraden oder diese abzuschalten. Des Weiteren möchte ihre Firma die Domäne MVSNET.BIZ umbenennen. MVSPRESS.BIZ ist eine Tochtergesellschaft von MVSNET.BIZ deren Netzwerk mit Kerberos Version 5 arbeitet. Sie wurden beauftragt, den Benutzern in der Domäne MVSPRESS.BIZ, innerhalb einer Woche, den Zugriff auf die Ressourcen der Domäne MVSNET.BIZ zu ermöglichen. Die Benutzer von MVSPRESS.BIZ dürfen allerdings auf keine untergeordnete Domäne von MVSNET.BIZ Zugriff haben. Stellen Sie sicher, dass Ihr Lösungsansatz die geforderte Funktionalität zwischen MVSNET.BIZ und der anderen Domäne der Gesamtstruktur beinhaltet. Was müssen Sie tun? A Sie ändern die Domänenfunktionsebene auf Windows Server 2003 und erstellen eine einseitige Vertrauensstellung bei der, der Domäne MVSPRESS.BIZ vertraut wird. B Sie ändern die Domänenfunktionsebene auf Windows Server 2003 und erstellen eine einseitige Vertrauensstellung bei der, der Domäne MVSNET.BIZ vertraut wird. C Sie ändern die Domänenfunktionsebene auf Windows Server 2003 und erstellen eine beidseitige Vertrauensstellung bei der, der Domäne MVSPRESS.BIZ vertraut wird. D Sie ändern die Domänenfunktionsebene auf Windows Server 2003 und erstellen eine beidseitige Vertrauensstellung bei der, der Domäne MVSNET.BIZ vertraut wird. Richtige Antwort: A Begründung Um eine Domäne umbenennen zu können muss sich die Domänengesamtstruktur auf der Domänenfunktionsebene Windows

22 Server 2003 befinden. Bevor Sie die Domänenfunktionsebene einer Domänengesamtstruktur heben können, müssen alle Domänen mit der Domänenfunktionsebene Windows Server 2003 laufen und alle Domänen müssen Windows Server 2003 Domänenkontroller haben. Wenn Sie die Domänenfunktionsebene der Domänengesamtstruktur auf Windows 2003 heben, so kann dieser keine Verbindung mehr zu der anderen Domänengesamtstruktur MVSPRESS.BIZ aufbauen, falls hier noch Domänenkontroller mit Windows 2000 genutzt werden. Besser ist die Lösung, dass Sie die Domänenfunktionsebene der Domäne MVSNET.BIZ anheben, da diese Lösung keine Auswirkungen auf die Domänengesamtstruktur hat. Eine nicht transitive Vertrauensstellung bedeutet, dass die Vertrauensstellung nur auf diese Ausgewählte Domäne wirkt und nicht auf evtl. darunter liegende Domänen. Damit ermöglichen wir es den Benutzern von MVSPRESS.BIZ auf Ressourcen von MVSNET.BIZ zuzugreifen. Bei Antwort B würde die Vertrauensstellung falsch gesetzt, dies entspricht nicht der Vorgabe aus der Fragestellung. Antwort C und D sind falsch, da wir keine beidseitige Vertrauensstellung benötigen. Hilfe Domänenfunktionsebenen MS Training Seite 85ff

23 Frage 11 Sie sind Netzwerkadministrator der Firma MVS M. Völk Systems. Das Netzwerk besteht aus zwei Domänen in einer Gesamtstruktur. Alle Domänencontroller in der Stammdomäne laufen mit Windows Server Die Domänenfunktionsebene dieser Domäne ist auf Windows Server 2003 gesetzt. Die Domänen der untergeordneten Domäne arbeiten alle mit Windows Server Die Domänenfunktionsebene der untergeordneten Domäne ist standardmäßig auf Windows 2000 einheitlich gesetzt. Sie wurden angewiesen die Stammdomäne umzubenennen. Sie wissen, dass Sie Vorbereitungen treffen müssen, um diese Anweisung umsetzten zu können. Was müssen Sie machen? A Sie ändern die Domänenfunktionsebene der Gesamtstruktur auf Windows Server 2003 in einem Schritt. B Sie heben den PDC-Emulator der untergeordneten Domäne auf Windows Server 2003, danach heben Sie die Domänenfunktionsebene auf Windows Server 2003 und anschließend auch die Domänenfunktionsebene der Gesamtstruktur. C Sie heben alle Domänencontroller der untergeordneten Domäne auf Windows Server D Sie heben zuerst alle Domänencontroller der untergeordneten Domäne auf Windows Server 2003 und anschließend die Domänenfunktionsebene der untergeordneten Domäne auf Windows Server E Sie heben alle Domänencontroller die mit Windows Server 2000 laufen auf Windows Server Danach heben Sie die Domänenfunktionsebene der untergeordneten Domäne auf Windows Server Anschließend heben Sie die Gesamtstrukturfunktionsebene auf Windows Server Richtige Antwort: E Begründung Die Domänenfunktionsebene Windows Server 2003 erlaubt es, dass man Domänen umbenennt. Wenn Sie die Domänenfunktionsebene der Domänengesamtstruktur auf Windows Server 2003 anheben wollen, sollten alle Domänen in der Domänengesamtstruktur dieser

24 Domänenfunktionsebene entsprechen. Das bedeutet, dass alle Domänencontroller der Domänengesamtstruktur mit Windows Server 2003 laufen sollten. In diesem Szenario müssen wir zuerst alle Domänencontroller auf Windows Server 2003 anheben und danach die Domänenfunktionsebene der Domänengesamtstruktur auf Windows Server Wenn Sie die Domänenfunktionsebene der Domänengesamtstruktur anheben, werden alle Domänenfunktionsebenen der Domänen, die sich dieser Domänengesamtstruktur befinden, automatisch auf dieselbe Domänenfunktionsebene gehoben. Dadurch können Sie sich den Schritt des Anhebens der untergeordneten Domäne auf Windows Server 2003 einsparen. Antwort A ist falsch, da man die Domänenfunktionsebene der Gesamtstruktur nicht anheben kann solange nicht alle Domänenfunktionsebenen der Domänen auf Windows Server 2003 stehen, dazu müssen alle Domänencontroller mit Windows Server 2003 ausgestattet sein. Der Lösungsvorschlag B scheidet aus, da das alleinige Anheben des PDC - Emulators es uns nicht ermöglicht die Domänenfunktionsebene anzuheben. Lösungsvorschlag C ist nur zum Teil richtig, hier fehlt allerdings das Anheben der Domänenfunktionsebene auf Windows Server Auch bei Lösungsvorschlag D fehlt das Anheben der Domänenfunktionsebene der Gesamtstruktur. Hilfe Domänenfunktionsebenen MS Training Seite 85ff

25 Frage 12 Sie sind Netzwerkadministrator der Firma MVS M. Völk Systems. Das Netzwerk besteht aus einer Gesamtstruktur die 2 Domänen enthält. Alle Domänencontroller der Stammdomäne sind mit Windows Server 2003 installiert. Die Domänenfunktionsebene der Stammdomäne ist Windows Server Alle Domänencontroller der untergeordneten Domäne laufen mit Windows Server Die Domänenfunktionsebene der untergeordneten Domäne ist Windows Server 2000 einheitlich. Sie erhalten den Auftrag die Stammdomäne umzubenennen. Sie wissen, dass vorherige Schritte auszuführen sind, um diesen Auftrag ausführen zu können. Was müssen Sie machen? A Es ist nicht nötig vorherige Schritte auszuführen um die Domäne umzubenennen. B Heben Sie die Domänenfunktionsebene der untergeordneten Domäne auf Windows Server 2003 an. Danach heben Sie die Gesamtstrukturfunktionsebene auf Windows Server C Heben Sie alle Domänencontroller der untergeordneten Domäne auf Windows Server Danach heben Sie die Domänenfunktionsebene auf Windows Server 2003 und danach die Domänenfunktionsebene der Gesamtstruktur auf Windows Server D Eine Umbenennung einer Domäne ist nicht möglich. Richtige Antwort: C Begründung Die Gesamtstrukturfunktionsebene Windows Server 2003 ermöglicht es ihnen Domänen umzubenennen. Um die Domänenfunktionsebene der Domänengesamtstruktur auf Windows Server 2003 heben zu können, müssen zuerst alle Domänenfunktionsebenen aller Domänen in diesem Domänengesamtstruktur auf Windows Server 2003 gehoben werden. Deshalb ist das heben von allen Domänencontroller die noch mit pre Windows Server 2003 Betriebssystem laufen nötig. Lösungsvorschlag A ist falsch, da das Umbenennen von Domänen einige Schritte, die in der Begründung von Antwort C stehen, nötig sind. Der Lösungsvorschlag B scheidet aus, da Sie zuerst die Domänencontroller mit dem Betriebssystem Windows Server 2003 ausstatten müssen, bevor Sie die Domänenfunktionsebene heben können. Antwort D ist falsch, da die Umbenennung einer Domäne möglich ist

26 Hilfe Domänenfunktionsebenen MS Training Seite 85ff

27 Frage 13 Sie sind Enterprise Administrator der Firma MVS M. Völk Systems. Das Netzwerk besteht aus einer Gesamtstruktur mit einer Stammdomäne und zwei untergeordneten Domänen. Die Stammdomäne heißt MVSNET.BIZ die untergeordneten Domänen MVSPRESS.MVSNET.BIZ und TRAIN.MVSNET.BIZ. Die Domänenfunktionsebene für alle drei Domänen ist auf Windows 2000 einheitlich eingestellt. Sie sind gerade mit der Migration der Domänencontroller der Domäne MVSNET.BIZ auf Windows Server 2003 beschäftigt und beenden diese Aufgabe. Alle Domänencontroller in den untergeordneten Domänen haben noch Windows Server 2000 als Betriebssystem. Die neue Geschäftsführung möchte, dass die Namenskonvention der Domänencontroller in der Stammdomäne der Namenskonvention aus den untergeordneten Domänen angepasst werden soll. Die Umbenennung der Domänencontroller muss so schnell wie möglich durchgeführt werden. Um die Umbenennung der Domänencontroller durchführen zu können, müssen Sie Vorbereitungen dafür treffen. Was müssen Sie machen? A Die Domänenfunktionsebene der Domänen MVSNET.BIZ, MVSPRESS.MVSNET.BIZ und TRAIN.MVSNET.BIZ müssen auf Windows Server 2003 gehoben werden. B Die Domänenfunktionsebene der Domäne MVSNET.BIZ muss auf Windows Server 2003 gehoben werden und dies muss auch für die Gesamtstrukturfunktionsebene erfolgen. C Die Domänenfunktionsebene der Domäne MVSNET.BIZ auf Windows Server 2003 heben. D Die Gesamtstrukturfunktionsebene auf Windows Server 2003 heben. Richtige Antwort: C Begründung Es gibt zwei Forderungen die erfüllt sein müssen um Domänencontroller umbenennen zu können: Als erstes muss der Benutzer, der den Domänencontroller umbenennen will, Mitglied der Enterprise Administratoren im Active Directory sein

28 Zweitens muss die Domäne in der sich der umzubenennende Domänencontroller befindet auf der Domänenfunktionsebene Windows Server 2003 laufen. Antwort A scheidet aus, da dies zwar die richtige Antwort wäre, falls wir eine Domäne umbenennen möchten, nicht aber wenn wir nur Domänencontrollernamen ändern möchten. Der Lösungsvorschlag B ist nicht richtig, da wir nicht die Domänenfunktionsebene der Gesamtstruktur ändern müssen um Domänencontroller umzubenennen. Lösungsvorschlag D scheidet aus, da wir nicht die Domänenfunktionsebene der Gesamtstruktur anheben können, solange es noch Domänen mit einer Domänenfunktionsebene die niedriger ist als Windows Server 2003 gibt. Hilfe Domänenfunktionsebenen MS Training Seite 85ff

29 Frage 14 Sie sind Netzwerkadministrator der Firma MVS M. Völk Systems. Das Netzwerk besteht aus einer einzigen Domäne mit dem Namen MVSNET.DE. Alle Server im Netzwerk werden mit Windows Server 2003 und alle Clients mit Windows XP Professional betrieben. Sie stellen im Zuge einer Überprüfung des Netzwerks fest, dass eine Gruppenrichtlinie bei Benutzern nicht mehr angewendet wird. Sie überprüfen die Richtlinie mit dem Gruppenrichtlinieneditor auf einem Domänencontroller und bemerken, dass die Gruppenrichtlinie nicht mehr im SYSVOL Ordner vorhanden ist. Sie müssen die Gruppenrichtlinie wiederherstellen. Wie gehen Sie vor? A Sie stellen den SYSVOL Ordner über die Systemstatusdateien aus der Domänencontrollersicherung wieder her. B Sie installieren die Clients der betroffenen Benutzer neu. C Sie setzen die betroffenen Benutzerkonten zurück und wenden anschließend mit dem Befehl gpupdate /force die Gruppenrichtlinien neu an. D Sie führen auf dem Domänencontroller den Befehl gpupdate /force aus. Richtige Antwort: A Begründung Der SYSVOL Ordner kann aus den Systemstatusdateien der Domänencontrollersicherung wiederhergestellt werden. Dadurch wird die fehlende Gruppenrichtlinie wieder eingebunden. Antwort B ist falsch, da es kein Problem des Clients ist, wenn eine Gruppenrichtlinie im SYSVOL Ordner fehlt. Das zurücksetzten der Benutzerkonten stellt die fehlende Gruppenrichtlinie nicht wieder her und der Befehl gpupdate /force bewirkt nur die erneute Anwendung von Gruppenrichtlinien. Da aber eine Gruppenrichtlinie nicht mehr vorhanden ist, wird diese auch nicht angewendet. Deshalb ist Antwort C und D falsch. Hilfe Autorisierende, primäre und normale Wiederherstellung MS Training Seite 186ff

30 Frage 15 Sie sind Systemadministrator in der Firma MVS M. Völk Systems. Das Netzwerk besteht aus einer Gesamtstruktur mit zwei untergeordneten Domänen. Alle Domänencontroller in der Gesamtstruktur werden mit Windows Server 2000 betrieben. Die Domänenfunktionsebenen der untergeordneten Domänen sind auf Windows 2000 pur gesetzt. Die übergeordnete Domäne läuft mit der Domänenfunktionsebene Windows 2000 gemischt. Die Gesamtstrukturfunktionsebene ist ebenfalls auf Windows 2000 gemischt gesetzt. MVS M. Völk Systems fusioniert nun mit einer anderen Firma und möchte eine Gesamtstrukturvertrauensstellung zwischen den beiden Unternehmen einrichten. Die Gesamtstrukturfunktionsebene der anderen Firma ist bereits auf Windows Server 2003 gesetzt. Welche Schritte müssen Sie ausführen um die Gesamtstrukturvertrauensstellung einrichten zu können? (Wählen Sie drei Antworten aus. Jede richtige Antwort ist ein Teil der Lösung). A Sie heben die Domänenfunktionsebene aller Domänen auf Windows Server 2003 interim. B Sie heben die Domänenfunktionsebene aller Domänen auf Windows Server C Sie heben alle Domänencontroller der Gesamtstruktur auf Windows Server D Sie heben die Domänencontroller der untergeordneten Domänen auf Windows Server E Sie heben die Gesamtstrukturfunktionsebene auf Windows Server 2003 interim. F Sie heben die Gesamtstrukturfunktionsebene auf Windows Server Richtige Antworten: B, C und F Begründung Um die Vertrauensstellung zwischen den beiden Gesamtstrukturen zu erstellen, müssen Sie als erstes die Domänencontroller im Netzwerk von MVS M. Völk Systems auf Windows Server 2003 anheben. Als nächstes müssen alle Domänenfunktionsebenen auf Windows Server 2003 angehoben werden, um im Anschluss die Gesamtstrukturfunktionsebene ebenfalls auf Windows Server 2003 anheben zu können. Antwort A und E sind falsch, weil der Interim Modus von Windows Server 2003 ihnen nicht die Möglichkeit gibt, eine Vertrauensstellung zwischen zwei Gesamtstrukturen zu erstellen. Antwort D scheidet aus, da das alleinige

31 anheben der untergeordneten Domänen uns nicht in die Lage versetzt die Domänenfunktionsebene der Gesamtstruktur auf Windows Server 2003 zu setzen, weil die Domänenfunktionsebene der übergeordneten Domäne immer noch auf Windows 2000 gemischt steht. Hilfe Vertrauensstellungen MS Training Kein direkter Verweis

32 Frage 16 Sie sind Netzwerkadministrator der Firma MVS M. Völk Systems. Das Netzwerk besteht aus einer übergeordneten und zwei untergeordneten Domänen. Die übergeordnete Domäne läuft in der Domänenfunktionsebene Windows 2000 gemischt, die untergeordneten Domänen im Windows 2000 pur Modus. Auf allen Domänencontrollern wird Windows Server 2000 betrieben. Die Firma fusioniert nun mit einem anderen Unternehmen. Die Geschäftsführung möchte den Domänennamen den zwei fusionierten Unternehmen anpassen. Welche Vorbereitungen müssen getroffen werden um den Domänennamen zu ändern? (Wählen Sie 3 Antworten aus. Jede Antwort ist ein Teil der Lösung) A Sie müssen die Domänenfunktionsebenen der untergeordneten Domänen auf Windows Server 2003 anheben. B Sie müssen die Domänenfunktionsebenen aller Domänen auf Windows Server 2003 anheben. C Sie müssen die Domänencontroller der untergeordneten Domänen auf Windows Server 2003 anheben. D Sie müssen die Domänencontroller aller Domänen auf Windows Server 2003 anheben. E Sie müssen die Domänenfunktionsebene der Gesamtstruktur auf Windows Server 2003 anheben. F Sie müssen die Domänenfunktionsebene der Gesamtstruktur auf Windows Server 2003 interim anheben. Richtige Antworten: B, D und E Begründung Um einen Domänennamen ändern zu können, ist es erforderlich, dass sich die Gesamtstruktur auf der Domänenfunktionsebene Windows Server 2003 befindet. Um die Gesamtstruktur anheben zu können, müssen alle Domänencontroller und Domänenfunktionsebenen auf Windows Server 2003 angehoben werden. Antwort A, C und F sind falsch, da nur das Anheben der untergeordneten Domänen auf Windows Server 2003 nicht ausreicht, um die Gesamtstruktur auf Windows Server 2003 anheben zu können. Die Domänenfunktionsebene der Gesamtstruktur auf Windows Server 2003 interim ist nicht ausreichend um eine Domäne umbenennen zu können

33 Hilfe Umbenennen von Domänen MS Training Kein direkter Verweis