MCST 問題1 / 30 REF:70-640V2.23717
解説:
Active Directory ドメインと信頼関係を使用して、既存のユーザー アカウントにユーザー プリンシパル名 (UPN) サフィックスを追加することができます。ユーザー アカウントの既定の UPN サフィックスは、そのユーザー アカウントが含まれるドメインのドメイン ネーム システム (DNS) のドメイン名です。代わりの UPN サフィックスを追加すると、すべてのユーザーに単一の UPN サフィックスが提供されるため、管理やユーザーのログオン プロセスが簡素化できます。UPN サフィックスは、Active Directory のフォレスト内でのみ使用されるため、有効な DNS ドメイン名である必要はありません。
参考資料: 「ユーザー プリンシパル名サフィックスを追加する」
http://technet.microsoft.com/ja-jp/library/cc772007(WS.10).aspx
あなたの会社には、intranet.crammedia.com という単独の Active Directory ドメインがあります。すべてのドメインコントローラーが Windows Server 2008 R2 を実行しています。ドメインの機能レベルはWindows 2000 ネイティブで、フォレストの機能レベルはWindows 2000 です。
あなたは crammedia.com のUPN サフィックスをすべてのユーザーアカウントで使用できるようにする必要があります。
最初にどうすればよいですか。
あなたは crammedia.com のUPN サフィックスをすべてのユーザーアカウントで使用できるようにする必要があります。
最初にどうすればよいですか。
解説:
Active Directory ドメインと信頼関係を使用して、既存のユーザー アカウントにユーザー プリンシパル名 (UPN) サフィックスを追加することができます。ユーザー アカウントの既定の UPN サフィックスは、そのユーザー アカウントが含まれるドメインのドメイン ネーム システム (DNS) のドメイン名です。代わりの UPN サフィックスを追加すると、すべてのユーザーに単一の UPN サフィックスが提供されるため、管理やユーザーのログオン プロセスが簡素化できます。UPN サフィックスは、Active Directory のフォレスト内でのみ使用されるため、有効な DNS ドメイン名である必要はありません。
参考資料: 「ユーザー プリンシパル名サフィックスを追加する」
http://technet.microsoft.com/ja-jp/library/cc772007(WS.10).aspx
MCST 問題2 / 30 REF:70-640V2.23720
解説:
既存の Windows 2000 Server または Windows Server 2003 ドメインに新しい Windows Server 2008 ドメイン コントローラをインストールする場合は、次の考慮事項に注意してください。
・このドメイン コントローラがフォレスト内で最初の Windows Server 2008 ドメイン コントローラである場合、スキーマ操作マスタ上でのスキーマの拡張 (adprep /forestprep) をまだ実行していなければ、これを実行してフォレストを Windows Server 2008 用に準備する必要があります。
・このドメイン コントローラが Windows 2000 Server ドメイン内で最初の Windows Server 2008 ドメイン コントローラである場合は、先にインフラストラクチャ マスタ上で adprep /domainprep /gpprep を実行してドメインを準備する必要があります。
・このドメイン コントローラが Windows Server 2003 ドメイン内で最初の Windows Server 2008 ドメイン コントローラである場合は、インフラストラクチャ マスタ上で adprep /domainprep を実行してドメインを準備する必要があります。
・RODC を Windows 2000 Server または Windows Server 2003 のフォレストにインストールする前に、adprep /rodcprep を実行してフォレストを準備する必要があります。adprep /rodcprep はフォレスト内の任意のコンピュータで実行できます。また、必要に応じて複数回実行してもかまいません。この操作が、RODC のインストールを可能にするために更新が必要なすべてのアプリケーション パーティションに到達できない場合、更新されなかったアプリケーション パーティションがあることを示すメッセージが表示されます。その場合は adprep /rodcprep を再度実行してください。
・既存の Windows 2000 Server または Windows Server 2003 ドメインにおける最初の Windows Server 2008 ドメイン コントローラは、RODC として作成することはできません。ドメイン内に Windows Server 2008 ドメイン コントローラが既に存在する場合、追加の Windows Server 2008 ドメイン コントローラを RODC として作成できます。
フォレストおよびドメインの準備ができた後は、AD DS をインストールして新しい Windows Server 2008 ドメイン コントローラを作成できます。
参考資料: 「既存の Windows 2000 Server または Windows Server 2003 ドメインに新しい Windows Server 2008 ドメイン コントローラをインストールする」
http://technet.microsoft.com/ja-jp/library/cc771433(WS.10).aspx#BKMK_NewDCScenario
あなたの会社には単独の Active Directory ドメインがあります。ドメインコントローラーはいずれも Windows Server 2003 を実行しています。あなたはあるサーバーにWindows Server 2008 R2 をインストールしました。あなたはこの新しいサーバーをドメインコントローラーとしてドメインに追加する必要があります。最初にどうすればよいですか。
解説:
既存の Windows 2000 Server または Windows Server 2003 ドメインに新しい Windows Server 2008 ドメイン コントローラをインストールする場合は、次の考慮事項に注意してください。
・このドメイン コントローラがフォレスト内で最初の Windows Server 2008 ドメイン コントローラである場合、スキーマ操作マスタ上でのスキーマの拡張 (adprep /forestprep) をまだ実行していなければ、これを実行してフォレストを Windows Server 2008 用に準備する必要があります。
・このドメイン コントローラが Windows 2000 Server ドメイン内で最初の Windows Server 2008 ドメイン コントローラである場合は、先にインフラストラクチャ マスタ上で adprep /domainprep /gpprep を実行してドメインを準備する必要があります。
・このドメイン コントローラが Windows Server 2003 ドメイン内で最初の Windows Server 2008 ドメイン コントローラである場合は、インフラストラクチャ マスタ上で adprep /domainprep を実行してドメインを準備する必要があります。
・RODC を Windows 2000 Server または Windows Server 2003 のフォレストにインストールする前に、adprep /rodcprep を実行してフォレストを準備する必要があります。adprep /rodcprep はフォレスト内の任意のコンピュータで実行できます。また、必要に応じて複数回実行してもかまいません。この操作が、RODC のインストールを可能にするために更新が必要なすべてのアプリケーション パーティションに到達できない場合、更新されなかったアプリケーション パーティションがあることを示すメッセージが表示されます。その場合は adprep /rodcprep を再度実行してください。
・既存の Windows 2000 Server または Windows Server 2003 ドメインにおける最初の Windows Server 2008 ドメイン コントローラは、RODC として作成することはできません。ドメイン内に Windows Server 2008 ドメイン コントローラが既に存在する場合、追加の Windows Server 2008 ドメイン コントローラを RODC として作成できます。
フォレストおよびドメインの準備ができた後は、AD DS をインストールして新しい Windows Server 2008 ドメイン コントローラを作成できます。
参考資料: 「既存の Windows 2000 Server または Windows Server 2003 ドメインに新しい Windows Server 2008 ドメイン コントローラをインストールする」
http://technet.microsoft.com/ja-jp/library/cc771433(WS.10).aspx#BKMK_NewDCScenario
MCST 問題3 / 30 REF:70-640V2.23721
解説:
Active Directory ドメインと信頼関係スナップインを使用して、名前サフィックスのルーティング状態を表示し変更することができます。
名前サフィックスのルーティングは、フォレスト信頼によって連結された複数の Windows Server 2008 または Windows Server 2008 R2 フォレスト間で認証要求がルーティングされる方法を管理するためのメカニズムです。認証要求の管理を簡素化するため、フォレスト信頼を作成すると、すべての固有の名前サフィックスが既定でルーティングされます。固有の名前サフィックスは、フォレスト内の名前サフィックスです。たとえば、ユーザー プリンシパル名 (UPN) サフィックス、サービス プリンシパル名 (SPN) サフィックス、またはドメイン ネーム システム (DNS) フォレストやドメイン ツリー名のうち他の名前サフィックスに従属しないものなどです。
名前サフィックスのルーティング状態を変更するには、以下の手順を実行します。
1. Active Directory ドメインと信頼関係を開きます。Active Directory ドメインと信頼関係を開くには、[スタート] ボタンをクリックし、[管理ツール] をポイントして、[Active Directory ドメインと信頼関係] をクリックします。
2. コンソール ツリーで、管理するドメインのノードを右クリックし、[プロパティ] をクリックします。
3. [信頼] タブの [このドメインに信頼されるドメイン (出力方向の信頼)] または [このドメインを信頼するドメイン (入力方向の信頼)] で、管理するフォレスト信頼をクリックし、[プロパティ] をクリックします。
4. [名前サフィックス ルーティング] タブの [x.x フォレストにある名前サフィックス] で、ルーティング状態を変更するサフィックスをクリックし、[編集] をクリックします。
5. [x.x にある既存のサフィックス] で、変更するサフィックスをクリックし、[有効] または [無効] をクリックします。
参考資料: 「名前サフィックスのルーティング状態を変更する」
http://technet.microsoft.com/ja-jp/library/cc754857(WS.10).aspx
あなたの会社には 2 つの
Active Directory フォレストがあり、次の表のように設定されています。
これらのフォレストは双方向フォレストの信頼により接続されています。それぞれの信頼の方向にはフォレスト全体の認証が設定されています。会社の新しいセキュリティポリシーでは、eng.suzuki.com ドメインのユーザーがcrammedia.com ドメインのリソースにアクセスすることが禁止されています。
あなたはフォレストの信頼が新しいセキュリティポリシーの要件を満たすよう設定しなければなりません。
どうすればよいですか。
| フォレスト名 |
フォレストの機能レベル |
ドメイン |
|
| crammedia.com |
Windows Server 2008 |
crammedia.com |
|
| suzuki.com |
Windows Server 2008 |
suzuki.com |
eng.suzuki.com
|
あなたはフォレストの信頼が新しいセキュリティポリシーの要件を満たすよう設定しなければなりません。
どうすればよいですか。
解説:
Active Directory ドメインと信頼関係スナップインを使用して、名前サフィックスのルーティング状態を表示し変更することができます。
名前サフィックスのルーティングは、フォレスト信頼によって連結された複数の Windows Server 2008 または Windows Server 2008 R2 フォレスト間で認証要求がルーティングされる方法を管理するためのメカニズムです。認証要求の管理を簡素化するため、フォレスト信頼を作成すると、すべての固有の名前サフィックスが既定でルーティングされます。固有の名前サフィックスは、フォレスト内の名前サフィックスです。たとえば、ユーザー プリンシパル名 (UPN) サフィックス、サービス プリンシパル名 (SPN) サフィックス、またはドメイン ネーム システム (DNS) フォレストやドメイン ツリー名のうち他の名前サフィックスに従属しないものなどです。
名前サフィックスのルーティング状態を変更するには、以下の手順を実行します。
1. Active Directory ドメインと信頼関係を開きます。Active Directory ドメインと信頼関係を開くには、[スタート] ボタンをクリックし、[管理ツール] をポイントして、[Active Directory ドメインと信頼関係] をクリックします。
2. コンソール ツリーで、管理するドメインのノードを右クリックし、[プロパティ] をクリックします。
3. [信頼] タブの [このドメインに信頼されるドメイン (出力方向の信頼)] または [このドメインを信頼するドメイン (入力方向の信頼)] で、管理するフォレスト信頼をクリックし、[プロパティ] をクリックします。
4. [名前サフィックス ルーティング] タブの [x.x フォレストにある名前サフィックス] で、ルーティング状態を変更するサフィックスをクリックし、[編集] をクリックします。
5. [x.x にある既存のサフィックス] で、変更するサフィックスをクリックし、[有効] または [無効] をクリックします。
参考資料: 「名前サフィックスのルーティング状態を変更する」
http://technet.microsoft.com/ja-jp/library/cc754857(WS.10).aspx
MCST 問題4 / 30 REF:70-640V2.23722
解説:
Active Directory サイトとサービス スナップインを使用すると、サイト間レプリケーション トポロジを実装するサイト固有のオブジェクトを管理できます。これらのオブジェクトは、Active Directory ドメイン サービス (AD DS) のサイト コンテナーに格納されます。
AD DS では、サイト オブジェクトによって、ドメイン コントローラー間のディレクトリ データのレプリケーションを管理できるという物理サイトの特性が表されます。Active Directory サイトとサービスを使用すると、サイトおよびサイトに常駐するサーバーを表すオブジェクトを管理することができます。
新たにActive Directory サイトを追加し、既存のサイトとのレプリケーションを構成する場合、まず、2つのサイト間にサイトリンクを作成します。その後、新しいサイトにIPサブネットを割り当て、ドメインコントローラオブジェクトを新しいサイトに移動します。
参考資料: 「Active Directory サイトとサービスの概要」
http://technet.microsoft.com/ja-jp/library/cc731907.aspx#BKMK_SiteManagement
あなたは Site1 という既存の Active Directory サイトを管理しています。 あなたは新しい Active Directory サイトを作成し、Site2 という名前を付けました。
あなたは Site1 とSite2 の間でのActive Directory レプリケーションを設定する必要があります。あなたは新しいドメインコントローラーをインストールしました。あなたはSite1 とSite2 の間にサイトリンクを作成しました。
次にどうすればよいですか。
あなたは Site1 とSite2 の間でのActive Directory レプリケーションを設定する必要があります。あなたは新しいドメインコントローラーをインストールしました。あなたはSite1 とSite2 の間にサイトリンクを作成しました。
次にどうすればよいですか。
解説:
Active Directory サイトとサービス スナップインを使用すると、サイト間レプリケーション トポロジを実装するサイト固有のオブジェクトを管理できます。これらのオブジェクトは、Active Directory ドメイン サービス (AD DS) のサイト コンテナーに格納されます。
AD DS では、サイト オブジェクトによって、ドメイン コントローラー間のディレクトリ データのレプリケーションを管理できるという物理サイトの特性が表されます。Active Directory サイトとサービスを使用すると、サイトおよびサイトに常駐するサーバーを表すオブジェクトを管理することができます。
新たにActive Directory サイトを追加し、既存のサイトとのレプリケーションを構成する場合、まず、2つのサイト間にサイトリンクを作成します。その後、新しいサイトにIPサブネットを割り当て、ドメインコントローラオブジェクトを新しいサイトに移動します。
参考資料: 「Active Directory サイトとサービスの概要」
http://technet.microsoft.com/ja-jp/library/cc731907.aspx#BKMK_SiteManagement
MCST 問題5 / 30 REF:70-640V2.23723
解説:
SYSVOL 複製に DFSR を利用するには、ドメインの機能レベルが Windows Server 2008 以上である必要があります。
あなたが管理しているネットワークは単独のActive Directory ドメインで構成されています。ドメインコントローラーはいずれもWindows Server 2003 を実行しています。
あなたはすべてのドメイン コントローラーを Windows Server 2008 R2 にアップグレードしました。
あなたは DFS-R (DFS レプリケーション) を使用してSysvol 共有がレプリケートされるようにしなければなりません。
どうすればよいですか。
あなたはすべてのドメイン コントローラーを Windows Server 2008 R2 にアップグレードしました。
あなたは DFS-R (DFS レプリケーション) を使用してSysvol 共有がレプリケートされるようにしなければなりません。
どうすればよいですか。
解説:
SYSVOL 複製に DFSR を利用するには、ドメインの機能レベルが Windows Server 2008 以上である必要があります。
MCST 問題6 / 30 REF:70-640V2.23724
解説:
グローバル カタログとは、Active Directory ドメイン サービス (AD DS) フォレスト内にあるすべてのオブジェクトのセットです。グローバル カタログ サーバーはドメイン コントローラーです。ここには、そのホスト ドメインのディレクトリ内にあるすべてのオブジェクトの完全なコピー、およびフォレスト内にある他のすべてのドメインに関するすべてのオブジェクトの読み取り専用の部分的なコピーが格納されます。グローバル カタログ サーバーは、グローバル カタログのクエリに応答します。
グローバル カタログの追加や削除では、Active Directory サイトとサービス スナップインの同じユーザー インターフェイス (UI) を使用します。
参考資料: 「グローバル カタログとは」
http://technet.microsoft.com/ja-jp/library/cc730749(WS.10).aspx
あなたの会社には別の Active Directory サイトとして設定されている支店があります。この支店にはActive Directory ドメインコントローラーがあります。
この Active Directory サイトでは、新しいアプリケーションを使用するためにローカルのグローバルカタログサーバーが必要です。
あなたはドメイン コントローラーをグローバルカタログサーバーとして設定する必要があります。
次のうちどのツールを使用すればよいですか。
この Active Directory サイトでは、新しいアプリケーションを使用するためにローカルのグローバルカタログサーバーが必要です。
あなたはドメイン コントローラーをグローバルカタログサーバーとして設定する必要があります。
次のうちどのツールを使用すればよいですか。
解説:
グローバル カタログとは、Active Directory ドメイン サービス (AD DS) フォレスト内にあるすべてのオブジェクトのセットです。グローバル カタログ サーバーはドメイン コントローラーです。ここには、そのホスト ドメインのディレクトリ内にあるすべてのオブジェクトの完全なコピー、およびフォレスト内にある他のすべてのドメインに関するすべてのオブジェクトの読み取り専用の部分的なコピーが格納されます。グローバル カタログ サーバーは、グローバル カタログのクエリに応答します。
グローバル カタログの追加や削除では、Active Directory サイトとサービス スナップインの同じユーザー インターフェイス (UI) を使用します。
参考資料: 「グローバル カタログとは」
http://technet.microsoft.com/ja-jp/library/cc730749(WS.10).aspx
MCST 問題7 / 30 REF:70-640V2.23725
解説:
ユニバーサル グループ メンバーシップをローカルにキャッシュすると、グローバル カタログ サーバーを経由しなくても、任意のドメイン コントローラーがログオン要求をローカルで解決できるようになります。その結果、ログオンが迅速に行われるようになり、ドメイン コントローラーがログオン要求の処理に特定のサーバーを必要としていないので、サーバー障害が管理しやすくなります。ユニバーサル グループ メンバーシップのキャッシュを有効にすると、レプリケーションのトラフィックを削減できます。キャッシュを有効にすると、グローバル カタログ全体をネットワーク経由で定期的にレプリケートするのではなく、キャッシュにあるユニバーサル グループ メンバーシップの情報のみが更新されます。
ユニバーサル グループ メンバーシップのキャッシュはサイト固有のものです。Windows Server を実行しているドメイン コントローラーとドメイン コントローラーで参照しているグローバル カタログは、同じサイト内に存在している必要があります。複数のサイトがある場合は、サイトごとにローカル キャッシュを構成する必要があります。また、サイト内のユーザーは、Windows Server 2003 以上の機能レベルで実行している Windows ドメインのメンバーでなければなりません。
参考資料: 「ヒント: Active Directory でユニバーサル グループ メンバーシップのキャッシュを構成する」
http://technet.microsoft.com/ja-jp/activedirectory/gg749876
あなたの会社には本社と 10 か所の支店があります。 各支店には、1 つのドメインコントローラーがあるActive Directory サイトがあります。本社のドメインコントローラーだけがグローバルカタログサーバーとして設定されています。
あなたは支店のドメイン コントローラーの [ユニバーサル グループ メンバーシップのキャッシュ] オプションを無効にする必要があります。
どのレベルで [ユニバーサル グループ メンバーシップのキャッシュ] オプションを無効にする必要がありますか。
あなたは支店のドメイン コントローラーの [ユニバーサル グループ メンバーシップのキャッシュ] オプションを無効にする必要があります。
どのレベルで [ユニバーサル グループ メンバーシップのキャッシュ] オプションを無効にする必要がありますか。
解説:
ユニバーサル グループ メンバーシップをローカルにキャッシュすると、グローバル カタログ サーバーを経由しなくても、任意のドメイン コントローラーがログオン要求をローカルで解決できるようになります。その結果、ログオンが迅速に行われるようになり、ドメイン コントローラーがログオン要求の処理に特定のサーバーを必要としていないので、サーバー障害が管理しやすくなります。ユニバーサル グループ メンバーシップのキャッシュを有効にすると、レプリケーションのトラフィックを削減できます。キャッシュを有効にすると、グローバル カタログ全体をネットワーク経由で定期的にレプリケートするのではなく、キャッシュにあるユニバーサル グループ メンバーシップの情報のみが更新されます。
ユニバーサル グループ メンバーシップのキャッシュはサイト固有のものです。Windows Server を実行しているドメイン コントローラーとドメイン コントローラーで参照しているグローバル カタログは、同じサイト内に存在している必要があります。複数のサイトがある場合は、サイトごとにローカル キャッシュを構成する必要があります。また、サイト内のユーザーは、Windows Server 2003 以上の機能レベルで実行している Windows ドメインのメンバーでなければなりません。
参考資料: 「ヒント: Active Directory でユニバーサル グループ メンバーシップのキャッシュを構成する」
http://technet.microsoft.com/ja-jp/activedirectory/gg749876
MCST 問題8 / 30 REF:70-640V2.23726
解説:
インフラストラクチャ マスタは、自分の属するドメインのグループに追加された他のドメインのセキュリティ プリンシパルの名前を更新します。たとえば、あるドメインに属するユーザーが別のドメイン内のグループのメンバであり、ユーザーの名前が最初のドメインで変更された場合、ユーザーの名前がグループのメンバシップの一覧で更新する必要があることは別のドメインには通知されません。あるドメインのドメイン コントローラは別のドメインのドメイン コントローラにセキュリティ プリンシパルをレプリケートしないため、インフラストラクチャ マスタがない場合、別のドメイン コントローラが変更を認識することはありません。
インフラストラクチャ マスタはグループ メンバシップを常時監視し、他のドメインのセキュリティ プリンシパルを探します。他のドメインのセキュリティ プリンシパルが見つかると、情報が更新されているかどうかを確認するためにそのセキュリティ プリンシパルのドメインをチェックします。情報が最新でない場合、インフラストラクチャ マスタは更新を実行した後、変更を自分の属するドメイン内の他のドメイン コントローラにレプリケートします。
この規則には 2 つの例外があります。まず、すべてのドメイン コントローラがグローバル カタログ サーバーの場合、グローバル カタログは属するドメインにかかわりなく更新された情報をレプリケートするため、インフラストラクチャ マスタの役割をホストするドメイン コントローラは重要ではありません。次に、フォレストに 1 つのドメインだけがある場合、他のドメインのセキュリティ プリンシパルは存在しないため、インフラストラクチャ マスタの役割をホストするドメイン コントローラは重要ではありません。
グローバル カタログ サーバーを兼ねるドメイン コントローラ上にインフラストラクチャ マスタを配置しないでください。インフラストラクチャ マスタとグローバル カタログを同じドメイン コントローラに配置した場合、インフラストラクチャ マスタは機能しません。インフラストラクチャ マスタは最新でないデータを検索しないため、ドメイン内の他のドメイン コントローラに対する変更をレプリケートしません。
参考資料: 「インフラストラクチャ マスタの配置の要件」
http://technet.microsoft.com/ja-jp/library/cc754889(WS.10).aspx
あなたの会社には Active Directory フォレストがあります。 フォレストのドメイン コントローラーの一部はグローバルカタログサーバーとして設定されていません。ドメイン構造には1 つのルートドメインと1 つの子ドメインがあります。
あなたは子ドメインにあるファイル サーバーのひとつでフォルダーのアクセス許可を変更しました。あなたは、一部のアクセス制御エントリが「S-1-5-21」から始まっていて、アカウント名が記録されていないことに気がつきました。
あなたはアカウント名を記録する必要があります。
どうすればよいですか。
あなたは子ドメインにあるファイル サーバーのひとつでフォルダーのアクセス許可を変更しました。あなたは、一部のアクセス制御エントリが「S-1-5-21」から始まっていて、アカウント名が記録されていないことに気がつきました。
あなたはアカウント名を記録する必要があります。
どうすればよいですか。
解説:
インフラストラクチャ マスタは、自分の属するドメインのグループに追加された他のドメインのセキュリティ プリンシパルの名前を更新します。たとえば、あるドメインに属するユーザーが別のドメイン内のグループのメンバであり、ユーザーの名前が最初のドメインで変更された場合、ユーザーの名前がグループのメンバシップの一覧で更新する必要があることは別のドメインには通知されません。あるドメインのドメイン コントローラは別のドメインのドメイン コントローラにセキュリティ プリンシパルをレプリケートしないため、インフラストラクチャ マスタがない場合、別のドメイン コントローラが変更を認識することはありません。
インフラストラクチャ マスタはグループ メンバシップを常時監視し、他のドメインのセキュリティ プリンシパルを探します。他のドメインのセキュリティ プリンシパルが見つかると、情報が更新されているかどうかを確認するためにそのセキュリティ プリンシパルのドメインをチェックします。情報が最新でない場合、インフラストラクチャ マスタは更新を実行した後、変更を自分の属するドメイン内の他のドメイン コントローラにレプリケートします。
この規則には 2 つの例外があります。まず、すべてのドメイン コントローラがグローバル カタログ サーバーの場合、グローバル カタログは属するドメインにかかわりなく更新された情報をレプリケートするため、インフラストラクチャ マスタの役割をホストするドメイン コントローラは重要ではありません。次に、フォレストに 1 つのドメインだけがある場合、他のドメインのセキュリティ プリンシパルは存在しないため、インフラストラクチャ マスタの役割をホストするドメイン コントローラは重要ではありません。
グローバル カタログ サーバーを兼ねるドメイン コントローラ上にインフラストラクチャ マスタを配置しないでください。インフラストラクチャ マスタとグローバル カタログを同じドメイン コントローラに配置した場合、インフラストラクチャ マスタは機能しません。インフラストラクチャ マスタは最新でないデータを検索しないため、ドメイン内の他のドメイン コントローラに対する変更をレプリケートしません。
参考資料: 「インフラストラクチャ マスタの配置の要件」
http://technet.microsoft.com/ja-jp/library/cc754889(WS.10).aspx
MCST 問題9 / 30 REF:70-640V2.23729
解説:
現在のスキーママスタで、その役割が転送できない場合、新しく役割を割り当てるドメインコントローラでスキーママスタの役割を強制する必要があります。
これは役割の転送とは異なります。スキーマ マスターの役割の強制移動は重大な操作であり、役割を転送できない場合にのみ実行してください。
あなたの会社には Active Directory ドメインがあります。 この会社には DC1 および DC2 という 2 つのドメイン コントローラーがあります。DC1 にはスキーマ マスターの役割があります。DC1 で障害が発生しました。 あなたは管理者アカウントを使用してActive Directory にログオンしました。しかしスキーママスターの役割を転送できませんでした。
あなたは DC2 がスキーママスターの役割を持つようにする必要があります。
どうすればよいですか。
あなたは DC2 がスキーママスターの役割を持つようにする必要があります。
どうすればよいですか。
解説:
現在のスキーママスタで、その役割が転送できない場合、新しく役割を割り当てるドメインコントローラでスキーママスタの役割を強制する必要があります。
これは役割の転送とは異なります。スキーマ マスターの役割の強制移動は重大な操作であり、役割を転送できない場合にのみ実行してください。
MCST 問題10 / 30 REF:70-640V2.23730
解説:
Active Directory ドメイン サービス (AD DS) では、ディレクトリ データのマルチマスタ レプリケーションがサポートされています。つまり、任意のドメイン コントローラがディレクトリの変更を受け取って、その変更を他のすべてのドメイン コントローラにレプリケートできます。ただし、スキーマの修正などの特定の変更については、マルチマスタ方式で実行するのは実用的ではありません。この理由から、操作マスタと呼ばれる特定のドメイン コントローラが、ある特定の変更に対する要求を受け取ることを担当する役割を保持します。
次の 3 種類の操作マスタの役割 (フレキシブル シングル マスタ操作または FSMO とも呼ばれます) が各ドメインに存在します。
・プライマリ ドメイン コントローラ (PDC) エミュレータの操作マスタは、すべてのパスワードの更新を処理します。
・相対 ID (RID) 操作マスタは、ドメインのグローバル RID プールを維持し、すべてのドメイン コントローラに対してローカル RID プールを割り当てます。これにより、ドメイン内で作成されるすべてのセキュリティ プリンシパルが一意の識別子を持つことが保証されます。
・ある特定のドメインに対するインフラストラクチャ操作マスタは、そのドメイン内のグループのメンバである他のドメインに属するセキュリティ プリンシパルの一覧を維持します。
これら 3 種類のドメイン レベルの操作マスタの役割に加えて、各フォレストには次の 2 種類の操作マスタの役割が存在します。
・スキーマ操作マスタは、スキーマに対する変更を管理します。
・ドメイン名前付け操作マスタは、ドメインや他のディレクトリ パーティション (ドメイン ネーム システム (DNS) のアプリケーション パーティションなど) をフォレストに追加したり、フォレストから削除したりします。
参考資料: 「操作マスタの役割の配置を計画する」
http://technet.microsoft.com/ja-jp/library/cc754889(WS.10).aspx
あなたは、すべてのフォレスト全体の操作マスターの役割を持つドメインコントローラーを使用停止しようとしています。あなたはすべてのフォレスト全体の操作マスターの役割を他のドメインコントローラーに転送する必要があります。
どの役割を転送すればよいですか。 (正解はいずれも解決方法の一部となります。 当てはまるものを 2 つ選択してください。)
どの役割を転送すればよいですか。 (正解はいずれも解決方法の一部となります。 当てはまるものを 2 つ選択してください。)
解説:
Active Directory ドメイン サービス (AD DS) では、ディレクトリ データのマルチマスタ レプリケーションがサポートされています。つまり、任意のドメイン コントローラがディレクトリの変更を受け取って、その変更を他のすべてのドメイン コントローラにレプリケートできます。ただし、スキーマの修正などの特定の変更については、マルチマスタ方式で実行するのは実用的ではありません。この理由から、操作マスタと呼ばれる特定のドメイン コントローラが、ある特定の変更に対する要求を受け取ることを担当する役割を保持します。
次の 3 種類の操作マスタの役割 (フレキシブル シングル マスタ操作または FSMO とも呼ばれます) が各ドメインに存在します。
・プライマリ ドメイン コントローラ (PDC) エミュレータの操作マスタは、すべてのパスワードの更新を処理します。
・相対 ID (RID) 操作マスタは、ドメインのグローバル RID プールを維持し、すべてのドメイン コントローラに対してローカル RID プールを割り当てます。これにより、ドメイン内で作成されるすべてのセキュリティ プリンシパルが一意の識別子を持つことが保証されます。
・ある特定のドメインに対するインフラストラクチャ操作マスタは、そのドメイン内のグループのメンバである他のドメインに属するセキュリティ プリンシパルの一覧を維持します。
これら 3 種類のドメイン レベルの操作マスタの役割に加えて、各フォレストには次の 2 種類の操作マスタの役割が存在します。
・スキーマ操作マスタは、スキーマに対する変更を管理します。
・ドメイン名前付け操作マスタは、ドメインや他のディレクトリ パーティション (ドメイン ネーム システム (DNS) のアプリケーション パーティションなど) をフォレストに追加したり、フォレストから削除したりします。
参考資料: 「操作マスタの役割の配置を計画する」
http://technet.microsoft.com/ja-jp/library/cc754889(WS.10).aspx
MCST 問題11 / 30 REF:70-640V2.23737
解説:
コンピュータ アカウントのプレステージとは、Active Directory ディレクトリ サービス内に有効なコンピュータ アカウント オブジェクトを作成するプロセスです。
これにより、ユーザーに必要以上の権限を与えることなく、ドメインにコンピュータを追加することができるようになります。
あなたの会社の支店のユーザーが、コンピューターをドメインに追加しようとしましたが、失敗しました。
あなたはこのユーザーがコンピューターをドメインに追加できるようにする必要があります。また、この作業を行うために必要な権限以外の権限がこのユーザーに対して許可されないようにする必要があります。
どうすればよいですか。
あなたはこのユーザーがコンピューターをドメインに追加できるようにする必要があります。また、この作業を行うために必要な権限以外の権限がこのユーザーに対して許可されないようにする必要があります。
どうすればよいですか。
解説:
コンピュータ アカウントのプレステージとは、Active Directory ディレクトリ サービス内に有効なコンピュータ アカウント オブジェクトを作成するプロセスです。
これにより、ユーザーに必要以上の権限を与えることなく、ドメインにコンピュータを追加することができるようになります。
MCST 問題12 / 30 REF:70-640V2.23738
解説:
CSVDEコマンドを使用すると、Active Directoryドメインコントローラが管理するオブジェクト情報(ユーザー、コンピュータ、OUなど)を、CSV形式のテキストファイルにエクスポートまたはインポートすることができます。
ただし、オブジェクト内容の一部を置き換えたり削除したりすることはできません。
オプションの説明は以下のとおりです。
-i CSVファイルを読み込むインポート・モードで動作させる。
-f CSVファイル名 エクスポートまたはインポートするCSVファイル名を指定する。
-k インポート時の固有エラーを無視して作業を続行する。ただし、すべてのエラーを回避するわけではない。
したがって、userAccountControl 属性を無効にした後、CSVDEコマンドをを使用してユーザー情報を一括登録し、その後、オブジェクトのプロパティを変更するためのコマンドであるDSMODで、ユーザーアカウントにデフォルトのパスワードを設定します。
あなたの会社のセキュリティ ポリシーでは、パスワードを複雑にすることが求められています。
あなたは import.csv というカンマ区切りのファイルを保有しています。このファイルにはユーザーアカウント情報が記録されています。あなたはこのimport.csv ファイルを使用してドメインのユーザーアカウントを作成する必要があります。
また、新しいユーザー アカウントは既定のパスワードを使用するよう設定し、さらに無効にする必要があります。
どうすればよいですか。
あなたは import.csv というカンマ区切りのファイルを保有しています。このファイルにはユーザーアカウント情報が記録されています。あなたはこのimport.csv ファイルを使用してドメインのユーザーアカウントを作成する必要があります。
また、新しいユーザー アカウントは既定のパスワードを使用するよう設定し、さらに無効にする必要があります。
どうすればよいですか。
解説:
CSVDEコマンドを使用すると、Active Directoryドメインコントローラが管理するオブジェクト情報(ユーザー、コンピュータ、OUなど)を、CSV形式のテキストファイルにエクスポートまたはインポートすることができます。
ただし、オブジェクト内容の一部を置き換えたり削除したりすることはできません。
オプションの説明は以下のとおりです。
-i CSVファイルを読み込むインポート・モードで動作させる。
-f CSVファイル名 エクスポートまたはインポートするCSVファイル名を指定する。
-k インポート時の固有エラーを無視して作業を続行する。ただし、すべてのエラーを回避するわけではない。
したがって、userAccountControl 属性を無効にした後、CSVDEコマンドをを使用してユーザー情報を一括登録し、その後、オブジェクトのプロパティを変更するためのコマンドであるDSMODで、ユーザーアカウントにデフォルトのパスワードを設定します。
MCST 問題13 / 30 REF:70-640V2.23806
解説: Server1 をドメインコントローラーとしてcrammedia.com に追加するには、Active Directory ドメインのドメイン機能レベルを設定する「Set-ADDomainMode」コマンドを使い、 「-DomainMode Windows2008Domain」によりドメインコントローラーとして指定する必要があります。
あなたが管理しているネットワークには crammedia.com という Active Directory ドメインがあります。 すべてのドメイン コントローラーが Windows Server 2008 R2 を実行しています。ドメインの機能レベルはWindows Server 2008 R2 です。
フォレストの機能レベルは Windows Server 2008 です。あなたは、Windows Server 2008 を実行している Server1 というメンバーサーバーを管理しています。あなたはServer1 をドメインコントローラーとしてcrammedia.com に追加できるようにする必要があります。
Server1 を昇格できるようにするには、次のうちどれを実行すればよいですか。
フォレストの機能レベルは Windows Server 2008 です。あなたは、Windows Server 2008 を実行している Server1 というメンバーサーバーを管理しています。あなたはServer1 をドメインコントローラーとしてcrammedia.com に追加できるようにする必要があります。
Server1 を昇格できるようにするには、次のうちどれを実行すればよいですか。
解説: Server1 をドメインコントローラーとしてcrammedia.com に追加するには、Active Directory ドメインのドメイン機能レベルを設定する「Set-ADDomainMode」コマンドを使い、 「-DomainMode Windows2008Domain」によりドメインコントローラーとして指定する必要があります。
MCST 問題14 / 30 REF:70-640V2.23807
解説:
この問題では、フォレスト間の信頼関係を作成するのではなく、異なるフォレスト内のドメインのリソースにアクセスできるための信頼関係を構成することを要求しています。 外部の信頼を作成して、フォレスト外のドメインと、一方向または双方向の非推移的な信頼を形成することができます。ユーザーがアクセスする必要のあるリソースがフォレスト信頼に加えられていない別のフォレスト内のドメインにある場合、外部の信頼を作成することで要件を満たすことができます。
参考資料 : 「信頼の種類とは」
http://technet.microsoft.com/ja-jp/library/cc731404.aspx
参考資料 : 「外部の信頼を作成する場合」
http://technet.microsoft.com/ja-jp/library/cc732859.aspx
あなたが管理しているネットワークには Active Directory フォレストがあります。このフォレストには1 つのドメインがあります。あなたは別のフォレストにあるドメインのリソースにアクセスしようとしています。
あなたは、あなたのフォレストのドメインともう一方のフォレストのドメインの間に信頼を設定する必要があります。
あなたのフォレストにおいて、次のうち、どれを作成すればよいですか。
あなたは、あなたのフォレストのドメインともう一方のフォレストのドメインの間に信頼を設定する必要があります。
あなたのフォレストにおいて、次のうち、どれを作成すればよいですか。
解説:
この問題では、フォレスト間の信頼関係を作成するのではなく、異なるフォレスト内のドメインのリソースにアクセスできるための信頼関係を構成することを要求しています。 外部の信頼を作成して、フォレスト外のドメインと、一方向または双方向の非推移的な信頼を形成することができます。ユーザーがアクセスする必要のあるリソースがフォレスト信頼に加えられていない別のフォレスト内のドメインにある場合、外部の信頼を作成することで要件を満たすことができます。
参考資料 : 「信頼の種類とは」
http://technet.microsoft.com/ja-jp/library/cc731404.aspx
参考資料 : 「外部の信頼を作成する場合」
http://technet.microsoft.com/ja-jp/library/cc732859.aspx
MCST 問題15 / 30 REF:70-640V2.23808
解説:
フォレスト間の信頼関係を作成することで、2 つのフォレスト間でユーザー プリンシパル名 (UPN) 認証を使用出来ます。
参考資料 : 「異なるフォレストのリソースにアクセスする」
http://technet.microsoft.com/ja-jp/library/cc772808(WS.10).aspx
あなたが管理しているネットワークには 2 つの Active Directory フォレストがあります。 一方のフォレストには crammedia.com とna.crammedia.com という2 つのドメインがあります。もう一方のフォレストにはcramventure.com というドメインがあります。2 つのフォレストの間にはフォレストの信頼が設定されています。
na.crammedia.com ドメインには User1 というユーザーがいます。User1 から、NA\User1 というユーザー名を使用してcramventure.com ドメインのコンピューターにログオンすることができないという報告が寄せられました。
na.crammedia.com の他のユーザーは cramventure.com ドメインのコンピューターにログオンできます。
あなたは User1 がcramventure.com ドメインのコンピューターにログオンできるようにする必要があります。
どうすればよいですか。
na.crammedia.com ドメインには User1 というユーザーがいます。User1 から、NA\User1 というユーザー名を使用してcramventure.com ドメインのコンピューターにログオンすることができないという報告が寄せられました。
na.crammedia.com の他のユーザーは cramventure.com ドメインのコンピューターにログオンできます。
あなたは User1 がcramventure.com ドメインのコンピューターにログオンできるようにする必要があります。
どうすればよいですか。
解説:
フォレスト間の信頼関係を作成することで、2 つのフォレスト間でユーザー プリンシパル名 (UPN) 認証を使用出来ます。
参考資料 : 「異なるフォレストのリソースにアクセスする」
http://technet.microsoft.com/ja-jp/library/cc772808(WS.10).aspx
MCST 問題16 / 30 REF:70-640V2.23809
解説:
クライアントがドメイン コントローラーを要求するとき、ドメイン コントローラーのサイト名が DNS に提供されます。DNS では、提供されたサイト名を使用してそのサイト (またはクライアントに 2 番目に近いサイト) でドメイン コントローラーを検索します。その後、ドメイン コントローラーに接続するために、DNS によってドメイン コントローラーの IP アドレスがクライアントに提供されます。このため、ドメイン コントローラーに割り当てる IP アドレスが、各サーバー オブジェクトのサイトに関連付けられるサブネットに確実にマップされることが重要です。確実にマップされないと、クライアントがドメイン コントローラーを要求したときに、離れているサイトのドメイン コントローラーの IP アドレスが返される場合があります。クライアントが離れているサイトに接続すると、パフォーマンスが低下し、コストが高い WAN リンクを経由する不要なトラフィックが発生してしまいます。
参考資料 : 「サイト、サブネット、およびサイト リンクとは」
http://technet.microsoft.com/ja-jp/library/cc754697.aspx
あなたの会社には本社と 1 か所の支店があります。 本社には 2 つのドメイン コントローラーがあります。
あなたは BranchOfficeSite という名前のActive Directory サイトを作成しました。あなたは本社にドメインコントローラーを展開し、このドメインコントローラーをBranchOfficeSite サイトに追加しました。
あなたは、支店のユーザーに対する認証を行うドメインコントローラーが、ランダムに支店のドメインコントローラーになったり本社のドメインコントローラーになったりすることに気がつきました。
あなたは、支店のユーザーがまず最初に支店のドメインコントローラーでの認証を試行するよう設定する必要があります。
どうすればよいですか。
あなたは BranchOfficeSite という名前のActive Directory サイトを作成しました。あなたは本社にドメインコントローラーを展開し、このドメインコントローラーをBranchOfficeSite サイトに追加しました。
あなたは、支店のユーザーに対する認証を行うドメインコントローラーが、ランダムに支店のドメインコントローラーになったり本社のドメインコントローラーになったりすることに気がつきました。
あなたは、支店のユーザーがまず最初に支店のドメインコントローラーでの認証を試行するよう設定する必要があります。
どうすればよいですか。
解説:
クライアントがドメイン コントローラーを要求するとき、ドメイン コントローラーのサイト名が DNS に提供されます。DNS では、提供されたサイト名を使用してそのサイト (またはクライアントに 2 番目に近いサイト) でドメイン コントローラーを検索します。その後、ドメイン コントローラーに接続するために、DNS によってドメイン コントローラーの IP アドレスがクライアントに提供されます。このため、ドメイン コントローラーに割り当てる IP アドレスが、各サーバー オブジェクトのサイトに関連付けられるサブネットに確実にマップされることが重要です。確実にマップされないと、クライアントがドメイン コントローラーを要求したときに、離れているサイトのドメイン コントローラーの IP アドレスが返される場合があります。クライアントが離れているサイトに接続すると、パフォーマンスが低下し、コストが高い WAN リンクを経由する不要なトラフィックが発生してしまいます。
参考資料 : 「サイト、サブネット、およびサイト リンクとは」
http://technet.microsoft.com/ja-jp/library/cc754697.aspx
MCST 問題17 / 30 REF:70-640V2.23810
解説:
New-ADObject コマンドレットは、ユーザーアカウントやOU、サブネットなどの Active Directory オブジェクトを新規に作成できます。 管理者は、このコマンドレットを利用することであらゆる種類の Active Directory オブジェクトの作成を自動化することができます。
参考資料 : 「New-ADObject」
http://technet.microsoft.com/en-us/library/ee617260.aspx
あなたの会社には本社と 50 か所の支店があります。 各事業所には複数のサブネットがあります。
あなたは、Active Directory サブネットオブジェクトの作成を自動化する必要があります。
何を使用すればよいですか。
あなたは、Active Directory サブネットオブジェクトの作成を自動化する必要があります。
何を使用すればよいですか。
解説:
New-ADObject コマンドレットは、ユーザーアカウントやOU、サブネットなどの Active Directory オブジェクトを新規に作成できます。 管理者は、このコマンドレットを利用することであらゆる種類の Active Directory オブジェクトの作成を自動化することができます。
参考資料 : 「New-ADObject」
http://technet.microsoft.com/en-us/library/ee617260.aspx
MCST 問題18 / 30 REF:70-640V2.23811
解説:
ユニバーサル グループ メンバシップをキャッシュするには、
・[Active Directory サイトとサービス] を開きます。
・コンソール ツリーで、ユニバーサル グループ メンバシップのキャッシュを有効にするサイトをクリックします。
・詳細ペインで、[NTDS Site Settings] を右クリックし、[プロパティ] をクリックします。
・[ユニバーサル グループ メンバシップのキャッシュを有効にする] チェック ボックスをオンにします。
・ [次のサイトからキャッシュを更新する] で、このサイトのキャッシュを更新する元となるサイトをクリックします。または、グローバル カタログを持つ最も近いサイトからキャッシュを更新するには、[<既定>] をそのまま使用します。
参考資料 : 「ユニバーサル グループ メンバシップをキャッシュする」
http://technet.microsoft.com/ja-jp/library/cc775528(WS.10).aspx
あなたが管理しているネットワークには Active Directory フォレストがあります。 このフォレストには複数のサイトがあります。
あなたは、サイトのユニバーサル グループ メンバーシップのキャッシュを有効にする必要があります。
どうすればよいですか。
あなたは、サイトのユニバーサル グループ メンバーシップのキャッシュを有効にする必要があります。
どうすればよいですか。
解説:
ユニバーサル グループ メンバシップをキャッシュするには、
・[Active Directory サイトとサービス] を開きます。
・コンソール ツリーで、ユニバーサル グループ メンバシップのキャッシュを有効にするサイトをクリックします。
・詳細ペインで、[NTDS Site Settings] を右クリックし、[プロパティ] をクリックします。
・[ユニバーサル グループ メンバシップのキャッシュを有効にする] チェック ボックスをオンにします。
・ [次のサイトからキャッシュを更新する] で、このサイトのキャッシュを更新する元となるサイトをクリックします。または、グローバル カタログを持つ最も近いサイトからキャッシュを更新するには、[<既定>] をそのまま使用します。
参考資料 : 「ユニバーサル グループ メンバシップをキャッシュする」
http://technet.microsoft.com/ja-jp/library/cc775528(WS.10).aspx
MCST 問題19 / 30 REF:70-640V2.23812
解説:
IP トランスポートおよび SMTP トランスポートでは、既定ですべてのサイト リンクのブリッジ処理を行います。複製接続の確立を隣接したサイトのドメイン コントローラ間に限定したい場合は、サイト リンク ブリッジ処理を無効にできます 。無効にするには、[Active Directory サイトとサービス] で、[Sites] を展開してサイト リンクのトランスポート コンテナ ([IP] または [SMTP]) を右クリックし、[プロパティ] ダイアログ ボックスを開いて、[サイト リンクをすべてブリッジ] チェック ボックスをオフにします。ただし、サイト リンク ブリッジ処理を無効にした場合、推移性のサイト リンクが必要な場所にサイト リンク ブリッジを手動で構築する必要があります。
参考資料 : 「複製を考慮したサイト トポロジの設計」
http://technet.microsoft.com/ja-jp/library/dd143145.aspx
あなたは、ドメイン コントローラーのレプリケートが隣接するサイトのドメインコントローラー間でのみ行われるようにする必要があります。
Active Directory サイトとサービスでどのような設定を行えばよいですか。
Active Directory サイトとサービスでどのような設定を行えばよいですか。
解説:
IP トランスポートおよび SMTP トランスポートでは、既定ですべてのサイト リンクのブリッジ処理を行います。複製接続の確立を隣接したサイトのドメイン コントローラ間に限定したい場合は、サイト リンク ブリッジ処理を無効にできます 。無効にするには、[Active Directory サイトとサービス] で、[Sites] を展開してサイト リンクのトランスポート コンテナ ([IP] または [SMTP]) を右クリックし、[プロパティ] ダイアログ ボックスを開いて、[サイト リンクをすべてブリッジ] チェック ボックスをオフにします。ただし、サイト リンク ブリッジ処理を無効にした場合、推移性のサイト リンクが必要な場所にサイト リンク ブリッジを手動で構築する必要があります。
参考資料 : 「複製を考慮したサイト トポロジの設計」
http://technet.microsoft.com/ja-jp/library/dd143145.aspx
MCST 問題20 / 30 REF:70-640V2.23814
解説:
クライアントが、最も近くにある利用可能なサイトのドメイン コントローラを発見できるようにするため、ドメイン コントローラは自身の DNS サービス ロケーション (SRV) のリソース レコードを登録しようとします。このリソース レコードは、メンバとなっているドメイン用のドメイン コントローラを持たないサイトに関連するものです。この機能を一般的に "自動サイト カバレージ" と呼びます。
自動サイト カバレージでは、ドメイン コントローラを持たないサイトのサイト リンクに関連するコストが計算に組み込まれます。このコストは、どのドメイン コントローラが自身の SRV リソース レコードをそのサイトに登録するかを決めるのに役立ちます。SRV リソース レコードは、サイト リンクと、ドメイン コントローラを持たないサイトのうち、最もコストの低いサイトからドメイン コントローラによって登録されます。これにより、ドメイン コントローラを持たないサイト内のクライアントは、最も安いネットワーク接続を使用して、別のサイトのドメイン コントローラと通信できます。
自動サイト カバレージを無効にするには、[AutoSiteCoverage] レジストリ エントリの値に「0」を設定します。
参考資料 : 「Windows Server 2003 を実行するドメイン コントローラが、RODC を含むサイトで自動サイト カバレージを実行する」
http://technet.microsoft.com/ja-jp/library/cc732322(WS.10).aspx
あなたが管理しているネットワークには Active Directory ドメインがあります。ドメインは、下表のように設定されています。
Branch2 のユーザーが Branch1 のドメインコントローラーで認証されることがあります。
あなたは、Branch2 のユーザーが Main のドメインコントローラーで認証されるようにする必要があります。
どうすればよいですか。
| Active Directory サイト
|
ドメイン コントローラー |
| Main |
DC1 および DC2 |
| Branch1 |
DC3 |
| Branch2 |
なし |
あなたは、Branch2 のユーザーが Main のドメインコントローラーで認証されるようにする必要があります。
どうすればよいですか。
解説:
クライアントが、最も近くにある利用可能なサイトのドメイン コントローラを発見できるようにするため、ドメイン コントローラは自身の DNS サービス ロケーション (SRV) のリソース レコードを登録しようとします。このリソース レコードは、メンバとなっているドメイン用のドメイン コントローラを持たないサイトに関連するものです。この機能を一般的に "自動サイト カバレージ" と呼びます。
自動サイト カバレージでは、ドメイン コントローラを持たないサイトのサイト リンクに関連するコストが計算に組み込まれます。このコストは、どのドメイン コントローラが自身の SRV リソース レコードをそのサイトに登録するかを決めるのに役立ちます。SRV リソース レコードは、サイト リンクと、ドメイン コントローラを持たないサイトのうち、最もコストの低いサイトからドメイン コントローラによって登録されます。これにより、ドメイン コントローラを持たないサイト内のクライアントは、最も安いネットワーク接続を使用して、別のサイトのドメイン コントローラと通信できます。
自動サイト カバレージを無効にするには、[AutoSiteCoverage] レジストリ エントリの値に「0」を設定します。
参考資料 : 「Windows Server 2003 を実行するドメイン コントローラが、RODC を含むサイトで自動サイト カバレージを実行する」
http://technet.microsoft.com/ja-jp/library/cc732322(WS.10).aspx
MCST 問題21 / 30 REF:70-640V2.23815
解説: repadmin.exe /kccによりレプリケーションが失敗したことから、「Active Directory サイトとサービス」を実行し、DC4のレプリケーションの設定を変更する必要があると考えられます。
あなたが管理しているネットワークには 1 つの Active Directory ドメインがあり、このドメインにはSite1 とSite2 という2 つのサイトがあります。Site1 にはDC1 およびDC2 という2 つのドメインコントローラーがあります。Site2 にはDC3 およびDC4 という2 つのドメインコントローラーがあります。DC3 で障害が発生しました。
あなたはサイト間のレプリケーションがその後実行されていないことに気がつきました。あなたはDC4 とSite1 のドメインコントローラーとの間の接続を確認しました。あなたはDC4 でrepadmin.exe /kcc を実行しました。
サイト間のレプリケーションは失敗しました。
あなたはサイト間で Active Directory データをレプリケートできるようにする必要があります。
どうすればよいですか。
あなたはサイト間のレプリケーションがその後実行されていないことに気がつきました。あなたはDC4 とSite1 のドメインコントローラーとの間の接続を確認しました。あなたはDC4 でrepadmin.exe /kcc を実行しました。
サイト間のレプリケーションは失敗しました。
あなたはサイト間で Active Directory データをレプリケートできるようにする必要があります。
どうすればよいですか。
解説: repadmin.exe /kccによりレプリケーションが失敗したことから、「Active Directory サイトとサービス」を実行し、DC4のレプリケーションの設定を変更する必要があると考えられます。
MCST 問題22 / 30 REF:70-640V2.23816
解説:
DFS (分散ファイル システム) レプリケーションは、ドメインの機能レベルがWindows Server 2008 のすべてのドメインコントローラーにSYSVOL をレプリケートするためのレプリケーションサービスです。DFS レプリケーションは Windows Server 2003 R2 で導入されました。しかし、Windows Server 2003 R2 を実行しているドメインコントローラーでは、SYSVOL のレプリケーションはFRS (ファイルレプリケーションサービス) により実行されます。
参考資料 : 「DFS レプリケーションの概要」
http://technet.microsoft.com/ja-jp/library/cc771058(WS.10).aspx
あなたが管理しているネットワークには Active Directory ドメインがあります。ドメインの機能レベルは Windows Server 2003 です。このドメインには、Windows Server 2008 を実行しているドメインコントローラーが5 つ、Windows Server 2008 R2 を実行しているドメインコントローラーが5 つあります。
あなたは、SYSVOL がDFSR (分散ファイルシステムレプリケーション) を使用してレプリケートされるようにする必要があります。
最初にどうすればよいですか。
あなたは、SYSVOL がDFSR (分散ファイルシステムレプリケーション) を使用してレプリケートされるようにする必要があります。
最初にどうすればよいですか。
解説:
DFS (分散ファイル システム) レプリケーションは、ドメインの機能レベルがWindows Server 2008 のすべてのドメインコントローラーにSYSVOL をレプリケートするためのレプリケーションサービスです。DFS レプリケーションは Windows Server 2003 R2 で導入されました。しかし、Windows Server 2003 R2 を実行しているドメインコントローラーでは、SYSVOL のレプリケーションはFRS (ファイルレプリケーションサービス) により実行されます。
参考資料 : 「DFS レプリケーションの概要」
http://technet.microsoft.com/ja-jp/library/cc771058(WS.10).aspx
MCST 問題23 / 30 REF:70-640V2.23817
解説:
グローバル カタログとは、Active Directory ドメイン サービス (AD DS) フォレスト内にあるすべてのオブジェクトのセットです。グローバル カタログ サーバーはドメイン コントローラーです。ここには、そのホスト ドメインのディレクトリ内にあるすべてのオブジェクトの完全なコピー、およびフォレスト内にある他のすべてのドメインに関するすべてのオブジェクトの読み取り専用の部分的なコピーが格納されます。グローバル カタログ サーバーは、グローバル カタログのクエリに応答します。
グローバル カタログにレプリケートする属性
グローバル カタログを構成するオブジェクトの読み取り専用の部分的なコピーには、限定された一連の属性 (スキーマで必要となる属性、およびユーザーの検索操作で最も一般的に使用される属性) が含まれるため、このようなコピーは "部分的" として表されます。これらの属性は、部分的な属性セット (PAS) に含まれるようにスキーマ定義の一部としてマークされます。最もよく検索されるすべてのドメイン オブジェクトの属性をグローバル カタログに格納することで、ユーザーは効率的に検索を実行できます。この検索では、ドメイン コントローラーへの不要な紹介によるネットワーク パフォーマンスへの影響が発生せず、グローバル カタログ サーバーに大量の不要なデータが格納されることもありません。
グローバル カタログに属性を追加するには
[Active Directory スキーマ] スナップインを開きます。
コンソール ツリーで [属性] をクリックします。
詳細ペインで、グローバル カタログに追加する属性を右クリックし、[プロパティ] をクリックします。
[グローバル カタログにこの属性をレプリケートする] チェック ボックスをオンにします。
参考資料 : 「グローバル カタログとは」
http://technet.microsoft.com/ja-jp/library/cc730749.aspx
参考資料 : 「グローバル カタログに属性を追加する」
http://technet.microsoft.com/ja-jp/library/cc737521(WS.10).aspx
あなたが管理しているネットワークには Active Directory フォレストがあります。このフォレストにはcrammedia.com とshinseibank.com という2 つのドメインがあります。
あなたは Active Directory でAttribute1 というカスタム属性を作成しました。Attribute1 はUser オブジェクトに関連付けられています。
あなたは Attribute1 がグローバルカタログにレプリケートされるようにする必要があります。
どうすればよいですか。
あなたは Active Directory でAttribute1 というカスタム属性を作成しました。Attribute1 はUser オブジェクトに関連付けられています。
あなたは Attribute1 がグローバルカタログにレプリケートされるようにする必要があります。
どうすればよいですか。
解説:
グローバル カタログとは、Active Directory ドメイン サービス (AD DS) フォレスト内にあるすべてのオブジェクトのセットです。グローバル カタログ サーバーはドメイン コントローラーです。ここには、そのホスト ドメインのディレクトリ内にあるすべてのオブジェクトの完全なコピー、およびフォレスト内にある他のすべてのドメインに関するすべてのオブジェクトの読み取り専用の部分的なコピーが格納されます。グローバル カタログ サーバーは、グローバル カタログのクエリに応答します。
グローバル カタログにレプリケートする属性
グローバル カタログを構成するオブジェクトの読み取り専用の部分的なコピーには、限定された一連の属性 (スキーマで必要となる属性、およびユーザーの検索操作で最も一般的に使用される属性) が含まれるため、このようなコピーは "部分的" として表されます。これらの属性は、部分的な属性セット (PAS) に含まれるようにスキーマ定義の一部としてマークされます。最もよく検索されるすべてのドメイン オブジェクトの属性をグローバル カタログに格納することで、ユーザーは効率的に検索を実行できます。この検索では、ドメイン コントローラーへの不要な紹介によるネットワーク パフォーマンスへの影響が発生せず、グローバル カタログ サーバーに大量の不要なデータが格納されることもありません。
グローバル カタログに属性を追加するには
[Active Directory スキーマ] スナップインを開きます。
コンソール ツリーで [属性] をクリックします。
詳細ペインで、グローバル カタログに追加する属性を右クリックし、[プロパティ] をクリックします。
[グローバル カタログにこの属性をレプリケートする] チェック ボックスをオンにします。
参考資料 : 「グローバル カタログとは」
http://technet.microsoft.com/ja-jp/library/cc730749.aspx
参考資料 : 「グローバル カタログに属性を追加する」
http://technet.microsoft.com/ja-jp/library/cc737521(WS.10).aspx
MCST 問題24 / 30 REF:70-640V2.23818
解説:
相対 ID (RID) 操作マスタは、ドメインのグローバル RID プールを維持し、すべてのドメイン コントローラに対してローカル RID プールを割り当てます。これにより、ドメイン内で作成されるすべてのセキュリティ プリンシパルが一意の識別子を持つことが保証されます。
RID マスタの役割を転送できる場合には、この役割を強制しません。RID マスタの強制は非常に重大な操作なので、この問題の状況のように、現在の操作マスタを再び利用できない場合にだけ考慮しなければなりません。
参考資料 : 「RID マスタの役割を強制する」
http://technet.microsoft.com/ja-jp/library/cc784077(WS.10).aspx
あなたが管理しているネットワークには Active Directory ドメインがあります。 このドメインには 3 個のドメイン コントローラーがあります。
ドメインコントローラーのひとつで障害が発生しました。
7 日後、ヘルプデスクからユーザー アカウントが作成できないという報告が寄せられました。 あなたはヘルプデスクが新しいユーザー アカウントを作成できるようにする必要があります。
どの操作マスターの役割を強制すればよいですか。
ドメインコントローラーのひとつで障害が発生しました。
7 日後、ヘルプデスクからユーザー アカウントが作成できないという報告が寄せられました。 あなたはヘルプデスクが新しいユーザー アカウントを作成できるようにする必要があります。
どの操作マスターの役割を強制すればよいですか。
解説:
相対 ID (RID) 操作マスタは、ドメインのグローバル RID プールを維持し、すべてのドメイン コントローラに対してローカル RID プールを割り当てます。これにより、ドメイン内で作成されるすべてのセキュリティ プリンシパルが一意の識別子を持つことが保証されます。
RID マスタの役割を転送できる場合には、この役割を強制しません。RID マスタの強制は非常に重大な操作なので、この問題の状況のように、現在の操作マスタを再び利用できない場合にだけ考慮しなければなりません。
参考資料 : 「RID マスタの役割を強制する」
http://technet.microsoft.com/ja-jp/library/cc784077(WS.10).aspx
MCST 問題25 / 30 REF:70-640V2.23901
解説:
フォレストの信頼を介して認証を受けるユーザーの認証のスコープでは、 [フォレスト全体の認証] または [認証の選択] のいずれかを選択します。
フォレストの信頼で [認証の選択] を選択する場合は、他方のフォレストのユーザーにアクセスを許可するローカル フォレスト内のドメインおよびリソースに対して、手動でアクセス許可を有効にする必要があります。
参考資料 : 「ユーザーの認証のスコープを選択する」
http://technet.microsoft.com/ja-jp/library/cc771399.aspx
あなたが管理しているネットワークには、crammedia.com とcramventure.com という名前の 2 つの
Active Directory フォレストがあります。 crammedia.com
と cramventure.com
の間には双方向フォレストの信頼があります。 このフォレストの信頼は認証の選択を使用するよう設定されています。 crammedia.com には Server1 というサーバーがあります。Server1 にはMarketing という共有フォルダーがあります。
cramventure.com には G_Marketing というグローバルグループがあります。G_Marketing グループには、Marketing フォルダーに対する[変更] 共有アクセス許可と[変更] NTFS アクセス許可が割り当てられています。G_Marketing のメンバーから、Marketing フォルダーにアクセスできないという報告が寄せられました。あなたはG_Marketing のメンバーがこのフォルダーにネットワークからアクセスできるようにする必要があります。
どうすればよいですか。
cramventure.com には G_Marketing というグローバルグループがあります。G_Marketing グループには、Marketing フォルダーに対する[変更] 共有アクセス許可と[変更] NTFS アクセス許可が割り当てられています。G_Marketing のメンバーから、Marketing フォルダーにアクセスできないという報告が寄せられました。あなたはG_Marketing のメンバーがこのフォルダーにネットワークからアクセスできるようにする必要があります。
どうすればよいですか。
解説:
フォレストの信頼を介して認証を受けるユーザーの認証のスコープでは、 [フォレスト全体の認証] または [認証の選択] のいずれかを選択します。
フォレストの信頼で [認証の選択] を選択する場合は、他方のフォレストのユーザーにアクセスを許可するローカル フォレスト内のドメインおよびリソースに対して、手動でアクセス許可を有効にする必要があります。
参考資料 : 「ユーザーの認証のスコープを選択する」
http://technet.microsoft.com/ja-jp/library/cc771399.aspx
MCST 問題26 / 30 REF:70-640V2.23906
解説:
AD DS のサイトは、ネットワークの物理構造、つまりトポロジを表します。AD DS では、サイト オブジェクト、サブネット オブジェクト、およびサイト リンク オブジェクトとしてディレクトリに格納されているネットワーク トポロジ情報を使用して、最も効率的なレプリケーション トポロジを構築します。
サイト情報を使用すると、認証をより速く効率的に行うことができます。クライアントはドメインにログオンするとき、まず、認証に必要なローカル サイト内のドメイン コントローラーを要求します。複数のサイトを確立した場合、クライアントは最も近いドメイン コントローラーで認証を行うことができるため、認証の遅延を減らし、ワイド エリア ネットワーク (WAN) 接続のトラフィックを軽減することができます。
AD DS のサブネット オブジェクトにより、隣接する複数のコンピューターがグループ化されます。これは、隣接する複数の郵便の宛先が郵便番号によってグループ化されるのと類似しています。1 つ以上のサブネットをサイトに関連付けることによって、一連の IP アドレスをサイトに割り当てることができます。
参考資料 : 「サイト、サブネット、およびサイト リンクとは」
http://technet.microsoft.com/ja-jp/library/cc754697.aspx
あなたが管理しているネットワークには crammedia.com という Active Directory ドメインがあります。 crammedia.com には2 つのドメインコントローラーがあります。ドメインコントローラーは、下表のように設定されています。
サーバー サーバーのIP アドレス サーバーがあるサイト
-------------------------------------------------------------------------
DC1 10.1.1.1/16 Default-First-Site-Name
DC2 10.1.1.2/16 Default-First-Site-Name
クライアント コンピューターの IP アドレスはいずれも 10.1.2.1 から 10.1.2.240 の範囲です。あなたはDC2 に送信するクライアント認証要求の数を最小限に抑える必要があります。どうすればよいですか。
サーバー サーバーのIP アドレス サーバーがあるサイト
-------------------------------------------------------------------------
DC1 10.1.1.1/16 Default-First-Site-Name
DC2 10.1.1.2/16 Default-First-Site-Name
クライアント コンピューターの IP アドレスはいずれも 10.1.2.1 から 10.1.2.240 の範囲です。あなたはDC2 に送信するクライアント認証要求の数を最小限に抑える必要があります。どうすればよいですか。
解説:
AD DS のサイトは、ネットワークの物理構造、つまりトポロジを表します。AD DS では、サイト オブジェクト、サブネット オブジェクト、およびサイト リンク オブジェクトとしてディレクトリに格納されているネットワーク トポロジ情報を使用して、最も効率的なレプリケーション トポロジを構築します。
サイト情報を使用すると、認証をより速く効率的に行うことができます。クライアントはドメインにログオンするとき、まず、認証に必要なローカル サイト内のドメイン コントローラーを要求します。複数のサイトを確立した場合、クライアントは最も近いドメイン コントローラーで認証を行うことができるため、認証の遅延を減らし、ワイド エリア ネットワーク (WAN) 接続のトラフィックを軽減することができます。
AD DS のサブネット オブジェクトにより、隣接する複数のコンピューターがグループ化されます。これは、隣接する複数の郵便の宛先が郵便番号によってグループ化されるのと類似しています。1 つ以上のサブネットをサイトに関連付けることによって、一連の IP アドレスをサイトに割り当てることができます。
参考資料 : 「サイト、サブネット、およびサイト リンクとは」
http://technet.microsoft.com/ja-jp/library/cc754697.aspx
MCST 問題27 / 30 REF:70-640V2.23908
解説:
2 つのフォレスト間に双方向のフォレストの信頼を構築すると、両方のフォレストのメンバーがお互いのフォレストにあるリソースを使用できるようになります。また、各フォレスト内のドメインも他方のフォレスト内のドメインを暗黙的に信頼します。たとえば、フォレスト A とフォレスト B の間に双方向のフォレストの信頼を構築すると、フォレスト A のメンバーはフォレスト B のリソースにアクセスでき、その同じ信頼を使ってフォレスト B のメンバーもフォレスト A のリソースにアクセスできます。
参考資料 : 「フォレストの信頼を作成する場合」
http://technet.microsoft.com/ja-jp/library/cc771397.aspx
あなたが管理しているネットワークには、Forest1、Forest2、Forest3 という 3 つの Active Directory フォレストがあります。 各フォレストには 3 つのドメインがあります。
Forest1 とForest2 の間には双方向フォレストの信頼があります。Forest2 とForest3 の間には双方向フォレストの信頼があります。
あなたは、次の要件をみたすようにフォレストを設定する必要があります。
- Forest3 のユーザーは Forest1 のリソースにアクセスできる。
- Forest1 のユーザーは Forest3 のリソースにアクセスできる。
- 信頼の数は最小限に抑える。
どうすればよいですか。
Forest1 とForest2 の間には双方向フォレストの信頼があります。Forest2 とForest3 の間には双方向フォレストの信頼があります。
あなたは、次の要件をみたすようにフォレストを設定する必要があります。
- Forest3 のユーザーは Forest1 のリソースにアクセスできる。
- Forest1 のユーザーは Forest3 のリソースにアクセスできる。
- 信頼の数は最小限に抑える。
どうすればよいですか。
解説:
2 つのフォレスト間に双方向のフォレストの信頼を構築すると、両方のフォレストのメンバーがお互いのフォレストにあるリソースを使用できるようになります。また、各フォレスト内のドメインも他方のフォレスト内のドメインを暗黙的に信頼します。たとえば、フォレスト A とフォレスト B の間に双方向のフォレストの信頼を構築すると、フォレスト A のメンバーはフォレスト B のリソースにアクセスでき、その同じ信頼を使ってフォレスト B のメンバーもフォレスト A のリソースにアクセスできます。
参考資料 : 「フォレストの信頼を作成する場合」
http://technet.microsoft.com/ja-jp/library/cc771397.aspx
MCST 問題28 / 30 REF:70-640V2.23913
解説:
Windows Server 2008 には dfsrmig.exe というコマンドラインツールがあり、管理者はSYSVOL 共有のレプリケーションをFRS からDFS レプリケーションサービスに移行するための作業を制御できます。
参考資料 : 「付録 C: Dfsrmig コマンド リファレンス」
http://technet.microsoft.com/ja-jp/library/dd641227(WS.10).aspx
あなたが管理しているネットワークには Active Directory ドメインがあります。ドメインコントローラーはいずれもWindows Server 2003 を実行しています。
あなたはすべてのドメイン コントローラーを、Windows Server 2008 R2 を実行するドメインコントローラーと交換しました。
あなたはドメインの機能レベルを Windows Server 2008 R2 に上げました。
あなたは、ネットワーク上の SYSVOL レプリケーショントラフィックの量を最小限に抑える必要があります。
どうすればよいですか。
あなたはすべてのドメイン コントローラーを、Windows Server 2008 R2 を実行するドメインコントローラーと交換しました。
あなたはドメインの機能レベルを Windows Server 2008 R2 に上げました。
あなたは、ネットワーク上の SYSVOL レプリケーショントラフィックの量を最小限に抑える必要があります。
どうすればよいですか。
解説:
Windows Server 2008 には dfsrmig.exe というコマンドラインツールがあり、管理者はSYSVOL 共有のレプリケーションをFRS からDFS レプリケーションサービスに移行するための作業を制御できます。
参考資料 : 「付録 C: Dfsrmig コマンド リファレンス」
http://technet.microsoft.com/ja-jp/library/dd641227(WS.10).aspx
MCST 問題29 / 30 REF:70-640V2.23918
解説:
Active Directory サイトとサービスは、WindowsServer2008R2 オペレーティング システムの Microsoft 管理コンソール (MMC) スナップインです。このスナップインを使用すると、ActiveDirectory ドメイン サービス (ADDS) フォレストで、すべてのサイト間のディレクトリ データのレプリケーションを管理できます。
ActiveDirectory サイトとサービスでは、サイト/サブネット/サーバー等のオブジェクトを管理できます。
サーバー オブジェクトは、ActiveDirectory ドメイン サービスのサーバーの役割を追加すると、自動的に作成されます。サーバーは、レプリケーション トポロジ内のドメイン コントローラーを表します。
サーバー オブジェクトを使用すると、次のタスクを実行できます。
・ 優先ブリッジヘッド サーバーとして機能するドメイン コントローラーを識別する。優先ブリッジヘッド サーバーを使用すると、サイト間レプリケーションを制御できるため、サイト間レプリケーション トラフィックの処理が低下する可能性のあるドメイン コントローラー間ではなく、指定した優先ブリッジヘッド サーバーのドメイン コントローラー間だけでサイト間レプリケーションが実行されるようになります。
・ サイト間のサーバーを移動する。 新しいサイトを作成し、新しいサイトにマップする IP アドレスでドメイン コントローラーを既にインストールしている場合には、そのドメイン コントローラーを新しいサイトに移動できます。
この問題では、DC2 を Site2 に移動する必要があるため、ActiveDirectory サイトとサービスを使用してこれを行います。
参考資料 : 「Active Directory サイトとサービスの概要」
http://technet.microsoft.com/ja-jp/library/cc731907.aspx
あなたが管理しているネットワークには crammedia.com という Active Directory ドメインがあります。 crammedia.com には Site1 と
Site2 という 2 つのサイトがあります。Site1 にはDC1 というドメインコントローラーがあります。
あなたは Site1 にDC2 という新しいドメインコントローラーをインストールしました。
あなたは、Site2 の一部のユーザーの認証がDC1 に対して実行されることに気がつきました。
あなたは Site2 のユーザーの認証がまずDC2 に対して実行されるように設定する必要があります。
どうすればよいですか。
あなたは Site1 にDC2 という新しいドメインコントローラーをインストールしました。
あなたは、Site2 の一部のユーザーの認証がDC1 に対して実行されることに気がつきました。
あなたは Site2 のユーザーの認証がまずDC2 に対して実行されるように設定する必要があります。
どうすればよいですか。
解説:
Active Directory サイトとサービスは、WindowsServer2008R2 オペレーティング システムの Microsoft 管理コンソール (MMC) スナップインです。このスナップインを使用すると、ActiveDirectory ドメイン サービス (ADDS) フォレストで、すべてのサイト間のディレクトリ データのレプリケーションを管理できます。
ActiveDirectory サイトとサービスでは、サイト/サブネット/サーバー等のオブジェクトを管理できます。
サーバー オブジェクトは、ActiveDirectory ドメイン サービスのサーバーの役割を追加すると、自動的に作成されます。サーバーは、レプリケーション トポロジ内のドメイン コントローラーを表します。
サーバー オブジェクトを使用すると、次のタスクを実行できます。
・ 優先ブリッジヘッド サーバーとして機能するドメイン コントローラーを識別する。優先ブリッジヘッド サーバーを使用すると、サイト間レプリケーションを制御できるため、サイト間レプリケーション トラフィックの処理が低下する可能性のあるドメイン コントローラー間ではなく、指定した優先ブリッジヘッド サーバーのドメイン コントローラー間だけでサイト間レプリケーションが実行されるようになります。
・ サイト間のサーバーを移動する。 新しいサイトを作成し、新しいサイトにマップする IP アドレスでドメイン コントローラーを既にインストールしている場合には、そのドメイン コントローラーを新しいサイトに移動できます。
この問題では、DC2 を Site2 に移動する必要があるため、ActiveDirectory サイトとサービスを使用してこれを行います。
参考資料 : 「Active Directory サイトとサービスの概要」
http://technet.microsoft.com/ja-jp/library/cc731907.aspx
MCST 問題30 / 30 REF:70-640V2.23919
解説:
既定では、すべてのサイト リンクは推移的です。 [サイト リンクをすべてブリッジ] (既定で有効) の値は変更せず、推移性を有効なままにしておくことが推奨されています。 ただし、次の場合には、[サイト リンクをすべてブリッジ] を無効にして、サイト リンク ブリッジの設計を完了する必要があります。
この問題では、2つ目のケースに当たるため、[サイト リンクをすべてブリッジ] を無効にしてサイト リンク ブリッジを手動で構成する必要があります。
参考資料 : 「サイト リンク ブリッジの設計を作成する」
http://technet.microsoft.com/ja-jp/library/cc753638(WS.10).aspx
あなたの会社には、本社と 4 か所の支店があります。
各事業所には Active Directory サイトがあります。 各サイトにはそれぞれ 1 つのドメイン コントローラーがあります。各支店には本社のサイトへのサイトリンクがあります。
あなたは、支店のドメイン コントローラーがときどき支店間で直接レプリケートしていることに気がつきました。
あなたは、支店のドメイン コントローラーのレプリケート先が本社のドメインコントローラーのみとなるよう設定する必要があります。
どうすればよいですか。
各事業所には Active Directory サイトがあります。 各サイトにはそれぞれ 1 つのドメイン コントローラーがあります。各支店には本社のサイトへのサイトリンクがあります。
あなたは、支店のドメイン コントローラーがときどき支店間で直接レプリケートしていることに気がつきました。
あなたは、支店のドメイン コントローラーのレプリケート先が本社のドメインコントローラーのみとなるよう設定する必要があります。
どうすればよいですか。
解説:
既定では、すべてのサイト リンクは推移的です。 [サイト リンクをすべてブリッジ] (既定で有効) の値は変更せず、推移性を有効なままにしておくことが推奨されています。 ただし、次の場合には、[サイト リンクをすべてブリッジ] を無効にして、サイト リンク ブリッジの設計を完了する必要があります。
- 対象の IP ネットワークが完全にはルーティングされていない。[サイト リンクをすべてブリッジ] を無効すると、すべてのサイト リンクは非推移的と見なされるため、サイト リンク ブリッジ オブジェクトを作成および構成して、対象のネットワークにおける実際のルーティング動作をモデル化できます。
この問題では、2つ目のケースに当たるため、[サイト リンクをすべてブリッジ] を無効にしてサイト リンク ブリッジを手動で構成する必要があります。
参考資料 : 「サイト リンク ブリッジの設計を作成する」
http://technet.microsoft.com/ja-jp/library/cc753638(WS.10).aspx
0 件のコメント:
コメントを投稿
注: コメントを投稿できるのは、このブログのメンバーだけです。