AZ-800日本語試験無料問題集「Microsoft Administering Windows Server Hybrid Core Infrastructure (AZ-800日本語版) 認定」
タスク 9
ドメイン内のすべてのコンピューターが DNSSEC を使用して adatum.com ゾーン内の名前を解決するようにする必要があります。
ドメイン内のすべてのコンピューターが DNSSEC を使用して adatum.com ゾーン内の名前を解決するようにする必要があります。
正解:
See the solution of this Task below.
Explanation:
To ensure that all computers in the domain use DNSSEC to resolve names in the adatum.com zone, you'll need to configure both the DNS servers and the client computers. Here's how you can do it:
Step 1: Sign the adatum.com Zone First, you need to sign the adatum.com DNS zone. This can be done using the DNS Manager or PowerShell. Here's a PowerShell example:
Add-DnsServerSigningKey -ZoneName "adatum.com" -CryptoAlgorithm RsaSha256 Set-DnsServerDnsSecZoneSetting -ZoneName "adatum.com" -DenialOfExistence NSEC3 - NSEC3Parameters 1,0,10,"" This will add a signing key and configure DNSSEC for the zone with NSEC3 parameters.
Step 2: Configure DNS Servers Ensure that your DNS servers are configured to support DNSSEC. This includes setting up trust anchors for the zones that you want to validate and configuring the DNS servers to provide DNSSEC validation for DNS queries.
Step 3: Configure DNS Clients For DNSSEC validation to occur on the client side, the client computers must be configured to trust the DNS server's validation process. This typically involves configuring the client's DNS settings to point to a DNS server that supports DNSSEC.
Step 4: Validate Configuration You can validate that DNSSEC is working correctly by using tools like nslookup or dig to query DNS records and check for the presence of DNSSEC signatures in the responses.
Note: The exact steps may vary depending on your environment and the version of Windows Server you are using. Ensure that you have the appropriate administrative rights to make these changes and that you test the configuration in a controlled environment before deploying it domain-wide12.
By following these steps, you should be able to ensure that all computers in your domain use DNSSEC to resolve names in the adatum.com zone.
Explanation:
To ensure that all computers in the domain use DNSSEC to resolve names in the adatum.com zone, you'll need to configure both the DNS servers and the client computers. Here's how you can do it:
Step 1: Sign the adatum.com Zone First, you need to sign the adatum.com DNS zone. This can be done using the DNS Manager or PowerShell. Here's a PowerShell example:
Add-DnsServerSigningKey -ZoneName "adatum.com" -CryptoAlgorithm RsaSha256 Set-DnsServerDnsSecZoneSetting -ZoneName "adatum.com" -DenialOfExistence NSEC3 - NSEC3Parameters 1,0,10,"" This will add a signing key and configure DNSSEC for the zone with NSEC3 parameters.
Step 2: Configure DNS Servers Ensure that your DNS servers are configured to support DNSSEC. This includes setting up trust anchors for the zones that you want to validate and configuring the DNS servers to provide DNSSEC validation for DNS queries.
Step 3: Configure DNS Clients For DNSSEC validation to occur on the client side, the client computers must be configured to trust the DNS server's validation process. This typically involves configuring the client's DNS settings to point to a DNS server that supports DNSSEC.
Step 4: Validate Configuration You can validate that DNSSEC is working correctly by using tools like nslookup or dig to query DNS records and check for the presence of DNSSEC signatures in the responses.
Note: The exact steps may vary depending on your environment and the version of Windows Server you are using. Ensure that you have the appropriate administrative rights to make these changes and that you test the configuration in a controlled environment before deploying it domain-wide12.
By following these steps, you should be able to ensure that all computers in your domain use DNSSEC to resolve names in the adatum.com zone.
DNS サーバーの役割がインストールされているサーバーがあります。サーバーは、次の表に示すように構成されています。
ニューヨーク オフィスのすべてのクライアント コンピューターは、Server2 を DNS サーバーとして使用します。
次の要件を満たすには、ニューヨーク オフィスで名前解決を構成する必要があります。
ニューヨークのクライアント コンピューターが contoso.com からの名前を解決できることを確認します。
Server2 がインターネット ホストのすべての DNS クエリを 131.107.100.200 に転送することを確認します。
このソリューションでは、Server1 を変更する必要はありません。
各正解は、ソリューションの一部を示しています。
注: それぞれの正しい選択は 1 ポイントの価値があります。
ニューヨーク オフィスのすべてのクライアント コンピューターは、Server2 を DNS サーバーとして使用します。
次の要件を満たすには、ニューヨーク オフィスで名前解決を構成する必要があります。
ニューヨークのクライアント コンピューターが contoso.com からの名前を解決できることを確認します。
Server2 がインターネット ホストのすべての DNS クエリを 131.107.100.200 に転送することを確認します。
このソリューションでは、Server1 を変更する必要はありません。
各正解は、ソリューションの一部を示しています。
注: それぞれの正しい選択は 1 ポイントの価値があります。
正解:B,E
解答を投票する
解説: (GoShiken メンバーにのみ表示されます)
タスク 1
gMSA1 という名前のグループ管理サービス アカウント (gMSA) を作成し、gMSA1 を SRV1 で使用できるようにする必要があります。
gMSA1 という名前のグループ管理サービス アカウント (gMSA) を作成し、gMSA1 を SRV1 で使用できるようにする必要があります。
正解:
See the solution of this Task below.
Explanation:
To create a group-managed service account (gMSA) named gMSA1 and make it available on SRV1, you can follow these steps:
Step 1: Create the Key Distribution Services Root Key First, you need to create the KDS Root Key, which is required for the gMSA to function. You can do this with the following PowerShell command:
Add-KdsRootKey -EffectiveTime ((get-date).addhours(-10))
Note: The -EffectiveTime parameter is set to 10 hours in the past to ensure immediate effect.
Step 2: Create the gMSA Next, use the New-ADServiceAccount cmdlet to create the gMSA:
New-ADServiceAccount -Name gMSA1 -DNSHostName gmsa1.domain.com -
PrincipalsAllowedToRetrieveManagedPassword SRV1$
Replace domain.com with your actual domain name.
Step 3: Install the gMSA on SRV1 Now, you need to install the gMSA on the server SRV1. Run the following command on SRV1:
Install-ADServiceAccount -Identity gMSA1
Step 4: Test the gMSA To ensure that the gMSA is installed correctly and ready for use, perform a test using:
Test-ADServiceAccount -Identity gMSA1
If the test returns True, the gMSA is correctly installed and ready for use on SRV1.
Step 5: Configure the Service to Use the gMSA Finally, configure the service that requires the gMSA to use gMSA1 by setting the service's logon account to domain\gMSA1$ and leave the password field blank.
This will create and make the gMSA gMSA1 available on SRV1. Ensure that you have the necessary permissions and that SRV1 is properly joined to the domain before proceeding with these steps123.
Explanation:
To create a group-managed service account (gMSA) named gMSA1 and make it available on SRV1, you can follow these steps:
Step 1: Create the Key Distribution Services Root Key First, you need to create the KDS Root Key, which is required for the gMSA to function. You can do this with the following PowerShell command:
Add-KdsRootKey -EffectiveTime ((get-date).addhours(-10))
Note: The -EffectiveTime parameter is set to 10 hours in the past to ensure immediate effect.
Step 2: Create the gMSA Next, use the New-ADServiceAccount cmdlet to create the gMSA:
New-ADServiceAccount -Name gMSA1 -DNSHostName gmsa1.domain.com -
PrincipalsAllowedToRetrieveManagedPassword SRV1$
Replace domain.com with your actual domain name.
Step 3: Install the gMSA on SRV1 Now, you need to install the gMSA on the server SRV1. Run the following command on SRV1:
Install-ADServiceAccount -Identity gMSA1
Step 4: Test the gMSA To ensure that the gMSA is installed correctly and ready for use, perform a test using:
Test-ADServiceAccount -Identity gMSA1
If the test returns True, the gMSA is correctly installed and ready for use on SRV1.
Step 5: Configure the Service to Use the gMSA Finally, configure the service that requires the gMSA to use gMSA1 by setting the service's logon account to domain\gMSA1$ and leave the password field blank.
This will create and make the gMSA gMSA1 available on SRV1. Ensure that you have the necessary permissions and that SRV1 is properly joined to the domain before proceeding with these steps123.
ネットワークには、contoso.com という名前の Azure AD Domain Services ドメインが含まれています。
contoso.com に参加している Azure 仮想マシン上のローカル ユーザー アカウントのパスワード ポリシーを構成する必要があります。
あなたは何をするべきか?回答するには、回答領域で適切なオプションを選択してください。
注: 正しく選択するたびに 1 ポイントの価値があります。
contoso.com に参加している Azure 仮想マシン上のローカル ユーザー アカウントのパスワード ポリシーを構成する必要があります。
あなたは何をするべきか?回答するには、回答領域で適切なオプションを選択してください。
注: 正しく選択するたびに 1 ポイントの価値があります。
正解:
Explanation:
ネットワークには、次の図に示すドメインが含まれています。
Trust1 と Trust2 にはどのタイプの信頼を使用できますか? 回答するには、回答領域で適切なオプションを選択します。
注意: 正しい選択ごとに 1 ポイントが付与されます。
Trust1 と Trust2 にはどのタイプの信頼を使用できますか? 回答するには、回答領域で適切なオプションを選択します。
注意: 正しい選択ごとに 1 ポイントが付与されます。
正解:
Explanation:
Azure Active Directory Domain Services (Azure AD DS) ドメインがあります。
Admin1 という名前の新しいユーザーを作成します。
カスタム グループ ポリシー設定をドメイン内のすべてのコンピューターに展開するには、Admin1 が必要です。ソリューションでは、最小特権の原則を使用する必要があります。
ソリューションには何を含めるべきでしょうか?回答するには、回答領域で適切なオプションを選択してください。
注: 正しく選択するたびに 1 ポイントの価値があります
Admin1 という名前の新しいユーザーを作成します。
カスタム グループ ポリシー設定をドメイン内のすべてのコンピューターに展開するには、Admin1 が必要です。ソリューションでは、最小特権の原則を使用する必要があります。
ソリューションには何を含めるべきでしょうか?回答するには、回答領域で適切なオプションを選択してください。
注: 正しく選択するたびに 1 ポイントの価値があります
正解:
Explanation:
Reference:
https://docs.microsoft.com/en-us/azure/active-directory-domain-services/manage-group-policy
ネットワークには、contoso.com と fabrikam.com という名前の 2 つの Active Directory ドメイン サービス (AD DS) フォレストが含まれています。フォレスト間には双方向のフォレスト信頼が存在します。各フォレストには単一のドメインが含まれます。ドメインには、次の表に示すサーバーが含まれています。
contoso.com のユーザーがサーバー上の Windows Admin Center を使用してサーバーに接続できるように、リソース ベースの制約付き委任を構成する必要がありますか?コマンドをどのように完了すればよいでしょうか?回答するには、回答領域で適切なオプションを選択してください。注: 正しく選択するたびに 1 ポイントの価値があります。
contoso.com のユーザーがサーバー上の Windows Admin Center を使用してサーバーに接続できるように、リソース ベースの制約付き委任を構成する必要がありますか?コマンドをどのように完了すればよいでしょうか?回答するには、回答領域で適切なオプションを選択してください。注: 正しく選択するたびに 1 ポイントの価値があります。
正解:
Explanation:
Reference:
https://docs.microsoft.com/en-us/windows-server/security/kerberos/kerberos-constrained-delegation-overview
https://docs.microsoft.com/en-us/powershell/module/activedirectory/set-adcomputer?
view=windowsserver2022-ps
contoso.com という名前の新しい Active Directory ドメイン サービス (AD DS) フォレストを展開します。ドメインには、DC1、DC2、および DC3 という名前の 3 つのドメイン コントローラーが含まれています。
Default-First-Site-Name の名前を Site1 に変更します。
DC1、DC2、および DC3 を別の場所にあるデータセンターに出荷することを計画しています。
次の要件を満たすように、DC1、DC2、および DC3 間のレプリケーションを構成する必要があります。
* 各ドメイン コントローラーは独自の Active Directory サイトに存在する必要があります。
※各サイト間のレプリケーションスケジュールは個別に制御する必要があります。
* レプリケーションの中断は最小限に抑える必要があります。
Active Directory サイトとサービス コンソールで順番に実行する必要がある 3 つのアクションはどれですか?回答するには、アクションのリストから適切なアクションを回答領域に移動し、正しい順序で並べます。
Default-First-Site-Name の名前を Site1 に変更します。
DC1、DC2、および DC3 を別の場所にあるデータセンターに出荷することを計画しています。
次の要件を満たすように、DC1、DC2、および DC3 間のレプリケーションを構成する必要があります。
* 各ドメイン コントローラーは独自の Active Directory サイトに存在する必要があります。
※各サイト間のレプリケーションスケジュールは個別に制御する必要があります。
* レプリケーションの中断は最小限に抑える必要があります。
Active Directory サイトとサービス コンソールで順番に実行する必要がある 3 つのアクションはどれですか?回答するには、アクションのリストから適切なアクションを回答領域に移動し、正しい順序で並べます。
正解:
Explanation:
タスク8
fabrikam.com という名前の新しいプライマリ DNS ゾーンを DC1 に展開する必要があります。ゾーンは署名されている必要があります。
fabrikam.com という名前の新しいプライマリ DNS ゾーンを DC1 に展開する必要があります。ゾーンは署名されている必要があります。
正解:
See the solution of this Task below.
Explanation:
To deploy a new primary DNS zone named fabrikam.com to DC1 and sign the zone, you can follow these steps:
Step 1: Create the Primary DNS Zone Use the Add-DnsServerPrimaryZone PowerShell command to create the primary zone:
Add-DnsServerPrimaryZone -Name "fabrikam.com" -ZoneFile "fabrikam.com.dns" -DynamicUpdate Secure This command creates a primary zone for fabrikam.com with a DNS file named fabrikam.com.dns and allows secure dynamic updates.
Step 2: Sign the Zone To sign the zone, you can use the DNS Manager or Windows PowerShell. Here's how to sign the zone using PowerShell:
Add-DnsServerSigningKey -ZoneName "fabrikam.com" -Type KeySigningKey -CryptoAlgorithm RsaSha256 Set-DnsServerDnsSecZoneSetting -ZoneName "fabrikam.com" -DenialOfExistence NSEC3 - NSEC3Parameters 1,0,10,"" These commands add a signing key to the zone and set DNSSEC settings with NSEC3 parameters.
Step 3: Publish the Signed Zone After signing the zone, ensure that it is published and available for DNS queries. You can verify the zone signing status using the following command:
Get-DnsServerZone -Name "fabrikam.com"
Note: Ensure that you have the appropriate permissions to perform these actions on DC1 and that the DNS Server role is installed and properly configured. Also, replace "fabrikam.com.dns" with the actual path to your DNS file if it's different12.
By following these steps, you should be able to deploy and sign the new primary DNS zone fabrikam.com on DC1.
Explanation:
To deploy a new primary DNS zone named fabrikam.com to DC1 and sign the zone, you can follow these steps:
Step 1: Create the Primary DNS Zone Use the Add-DnsServerPrimaryZone PowerShell command to create the primary zone:
Add-DnsServerPrimaryZone -Name "fabrikam.com" -ZoneFile "fabrikam.com.dns" -DynamicUpdate Secure This command creates a primary zone for fabrikam.com with a DNS file named fabrikam.com.dns and allows secure dynamic updates.
Step 2: Sign the Zone To sign the zone, you can use the DNS Manager or Windows PowerShell. Here's how to sign the zone using PowerShell:
Add-DnsServerSigningKey -ZoneName "fabrikam.com" -Type KeySigningKey -CryptoAlgorithm RsaSha256 Set-DnsServerDnsSecZoneSetting -ZoneName "fabrikam.com" -DenialOfExistence NSEC3 - NSEC3Parameters 1,0,10,"" These commands add a signing key to the zone and set DNSSEC settings with NSEC3 parameters.
Step 3: Publish the Signed Zone After signing the zone, ensure that it is published and available for DNS queries. You can verify the zone signing status using the following command:
Get-DnsServerZone -Name "fabrikam.com"
Note: Ensure that you have the appropriate permissions to perform these actions on DC1 and that the DNS Server role is installed and properly configured. Also, replace "fabrikam.com.dns" with the actual path to your DNS file if it's different12.
By following these steps, you should be able to deploy and sign the new primary DNS zone fabrikam.com on DC1.
ネットワークには、adatum.com という名前の Active Directory ドメイン サービス (AD DS) ドメインが含まれています。
ドメインには、Server1 という名前のサーバーと、User1 という名前の 3 人のユーザーが含まれています。 User2 と User)、Server1 には Share1 という名前の共有フォルダーが含まれており、tha1 の構成は次のとおりです。
Share1 の共有アクセス許可は、「共有アクセス許可」の説明に従って構成されます。 (「共有アクセス許可」タブをクリックします。) Share1 には、Filel.txt という名前のファイルが含まれています。 Filel.txt の高度なセキュリティ設定は、「ファイルのアクセス許可」に示すように構成されています。 ([ファイルのアクセス許可] タブをクリックします。) 次の各ステートメントについて、そのステートメントが true の場合は [はい] を選択します。それ以外の場合は、「いいえ」を選択します。
注: 正しく選択すると 1 ポイントの価値があります。
ドメインには、Server1 という名前のサーバーと、User1 という名前の 3 人のユーザーが含まれています。 User2 と User)、Server1 には Share1 という名前の共有フォルダーが含まれており、tha1 の構成は次のとおりです。
Share1 の共有アクセス許可は、「共有アクセス許可」の説明に従って構成されます。 (「共有アクセス許可」タブをクリックします。) Share1 には、Filel.txt という名前のファイルが含まれています。 Filel.txt の高度なセキュリティ設定は、「ファイルのアクセス許可」に示すように構成されています。 ([ファイルのアクセス許可] タブをクリックします。) 次の各ステートメントについて、そのステートメントが true の場合は [はい] を選択します。それ以外の場合は、「いいえ」を選択します。
注: 正しく選択すると 1 ポイントの価値があります。
正解:
Explanation:
Windows Server を実行し、Hyper-V サーバーの役割がインストールされている Server1 という名前のサーバーがあります。
Server1 には、Windows Server を実行する VM1 という名前の仮想マシンが含まれています。
VM1 に Hyper-V サーバーの役割をインストールする必要があります。
最初にどの PowerShell コマンドを実行する必要がありますか?回答するには、回答領域で適切なオプションを選択してください。
注: 正しく選択するたびに 1 ポイントの価値があります。
Server1 には、Windows Server を実行する VM1 という名前の仮想マシンが含まれています。
VM1 に Hyper-V サーバーの役割をインストールする必要があります。
最初にどの PowerShell コマンドを実行する必要がありますか?回答するには、回答領域で適切なオプションを選択してください。
注: 正しく選択するたびに 1 ポイントの価値があります。
正解:
Explanation:
