Текст книги "Настройка Active Directory. Windows Server 2008"
Автор книги: Dan Holme
Соавторы: Danielle Ruest,Nelson Ruest
Жанр:
ОС и Сети
сообщить о нарушении
Текущая страница: 90 (всего у книги 91 страниц)
вы собираетесь п о н и з и т ь .
3. П р а в и л ь н ы й ответ: В.
A. Н е п р а в и л ь н ы й С п о м о щ ь ю к о м а н д ы Dcpromo.exe м о ж н о у к а з а т ь , что
новый к о н т р о л л е р д о м е и а д о л ж е н с л у ж и т ь с е р в е р о м г л о б а л ь н о г о к а т а -
лога, о д н а к о с п о м о щ ь ю к о м а н д ы Dcpromo.exe н е л ь з я м о д и ф и ц и р о в а т ь
с у щ е с т в у ю щ и е к о н т р о л л е р ы д о м е н о в .
Б. Н е п р а в и л ь н ы й С п о м о щ ь ю м а с т е р а у с т а н о в к и д о м е н н ы х с л у ж б Active
Directory м о ж н о указать, что н о в ы й к о н т р о л л е р д о м е н а д о л ж е н с т а т ь
сервером г л о б а л ь н о г о к а т а л о г а , н о м о д и ф и ц и р о в а т ь с у щ е с т в у ю щ и е
к о н т р о л л е р ы д о м е н о в с п о м о щ ь ю э т о г о м а с т е р а н е л ь з я .
B . П р а в и л ь н ы й О т к о н ф и г у р и р у й т е с е р в е р г л о б а л ь н о г о к а т а л о г а п о -
средством оснастки Active D i r e c t o r y – с а й т ы и с л у ж б ы ( A c t i v e D i r e c t o r y
Sites And Services), о т к р ы в с в о й с т в а о б ъ е к т а N T D S S e t t i n g s в о б ъ е к т е
сервера, п р е д с т а в л я ю щ е г о к о н т р о л л е р д о м е и а .
Г. Н е п р а в и л ь н ы й С п о м о щ ь ю о с н а с т к и A c t i v e D i r e c t o r y – п о л ь з о в а т е л и
и к о м п ь ю т е р ы ( A c t i v e D i r e c t o r y U s e r s A n d C o m p u t e r s ) н е л ь з я к о н ф и -
гурировать серверы г л о б а л ь н о г о к а т а л о г а .
Д. Н е п р а в и л ь н ы й Посредством о с н а с т к и Active D i r e c t o r y – д о м е н ы и до-
верие (Active D i r e c t o r y D o m a i n s A n d T r u s t s ) н е л ь з я к о н ф и г у р и р о в а т ь
серверы г л о б а л ь н о г о к а т а л о г а .
Занятие 3
1. П р а в и л ь н ы й о т в е т : Г.
А. Н е п р а в и л ь н ы й О б щ а я с т о и м о с т ь р е п л и к а ц и и из с а й т а А в с а й т В
с и с п о л ь з о в а н и е м с с ы л к и на с а й т Б с о с т а в и т 350. С т о и м о с т ь р е п л и к а -
ции с и с п о л ь з о в а н и е м с в я з и А – В с о с т а в л я е т всего 100, Д л я р е п л и к а -
ции будет п р и м е н я т ь с я с в я з ь А – В.
Ответы 9 2 3
15. Н е п р а в и л ь н ы й О б щ а я с т о и м о с т ь р е п л и к а ц и и из сайта А в сайт В
с и с п о л ь з о в а н и е м с с ы л к и иа сайт Б составит 350. Стоимость реплика-
ц и и с и с п о л ь з о в а н и е м с в я з и А – В составляет всего 100. Для реплика-
ц и и будет п р и м е н я т ь с я с в я з ь Л – В.
В. Н е п р а в и л ь н ы й О б щ а я стоимость репликации из сайта Л в сайт В с ис-
п о л ь з о в а н и е м с с ы л к и па с а й т Б составит 150. Стоимость репликации
с и с п о л ь з о в а н и е м с в я з и Л – В составляет всего 100. Д л я репликации
будет п р и м е н я т ь с я с в я з ь А – В.
Г. П р а в и л ь н ы й О б щ а я с т о и м о с т ь р е п л и к а ц и и из сайта А в сайт В с ис-
п о л ь з о в а н и е м с с ы л к и на с а й т Б составит 200. Если стоимость реплика-
ц и и с и с п о л ь з о в а н и е м с в я з и А – В больше 200, для репликации будут
з а д е й с т в о в а н ы с в я з и А – Б и Б – В.
2. П р а в и л ь н ы е о т в е т ы : Б и В.
A. Н е п р а в и л ь н ы й Е с л и м е ж д у с а й т а м и А и В есть связь сайтов, репли-
к а ц и я м е ж д у н и м и м о ж е т в ы п о л н я т ь с я с использованием этой связи.
Вы не з а п р е т и т е т а к и м о б р а з о м р е п л и к а ц и ю непосредственно между
с а й т о м А и с а й т о м В.
Б. П р а в и л ь н ы й Ч т о б ы з а п р е т и т ь р е п л и к а ц и ю между сайтами А и В,
н е о б х о д и м о у д а л и т ь с в я з ь сайтов с этими двумя узлами.
B. П р а в и л ь н ы й По умолчанию связи сайтов транзитивны, то есть сайт А мо-
ж е т н е п о с р е д с т в е н н о в ы п о л н я т ь репликацию с сайтом В, используя свя-
зи А – Б и Б – В. Н е о б х о д и м о отключить транзитивность связи сайтов.
Г. Н е п р а в и л ь н ы й П р и с н и ж е н и и стоимости связи сайтов в репликации
не будет с о з д а в а т ь с я п о д к л ю ч е н и е через связь А – В. Однако снижение
с т о и м о с т и не гарантирует, что и з м е н е н и я будут вначале пересылаться
на с а й т Б.
3 . П р а в и л ь н ы й о т в е т : А .
A. П р а в и л ь н ы й Е с л и с в я з ь IP недоступна, для репликации необходимо
и с п о л ь з о в а т ь S M T P , а его нельзя применять д л я репликации контекста
и м е н о в а н и я д о м е н о в . П о э т о м у д л я корабля в лесу нужно создать от-
д е л ь н ы й д о м е н .
Б. Н е п р а в и л ь н ы й П о в ы ш е н и е стоимости связи сайтов не обеспечит под-
д е р ж к у р е п л и к а ц и и м е ж д у кораблем и центром данных.
B. Н е п р а в и л ь н ы й М о с т о в о й сервер не обеспечит поддержку репликации
м е ж д у к о р а б л е м и ц е н т р о м данных.
Г. Н е п р а в и л ь н ы й С о з д а н и е объекта подключения вручную не обеспечит
п о д д е р ж к у р е п л и к а ц и и между кораблем и центром данных.
4. П р а в и л ь н ы е о т в е т ы : А и Б.
А. П р а в и л ь н ы й В оснастке Active Directory – сайты н службы (Active
D i r e c t o r y Sites And Services) м о ж н о щелкнуть правой кнопкой мыши
э л е м е н т N T D S Settings и принудительно включить репликацию.
Б. П р а в и л ь н ы й И н с т р у м е н т диагностики репликации Repadmin.exe (Rep-
lication Diagnostics) позволяет принудительно включить репликацию
из к о м а н д н о й строки.
I 924
Ответы
В. Н е п р а в и л ь н ы й Д и а г н о с т и к а с л у ж б ы к а т а л о г о в Dcdiag.exe ( D i r e c t o r y
Service Diagnostics) п р е д с т а в л я е т собой и н с т р у м е н т к о м а н д н о й строки,
с помощью которого м о ж н о т е с т и р о в а т ь с о с т о я н и е р е п л и к а ц и и и безо-
пасности д о м е н н ы х с л у ж б Active D i r e c t o r y .
Г. Неправильный О с н а с т к а Activc D i r e c t o r y – д о м е н ы и д о в е р и е (Active
Directory D o m a i n s And T r u s t s ) с л у ж и т д л я с о з д а н и я о б ъ е к т о в п о л ь з о -
вателей, групп и к о м п ь ю т е р о в и у п р а в л е н и я и м и . С ее п о м о щ ь ю н е л ь з я
принудительно в к л ю ч и т ь р е п л и к а ц и ю .
Глава 11. Ответы на вопросы сценария
Сценарий. Настройка сайтов и п о д с е т е й
1. Создайте для Денвера о д и н с а й т Active Directory. Т о п о л о г и я р е п л и к а ц и и
внутри сайта, создаваемая К С С , г е н е р и р у е т д в у с т о р о н н ю ю т о п о л о г и ю мак-
симум в три прыжка. Р е п л и к а ц и я б у д е т в ы п о л н я т ь с я в т е ч е н и е м и н у т ы .
Если главный офис и х р а н и л и щ е р а с п о л о ж е н ы в р а з н ы х сайтах, р е п л и к а ц и я
между сайтами будет в ы п о л н я т ь с я к а ж д ы е 15 м и н .
2 . Предпочтительный м о с т о в о й с е р в е р г а р а н т и р у е т в ы п о л н е н и е э т о й р о л и
сервером с самыми м о щ н ы м и с и с т е м н ы м и р е с у р с а м и . Его т а к ж е у д о б н о ис-
пользовать, если в сетевой к о н ф и г у р а ц и и , н а п р и м е р в б р а н д м а у э р е , т р е б у -
ется направить трафик р е п л и к а ц и и на о д и н I P – а д р е с . Но п р и н е д о с т у п н о с т и
предпочтительного мостового с е р в е р а г е н е р а т о р т о п о л о г и и м е ж д у с а й т а м и
( I S T G ) н е станет а в т о м а т и ч е с к и н а з н а ч а т ь в р е м е н н ы й с е р в е р – п л а ц д а р м .
Поэтому в случае о т к л ю ч е н и я п р е д п о ч т и т е л ь н о г о м о с т о в о г о с е р в е р а от
сети репликация остановится.
3. Д л я получения ц е н т р а л и з о в а н н о й т о п о л о г и и з в е з д ы н е о б х о д и м о с о з д а т ь
пять связей сайтов. К а ж д а я с в я з ь с а й т а с о д е р ж и т у з е л Д е н в е р а и у з е л од-
ного и з филиалов. П о э т о м у с л е д у е т с о з д а т ь т а к и е п я т ь с в я з е й с а й т о в : Д е -
нвер – Портленд, Д е н в е р – С и э т л , Д е н в е р – Ч и к а г о , Д е н в е р – М а й а м и и
Денвер – Ф о р т – Л о д е р д е й л . Вы т а к ж е д о л ж н ы о т к л ю ч и т ь т р а н з и т и в н о с т ь
связи сайтов, чтобы в р е п л и к а ц и и не с о з д а в а л и с ь п о д к л ю ч е н и я в о б х о д
сайта Денвера.
4. Создайте объект п о д к л ю ч е н и я в р у ч н у ю д л я к о н т р о л л е р а д о м е н а х р а н и л и -
ща, чтобы он п р и н и м а л т р а ф и к р е п л и к а ц и и с S E R V E R O I . О б ъ е к т п о д к л ю -
чения, созданный вручную, не будет у д а л е н К С С при п о с т р о е н и и т о п о л о г и и
репликации внутри сайта.
Глава 12. Ответы на вопросы занятий
Занятие 1
1. Правильные ответы: А и Г.
А. Правильный В оснастке Active D i r e c t o r y – п о л ь з о в а т е л и и к о м п ь ю -
теры (Active Directory Users And C o m p u t e r s ) м о ж н о щ е л к н у т ь п р а в о й
кнопкой мыши корневой узел оснастки и л и д о м е н а и п р и м е н и т ь к о м а н -
ду Сменить режим работы д о м е н а (Raise D o m a i n F u n c t i o n a l Level).
Ответы 925
Б. Н е п р а в и л ь н ы й Оснастка Схема Active Directory (Active Directory Sche-
m a ) не используется д л я изменения функционального уровня домена.
В. Н е п р а в и л ь н ы й Оснастка Active Directory – сайты и службы (Activc
D i r e c t o r y Sites And Services) не применяется для изменения функцио-
нального уровн я домена.
Г. П р а в и л ь н ы й Вы можете щелкнуть правой кнопкой мыши имя домена
в о с н а с т к е Active Directory – домены и доверие (Active Directory Do-
mains And T r u s t s ) и применить команду Сменить режим работы домена
(Raise D o m a i n F u n c t i o n a l Level).
2. П р а в и л ь н ы е о т в е т ы : Б, Г и Д.
A. Н е п р а в и л ь н ы й Перед добавлением контроллера R O D C в домене необ-
ходимо установить контроллер Windows Server 2008 с доступом записи.
В д о м е н е contoso.com уже есть контроллер Windows Server 2008.
Б. П р а в и л ь н ы й Д л я д о б а в л е н и я контроллера R O D C нужно установить
ф у н к ц и о н а л ь н ы й уровень домеиа не ниже Windows Server 2003.
B. Н е п р а в и л ь н ы й Ф у н к ц и о н а л ь н ы й уровень домена нельзя повысить
до W i n d o w s Server 2008, поскольку в домене есть контроллер Windows
Server 2003.
Г П р а в и л ь н ы й Перед добавлением контроллера RODC необходимо уста-
н о в и т ь ф у н к ц и о н а л ь н ы й уровень леса ие ниже Windows Server 2003.
Д. П р а в и л ь н ы й Перед добавлением первого контроллера RODC в домен
н е о б х о д и м о з а п у с т и т ь команду Adprep/roclcprep.
Е. Н е п р а в и л ь н ы й В д о м е н е есть контроллер Windows Server 2008, так
что к о м а н д а Adprep /forestprep уже выполнялась.
3 . П р а в и л ь н ы й о т в е т : В .
A. Н е п р а в и л ь н ы й Д л я р е а л и з а ц и и гранулированных политик паролей
к о н т р о л л е р ы R O D C н е нужны.
Б. Н е п р а в и л ь н ы й Команда Dfsrmig.exe конфигурирует репликацию DFS-R
п а п к и SYSVOL.
B. П р а в и л ь н ы й Д л я реализации гранулированных политик паролей тре-
буется ф у н к ц и о н а л ь н ы й уровень леса Windows Server 2008.
Г. Н е п р а в и л ь н ы й Консоль управления групповой политикой GPMC ие
к о н т р о л и р у е т гранулированные политики паролей.
З а н я т и е 2
1. П р а в и л ь н ы е о т в е т ы : А, В и Ж.
А. П р а в и л ь н ы й Пользователи в домене wingtiptoys.com будут проходить
проверку подлинности с помощью компьютеров в домене tailspintoys.com.
Таким образом, wingtiptoys.com станет доверенным доменом. В доме-
не wingtiptoys.com необходимо отконфигурировать входящее доверие.
Б. Н е п р а в и л ь н ы й Исходящее доверие разрешит пользователям в домене
tailspintoys.com проходить проверку подлинности в wingtiptoys.com.
g 2 6 Ответы
В. П р а в и л ь н ы й П о л ь з о в а т е л я м в д о м е н е w i n g t i p t o y s . c o m н у ж н о входить
на компьютеры в д о м е н е t a i l s p i n t o y s . c o m , но п о л ь з о в а т е л я м в д о м е н е
tailspintoys.com не требуется п р о х о д и т ь п р о в е р к у п о д л и н н о с т и в д о м е н е
wingtiptoys.com.
Г. Н е п р а в и л ь н ы й П о л ь з о в а т е л я м в д о м е н е t a i l s p i n t o y s . c o m не т р е б у е т с я
входить на к о м п ь ю т е р ы в д о м е н е w i n g t i p t o y s . c o m .
Д . Н е п р а в и л ь н ы й Д о в е р и т е л ь н ы е о т н о ш е н и я с ф е р ы с о з д а ю т с я с о сфе-
рами Kerberos v5, а не с д о м е н а м и W i n d o w s .
Е. Н е п р а в и л ь н ы й П р я м о е д о в е р и е и с п о л ь з у е т с я м е ж д у д о м е н а м и в лесу
из множества доменов.
Ж. Правильный Поскольку п о л ь з о в а т е л и в д о м е н а х europe.wingtiptoys.com
и wingtiptoys.com будут п р о х о д и т ь п р о в е р к у п о д л и н н о с т и иа к о м п ь ю т е -
рах в домене tailspintoys.com, т р е б у е т с я д о в е р и е л е с о в . Д о в е р и т е л ь н ы е
отношения лесов т р а н з и т и в и ы .
3. Неправильный Внешнее д о в е р и е не о б е с п е ч и в а е т п о л ь з о в а т е л я м в до-
мене europe.wingtiptoys.com в о з м о ж н о с т ь п р о х о д и т ь п р о в е р к у п о д л и н -
ности с помощью к о м п ь ю т е р о в в д о м е н е t a i l s p i n t o y s . c o m .
2. Правильные ответы: В и Г.
A . Неправильный С о з д а н и е к о п и й у ч е т н ы х з а п и с е й д л я в с е х п о л ь з о в а -
телей не обеспечивает в о з м о ж н о с т ь д о с т у п а к р е с у р с а м .
Б . Неправильный Р е к о н с т р у к ц и я д о м е н а W i n d o w s N T 4.0 и е о б е с п е ч и т
пользователям в о з м о ж н о с т ь п о л у ч а т ь д о с т у п к р е с у р с а м .
B. П р а в и л ь н ы й П а р а м е т р /verify п р о в е р я е т с о с т о я н и е с у щ е с т в у ю щ е й
доверенной с в я з и лесов. Н е к о т о р ы е д о в е р е н н ы е п о л ь з о в а т е л и м о г у т
получить доступ к ресурсам, т а к ч т о д о в е р е н н а я с в я з ь б у д е т о п р е д е л е н а
как работоспособная.
Г. Правильный То, что п р о б л е м н ы е у ч е т н ы е з а п и с и м и г р и р о в а л и из W i n -
dows NT 4.0, говорит о том, что в а т р и б у т а х sIDHistory п о л ь з о в а т е л е й
есть отфильтрованные S I D – и д е н т и ф и к а т о р ы , п о с к о л ь к у п о у м о л ч а н и ю
ф и л ь т р а ц и я S I D в к л ю ч е н а в о в с е х в н е ш н и х д о в е р и т е л ь н ы х с в я з я х .
П а р а м е т р / q u a r a n t i n e m o о т к л ю ч и т ф и л ь т р а ц и ю S I D .
3. Правильный ответ: Г.
Л . Н е п р а в и л ь н ы й П е р е у с т а н о в к а о п е р а ц и о н н о й с и с т е м ы в р я д л и р е ш и т
проблему, п о с к о л ь к у п р о и з в о д и т е л ь н о с т ь с и с т е м ы п р и п о л у ч е н и и до-
ступа к ресурсам в с о б с т в е н н о м д о м е н е п о л ь з о в а т е л е й в п о л н е п р и е м -
лемая.
Б . Н е п р а в и л ь н ы й Д и н а м и ч е с к о е и л и с т а т и ч е с к о е н а з н а ч е н и е I P – а д р е с а
на связано с д а н н о й п р о б л е м о й .
В . Н е п р а в и л ь н ы й Д и н а м и ч е с к и е о б н о в л е н и я з а п и с е й D N S н е и м е ю т
отношения к в о з н и к ш е й п р о б л е м е .
Г . П р а в и л ь н ы й П р я м а я д о в е р и т е л ь н а я с в я з ь м о ж е т п о в ы с и т ь п р о и з в о -
дительность, позволив к о н т р о л л е р а м в о д н о м д о м е н е н а п р я м у ю н а п р а в -
лять клиентов в д р у г о й домен, не о б р а щ а я с ь к к о р н е в о м у д о м е н у л е с а .
Ответы 9 2 7
Глава 12. Ответы на вопросы сценария
С ц е н а р и й . У п р а в л е н и е м н о ж е с т в о м доменов и лесов
1. Р е ж и м р а б о т ы д о м е н а и леса нужно поднять до функционального уров-
ня не н и ж е W i n d o w s Server 2003. Доверительные отношения лесов раз-
р е ш е н ы т о л ь к о в р е ж и м е работы леса Windows Server 2003 или Windows
Server 2008.
2. П о с к о л ь к у вы не располагаете учетной записью в домене wingtiptoys.com,
вы можете создавать только односторонние входящие и односторонние ис-
х о д я щ и е д о в е р и т е л ь н ы е связи. Администраторы в домене wingtiptoys.com
д о л ж н ы создать взаимные односторонние исходящие и односторонние вхо-
д я щ и е д о в е р и т е л ь н ы е связи.
3. В и с х о д я щ е й д о в е р и т е л ь н о й с в я з и необходимо включить выборочную
п р о в е р к у п о д л и н н о с т и . З а т е м э т и м пользователям нужно предоставить
р а з р е ш е н и е Р а з р е ш е н о проверить подлинность (Allowed То Authenticate)
в объектах к о м п ь ю т е р о в четырех серверов.
Глава 13. Ответы на вопросы занятий
З а н я т и е 1
1 . П р а в и л ь н ы й о т в е т : Б .
A. Н е п р а в и л ь н ы й Возможность повторного запуска AD DS – одна из
к л ю ч е в ы х в W i n d o w s Server 2008.
Б. П р а в и л ь н ы й Если кто-либо еще, работающий на другом контроллере
д о м е н а в лесу, остановит работу службы AD DS, вы не сможете оста-
н о в и т ь ее на своем сервере, поскольку д л я остановки службы в домене
д о л ж е н оставаться хотя бы один операционный контроллер.
B. Н е п р а в и л ь н ы й В Windows Server 2008 н е н у ж н о использовать DSRM
д л я в ы п о л н е н и я операций с базой данных на контроллере домена.
Г. Н е п р а в и л ь н ы й С л у ж б у AD DS можно остановить с помощью коман-
д н о й с т р о к и и л и к о н с о л и Службы (Services).
2. П р а в и л ь н ы е о т в е т ы : Г и Е.
A. Н е п р а в и л ь н ы й Вышедший из строя сервер нельзя запустить в режиме
D S R M .
Б. Н е п р а в и л ь н ы й Вам не нужно, производить полномочное восстанов-
ление, п о с к о л ь к у в вопросе не сказано, что сервер содержал утерянные
данные, отсутствующие-на других контроллерах домена.
B. Н е п р а в и л ь н ы й Вам не понадобится переустанавливать операционную
систему, если есть доступ к полным архивным копиям сервера.
Г. П р а в и л ь н ы й Д л я запуска процесса полного восстановления сервер
необходимо запустить в среде восстановления WinRE.
Д. Н е п р а в и л ь н ы й Полномочное восстановление в Windows Server 2008
н е л ь з я в ы п о л н и т ь с помощью команды Ntdsutil.exe. Для этого следует
и с п о л ь з о в а т ь с и с т е м у а р х и в а ц и и данных Windows Server (Windows
Server Backup) и л и утилиту Wbadmin.exe.
I 9 2 8 Ответы
Е. Правильный Полное восстановление сервера м о ж н о о с у щ е с т в и т ь с по-
мощью командной с т р о к и и л и г р а ф и ч е с к о г о и н т е р ф е й с а .
Занятие 2
1. Правильные о т в е т ы : В и Г.
A . Н е п р а в и л ь н ы й И с т е ч е н и е с р о к а д е й с т в и я н е б у д е т о с н о в а н и е м д л я
остановки работы с б о р щ и к о в д а н н ы х . П р и и с т е ч е н и и с р о к а д е й с т в и я
перестают запускаться н о в ы е г р у п п ы .
Б . Неправильный Д л я запуска г р у п п ы с б о р щ и к о в д а н н ы х т р е б у е т с я рас-
писание. В противном случае они п р е к р а щ а ю т с б о р д а н н ы х при в ы х о д е
пользователя, создавшего эти г р у п п ы .
B. Правильный Д л я остановки сбора д а н н ы х в к а ж д о й г р у п п е с б о р щ и к о в
данных необходимо задать у с л о в и е о с т а н о в к и .
Г. П р а в и л ь н ы й Прн с о с т а в л е н и и р а с п и с а н и я д л я г р у п п ы с б о р щ и к о в
данных нужно задать срок д е й с т в и я . В п р о т и в н о м с л у ч а е с б о р д а н н ы х
будет остановлен.
2. Правильные ответы: А, Б, В и Г.
A. Правильный М о н и т о р с т а б и л ь н о с т и ( R e l i a b i l i t y M o n i t o r ) о п р е д е л я е т
изменения, которые в н о с и л и с ь на с е р в е р за п о с л е д н е е в р е м я , и у к а з ы -
вает, могут ли они с н и з и т ь б ы с т р о д е й с т в и е .
Б. Правильный Оснастка Просмотр с о б ы т и й ( E v e n t V i e w e r ) , в ч а с т н о с т и
журнал событий Система ( S y s t e m ) , б у д е т р е г и с т р и р о в а т ь все о ш и б к и
и предупреждения, с в я з а н н ы е с п р о и з в о д и т е л ь н о с т ь ю с и с т е м ы .
B. Правильный Диспетчер задач (Task M a n a g e r ) о т о б р а ж а е т и с п о л ь з о в а -
ние ресурсов в реальном времени и п о з в о л я е т и д е н т и ф и ц и р о в а т ь потен-
циальные критические п а р а м е т р ы , в л и я ю щ и е н а п р о и з в о д и т е л ь н о с т ь .
Г. Правильный С и с т е м н ы й м о н и т о р ( P e r f o r m a n c e M o n i t o r ) , в ч а с т н о с т и
шаблоны групп с б о р щ и к о в д а н н ы х п а о с н о в е р о л е й , п о з в о л я ю т б ы с т р о
обнаружить все п р о б л е м ы п р о и з в о д и т е л ь н о с т и в т е к у щ е й к о н ф и г у р а -
ции сервера, а также п р е д о с т а в л я ю т р е к о м е н д а ц и и о в о з м о ж н ы х и з м е -
нениях с целыо п о в ы ш е н и я б ы с т р о д е й с т в и я .
Глава 13. Ответ на вопрос сценария
Сценарий. Работа с утерянными д а н н ы м и
Время от времени, особенно в к р у п н ы х лесах, о д и н п о л ь з о в а т е л ь у д а л я е т к о н -
тейнер одновременно с созданием или м о д и ф и к а ц и е й объекта в том же к о н т е й -
нере другим пользователем. Эти о п е р а ц и и могут в ы п о л н я т ь с я иа с о в е р ш е н н о
разных контроллерах домена, но в процессе с и н х р о н и з а ц и и р е п л и к а ц и и д а н н ы х
иа контроллерах домена с о з д а н н ы й о б ъ е к т с т а н о в и т с я б е з д о м н ы м . В т а к о м
случае эти объекты автоматически с о х р а н я ю т с я в к о н т е й н е р е L o s t A n d F o u n d .
Этот специальный контейнер у п р а в л я е т у т е р я н н ы м и и н а й д е н н ы м и о б ъ е к т а м и
в домене. Еще один с п е ц и а л ь н ы й к о н т е й н е р , L o s t A n d F o u n d C o n f i g , у п р а в л я е т
утерянными и найденными объектами во всем лесу. К о н т е й н е р L o s t A n d F o u n d -
Config есть только в корневом д о м е н е леса.
Ответы 929
П о э т о м у вам следует р е г у л я р н о просматривать объекты в контейнерах
L o s t A n d F o u n d и L o s t A n d F o u n d C o n f i g , чтобы перемещать эти объекты в новые
к о н т е й н е р ы и л и просто у д а л я т ь их из каталога.
Д л я п р о в е р к и контейнера LostAndFound в дочернем домене используйте
с л е д у ю щ у ю процедуру.
1. В Д и с п е т ч е р е сервера (Server Manager) перейдите в узел Active Directory —
п о л ь з о в а т е л и и к о м п ь ю т е р ы (Active Directory Users And Computers).
2. Щ е л к н и т е м е н ю Вид (View), установите флажок Дополнительные компо-
ненты (Advanced Features), разверните дерево, а затем щелкните контейнер
L o s t A n d F o u n d .
3. И д е н т и ф и ц и р у й т е объекты, локализованные в этом контейнере. Перемес-
т и т е их в д р у г и е к о н т е й н е р ы и л и удалите из каталога. Удаляйте объекты
осторожно. Перед удалением просмотрите свойства объекта. Иногда объект
л у ч ш е всего переместить и деактивировать. Помните, что SID-идептифи-
к а т о р у д а л е н н о г о объекта н е л ь з я восстановить.
Глава 14. Ответы на вопросы занятий
Занятие 1
1 . П р а в и л ь н ы й о т в е т : В .
A. Н е п р а в и л ь н ы й Перед запуском еще одной операции установки не-
о б х о д и м о з а в е р ш и т ь т е к у щ и е процессы установки. Кроме того, при
и с п о л ь з о в а н и и к о м а н д н о й строки довольно сложно определить завер-
ш е н и е у с т а н о в к и , е с л и не применить команду Start/w, которая воз-
в р а щ а е т к о м а н д н у ю строку только после завершения операции. После
п е р е з а г р у з к и п р о ц е с с ы установки будут продолжены и вы опять не
с м о ж е т е у д а л и т ь AD LDS.
Б. Н е п р а в и л ь н ы й Диспетчер сервера (Server Manager) не решит пробле-
му, п о с к о л ь к у перед удалением роли необходимо удалить все экземп-
л я р ы A D LDS.
B. П р а в и л ь н ы й Перед удалением роли на сервере необходимо удалить
все с у щ е с т в у ю щ и е э к з е м п л я р ы AD LDS. После удаления всех экземп-
л я р о в м о ж н о удалить роль AD LDS. Это одна из причин, по которым
н е о б х о д и м а документация экземпляров AD LDS.
Г. Н е п р а в и л ь н ы й Команда Oclist предоставит имена всех ролей и ком-
понентов, которые можно использовать в команде Ocsetup. Однако речь
идет о полной установке Windows Server 2008, поскольку вы имеете до-
ступ к Диспетчеру сервера (Server Manager). Команда Oclist не работает
в полной установке.
З а н я т и е 2
1. П р а в и л ь н ы й ответ: Г.
А. Н е п р а в и л ь н ы й Все экземпляры AD LDS располагают схемой, и схемы
всех экземпляров можно редактировать. Это одна из причин, по которым
для интеграции приложений вместо AD DS следует использовать AD LDS.
| 9 3 0 Ответы
I – – '
' Б. Неправильный С помощь к о м а н д ы LDP.exe. м о ж н о в н о с и т ь изменения
I в экземпляр, но м о д и ф и к а ц и и с х е м ы н у ж н о в ы п о л н я т ь с п о м о щ ь ю ос-
J настки Схема Active D i r e c t o r y ( A c t i v e D i r e c t o r y S c h e m a ) .
I В. Неправильный Посредством ф а й л о в L D I F и команды LDTFDE.exe мож-
I но вносить изменения в э к з е м п л я р , но м о д и ф и к а ц и и схемы н у ж н о вы-
полнять с помощью оснастки С х е м а Active D i r e c t o r y ( A c t i v e D ir e c t ory
Schema).
Г. Правильный При и с п о л ь з о в а н и и к о м а н д ы у с т а н о в к и AD L D S S e t u p
для создания э к з е м п л я р о в с н о м е р а м и п о р т о в по у м о л ч а н и ю , п е р в ы м
портом, используемым н а р я д о в ы х с е р в е р а х , б у д е т 3 8 9 – й . Н а п р и м е р ,
для подключения к первому э к з е м п л я р у н е о б х о д и м о и с п о л ь з о в а т ь под-
ключение Instance01:389. Н о п о с к о л ь к у в а ш а с х е м а д о м е н н ы х с л у ж б
Active Directory т а к ж е з а д е й с т в у е т п о р т 389, а в а ш с е р в е р – член до-
мена, оснастка С х е м а Active D i r e c t o r y ( A c t i v e D i r e c t o r y S c h e m a ) не
подключится к экземпляру. Э т о одна из п р и ч и н , по к о т о р ы м никогда
не следует использовать порт 389 д л я э к з е м п л я р о в AD L D S в домене.
Глава 14. Ответы на вопросы сценария
Сценарий. Определение п р е д в а р и т е л ь н ы х р е к в и з и т о в A D L D S
Вы просматриваете и н ф о р м а ц и ю о т е х н о л о г и и AD L D S на в е б – с а й т е M i c r o s o f t
TechNet Center и получаете с л е д у ю щ и е ответы.
1. Для каждого сервера, к о т о р ы й будет у п р а в л я т ь э к з е м п л я р а м и AD L D S ,
необходимо создать д и с к данных. П о с к о л ь к у э т и с е р в е р ы б у д у т у п р а в л я т ь
хранилищами каталогов, п о с л е д н и е п о т р е б у е т с я р а з м е с т и т ь на д и с к е отде-
льно от диска с операционной системой, а д л я у п р о щ е н и я и д е н т и ф и к а ц и и
хранилища следует поместить в о т д е л ь н ы е п а п к и .
2. Для идентификации э к з е м п л я р о в всегда н у ж н о в ы б и р а т ь п о н я т н ы е имена.
Например, в ы можете и с п о л ь з о в а т ь и м я п р и л о ж е н и я , к о т о р о е п р и в я з ы в а -
ется к экземпляру. Им ена э к з е м п л я р о в с л у ж а т д л я и д е н т и ф и к а ц и и экзем-
пляра на локальном компьютере, а т а к ж е д л я и д е н т и ф и к а ц и и и и м е н о в а -
ния файлов экземпляра и п о д д е р ж и в а ю щ е й его с л у ж б ы . И м е н а не могут
содержать пробелы и особые с и м в о л ы .
3. Для коммуникаций AD L D S и AD DS и с п о л ь з у ю т о д н и и те же п о р т ы :
LDAP-порт 389 по у м о л ч а н и ю и п о р т L D A P ч е р е з S S L ( S e c u r e Sockets
Layer) или Secure L D A P с н о м е р о м 636. В DA DS и с п о л ь з у ю т с я два допол-
нительных порта: 3268, который задействует L D A P д л я п о л у ч е н и я доступа
к глобальному каталогу, и порт 3269, к о т о р ы й с т о й же ц е л ы о о б р а щ а е т с я
к Secure LDAP. Поскольку AD DS и AD L D S з а д е й с т в у ю т о д н и и те же
порты, следует завести п р и в ы ч к у и с п о л ь з о в а т ь д л я э к з е м п л я р о в A D L D S
порты после 50 ООО. Это гарантирует их о б о с о б л е н и е от с л у ж б AD LDS,
в частности если э к з е м п л я р у с т а н о в л е н в н у т р и д о м е н а . К р о м е того, на)
каждом экземпляре AD L D S следует у с т а н о в и т ь с е р т и ф и к а т ы P K I д л я ис-1
пользования Secure L D A P в к о м м у н и к а ц и я х и у п р а в л е н и и . Таким образом
вы сможете воспрепятствовать м а н и п у л я ц и я м и л и о б н а р у ж е н и ю данных
AD LDS.
Ответы 93"|
4. В и д е а л е к а ж д ы й э к з е м п л я р AD L D S д о л ж е н использовать раздел при-
л о ж е н и й , д а ж е е с л и р е п л и к а ц и я не требуется. Создание раздела каталога
п р и л о ж е н и й у п р о щ а е т у п р а в л е н и е э к з е м п л я р о м при помощи различных
и н с т р у м е н т о в .
5. Э к з е м п л я р ы с л е д у е т з а п у с к а т ь с у ч е т н о й записью службы. Вы можете ис-
п о л ь з о в а т ь у ч е т н у ю з а п и с ь Сетевая служба (Network Service), однако если
в ы п л а н и р у е т е з а п у с к а т ь м н о ж е с т в о экземпляров, д л я каждого экземпля-
ра р е к о м е н д у е т с я п р и м е н я т ь и м е н о в а н н ы е учетные записи служб. Таким
о б р а з о м , в ы б у д е т е т о ч н о знать, к о г д а э к з е м п л я р в ы п о л н я е т операции,
п о с к о л ь к у м о ж е т е п р о с м о т р е т ь о п е р а ц и и входа учетной записи службы
в о с н а с т к е П р о с м о т р с о б ы т и й ( E v e n t Viewer).
Глава 15. Ответы на вопросы занятий
Занятие 1
1. П р а в и л ь н ы е о т в е т ы : Б и В.
A. Н е п р а в и л ь н ы й Х о т я к о м а н д у Certutil.exe м о ж н о использовать для
з а г р у з к и с е р т и ф и к а т о в , вы можете в ы п о л н и т ь эту задачу и с помощью
м а с т е р а .
Б. П р а в и л ь н ы й Н е к о р р е к т н о з а д а н ы права доступа к шаблонам серти-
ф и к а т о в . Ч т о б ы в р у ч н у ю з а г р у з и т ь с е р т и ф и к а т ы н а сервер, учетная
з а п и с ь п о л ь з о в а т е л я д о л ж н а иметь разрешение на отзыв. Кроме того,
с е р в е р , на к о т о р ы й з а г р у ж а е т с я сертификат, также должен иметь раз-
р е ш е н и е н а о т з ы в . Д л я н а с т р о й к и п р а в доступа шаблон необходимо
с о з д а т ь и в ы д а т ь заново.
B. П р а в и л ь н ы й Вам необходимо иметь возможность загрузки сертифи-
к а т а O S C P на этот сервер, п о с к о л ь к у он с л у ж и т сетевым ответчиком.
Г. Н е п р а в и л ь н ы й С е р т и ф и к а т с р а з р е ш е н и е м автоматической подачи
з а я в о к д о л ж е н з а г р у ж а т ь с я автоматически, а его загрузке вручную могут
п р е п я т с т в о в а т ь т о л ь к о права доступа.
