Microsoft Administering Windows Server Hybrid Core Infrastructure (AZ-800日本語版) - AZ-800日本語 FREE EXAM DUMPS QUESTIONS & ANSWERS
タスク9
ドメイン内のすべてのコンピュータが、adatum.com ゾーン内の名前解決に DNSSEC を使用するようにする必要があります。
ドメイン内のすべてのコンピュータが、adatum.com ゾーン内の名前解決に DNSSEC を使用するようにする必要があります。
Correct Answer:
See the solution of this Task below.
Explanation:
To ensure that all computers in the domain use DNSSEC to resolve names in the adatum.com zone, you'll need to configure both the DNS servers a nd the client computers. Here's how you can do it:
Step 1: Sign the adatum.com Zone First, you need to sign the adatum.com DNS zone. This can be done using the DNS Manager or PowerShell. Here's a PowerShell example:
Add-DnsServerSigningKey -ZoneName " adatu m.com " -CryptoAlgorithm RsaSha256 Set-DnsServerDnsSecZoneSetting -ZoneName " adatum.com " -DenialOfExistence NSEC3 - NSEC3Parameters 1,0,10, " " This will add a signing key and configure DNSSEC for the zone with NSEC3 parameters.
Step 2: Configure DNS Servers E nsure that your DNS servers are configured to support DNSSEC. This includes setting up trust anchors for the zones that you want to validate and configuring the DNS servers to provide DNSSEC validation for DNS queries.
Step 3: Configure DNS Clients For DNS SEC validation to occur on the client side, the client computers must be configured to trust the DNS server's validation process. This typically involves configuring the client's DNS settings to point to a DNS server that supports DNSSEC.
Step 4: Validate Configuration You can validate that DNSSEC is working correctly by using tools like nslookup or dig to query DNS records and check for the presence of DNSSEC signatures in the responses.
Note: The exact steps may vary depending on your environment and the version of Windows Server you are using. Ensure that you have the appropriate administrative rights to make these changes and that you test the configuration in a controlled environment before deploying it domain-wide12.
By following these steps, you shoul d be able to ensure that all computers in your domain use DNSSEC to resolve names in the adatum.com zone.
Explanation:
To ensure that all computers in the domain use DNSSEC to resolve names in the adatum.com zone, you'll need to configure both the DNS servers a nd the client computers. Here's how you can do it:
Step 1: Sign the adatum.com Zone First, you need to sign the adatum.com DNS zone. This can be done using the DNS Manager or PowerShell. Here's a PowerShell example:
Add-DnsServerSigningKey -ZoneName " adatu m.com " -CryptoAlgorithm RsaSha256 Set-DnsServerDnsSecZoneSetting -ZoneName " adatum.com " -DenialOfExistence NSEC3 - NSEC3Parameters 1,0,10, " " This will add a signing key and configure DNSSEC for the zone with NSEC3 parameters.
Step 2: Configure DNS Servers E nsure that your DNS servers are configured to support DNSSEC. This includes setting up trust anchors for the zones that you want to validate and configuring the DNS servers to provide DNSSEC validation for DNS queries.
Step 3: Configure DNS Clients For DNS SEC validation to occur on the client side, the client computers must be configured to trust the DNS server's validation process. This typically involves configuring the client's DNS settings to point to a DNS server that supports DNSSEC.
Step 4: Validate Configuration You can validate that DNSSEC is working correctly by using tools like nslookup or dig to query DNS records and check for the presence of DNSSEC signatures in the responses.
Note: The exact steps may vary depending on your environment and the version of Windows Server you are using. Ensure that you have the appropriate administrative rights to make these changes and that you test the configuration in a controlled environment before deploying it domain-wide12.
By following these steps, you shoul d be able to ensure that all computers in your domain use DNSSEC to resolve names in the adatum.com zone.
注: この質問は、同じシナリオを提示する一連の質問の一部です。シリーズの各質問には、指定された目標を達成できる独自のソリューションが含まれています。問題セットには、複数の正解があるものもあれば、正解がないものもあります。
このセクションの質問に回答すると、その質問に戻ることはできなくなります。そのため、これらの質問はレビュー画面に表示されません。
ネットワークには、contoso.com という名前の Active Directory Domain Services (AD DS) ドメインが含まれています。
ドメインの PDC エミュレーターであるサーバーを特定する必要があります。
解決策: [Active Directory ドメインと信頼関係] で、コンソール ツリーの [Active Directory ドメインと信頼関係] を右クリックし、[操作マスター] を選択します。
これは目標を満たしていますか?
このセクションの質問に回答すると、その質問に戻ることはできなくなります。そのため、これらの質問はレビュー画面に表示されません。
ネットワークには、contoso.com という名前の Active Directory Domain Services (AD DS) ドメインが含まれています。
ドメインの PDC エミュレーターであるサーバーを特定する必要があります。
解決策: [Active Directory ドメインと信頼関係] で、コンソール ツリーの [Active Directory ドメインと信頼関係] を右クリックし、[操作マスター] を選択します。
これは目標を満たしていますか?
Correct Answer: B
Vote an answer
Explanation: Only visible for FreeCram members. You can sign-up / login (it's free).
タスク3
contoso.com に Admin1 という名前のユーザーを 3 人作成する必要があります。Admin1 は SRV1 上のファイルのバックアップと復元を実行できる必要があります。このソリューションは最小権限の原則に従う必要があります。
contoso.com に Admin1 という名前のユーザーを 3 人作成する必要があります。Admin1 は SRV1 上のファイルのバックアップと復元を実行できる必要があります。このソリューションは最小権限の原則に従う必要があります。
Correct Answer:
See the solution of this Task below.
Explanation:
TASK 3
# Objective:
Create a user named Admin 1 in contoso.com.
Admin1 must be able to back up and restore files on SRV1.
Follow the principle of least privilege.
Step-by-Step Guide
# Step 1: Create the User Account
Log in to a Domain Controller (e.g., DC1) with appropriate admin rights.
Open Active Directory Users and Computers (dsa.msc).
In the contoso.com domain:
Right-click the Users container or another OU where you want to create the account.
Select New > User.
Enter the following:
First name: Admin1
User logon name: Admin1
Click Next and set a password (ensure it meets the domain's password policy).
Configure password options (e.g., User must change password at next logon, if required).
Click Finish.
# Step 2: Grant Backup and Restore Rights on SRV1
By default, Backup Operators have the abili ty to back up and restore files (without giving full admin rights).
Log in to SRV1 (the target server).
Open Computer Management (compmgmt.msc).
In the left pane, expand:
System Tools > Local Users and Groups > Groups.
Find and double-click the Backup Oper ators group.
Click Add.
In the Select Users, Computers, Service Accounts, or Groups window:
Type Admin1.
Click Check Names to resolve the user.
Click OK to add Admin1 to the group.
Click OK again to close the Backup Operators group properties.
# Step 3: Verify Access
Log in as Admin1 on SRV1 and test performing backup and restore operations using tools like Windows Server Backup.
Since Backup Operators can back up and restore data but do not have full administrative privileges, this follows the least priv ilege principle.
# Additional Notes
If you prefer using PowerShell, you can add the user to the group like this on SRV1:
Add-LocalGroupMember -Group " Backup Operators " -Member " contoso\Admin1 "
Explanation:
TASK 3
# Objective:
Create a user named Admin 1 in contoso.com.
Admin1 must be able to back up and restore files on SRV1.
Follow the principle of least privilege.
Step-by-Step Guide
# Step 1: Create the User Account
Log in to a Domain Controller (e.g., DC1) with appropriate admin rights.
Open Active Directory Users and Computers (dsa.msc).
In the contoso.com domain:
Right-click the Users container or another OU where you want to create the account.
Select New > User.
Enter the following:
First name: Admin1
User logon name: Admin1
Click Next and set a password (ensure it meets the domain's password policy).
Configure password options (e.g., User must change password at next logon, if required).
Click Finish.
# Step 2: Grant Backup and Restore Rights on SRV1
By default, Backup Operators have the abili ty to back up and restore files (without giving full admin rights).
Log in to SRV1 (the target server).
Open Computer Management (compmgmt.msc).
In the left pane, expand:
System Tools > Local Users and Groups > Groups.
Find and double-click the Backup Oper ators group.
Click Add.
In the Select Users, Computers, Service Accounts, or Groups window:
Type Admin1.
Click Check Names to resolve the user.
Click OK to add Admin1 to the group.
Click OK again to close the Backup Operators group properties.
# Step 3: Verify Access
Log in as Admin1 on SRV1 and test performing backup and restore operations using tools like Windows Server Backup.
Since Backup Operators can back up and restore data but do not have full administrative privileges, this follows the least priv ilege principle.
# Additional Notes
If you prefer using PowerShell, you can add the user to the group like this on SRV1:
Add-LocalGroupMember -Group " Backup Operators " -Member " contoso\Admin1 "
Azure Active Directory (Azure AD) テナントと同期するオンプレミスの Active Directory Domain Services (AD DS) ドメインがある Azure AD ハイブリッドに参加している Windows 10 デバイスがいくつかあります。
ユーザーがデバイスにサインインするときに、Windows Hello for Business を使用できるようにする必要があります。
Azure AD Connect でどのオプション機能を選択する必要がありますか?
ユーザーがデバイスにサインインするときに、Windows Hello for Business を使用できるようにする必要があります。
Azure AD Connect でどのオプション機能を選択する必要がありますか?
Correct Answer: B
Vote an answer
Explanation: Only visible for FreeCram members. You can sign-up / login (it's free).
Windows Server を実行する VM1 という名前の Azure 仮想マシンがあります。
リモート デスクトップ接続を確立する前に、管理者が VM1 へのアクセスを要求していることを確認する必要があります。
何を設定すればよいでしょうか?
リモート デスクトップ接続を確立する前に、管理者が VM1 へのアクセスを要求していることを確認する必要があります。
何を設定すればよいでしょうか?
Correct Answer: B
Vote an answer
Explanation: Only visible for FreeCram members. You can sign-up / login (it's free).
注: この質問は、同じシナリオを提示する一連の質問の一部です。一連の質問にはそれぞれ、定められた目標を満たす独自の解決策が含まれています。質問セットによっては、正しい解決策が複数ある場合もあれば、正しい解決策がない場合もあります。
このセクションで質問に答えた後は、そのセクションに戻ることはできません。そのため、これらの質問はレビュー画面に表示されません。
Windows Server 2022 を実行し、DHCP サーバーの役割を持つ Server1 という名前のサーバーがあります。Server1 には、Scope1 という名前の単一の DHCP スコープが含まれています。
5 台のプリンターをネットワークに展開します。
プリンタに常に同じ IP アドレスが割り当てられていることを確認する必要があります。
解決策: プリンターごとに DHCP アドレスの除外を作成します。
これは要件を満たしていますか?
このセクションで質問に答えた後は、そのセクションに戻ることはできません。そのため、これらの質問はレビュー画面に表示されません。
Windows Server 2022 を実行し、DHCP サーバーの役割を持つ Server1 という名前のサーバーがあります。Server1 には、Scope1 という名前の単一の DHCP スコープが含まれています。
5 台のプリンターをネットワークに展開します。
プリンタに常に同じ IP アドレスが割り当てられていることを確認する必要があります。
解決策: プリンターごとに DHCP アドレスの除外を作成します。
これは要件を満たしていますか?
Correct Answer: B
Vote an answer
Explanation: Only visible for FreeCram members. You can sign-up / login (it's free).
Active Directoryドメインサービス(AD DS)ドメインに、Group1という名前のグループが含まれています。
Account1という名前のグループ管理サービスアカウント(gMSA)を作成する必要があります。ソリューションは、Group1がAccount1を使用できるようにする必要があります。
スクリプトをどのように完成させるべきですか?回答するには、回答欄で適切なオプションを選択してください。注:正解ごとに1ポイントが加算されます。

Account1という名前のグループ管理サービスアカウント(gMSA)を作成する必要があります。ソリューションは、Group1がAccount1を使用できるようにする必要があります。
スクリプトをどのように完成させるべきですか?回答するには、回答欄で適切なオプションを選択してください。注:正解ごとに1ポイントが加算されます。

Correct Answer:

Explanation:

In the Administering Windows Server Hybrid Core In frastructure materials for managing identity and AD DS, the guidance for creating group Managed Service Accounts (gMSAs) states that you use the New- ADServiceAccount cmdlet to create the account object and define both its service DNS identity and which pri ncipals are permitted to use it. The document explains:
"Use New-ADServiceAccount to create a group managed service account . Specify the service name with - DNSHostName for SPN/DNS association. To control which computers or groups are allowed to run services under the gMSA, provide those principals with -PrincipalsAllowedToRetrieveManagedPassword . These security principals are then authorized to retrieve the managed password and use the account on the member servers." And further:
"The -PrincipalsAllowedToRetrieveManagedPassword parameter accepts computer accounts or security groups . Adding a group simplifies delegation-any computer that is a member of that group can use the gMSA without further modification." Applying this to the scenar io, to create Account1 and ensure the domain group Group1 can use it, the correct script is:
New-ADServiceAccount " Account1 " -DNSHostName " website.contoso.com " - PrincipalsAllowedToRetrieveManagedPassword " Group1 " This satisfies the requirement by creating the gMSA and explicitly granting Group1 the right to retrieve and use the managed password on allowed hosts.
Server1という名前のサーバーがあり、そこにHyper-Vサーバーの役割がインストールされています。Server1は、次の図に示す仮想マシンをホストしています。

図に示された情報に基づいて、各記述を完成させる選択肢をドロップダウンメニューを使用して選択してください。
注:正解ごとに1ポイントが加算されます。


図に示された情報に基づいて、各記述を完成させる選択肢をドロップダウンメニューを使用して選択してください。
注:正解ごとに1ポイントが加算されます。

Correct Answer:

Explanation:
[Answer choice] can have production checkpoints. = VM1, VM2, and VM3
[Answer choice] can be hibernated. = Only VM1 and VM2
Server1という名前のWindowsサーバーがあります。
Server1に、Disk1とDisk2という名前の4TBのハードディスクドライブを2台追加します。
ドライブをフォーマットする必要があります。解決策は以下の要件を満たす必要があります。
* Disk1はディスクレベルのクォータをサポートしている必要があります。
* ディスク2はデータ重複排除に対応している必要があります。
各ドライブにはどのタイプのファイルシステムを使用すべきですか?回答するには、回答欄で適切なオプションを選択してください。
注:正解ごとに1ポイントが加算されます。

Server1に、Disk1とDisk2という名前の4TBのハードディスクドライブを2台追加します。
ドライブをフォーマットする必要があります。解決策は以下の要件を満たす必要があります。
* Disk1はディスクレベルのクォータをサポートしている必要があります。
* ディスク2はデータ重複排除に対応している必要があります。
各ドライブにはどのタイプのファイルシステムを使用すべきですか?回答するには、回答欄で適切なオプションを選択してください。
注:正解ごとに1ポイントが加算されます。

Correct Answer:

Explanation:
Disk1: NTFS only
Disk2: NTFS or ReFS only
The Windows Server Hybrid Core Infrastructure objectives specify that disk (volume) quotas-the classic per- user/per-volume quota feature exposed in the volume's properties-are a capability of NTFS. The guidance states that "NTFS supports user and volume quotas that can be configured per volume; ReFS does not implement the legacy NTFS disk-quota mechanism." Therefore, to meet the requirement that Disk1 must support disk-level quotas, the volume must be formatted as NTFS.
For Data Deduplication, the storage module explains that Data Deduplication is a file-system feature available on modern Windows Server versions and that it is "supported on NTFS volumes and on ReFS volumes beginning with Windows Se rver 2019/2022 scenarios." The same materials emphasize that exFAT doesn't support Windows Server features such as quotas or dedup. Consequently, to satisfy the requirement that Disk2 must support Data Deduplication, you can format Disk2 as NTFS or ReFS; both file systems are valid for dedup workloads on current Windows Server releases, while exFAT is not.
Thus:
* Disk1 # NTFS only (to enable disk-level quotas).
* Disk2 # NTFS or ReFS only (to enable Data Deduplication).
オンプレミスの Active Directory ドメイン サービス (AD DS) ドメインがあり、Azure Active Directory (Azure AD) テナントと同期しています。オンプレミス ネットワークは、サイト間 VPN を使用して Azure に接続されています。次の表に示す DNS ゾーンがあります。

fabrikam.com の名前がオンプレミス ネットワークから解決できることを確認する必要があります。実行すべき 2 つのアクションはどれですか? 各正解はソリューションの一部を示しています。注: 各正解は 1 ポイントです

fabrikam.com の名前がオンプレミス ネットワークから解決できることを確認する必要があります。実行すべき 2 つのアクションはどれですか? 各正解はソリューションの一部を示しています。注: 各正解は 1 ポイントです
Correct Answer: B,D
Vote an answer
Explanation: Only visible for FreeCram members. You can sign-up / login (it's free).
お客様のネットワークには、Contoso.com という名前の 2 つのドメインからなるオンプレミスの Active Directory ドメイン サービス (AD DS) フォレストが含まれています。このフォレストには、次の表に示すドメイン コントローラーが含まれています。

Site3 という名前の Active Directory サイトを作成します。Site1、Site2、Site3 はそれぞれ、ハブサイトへの専用のサイトリンクを持ちます。
Site3では、Server1という名前の新しいサーバーをインストールします。
インストールメディア(IFM)オプションを使用して、Server1をchild.contoso.comのROOCに昇格させる必要があります。このソリューションは、ネットワークトラフィックを最小限に抑える必要があります。
どうすべきでしょうか?回答欄で適切な選択肢を選んでください。
注:正解ごとに1ポイントが加算されます。


Site3 という名前の Active Directory サイトを作成します。Site1、Site2、Site3 はそれぞれ、ハブサイトへの専用のサイトリンクを持ちます。
Site3では、Server1という名前の新しいサーバーをインストールします。
インストールメディア(IFM)オプションを使用して、Server1をchild.contoso.comのROOCに昇格させる必要があります。このソリューションは、ネットワークトラフィックを最小限に抑える必要があります。
どうすべきでしょうか?回答欄で適切な選択肢を選んでください。
注:正解ごとに1ポイントが加算されます。

Correct Answer:

Explanation:
Within the Administering Windows Server Hybrid Core Infrastructure content for AD DS deployment, Microsoft specifies that Install From Media (IFM) for promoting a domain controller-especially a Read- Only Domain Con troller (RODC) -must be created from a writable domain controller in the same target domain . The guide explains that IFM "pre-stages the AD DS database so that the promotion consumes far less replication traffic," and it emphasizes: "RODC IFM cannot be gene rated from an RODC; it must be created on a writable DC of the destination domain." It also clarifies tool choice: "Use ntdsutil ifm to generate media for a writable DC or an RODC. The media is then used during promotion to avoid full initial replication a cross the network." Applied here: the server to be promoted (Server1) will be an RODC in child.contoso.com . The only writable DC in that domain shown is DC2 (Domain-wide FSMO holder for child. contoso.com ), making it the correct and traffic-efficient source . DC1 and RODC3 are in contoso.com (parent domain), so neither meets the requirement; additionally, an RODC cannot be used as an IFM source . Regarding tooling, the documentation notes that Windows Server Backup is for system-state backup/restore and is not the supported method to generate IFM media ; the prescribed tool is Ntdsutil.exe with the IFM context .
Therefore, to minimize network traffic and satisfy Azure/AD DS best practices, create the IFM media on DC2 using Ntdsutil.exe and then promote Server1 wi th that media.
Azure DNSプライベートリゾルバーに対して、計画されている変更を実装する必要があります。
名前解決に使用できるプライベートDNSゾーンはどれですか?
名前解決に使用できるプライベートDNSゾーンはどれですか?
Correct Answer: C
Vote an answer
Explanation: Only visible for FreeCram members. You can sign-up / login (it's free).
次の表に示すドライブを含む VM1 という名前の Azure 仮想マシンがあります。

VM1 には、App1 という名前のアプリをインストールする予定です。App1 のデータは、ドライブ D に割り当てられた永続データ ディスクに保存する必要があります。
データ ディスクをドライブ D に割り当てる必要があります。
まず VM1 で何をすべきでしょうか?

VM1 には、App1 という名前のアプリをインストールする予定です。App1 のデータは、ドライブ D に割り当てられた永続データ ディスクに保存する必要があります。
データ ディスクをドライブ D に割り当てる必要があります。
まず VM1 で何をすべきでしょうか?
Correct Answer: C
Vote an answer
Explanation: Only visible for FreeCram members. You can sign-up / login (it's free).
ネットワーク管理アプリケーションを実行する Server1 という名前の Azure 仮想マシンがあります。Server1 のネットワーク構成は次のとおりです。
* ネットワーク インターフェイス.Nic1
* IP アドレス 10.1.1.1/24
※接続先:Vnet1/Subnet1
Server1 を Vnet1/Subnet2 という名前の追加のサブネットに接続する必要があります。
あなたは何をするべきか?
* ネットワーク インターフェイス.Nic1
* IP アドレス 10.1.1.1/24
※接続先:Vnet1/Subnet1
Server1 を Vnet1/Subnet2 という名前の追加のサブネットに接続する必要があります。
あなたは何をするべきか?
Correct Answer: C
Vote an answer
Explanation: Only visible for FreeCram members. You can sign-up / login (it's free).