70-410日本語版復習指南質問236：ネットワークにcontoso.comという名前のActive Directoryドメインが含まれています。ネットワークには、Windows Server 2012 R2を実行するServer1という名前のメンバサーバーが含まれています。

<<前へ次へ>>

質問 236/306

ネットワークにcontoso.comという名前のActive Directoryドメインが含まれています。ネットワークには、Windows Server 2012 R2を実行するServer1という名前のメンバサーバーが含まれています。 Server1にはDNSサーバーサーバーの役割がインストールされており、contoso.comのプライマリゾーンがあります。
Active Directoryドメインには500のクライアントコンピュータが含まれています。ワークグループにはさらに20台のコンピュータがあります。
ネットワーク上のすべてのクライアントコンピュータがそのレコードをcontoso.comゾーンに追加できることがわかります。
Active Directoryドメイン内のクライアントコンピュータのみがcontoso.comゾーンのレコードを登録できるようにする必要があります。
あなたはまず何をすべきですか？

A. contoso.comゾーンをDNSサーバーとして構成されているドメインコントローラーに移動します。 B. contoso.comゾーンの動的更新設定を構成します。 C. DNSSECを使用してcontoso.comゾーンに署名する D. contoso.comゾーンのセキュリティ設定を構成します。

正解：A

説明/参照：
Explanation:
DC以外のサーバーにDNSサーバーをインストールすると、AD統合ゾーンを作成できなくなります。 DNS更新セキュリティは、AD DSに統合されているゾーンでのみ使用できます。ディレクトリにゾーンを統合すると、指定されたゾーンまたはリソースレコードのACLからユーザーまたはグループを追加または削除できるように、アクセス制御リスト（ACL）の編集機能がDNSマネージャで使用できます。
Active DirectoryのDNSドメイン名は、単一のラベル名ではありません（「DOMAIN」と最小値

"domain.com"の要件"domain.local"など）。
プライマリDNSサフィックスは、更新を許可しているゾーン名と一致していなければなりません。それ以外の場合、クライアント

どのゾーン名を登録するのかはわかりません。プライマリDNSサフィックスに加えて、別の接続固有のサフィックスを追加して、そのゾーンに登録することもできます。
AD / DNSゾーンは、セキュアかセキュアか非セキュアかを問わず、動的更新を許可するように構成する必要があります（MUST）

安全です。クライアントマシンの場合、クライアントがドメインに参加しておらず、ゾーンがセキュアに設定されている場合、クライアントは登録されません。
ADゾーン名のコピーをホストするDNSサーバーのみを使用するか、getを参照する必要があります

彼らへ。 ISP、外部DNSアドレス、ルータをDNSアドレス、またはADゾーンのコピーを持たない他のDNSとして使用しないでください。ルートサーバー（ルートヒント）によってコンピュータのインターネット解像度が達成されますが、効率的なインターネット解決のためにフォワーダを構成することをお勧めします。
ドメインコントローラはマルチホームです（これは、複数の未稼働のアクティブなNICがあることを意味します）

1つのIPアドレスよりも、および/またはRRASがDCにインストールされている）。
クライアントのIPプロパティで設定されたDNSアドレスは、DNSサーバーのみを参照する必要があります。

更新するADゾーンをホストします。これは、AD環境内の任意のマシンのIPプロパティで外部DNSを使用しないことを意味します。それらを混在させることはできません。これは、DNSクライアント側リゾルバサービスが動作する方法のためです。内部DNSとISPのDNSアドレスが混在していても、リゾルバアルゴリズムは正しいDNSサーバに依頼することができます。最初に最初に質問します。レスポンスが得られない場合は、対象のリゾルバリストから最初のものを削除し、リストの次のものに移動します。マシンを再起動しないか、DNSクライアントサービスを再起動したり、レジストリエントリを設定してクエリのTTLを0にする必要はありません。ルールは、内部DNSサーバーのみを使用して、効率的なインターネット解決のためにISPのDNSに転送します。
これは、クエリを0に切り詰めるregエントリです。TTL：
DNSクライアントサービスは、最初のサーバーを使用して元の状態に戻りません。 Windows 2000ドメインネームシステム（DNS）クライアントサービス（DNSキャッシュ）は、DNSサーバーを使用する順序を決定するときに特定のアルゴリズムに従います。
DHCPクライアントの場合、クライアントのDHCPオプション006は同じDNSサーバーに設定されます。

8. DHCPを使用する場合、DHCPサーバは、それ自身のIPで同じ正確なDNSサーバを参照するだけでなければなりません

プロパティを設定してDNSへの登録を強制します。それ以外の場合、regデータをどのDNSに送信するのかはどのように分かりますか？
AD DNSドメイン名が "EXAMPLE"などの単一のラベル名であり、適切な形式ではない場合

"example.com"および/または "child1.example.com"のような形式の子であれば、本当に大きな問題があります。
DNSは単一のラベルドメイン名への登録を許可しません。
これには2つの理由があります。
これは適切な階層形式ではありません。 DNSは階層的ですが、単一のラベル名には階層がありません。それは

ただ一つの名前。
登録の試行は、ルートサーバーへの主要なインターネットクエリを引き起こします。どうして？それは

「EXAMPLE」などの単一ラベル名は、「com」、「net」などのTLD（トップレベルドメイン）です。ここでは、そのルート・ネーム・サーバーがそのTLDを処理するかどうかを調べようとします。結局それはそれ自身に戻り、登録しようとします。残念ながら、それはTLDだと思う単なる理由のためにそれ自身を最初に尋ねることはありません。（Alan Woods、Microsoft、2004より引用）：
「ISCは、ISNが単一のラベル名でMicrosoft DNSサーバーが過度のトラフィックを引き起こしていることを発見したこの過度のルートクエリトラフィックのために、インターネットに優しいネイバーであり、結局のところ、DNSは階層的なので、なぜ単一ラベルのDNSドメイン名を許可するのでしょうか？ "上記は*特に* Windows Vista、7、2008、2008 R2、およびそれ以降に適用されます。
クライアントの[この接続のアドレスを登録する]は、NICのIPプロパティの[DNS]タブでは有効になっていません。

セキュリティ更新を強制するGPOが設定されていて、そのマシンが

ドメイン。
2000、2003およびXPでは、「DHCPクライアント」サービスは実行されていません。 2008 / Vista以降では、DNS

顧客サービス。これは、クライアントが実際にDHCPを使用していなくても、DNS登録とDNS解決の要件です。
また、DNSゾーンをきれいに保つだけでなく、登録クライアントを強制的に使用するようにDHCPを構成することもできます

古いエントリまたは重複したエントリ。私が前の投稿に投稿したリンク。

質問 236/306

コメントを発表する

Download PDF File