ケーススタディ1 - Fabrikam, Inc
概要
Fabrikam, Inc は、ニューヨークに本社、シアトルに支社を持つ製造会社です。
既存の環境
オンプレミスサーバー
オンプレミス ネットワークには、次の表に示すように、Windows Server を実行するサーバーが含まれています。
DC1 はすべての操作マスター ロールをホストします。
WEB1 と WEB2 は、Webapp1 という名前のインターネット インフォメーション サービス (IIS) Web アプリを実行します。
オンプレミスネットワーク
ニューヨークとシアトルのオフィスは冗長化された WAN リンクを使用して接続されています。
各オフィスのクライアント コンピュータは、ローカル DHCP サーバーから IP アドレスを取得します。
DHCP1 には、ニューヨーク オフィスのアドレスを含む Scope1 というスコープが含まれ、DHCP2 には、シアトル オフィスのアドレスを含む Scope2 というスコープが含まれます。
アイデンティティインフラストラクチャ
ネットワークには、corp.falbrikam.com というオンプレミスの Active Directory ドメイン サービス (AD DS) ドメインが 1 つ含まれています。現在、すべてのサービス アカウントは個別のドメイン ユーザー アカウントを使用しています。
すべてのドメイン コントローラーには DNS サーバー ロールがインストールされており、corp.fabrikam.com の Active Directory 統合 DNS ゾーンのコピーをホストします。
corp.fabrikam.com AD DS ドメインは、Azure Active Directory (Azure AD) テナントと同期します。
グループ ポリシー オブジェクト (GPO)
corp.fabrikam.com ドメインには、次の表に示す組織単位 (OU) とカスタム グループ ポリシー オブジェクト (GPO) が含まれています。
要件
計画された変更
Fabrikam では、次の計画された変更を特定しています。
* Vnet1 という名前の単一の Azure 仮想ネットワークが含まれる、Sub1 という名前の単一の Azure サブスクリプションを作成します。
* シアトルオフィスとニューヨークオフィス間のWANリンクをAzure Virtual WANとFxpressRouteに置き換えます。オンプレミスの両オフィスはExpressRouteを使用してVnet1に接続されます。
* newyorkhiles、seattlefiles、companyfiles という名前の 3 つの Azure ファイル共有を作成します。
* Vnet1 に dc3.corp.fabrikam.com という名前のドメイン コントローラーを作成します。
* Vnet1 に Azure Virtual Desktop ホストプールをデプロイします。Azure Virtual Desktop セッションホストはハイブリッド Azure AD 参加になります。
* すべてのサーバーに Microsoft Defender for Servers のライセンスを付与します。
* Azure Policy を使用して、Azure およびオンプレミスのサーバーに構成管理ポリシーを適用します。
ネットワーク要件
Fabrikam では、次のネットワーク要件を特定しています。
* Virtual WAN を実装し、サイト間のすべてのネットワークトラフィックが Virtual WAN を使用するようにします。すべての通信は ExpressRoute 経由で行われる必要があります。
* DHCP サーバーに障害が発生した場合、クライアント コンピューターが引き続き動的 IP アドレスを受信し、既存のリースを更新できることを確認します。
* Vnet1 のリソースが corp.fabrikam.com ドメイン内のオンプレミス サーバーの名前を解決できることを確認します。
セキュリティ要件
Fabrikam では、次のセキュリティ要件を特定しています。
* Azure Virtual Desktop セッションホストに GPO4 を適用します。Azure Virtual Desktop ユーザーセッションが 10 分間アイドル状態になるとロックされることを確認します。ユーザーはクライアントコンピューターからロックアウト時間を手動で制御できる必要があります。
* サーバー管理者がAzure仮想マシンへのリモートデスクトップ接続を確立する前に、承認をリクエストしていることを確認してください。リクエストが承認された場合、接続は2時間以内に確立される必要があります。
* ユーザーのパスワードに、Fab、f@br1kAm、fabr!| など、会社名に基づく単語の全部または一部が含まれないようにします。
* Webapp1 のすべてのインスタンスで同じサービスアカウントが使用されていることを確認してください。サービスアカウントのパスワードは30日ごとに自動的に変更される必要があります。
* ドメイン コントローラーがインターネット上のホストに直接接続できないようにします。
ファイル共有の要件
次の要件を満たすように Azure ファイルの同期を構成する必要があります。
* seattlefiles が FS2 に同期していることを確認します。
* newyorkfiles が FS1 に同期していることを確認します。
* companyfiles が FS1 と FS2 の両方に同期されていることを確認します。
質問
ネットワーク要件を満たす名前解決ソリューションを実装する必要があります。
実行すべき 2 つのアクションはどれですか。それぞれの正解は解決策の一部を示しています。
注: 正解ごとに1ポイント獲得
概要
Fabrikam, Inc は、ニューヨークに本社、シアトルに支社を持つ製造会社です。
既存の環境
オンプレミスサーバー
オンプレミス ネットワークには、次の表に示すように、Windows Server を実行するサーバーが含まれています。
DC1 はすべての操作マスター ロールをホストします。
WEB1 と WEB2 は、Webapp1 という名前のインターネット インフォメーション サービス (IIS) Web アプリを実行します。
オンプレミスネットワーク
ニューヨークとシアトルのオフィスは冗長化された WAN リンクを使用して接続されています。
各オフィスのクライアント コンピュータは、ローカル DHCP サーバーから IP アドレスを取得します。
DHCP1 には、ニューヨーク オフィスのアドレスを含む Scope1 というスコープが含まれ、DHCP2 には、シアトル オフィスのアドレスを含む Scope2 というスコープが含まれます。
アイデンティティインフラストラクチャ
ネットワークには、corp.falbrikam.com というオンプレミスの Active Directory ドメイン サービス (AD DS) ドメインが 1 つ含まれています。現在、すべてのサービス アカウントは個別のドメイン ユーザー アカウントを使用しています。
すべてのドメイン コントローラーには DNS サーバー ロールがインストールされており、corp.fabrikam.com の Active Directory 統合 DNS ゾーンのコピーをホストします。
corp.fabrikam.com AD DS ドメインは、Azure Active Directory (Azure AD) テナントと同期します。
グループ ポリシー オブジェクト (GPO)
corp.fabrikam.com ドメインには、次の表に示す組織単位 (OU) とカスタム グループ ポリシー オブジェクト (GPO) が含まれています。
要件
計画された変更
Fabrikam では、次の計画された変更を特定しています。
* Vnet1 という名前の単一の Azure 仮想ネットワークが含まれる、Sub1 という名前の単一の Azure サブスクリプションを作成します。
* シアトルオフィスとニューヨークオフィス間のWANリンクをAzure Virtual WANとFxpressRouteに置き換えます。オンプレミスの両オフィスはExpressRouteを使用してVnet1に接続されます。
* newyorkhiles、seattlefiles、companyfiles という名前の 3 つの Azure ファイル共有を作成します。
* Vnet1 に dc3.corp.fabrikam.com という名前のドメイン コントローラーを作成します。
* Vnet1 に Azure Virtual Desktop ホストプールをデプロイします。Azure Virtual Desktop セッションホストはハイブリッド Azure AD 参加になります。
* すべてのサーバーに Microsoft Defender for Servers のライセンスを付与します。
* Azure Policy を使用して、Azure およびオンプレミスのサーバーに構成管理ポリシーを適用します。
ネットワーク要件
Fabrikam では、次のネットワーク要件を特定しています。
* Virtual WAN を実装し、サイト間のすべてのネットワークトラフィックが Virtual WAN を使用するようにします。すべての通信は ExpressRoute 経由で行われる必要があります。
* DHCP サーバーに障害が発生した場合、クライアント コンピューターが引き続き動的 IP アドレスを受信し、既存のリースを更新できることを確認します。
* Vnet1 のリソースが corp.fabrikam.com ドメイン内のオンプレミス サーバーの名前を解決できることを確認します。
セキュリティ要件
Fabrikam では、次のセキュリティ要件を特定しています。
* Azure Virtual Desktop セッションホストに GPO4 を適用します。Azure Virtual Desktop ユーザーセッションが 10 分間アイドル状態になるとロックされることを確認します。ユーザーはクライアントコンピューターからロックアウト時間を手動で制御できる必要があります。
* サーバー管理者がAzure仮想マシンへのリモートデスクトップ接続を確立する前に、承認をリクエストしていることを確認してください。リクエストが承認された場合、接続は2時間以内に確立される必要があります。
* ユーザーのパスワードに、Fab、f@br1kAm、fabr!| など、会社名に基づく単語の全部または一部が含まれないようにします。
* Webapp1 のすべてのインスタンスで同じサービスアカウントが使用されていることを確認してください。サービスアカウントのパスワードは30日ごとに自動的に変更される必要があります。
* ドメイン コントローラーがインターネット上のホストに直接接続できないようにします。
ファイル共有の要件
次の要件を満たすように Azure ファイルの同期を構成する必要があります。
* seattlefiles が FS2 に同期していることを確認します。
* newyorkfiles が FS1 に同期していることを確認します。
* companyfiles が FS1 と FS2 の両方に同期されていることを確認します。
質問
ネットワーク要件を満たす名前解決ソリューションを実装する必要があります。
実行すべき 2 つのアクションはどれですか。それぞれの正解は解決策の一部を示しています。
注: 正解ごとに1ポイント獲得
