微软认证《windows server 2008 活动目录》 70-640 中文

微软70-640 问题 1

您的网络由一个单一的活动目录域。所有域控制器都运行Windows Server 2008 的审核 帐户管理政策的制定和审核目录服务访问设置为整个域启用。你需要确保对Active Directory 对象的变化可以被记录。该记录的变更必须包括任何属性，你应该怎么做旧的和新的价值？ a.启用在默认域控制器策略审核帐户管理政策。

B.运行auditpol.exe，然后配置域控制器的OU的安全设置。

C.运行auditpol.exe，然后启用审核目录服务访问的默认域策略设置。

D.从默认域控制器策略，启用审核目录服务访问设置和启用目录服务的改变。 答案：B 问题 2

贵公司有一个Active Directory域。一个用户试图登录到一个被拒绝了12 周的计算机。 管理员会收到一条错误信息，验证失败。你需要确保用户能够登录到计算机。你应该怎么做？ a.运行的Netdom信托/复位命令。 b.运行和机器的设置选项netsh命令。

C.运行的Active Directory用户和计算机控制台禁用，然后启用计算机帐户。 四重置计算机帐户。Disjoin 从域的计算机，然后重新加入到域的计算机。 答案：D 问题 3

贵公司有一个Active Directory林中包含Windows Server 2008域控制器和DNS服务器。 所有客户端计算机运行Windows XP。您需要使用您的客户端计算机使用的ADMX 编辑是 在中央存储区中存储的文件的ADMX 基于域的GPO。你应该怎么做？ 答：您的帐户添加到Domain Admins 组。 二升级到Windows Vista客户端计算机。 C.安装。NET Framework 3.0 的客户端计算机上

D.创建一个主域控制器（PDC）为在policydefinitions 中路径域模拟器文件夹。ADMX 文件复制到PolicyDefinitions文件夹。 答案：B 问题 4

贵公司有一个Active Directory林中包含八个链接的组策略对象（GPO）中。这些应用 程序发布一个GPO 的用户对象。一个用户报告说，应用程序没有可供安装。您需要确定是 否已应用的GPO你应该怎么做？ 答：运行组策略结果为用户工具。 B.运行组策略结果的计算机工具。

c.运行GPRESULT /范围计算机命令在命令提示符。 d.运行GPRESULT / S的<系统名称> / Z命令在命令提示符。 答案：A 问题 5

你的公司雇用10 名新员工。你希望新员工，就可以通过VPN 连接到总公司。您创建新 的用户帐户并授予新雇员的允许读取和执行权限，以允许在主办公室的共享资源。新员工无 法访问总公司的共享资源。你需要确保用户能够建立一个VPN 连接到总公司，你应该怎么 办？

答：授予新雇员的允许完全控制权限。 二授予新雇员的允许访问拨入权限。

C.增加新员工到远程桌面用户安全组。 D.先加入的新员工到Windows授权访问安全组。 答案：B 问题 6

贵公司有一个Active Directory域。用户尝试登录到域从客户端计算机和收到以下消息： “。此用户帐户已过期，请重新启动您的系统管理员帐户”你需要确保用户能够登录到域。 你应该怎么做？

答：修改的用户帐户的属性设置为永不过期的帐户。 b.修改该用户帐户的属性设置的登录时间延长。 c.修改的用户帐户的属性来设置密码永不过期。 四修改默认域策略，以减少帐户锁定时间。 答案：A 问题 7

您的公司中，Contoso有限公司，都有一个主要办事处和分公司。该办事处通过广域网 连接的链接。Contoso 有一个Active Directory 林中包含一个域命名ad.contoso.com。该 ad.contoso.com 域包含一个域控制器名为DC1 的是在主要办公地点。DC1 是配置作为 ad.contoso.com DNS区域的DNS服务器。这个区域被配置为一个标准的主要区域。 您安装一个新的域控制器名为DC2 的分支机构。您在安装DC2 的DNS 服务器。你需 要确保DNS服务可以更新记录和解决事件，一个广域网链接失败DNS查询。你应该怎么做？ A.创建一个新的存根区域名为DC2 的ad.contoso.com。 B.配置上DC2 的DNS 服务器将请求转发到DC1 上。 C.创建一个新的标准辅助区域命名DC2 的ad.contoso.com。

四DC1 上ad.contoso.com转换区域的一个Active Directory集成的区域。 答案：D 问题 8

42.Your company has an organizational unit named Production. The Production organizational unithas a child organizational unit named R&D You create a GPO named Software Deployment andlink it to the Production organizational unit. You create a shadow group for the R&D organizationalunit. You need to deploy an application to users in the Production organizational unit. You also needto ensure that the application is not deployed to users in the R&D organizational unit. What are twopossible ways to achieve this goal? (Each correct answer presents a complete solution Choose two.) A.Configure the Enforce setting on the software deployment GPO. B.Configure the Block Inheritance setting on the R&D organizational unit. C.Configure the Block Inheritance setting on the Production organizational unit. D.Configure security filtering on the Software Deployment GPO to Deny Apply group policy for the R&D security group.

你的公司组织单位名为Production。组织单位Production有一个子组织单位名为R＆ D，你创建一个名为软件部署的GPO 并链接到Production组织单位。您建立的研发组织单 位影子组。您需要把软件部署到Production 组织单位的用户。您还需要确保软件不能部署 到R&D 组织单位的用户。哪两种可能的方式可以实现这个目标呢？ （每一个正确的答案 是一个完整的解决方案中选择两项。） A.配置的软件部署的GPO 强制设置。 B.配置R＆D组织单位阻止继承。

C.配置Production组织单位阻止继承。

D.配置软件部署的GPO 过滤拒绝R＆D 组织单位安全组访问组策略。 答：屋宇署BD 问题 9

你的公司有一个单一的活动目录域命名intranet.adatum.com。域控制器运行Windows Server 2008 和DNS服务器角色。所有计算机，包括非域的成员，他们的动态注册DNS 记 录。您需要配置intranet.adatum.com区只允许域成员的动态注册DNS记录。你应该怎么做？ 答：设置动态更新安全专用。 b.启用区域传送到名称服务器。 C.除去Authenticated Users组。

四拒绝Everyone 组创建所有子对象的权限。 答案：A 问题 10

所有咨询师都属于名为TempWorkers 的全局组。你在名为SecureServers 的新组织单 位中放入了三个文件服务器。这些三个文件服务器包含位于共享文件夹中的机密数据。每当 这些咨询师访问机密数据失败时，你需要将他们的失败尝试记录下来。你应该执行哪两个操 作？（每个正确答案表示解决方法的一部分。请选择两个正确答案。） A. 创建一个新GPO，并将其链接到SecureServers 组织单位。配置“审核特权 使用”“失败审核”策略设置。

B. 创建一个新GPO，并将其链接到SecureServers 组织单位。配置“审核对象 访问”“失败审核”策略设置。

C. 创建一个新GPO，并将其链接到SecureServers 组织单位。从TempWorkers 全局组的网络用户权限设置中，配置“拒绝”访问此计算机。

D. 在三个文件服务器的每个共享文件夹上，将这三个服务器添加到“审核”选项 卡。在“审核项目”对话框中，配置“失败完全控制”设置。

E. 在三个文件服务器的每个共享文件夹上，将TempWorkers 全局组添加到“审 核”选项卡。在“审核项目”对话框中，配置“失败完全控制”设置。 答案：BE

问题 11

贵公司的主要办事处和分公司。公司拥有一个单域的Active Directory目录林。办公室 的主要有两个域控制器名为DC1 和DC2 运行Windows Server 2008 年。该分公司已在 Windows Server 2008 只读域控制器（RODC）命名DC3 上。所有域控制器的DNS 服务器角 色举行，并作为活动目录集成的区域配置。

DNS区域只允许安全更新。您需要启用DC3 上动态DNS更新。你应该怎么做？ a.运行的Ntdsutil.exe> DS 行为命令的DC3 上。 b.运行Dnscmd.exe / ZoneResetType上DC3 上的命令。 三重新安装DC3 上可写域控制器的Active Directory域服务。

D.创建DC1上的自定义应用程序目录分区。配置分区来存储Active Directory集成的区 域。 答案：C 问题 12

您的网络由一个单一的活动目录域。该域名包含10个域控制器。域控制器运行Windows Server 2008，并作为DNS服务器配置。您打算创建一个新的Active Directory集成的区域。 你需要确保新的区域是只复制到你的域控制器四。首先你应该怎么做？

A.创建一个在应用程序目录分区的新ForestDnsZones 代表团。 B.创建一个应用程序目录分区的DomainDnsZones新的代表团。 C.瞬从命令，并指定运行dnscmd / enlistdirectorypartition 参数。 四提示符从命令，运行dnscmd并指定/ createdirectorypartition 参数。 答案：D

Dnscmd createdirectorypartition

创建 DNS 应用程序目录分区。当DNS是安装一个服务应用程序目录分区是创建于森林 和域的水平。此操作将创建额外的DNS应用程序目录分区。 问题 13

你的网络由一个名为contoso.com 的Active Directory 林。所有服务器运行Windows Server 2008。所有域控制器配置为DNS 服务器。在contoso.com DNS 区域存储在Active Directory 应用程序ForestDnsZones 分区。你有一个成员服务器，它包含一个标准的主DNS dev.contoso.com 区。您需要确保所有域控制器可以解析dev.contoso.com 名称。你应该怎么 做？

A.创建一个在contoso.com区域的NS记录。 B.创建一个在contoso.com 区代表团。 C.创建一个全局编录服务器标准辅助区域。 四修改了在contoso.com区域的SOA 记录的属性。 答案：B 问题 14

你的公司有两个Active Directory命名contoso.com和fabrikam.com森林。这两个森林域 控制器只能运行Windows Server 2008 上运行。域contoso.com的功能级别是Windows Server 2008。该域名的fabrikam.com功能级别是Windows Server 2003 纯模式。您配置contoso.com 和fabrikam.com之间的外部信任。您需要启用Kerberos 的AES加密选项。你应该怎么做？ A.创建一个新的森林信任，使林范围认证。

二提升林功能级别的contoso.com 到Windows Server 2008。 三提升林功能级别的fabrikam.com到Windows Server 2008。 D.抬起fabrikam.com域功能级别到Windows Server 2008。 答案：D 问题15

你的公司有两个Active Directory命名contoso.com和fabrikam.com森林。该公司网络的 DNS服务器有三个名为DNS1，DNS2，和DNS3。的DNS服务器被配置为下表所示。 所有计算机属于fabrikam.com 域作为首选的DNS 服务器上配置DNS3。所有其他计算 机上使用DNS1 作为首选DNS 服务器。从fabrikam.com 域用户无法连接到服务器属于 contoso.com域。您需要确保在fabrikam.com域用户能够解决所有contoso.com查询。你应该 怎么做？

A.创建一个服务器上的DNS3 的_msdcs.contoso.com 区域的副本。 B.创建的DNS1 服务器和DNS2 服务器上的fabrikam.com区域的副本。 C.配置上DNS3 条件转发转发contoso.com查询DNS1。

D.配置上DNS1 和DNS2 条件转发转发fabrikam.com查询DNS3。 答案：C 问题 16

贵公司的主要办事处和10 个分支机构。每个分公司都有一个Active Directory站点，其 中包含一个域控制器。在主办公室只有域控制器配置为全局编录服务器。您需要停用通用组

成员缓存（UGMC）对分支机构的域控制器选项。你应该在哪个层次停用UGMC？ 答：站点。 二服务器 三域

四Connection对象 答案：A 问题 17

贵公司有一个Active Directory域。您登录到域控制器。Active Directory架构管理单元 未在Microsoft 管理控制台（MMC）提供。您需要访问Active Directory架构管理单元。你 应该怎么做？

答：注册Schmmgmt.dll。

二注销并登录使用的帐户，它是架构管理员组的成员了。

C.使用Ntdsutil.exe命令连接到架构主机操作主机和开放的写作模式。

D.先加入的Active Directory轻型目录服务（AD LDS）中的作用，通过使用服务器管理 器的域控制器。 答案：A 问题 18

你有两个服务器名为Server1 和Server2。这两种服务器都运行Windows Server 2008 年。 Server1 是配置为企业根证书颁发机构（CA）颁发。Server2 上安装联机响应角_____色服务。您

需要配置Server2 上发出证书吊销列表为企业根CA（CRL）中。哪两个任务，你应该执行？ （每一个正确的答案提出解决方案的一部分。选两项）。 答：导入企业根CA证书。 B.进口的OCSP响应签名证书。

三Server1 的计算机帐户添加到CertPublishers组。 D.设置启动类型的证书传播服务为自动。 答：AB型 问题 19

贵公司有Active Directory林中，在Windows Server 2008 的功能级别运行。您实现Active Directory权限管理服务（AD RMS）。您安装Microsoft SQL Server

2005。当您尝试打开的AD RMS管理Web 站点时，您会收到以下错误信息：“SQL Server 不存在或访问被拒绝。”您需要打开的AD RMS管理网站。哪两个动作，你应该执行？ （每 一个正确的答案提出解决方案的一部分。选两项）。 答：重新启动IIS。 B.安装消息队列。 c.启动MSSQLSVC 服务。

四手动删除在AD DS服务连接点，并重新启动的AD RMS。 答：交流AC 问题 20

贵公司有一个Active Directory域。该公司已经购买了100 个新电脑。你要部署为域成 员的计算机。您需要建立一个组织单位的计算机帐户。你应该怎么做？ a.运行Csvde与f computers.csv命令。 B.运行f computers.ldf的LDIFDE 命令。 c.运行dsadd计算机命令。

d.运行dsmod计算机命令。 答案：C 问题 21

贵公司有一个Active Directory域，有一个名为Sales 的组织单位。销售组织单位包含两 个名为全球安全销售经理和销售人员群体。您需要桌面应用的限制，以销售管理人员。你必 须限制不适用于这些台式机的销售管理人员。您创建一个名为DesktopLockdown，并将其链 接到销售组织单位的GPO。下一步你应该怎么做？

A.配置应用组策略拒绝对DesktopLockdown GPO 的销售经理权限。 b.配置应用组策略拒绝对DesktopLockdown GPO 的销售人员的权限。 C.配置拒绝应用组策略GPO 中的DesktopLockdown 身份验证的用户权限。 D.配置允许应用组有关DesktopLockdown GPO 的身份验证的用户策略权限。 答案：A 问题 22

您的公司有一个活跃的目录林。公司先后在三个地方分支机构。每个位置都有一个组织 单位。您需要确保该分支机构管理员能够创建和应用的GPO 只各自的组织单位。哪两个动 作，你应该执行？ （每一个正确的答案提出解决方案的一部分。选两项）。 A.添加分支机构的管理员用户帐户添加到组策略创建者所有者组。

b.修改每个组织单位的由制表设法分支办公室管理员添加到各自的组织单位。 c.运行控制委派向导和代表的权利，链接到分支办公室管理员域的GPO。

d.运行控制委派向导和代表的权利，其分_____行链接到分支办公室管理员组织单位的GPO。 AD 问题23

贵公司购买了新的应用程序部署到200台电脑。该应用程序要求您修改每个目标计算机 上的注册表，然后再安装应用程序。修改注册表中的一个文件，具有。行政的延伸。您需要 准备的应用中的目标计算机。你应该怎么做？

答：进口的。adm 到一个新的组策略对象（GPO）的文件。编辑GPO，并将其链接到 组织单位包含目标计算机。

B.创建一个Microsoft Windows PowerShell 的脚本复制。adm文件到每个目标计算机的 启动文件夹。

C.创建一个Microsoft Windows PowerShell 的脚本复制。adm文件到每台计算机。每个 目标上运行的计算机REDIRUsr 容器的DN命令。

D.创建一个Microsoft Windows PowerShell 的脚本复制。adm文件到每台计算机。每个 目标上运行的计算机REDIRCmp 容器的DN 命令。 答案：A 问题 24

你的公司在一个名为薪资组织单位所在的文件服务器。文件服务器包含一个文件夹命名 为工资薪金文件。您创建一个GPO。您需要跟踪哪些雇员访问文件服务器上的工资文件。 你应该怎么做？

a.启用审核对象访问选项。链接到组织单位的GPO 工资。在文件服务器上，配置文件 夹中的工资Everyone 组审核。

b.启用审核对象访问选项。链接到域的GPO。在域控制器，配置身份验证的用户文件夹 中粮集团审计。

c.启用审核过程跟踪选项。链接到域控制器组织单元的GPO。 在文件服务器上，配置身份验证的用户文件夹中粮集团审计。

四启用审核过程跟踪选项。链接到组织单位的GPO 工资。在文件服务器上，配置文件 夹中的工资Everyone 组审核。 答案：A 问题 25

您的网络组成。一个单一的活动目录域？所有域控制器都运行Windows Server 2008 年。 您需要确定轻型目录访问协议（LDAP）客户端使用的域控制器上可用的CPU 资源的最大 数额。你应该怎么做？

A.审查资源监视器的性能数据。 B.审查硬件事件在事件查看器日志。

C.运行局域网诊断数据收集器集。审查局域网诊断报告。

d.运行Active Directory的诊断数据收集器集。检阅Active Directory诊断报告。 答案：D 问题 26

您的公司有一个活跃的目录林。你计划安装企业证书颁发机构的专用独立服务器（CA） 颁发。当您尝试添加的Active Directory证书服务（AD CS）的作用，你会发现企业CA 选 项不可用。您需要安装AD 政务司司长为企业CA 角色。首先你应该怎么做？ A.添加DNS服务器的作用。 二，服务器加入到域。

c.添加Web 服务器（IIS）的作_____用和AD 政务司司长的角色。 D.先加入的Active Directory轻型目录服务（AD LDS）中的作用.. 答案：B 问题 27

你有两个服务器名为Server1 和Server2。这两种服务器都运行Windows Server 2008 年。 Server1 是配置为企业根证书颁发机构（CA）颁发。Server2 上安装联机响应角色服务。您 需要配置服务器1，支持联机响应。你应该怎么做？ 答：导入企业根CA证书。 b.配置证书分发点（CDP）扩展。 C.配置机构信息访问（AIA）扩展。

四Server2 上的计算机帐户添加到CertPublishers 组。 答案：C 问题 28

你的公司有一个域控制器运行Windows Server 2008 年。域控制器具有备份功能安装。 您需要执行非权威性还原杜曼使用现有的备份文件控制器。你应该怎么做？ 答：启动到目录服务还原模式，并使用wbadmin恢复临界体积。 二引导到目录服务还原模式，并使用备份管理单元来恢复临界体积 三启动到安全模式，并使用wbadmin恢复临界体积

四进入安全模式启动，并使用备份管理单元来恢复临界体积 答案：A 问题 29

贵公司有一个Active Directory域。所有服务器运行Windows Server 2008。您部署证书 颁发机构（CA）服务器。您创建一个新的全球安全组名为CertIssuers。你需要确保CertIssuers 组的成员可以发出，审批和吊销证书。你应该怎么做？ 答：证书管理器的角色分配给CertIssuers 组。 B.将在证书发布服务器组CertIssuers组

c.运行certsrv，新增CertIssuers证书服务器的命令promt

d.运行附加成员membertype 成员集CertIssuers 通过使用Microsoft Windows PowerShell 命令 答案：A 问题 30

Certkiller.com安装了一个服务器。你被分配到安装和运行的Active Directory轻型目录 服务（AD LDS）实例。做必要的配置后，您启动一个成功的AD LDS实例。 现在，您需要创建在AD LDS的应用程序目录分区的新的组织单位。 你应该怎么做才能在AD LDS的创建应用程序目录分区的新的OU？ 答：要创建OU，使用dsmod命令欧

二雇用ADSI编辑管理单元来创建的AD LDS应用程序目录分区的OU。 C.创建dsadd 通过执行命令的OU

D.创建通过使用Active Directory用户和计算机上的AD LDS的应用程序目录分区OU 的管理单元。 答案：B 问题 31

有100 个服务器和2000 的计算机在Certkiller.com总部出席。

DHCP服务是安装在两个节点的故障转移微软命名CKMFO，以确保服务的高可用性集 群。

这些节点被命名为CKMFON1 和CKMFON2。 对一个物理CKMFO 集群400 GB的容量共享磁盘。 200GB 的容量配置单上的共享磁盘。

Certkiller.com决定主办CKMFON1 一个Windows Internet命名服务（WINS）。 DHCP 和WINS 服务将设在其他节点上。

使用高可用性向导，你开始创建集群节点上CKMFON1 提供WINS 服务组。 该向导显示错误“没有磁盘可用”期间配置。

你应该执行哪个动作上配置存储卷CKMFON1 成功添加WINS服务组CKMFON1？ 答：备份上CKMFON1 单个卷上的所有数据和配置具有GUID 分区表磁盘并创建两个 卷。还原一个卷上的备份数据，并使用WINS服务组中的其他

B.添加新的物理共享磁盘群集的CKMFON1 和配置一个新的卷。使用此卷修复向导中 的错误。

C.添加新的物理共享磁盘CKMFON1 和EMBFON2。这些磁盘上配置和直接 CKMOFONI卷使用WINS 服务组CKMFON2 量

四添加和配置现有的共享磁盘上的空间具有400GB 的新卷。使用此卷修复向导中的错 误

五以上皆非 答案：B 问题 32 图表：

Certkiller.com服务器运行Windows Server 2008 年。它有一个单一的活动目录域。所谓 CK4 服务器具有文件服务角色安装。您安装一些额外的存储磁盘。磁盘都配置为显示在展 览。

为了支持数据校验剥离，你必须创建一个新的驱动器卷。 你应该怎么做才能达到这个目标？

答：建立一个新的跨区卷，并结合Disk0 上的Disk1 B.创建另一个磁盘上，加入一个新的RAID - 5 卷。 C.创建结合磁盘1 和磁盘2 的新的虚拟卷 四建立一个新的结合Disk0 上的带区卷和磁盘2 答案：B 说明：

为了支持数据校验剥离，你应该创建一个新的RAID 通过添加另一个磁盘- 5 卷。 加入另一个卷，磁盘总人数将有四个。

这样，您就可以轻松地创建数据地带和平价条。 问题 33

Certkiller问你实现域中的Windows CardSpace的。你想用你家的Windows CardSpace的。 你的家庭和办公室的计算机上运行的Windows Vista 旗舰版。 你应该怎么做创建的Windows CardSpace的卡备份副本，在家中使用？

a.登录您的USB 驱动器与您的管理员帐户和拷贝\\的Windows \\ ServiceProfiles 文件夹 二备份\\的Windows \\全球化通过使用备份文件夹中的地位和保存在您的USB 驱动器的 文件夹

三备份通过使用您的USB 驱动器的备份系统状态数据状态工具 D.采用Windows CardSpace的应用程序来备份您的USB 驱动器的数据。 五重新格式化C：盘 楼以上皆非 答案：D 问题 34

Certkiller.com对主网运行Windows Server 2008 服务器。它也有两个域控制器。活动目 录服务运行在名为CKDC1 一个域控制器。你必须执行CKDC1 无需重新启动服务器的 Windows Server 2008 的关键更新。

你应该怎么做执行无需重新启动服务器CKDC1 脱机关键更新？ A.启动对CKDC1 的Active Directory域服务 b.断开从网络启动Windows更新功能

C.停车的Active Directory域服务和安装更新。安装更新后启动Active Directory域服务。 D.停止活动目录域服务和安装更新。从网络上断开，然后再次连接 五以上皆非 答案：C 35个问题

分公司的Certkiller 远程分支机构之一，是运行安装Windows Server 2008 的只读域控制 器（RODC）.因为安全原因，您不希望像一些关键的凭据（密码，加密密钥）被存储在RODC 上。

你应该怎么做，使这些凭据不会复制到林中的任何RODC上的？ （选择2） A.配置RODC的过滤属性设置在服务器上

B.配置RODC的过滤设置在服务器上保存架构操作主机角色。

三为代表的本地管理权限的RODC 任何未经授权的域用户的域用户的任何用户权限 D.配置的Windows Server 2008 林功能级别的服务器来配置筛选的属性集。 五以上皆非 答：屋宇署BD 问题 36

Certkiller.com有一个Active Directory权限管理服务（AD RMS）的服务器上安装服务器。 用户在使用Windows Vista的计算机上安装它们与Active Directory在Windows Server 2003 功能级别安装的域。在Certkiller.com作为管理员，你发现，用户无法从AD RMS 的效益， 以保护他们的文件。您需要配置AD RMS 来使用户能够使用它，并保护他们的文件。 您应该做些什么来实现这个功能？

A.配置在Active Directory域服务（AD DS）为每个用户的电子邮件帐户。 B.添加和配置用户计算机上的本地管理员组ADRMSADMIN 帐户 C.添加和配置AD RMS服务器的本地管理员组的ADRMSSRVC 帐户 四重新安装在用户计算机上的Active Directory域 E.所有以上 答案：A 第37 个问题

Certkiller.com有一台域活动目录森林。

Certkiller 需要一个分布式应用程序，采用了自定义应用程序。该应用程序目录分区的 软件名为PARDAT。你需要实现这个数据复制应用程序。

哪你应该使用两个工具来实现这个任务吗？ （选择两个答案。答案是一个完整的解决 方案的一部分） 答：Dnscmd。 二Ntdsutil中。 三Ipconfig 四Dnsutil E.所有以上 答：AB型 说明：

要实现数据复制应用程序，你应该使用Dnscmd和Ntdsutil 的工具。该DnsCmd命令显 示和修改的DNS伺服器，区域和资源记录的属性。通过dnscmd，你可以手动修改这些属性， 创建和删除区域和资源记录和物理内存之间的DNS服务器和DNS数据库和数据文件复制事 件的力量。您可以实现PARDATA 申请，并通过dnscmd它。

Ntdsutil 工具是一个命令行实用工具，为Active Directory提供管理设施。您可以创建应 用程序目录分区使用此工具。该工具有一个菜单，允许您执行多个管理的系列任务。Ntdstul 安装在systemroot \\ System32 文件夹。它可以通过命令提示符。 问题 38

Certkiller 已经与六个领域的Active Directory目录林。公司拥有5 个地点。该公司需要 一个新的分布式应用程序，使用一个自定义应用程序目录分区命名为数据复制ResData。 该应用程序是安装在一台成员服务器上的五个地点。

您需要配置的五个成员服务器收到ResData应用数据复制目录分区。你应该怎么做？ a.运行的五个成员服务器Dcpromo 实用工具。 b.运行的五个成员服务器regsvr32 命令 c.运行的五个成员服务器网站管理命令 d.运行的五个成员服务器RacAgent 效用 答案：A 说明：

要配置的五个成员服务器收到ResData应用数据复制目录分区，你需要运行在服务器上 的五个成员Dcpromo实用工具。

ApplicationPartitionsToReplicate：“”与分区名称与Dcpromo 的参数可以用来指定应用 程序目录分区的Dcpromo 将复制。 参 考： Dcpromo 的

http://technet2.microsoft.com/windowsserver2008/en/library/d660e761-9ee7822a- 06fc2365a1d21033.msp 问题 39

在Certkiller.com 作为管理员，您已安装的Active Directory林中只有一个域。您已安装 在域成员服务器的Active Directory联合身份验证服务（AD FS）。

你应该怎么做的AD FS配置，以确保AD FS 的令牌包含从活动目录域的信息？ A.添加一个新帐户存储和配置。 B.添加新的资源配置它的合作伙伴和 C.添加新的资源存储和配置

D.先加入一个新的AD FS的管理员帐户和配置 五以上皆非 答案：A 说明：

为了确保AD FS 的令牌包含从Active Directory域的信息，你应该添加一个新帐户并配 置相应的存储。要添加一个新帐户店，你可以使用AD FS的控制台。通过扩大我的组织， 你右键点击帐户储存，并创建一个新帐户存储。在添加帐户存储向导将指导整个过程。 40个问题

Certkiller.com其服务器上运行的所有窗口服务器2008 年。它有一个单一的活动目录域， 它使用企业证书颁发机构。在Certkiller。com安全政策使我们有必要审查撤销证书信息。 您需要确保已撤销证书的信息可在任何时候。您应该做些什么来实现呢？

答：添加和配置一个新的GPO（组策略对象），使用户能够接受同行证书和GPO 链接 到域。

B.配置和使用GPO 来发布一个受信任的证书颁发机构的域名列表

C.配置和发布一个OCSP（在线证书状态协议），通过日本宇宙航空研究所（互联网安 全和加速服务器）阵列响应程序。 D.使用网络负载平衡和发布OCSP响应。 五以上皆非 答案：D 问题 41

您的公司中，Contoso有限公司，已在北美和欧洲设有办事处。Contoso有一个Active Directory林中有三个域。您需要降低要求从labs.eu.contoso.com验证域用户的时候，他们在 eng.na.contoso.com域访问资源。你应该怎么做？ 答：减少对所有连接对象复制间隔。

B.减小为DEFAULTIPSITELINK站点链接复制时间间隔。

C.设置一个单向的捷径信任来自eng.na.contoso.com到labs.eu.contoso.com。 D.设置一个单向r) Tj的捷径信任来自labs.eu.contoso.com到eng.na.contoso.com。 答案：C 42个问题

贵公司有一个Active Directory域。您登录到域控制器。Active Directory架构管理单元 未在Microsoft 管理控制台（MMC）提供。您需要访问Actrve Directory架构管理单元。你 应该怎么做？

答：注册Schmmgml.dll。

二注销并登录使用的帐户，它是架构管理员组的成员了。

C.使用Ntdsutil.exe命令连接到架构主机操作主机和开放的写作模式。

D.先加入的Active Directory轻型目录服务（AD LDS）中的作用，通过使用服务器管理 器的域控制器。 答案：A Regsvr32

寄存器。在注册表命令组件DLL文件。 问题 43

您的公司有一个名为contoso.com 的Active Directory域。该公司网络的DNS服务器有 两个名为DNS1 和DNS2。 的DNS服务器被配置为下表所示。

域用户，谁被配置为使用DNS服务器作为首选DNS2，都无法连接到互联网网站。 您需要启用Internet的所有客户端计算机的名称解析。 你应该怎么做？

A.创建一个对DNS1的。（根）区域的副本。 B.最新的根提示服务器列表上DNS2。

C.最新配置上DNS2 上DNS1 条件转发的Cache.dns 文件。 d.删除了。（根）由DNS2 区。条件转发配置上DNS2。 答案：D

配置 DNS 服务器转发

你可以使用这个程序来配置域名系统（DNS）服务器转发器。

当您添加一个新的域控制器是DNS 服务器，如果您的网络使用递归名称解析转发，配 置DNS服务器的转发方法是在网络上建立了基于转发器。当转发器配置，DNS服务器，接 收了一个名字，这就是它不具有权威性转发到而不是使用根提示DNS转发器的DNS查询请 求。如果您的网络使用代理，使用DNS 管理单元中添加新的域控制器的适当代理。如果您 希望在新的域控制器上的转发DNS后缀是根据不同的查询中指定的服务器查询DNS服务器 服务，配置适当的条件转发。 问题 44

你的公司有一个单一的活动目录域。阿里域控制器运行Windows Server 2003 服务器上 安装的Windows Server 2008。您需要添加在贵domain.What域控制器，你应该先做新的服 务器？

答：在新服务器上，运行dcpromo /地。

B.在新的服务器，运行dcpromo / createdcaccount。 在域控制器上运行adprep 三/ rodcprep。 D.在域控制器上，运行adprep / ForestPrep 的。 答案：D 问题 45

贵公司有一个Active Directory域。阿里服务器运行Windows Server 2008 年。您的公司 使用了一个企业根证书颁发机构（CA）。您需要确保吊销证书信息的高可用性。你应该怎么 做？

答：实施一个在线证书状态协议（OCSP）响应通过使用网络负载平衡。 B.实现联机证书状态协议（OCSP）响应通过使用互联网安全和加速服务器阵列。 三发布信任的证书颁发机构的列表到域通过使用组策略对象（GPO）。

D.创建一个新的组策略对象（GPO），允许用户信任等证书。链接到域的GPO。 答案：A

OCSP的支持是什么呢？

在网上的人使用的分发随着CRL的使用OCSP 响应，是两个用来传达信息的证书的有 效性的常用方法之一。不同的CRL，分布定期包含有关所有已撤销或暂时吊销证书的信息， 在线响应接收和响应来自大约只有一个单一的证书状态信息的客户端的请求。每个请求检索 数据量保持不变，不管有多少吊销证书的可能。

在许多情况下，可以处理网上急救员证书的状态比要求更有效地使用的CRL。例如： 客户端连接到远程网络，要么不需要，也没有高速下载大型CRL的要求连接。

一个网络需要处理大峰撤销检查活动，例如，当大量用户登录或发送签名的电子邮件同 步。

一个组织需要一个有效的手段来分发从非Microsoft CA 颁发的证书吊销数据。 组织希望，只提供必要撤销检查，以验证个人证书状态请求，而不是做出关于撤销或暂 时吊销证书的所有可用的信息数据。 谁将会对此功能感兴趣的？

此功能适用于组织有一个或多个Windows 为基础的核证机关的PKI。

添加一个或多个在线急救员能显着增强的灵活性和一个组织的PKI 可扩展性，因此， 此功能都应当关心PKI 的建筑师，规划师，和行政人员。

为了安装一个联机响应，你必须是所在联机响应将被安装计算机的管理员。 问题 46

你有一个Windows Server 2008 企业根CA。安全策略禁止443 端口和80 端口被打开， 在域控制器上颁发CA。你需要让用户请求从Web 界面证书。您安装AD 政务司司长的角色。 下一步你应该怎么做？

答：在成员服务器上配置联机响应角色服务。 b.配置联机响应角色服务在域控制器。

C.配置证书颁发机构Web 注册角色服务在成员服务器上。 D.配置证书颁发机构Web 注册角色服务在域控制器。 答案：C 问题 47

您的公司使用Windows 2008 企业证书颁发机构（CA）来颁发证书。您需要执行关键存 档。你应该怎么做？ 答：在服务器上存档私钥。

B.申请的Hisecdc安全模板到域控制器。

C.配置为计算机中存储加密的文件自动注册证书。 D.安装企业从属CA证书，发给用户的加密文件的用户。 答案：A 问题 48

贵公司有一个Active Directory域。您打算安装在成员服务器上运行Windows Server 2008 的Active Directory证书服务（AD CS）的作用。你需要确保帐户操作员组的成员能够发放 智能卡凭据。他们应该不能撤销证书。哪三个动作，你应该执行？ （每一个正确的答案提 出解决方案的选择三个部分。）

答：安装AD 政务司司长的角色和配置企业根CA作为它。 B.安装在AD政务司司长的角色，并配置它作为独立的CA。 c.对于智能卡登录证书的帐户操作员组限制招生代理。

D.用于智能卡登录证书到证书限制帐户操作员组的经理。 E.创建一个智能卡登录证书。 F.创建一个注册代理证书。 答：ACE 的 问题 49

你的公司有一个服务器运行Windows Server 2008 年。认证服务被配置为一个独立证书 颁发机构（CA）在服务器上。需要审计更改CA 配置设置和CA 安全设置。哪两个任务， 你应该执行？ （每一个正确的答案提出解决方案的一部分。选两项）。 A.配置在审核认证服务管理单元。

乙成功和失败的尝试启用审核改变在％的SYSTEM32％\\ CertSrv目录文件的权限。 三成功和失败的尝试启用审核写入文件在％的SYSTEM32％\\ CertLog目录。 四启用审核对象访问本地安全策略设置服务器的认证服务。 AD 问题 50

贵公司有Active Directory林包含多个域控制器。域控制器运行Windows Server 2008年。 您需要执行的权威性还原已删除的orgainzational单位及其子对象。

哪四个行动应在执行顺序？ （回答，移动从的答复领域的行动清单中相关的四个动作， 并安排他们在正确的顺序。） 答： 问题 51

您的网络由一个单一的Active Directory 域中的所有域控制器都运行Windows Server 2008 年。您需要捕获的所有域控制器上的所有复制错误到中央localion你应该怎么做？ A.配置事件日志订阅。

b.启动系统的性能数据收集器集。 c.启动Active Directory诊断数据收集器集。

D.安装网络监视器，并创建一个新的一个新的捕获。 答案：A 问题 52

您需要删除名为DC1的域控制器的Active Directory域服务角色。你应该怎么做？ a.运行的Netdom删除DC1 的命令 二运行nltest / remove_server：DC1 的命令

c.运行Dcpromo 实用工具。删除Active Directory域服务角色。

四重置域控制器使用Active Directory用户和计算机实用工具的计算机帐户。 答案：C 问题 53

贵公司有一个Active Directory域运行Windows Server 2008 的销售OU 包含对计算机的 OU 中，一个组的OU，并为用户您执行夜间备份的OU。管理员删除的组的OU 您需要还原， 而不影响销售欧，你应该怎么做用户和计算机组的OU？ 答：执行权威性恢复销售的OU。 b.执行权威性还原组的OU。 C.进行非权威性还原组的OU。 D.执行非权威性还原销售的OU。 答案：B 问题 54

你需要找出所有域控制器上的失败的登录尝试。你应该怎么做？ a.运行事件查看器。 b.查看的Netlogon.log文件。 c.运行安全和配置向导。

四上查看域控制器的计算机对象的安全标签。 答案：A 问题 55

你的公司有一个域控制器运行Windows Server 2008 年。该服务器是备份服务器。该服 务器有一个500 GB硬盘，其中有对操作系统，应用程序和数据三个分区。您执行每日备份 的服务器。硬盘出现故障。您更换一个新的相同容量的硬盘硬盘。您重新启动计算机上安装 媒体。您选择修复计算机的选项。你需要恢复的操作系统和所有文件。你应该怎么做？ A.选择启动修复选项。 B.选择系统还原选项。 C.运行在命令回滚工具提示。 d.运行在命令Wbadmin实用提示。 答案：D 问题 56

您的网络由一个单一的活动目录域。森林的功能级别是Windows Server 2008 年。您需 要创建在您的域用户的多个密码策略。你应该怎么做？ 答：从架构管理单元，创建多个类架构对象。 b.编辑从ADSI的管理单元，创建多个密码设置对象。 C.从安全配置向导，创建多个安全策略。 D.从组策略管理单元中，创建多个组策略对象。 答案：B 问题 57

您的公司有一个活跃的目录林。每个分支办事处有一个组织单位和子组织单位命名销 售。销售组织单位包含所有用户和销售部门的计算机。你只需要安装在销售组织单位的电脑 的Office 2007 应用程序。您创建一个名为SalesApp 的GPO 的GPO。下一步你应该怎么做？ A.配置的GPO 应用程序分配到计算机帐户。环线SalesAPP GPO 的域。

B.配置的GPO 应用程序分配给用户帐户。环线SalesAPP 的GPO 在每个位置的销售组 织单位。

C.配置的GPO 来发布到用户帐户申请。环线SalesAPP 的GPO 在每个位置的销售组织 单位。

D.配置的GPO 应用程序分配到计算机帐户。环线SalesAPP 的GPO 在每个位置的销售 组织单位。 答案：D 问题 58

作为管理员，您的Certkiller 在偏远地点安装了一个只读域控制器（RODC）服务器。 地处偏远山区，没有提供足够的服务器的物理安全性。

你应该怎么做，让管理帐户的身份验证信息复制到只读域控制器？ A.拆下从RODC 上的组中的任何管理帐户 B.添加到域管理帐户允许RODC密码复制组

C.设置拒绝对接收为RODC 上的计算机帐户管理帐户的安全选项卡为组策略对象 （GPO）的权限

D.配置一个新的组策略对象（GPO）的设置与启用帐户锁定。链接到远程位置的GPO。 激活阅读允许和应用组策略允许在GPO 的安全性选项卡的管理员权限。 五以上皆非 答案：B 问题 59

Certkiller。com提升一两个节点的网络负载平衡群集这是所谓的网络。CK1。com。此 群集的目的是为了提供负载平衡和内联网网站仅高可用性。

与监控群集，你发现，用户可以查看他们的网络邻居中的网络负载平衡群集，他们可以 用它来连接网络的名称使用各种服务。CK1。com。

你还会发现，世界上只有一个端口规则为网络负载平衡群集配置。

您必须配置网络。CK1。com NLB 群集只接受HTTP流量。哪你应该执行两个操作， 实现这个目标？ （选择两个答案。每个答案是完整的解决方案的一部分） 答：通过使用网络负载平衡群集控制台上的TCP 端口80 的新规则 B.运行在群集节点上的WLBS 的禁用命令

三为NLB 群集分配一个唯一的端口使用NLB群集控制台规则 d.删除通过网络负载平衡群集的默认控制台端口规则 AD 问题 60

Certkiller。com 有一个主要办事处和分公司。Certkiller。com 的网络由一个单一的活 动目录林。一些在运行Windows Server 2008 和Windows Server 2003 中运行其他网络的服务 器。

你是在Certkiller 管理员。com。您已安装的计算机上运行Windows Server 2008 Active Directory域服务（AD DS）。该分公司位于身体不安全的地方。它不是IT 人员的现场管理人 员，也没有在那里。您需要设置一个只读域控制器（RODC）在服务器核心安装在分支办公 室的电脑。

你应该怎么做才能安装RODC 上的分支办公室的电脑？ 答：执行一个安装AD DS的出席 B.执行AD DS的一个无人值守安装 c.执行RODC 上通过的AD DS

四执行的AD DS通过部署AD DS的图像使用 五以上都不对 答案：B 问题61

您已安装Windows服务器上的一个组织中的2008 活动目录联合服务（AD FS）的作用。 现在，您需要测试网络中的客户端连接，以确保他们能够成功地达到新的联合服务器和 联邦服务器运行正常。

你应该怎么做？ （选择所有适用项）

a.转到服务选项卡，并检查是否活动目录联合服务正在运行 B.在事件查看器，应用，事件ID 为674 事件列看身份证。

C.打开一个浏览器窗口，然后键入新的服务联会联合服务器的URL。 四以上皆非 答：BC 说明：

为了测试网络中的客户端连接，以确保他们能够成功地达到新的联合_____服务器和联邦服务

器可以运行，你可以看看事件ID 674。此事件验证联合服务器是能够成功地同联邦通信服 务。

您还可以打开一个浏览器窗口，然后键入新的服务联会联合服务器的URL。联邦服务 器服务网页应该出现在关系的链接标识的Web 方法，该联合会服务使用的清单。联合会服 务的URL应该包括域名系统（DNS）主机的联合服务器的名称。 参 考： 事件ID 674 - 信托策略和配置

http://technet2.microsoft.com/windowsserver2008/en/library/71705c30-e97f-4e36-92abd33175bf588d1033.

msp 参考： 验证一个联邦服务器可以运行http://

technet2.microsoft.com/windowsserver2008/en/library/ecf28b0c-014 问题 62

Certkiller。com购买，将用于连接到无线网络笔记本电脑。您创建一个笔记本电脑的组 织单位，并创建一个组策略对象（GPO）的利用和配置无线网络的批准的名称用户配置文件。 您的GPO 链接到笔记本电脑的组织单位。新的笔记本电脑用户向你抱怨他们无法连接到无 线网络。

你应该怎么做强制组策略设置应用到无线笔记本电脑？

答：执行gpupdate /目标：计算机命令在命令提示符下笔记本电脑 B.执行添加网络指挥和离开的SSID（服务集标识符）空白 c.执行gpupdate /启动命令在命令提示符下笔记本电脑

D.连接笔记本电脑每到有线网络和笔记本电脑注销，然后重新登录。 五以上皆非 答案：D 问题 63

该Certkiller 具有Windows 2008 域控制器服务器。这个服务器是在例行备份从一个专用 的备份服务器上运行Windows 2003 操作系统的网络。

您需要准备的日常备份程序的灾难恢复域控制器分开。您将无法启动备份实用程序在试 图为数据备份控制器的系统状态数据。

您需要备份系统从Windows Server 2008 域控制器服务器的状态数据。你应该怎么做？ 答：您的用户帐户添加到本地Backup Operators组

B.安装的Windows Server 的备份功能使用服务器管理器功能。 C.安装可移动存储管理功能，使用服务器管理器功能

四停用备份作业，被配置在Windows 2003 服务器备份Windows 2008 Server域控制器。 五以上皆非 答案：B 问题 64

贵公司的主要办公室和三个分公司。每个办公室都配置为一个单独的Active Directory 站点，有它自己的域控制器。您禁用的帐户具有administratrve 权利。你需要立即禁用的帐 户信息复制到所有站点。什么是两种可能的方式来实现这个目标呢？ （每一个正确的答案 是一个完整的解决方案。选两项）。

A.使用Dsmod.exe配置为全局编录服务器的所有域控制器。 B.使用Repadmin.exe来迫使站点之间的连接对象复制

三控制台从Active Directory站点和服务，选择现有的连接对象和强制复制。 四控制台从Actrve Directory站点和服务，配置为全局编录服务器的所有域控制器。 答：BC

问题 65

贵公司有一个Active Directory域。公司拥有两个域控制器名为DC1 和DC2。DC1 的 架构主机角色担任DC1 的失败，你登录使用管理员帐户Actrve 目录。你是不是能够转移架 构主机操作的角色。您需要确保DC2 的持有架构主机角色。你应该怎么做？ 答：注册Schmmgmt.dll。启动Active Directory架构管理单元。 B.配置DC2 的一个桥头服务器 C.在DC2的，抓住架构主机角色

四注销并再次登录使用的帐户，它是架构管理员组的成员到Active Directory。启动 Actrve Directory架构管理单元。 答案：C 问题 66

您有一个现有的Active Directory站点命名的站点1。您创建一个新的Actrve Directory 站点，并将其命名Site2.You需要配置站点1 和Site2 之间的Active Directory复制。您安装 新的域控制器。您创建站点1和Site2 之间的站点链接。下一步你应该怎么做？ 答：使用Active Directory站点和服务控制台来配置一个新的站点链接桥的对象。 B.使用Active Directory站点和服务控制台来减少站点1 和Site2 之间的站点链接成本。 C.使用Active Directory站点和服务控制台来分配新的IP 子网的站点2。将新的域控制 器对象站点2。

D.使用Active Directory站点和服务控制台来配置作为首选的新的域控制器 桥头服务器站点1。 答案：C 问题 67

您的公司有一个活跃的目录林。不要在林中的所有域控制器配置为全局编录服务器。您 的域结构包含一个根域和一个子域。您修改一个文件服务器，在子域中日是文件夹的权限。 你发现，一些访问控制项开始与S - 1 - 5 - 21，也没有帐户的名称是上市。你需要列出该帐 户的名称。你应该怎么做？

a.将在子域中的RID主机角色的域控制器，保存全局编录。 b.修改架构，使本friendlynames属性复制到全局编录。 三将在子域的RID主机角色的域控制器不举行全局编录。 四将在子域基础结构主机角色的域控制器不举行全局编录。 答案：D 问题 68

Certkiller。com有域控制器运行Windows Server 2008 年。该Certkiller。com网络提升 40 台Windows Vista 客户端的机器。作为一个在Certkiller。com 管理员，你要部署Active Directory证书服务（AD CS）的授权发行数字证书的网络用户。 你应该怎么做来管理域从一个主力位置在所有的机器证书设置？ A.配置企业CA 证书设置 B.配置企业信任证书设置 C.配置CA证书设置进展 D.配置组策略设置证书 E.所有以上 答案：D 问题 69

关键服务上运行CKD20，域控制器。您已完成改制域的组织单位层次结构，并删除了

不必要的对象。

你会怎么做来执行CKD20一对Active Directory数据库的脱机碎片整理，同时确保关键 服务仍然上网吗？

A.打开Microsoft管理控制台（MMC）和停止域控制器服务。在此之后，运行碎片整理 工具

b.启动在域控制器的目录服务还原模式和运行Ntdsutil工具 c.启动域控制器，然后使用碎片整理工具来启动重组

D.打开MMC和停止域控制器服务。在此之后，运行Ntdsutil 工具。 E.所有以上 答案：D 问题 70

Certkiller。com有一个主要的办公室在另一座城市和分支机构。你被分配到部署和实施 只读域控制器（RODC）的分支机构。您部署一个RODC上运行Windows Server 2008 年。 你应该怎么做，以确保在分支机构的用户可以登录到域使用RODC的？ A.使用的RODC 上的密码复制策略 B.添加RODC的主要写字楼

三部署和配置一个新的分支办公室的桥头服务器 四部署和配置在主办公室的RODC 上的密码复制策略 答案：A 问题 71

Certkiller。com有一个服务器在Windows Server 2008 上运行。该服务器也有一个Active Directory轻型目录服务（AD LDS）中运行的实例。

为了测试AD LDS的，你需要复制位于网络上一台测试计算机的AD LDS实例。 你应该怎么做才能达到这个目标？

答：执行的AD LDS在测试计算机上安装程序向导来创建并安装AD LDS的翻版。 B.执行repadmin /旅馆<服务器名称测试计算机上的命令

C.安装和配置复制一个新的广告在测试计算机LDS实例和测试计算机上粘贴整个分区 四执行测试计算机上的命令，并创建一个Dsmgmt命名上下文 答案：A 说明：

要复制位于网络上一台测试计算机的AD LDS实例，你应该在测试计算机上执行的AD LDS安装向导创建并安装AD LDS 的翻版。这是唯一的方法复制网络上的其他计算机上的 AD LDS实例。安装向导可以选择到另一台计算机上复制的AD LDS实例。 72个问题

你需要验证是否成功的Active Directory域控制器间复制。你应该怎么做？ a.运行DSget 命令。 B.运行的dsquery命令。 C.运行Repadmin命令。

d.运行Windows系统资源管理器。 答案：C 问题 73

贵公司有一个Active Directory 域。主要写字楼有DNS 服务器名为DNS1 是与Active Directory 集成的DNS 配置。分支办公室有一个DNS 服务器，它包含一个名为DNS2 的区 域文件从DNS1 次要副本。这两个办事处都与一个不可靠的广域网链接。您添加新的服务器

到总公司。五年后添加服务器，从分支办事处的报告，他们是无法连接到新服务器的用户分 钟。你需要确保用户能够连接到新服务器。你应该怎么做？ 答：清除在DNS2 缓存。 二刷新了DNS1 区。 三刷新上DNS2 区。

四，从出口和进口的DNS1 区不同区域的DNS2。 答案：C 问题 74

你的公司有两个名为Forest1 Active Directory林和Forest2。森林和域功能级别的Forest1 功能级别设置为Windows Server 2008。在森林中Forest2 功能级别设置为Windows 2000，并 在Forest2 域功能级别设置为Windows Server 2003。您需要设置一间Frorest1 和Forest2 传递 林信任。首先你应该怎么做？

答：提高森林Forest2 功能级别到Windows Server 2003 过渡模式。

二提升林功能级别的Forest2 到Windows Server 2003。 在Forest2 三升级域控制器到Windows Server 2008。 四在Forest2 升级域控制器到Windows Server 2003。 答案：B 问题 75

Certkiller 是有一个Active Directory权限管理服务（AD RMS）的服务器。 用户机器运行的是Windows Vista和一个Active Directory域配置微软Windows Server 2003 功能级别。用户抱怨他们无法保护自己的文件。

您需要配置AD RMS 的让用户能够保护他们的文件。你应该怎么做？ A.使用组策略来安装AD RMS 客户端计算机

b.添加ADRMSADMIN 帐户到本地管理员组的计算机上 c.添加ADRMSSRVC帐户上的AD RMS服务器上的本地管理员

四，建立在Active Directory域服务（AD DS）的电子邮件为每个用户帐户 五升级活动目录域的功能级别的Windows 2008 服务器 答案：D 问题 76

Certkiller。com已在Active Directory域组织单位。有10 个组织单位称为安全服务器。 作为一个在Certkiller。com管理员，您生成一个组策略对象（GPO），并将其链接到安全的 组织单位。你应该怎么做监控网络连接，组织单位在安全的服务器？ a.启动审核对象访问选项 b.启动审计系统事件选项 c.启动审核登录事件选项 d.启动审核过程跟踪选项 E.所有以上 答案：C 问题 77

你实在是一个Certkiller 管理员。com。Certkiller 已在RODC 上的远程位置（只读域控 制器）服务器。地处偏远山区，没有适当的人身安全。您需要激活该服务器的非RODC 的 管理帐户密码。下面的行动应该被视为填充非RODC的管理帐户密码的服务器？ A.删除从RODC 的组中的所有管理帐户

B.配置的权限，拒绝对接收的群策略对象（GPO）的安全标签管理帐户 C.配置管理帐户被添加到域组复制RODC 的密码被拒绝

D.先加入一个新的GPO 并启用帐户锁定设置。其链接到RODC 的服务器和远程对GPO 安全选项卡，选中允许读取和应用组策略权限的管理员。 五以上皆非 答案：C 问题 78

Certkiller。com有一个网络，它是一个单一的活动目录域组成。

作为一个在Certkiller。com管理员，您的服务器上安装运行Windows Server 2008 Active Directory轻型目录服务（AD LDS）中。启用安全套接字层（SSL）的连接到AD LDS伺服 器，您从一个值得信赖的认证机构（CA）对AD LDS服务器和客户端计算机证书。 你应该使用何种工具来测试与AD LDS的证书？ 答：自民党。exe文件 二活动目录域服务 三Ntdsutil.exe的 四激光器的。exe 五wsamain.exe 楼以上皆非 答案：A 问题 79

Certkiller。com 提升的主要办公室和20 个分公司。作为一个单独的站点配置，每个分 支办事处有一个只读域控制器（RODC）服务器安装。 在远程办公室用户抱怨说他们无法登录到他们的帐户。

你应该怎么做，以确保用户帐户的凭据缓存仅在当地的分支机构RODC 的服务器上存 储的？

A.打开RODC 计算机帐户的安全标签，并设置权限为允许在接收只为用户无法登录到 他们的帐户

B.添加一个密码复制策略的主要领域和RODC 的安全组中添加用户帐户

C.配置为每个分公司唯一的安全组和用户帐户添加到各自的安全组。添加安全组密码复 制允许在RODC 上的主要服务器组

D.配置和每个RODC上添加一个单独的计算机帐户密码复制策略 答案：D 问题 80

企业网络的Certkiller由一个单一的Windows Server 2008 Active Directory域。该域名已 任命Certkiller 1 和Certkiller 2 两台服务器。

为确保事件的中央监控你决定要收集所有的一台服务器上，Certkiller 事件 1。为了收集Certkiller 事件

2。并将其转换到Certkiller 1，您需要配置事件订阅。 您选择通过使用HTTP协议的事件传递优化设置正常的选择。 然而，你发现，没有任何的订阅工作。

以下的行动，你会执行的两个服务器上配置的事件收集和事件转发？ （选择三。答案 是一个完整的解决方案的一部分）。

答：通过运行窗口中执行WinRM的quickconfig命令Certkiller 2。 B.通过运行窗口上执行Certkiller 2 wecutil 质量控制命令。

c.添加Certkiller 1 帐户到Administrators组Certkiller 2。

四，通过运行窗口中执行WinRM的quickconfig命令Certkiller 1。 E.添加Certkiller 帐户2 到Administrators组Certkiller 1。 通过运行窗口号上执行Certkiller 1 wecutil 质量控制命令。 ABC 问题 81

Certkiller。com 有一个主厅和30 家分公司。要管理网络，每个分支机构都有一个单独 的Active Directory站点具有一个专用的只读域控制器（RODC）。一分公司在一个遥远的位 置上报告了抢劫。强盗偷走了RODC 的服务器。哪个工具之前，你要恢复的用户是在服务 器上缓存被盗RODC 上户口？ 答：执行Dsmod.exe

B.使用Active Directory用户和计算机 C.使用Active Directory站点和计算机 四执行Ntdstuil.exe与迹参数 答案：B 问题 82

Certkiller。com 有一个软件评估实验室。有一个命名为CKT 特制评价实验室服务器。 CKT 特制运行Windows Server 2008 和微软虚拟服务器2005 R2。CKT 特制有200 段上运 行的一个独立的虚拟软件虚拟服务器来_____评价。要连接到互联网，它使用的物理网络接口卡。 Certkiller。com要求每个在公司的服务器来访问互联网。

Certkiller。com 安全策略规定的IP 地址空间实验室使用的软件评估不能被其他网络使 用。同样，各国的IP 地址空间被其他网络使用，不应由评价实验室网络中使用。作为管理 员，你会发现你，在软件评估实验室测试的应用程序需要访问正常网络供应商更新连接到 Internet 上的服务器。您需要配置上的CKT 服务器来访问Internet 的所有虚拟服务器。您还 需要遵守公司的安全政策。

哪两个动作，你应该为实现这一任务的执行？ （选择两个答案。答案是一个完整的解 决方案的一部分）

答：虚拟DHCP服务器触发的外部虚拟网络和运行ipconfig /续订每个虚拟服务器上的 命令

B.在CKT 特制的物理网络接口，启动Internet连接共享（ICS） C.使用Certkiller。com内部网的IP上的CKT 所有虚拟服务器地址。

D.先加入并安装Microsoft 环回适配器的CKT网络接口。使用新的网络接口，并创建一 个新的虚拟网络。 五以上皆非 AD 说明：

要配置的CKT 服务器访问因特网，并符合公司的安全政策的所有虚拟服务器，你应该 为外部触发虚拟网络虚拟DHCP服务器和运行ipconfig /续订每个虚拟服务器上的命令。然 后添加并安装Microsoft 环回适配器上的CKT 网络接口。创建一个虚拟的网络使用新界面。 当您配置虚拟DHCP 的外部虚拟网络，组IP 地址被分配给服务器上的CKT 服务器的 虚拟服务器。通过运行ipconfig / renew命令，新的IP地址将被延长。Microsoft 环回适配 器的网络接口将确保IP 地址空间使用的其他网络上的CKT 没有被服务器的虚拟服务器使 用。您创建一个新的网络界面，使您能够访问互联网的新的虚拟网络。 问题 83

你实在是一个Certkiller 管理员。com。Certkiller 有5 个成员服务器网络，文件服务器 角色。它有一个Active Directory域。您已安装了应用软件的服务器上。一旦应用程序的安 装，一台服务器的会员关闭本身。要跟踪和纠正的问题，您创建一个组策略对象（GPO）。 您需要更改域安全设置，以追查关闭和确定其原因。 你应该怎么做来执行这项任务？

答：链接到域的GPO 和启用系统事件选项 二环线到域的GPO 并启用审核对象访问选项 三环线到域控制器并启用审核对象访问选项总局 四环线到域控制器GPO 并启用审核过程跟踪选项 五执行上述所有操作 答案：A 问题84

Certkiller。com有一个网络，一个单一的活动目录域组成。技术人员不小心删除了一个 域控制器上的一个组织单位（OU）。作为一个Certkiller。com管理员，你是在恢复的OU 过 程。您需要执行非权威性还原之前的权威性还原的OU。你应该使用哪个备份来执行域控制 器上，而不会干扰其他数据存储的非权威性还原的Active Directory域服务（AD DS）？ A.关键卷的备份 二备份所有卷

三卷的主机操作系统备份 D.对AD DS的备份文件夹 E.以上所有 答案：A 问题 85 拖放

Certkiller。com上有一个域的Active Directory目录林。该域名运行的Windows Server 2008。

一个新的管理员无意中删除在Active Directory数据库对象承载6000 整个组织单位。你 有备份系统状态数据使用第三方备份软件。

要恢复备份，您启动域控制器的目录服务还原模式（DSRM）。

您需要执行权威性还原的组织单位和还原域控制器到其原始状态。哪三个动作，你应该 执行？

答案应该是在一个序列。 拖放到适当的行动顺序。 答： 问题 86

Certkiller。com有一个网络，一个单一的活动目录包括domain.Windows Server 2008 是 在网络中的所有域控制器上安装。

指示您捕捉所有域控制器上的所有复制错误到一个中心位置。 您应该做些什么来实现这一任务呢？ 答：启动Active Directory诊断数据收集器集 B.设置事件日志订阅和配置 三启动系统性能数据收集器集 D.创建一个新的网络监视器捕获 答案：B

问题 87

Certkiller 有一个与Windows 2000，Windows 2003的单域网络，和Windows 2008 服务 器。

客户端计算机运行Windows XP和Windows Vista。所有域控制器都运行Windows Server 2008 年。 附件B

服务器的操作系统中的作用

CertKiller_DC1 Windows Server 2008 域控制器 CertKiller _DC2 Windows Server 2008 域控制器

CertKiller _SRV5 Windows Server 2008 文件和打印服务器

你需要部署Active Directory权限管理系统（AD RMS 的），以确保所有文件，电子表格， 并提供用户身份验证。你需要什么配置，以完成对AD RMS 的部署？

答：所有客户端计算机升级到Windows Vista。安装AD RMS 的Certkiller _DC1 域控制 器上

B.确保所有Windows XP的计算机具有最新的Service Pack和所有系统上安装RMS客户 端。安装AD RMS 的Certkiller _DC1 域控制器上

三所有客户端计算机升级到Windows Vista。在安装AD RMS 的Certkiller _SRV5 d.确保所有Windows XP的计算机具有最新的Service Pack和所有系统上安装RMS客户 端。安装AD RMS的域控制器上Certkiller _SRV5 五以上皆非 答案：D 问题 88

您正在制订Active Directory轻型目录服务（AD LDS）中的备份策略，以确保数据和日 志文件定期备份。这也将确保应用程序和在一个系统发生故障时用户数据的持续可用性。因 为你有资源有限的媒体，你决定要备份的唯一实例，而不是采取具体ADLDS整个卷的备份。 你应该怎么做来完成这项任务？

答：使用Windows Server 备份实用程序，并启用复选框，只需要对AD LDS的数据库 和日志文件的备份

B.使用工具来创建安装Dsdbutil.exe对应的媒体只对ADLDS实例

三将在一个单独的数量和使用Windows Server 备份工具AD LDS的数据库和日志文件 四以上皆非 答案：B 问题 89

你有一台计算机上安装Windows Server 2008 和文件服务器配置为一个名为FileSrv1， 它。

该 FileSrv1 计算机包含四个硬盘，这是基本的磁盘配置。用于容错和性能上要配置 FileSrv1 独立磁盘冗余阵列（RAID）0 +1。

您将使用哪个工具转换基本磁盘上FileSrv1 为动态磁盘？ 答：Diskpart 的。exe文件 二运行CHKDSK。exe 文件 三Fsutil 的。exe 四的Fdisk的。exe 五以上皆非 答案：A

问题 90

贵公司的主要办事处和分支办事处，是作为一个单一的活动目录林配置。在Active Directory目录林功能级别是Windows Server 2003。有四个Windows Server 2003 的域控制器 的主办公室。您需要确保您能够部署在分支机构的只读域控制器（RODC）。哪两个动作， 你应该执行？ （每一个正确的答案提出解决方案的选择两部分。） a.运行adpreplrodcprep 命令。

二提高森林功能级别到Windows Server 2008。 三提高域功能级别提升到Windows Server 2008 年。 四部署Windows Server 2008 在总公司域控制器。 答：AD 问题 93

您创建200个新用户帐户。该用户所在的六个不同的网站。新用户报告说，他们收到以

下错误消息，当他们尝试登录：“用户名或密码不正确。”您确认该用户帐户存在，并已启用。 您还确认用户名和密码提供的信息是正确的。你需要找出失败的原因。您还需要确保新的用 户能够登录，你应该运行哪个工具？ 答Rsdiag 二Rstools 三Repadmin

四Active Directory域和信任关系 答案：C 问题 94

Active Directory 数据库是安装在域控制器C 量。你需要移动活动目录数据库到一个新 的卷，你应该怎么办？

答：移动的NTDS，DIT文件到新的卷通过使用Windows资源管理器。 B.复制的NTDS，DIT文件使用ROBOCOPY命令到新的卷。

三移动的NTDS，DIT 文件到新的卷通过使用Ntdsutil 实用工具文件选项。

四移动的NTDS，DIT 文件到新的卷通过运行在Microsoft Windows PowerShell 中移动 项目的命令。 答案：C 问题 95

你的网络由一个单一的活动目录域。所有域控制器都运行Windows Server 2008 年。你 需要重新设置在域控制器上的目录服务恢复模式（DSRM）密码。您应该使用什么工具？ 答：dsmod 二Ntdsutil中

三本地用户和组管理单元

四Active Directory用户和计算机管理单元 答案：B 问题 96

您的网络包含_____一个Active Directory目录林。所有域控制器都运行Windows Server 2008 和为DNS服务器配置。你有一个为Contoso，玉米与Active Directory集成的区域。您有一 个基于Unix的DNS服务器，您需要配置您的Windows Server 2008 环境中，允许在Contoso， com区域的基于Unix的服务器的DNS区域传输。你应该怎么做在DNS管理控制台？ a.禁用递归。

B.创建一个存根区域。

C.创建一个辅助区域。 四BIND 的次级启用。 答案：D 问题 97

您的网络由一个单一的活动目录域。所有域控制器都运行Windows Server 2008 和为 DNS服务器配置。一个名为DC1 的域控制器有一个标准的为Contoso，COM 的主要区域。 一个域控制器名为DC2 有一个为Contoso，COM 标准辅助区域。您需要确保在Contoso 复 制，com区域是加密的。你一定不会丢失任何区域数据。你应该怎么做？ 答：在两台服务器上，修改接口的DNS服务器监听。

二转换成一个Active Directory集成的区域主要区域。删除辅助区域。 三转换成一个Active Directory集成的存根区域的主要区域。删除辅助区域。 D.配置的标准主要区域的区域传送设置。修改主服务器列出了辅助区域。 答案：B 问题 98

您的网络由一个名为contoso.com 的Active Directory 林。所有服务器运行Windows Server 2008 的所有域控制器配置为DNS 服务器。在contoso.com DNS 区域存储在Active Directory 应用程序ForestDnsZones 分区。你有一个成员服务器，它包含一个标准的主DNS dev.contoso.com 区。您需要确保所有域控制器可以解析dev.contoso.com 名称。你应该怎么 做？

A.创建一个在Contoso，com区域的NS记录。 B.创建一个在Contoso，com区域代表团。 C.创建一个全局编录服务器标准辅助区域。 四修改了在contoso.com区域的SOA 记录的属性。 答案：B 问题 99

你有一个域控制器运行Windows Server 2008 和作为一个DNS服务器配置。您需要记录 所有入站的DNS查询服务器。你应该怎么配置在DNS管理器控制台？ a.启用调试日志记录。

b.启用了简单的查询，自动测试。 c.启用递归查询的自动测试。

D.配置事件记录到日志中的错误和警告。 答案：A 问题 100

Contoso 的公司有一个Active Directory域命名ad.contoso.com Fabrikam 的公司有一个 Active Directory域命名intranet.fabrikam.com。Fabrikams安全策略禁止内部DNS区域数据 外Fabrikam的网络传输。你需要确保Contoso的用户都能够解决从intranet.fabrikam.com域 名。你应该怎么做？

A.创建为intranet.fabrikam，com域新存根区域。 B.配置条件转发的intranet.fabrikam.com域。

C.创建一个域的intranet.fabrikam.com标准辅助区域。

D.创建一个为intranet.fabrikam.com域Active DirectoryCintegrated区。 答案：B 问题 101

你是域控制器举行退役所有的森林范围的操作主机角色。你需要转移所有森林范围的操

作主机角色到另一个域控制器。哪两个角色，你应该转移？ （每一个正确的答案提出解决 方案的一部分。选两项）。 答：RID主机 二PDC 模拟器 三架构主机 D.基础设施主 五域命名主机 答：行政长官CE 问题 102

你的公司有一个单一的活动目录域命名intranet.contoso.com。所有域控制器都运行

Windows Server 2008 年。域功能级别和森林的功能级别设置为Windows 2000 纯模式。你需 要确保contoso.com的UPN 后缀是供用户帐户。首先你应该怎么做？

答：在 contoso.com提升林功能级别到Windows Server 2003 或Windows Server 2008。 二提高contoso.com域功能级别到Windows Server 2003 或Windows Server 2008。 C.添加新的UPN 后缀森林。

D.改变主DNS后缀，在默认域控制器组策略对象（GPO）来contoso.com选项。 答案：C 问题 103

您的网络由一个单一的活动目录域。所有域控制器运行Windows Server 2003。所有域 控制器升级到Windows Server 2008。您需要确保的Sysvol 共享使用DFS 复制（DFS - R）的 复制。你应该怎么做？

答：从命令提示，运行的Netdom /复位。 B.瞬从命令，运行dfsutil / addroot.sysvol。

三提高域功能级别提升到Windows Server 2008 年。 从命令提示四，运行dcpromo /无人参与：unattendfile.xml 答案：C 问题 104

贵公司的主要办公室和三个分公司。公司拥有一支Active Directory林中有一个域。每 个办公室都有一个域控制器。每个办公室都配置为一个Active Directory站点。所有网站都 与DEFAULTIPSITELINK对象。你需要减少域控制器之间的复制延迟。你应该怎么做？ A.降低了成本之间的连接对象。 B.减小所有连接对象复制间隔。

C.减少为DEFAULTIPSITELINK对象复制间隔。 D.减少为DEFAULTIPSITELINK 对象的复制计划。 答案：C 问题105

您的公司网络的Active Directory林中，有一个父域和一个子域。在子域有两个域控制 器运行Windows Server 2008 年。从子域中的所有用户帐户将被迁移到父域。在子域预计将 退役。您需要删除从Active Directory林的子域。什么是两种可能的方式来实现这个目标呢？ （每一个正确的答案是一个完整的解决方案,选择两项。）

A.删除中的每个子域中的域控制器的计算机帐户。删除父域之间的子域和信任关系。 B.对每个子域的域控制器运行Dcpromo工具，。

C.运行计算机管理控制台停止在子域中的两个域控制器的域控制器服务。 D.使用子域中的域控制器上的服务器管理器来卸载Active Directory域服务角色。

答： BD 问题 106

贵公司的单域的Active Directory目录林。域的功能级别是Windows Server 2008。 您执行下列活动。

创建一个全球性的通讯组。 将用户添加到全局通讯组。

创建一个基于Windows Server 2008 成员服务器上的共享文件夹。 放置在一个域本地组具有访问共享文件夹的全球分销集团。 你需要确保用户能够访问到共享文件夹。 你应该怎么做？

答：提升林功能级别到Windows Server 2008。 b.添加全局通讯组到域管理员组。 C.改变全球通讯组组类型到安全组。 D.改变了全球范围的通讯组到通用通讯组。 答案：C 问题 107

贵公司有Active Directory林包含客户端计算机运行Windows Vista和Microsoft Windows XP 中。你需要确保用户能够通过他们的计算机上安装应用程序更新。哪两个动作，你应该 执行？ （每一个正确的答案提出解决方案的一部分。选两项）。 答：通过控制面板设置自动更新客户端计算机上

B.创建一个GPO，并将其链接到域控制器组织单位。配置GPO 以自动搜索在Microsoft Update网站更新。

C.创建一个GPO，并将其链接到域。配置GPO 以指示客户端计算机与微软WSUS服务 器对已批准的更新。

d.安装微软WSUS的一个环境中的服务器应用程序。配置服务器，以在互联网上搜索新 的更新。批准所需的更新。 答：CD 问题 108

您的公司有一个活跃的目录林。森林包括以下四个对应位置的组织单位。 伦敦 芝加哥 纽约 马德里

每个位置有一子名为Sales的组织单位。销售组织单位包含所有用户从销售部和计算机。 在伦敦，芝加哥和纽约的办事处连接的T1 连接。在马德里的办公室是由一个连接256 Kbps的ISDN 连接。

您需要安装的所有计算机在销售部门提出申请。

哪两个动作，你应该执行？ （每一个正确的答案提出解决方案的选择两部分。） a.禁用慢速链接检测在组策略对象（GPO）设置。

B.配置慢速链接检测阈值设定为1544 Kbps的组策略对象（GPO）（T1）的。

C.创建一个组策略对象（GPO）命名Officelnstall 的应用程序分配给用户。链接到每个 销售组织单位的GPO。

D.创建一个组策略对象（GPO）命名Officelnstall 的分配应用到计算机。链接到每个销 售组织单位的GPO。

答：AD 问题 109

您需要搬迁现有的用户和计算机对象在你的公司不同的组织单位。什么是两种可能的方 式来实现这个目标呢？ （每一个正确的答案是一个完整的解决方案。选两项）。 a.运行Dsmod工具。

B.运行Active Directory迁移工具（ADMT）。 C.运行的Active Directory用户和计算机实用工具。

d.运行在Microsoft Windows PowerShell 的实用工具移动项命令。 答：交流AC 问题 110

您的网络由一个单一的活动目录域。所有域控制器都运行Windows Server 2003 您的所 有域控制器升级到Windows Server 2008 您需要配置的Active Directory环境，以支持多个密 码策略，你应该怎么办申请？ A.创建多个Active Directory站点。 B.在所有域控制器，运行dcpromo /地。 C.在一个域控制器，运行dcpromo /地。 D.抬起域的功能级别到Windows Server 2008。 答案：D 问题 111

贵公司有一个Active Directory域。所有服务器运行Windows Server 2008。您的公司运 行一个企业根证书颁发机构（CA）颁发。你要确保只有管理员可以签署代码。哪两个任务， 你应该执行？ （每一个正确的答案提出解决方案的一部分。选两项）。 答：发布的代码签名模板。

b.编辑，企业根CA本地计算机策略，让用户信任等证书，并允许管理员只适用于该政 策。

c.编辑的企业根CA本地计算机策略，只允许管理员管理信任的发行者。 四修改模板上的安全设置，只允许管理员请求代码签名证书。 答：AD 问题 112

贵公司的主要办事处和分支办公室，您部署一个只读域控制器（RODC），运行微软 Windows Server 2008 到分支办公室，您需要确保在分支办公室用户都能够登录到域使用 RODC 上，你应该怎么办？ A.添加另一个RODC上到分公司 B.配置在主办公室新的桥头服务器 C.配置RODC上的密码复制策略

D.减少使用Actrve Directory站点和服务控制台中的所有连接对象复制间隔 答案：C 问题 113

贵公司有Actrve Directory林中，在Windows Server 2008 的功能级别您实现Actrve目录 权限管理服务（AD RMS）您安装微软的SOLServer 2005 中当您尝试打开的AD RMS管理 Web 站点运行，你recerve 以下错误信息：“溶胶Server 不存在或访问被拒绝”您需要打开 的AD RMS管理网址，其中两个动作，你应该执行？（每一个正确答案的解决方案选择两 部分。） a.重新启动待

B.安装消息Oueuing c.启动MSSOLSVC 服务

四Manualy在公元操作系统删除服务连接点，并重新启动的AD RMS 答：交流AC 问题 114

贵公司的服务器运行的Actrve Directory轻型目录服务（AD LDS）你需要在AD LDS 的创建应用程序目录分区，你应该怎么做新的组织单位的实例吗？

答：使用Actrve Directory用户和计算机管理单元来创建的AD LDS应用程序目录分区 的组织单位

B.使用ADSI 编辑管理单元来创建的AD LDS应用程序目录分区的组织单位 C.使用dsadd欧命令创建的组织单位 四使用dsmod欧命令创建的组织单位 答案：B 问题 115

你有一个域控制器运行Windows Server 2008 和作为一个DNS服务器，您需要记录所有 入站的DNS查询服务器配置。你应该怎么配置在DNS管理器控制台？ a.启用调试日志记录。

b.启用了简单的查询，自动测试。 c.启用为recursrve查询自动测试。 D.配置事件记录到日志中的错误和警告。 答案：A 问题 116

你有一个Active Directory域。阿里域控制器运行Windows Server 2008，并作为DNS服 务器配置。该域名包含一个Active Directory集成的DNS区域。你需要确保过时的DNS记 录会自动从DNS区域中删除。你应该怎么做？ 答：从该区域的属性，使清除。 B.从该区域，禁用动态更新的属性。 C.从该区域的属性，修改SOA 记录的TTL。 从命令提示四，运行ipconfig / flushdns。 答案：A 问题 117

你的公司有一个DNS服务器，有10 个活动目录集成的区域。您需要提供的DNS服务 器的安全部门的区域文件的副本。你应该怎么做？ a.运行dnscmd / Zonelnfo命令。 b.运行ipconfig / registerdns命令。 c.运行dnscmd / ZoneExport 命令。

d.运行Ntdsutil 中>分区管理>“列出的命令。 答案：C 问题 118

网络包括一个Active Directory林，其中包含一个名为contoso.com域的域控制器阿里运 行Windows Server 2008，并且为DNS服务器，您有两个Active Directory集成的区域配置： contoso.com 和nwtraders.com 您需要确保用户能够修改在contoso.com 区域记录。你必须防 止在nwtraders.com区修改你应该怎么做SOA 记录用户？ 答：从 DNS控制台管理器，修改contoso.com区域的权限。

二从DNS 控制台管理器，修改nwtraders.com 区的权限。 三控制台从Actrve Directory用户和计算机，运行控制委派向导。 d.从Actrve Directory用户和计算机控制台，修改域控制器的权限 组织单位（OU）。 答案：A 问题 119

您有一个名为DC1 的域控制器运行Windows Server 2008。DC1是contoso.com的配置 为DNS 服务器。您安装在成员服务器的DNS 服务器角色名为Server1，然后创建一个标准 的contoso.com 的辅助区域。您配置作为区域的主服务器DC1 的。您需要确保Server1 的 recerves 从DC1 区域的更新。你应该怎么做？ 答：在 server1 上，增加一个有条件的转发器。 B.在DC1 上，修改contoso.com区域的权限。

C.在DC1 上，修改为contoso.com区域的区域传送设置。 四Server1 的计算机帐户添加到DnsUpdateProxy组。 答案：C 问题 120

网络包括一个Active Directory林包含一个域。阿里域控制器运行Windows Server 2008， 并作为DNS服务器配置。您有一个Actrve Directory 集成的区域。你有两个Actrve Directory 站点。每个站点包含五个域控制器。您添加新的NS为创纪录的区域。您需要确保所有域控 制器立即收到记录新生理盐水。你应该怎么做？ 答：从 DNS控制台管理器，重新加载区域。 从服务B.管理单元，重新启动DNS服务器服务。 C.瞬从命令，运行repadmin / syncall。

四控制台从DNS管理器，提高了SOA记录的版本号。 答案：C

Repadmin / syncall

同步复制与它的合作伙伴所有指定的域控制器。

默认情况下，如果没有目录分区是在参数提供，该命令执行的配置目 录分区的操作。 问题 121

贵公司的分公司，被配置作为一个单独的Active Directory站点和有Actrve Directory域 控制器。在Active Directory站点需要一个本地全局编录服务器以支持新的应用程序。您需 要配置为全局编录服务器的域控制器。你应该使用何种工具？ 答：Dcpromo.exe实用程序 B的服务器管理控制台 C的计算机管理控制台

四，Active Directory站点和服务控制台 E的Actrve Directory域和信任控制台 答案：D

Active Directory站点对象代表的互联网协议（IP）子网的集合，通常构成一个物理局域 网（LAN）上。多站点连接，供网站的链接对象的复制。 网站中使用Active Directory来：

使客户能够发现网络资源（打印机，发布的共享，域控制器）是接近客户端的物理位置， 从而减少在广域网（WAN）连接的网络通信。

优化复制的域控制器之间。 问题 122

贵公司有一个Active Directory域命名ad.contoso.com。域有两个域控制器名为DC1 和 DC2。有两个域控制器的DNS服务器角色的安装。

您安装一个新的DNS服务器名为外围网络上DNS1.contoso.com。您配置DC1 的名字将 所有unresorved要求DNS1.contoso.com。 你发现了DNS转发DC2 的选项是不可用。

您需要配置DC2的服务器上的DNS转发指向DNS1.contoso.com服务器。

哪两个动作，你应该执行？ （每一个正确的答案提出解决方案的一部分。选两项）。 答：清除在DC2 的DNS缓存。 B.删除了DC2 的根区。 C.配置条件转发在DC2 的。 D.配置上的监听DC2 的地址。 答：BC 问题 123

贵公司有一个Active Directory林中只包含Windows Server 2003 域控制器。你需要准备 Active Directory域安装Windows Server 2008 域控制器。哪两个任务，你应该执行？ （每一 个正确的答案提出解决方案的选择两部分。） 答：运行adprep / forestprep 命令。 b.运行adprep / domainprep 命令。

三林功能级别提升到Windows Server 2008。 D.提高域功能级别提升到Windows Server 2008 年。 答：AB型 问题 124

你的公司安全策略要求的复杂密码。您有一个名为import.csv逗号分隔的文件，其中包 含用户帐户信息。您需要通过使用import.csv文件的用户在域帐户。您还需要确保新的用户 帐户设置为使用默认密码和被禁用。什么shoulld你怎么办？

答：修改userAccountControl 属性为禁用。运行Csvde 与我K表f import.csv 命令。运 行DSMOD 实用程序设置用户帐户的默认密码。

b.修改userAccountControl 属性的帐户禁用。运行Csvde 与f import.csv 命令。运行 DSMOD 实用程序设置用户帐户的默认密码。

c.修改userAccountControl 属性为禁用。运行wscript import.csv 命令。运行DSADD 实 用程序设置用户帐户的默认输入密码。

四修改userAccountControl属性为禁用。我f import.csv运行LDIFDE命令。运行DSADD 工具来设置导入的用户帐户的密码。 答案：A 问题 125

您要安装的计算机上运行Windows Server 2008 的应用程序。在安装过程中，应用程序 将nedd安装新的属性和类的Active Directory数据库。你需要确保你可以安装应用程序。你 应该怎么做？

A.改变森林的功能级别到Windows Server 2008。 b.登录使用的帐户上有服务器操作员权限。

三登录使用的帐户具有管理员权限的模式和相应的权限来安装应用程序。 四登录使用的帐户具有管理员权限的企业和相应的权限来安装应用程序。

答案：C 问题 126

您的公司有一个活跃的目录林。公司拥有的服务器运行Windows Server 2008 AMD 的客 户端计算机运行Windows Vista。该域名使用的GPO已批准支持法规遵从要求管理模板设置。 您的伙伴公司的Active Directory林中包含一个域，该公司的服务器上，运行Windows Server 2008 和客户端计算机运行Windows Vista。您需要配置您的合作伙伴公司的域名使用的核准 管理模板设置。你应该怎么做？

答：使用组策略管理控制台（GPMC）工具备份到一个文件中的GPO。在每个站点， 进口将GPO 到默认域策略。

B.复制贵公司的PDC 模拟器的ADMX 文件上的合作伙伴公司的PDC 模拟器 PolicyDefinitions文件夹

c.复制贵公司的PDC 模拟器的ADML 文件上的合作伙伴公司的PDC 模拟器 PolicyDefinitions文件夹

四下载conf.adm，的System.adm，的Wuau.adm，从微软更新网站的Inetres.adm文件。 复制到合作伙伴公司的苏氨酸的PolicyDefinitions 文件夹ADM文件的模拟器。 答案：B 问题 127

您需要确保在5 分钟内的用户谁连续三次输入密码无效锁定5 分钟。你应该执行哪 threeactions？ （每一个正确的答案提出解决方案的一部分。选择三） A.设置密码的最小年龄设定为一天。 B.设置密码最长使用期限设置为一天。 C.设置帐户锁定时间设置为5 分钟。 D.设置复位帐户锁定计数器设置为5分钟。 e.设定帐户锁定阈值设置为3 无效的登录尝试。 F.设置强制密码历史记录设置为3 passswords 记住。 答：CDE 的 问题 128

贵公司有一个Active Directory域和组织单位。组织单位被命名为网站。配置和测试的 Internet 信息服务名为IISServerA 服务器（IIS）服务器新的安全设置。你只需要部署在IIS 服务器是网络组织成员单位的新的安全设置。你应该怎么做？

a.运行Secedit 的/配置/数据库从命令提示符IISServerA iis.inf，然后运行Secedit 的/配置 /分贝从驾驶室管理提示webou.inf。

B.出口对IISServerA设置，以创建一个安全模板。导入到GPO 并链接到Web 组织单元 的GPO 的安全模板。

C.出口对IISServerA设置，以创建一个安全模板。运行Secedit 的/配置/分贝从驾驶室管 理提示webou.inf。

D.导入到GPO 并链接到Web 组织单位的GPO hisecws.inf文件模板。 答案：B 问题 129

网络包括一个Active Directory林包含两个域。所有服务器运行Windows Server 2008。 所有域控制器配置为DNS服务器。你有一个dev.contoso.com是在成员服务器上存储的标准 主要区域。您需要确保所有域控制器可以解析来自dev.contoso.com 区域名称。你应该怎么 做？

答：在成员服务器上，创建一个存根区域。

B.在成员服务器上，创建为每个域控制器的NS记录。

C.在一个域控制器，创建条件转发器。条件转发器配置复制到林中的所有DNS服务器。 D.在一个域控制器，创建条件转发器。条件转发器配置复制到域中的所有DNS服务器。 答案：C 问题 130

贵公司有一个Active Directory域。您在域中安装一个新的域控制器。二十用户报告说， 他们无法登录到域。您需要注册的SRV记录。你应该运行哪个命令在新的域控制器？ 答：在运行netsh命令重置接口。 b.运行ipconfig / flushdns 命令。

c.运行dnscmd / EnlistDirectoryPartition命令。

d.运行的Netlogon命令停止供应链的供应链的Netlogon命令后开始。 答案：D 问题 131

贵公司有一个Active Directory域。所有服务器运行Windows Server 2008。您的公司使 用了一个企业根证书颁发机构（CA）和企业中间CA。企业的中间CA 证书过期。您需要部 署一个新的企业中间CA证书到域中的所有计算机。你应该怎么做？ 答：导入到中级证书存储在服务器上的新企业根CA证书。 B.进口到中级证书存储在服务器上的新企业中间CA 证书。 三导入到中级证书存放在默认域控制器组对象的新的证书。 D.导入到中级证书存放在默认域组策略对象的新的证书。 答案：D 问题 132

你有一个Windows Server 2008 具有Active Directory证书服务服务器角色安装。您需要 尽量减少所需的时间来下载一个证书吊销列表（CRL）。你应该怎么做？ 答：安装和配置联机响应。 二，安装和配置addtional域控制器。

三导入到受信任的根CA的根证书颁发机构证书的所有客户端工作站。 D.导入颁发CA 到受信任的根证书颁发机构证书的所有客户端工作站。 答案：A 问题 133

您希望用户登录使用新的主要名称（UPN）到Active Directory。您需要修改为所有用户 帐户的UPN 后缀。你应该使用何种工具？ 答Dsmod 乙的Netdom 三Redirusr

四Active Directory域和信任关系 答案：A 问题 134

您的网络由一个单一的活动目录域。所有域控制器都运行Windows Server 2008 年。审 计是配置为记录在名为OUI 的一个组织单位对所托管组对象属性的变化。您需要登录就只 有在OUI 的所有组对象的描述属性的变化。你应该怎么做？ a.运行auditpol.exe。 b.修改为OUI 的审计项目。 c.修改域的审计项目。

D.创建一个新的组PolicyObject（GPO）中。启用审核帐户管理政策的制定。链接到的 OUI的GPO。 答案：B 问题135

您的公司使_____用共享文件夹。授予用户使用域本地组访问共享文件夹。该共享文件夹之一 包含机密数据。您需要确保未经授权的用户不ableto 访问共享文件夹，其中包含机密数据。 你应该怎么做？

a.启用不要相信通过使用Dsmod 实用本代表团对所有未经批准的用户计算机性能的计 算机。

二指示未经授权的用户登录使用来宾帐户。配置上的共享文件夹拒绝持有的客户帐户的 机密数据完全控制权限。

C.创建一个全局组名为拒绝DLG 的。置于全局组，其中包含到拒绝DLG的集团的未经 授权的用户。配置允许在共享文件夹的持有本集团的拒绝DLG 的机密数据完全控制权限。 D.创建一个域本地组名为拒绝DLG 的。置于全局组，其中包含到拒绝DLG 的集团的 未经授权的用户。配置上的共享文件夹拒绝持有该集团的拒绝DLG 的机密数据完全控制权 限。 答案：D 问题 136

贵公司有一个Active Directory域。名为Server1 上安装一个成员服务器上的企业根证书 颁发机构（CA）颁发。你要确保只有被授权的安全管理撤销该证书是由Server1 的供应。你 应该怎么做？

答：从域中删除用户组的权限申请证书。 b.删除Authenticated Users组从申请认证许可。

三分配允许- 管理CA 的安全管理权限toonly用户帐户。 四分配允许- 发行和管理证书的权限只有安全管理器的用户帐户 答案：D 问题 137

你需要部署一个只读域控制器（RODC）运行Windows Server 2008 年。什么是最小的 森林功能级别，你应该使用？ 答：Windows Server 2008 中 乙Windows Server 2003 过渡模式 三Windows 2000 本机模式 四Windows Server 2003 纯模式 答案：D 问题 138

你的公司有三个活跃于一个单一的森林Directory域。您安装一个新的Active Directory 中启用应用程序。广告中的应用新用户的属性到Active Directory 架构。你发现的Active Directory 复制流量增加了全局编录。您需要防止被复制到全局编录新的属性。你必须达到 这个目标，而不会影响应用程序的功能。你应该怎么做？ A.变更为DEFAULTIPSITELINK对象9990 复制间隔。 B.改变为DEFAULTIPSITELINK 对象9990 成本。 C.使为在Active Directory中已不存在新的属性。 四修改在Active Directory中的新属性架构的属性。 答案：D

本文来源：https://www.bwwdw.com/article/rka2.html