SWI099 Zkouškové otázky a odpovědi

Zpátky na hlavní stránku

Autoritativní, nonautoritativní obnova. Rozdíly.[editovat | editovat zdroj]

• Neautoritativní restore je obnova z média a následná replikace z DC v AD. Obnovená data jsou tedy pokládána za zastaralá a případné pozdější updaty se při replikaci dostanou na obnovovaný systém.
• Autoritativní restore je chápán jako jediný správný. Obnovená data z média se propagují na všechny ostatní DC a případné updaty jsou přepsány zálohovanými daty.

Co to je Multimaster replication.[editovat | editovat zdroj]

• Multimaster replikace znamená, že objekty jsou distribuovány přes celou síť DC. Kopie se tak nepořizují pouze z jednoho serveru na ostatní, ale jakmile danou kopii má i jiný server, tak se z něj dělá kopie dál. KCC se stará o to, aby síť byla vytížena rovnoměrně (load-balancing) a aby se ke všem DC dostaly všechny replikované objekty v pořádku.

Jaká je funkce global catalogu?[editovat | editovat zdroj]

• udržuje partial read-only replica každé domény (přesněji její domain partition) v lese
• umožňuje běžné vyhledávání v lese bez toho aby bylo třeba kontaktovat DC každé domény zvlášť
• Domain Controller Roles
• How the Global Catalog Works
• The role of the global catalog

Jaký je hlavní důvod ke vzniku Organizational Unit?[editovat | editovat zdroj]

• jemnější rozdělení pravomocí v rámci domény
• delegation of authority - umožňuje udělit pravomoci lokálně pro OU -> ti co to nepotřebují nemusí dostat také pravomoci pro celou doménu
• je to element, na který je možné aplikovat group policy

Které partition MUSÍ být přítomné na DC?[editovat | editovat zdroj]

• Schema
• Configuration
• Domain
• Application

Kolik subnetů musí mít site?[editovat | editovat zdroj]

• Aspoň 1. Pochopitelně, nemusí mít žádný, ale to potom nemá velký praktický význam, protože taková site by neobsahovala žádné workstations.

Do kolika sites může patřit subnet?[editovat | editovat zdroj]

• Do 1.

Jaký protokol se dá použít pro replikaci na nespolehlivé síti?[editovat | editovat zdroj]

• IP - nepřímo - používá ho totiž SMTP
• DHCP
• SMTP
• RPC

Which of the following nodes contains the registry-based Group Policy settings?[editovat | editovat zdroj]

• Software Settings
• Windows Settings
• Administrative Templates
• Security Settings

Group Policies use Administrative Templates (ADM/ADMX) files to describe where registry-based policy settings are stored in the registry.

Co je a k čemu je Folder redirection?[editovat | editovat zdroj]

• Folder Redirection
• aby se dokumenty uživatelů ukládaly na vhodném místě (např. v zálohovaném adresáři; na síti aby byly přístupné odevšud)
• přesměrovat je možné Application Data, My Documents, Desktop a Start Menu

Windows Server 2003 domain functional levels[editovat | editovat zdroj]

DFL aktivují featurky v rámci domény.

• Windows 2000 mixed domain functional level (NT4, W2k, W2k3):
  • odpovídá Windows 2000 Mixed mode
  • je default nejen při instalaci nové AD domény, ale také při upgradování "2000 mixed" AD domény a při upgradování NT4 domény
  • neumí multimaster replication (jen pro NT4 legacy zařízení??) ani "universal groups" ani SID histories

• Windows 2000 native domain functional level (W2k, W2k3):
  • odpovídá Windows 2000 Native mode
  • umí universal groups, multimaster replication, SID histories

• Windows Server 2003 interim domain functional level (NT4, W2k3):
  • speciální level na migraci z NT domén na 2003 domény (multi-master replikace vypnuté)

• Windows Server 2003 domain functional level (W2k3):
  • umožňuje jednoduché přeměňování domén

Windows Server 2003 forest functional levels[editovat | editovat zdroj]

FFL aktivuji featury pro všechny domény v lese.

• Windows 2000 forest functional level (NT4, W2k, W2k3)

• Windows Server 2003 interim forest functional level (NT4, W2k3)
  • speciální level na migraci z NT domén na 2003 domény

• Windows Server 2003 forest functional level (W2k3)
  • nějaká vylepšení jako
    • tranzitivní forest trusts
    • lepší inter-site routing, podporuje až 5000 sites ve forestu
    • zlepšení chování DC s GC při změně struktury GC
  • pokud na všech DCs ve všech doménách běží Server 2003 (a jsou všechny domény aspoň na Windows 2000 native level), tak je možné povýšit forest functional level na Server 2003

Kam se replikuje Configuration partition:[editovat | editovat zdroj]

• vybrané DC v doméně/lese
• všechny DC v lese
• všechny DC v doméně
• lze určit libovolně

Co se neukládá při backupu:[editovat | editovat zdroj]

• registry
• sysvol
• boot
• com+ db
• ukládá se vše

Restore do jiného adresáře neobnoví:[editovat | editovat zdroj]

• boot files
• sysvol
• com+ db
• certificate services

Jakou roli by neměl mít DC s GC?[editovat | editovat zdroj]

• role ve smyslu FSMO (Flexible Single Master Operations)

• Infrastructure FSMO nesmí být na DC, který zároveň slouží jako global catalog (GC), až na případy, kdy každý DC slouží jako global catalog. Třeba v případě, kdy je jen jediný DC a všechny role jsou na něm.

• Role Infrastructure Master (IM) by měla být na DC, který není GC. Pokud by IM byl na GC, pak by neobnovoval informace o objektech, protože by neměl žádné reference k objektům, které sám nedrží. To je způsobeno tím, ze GC drží částečné repliky všech objektů v lese. Důsledkem toho by cross-domain reference na objekty nebyly updatovány a upozornění by se objevilo v event logu. Pokud všechny DC jsou zároveň GC, pak všechny DC mají aktuální data a není důležité, kdo je IM.

Jaké protokoly se používají při intersite replikaci?[editovat | editovat zdroj]

• IP - nepřímo, používá ho SMTP a RPC over IP
• SMTP
• DHCP
• RPC

Poznámka: Některé prameny špatně překládají "RPC over IP or SMTP" jako "RPC over (IP or SMTP)" namísto "(RPC over IP) or SMTP".

Kam se replikuje Application partition?[editovat | editovat zdroj]

• replikovatelná na libovolnou (vybranou) množinu DC v lese
• objekty se nereplikují na GC

Co je to KCC?[editovat | editovat zdroj]

• Knowledge consistency checker - proces který ve W2K+ běží na DC a zajišťuje multi-master replikaci - sleduje změny, sám se stará o navázání spojení s jinými DC, o optimalizaci spojení atd. Pro inter-site links určuje bridgehead server, pokud není nastavený preferovaný (nebo více preferovaných).

Kdy není potřeba vytvářet site-link bridge?[editovat | editovat zdroj]

• pokud mám (default) nastavené bridge all (tranzitivita inter-site links)

Jaka má být cena LAN při ceně dial-upu 200?[editovat | editovat zdroj]

• 1
• 100 (protože je levnější než dial-up a ceny se mají rozprostřít po celém spektru)
• 200
• 300

Jaké protokoly můžou být použity pro intra-site replikaci?[editovat | editovat zdroj]

• IP
• SMTP
• RPC
• DHCP

(při intra-site se vždy používá Directory Service - RPC bežící nad IP)

Kam se replikuje Domain Partition?[editovat | editovat zdroj]

• na všechny DC ve svojí doméně
• částečně na GC

Na které objekty lze aplikovat GPO?[editovat | editovat zdroj]

• site
• počítač (lok. GPO?)
• uživatel
• OU
• doména

Které položky se nezálohují?[editovat | editovat zdroj]

• sysvol
• %systemroot%\config
• boot files
• všechny se zálohuji

Možnost %systemroot%\config je dvojitý chyták :), tzn. kdo jej odhalí, tak odpoví špatně, pokud samozřejmě neodhalí chyták v chytáku ... Zálohují se totiž registry, jejich hlavní hives se nachází v %systemroot%\system32\config. Takže opravdu %systemroot%\config se nezálohuje, ale pozor, neplést s %systemroot%\system32\config (%systemroot% je jen windows directory).

Vysvětlete zkratky:[editovat | editovat zdroj]

• IP - Internet Protocol
• DHCP - Dynamic Host Configuration Protocol
• DC - Domain Controller
• AD - Active Directory
• GPO - Group Policy Object
• RPC - Remote Procedure Call
• SNTP - Simple Network Time Protocol
• SMTP - Simple Mail Transfer Protocol
• NTFS - NT File System
• MFT - Master File Table
• COM+ - Component Object Model + :-)
• FSMO - Flexible Single Master Operations
• NNTP - Network News Transfer Protocol
• RIP - Routing Information Protocol
• NTLM - NT LAN Manager (nevím to úplně jistě, kdyžtak to opravte někdo)
• RDP - Remote Desktop Protocol
• OSPF - Open Shortest Path First
• CRL - Certificate Revocation List

Co obsahuje Basic disk ?[editovat | editovat zdroj]

• logical / extended partitions (max. 128)
• pro Windows 2003 Server - 2 druhy: MBR (max. 4 primary / nebo 3 + 1 extended) a GPT (max. 128 primary, extended nejsou)
• o basic disku

Co jsou to GPT disky ?[editovat | editovat zdroj]

• Disky s novou strukturou (oproti MBR), podporované 64-bit. verzemi Windows 2003 Server. Mohou mít až 128 partitions, typ partition je identifikován pomocí GUID. Obs. taky "Legacy MBR" proti přepsání staršími utilitami.

Co obsahuje MFT záznam ?[editovat | editovat zdroj]

• jméno, security descriptor, atributy (rezidentní) - může obs. i data souboru, je-li dost malý
• pro velké soubory - info o umístění - base file record & runs, mapování Virtual Cluster Number -> Logical Cluster Number

Co nepatří mezi NTFS metadata?[editovat | editovat zdroj]

Takže, co tam patří (částečně ze slidů):

• prvních 16 záznamů MFT
• definice struktury filesystému
• 0 - Master File Table (MFT) - $Mft - Base file record pro každý soubor volume
• 1 - Master File Table 2 - $MftMirr - Kopie prvních 4 záznamů - tak je to na slidech, zatímco jiný zdroj uvádí, že je zde kopie prvních 16 záznamů a že tato kopie je na konci partition. Wikipedie uvádí: Většinou první 4 záznamy.
• 2 - Log File - $LogFile - transakční historie
• 3 - Volume Descriptor - $Volume - volume data (volume aka svazek) - verze, jméno, čas vytvoření, ...
• 4 - Attribute Definition Table - $AttrDef - attribute name, number, description - tj. popis atributů, jejich význam, nikoliv atributy samotné
• 5 - Root file name index - $. - root directory - ukazatel na kořenový adresář
• 6 - Cluster Allocation Bitmap - $Bitmap - Clusters-in-use - které clustery jsou obsazené a které volné
• 7 - Partition boot sector (Volume Boot Code) - $Boot - bootstrap na bootovatelném volume
• 8 - Bad cluster file - $BadClus - mapa vadných clusterů
• 9 - Security file - $Secure - jednoznačné security descriptory pro všechny soubory
• 10 - Upcase table - $Upcase - převod lowercase na uppercase Unicode
• 11 - NTFS extension file - $Extend - rozšíření, např. reparse points, quotas, ...
• 12-15 - Reserved for future use

Nepatří tam doplněk :).

lehce jinak je to na pcguide

Na které objekty lze aplikovat "disk quotas"?[editovat | editovat zdroj]

• Disk quotas lze aplikovat
  • per-volume
  • per-user
  • per-group
  • no a díky možnosti Mounted volume (prostě do adresáře namapujete volume), tak částečně jdou aplikovat i na folders - per-folder

Předkonfigurované výjimky Windows Firewall[editovat | editovat zdroj]

Ze slidu:

• File and Printer sharing (porty 139/TCP, 445/TCP, 137/UDP, 138/UDP)
• Remote Desktop (3389/TCP)
• UPnP Framework (2869/TCP, 1900/UDP)
• Remote Administration (potřebuje víc služeb a portů, jako např: 135/TCP, 445/TCP)

Jaké záznamy jsou pro AD uloženy v DNS a jaké podstromy obsahuje.[editovat | editovat zdroj]

• AD je SRV aware, tzn používá SRV records, formát tedy "_Service._Proto.Name TTL Class SRV Priority Weight Port Target", ve slidech pouze ve tvaru "_ldap._tcp SRV 0 100 389 dc1.company.com" (chybí Name, TTL, Class)

• Obsahuje podstromy:
  • DomainDnsZones
  • ForestDnsZones
  • _msdcs
  • _tcp
  • _sites
  • _udp

Jaké atributy obsahuje každý COM objekt[editovat | editovat zdroj]

Ze slidu:

• Name - relativní jméno objektu
• ADsPath - jednoznačná cesta
• GUID - Globally Unique Identifier (128-bit)
• Class
• Schema - ADsPath to the object class
• Parent - ADsPath to parent object

Co obsahuje Windows Server 2003 system state[editovat | editovat zdroj]

Ze slidu:

• registry
• COM+ Class Registration database
• system boot files
• files under Windows File Protection
• Certificate Services database
• u DC pak ještě
  • Active Directory
  • Sysvol directory

FSMO - vyjmenovat, okomentovat[editovat | editovat zdroj]

• Schema Master
  • tato role je obsažena 1x v lese
  • provádí updaty a modifikace AD Schematu
  • dočasný výpadek serveru s touto rolí je neviditelný pro uživatele, pro administrátora jen při změně schematu
• Domain Naming Master
  • tato role je obsažena 1x v lese
  • řídí přidávání a odebírání domén v lese
  • dočasný výpadek serveru s touto rolí je neviditelný pro uživatele, pro administrátora jen při přidání nebo odebrání domény z lesa
• RID Master
  • tato role je obsažena 1x v doméně
  • řídí přidělování relativních identifikátorů jednotlivým DC v doméně
  • dočasný výpadek serveru s touto rolí je neviditelný pro uživatele, pro administrátora jen za situace, kdy přidává objekty a DC došly relativní ID
• PDC Emulator
  • tato role je obsažena 1x v doméně
  • před dávnými časy, kdy vévodil Win2000, existovalo cosi jako dělení Domain Controllerů na Primary Domain Controler (PDC) a Backup Domain Controler (BDC)
  • tento emulátor se chová přesně jako W2k PDC...
  • dočasný výpadek serveru s touto rolí je viditelný pro uživatele i administrátora
• Infrastructure Master
  • tato role je obsažena 1x v doméně, NESMÍ BÝT NA GLOBAL CATALOGU
  • provádí update referencí "user"~"group"
  • stará se o cross-domain reference, tj. když z jedné domény si někdo vyžádá objekt, který patří do jiné domény
  • dočasný výpadek serveru s touto rolí je neviditelný pro uživatele, pro administrátora jen pokud přenášel velké množství kont

vzato odtud

lepší zdroj - Microsofti KB

Jak zabránit použití(aplikací) GPO na Group?[editovat | editovat zdroj]

• "filtering GPO scope with security groups" - tj. nastavit přístupová práva v ACL jen některým security groups (viz tady)
• FIXME - lépe a česky vysvětlit o co jde

Rozdíl mezi Global a Connection-specific výjimkou ve Windows Firewall[editovat | editovat zdroj]

ze slidu
connection-specific výjimky:

• se sčítají s globálními
• neumožňují rušit výjimky vytvořené globálně
• neumožňují definovat scopes
• neberou ohled na profil WF(win firewallu)
• a hlavně, pokud se tomu dá aspoň trochu vyhnout, nepoužívají se:)

Scopes ve Windows Firewall[editovat | editovat zdroj]

• umožňují u každé výjimky nastavit zdroj, pro který bude tato výjimka aplikována, dobrým nastavením se dá rozumně snížit riziko útoku přes otevřené porty, špatným se dá otevřít síť každému kdo se tam pokusí dostat:)
• možnosti nastavení:
  • any computer - výjimku bude moct využít každý, včetně přístupu z internetu
  • my network (subnet) only - výjimku budou moct využít pouze počítače ve stejné síti(subnetu) jako jsem já(tedy, ty ke kterým mám přímé spojení, zde může nastat problém, protože při některém nastavení sítě můžou být přímo dosažitelné třeba i všechny počítače v internetu)
  • custom list - zadám seznam adres které budou mít možnost výjimku využít, nejbezpečnější, v případě velkého rozsahu různých adres se blbě nastavuje

Které z následujících vlastností OU jsou spávně?[editovat | editovat zdroj]

Vlastnosti OU:

• typ kontejneru, může obsahovat uživatele, groups, printers, dokonce dalsi OU
• může obsahovat informace jen z domény kam patří, z jiné ne
• nejmenší jednotka AD, na kterou lze aplikovat Group Policy, Permissions and Tasks
• umožňuje „delegation of authority“
• child OU dědí nastavení parent OU defaultně
• vytváří se zpravidla pokud stačí omezená administrativní kontrola nad čásí podniku

Administrative templates:[editovat | editovat zdroj]

• k nastavení user environment
• umožňuje zablokovat uživateli možnost změny nastavení počítače (control panels, explorer), definovat „standardní“ plochu a Start menu
• uloženo v registreach, Computer configuration – HKLM a User configuration – HKCU. Pokud v obojím, Computer configuration vyhrává

Jaký použít restore při poruše HW serveru?[editovat | editovat zdroj]

- non-authoritative – pokud mám další DC, tak by nebylo dobře, kdybych jim vnutil stará data

V jakém pořadí se aplikují GPO?[editovat | editovat zdroj]

- Local, Site, Domain, OU

Proč site?[editovat | editovat zdroj]

• pro každou LAN nebo skupinu LAN spojených vysokorychlostní sítí
• pro každé místo, které nemá přímé spojení se zbytkem sítě, ale je dosažitelné SMTP
• pro sítě propojené nerovnoměrně využívaným spojením

Kam všude se replikuje Schema partition?[editovat | editovat zdroj]

• všechny DC v doméně
• vybrané DC v doméně
• vybrané DC v lese
• všechny DC v lese

Kolik je Schema masterů?[editovat | editovat zdroj]

• 1 v lese
• 1 v každé doméně
• 1 v každém stromě
• 1 v každé skupině (?)

Co vše se dá nastavit v "Configuration Manager/Management"? (nebo tak něco)[editovat | editovat zdroj]

• Software
• Preferences
• Documents and data

Do čeho všeho může patřit doména?[editovat | editovat zdroj]

1. varianta

• site
• skupina
• OU
• strom

2. varianta

• site
• les
• skupina
• strom

Kam všude se replikuje domain partition?[editovat | editovat zdroj]

• V rámci stejné domény

GPT - struktura[editovat | editovat zdroj]

• Obrázek struktury z Wikipedie

Jaka práva má administrátor domény?[editovat | editovat zdroj]

• omezená práva v doméně
• neomezená práva v doméně
• omezená práva v poddoménách
• neomezená práva v poddoménách

Podle třetích slajdů by to mělo být, že neomezená práva v doméně.

Organizační jednotka[editovat | editovat zdroj]

• nemůže obsahovat svého administrátora
• patří do AD namespace
•  ?
• je to kontejner LDAP

Může být DNS v AD?[editovat | editovat zdroj]

• ano, je to lepší než jiný způsob (Který? Proč? - DNS využije multi-master replikaci a zabezpečení AD)
• ano
• ano, není to vhodné, proč?
• ne

GPO může být vztaženo k[editovat | editovat zdroj]

• skupině - pomocí ACL
• všem počítačům počítačům - aplikací na všechny počítače v doméně
• uživateli - pomocí ACL
• jen některým serverům/DC - aplikací na OU, která obsahuje tyto servery

Jaký je rozdíl mezi lokálními GPO a ostatními?[editovat | editovat zdroj]

• Lokální se aplikují i když není počítač připojen do domény, doménové jen, pokud je počítač připojen do domény.
• Lokální se spravují přímo na daném počítači, doménové se spravují na DC.
• Lokální se nikam nereplikují, doménové se replikují mezi DC odkud si je ostatní počítače stahují.

Jaké protokoly se používají pro name resolution v sítích Windows?[editovat | editovat zdroj]

• KZR/PZR
• DLC
• NetBIOS
• ještě něco divnýho

V rámci čeho musí být název skupiny (group name) unikátní?[editovat | editovat zdroj]

• domain
• OU
• něco
• něco

Poznámka: Doména implikuje OU.

Jaké nástroje se používají pro deployment Windows?[editovat | editovat zdroj]

• RDP
• NTLM
• WSRM (Windows System Resource Manager)
• SysPrep
• DISM (Deployment Image Servicing and Management)

Poznámka: Ještě je možné přidat do odpovědí Microsoft Deployment Toolkit (MDT) v rámci testové politiky "když ti něco v odpovědích chybí, tak si to tam dopiš".

Co je Loopback Processing na GPO?[editovat | editovat zdroj]

Nechť máme dvě GPO. Jedna na PC a jedna na Usera (nazveme je PcGp, UserGp). Ale budeme chtít, aby se User configuration v PcGp projevilo i na tom uživateli. To standardně nejde, protože co je aplikováno na mašinu nám neovlivní uživatele. Proto musíme přistoupit k metodě Loopback Processing. A nastavit na objektu linkovaném na mašinu, tedy na link pro PcGp jeden z následujících dvou režimů:

• 1) Replace: Computer configuration z PcGp => User configuration z PcGp.
• 2) Merge: Computer configuration z PcGp => User configuration z PcGp => User configuration z UserGp.

• Bez použití loopbacku (ukázka rozdílu): Computer configuration z PcGp => User configuration z UserGp.
  

[1] (Zdroj)

Vyjmenujte a vysvětlete Execution Policies v PowerShellu[editovat | editovat zdroj]

• 1) Restricted - žádný script nesmí být vykonán
• 2) AllSigned - pouze digitálně podepsané scripty
• 3) RemoteSigned - všechny stažené(vzdálené) scripty musí být podepsány
• 4) UnRestricted - nejsou vyžadovány podpisy, může být vykonán libovolný script

Co to je a k čemu je PXE?[editovat | editovat zdroj]

Je to Pre-boot Execution Enviroment. Je to mechanismus, který musí mít síťová karta k tomu, aby byl možný boot ze sítě. Dnes to má snad každá. Umožňuje to samo najít boot server a vytáhnout nějaký execution kód, který se potom spustí už lokálně v paměti. Pak už si vše tahá systém.

Který z následujích protokolů se používá při routování?[editovat | editovat zdroj]

• RIP
• NMRP
• OSPF
• KZR
• PNRP
• IGRP (Cisco)

Který z následujích protokolů se používá pro nalezení nejbližšího DC?[editovat | editovat zdroj]

• LDAP
• RIP
• OSPF (snad jen ve starších systémech, ale nejsem si jist. RIP zvítězil jednoduchostí)
• něco

Který z následujících prostředku slouží k ověření certifikátu[editovat | editovat zdroj]

• Sigma CRL (neexistuje)
• Delta CRL (neexistuje)
• SHA-1 (je tam snad na finger printy, ne ověřování platnosti)
• PKI
• OCSP- Online Certificate Status Protocol(pro zjištění zda je certifikát v CRL, aniž bychom museli celé CRL stahovat)
• CRL

Jaké je bezpečnostní riziko v aplikaci GPO na Site?[editovat | editovat zdroj]

Nejsem si jist, zda to stačí, ale bylo to na přednášce. Nicméně to na mě nepůsobí moc jako security issue, ale jako špatné použití. Důvodem prý je, že aplikací GPO na site, se GPO aplikuje i na všechny domény v té site. Takže můžeme nastavením ovlivnit různé nezávislé domény a konfigurovat tím více objektů, než jsme chtěli. Například mám GPO na site, pak jednu doménu rozdělím na dvě a už si neuvědomím, že i pro tu novou doménu mi dál platí to nastavení.

Router A má IP adresy 172.18.13.1/24 a 172.19.23.1/21. Router B má adresy 172.18.13.2/24 a 172.19.16.1/21. Načrtněte topologii sítě a ukažte, jak by vypadala routovací tabulka routeru A.[editovat | editovat zdroj]

Tak nejprve aplikujeme masky a zjistíme, že topologie je následující:
(Síť 172.19.8.0)<=>A<=>(Síť 172.18.13.0)<=>B<=>(Síť 172.19.16.0). Takže máme 3 autonomní sítě.

Tabulka pro A:
Cíl v síti | Síťová maska | Brána | Rozhraní (| Metrika)
172.19.8.0 | 21 | připojeno | 172.19.23.1
172.18.13.0 | 24 | připojeno | 172.18.13.1
172.19.16.0 | 21 | 172.18.13.2 | 172.18.13.1

Zdroje: [2] (Masky) a [3] (Routovaci tabulka)