Экзамен 70-291 похож на экзамен 70-218, Managing a Microsoft Windows 2000 Network Environment, являющийся обязательным для получения статуса MCSA по Windows 2000. Я сдавал этот экзамен в бета-версии, но с 14 августа он уже доступен в основной версии. В этом обзоре я расскажу о тех областях, на которых, по моему мнению, стоит сфокусировать свои усилия при подготовке к экзамену.
IP-адресация
Первым из разделов экзамена, перечисленных Microsoft, следует Implementing, Managing, and Maintaining IP Addressing (Реализация, управление и поддержка IP-адресации). При сдаче экзамена от вас ожидают демонстрации познаний в TCP/IP-адресации и всех аспектах DHCP, включая области (scope), агенты ретрансляции (relay agent), резервировании (reservation), базах данных, Automatic Private IP Addressing (APIPA) и, в определенной степени, умения выявлять неисправности по всем вышеперечисленным темам.
В экзамене вы можете встретить несколько вопросов, связанных с подсетями, неверно сконфигурированными масками подсетей и шлюзами; постоянно присутствуют вопросы с адресами "по умолчанию" APIPA (169.254.х.х) и результатами выполнения команды IPconfig по диагностике ошибок.
Что касается DHCP, то, по сравнению с Windows 2000, мало что изменилось. Вам необходимо показать знание расположений сервера (локальное, удаленное или промежуточное). Если вы размещаете серверы локально, то трафик DORA (Discover, Offer, Request и Acknowledgements) не выходит за пределы сегмента сети. Но, если локальный сервер недоступен или не имеет свободных адресов, рекомендуется придерживаться следующего правила "75/25": поместите 75 процентов адресов вашей области на локальный сервер и 25 процентов, в качестве резерва, на сервер из удаленного сегмента.
Подсказка: Windows 2003 DHCP может использовать кластеризацию Windows (Windows Clustering). Это дает возможность управлять двумя или более серверами как единой системой и позволяет иметь локальный резервный сервер.
Вы должны знать, как рассчитывать, конфигурировать и выявлять неисправности подобных разделений. Конфигурирование областей с такими опциями, как маршрутизатор (router - 003), адрес DNS сервера, доменного имени и сервера WINS (044 и 046) и понимание порядка разрешения имен по умолчанию являются обязательными требованиями на этом экзамене. Порядок разрешения имен DNS следующий: локальный кэш, файл hosts, DNS, WINS, широковещание и файл LMHOSTS.
Таблица 1: Требования для каждого из сертификационных путей. Экзамен 70-291 удовлетворяет основным требованиям для получения статусов MCSA по Windows 2003 и MCSE по Windows 2003.
|
Основные экзамены по MCSA-Windows 2003 |
Основные экзамены по MCSE-Windows 2003 |
Ускоренный путь для MCSA-Windows 2000 |
Ускоренный путь для MCSE-Windows 2000 |
Обычный путь для MCSA-Windows 2000 | |
| 70-290: Managing and Maintaining a Windows Server 2003 Environment | 70-292: Managing and Maintaining a Windows Server 2003 Environment for an MCSE Certified on Windows 2000 | 70-293: Planning and Maintaining a Windows Server 2003 Network Infrastructure | |||
| 70-291: Implementing, Managing and Maintaining a Windows Server 2003 Network Infrastructure | |||||
| 70-293: Planning and Maintaining a Windows Server 2003 Network Infrastructure | Никаких других основных или выборочных экзаменов для обновления статуса MCSA по Windows 2000 не требуется. | 70-296: Planning, Implementing and Maintaining a Windows Server 2003 Environment for an MCSE Certified on Windows 2000 | 70-294: Planning, implementing and Maintaining a Windows Server 2003 Active Directory Infrastructure | ||
| 70-294: Planning, implementing and Maintaining a Windows Server 2003 Active Directory Infrastructure | |||||
| Основной, по клиентской ОС (один по выбору) | Никаких других основных или выборочных экзаменов для обновления статуса MCSЕ по Windows 2000 не требуется. | Дополнительного основного экзамена по клиентской ОС не требуется | |||
| 70-210: Installing, Configuring and Administering Windows 2000 Professional | |||||
| 70-270: Installing, Configuring and Administering Windows XP Professional | |||||
| Основной, по планированию (один по выбору) | Основной, по планированию (один по выбору) | ||||
| 70-297: Designing a Windows Server 2003 Active Directory and Network Infrastructure (Обратите внимание: может использоваться как основной по планированию или экзамен по выбору, но не одновременно в этих двух качествах) | 70-297: Designing a Windows Server 2003 Active Directory and Network Infrastructure (Обратите внимание: может использоваться как основной по планированию или экзамен по выбору, но не одновременно в этих двух качествах) | ||||
| 70-298: Designing Security for a Windows Server 2003 Network (Обратите внимание: может использоваться как основной по планированию или экзамен по выбору, но не одновременно в этих двух качествах) | 70-298: Designing Security for a Windows Server 2003 Network (Обратите внимание: может использоваться как основной по планированию или экзамен по выбору, но не одновременно в этих двух качествах) | ||||
Разрешение имен
Следующим разделом требований экзамена является Implementing, Managing and Maintaining Name Resolution (Реализация, управление и поддержка разрешения имен). Он посвящен службе DNS. Windows 2003 предлагает новый тип зон, который вам необходимо изучить и испытать - зону-заглушку (stub) и функцию, называемая условной переадресацией (Conditional Forwarding).
Как объясняет Билл Босвелл (Bill Boswell) в своей книге Inside Windows Server 2003, "Зона-заглушка используется вместо записей делегирования, при настройке родительского сервера DNS посылать отсылки (referral) к делегированному серверу DNS, размещенному в дочернем домене". Зона-заглушка содержит копию зоны с исходными записями зоны - start of authority (SOA) и name server (NS) - записи ресурсов для этой зоны необходимы для определения полномочных (authoritative) серверов.
Сервер DNS, размещающий зону-заглушку, снабжается IP-адресом полномочного сервера, с которого он загружается. Когда этот сервер получает запрос для разрешения имени в IP-адрес в зоне, на которую ссылается зона-заглушка, сервер использует этот IP-адрес для запроса полномочного сервера и возвращает отсылку серверу DNS, указанному в зоне-заглушке.
Когда сервер DNS загружает зону-заглушку, он запрашивает основной сервер этой зоны о записях SOA и NS в записях root и host этой зоны. Чтобы обновить свои записи, сервер DNS зоны-заглушки запрашивает основной сервер о записях ресурсов.
Вы можете использовать зону-заглушку для того, чтобы гарантировать, что сервер, являющийся полномочным для родительской зоны, автоматически получает обновления о серверах, полномочных для дочерних зон. Зоны-заглушки могут быть как изолированным, так и интегрированными в Active Directory.
Хотя Microsoft рекомендует условную переадресацию для того, чтобы серверы были осведомлены о других пространствах имен, вы можете использовать вместо нее зоны-заглушки.
Условная переадресация позволяет контролировать процесс разрешения имен вне процесса перенаправления (forwarding) по умолчанию, происходящего между не корневыми и корневыми серверами имен.
Когда вы используете условную переадресацию, серверы DNS могут быть настроены на перенаправление запросов к другим серверам, основываясь на доменном имени в этом запросе. Этот позволяет сократить количество шагов в перенаправлении и уменьшает сетевой трафик. Особенно полезна эта функция при объединении сетей.
Подсказка: Интегрированные зоны DNS обеспечивают отказоустойчивость с помощью Active Directory.
Интегрированные в AD зоны DNS поддерживают опцию безопасного динамического обновления, что не позволяет компьютерам и пользователям, не указанным в списке контроля доступа (ACL) зоны, изменять записи в зоне.
NSlookup, Event Viewer, System Monitor и журналы DNS являются инструментами, включенными в Windows Server для устранения проблем разрешения имен. Утилита Nslookup является наилучшим выбором; она используется для неавтоматических запросов серверов имен для разрешения. Журнал DNS в Event Viewer часто содержит ключ к грядущим или прошлым проблемам. System Monitor является "живым" инструментом для выявления проблем производительности. Журналы DNS помогут выявить проблемы управления, такие как сбой передачи зоны.
Разъясняем требования:
Успешная сдача экзамена 70-291 является основным требованием для каждого, кто хочет быть сертифицированным в качестве MCSA или MCSE по Windows Server 2003. Конечно, если вы уже сертифицированы по Windows 2000, то вы можете пропустить этот экзамен и перейти прямо к 70-292 для обновления статуса MCSA или 70-292 и 70-296 для обновления статуса MCSE. Эти экзамены не проходили стадии бета-тестирования, поскольку включают в себя вопросы из других экзаменов по Windows 2003, например, из этого экзамена.
Сетевая безопасность
Следующая тема: Implementing, Managing and Maintaining Network Security (Реализация, управление и поддержка сетевой безопасности). Здесь вы обнаружите вопросы о шаблонах безопасности (security template), мониторинге и выявлении неполадок IPSec с помощью Event Viewer и Network Monitor.
Чтобы реализовать политику IPSec в доменной среде, вы должны понимать приоритеты политик IPSec. В отличие от большинства настроек групповых политик (Group Policy), являющихся "накопительными", компьютеру может быть назначена только одна политика IPSec одновременно. Если существует несколько политик IPSec, назначенных на разных уровнях, то только последняя из них будет действовать на компьютер. Политика IPSec использует ту же последовательность приоритетов, что и другие настройки групповых политик, а именно, с наименьшего до наибольшего - локальная, объекта групповой политики (ОГП), сайта, домена и, затем, OU (организационной единицы).
Новинкой в Windows 2003 является то, что вы можете использовать такой инструмент как RSoP (Resultant Set of Policy) для анализа назначений политики IPSec для компьютера.
Подсказка: Когда речь идет о IPSec, вы можете начать процесс выявления неисправностей, используя журнал Application в Event Viewer. Внимательное прочтение вопроса, его понимание и просмотр иллюстрации поможет понять смысл расплывчатого изображения Event Viewer!
Network Monitor является предпочтительным инструментом для просмотра захватываемых в реальном времени сетевых данных. Также он помогает при выявлении неисправностей IPSec. Познакомьтесь с основами этого инструмента для сдачи экзамена и получите практический опыт работы с ним, что позволит вам удержать в памяти то, что вы выучили.
| Новый тип вопросов: |
|
Экзамен 70-291 включает новый тип вопросов от Microsoft (см. Рисунок). Это окно разбито на три зоны, с самим вопросом в верхней части, элементами возьми-и-размести (pick-and-plase) слева внизу и конфигурационными окнами, в которые нужно их поместить, права.
 Новый тип вопросов разбивает экран на три секции, что может потребовать дополнительного их прокручивания на небольших мониторах. Размер этих секций можно изменять самостоятельно, как фреймы на web-странице. Это означает, что вам может потребоваться выполнять их "прокрутку" при чтении в ходе экзамена, поскольку во многих тестовых центрах мониторы существенно меньше, чем мы привыкли видеть на своих рабочих столах. Многие из этих вопросов также требуют выбора правильной кнопки или окна выбора на моделирующем продукт изображении.Microsoft предлагает ознакомиться с демо-версией всех новых типов вопросов: http://www.microsoft.com/traincert/mcpexams/faq/innovations.asp. |
Маршрутизация и Удаленный Доступ
Большинство вопросов в бета-экзамене относилось к теме Implementing, Managing, and Maintaining Routing and Remote Access (Реализация, управление и поддержка маршрутизации и удаленного доступа). Здесь же вы можете обнаружить вопросы, посвященные ISA Server и беспроводным LAN.
Windows 2003 RRAS включает поддержку виртуальных частных сетей (VPN) на основе протоколов PPTP и L2TP. Однако если вы используете клиентов или серверы на основе L2TP, расположенные за маршрутизатором, выполняющим преобразование сетевых адресов (NAT, network address translation), то они должны поддерживать доступное теперь прохождение IPSec NAT. Кроме того, вам требуется понимание службы сертификатов (certificate services) для развертывания безопасных VPN-соединений.
Когда центры сертификации (СА, certification authority) присутствуют в сети, клиентский компьютер в домене Windows 2003 может использовать авто-регистрацию или оснастку Certificates для установки сертификата. Также пользователи могут использовать свои web-браузеры для подключения к серверу ЦС, используя адрес servername/certsrv. Сертификаты управляются сервером ЦС, включающим также список отозванных сертификатов (CRL, Certificate Revocation List). Он может быть полезен для отзыва сертификатов удаленного доступа VPN, когда нарушена безопасность.
Контроль доступа к RRAS может выполняться с помощью политик удаленного доступа. Они включают возможность фильтрации по таким параметрам, как время доступа и профили для ограничения соединений определенного типа аутентификации.
Подсказка: Вы можете усилить безопасность и управляемость серверов RRAS, используя Internet Authentication Service (IAS) для централизации аутентификации, авторизации и учета использования ресурсов как для VPN, так и для соединений с коммутируемым доступом.
Теперь требуется, чтобы IAS обеспечивал поддержку аутентификации, авторизации и учета использования ресурсов при соединениях, использующих стандарт IEEE 802.1X для беспроводной связи.
Этот новый стандарт добавляет другой уровень безопасности беспроводных сетей и теперь также встроен в Windows XP (а также такая замечательная функция, как Wireless Zero Configuration (WZC)).
Техническое примечание: Стандарт 802.1X определяет контроль сетевого доступа, основанный на используемых портах, для обеспечения подтверждаемого доступа к сетям Ethernet. Этот контроль использует физические характеристики переключаемой инфраструктуры LAN для аутентификации устройств, подключенных к портам LAN. Если процесс аутентификации провалится, доступ к данному порту может быть запрещен.
Беспроводной процесс аутентификации должен поддерживать конфигурацию в качестве клиента RADIUS и Wired Equivalent Privacy (WEP) с аутентификацией 802.1X. 802.1X Authentication Client компании Microsoft обеспечивает поддержку для компьютеров, работающих под различными версиями Windows, включая NT. (Вы можете загрузить эти поддерживаемые клиенты с www.microsoft.com/windows2000/server/evaluation/news/bulletins/8021xclient.asp.)
| 70-291: Windows Server 2003 Network Infrastructure |
|
Наименование экзамена Статус Доступен с 14 августа 2003 года. Экспертная оценка "Этот экзамен требует профессионального знания TCP/IP, DNS, DHCP, RRAS, ISA Server, а также текоторых тем, не включенных в перечень экзаменационных требований, таких как развертывание беспроводных LAN". Кто должен сдавать его Экзамен является основным для MCSA и MCSE по Windows Server 2003. Описание экзамена http://www.microsoft.com/traincert/exams/70-291.asp |
Новые настройки ОГП позволяют предварительно сконфигурировать тип сетевого соединения пользователя в WLAN (беспроводной локальной сети), его сетевое имя (SSID), настройки WEP, контроль доступа с помощью 802.1X и аутентификационные методы и настройки.
Подсказка: Для поддержки безопасных беспроводных решений в Windows 2003 вам необходимы: AD, DNS, DHCP, RADIUS, PKI и EAP-TLS или PEAP.
Windows 2003 поддерживает протоколы маршрутизации RIP версии 1 and 2 и OSPF.
Конфигурирование завершается с помощью консоли RRAS. Инструменты для выявления неисправностей включают в себя такие традиционные команды как ping, tracert и route. Для этого экзамена важно понимание того, что предлагает каждый из этих инструментов и как интерпретировать их выходные данные.
Подсказка: Контейнер Interfaces в RRAS используется для добавления дополнительных интерфейсов для маршрутизации.
ISA Server является брандмауэром и кэширующим прокси-сервером, впервые реализованном в Windows 2000. Обновление ISA Server SP1 требуется для установки его на Windows 2003, также он включает интеграцию для защиты серверов IIS и Exchange. Существует специальный экзамен по ISA Server (70-227), но 70-291 включает несколько вопросов, относящихся к его возможностям.
| 10 практических упражнений |
|
|
Поддержка сетевой инфраструктуры
Заключительной темой экзамена 70-291 является Maintaining a Network Infrastructure (Поддержка сетевой инфраструктуры).
Здесь вы найдете такие темы, как мониторинг сетевого трафика, использование Network Monitor и System Monitor, выявление неисправностей соединения с Интернет и служб сервера.
Network Monitor является предпочтительным инструментом для обнаружения сетевого трафика, как ожидаемого, так и нет! Используя захватывающие и отображающие фильтры, вы можете определять происхождение и диагностировать клиентов TCP/IP, DNS, DHCP, RRAS и WLAN, а также серверный трафик.
Мониторинг и ведение журнала IPSec могут оказаться полезными при определении ошибок VPN-соединений или изучении текущих проблем безопасности.
Подсказка: SNMP также является инструментом сетевого управления, часто используемым для диагностики и помощи в разрешении проблем сетевого трафика.
После выявления проблем, перезапуск таких служб, как DNS, DHCP и RRAS, может привести в некоторых случаях к их "быстрой фиксации". И еще раз: Event Viewer и System Monitor являются лучшими инструментами для усовершенствованного процесса выявления неисправностей!
Дополнительная информация
Описание экзамена доступно по следующей ссылке: www.microsoft.com/traincert/exams/70-291.asp. Ресурсы для изучения Windows Server 2003 могут быть найдены в справке и документации по этому продукту.
Конечно, вам также потребуется практический опыт работы с системой.
Если ваша компания не делает никаких движений по ее приобретению, доступна 180-дневная оценочная версия продукта: www.microsoft.com/windowsserver2003/evaluation/trial/default.mspx.
Также существует огромное количество информации, доступной в оперативном режиме на сайте Microsoft, например, Windows Server Community:
www.microsoft.com/windowsserver2003/community/default.asp.
Удачи.
Энди Бэркл, CCNP, CCDP, CISSP, MCT, MCSE:Security, MCSA:Security, A+, CTT+, i-Net+, Network+, Security+, Server+, CNA, имеет более 19 лет стажа в ИТ-области. Является владельцем компании MCT & Associates LLC, обучающей и консультационной фирмы из г.Феникс, штат Аризона. Большую часть своего времени он проводит в учебных классах, но также отвечал за многие сетевые реализации Microsoft Windows 2000, Exchange 2000 и Cisco для широкого круга клиентов в Аризоне. Также является сетевым редактором сайтов MCPMag.com, TCPMag.com, CertCities.com и входит в авторские коллективы издательств Sybex и Cisco Press. Ежемесячно проводит множество интерактивных диалогов по подготовке к экзаменам на сайтах MCPmag.com, TCPmag.com and CertCities.com.