概述 Woodgrove 银行有一个 24 小时工作的呼叫中心用来支持客户和合作伙伴。Woodgrove 银行总部位于洛杉机（Los Angeles），拥有 1000 名员工。一个地区分行位于丹佛（Denver），拥有800 员工。还有 100 个支行，分部在美国西部的大部分城市，每个支行有 10 到 20 位员工。 业务处理 洛杉机总部对 Woodgrove 银行进行管理。地区管理位于洛杉机和丹佛，洛杉机总部还管理加利福尼亚（Califonia），俄勒冈州（Oregon）和华盛顿（Washington）所有支行的运作。丹佛地区分行管理科罗拉多州（Colorado），新墨西哥州（New Mexico），犹他州（Utah）和亚利桑那州（Arizona）所有支行的运作。洛杉机和丹佛各自维护一个客户支持呼叫中心。 人力资源（HR）部门位于洛杉机，信息技术（IT）部门位于洛杉机和丹佛两个地区，每个地区有一个数据中心，为各自地区提供 IT 服务，IT 部门负责所有网络的管理任务，支行则没有 IT 人员。 目录服务 在一个单一的森林中有 4 个 Active Directory 域，Active Directory 结构如下图所示： 所有客户支持人员都在 support.corp.woodgrovebank.com 域上拥有用户账户，他们通过这些账户负责对内部和外部的客户提供支持，HR 部门的所有人员都是 LA/HRUsers 组的成员，每个支行都对应有一个组织单元（OU），每一个地区域中也都包含了各自地理区域中的支行所对应的组织单元（OU）。 网络结构 所有服务器运行 Windows Server 2003，所有客户机运行 Windows XP 专业版。洛杉机和丹佛安装了无线访问点，无线访问点支持 IEEE 802.11q 规格和有线对等私有性（WEP）加密。无线访问点支持证书和 Radius 身份验证。目前，无线访问点上没有配置加密或身份验证方法。在安全补丁和更新包部署到其他网络之前，必须要通过洛杉机数据中心的一个测试网络的检测。洛杉机和丹佛之间用专用广域网连接，支行和它所属的地区银行之间是用一个帧中继线连接。洛杉机和丹佛都有一个专用连线连接 Internet，支行不和 Internet 连接。公共可访问的 Web 和应用服务器位于一个网络设备防护网上，如下图所示： Web 服务器上部署了一个应用系统，此应用系统和丹佛数据中心一台 Windows Server 2003计算机上部署的一个客户应用连接。这个 Web 服务器还部署了一个 Web 站点，这个站点包括了客户和公有的公共可访问信息。这个网络设备防护网还作为企业外部网供合作公司访问。一台名为 WebKiosk 的 Windows Server 2003 计算机安装在洛杉机数据中心。WebKiosk 运行IIS6.0 并部署了一个 Web 站点，每个支行的信息服务台可以访问这个站点。WebKiosk 是Kiosk OU 的成员，信息服务台使用一个名为 KioskUser 的用户帐户和 Web 站点连接。 首席信息总监 我关心无线网络对我们网络的安全造成的危害，我想确保只有授权用户和授权计算机能够连接无线网络。我还关心我们的公钥基础设施可能受到的安全危及，如果受到这样的一次危及客户对我们公司的信任将被破坏，并且恢复就时间和金钱来说相当昂贵。 IT主管 在我们以前的环境下补丁管理昂贵又费时，经常要求 IT 人员到所有支行所在地执行。我想用一个方法使更新程序能够自动部署到网络中所有计算机上。我还关心支行里的信息服务台危及网络安全并允许未授权访问公司资源。还有一个问题，就是支行出纳员在他们的计算机上运行未授权应用程序。 HR主管 我担心未被授权的用户能访问个人信息，这些个人信息只有 HR 用户需要访问，并非 IT 员工能访问。 组织目的 必须考虑以下组织需求： 每位客服人员必须在呼叫中心工作 6 个小时，其中有 4 个小时随时待命提供服务，这些用户拥有手提电脑并能够高速访问 Internet。这些用户希望使用用户终端服务从呼叫中心的Windows Server 2003 计算机上运行支持应用系统。 Woodgrove 银行与外部审核公司合作向用户提供查帐服务。审核公司的用户能访问丹佛地区分行的外部网，这些用户需要访问丹佛内部网上一台名为 Server1 服务器上的文件资源。即使 IT 人员不在自己的位置上，他们也必须能够执行管理任务。所有的 IT 人员都有新的配有无线网卡的手提电脑。 支行出纳员在他们的计算机上只能够运行名为 Bank Teller 2.0 的第三方应用软件。不管最终用户采取什么行动，其他应用软件不能在这些计算机上运行。但是，地区银行的用户能够运行他们所需的应用系统。 安全性 必须考虑以下安全需求： 所有个人数据都存储在 HRSrv1 服务器上，只有 HR 部门的用户可以访问这些数据。然而，IT人员按计划必须能够备份和存储这些数据。IT 人员能够从家里连接网络，所有 IT 人员和网络外部连接必须使用强大有效的加密和身份验证方法。 审核公司的用户只能够和名为 TS-Server1 的 Windows Server 2003 计算机连接。TS-Server1运行终端服务并且位于外部网上。所有内部网资源的访问必须通过 TS-Server1。 客户能够通过公司 Web 站点访问个人账户信息，所有客户都配备了一个智能卡和智能卡读取器。客户使用智能卡作为借记卡来访问个人账户信息。智能卡还包括了 Woodgrove 银行 CA发行的一个用户证书。 客户需求 必须考虑以下客户需求： 合作公司的用户需要访问丹佛内部网上一台 Microsoft SQL Server 2000 计算机上存储的信息。内部网用户也能够使用 Microsoft Access 2000 访问 SQL Server 中的信息。 银行客户能够安全访问他们个人账户信息 客户和潜在客户能够使用运行 Windows XP 专业版的信息服务台来访问银行公有信息。每个支行将会有至少一台的信息服务台。 Active Directory 必须考虑下列对 Active Directory 的要求 企业外部网应用服务器上使用的应用软件需要对 Active Directory 架构进行修改，这些修改不能应用到其他的网络中。 目前所有支行的网络管理都是由洛杉机和丹佛两地的管理员来执行的。IT 部门想要把特定城市的所有支行管理工作分配给独立的一个管理员。这位管理员将会负责支行所有用户、组和资源的管理。 IT技术支持部门的员工要求 在 la.corp.woodgrovebank.com 域和den.corp.woodgrovebank.com 域执行有限的管理任务，这些任务包括重置用户口令和创建支行新用户账户，但不能执行其他管理任务。 网络基础架构 必须考虑以下网络架构需求： 所有帧中继广域网连接需要加密和身份验证。 证书服务必须安装在每个域的至少一台服务器上，CA 的配置必须根据每个域的需求。 一台软件更新服务（SUS）服务器必须安装在每个地区银行的域上。 微软基线安全分析器（MBSA）必须部署到每个域的所有计算机上。 你需要设计一个远程访问认证策略，这个策略将允许 IT 部门的用户远程连接网络，你的解决方案需要满足安全需求，你该怎么做？（）

概述 高山滑雪公司经营着滑雪胜地，这些滑雪胜地向客户提供住宿、餐饮和娱乐。公司的总部在丹佛，公司在北美有10个滑雪胜地，其中3个在加拿大，近期又将在欧洲增开4个滑雪胜地。每个胜地有90到160的用户。 计划修改 以下是接下去三个月需要进行的计划修改： 公司将在维也纳开设分公司，维也纳将支持欧洲4个滑雪胜地，和丹佛目前支持北美滑雪胜地的方式一样； 北美的所有服务器都会更新成WindowsServer2003。所有的客户机都将升级成WindowsXP专业版。当WindowsNT4.0域中的成员服务器和客户机都升级后，NT域将会移植到ActiveDirectory中；一台新的名为Server1的文件服务器将安装并配置，它将运行WindowsServer2003。每个滑雪胜地将为未授权用户，比如圣地的顾客，安装几个网络信息亭。为了在高消费阶层具有市场竞争性，公司将给来访的顾客提供无线Internet接入。 业务过程 信息技术（IT）部门在丹佛，操作着公司的网站、数据库和电子邮件服务器。IT部门还管理丹佛客户机，IT员工到北美胜地对那里的服务器执行大型升级、新的安装和重大故障排除，每处胜地至少有一个桌面支持技术员来支持客户机。根据他们的经验，有些技术员对他们胜地的服务器有管理权利。欧洲胜地有一个财务部门维持着一个名为hrbenefits.alpineskihouse.com的Web应用，这个应用给每位员工提供机密个人信息。此 应用有以下特征： 使用ASP.NET和ADO.NET 部署在丹佛办公室的一台Web服务器上 员工可以从工作处或家中来访问这个应用 预订部门维护着一个名为funski.alpineskihouse.com的公共Web站点。这个Web站点有以下特征： 使用ASP.NET和ADO.NET 能够在Internet上的任何地方获得 这个Web站点还包括了每处滑雪胜地的静态内容 目录服务 公司使用北美的一个名为alpineskihouse.com的ActiveDirectory域，丹佛IT部门管理这个域。alpineskihouse.com域将保持一个森林根域。欧洲财务部门有一个名为CONTOSODOM的WindowsNT4.0域。每个欧洲胜地有一台运行WindowsNTServer4.0的域控制器。所有员工都有ActiveDirectory和WindowsNT4.0域的用户账户。 网络基础架构 现有的位置和连接如下网络结构图所示： 丹佛办公室的网络基础结构如下图所示： 公司北美所用的服务器都运行Windows2000Server，欧洲所用的服务器运行WindowsNTServer4.0。公司所有客户机都运行Windows2000专业版。每个滑雪胜地和每个办公室都有一台文件服务器。办公室和滑雪胜地之间通过Internet的VPN连接。每个滑雪胜地都安装了无线访问点供员工使用。 首席信息官（CIO）的意见 保护我们共同的数据是至关重要的。我们把大量的客户信息保存在一个文件中，这些信息是我们必须保护的； 所有我们使用的公钥基础结构（PKI）证书必须受到广泛的信任，客户不需要执行额外的操作获得Web站点的访问； 我们建立了安全策略和日志需求，如果有人破坏这些策略，我需要立即被告知并做出响应。 IT部门经理的意见 为了避免昂贵复杂的WAN连接，我们使用VPN连接来代替。然而，我们不想让用户直接从Internet上下载更新程序； 我还希望能够自动进行日常管理任务，经常我们在很忙的时候那些重要的任务也没完成，所以IT管理需要通过尽可能少的用手动操作来完成； 我担心一些重要的东西可能会丢失。 目前，旧有的应用程序用来管理滑雪胜地的业务功能，读取和填写非管理员不能修改的注册信息； 如果用户以管理员身份登录客户机来运行应用程序，可以正常工作，但是这个破坏了公司的正式书面安全策略。 组织目的 公司必须能够在办公室和滑雪胜地之间共享信息，但是客户个人信息和其他机密数据在存储和传输中必须加密。 书面安全策略 公司书面安全策略包括以下需求： 当一位管理员做了和安全性相关的操作并影响到了公司的服务器时，这个事件必须载入日志，这个日志必须保存。如果可能，第二位管理员必须审核这个事件；只有滑雪胜地的IT员工和桌面支持技术员对客户机有管理权限，并能够修改其他用户的配置； 所有客户机必须进行特定的桌面设置，这个设置集名为DesktopSettingsSpecification，包括一个口令保护的屏保； 网络信息亭计算机必须用更多受限的桌面设置来配置，这个设置集名为KioskDesktopSpecification。只有管理员能够修改这些设置； 所有客户机必须保持微软最新发布的重要更新程序和安全补丁。然而，IT部门必须在这些更新程序应用之前对他们进行批准。欧洲IT管理员只能批准欧洲所在计算机上的更新程序，北美IT管理员只能批准北美所在计算机的更新程序； 公共Web服务器不接受InternetTCP/IP连接； 客户用户帐户和员工帐户不能存储在相同的ActiveDirectory域； 来自客户用户帐户所在域的管理员帐户，在任何情况下都不能管理员工帐户； hrbenefits.alpineskihouse.comWeb应用系统中的所有数据在Internet上传输时必须加密； 每个员工为了连接hrbenefits.alpineskihouse.com都必须使用一个PKI证书的身份验证。 客户需求 客户对无线访问和信息亭计算机的要求必须考虑以下几点： 员工和客户必须能够访问无线网络；但是，服务器只有员工可接近。 信息亭计算机只能用来浏览Internet，并将运行WindowsXP专业版。 用户必须能够通过funski.alpineskihouse.com建立帐户，帐户信息必须存储在ActiveDirectory中。所有客户个人信息在Internet上传输时必须被加密。 ActiveDirectory 必须考虑以下对ActiveDirectory的要求： 域必须包括公司每个位置的顶级组织单元（OU），员工帐户必须位于他们主要工作位置的OU中。所有支持用户的IT员工必须都是SupportSecurity组的成员，高技术IT员工还必须是AdvancedSupport安全组的成员。所有位于欧洲的客户机必须按照桌面安全设置规范来配置，即使此时域升级没有完成。每个滑雪胜地的桌面支持技术员必须能够重置当地员工用户密码。 网络架构 必须考虑以下网络架构需求： 授权IT员工必须使用远程桌面控制（RDP）来管理网络设备防护网上的服务器。IT员工必须还能够使用RDP来管理滑雪胜地的服务器。滑雪胜地必须接受来自他们所在地区的重要更新程序和安全补丁。每个滑雪胜地必须有一台或更多的WindowsServer2003计算机，这些计算机配置成用来处理DNS，DHCP和任何VPN连接的基础结构服务器。部署完Server1之后，公司所有用户必须能够创建和读取ALL_USERSandServer1共享文件夹中的文件。 只有WebPublishersSecurity组的成员能够修改公共Web站点，所有修改信息在传输时必须加密。 一家公司的部分网络逻辑图表如下工作区所示。你正在设计一个软件更新服务组织结构，你需要决定哪里该放 SUS（软件更新服务）服务器。之后，你需要决定每台新的 SUS服务器是否从 Internet 上的微软服务器上或公司内部另一台 SUS 服务器上接收更新程序。你的解决方案必须尽可能使用最少数量的 SUS 服务器。你该怎么做？（）

一台主机要解析www.abc.edu.cn的IP地址，如果这台主机配置的域名服务器为202.120.66.68，因特网顶级域名服务器为11.2.8.6，而存储www.abc.edu.cn与其IP地址对应关系的域名服务器为202.113.16.10，那么这台主机解析该域名通常首先查询（）。

一台主机要解析www.test.com的IP地址，如果这台主机配置的域名服务器为101.202.44.8，因特网顶级域名服务器为100.2,8.6，而存储www.test.com与其IP地址对应关系的域名服务器为101.113.16.10，那么这台主机解析该域名通常首先查询( )。

某主机要访问www.bbb.com，主域名服务器为202.n117.112.5，辅助域名服务器为 202.117.112.6，域名www.bbb.com的授权域名服务器为102.117.112.3，则这台主机进行该域名解析时最先查询的是__（67）__。

某主机要访问www.bbb.com，主域名服务器为202.117.112.5，辅助域名服务器为 202.117.112.6，域名www.bbb.com的授权域名服务器为102.117.112.3，则这台主机进行该域名解析时最先查询的是__（67）__。

WWW采用客户机/服务器工作模式。WWW服务以( )为基础，为用户提供界面一致的信息浏览系统。

概述 Woodgrove 银行有一个 24 小时工作的呼叫中心用来支持客户和合作伙伴。Woodgrove 银行总部位于洛杉机（Los Angeles），拥有 1000 名员工。一个地区分行位于丹佛（Denver），拥有800 员工。还有 100 个支行，分部在美国西部的大部分城市，每个支行有 10 到 20 位员工。 业务处理 洛杉机总部对 Woodgrove 银行进行管理。地区管理位于洛杉机和丹佛，洛杉机总部还管理加利福尼亚（Califonia），俄勒冈州（Oregon）和华盛顿（Washington）所有支行的运作。丹佛地区分行管理科罗拉多州（Colorado），新墨西哥州（New Mexico），犹他州（Utah）和亚利桑那州（Arizona）所有支行的运作。洛杉机和丹佛各自维护一个客户支持呼叫中心。 人力资源（HR）部门位于洛杉机，信息技术（IT）部门位于洛杉机和丹佛两个地区，每个地区有一个数据中心，为各自地区提供 IT 服务，IT 部门负责所有网络的管理任务，支行则没有 IT 人员。 目录服务 在一个单一的森林中有 4 个 Active Directory 域，Active Directory 结构如下图所示： 所有客户支持人员都在 support.corp.woodgrovebank.com 域上拥有用户账户，他们通过这些账户负责对内部和外部的客户提供支持，HR 部门的所有人员都是 LA/HRUsers 组的成员，每个支行都对应有一个组织单元（OU），每一个地区域中也都包含了各自地理区域中的支行所对应的组织单元（OU）。 网络结构 所有服务器运行 Windows Server 2003，所有客户机运行 Windows XP 专业版。洛杉机和丹佛安装了无线访问点，无线访问点支持 IEEE 802.11q 规格和有线对等私有性（WEP）加密。无线访问点支持证书和 Radius 身份验证。目前，无线访问点上没有配置加密或身份验证方法。在安全补丁和更新包部署到其他网络之前，必须要通过洛杉机数据中心的一个测试网络的检测。洛杉机和丹佛之间用专用广域网连接，支行和它所属的地区银行之间是用一个帧中继线连接。洛杉机和丹佛都有一个专用连线连接 Internet，支行不和 Internet 连接。公共可访问的 Web 和应用服务器位于一个网络设备防护网上，如下图所示： Web 服务器上部署了一个应用系统，此应用系统和丹佛数据中心一台 Windows Server 2003计算机上部署的一个客户应用连接。这个 Web 服务器还部署了一个 Web 站点，这个站点包括了客户和公有的公共可访问信息。这个网络设备防护网还作为企业外部网供合作公司访问。一台名为 WebKiosk 的 Windows Server 2003 计算机安装在洛杉机数据中心。WebKiosk 运行IIS6.0 并部署了一个 Web 站点，每个支行的信息服务台可以访问这个站点。WebKiosk 是Kiosk OU 的成员，信息服务台使用一个名为 KioskUser 的用户帐户和 Web 站点连接。 首席信息总监 我关心无线网络对我们网络的安全造成的危害，我想确保只有授权用户和授权计算机能够连接无线网络。我还关心我们的公钥基础设施可能受到的安全危及，如果受到这样的一次危及客户对我们公司的信任将被破坏，并且恢复就时间和金钱来说相当昂贵。 IT主管 在我们以前的环境下补丁管理昂贵又费时，经常要求 IT 人员到所有支行所在地执行。我想用一个方法使更新程序能够自动部署到网络中所有计算机上。我还关心支行里的信息服务台危及网络安全并允许未授权访问公司资源。还有一个问题，就是支行出纳员在他们的计算机上运行未授权应用程序。 HR主管 我担心未被授权的用户能访问个人信息，这些个人信息只有 HR 用户需要访问，并非 IT 员工能访问。 组织目的 必须考虑以下组织需求： 每位客服人员必须在呼叫中心工作 6 个小时，其中有 4 个小时随时待命提供服务，这些用户拥有手提电脑并能够高速访问 Internet。这些用户希望使用用户终端服务从呼叫中心的Windows Server 2003 计算机上运行支持应用系统。 Woodgrove 银行与外部审核公司合作向用户提供查帐服务。审核公司的用户能访问丹佛地区分行的外部网，这些用户需要访问丹佛内部网上一台名为 Server1 服务器上的文件资源。即使 IT 人员不在自己的位置上，他们也必须能够执行管理任务。所有的 IT 人员都有新的配有无线网卡的手提电脑。 支行出纳员在他们的计算机上只能够运行名为 Bank Teller 2.0 的第三方应用软件。不管最终用户采取什么行动，其他应用软件不能在这些计算机上运行。但是，地区银行的用户能够运行他们所需的应用系统。 安全性 必须考虑以下安全需求： 所有个人数据都存储在 HRSrv1 服务器上，只有 HR 部门的用户可以访问这些数据。然而，IT人员按计划必须能够备份和存储这些数据。IT 人员能够从家里连接网络，所有 IT 人员和网络外部连接必须使用强大有效的加密和身份验证方法。 审核公司的用户只能够和名为 TS-Server1 的 Windows Server 2003 计算机连接。TS-Server1运行终端服务并且位于外部网上。所有内部网资源的访问必须通过 TS-Server1。 客户能够通过公司 Web 站点访问个人账户信息，所有客户都配备了一个智能卡和智能卡读取器。客户使用智能卡作为借记卡来访问个人账户信息。智能卡还包括了 Woodgrove 银行 CA发行的一个用户证书。 客户需求 必须考虑以下客户需求： 合作公司的用户需要访问丹佛内部网上一台 Microsoft SQL Server 2000 计算机上存储的信息。内部网用户也能够使用 Microsoft Access 2000 访问 SQL Server 中的信息。 银行客户能够安全访问他们个人账户信息 客户和潜在客户能够使用运行 Windows XP 专业版的信息服务台来访问银行公有信息。每个支行将会有至少一台的信息服务台。 Active Directory 必须考虑下列对 Active Directory 的要求 企业外部网应用服务器上使用的应用软件需要对 Active Directory 架构进行修改，这些修改不能应用到其他的网络中。 目前所有支行的网络管理都是由洛杉机和丹佛两地的管理员来执行的。IT 部门想要把特定城市的所有支行管理工作分配给独立的一个管理员。这位管理员将会负责支行所有用户、组和资源的管理。 IT技术支持部门的员工要求 在 la.corp.woodgrovebank.com 域和den.corp.woodgrovebank.com 域执行有限的管理任务，这些任务包括重置用户口令和创建支行新用户账户，但不能执行其他管理任务。 网络基础架构 必须考虑以下网络架构需求： 所有帧中继广域网连接需要加密和身份验证。 证书服务必须安装在每个域的至少一台服务器上，CA 的配置必须根据每个域的需求。 一台软件更新服务（SUS）服务器必须安装在每个地区银行的域上。 微软基线安全分析器（MBSA）必须部署到每个域的所有计算机上。 你需要设计一个安全策略，这个策略将确保未授权用户不能访问员工数据。你的解决方案必须遵守安全需求和公司新的管理模式，你该怎么做？（）

信息系统的系统结构从使用者，网络结构，联结方式的角度分类有主机/终端式，服务器/客户机式，浏览器方式，通常在系统设计中采用服务器/客户机式。（）

服务器技术人员正在执行服务器安装。此服务器必须能够将主机名解析为运行各种客户端操作系统的用户。至少,以下哪些服务应该在新服务器上启用? (选择两个)。(多选题)

某单位架设了域名服务器来进行本地域名解析，在客户机上运行nslookup查询某服务器名称时能解析出IP地址，查询IP地址时却不能解析出服务器名称，解决这一问题的方法是（）。

某企业的网络工程师安装了一台基本的DNS服务器，用来提供域名解析。网络中的其他计算机都作为这台DNS服务器的客户机。他在服务器创建了一个标准主要区域，在一台客户机上使用nslookup工具查询一个主机名称，DNS服务器能够正确地将其IP地址解析出来。可是当使用nslookup工具查询该IP地址时，DNS服务器却无法将其主机名称解析出来。请问，应________解决这个问题。