■Errors Logonは、サーバへのログオンに失敗した回数を示すカウンタです。さまざまなパスワードを試す総当り攻撃が行われていないかどうかを確認することができます。

Errors Systemは、サーバの問題によって発生した内部エラーが検出された回数を示すカウンタです。

Logon Totalは、コンピュータが最後に再起動されてからのログオンの回数の合計を示すカウンタです。正常なログオンの回数も含まれるため、不正なアクセスがあるかどうかを判断することは難しいと考えられます。

Sessions Errored Outは、予期しないエラー、自動切断タイムアウト、正常終了したセッションによって閉じられたセッションの数を示すカウンタです。

■双方向のデマンドダイヤルルーティングでは、呼び出し側ルータの資格情報のユーザ名が、応答側ルータ上で構成されているデマンドダイヤルインタフェースの名前と一致するように構成する必要があります。

■
１．EFS（暗号化ファイルシステム）は、NTFSパーティション上のファイルやフォルダを暗号化することができ、不正なアクセスからデータを保護できます。ただし、ネットワーク上の通信データを暗号化することはできません。

２．Kerberosは、ドメイン内で使用できる認証プロトコルの１つです。暗号化技術ではありません。

３．S/MIME（Secure/Multipurpose Internet Mail Extensions）は、電子メールでやり取りされるデータを暗号化することができますが、HTTP通信は暗号化できません。

４．SSL（Secure Socket Layer）を構成すると、クライアントとWebサーバ間のHTTP通信を暗号化できます。SSLを使用するには、WebサーバにWebサーバ用の証明書をインストールする必要があります。この証明書によって、サーバの身元証明が行われ、セキュリティで保護されたHTTP通信ができるようになります。

■IPセキュリティポリシー

・［クライアント（応答のみ）］
サーバからセキュリティで保護された通信を要求された場合にはIPSec通信を行いますが、そうでない場合は、通信をセキュリティで保護しません。

・［サーバー（セキュリティが必要）］
通常、サーバはセキュリティで保護された通信を要求します。もう一方のコンピュータがIPSecをサポートしていない場合は、セキュリティで保護しない通信が許可されます。

・［セキュリティで保護されたサーバー（セキュリティが必要）］
常にサーバはセキュリティで保護された通信を要求します。もう一方のコンピュータがIPSecをサポートしていない場合は、通信を許可しません。

■設定が変更されていない既定のリモートアクセスポリシーはすべてのリモートアクセスを拒否する。つまりシスコでいうところのアクセスリストの暗黙のdeny anyと考えればよい。

■IPSecに関連するイベントのログを記録するためには、監査ポリシー（［ログオンイベントの監査］や［ポリシー変更の監査］）が有効になっている必要があります。

［ログオンイベントの監査］を有効にすることで、IPSec通信の認証に関するログを記録できるようになります。この監査ポリシー、IPSec通信の認証に関連するログを記録できるようになります。この監査ポリシーは、IPSec以外のログオンイベントを監査するためにも使用されます。

また、［ポリシーの変更の監査］を有効にすることで、IPSec通信を構成できるIPセキュリティポリシーに変更があった場合、その変更のイベントをログに記録できるようになります。

■［IPセキュリティモニタ］で［DNS名の名前解決を有効にする］を有効にすると、IPアドレスではなく、ホスト名またはNetBIOS名で発信元と宛先を表示できるようになります。［IPセキュリティモニタ］の［DNS名の名前解決を有効にする］を有効にする方法は、以下のとおりです。

１．［IPセキュリティモニタ］のサーバのアイコンを右クリックし、ショートカットメニューから［プロパティ］を選択する

２．サーバのプロパティで、［DNS名の名前解決を有効にする］にチェックを付け、［OK］ボタンをクリックする

また、IPアドレスからホスト名を名前解決するには、DNSサーバに正しい逆引き参照ゾーンとポインタ（PTR）リソースレコードが設定されている必要があります。
また、IPアドレスからNetBIOS名を名前解決する場合には、IPSec通信を監視するコンピュータで、［ローカルエリア接続のプロパティ］→［インターネットプロトコル（TCP/IP）のプロパティ］→［TCP/IPの詳細設定］の［WINS］タブで［NetBIOS over TCP/IP］を有効にする必要があります。

■IISメタベースは、IISのほとんどの構成情報を含むテキスト形式のXMLファイルです。IISメタベースは、SUSによって提供されたすべての更新に関する情報を含んでいるため、コンテンツやSUS管理サイトなどのデータをバックアップする前に、IISマネージャを使用して最新のメタベースをバックアップする必要があります。そのあとに、バックアップユーティリティを使用して、以前にバックアップを取った最新のIISメタベースのバックアップファイルとSUS管理サイトやコンテンツなどのデータをバックアップします。

■SUSクライアントがまったく更新をダウンロードしておらず、SUS管理Webサイトにアクセスできない場合、まず最初に、IIS関連のサービスが起動しているかどうかを確認する必要があります。IIS関連のサービスが正しく動作していない場合は、サービスを起動または再起動します。

AのAutomatic Updatesは、自動更新クライアントのサービスです。また、BのBackground Intelligent Transfer Service（BITS）は、空きネットワーク帯域を利用してバックグラウンドでデータを転送、ダウンロードするサービスです。A、Bのサービスが正しく動作していない場合、Windows Updateや自動更新などの機能が正しく動作しませんが、それらが原因でSUS管理Webサイトにアクセスできなくなるということはありません。

■Windows Server2003およびWindows XPでは、グループポリシーの更新を行うためにgpupdate.exeを使用できます。Windows2000ではグループポリシーの更新を行うコマンドとして、secedit /refreshpolicyを使用することができましたが、Windows Server2003では、secedit /refreshpolicyはgpupdate.exeに置き換えられました。

gpresultコマンドラインツール（gpresult.exe）は、適用されているグループポリシー設定の詳細なレポートを表示するのに使います。

■既定のセキュリティ設定を適用する場合、定義済みのセキュリティテンプレートであるsetup security.infを使用します。また、このセキュリティテンプレートはコンピュータごとに異なるため、グループポリシーを使用して複数のコンピュータに適用することはできません。

setup security.infを適用する場合は、各コンピュータで［セキュリティの構成と分析］スナップインまたはseceditコマンドラインツールを使用して適用します。

■Client OUにリンクされたグループポリシーオブジェクト（GPO）の［セキュリティの設定］に設定内容を定義することで、一度に同じセキュリティ設定をClient OU内に含まれているすべてのクライアントコンピュータに適用できます。グループポリシーが有効になるのはWindows2000以降のコンピュータです。

■Active Directory統合ゾーンを使用すると、DNSのゾーン情報がActive Directoryデータベースに保存され、Active Directoryに複製されます。そのため、DNS独自にゾーンを管理する必要がなくなり、システム管理作業のコストを削減することができます。
Active Directory統合ゾーンは、DNSサーバがドメインコントローラの場合だけ指定できます。

■社内のクライアントがインターネットに接続ができるようにするには、インターネットでの名前解決ができるようにする必要があります。問題文のDNSserver1は社内用のDNSサーバで、インターネットに公開されていません。フォワーダの設定を行い、example.local以外のドメインに対するクエリをクライアントから受け取った場合にDNSexampleに転送できるようにします。

委任の設定は、名前空間の連続した親子関係のドメインにしか設定できません。

■委任の設定は親ドメイン側で行います。また、スタブゾーンの作成も親ドメイン側で行います。スタブゾーンを作成することにより、子ドメインのDNSサーバの情報が自動更新されるようになります。問題文の場合、DNSserver1が親ドメインなので、DNSserver1で委任とスタブゾーンを行います。

■通知は、マスタDNSサーバでゾーンの変更があった場合、すぐにセカンダリDNSサーバに通知する機能です。通知の設定はマスタDNSサーバ（複製元）側で行います。社内にはDNSサーバが2台だけあり、DNSserver1がプライマリDNSサーバであることから、DNSserver1からDNSserver2にゾーン複製が行われることがわかります。
Notify Receivedカウンタは、セカンダリDNSサーバが受信した通知の総数です。監査は、セカンダリDNSサーバで行います。

IXFR Request Sentカウンタは、セカンダリDNSサーバが送信した増分ゾーン転送要求の総数を示すカウンタなので、通知とは関係ありません。