AccueilCertificationsAZ-801 › Questions gratuites

Questions gratuites AZ-801 — Configuring Windows Server Hybrid Advanced Services

Téléchargez gratuitement 60 questions d'entraînement pour la certification AZ-801 proposée par Microsoft. Toutes les questions sont accompagnées de corrections détaillées avec explications techniques.

Caractéristiques de l'examen blanc

Code de certificationAZ-801
ÉditeurMicrosoft
Nombre de questions60
TypeQCM avec 4 réponses possibles
Niveauassociate
CatégorieInfrastructure
Prix100% gratuit

Aperçu de 8 questions représentatives

Voici un échantillon aléatoire de 8 questions tirées de notre base d'entraînement AZ-801. Pour accéder aux 60 questions complètes, lancez l'examen blanc gratuitement.

Question 1
Quel est le Tombstone Lifetime par défaut dans Active Directory (à partir de Windows Server 2003 SP1)?
  1. 60 jours
  2. 90 jours
  3. 180 jours
  4. 365 jours
  5. A, B) Valeurs incorrectes pour les versions modernes. D) Pas le défaut. Le TSL peut être modifié (augmenté pour des environnements avec des DCs offline prolongés, ou diminué pour économiser l'espace - déconseillé). Vérifier : Get-ADObject -Identity "CN=Directory Service,CN=Windows NT,CN=Services,CN=Configuration,DC=contoso,DC=com" -Properties tombstoneLifetime. Si un DC est offline > TSL, il doit être décommissionné (pas réintégré - risque de lingering objects).
Question 2
Vous devez implémenter le Dynamic Access Control (DAC) pour classifier automatiquement les fichiers sensibles et appliquer des permissions basées sur les attributs (claims-based access control). Quelle infrastructure devez-vous déployer?
  1. pour classifier automatiquement les fichiers sensibles et appliquer des permissions basées sur les attributs (claims-based access control). Quelle infrastructure devez-vous déployer?
  2. DAC fonctionne sans infrastructure supplémentaire
  3. Déployer File Classification Infrastructure (FCI) avec FSRM pour classifier les fichiers, configurer des claims types et resource properties dans AD, activer Kerberos Armoring, et créer des Central Access Policies distribuées via GPO
  4. DAC n'existe pas dans Windows Server
  5. Utiliser uniquement des permissions NTFS classiques
  6. Infrastructure : 1) File Classification Infrastructure (FSRM) pour classifier automatiquement les fichiers (ex: tag "High Business Impact" basé sur le contenu), 2) Claims types et Resource Properties définis dans AD (AD Admin Center), 3) Kerberos Armoring (Compound Authentication) pour transporter les claims, 4) Central Access Policies (CAP) définissant les règles (ex: "Allow Read si User.Department = Finance AND File.Classification = Financial"), 5) Déploiement via GPO. A) Infrastructure complexe requise. C) DAC existe et est puissant. D) NTFS seul ne supporte pas claims-based. DAC use cases : compliance automatisée (HIPAA, PCI-DSS), data governance, automatic encryption/rights management. Combiner avec Azure Information Protection pour la classification et protection étendues.
Question 3
Vous devez implémenter le DNS round-robin pour load balancer les requêtes entre 3 web servers ayant la même IP name (www.contoso.com). Comment devriez-vous configurer le DNS?
  1. Créer un seul enregistrement A pour le premier serveur uniquement
  2. Créer 3 enregistrements A avec le même nom (www.contoso.com) mais des IPs différentes (192.168.1.10, .11, .12), et activer Round Robin dans les propriétés du serveur DNS
  3. DNS ne peut pas faire de load balancing
  4. Utiliser des enregistrements CNAME uniquement
  5. Un seul enregistrement n'offre pas de distribution. C) DNS round-robin est une méthode basique de load balancing. D) CNAME pointe vers un autre nom (alias), pas une solution de load balancing. Limitations : pas de health checking (les serveurs down restent dans la rotation), pas de sticky sessions. Pour un vrai load balancing, utiliser Azure Load Balancer, Application Gateway, ou Traffic Manager.
Question 4
Vous devez surveiller la santé et les performances de vos serveurs Windows Server. Quelle solution Microsoft cloud devriez-vous utiliser pour le monitoring centralisé hybride?
  1. Surveiller uniquement avec Performance Monitor local sur chaque serveur
  2. Azure Monitor avec l'agent Log Analytics (ou Azure Monitor Agent) déployé sur tous les serveurs (Azure VMs et on-prem via Azure Arc) pour centraliser les métriques, logs, et alertes
  3. Aucune solution cloud n'existe
  4. Utiliser uniquement Event Viewer local
  5. ou Azure Monitor Agent (AMA - nouveau, recommandé) sur les serveurs, 2) Envoyer les métriques de performance et logs vers Log Analytics Workspace, 3) Créer des queries KQL pour analyser, 4) Configurer des alert rules (metric alerts, log query alerts) avec action groups (email, SMS, webhook, ITSM), 5) Visualiser avec Workbooks/Dashboards. A, D) Le monitoring local ne centralise pas ni n'alerte proactivement. C) Azure Monitor est spécifiquement pour l'hybride. Azure Monitor supporte aussi : VM Insights (dependency mapping), Update Management, Change Tracking, Sentinel integration (SIEM). Les agents collectent : performance counters, Event Logs, IIS logs, Syslog (Linux), custom logs. Cost : gratuit pour l'ingestion de base, payant pour la rétention long-terme et advanced features.
Question 5
Vous configurez IP Address Management (IPAM) pour gérer vos serveurs DHCP et DNS. (Sélectionnez TOUTES les réponses correctes)
  1. IPAM fournit une console centralisée pour découvrir, monitorer, auditer, et gérer les serveurs DHCP/DNS/IPAM dans l'infrastructure
  2. IPAM peut tracker l'utilisation des adresses IP, générer des rapports d'utilisation, et détecter les IP conflicts ou rogue DHCP servers
  3. IPAM supporte le Role-Based Access Control (RBAC) pour déléguer la gestion DHCP/DNS à différents groupes d'administrateurs
  4. IPAM nécessite des licenses supplémentaires coûteuses
  5. IPAM (Windows Server 2012+) centralise la gestion IP : autodiscovery des DHCP/DNS/DC servers, monitoring de l'état, configuration centralisée, audit des changements. B) IP address tracking, utilization reports, capacity planning, détection de conflicts/rogue servers, correlation DHCP leases avec DNS records. C) RBAC granulaire : DNS Record Administrators, IP Address Record Administrators, IPAM Administrators, etc. D) FAUX - IPAM est inclus gratuitement dans Windows Server Datacenter/Standard. Architecture IPAM : serveur IPAM dédié, GPO-based provisioning (configure les managed servers), SQL Server ou Windows Internal Database pour le stockage. IPAM peut aussi s'intégrer avec Azure pour le monitoring hybride. Limitation : un serveur IPAM peut gérer jusqu'à 150 DHCP servers, 500 DNS servers, 6K DHCP scopes.
Question 6
Vous implémentez une stratégie de monitoring pour Active Directory. (Sélectionnez TOUTES les réponses correctes)
  1. Monitorer les Event IDs critiques : 4728/4732 (ajout membre à groupe privilégié), 4720 (création user), 4625 (logon failed), 4740 (account lockout)
  2. Utiliser le Performance Monitor pour tracker les compteurs AD : LDAP searches/sec, DRA pending replication operations, Kerberos authentications
  3. Activer Advanced Audit Policies pour capturer les événements détaillés (object access, privilege use, detailed tracking)
  4. Ne jamais monitorer AD car cela génère trop de logs
  5. Les Security Event IDs critiques indiquent des activités suspectes ou importantes (privilege escalation, brute force, account manipulation). B) Les compteurs de performance AD détectent les problèmes : LDAP searches/sec (charge), DRA Pending Replication Sync (lag de réplication), NTDS\Database cache (memory). C) Advanced Audit Policies offrent une granularité détaillée (ex: Audit Directory Service Changes pour tracker toutes les modifications AD). D) FAUX - le monitoring AD est essentiel pour la sécurité et la performance. Centraliser les logs vers Azure Monitor/Sentinel ou un SIEM on-prem (Splunk, QRadar). Créer des alertes pour les patterns d'attaque : Golden Ticket (Event 4768 avec lifetime inhabituel), DCSync (Event 4662 avec replication rights). Utiliser aussi Microsoft Defender for Identity pour la détection avancée.
Question 7
Vous devez implémenter le Constrained Delegation Kerberos pour permettre à un serveur web de s'authentifier auprès d'un SQL Server au nom des utilisateurs sans accès complet aux credentials utilisateurs. Quelle configuration devez-vous effectuer?
  1. Kerberos delegation n'existe pas
  2. Configurer Constrained Delegation sur le compte du service web (AD Users & Computers > Properties > Delegation tab) en sélectionnant "Trust this user/computer for delegation to specified services only" et ajouter les SPNs du SQL Server
  3. Donner au service web des privilèges Domain Admin
  4. Utiliser uniquement NTLM
  5. Delegation existe et est critique pour les apps multi-tier. C) Domain Admin n'est pas nécessaire et viole le least privilege. D) NTLM ne supporte pas la délégation. Resource-Based Constrained Delegation (Server 2012+) inverse le contrôle (le backend spécifie qui peut déléguer vers lui). Delegation est essentiel pour les architectures web tier -> app tier -> data tier.
Question 8
Vous devez implémenter le Credential Guard pour protéger les credentials contre les attaques de vol comme Pass-the-Hash. Quelles sont les exigences et les protections fournies?
  1. Credential Guard fonctionne sur toute version de Windows sans prérequis
  2. Credential Guard nécessite UEFI 2.3.1+, Secure Boot, TPM 2.0, et Virtualization-Based Security (VBS) pour isoler les secrets (NTLM, Kerberos tickets) dans une VM sécurisée (VSM - Virtual Secure Mode) inaccessible au système d'exploitation même si compromis
  3. Credential Guard est uniquement un antivirus
  4. Credential Guard n'offre aucune protection réelle
  5. Les prérequis hardware sont stricts. C) C'est une protection credentials, pas un AV. D) La protection est très efficace contre Pass-the-Hash. Activation : Group Policy (Computer Config > Administrative Templates > System > Device Guard > Turn On Virtualization Based Security) ou via HVCI. Credential Guard protège aussi contre les mimikatz-style credential dumping.

Accédez aux 60 questions complètes gratuitement

Aucune carte bancaire requise. Examen chronométré, corrections détaillées, score final.

Lancer l'examen blanc AZ-801 →

Pourquoi s'entraîner avec Certifexpress ?