Переход с Microsoft ISA Server 2006 на Microsoft Forefront TMG

Система Microsoft Forefront TMG (Threat Management Gateway – Шлюз управления наружными опасностями) является прямым наследником ISA Server 2006 и будет доступна в 2009. В этой статье мы используем бета-версию Microsoft Forefront TMG. Если вы желаете испытать Forefront TMG в действии, общественная бета-версия доступна на последующем вебсайте: Forefront TMG. Если вы желаете ознакомиться с специальной версией Microsoft Forefront TMG, уже являющейся RTM, вам необходимо испытать Microsoft Windows Essential Business Server 2008, уже содержащий Forefront Threat Management Gateway, Medium Business Edition. Но не запамятовывайте, что это не та версия, которую Microsoft опубликует в качестве отдельного продукта.

Но перед тем как обновлять ISA Server 2006 до Microsoft Forefront TMG, нужно понять последующие ограничения:

Вы не сможете перейти с ISA Server 2006 на Forefront TMG на одной машине, потому что ISA Server 2006 предназначен только для 32-битных систем, а Forefront TMG запустится лишь на Windows 2008 64 Bit.
ISA Server 2006 нереально обновить до Forefront TMG во время обновления на месте Windows Server 2003 до Windows Server 2008.
Microsoft Forefront TMG не поддерживает более 300 лицензированных юзеров.
Не существует способности перехода с ISA Server 2006 Enterprise на Microsoft Forefront TMG.
Не существует способности перехода с ISA Server 2000 и 2004 на Forefront TMG, поначалу обе эти версии необходимо обновить до ISA Server 2006.
Вы не можете обновить ISA Server 2006 Standard Edition в режиме рабочей группы до Forefront TMG. ISA 2006 должна являться членом домена, но есть возможность перейти с ISA 2006 на Forefront TMG, не являясь частью домена Windows.
Если у вас включена сеть Local Host для прослушивания клиентских запросов Web-прокси, эта функция не будет перенесена.
В процессе перехода поля журнальчика, избранные вами в ISA Server 2006, не будут переноситься.
Опции отчета о конфигурации не переносятся.
Все функции ISA Server 2006 Supportability Pack не будут доступны после перехода, но мне кажется, что многие из этих функций будут частью Forefront TMG, когда продукт будет закончен.
Перед тем, как обновляться до Forefront TMG, проверьте, совместимо ли другое ПО с Microsoft Forefront TMG.

Требования к установке для Forefront Threat Management Gateway

Компьютер с 64-битным микропроцессором
Операционная система Windows Server 2008 64-bit
1 ГБ либо более оперативки
150 МБ свободного места на диске и еще мало свободного места для дополнительных файлов журнальчика, кэша и временных файлов (Внимание: в процессе установки TMG утверждается, что нужно 630 МБ)
Файловая система раздела должна быть NTFS
Минимум одна сетевая карта в случае, если Forefront TMG будет употребляться в качестве proxy либо реверсного сервера публикования. Для полной функциональности в качестве брандмауэра нужна одна либо несколько дополнительных сетевых карт

Другие суждения

Еще есть некие суждения, которые необходимо учесть при планировании использовать Forefront TMG. Эту информацию я отыскал на вебсайте Microsoft Forefront TMG:

Forefront TMG, установленный по сценарию Essential Business Server, перехватывает весь IPv6 трафик. Для следующей установки Forefront TMG направьте внимание вот на что:

Forefront TMG отказывает в IPv6 трафике
ISATAP (Intra-Site Automatic Tunnel Addressing Protocol) отключается
Интерфейс 6to4 отключается. Этот механизм позволяет пакетам IPv6 передаваться по сети IPv4.
При перезапуске службы Forefront TMG Control сервер Forefront TMG перерегистрируется с DNS для того, чтоб осталась только одна запись A для сервера, и не было записи AAAA (IPv6). Также очищается кэши DNS, Address Resolution Protocol (ARP) и Neighborhood Discovery (IPv6 версия ARP).
Изменение папки установки Forefront TMG не поддерживается.
По дефлоту система Forefront TMG настроена на ведение журнальчика в локальной базе данных SQL Server Express. Forefront TMG устанавливает несколько компонент SQL Server Express, включая составляющие для журнальчика и отчетов.
Forefront TMG устанавливает роль Web Server (IIS). Направьте внимание, что этот компонент не удаляется при удалении Forefront TMG.
Службы и файлы драйверов, установленные Forefront TMG помещаются в папку установки Forefront TMG.
Вы сможете использовать Forefront TMG на компьютере с одной сетевой картой. Обычно вы будете так делать, когда другой брандмауэр размещается на границе сети, соединяя ваши корпоративные ресурсы с Вебом.

Процесс перехода

Итак, сейчас, когда мы обсудили некие ограничения, касающиеся процесса перехода, и требования к установке Microsoft Forefront TMG, я покажу вам в обобщенном виде шаги по обновлению ISA Server 2006 до Microsoft Forefront TMG:

Экспортируйте конфигурацию ISA Server 2006 в XML файл
Установите Microsoft Forefront TMG на 64-битную машину
Импортируйте экспортированный ISA Server 2006 XML файл в консоль управления Forefront TMG
Проверьте функциональность, доступные текущие исправления, журнальчики событий и т.п.
Видоизмените опции сертификата и VPN аутентификации по мере надобности
Удалите старенькую систему ISA Server 2006 и поставьте новейшую систему Forefront TMG в вашу среду

Внимание:статье мы работаем с бета-версией Forefront TMG. Не стоит использовать эту версию как многофункциональный сервер.

Экспорт опций

Поначалу сделайте вход на машину с ISA Server 2006, запустите консоль управления ISA Server 2006 и щелкните на объекте Server для экспорта (Export (Back Up)) всей конфигурации ISA Server 2006.

Переход с Microsoft ISA Server 2006 на Microsoft Forefront TMG

Набросок 1: Экспорт всей конфигурации ISA Server 2006

Существует возможность экспортировать секретную информацию вроде разделяемых секретов RADIUS либо опции ролей ISA Server. Если вы желаете экспортировать секретную информацию, вам нужно указать пароль, защищающий XML файл от попыток неавторизованного импорта.

Переход с Microsoft ISA Server 2006 на Microsoft Forefront TMG

Набросок 2: Экспорт секретной инфы

Потом укажите название файла для конфигурационного файла ISA Server 2006.

Установка Forefront TMG

Начните установку Forefront TMG и изберите сценарий установки, который вы желаете следовать. Если вы желаете установить полный набор служб Forefront TMG без зависимостей, изберите первую опцию установки.

Переход с Microsoft ISA Server 2006 на Microsoft Forefront TMG

Набросок 3: Изберите подходящий вам сценарий установки

Изберите составляющие, которые вы желаете установить. В нашем случае мы устанавливаем все доступные составляющие.

Переход с Microsoft ISA Server 2006 на Microsoft Forefront TMG

Набросок 4: Изберите нужные вам функции

Установка Forefront TMG продолжается малость подольше, чем установка ISA Server 2006, так что у вас будет время для чашечки кофе.

После удачного окончания установки Forefront TMG при первом запуске консоли управления Forefront TMG вызывается мастер Getting Started, который поможет вам выполнить первоначальную настройку. Этот шаг не является нужным, если вы желаете импортировать конфигурацию ISA Server 2006. Вы сможете использовать этот мастер уже после удачного переноса конфигурации ISA Server 2006.

Переход с Microsoft ISA Server 2006 на Microsoft Forefront TMG

Набросок 5: Forefront TMG мастер Getting Started

Импортируйте (Import (Restore)) конфигурацию ISA Server 2006.

Переход с Microsoft ISA Server 2006 на Microsoft Forefront TMG

Набросок 6: Импорт экспортированной конфигурации ISA Server 2006

Укажите название файла экспортированной конфигурации ISA Server 2006.

Переход с Microsoft ISA Server 2006 на Microsoft Forefront TMG

Набросок 7: Укажите имя XML файла экспортированной конфигурации ISA Server 2006

В процессе перехода конфигурация Microsoft ISA Server 2006 обновится для Forefront TMG.

Переход с Microsoft ISA Server 2006 на Microsoft Forefront TMG

Набросок 8: Конфигурация ISA 2006 обновляется в формат TMG

Введите пароль, который вам необходимо было ввести при экспорте конфигурации ISA Server 2006 с включенной опцией экспорта секретных опций.

Переход с Microsoft ISA Server 2006 на Microsoft Forefront TMG

Набросок 9: Введите пароль для открытия файла экспорта

Сейчас Forefront TMG импортирует и преобразуется опции из конфигурации ISA Server 2006. Это может занять пару минут зависимо от размера экспортированной конфигурации ISA Server 2006 и производительности машины с Forefront TMG.

Переход с Microsoft ISA Server 2006 на Microsoft Forefront TMG

Набросок 10: Зависимо от производительности сервера и количества импортируемых данных, импорт конфигурации может занять некое время

После удачного импорта конфигурации щелкните Apply для сохранения конфигурационных опций.

Сейчас пришло время проверить, все ли опции были удачно перенесены. Может быть, некие из их перенести нереально в силу различия меж ISA Server 2006 и Forefront TMG.

Переход с Microsoft ISA Server 2006 на Microsoft Forefront TMG
Прирастить

Набросок 11: Поздравления, политики брандмауэра были удачно импортированы

Замечание: ISA Server 2006 является частью домена Windows 2003 и группы Windows, имеющей доступ к VPN функциям ISA Server. Мотивированной сервер Forefront TMG Server является членом рабочей группы, потому информация о конфигурации VPN становится ненадобной. Вам следует вручную удалить эти и еще некие опции.

Переход с Microsoft ISA Server 2006 на Microsoft Forefront TMG

Набросок 12: Пользовательская группа Windows, ставшая ненадобной из-за того, что мотивированной сервер не является частью такого же домена и дерева

В процессе перехода статически настроенные спектры адресов клиентов VPN не были удачно импортированы. Forefront TMG показывает на конфигурационную ошибку, считая спектр адресов клиентов VPN пустым. Я думаю, что эта ошибка касается только моей машины, а если нет, то Microsoft решит эту делему в последней версии Forefront TMG.

Переход с Microsoft ISA Server 2006 на Microsoft Forefront TMG

Набросок 13: После импорта появились некие конфигурационные ошибки

В Microsoft Forefront TMG есть огромное количество файлов журнальчика, которые будут сделаны при установке либо в процессе импорта из ISA Server 2006. Вам необходимо проверить эти файлы, если вы сталкиваетесь с неуввязками в процессе перехода.

Переход с Microsoft ISA Server 2006 на Microsoft Forefront TMG
Прирастить

Набросок 14: Огромное количество файлов журнальчика, сделанный в процессе установки и импорта конфигурации

Вывод ISA 2006 из эксплуатации

После удачного импорта конфигурации в Forefront TMG пора поменять ISA Server на Forefront TMG. Вот что для этого необходимо сделать:

Отключить Forefront TMG от всех сетей
Переписать все IP адреса с ISA Server на Forefront TMG
Выключить сервер TMG
Пересоединить все кабели от сервера ISA к серверу TMG
Выключить сервер ISA
Запустить сервер Forefront TMG
Проверить правильность работы сервера Forefront TMG
Запустить сервер ISA опять без сетевых соединений и удалить ISA Server со старенькой машины

Заключение

В этой статье я попробовал показать вам, как перейти с ISA Server 2006 на новейшую систему Microsoft Forefront TMG Server. Не существует способности обновления на месте, потому что Microsoft Forefront TMG можно запустить только под Windows Server 2008 64 Bit, а ISA Server 2006 работает на 32-битной платформе, потому вам нужно экспортировать конфигурацию работающего сервера ISA Server 2006 и импортировать эту конфигурацию на новый сервер с Microsoft Forefront TMG Server. Процесс перехода аналогичен обновлению с ISA Server 2004 до ISA Server 2006, но, пожалуйста, помните, что в этой статье мы работаем с бета-версией Microsoft Forefront TMG, и в финишной версии могут произойти некие конфигурации.

Ссылки по теме

Installing and Migrating
Essential Business Server 2008 Editions
Public Microsoft Forefront TMG version
Export, Import, and Backup Functionality in ISA Server 2004

Аналогичный товар: Комментирование на данный момент запрещено, но Вы можете оставить ссылку на Ваш сайт.

Комментарии закрыты.