На смену Internet Security & Acceleration (ISA) Server пришел Forefront Threat Management Gateway (TMG).В данном переводе мы рассмотрим процесс перехода с ISA 2004/2006 на Forefront TMG.
ISA Server 2004/2006 не предусматривает перехода на TMG обычным обновлением — FF TMG работает только на 64-битных ОС семейства Windows, тогда как ISA — только на 32-битных.
Поэтому, перенос правил и конфигурации с ISA на TMG остается единственным вариантом решения этой проблемы.
Такой перенос возможно осуществить с ISA 2004 SP3 либо с ISA 2006 SP1.
В зависимости от того, какая у вас версия ISA, возможны четыре варианта миграции:
(исключая TMG MBE — Medium Business Edition)
- ISA Server Standard -> TMG Standard
- ISA Server Standard -> TMG Enterprise (сервер в изолированном режиме)
- ISA Server Enterprise (массив из одного сервера/сервер в составе массива) -> TMG Enterprise (сервер в изолированном режиме)
- ISA Server Enterprise (массив из одного сервера/несколько массивов) -> TMG Enterprise (управляемый сервером EMS)
Подготовка
Переход с предыдущих версий ISA на TMG требует тщательного планирования, анализа и внимания к мелочам. Перед тем, как начать переход, соберите и запишите всю наиболее важную информацию о существующей системе, включающую в себя:
IP-адресация – запишите IP-адреса всех сетевых интерфейсов, включая интерфейс для коммуникаций между членами внутри массива и виртуальные IP-адреса, используемые NLB (балансировкой нагрузки сети). Если вы используете VPN, также запишите диапазоны адресов для удаленного доступа клиентов и сетей site-to-site (удаленные друг от друга сети).
Маршрутизация – запишите все статические маршруты, необходимые схемам «сеть за сетью».
DNS – сохраните отдельно все записи «A host» или алиасы CNAME, используемые брандмауэром ISA. Включая статически сконфигурированные host-записи самого ISA сервера, алиасы массива прокси-сервера или клиентские записи WPAD (протокол автоматической настройки прокси).
WPAD – если на вашем предприятии настройки клиентам раздает DHCP, учтите, что изменения коснутся и их.
Сертификаты — экспортируйте все сертификаты и ключи, необходимые для миграции на TMG, включая сертификаты компьютеров и SSL-сертификаты, используемые правилами публикации HTTPS. Имейте в виду, что в Windows Server 2008R2 по умолчанию установлено гораздо меньше корневых сертификатов (чем в Windows Server 2008 или в предыдущих версиях Windows Server).
Active Directory – если у вас есть опубликованные веб-сайты, использующие расширение протокола Kerberos — Constrained Delegation (KCD), настройте учетную запись компьютера с новой системой для делегирования. Если вы создавали запись SPN (сопоставление имени участника службы) в базе данных Kerberos для сервера хранения конфигурации (CSS), то, при необходимости, обновите ее.
Решения сторонних разработчиков – учтите, что если вы устанавливали сторонние дополнения для ISA, то они не будут работать после миграции. Посетите страницы разработчиков, чтобы обновить плагины уже для TMG.
Регулярные и пользовательские отчеты — сохраните все отчеты, они также не будут перенесены в FF TMG.
Не думайте, что переход на TMG решит все ваши существующие проблемы с текущей конфигурацией ISA. Воспользуйтесь утилитой ISA Best Practices Analyzer, чтобы провести проверку системы и решить все проблемы до миграции.
При планировании перехода с ISA на TMG также должны быть учтены системные ресурсы. Несмотря на выигрыш в производительности на 64-битных системах, TMG включает в себя множество новых возможностей, касающихся защиты и безопасности, которые будут потреблять дополнительные ресурсы.
Воспользуйтесь утилитой Forefront TMG 2010 Capacity Planning Tool, чтобы определить, соответствует ли ваше железо системным требованиями TMG.
Если вы закончили подготовку и новая конфигурация TMG уже прошла первоначальное тестирование, то можете приступать к фактическому переходу.
Экспорт из Internet Security & Acceleration Server
Итак, откройте консоль управления ISA —
- для Standard Edition:
выделите имя ISA сервера и в контекстном меню выберите пункт Export (Backup) - для Enterprise Edition:
также выберите пункт Export (Backup) в меню, как показано ниже:
Запустится мастер экспорта.
Поставьте галочки «Export confidential information» и «Export user permission settings», затем задайте пароль для шифрования экспортируемых данных.
Нажмите «Next» и укажите, куда сохранить XML-файл. Этот файл позднее мы импортируем в TMG.
Импорт в Forefront Threat Management Gateway
Перед тем, как импортировать настройки в TMG, убедитесь, что не запускался мастер «Приступая к работе» (этот мастер создает базовые правила доступа через брандмауэр). Если же он запускался, то удалите все созданные этим мастером правила доступа — при соблюдении этого условия, импорт настроек в TMG должен пройти без ошибок.
NB: При переходе с ISA Server Enterprise на TMG, управляемый сервером EMS вы должны импортировать конфигурацию на EMS до создания массива или добавления членов массива.
Также, при переходе с ISA Server Enterprise (массив из одного сервера/сервер в составе массива) на TMG Enterprise (в режиме изолированного сервера) понадобится сделать одно дополнительное действие — о нем будет написано в конце поста.
На компьютере с TMG открываем консоль управления —
- для редакции Standard или Enterprise:
выделите имя сервера Forefront и в контекстном меню выберите пункт Import (Restore) - для редакции Enterprise, управляемой сервером EMS:
также выберите пункт Import (Restore) в меню, как показано ниже:
Запустится мастер импорта — укажите здесь путь к XML-файлу, в который мы ранее выполнили экспорт настроек и введите пароль, заданный во время экспорта.
После того, как мастер импорта сообщит, что все прошло успешно, нажмите кнопку «Apply», чтобы сохранить изменения и обновить конфигурацию Threat Management Gateway.
Экспорт из ISA Server Enterprise (массив из одного сервера/сервер в составе массива)
Перед тем, как импортировать настройки ISA сервера (редакция Enterprise — массив из одного сервера или сервер в составе массива) в TMG Enterprise (в режиме изолированного сервера), требуется предварительно преобразовать экспортированный XML-файл в формат, с которым сможет работать вышеуказанная версия TMG. Это необходимо потому, что экспортированный файл ISA Enterprise содержит политики на уровне предприятия, которые не поддерживаются TMG версией в режиме изолированного сервера. Для конвертирования воспользуйтесь утилитой
EE Single Server Conversion Tool for Forefront TMG
После установки утилиты для преобразования файла, откройте командную строку, перейдите в папку C:\Program Files (x86)\Microsoft Forefront TMG Tools\EESingleServerConversion и дайте команду:
EESingleServerConversion.exe /s <исходный XML-файл> /t <конечный XML-файл>Затем выполните действия так же, как это было описано выше для версии ISA Standard.
P. S.
- Forefront TMG устанавливает роль Web Server (IIS). Обратите внимание, что этот компонент не удаляется при удалении Forefront TMG;
- Microsoft Forefront TMG не поддерживает более 300 лицензированных пользователей.
Источник: http://habrahabr.ru/post/135438/
Комментариев нет:
Отправить комментарий