четверг, 31 января 2013 г.

Миграция с ISA 2004/2006 на Forefront TMG


На смену Internet Security & Acceleration (ISA) Server пришел Forefront Threat Management Gateway (TMG).

В данном переводе мы рассмотрим процесс перехода с ISA 2004/2006 на Forefront TMG.

ISA Server 2004/2006 не предусматривает перехода на TMG обычным обновлением — FF TMG работает только на 64-битных ОС семейства Windows, тогда как ISA — только на 32-битных.



Поэтому, перенос правил и конфигурации с ISA на TMG остается единственным вариантом решения этой проблемы.
Такой перенос возможно осуществить с ISA 2004 SP3 либо с ISA 2006 SP1.
В зависимости от того, какая у вас версия ISA, возможны четыре варианта миграции:
(исключая  TMG MBE — Medium Business Edition)
  • ISA Server Standard -> TMG Standard
  • ISA Server Standard -> TMG Enterprise (сервер в изолированном режиме)
  • ISA Server Enterprise (массив из одного сервера/сервер в составе массива) -> TMG Enterprise (сервер в изолированном режиме)
  • ISA Server Enterprise (массив из одного сервера/несколько массивов) -> TMG Enterprise (управляемый сервером EMS)
Подготовка

Переход с предыдущих версий ISA на TMG требует тщательного планирования, анализа и внимания к мелочам. Перед тем, как начать переход, соберите и запишите всю наиболее важную информацию о существующей системе, включающую в себя:

IP-адресация – запишите IP-адреса всех сетевых интерфейсов, включая интерфейс для коммуникаций между членами внутри массива и виртуальные IP-адреса, используемые NLB (балансировкой нагрузки сети). Если вы используете VPN, также запишите диапазоны адресов для удаленного доступа клиентов и сетей site-to-site (удаленные друг от друга сети).

Маршрутизация – запишите все статические маршруты, необходимые  схемам «сеть за сетью».

DNS – сохраните отдельно все записи «A host» или алиасы CNAME, используемые брандмауэром ISA. Включая статически сконфигурированные host-записи самого ISA сервера, алиасы массива прокси-сервера или клиентские записи WPAD (протокол автоматической настройки прокси).

WPAD – если на вашем предприятии настройки клиентам раздает DHCP, учтите, что изменения коснутся и их.

Сертификаты — экспортируйте все сертификаты и ключи, необходимые для миграции на TMG, включая сертификаты компьютеров и SSL-сертификаты, используемые правилами публикации HTTPS. Имейте в виду, что в Windows Server 2008R2 по умолчанию установлено гораздо меньше корневых сертификатов (чем в Windows Server 2008 или в предыдущих версиях Windows Server).

Active Directory – если у вас есть опубликованные веб-сайты, использующие расширение протокола Kerberos — Constrained Delegation (KCD), настройте учетную запись компьютера с новой системой для делегирования. Если вы создавали запись SPN (сопоставление имени участника службы) в базе данных Kerberos для сервера хранения конфигурации (CSS), то, при необходимости, обновите ее.

Решения сторонних разработчиков – учтите, что если вы устанавливали сторонние дополнения для ISA, то они не будут работать после миграции. Посетите страницы разработчиков, чтобы обновить плагины уже для TMG.

Регулярные и пользовательские отчеты — сохраните все отчеты, они также не будут перенесены в FF TMG.

Не думайте, что переход на TMG решит все ваши существующие проблемы с текущей конфигурацией ISA. Воспользуйтесь утилитой ISA Best Practices Analyzer, чтобы провести проверку системы и решить все проблемы до миграции.
При планировании перехода с ISA на TMG также должны быть учтены системные ресурсы. Несмотря на выигрыш в производительности на 64-битных системах, TMG включает в себя множество новых возможностей, касающихся защиты и безопасности, которые будут потреблять дополнительные ресурсы.
Воспользуйтесь утилитой Forefront TMG 2010 Capacity Planning Tool, чтобы определить, соответствует ли ваше железо системным требованиями TMG.
Если вы закончили подготовку и новая конфигурация TMG уже прошла первоначальное тестирование, то можете приступать к фактическому переходу.

Экспорт из Internet Security & Acceleration Server

Итак, откройте консоль управления ISA —
  • для Standard Edition:
    выделите имя ISA сервера и в контекстном меню выберите пункт Export (Backup)

  • для Enterprise Edition:
    также выберите пункт Export (Backup) в меню, как показано ниже:


Запустится мастер экспорта.
Поставьте галочки «Export confidential information» и «Export user permission settings», затем задайте пароль для шифрования экспортируемых данных.



Нажмите «Next» и укажите, куда сохранить XML-файл. Этот файл позднее мы импортируем в TMG.

Импорт в Forefront Threat Management Gateway

Перед тем, как импортировать настройки в TMG, убедитесь, что не запускался мастер «Приступая к работе» (этот мастер создает базовые правила доступа через брандмауэр). Если же он запускался, то удалите все созданные этим мастером правила доступа — при соблюдении этого условия, импорт настроек в TMG должен пройти без ошибок.

NB: При переходе с ISA Server Enterprise на TMG, управляемый сервером EMS вы должны импортировать конфигурацию на EMS до создания массива или добавления членов массива.
Также, при переходе с ISA Server Enterprise (массив из одного сервера/сервер в составе массива) на TMG Enterprise (в режиме изолированного сервера) понадобится сделать одно дополнительное действие — о нем будет написано в конце поста.

На компьютере с TMG открываем консоль управления —
  • для редакции Standard или Enterprise:
    выделите имя сервера Forefront и в контекстном меню выберите пункт Import (Restore)

  • для редакции Enterprise, управляемой сервером EMS:
    также выберите пункт Import (Restore) в меню, как показано ниже:


Запустится мастер импорта — укажите здесь путь к XML-файлу, в который мы ранее выполнили экспорт настроек и введите пароль, заданный во время экспорта.

После того, как мастер импорта сообщит, что все прошло успешно, нажмите кнопку «Apply», чтобы сохранить изменения и обновить конфигурацию Threat Management Gateway.



Экспорт из ISA Server Enterprise (массив из одного сервера/сервер в составе массива)

Перед тем, как импортировать настройки ISA сервера (редакция Enterprise — массив из одного сервера или сервер в составе массива) в TMG Enterprise (в режиме изолированного сервера), требуется предварительно преобразовать экспортированный XML-файл в формат, с которым сможет работать вышеуказанная версия TMG. Это необходимо потому, что экспортированный файл ISA Enterprise содержит политики на уровне предприятия, которые не поддерживаются TMG версией в режиме изолированного сервера. Для конвертирования воспользуйтесь утилитой
EE Single Server Conversion Tool for Forefront TMG
После установки утилиты для преобразования файла, откройте командную строку, перейдите в папку C:\Program Files (x86)\Microsoft Forefront TMG Tools\EESingleServerConversion и дайте команду:

EESingleServerConversion.exe /s <исходный XML-файл> /t <конечный XML-файл>

Затем выполните действия так же, как это было описано выше для версии ISA Standard.

P. S.
  1. Forefront TMG устанавливает роль Web Server (IIS). Обратите внимание, что этот компонент не удаляется при удалении Forefront TMG;
  2. Microsoft Forefront TMG не поддерживает более 300 лицензированных пользователей.

Комментариев нет:

Отправка комментария