Система Microsoft Forefront TMG (Threat Management Gateway – Шлюз управления внешними угрозами) является прямым наследником ISA Server 2006 и будет доступна в 2009. В этой статье мы используем бета-версию Microsoft Forefront TMG. Если вы хотите попробовать Forefront TMG в действии, публичная бета-версия доступна на следующем вебсайте: Forefront TMG. Если вы хотите ознакомиться с специальной версией Microsoft Forefront TMG, уже являющейся RTM, вам нужно попробовать Microsoft Windows Essential Business Server 2008, уже содержащий Forefront Threat Management Gateway, Medium Business Edition. Но не забывайте, что это не та версия, которую Microsoft опубликует в качестве отдельного продукта.
Но перед тем как обновлять ISA Server 2006 до Microsoft Forefront TMG, необходимо осознать следующие ограничения:
Есть еще некоторые соображения, которые нужно учитывать при планировании использовать Forefront TMG. Эту информацию я нашел на вебсайте Microsoft Forefront TMG:
Forefront TMG, установленный по сценарию Essential Business Server, перехватывает весь IPv6 трафик. Для последующей установки Forefront TMG обратите внимание вот на что:
Итак, теперь, когда мы обсудили некоторые ограничения, касающиеся процесса перехода, и требования к установке Microsoft Forefront TMG, я покажу вам в обобщенном виде шаги по обновлению ISA Server 2006 до Microsoft Forefront TMG:
Внимание:статье мы работаем с бета-версией Forefront TMG. Не стоит использовать эту версию как функциональный сервер.
Сначала выполните вход на машину с ISA Server 2006, запустите консоль управления ISA Server 2006 и щелкните на объекте Server для экспорта (Export (Back Up)) всей конфигурации ISA Server 2006.
Рисунок 1: Экспорт всей конфигурации ISA Server 2006
Существует возможность экспортировать конфиденциальную информацию вроде разделяемых секретов RADIUS или настройки ролей ISA Server. Если вы хотите экспортировать конфиденциальную информацию, вам необходимо указать пароль, защищающий XML файл от попыток неавторизованного импорта.
Рисунок 2: Экспорт конфиденциальной информации
Затем укажите имя файла для конфигурационного файла ISA Server 2006.
Начните установку Forefront TMG и выберите сценарий установки, который вы хотите следовать. Если вы хотите установить полный набор служб Forefront TMG без зависимостей, выберите первую опцию установки.
Рисунок 3: Выберите нужный вам сценарий установки
Выберите компоненты, которые вы хотите установить. В нашем случае мы устанавливаем все доступные компоненты.
Установка Forefront TMG длится немного дольше, чем установка ISA Server 2006, так что у вас будет время для чашечки кофе.
После успешного завершения установки Forefront TMG при первом запуске консоли управления Forefront TMG вызывается мастер Getting Started, который поможет вам выполнить первоначальную настройку. Этот шаг не является необходимым, если вы хотите импортировать конфигурацию ISA Server 2006. Вы можете использовать этот мастер уже после успешного переноса конфигурации ISA Server 2006.
Рисунок 4: Forefront TMG мастер Getting Started
Импортируйте (Import (Restore)) конфигурацию ISA Server 2006.
Укажите имя файла экспортированной конфигурации ISA Server 2006.
В процессе перехода конфигурация Microsoft ISA Server 2006 обновится для Forefront TMG.
Введите пароль, который вам нужно было ввести при экспорте конфигурации ISA Server 2006 с включенной опцией экспорта конфиденциальных настроек.
Рисунок 5: Введите пароль для открытия файла экспорта
Теперь Forefront TMG импортирует и преобразуется настройки из конфигурации ISA Server 2006. Это может занять несколько минут в зависимости от размера экспортированной конфигурации ISA Server 2006 и производительности машины с Forefront TMG.
После успешного импорта конфигурации щелкните Apply для сохранения конфигурационных настроек.
Теперь настало время проверить, все ли настройки были успешно перенесены. Возможно, некоторые из них перенести невозможно в силу различия между ISA Server 2006 и Forefront TMG.
Замечание: ISA Server 2006 является частью домена Windows 2003 и группы Windows, имеющей доступ к VPN функциям ISA Server. Целевой сервер Forefront TMG Server является членом рабочей группы, поэтому информация о конфигурации VPN становится ненужной. Вам следует вручную удалить эти и еще некоторые настройки.
Рисунок 6: Пользовательская группа Windows, ставшая ненужной из-за того, что целевой сервер не является частью того же домена и дерева
В процессе перехода статически настроенные диапазоны адресов клиентов VPN не были успешно импортированы. Forefront TMG указывает на конфигурационную ошибку, считая диапазон адресов клиентов VPN пустым. Я думаю, что эта ошибка касается только моей машины, а если нет, то Microsoft решит эту проблему в последней версии Forefront TMG.
В Microsoft Forefront TMG есть множество файлов журнала, которые будут созданы при установке или в процессе импорта из ISA Server 2006. Вам нужно проверить эти файлы, если вы сталкиваетесь с проблемами в процессе перехода.
После успешного импорта конфигурации в Forefront TMG пора заменить ISA Server на Forefront TMG. Вот что для этого нужно сделать:
В этой статье я попытался показать вам, как перейти с ISA Server 2006 на новую систему Microsoft Forefront TMG Server. Не существует возможности обновления на месте, так как Microsoft Forefront TMG можно запустить только под Windows Server 2008 64 Bit, а ISA Server 2006 работает на 32-битной платформе, поэтому вам необходимо экспортировать конфигурацию работающего сервера ISA Server 2006 и импортировать эту конфигурацию на новый сервер с Microsoft Forefront TMG Server. Процесс перехода аналогичен обновлению с ISA Server 2004 до ISA Server 2006, но, пожалуйста, помните, что в этой статье мы работаем с бета-версией Microsoft Forefront TMG, и в финальной версии могут произойти некоторые изменения.
www.isaserver.org
Tags: dns, ISA Server, Microsoft ISA Server, proxy, SQL, SQL Server, tun, tunnel, vpn, Windows 2008