Sunday, July 22nd, 2018

Проблемы при экспорте и импорте баз правил для сервера ISA с версии 2004 на версию 2006

Published on Февраль 9, 2009 by   ·   Комментариев нет

В своей предыдущей статье я рассказал о том, как импортировать и экспортировать особые данные из и в ISA Server Enterprise (корпоративная версия) и Standard (стандартная версия). Это было очень полезно для автономной работы и построения совместимой базы правил, например, при работе на дому на вашем собственном ISA Server (у каждого он должен быть, в наши дни все делают это!), и тем самым упростить свою жизнь. А теперь я расскажу о немного другом…

Несколько дней назад я пришел к клиенту, у которого возникала следующая ошибка при экспорте базы правил на верхнем уровне управления ISA Server Management:

Проблемы при импорте isa 2006

Рисунок 1

Это очевидно было проблемой, т.к. мы не обновляли текущую систему, а перестанавливали ее на новое аппаратное обеспечение. Процесс состоял в следующем:

  1. Экспорт базы правил ISA 2004 Rule base
  2. Установка ISA 2006 на новый компьютер
  3. Импорт базы знаний с 2004 на новое аппаратно обеспечение с 2006

Из-за проблемы, описанной выше, экспорт всей конфигурации был невозможен, поэтому помня о моем предыдущем открытии, касающегося файлов XML, я начал снова.

Я решил, что если конфигурация не экспортируется полностью, то я сделаю это по частям (было не так много этих частей, поэтому я решил, что это будет неплохой идеей)

На первом этапе необходимо было экспортировать политики брандмауэра (Firewall Policy) с компьютера, на котором был установлен ISA 2004. Это прошло очень гладко. На следующем этапе надо было импортировать эти политики на новый компьютер с 2006. Я столкнулся со следующей ошибкой:

Isa экспорт firewall policy

Рисунок 2

Итак, нам нужно экспортировать конфигурацию со всеми настройками прав пользователя:

Проблемы при импорте isa 2006

Рисунок 3

Опа, окно с правами пользователя подсвечивается серым цветом! Даже если мы попробуем использовать билет с конфиденциальной информации, то получим ту же самую ошибку. Это происходит лишь с ISA 2004 only, поэтому вы не должны столкнуться с ней в ISA 2006.

Поэтому мы берем наши политики брандмауэра для ISA 2004 (в формате XML) и копируем их на новый сервер. После этого, мы используем методики, описанные в предыдущей статье для перемещения объектов и изучения XML в файле, что выглядит примерно так в ISA 2004 Firewall Policy Export:

Isa экспорт firewall policy

Рисунок 4

Я выделил важную информацию, как вы можете увидеть на следующем рисунке, это части, которые имеют значение. Следующий рисунок – тот же самый экспорт из чистой ISA 2006 Standard Firewall Policy:

Проблемы при импорте isa 2006

Рисунок 5

Вы можете четко увидеть, что существует несколько различий, особенно следующие значения (дополнительно также показаны также значения для ISA 2006 Enterprise):

XML тег 2004 Standard Value (в зависимости от обновления) 2006 Standard Value (в зависимости от обновления) 2006 Enterprise Value (в зависимости от обновления)
Версия 4.0.2167.887 5.0.5720.100 5.0.5720.100
Редакция 80(or 81) 16 32
IsaXmlVersion 1.10 5.30 5.30
OptionalData 4 12 12

Некоторые умные люди могли заметить, что кроме тегов, описанных в этой таблице есть еще одни пропущенный тег, который необходимо добавить вручную. Ниже тегов Components Tag есть еще один новый тег в ISA 2006 под названием DNSName. Поэтому вы должны также добавить новую строку в вашем старом файле, полученном после экспорта ниже тега Components и выше тега Name:

<fpc4:Components dt:dt=”int”>-1</fpc4:Comonents> <fpc4:DNSName dt:dt=”string”/><fpc4:Name dt:dt=”string”/>

Просто измените эти значения (а одно добавьте) и файл замечательно импортируется в ISA 2006 Firewall Policy Configuration.

Значения не прописаны намертво, некоторые из них могут меняться в зависимости от различных обновлений, но соответствуют общему правилу.

Лучший способ убедиться, что помещаете правильную информацию, заключается в следующем:

  1. Экспортируйте вашу политику с вашего исходного сервера, сохраните ее в формате XML.
  2. Экспортируйте вашу политику с того сервера, на который вы собираетесь произвести импорт, сохраните ее в формате XML.
  3. Сравните заголовки XML для тегов, описанных выше.

Теперь, я хочу упомянуть, что я не нашел информации относительно этого на веб сайте Microsoft, и я уверен, что есть причины, по которым это еще не стало общественным знанием, но факт остается фактом, это замечательно работает. И это гораздо лучше, чем заново перепечатывать всю базу правил.

Я также хочу упомянуть о том, что, как мне кажется, знает большинство администраторов ISA. Если вы импортируете базу правил, в которой используются сертификаты, то их сначала необходимо разместить в локальном хранилище компьютера перед импортом базы правил, иначе у вас возникнут различные проблемы при импорте этой базы правил.

Я проверил следующие экспорты/импорты:

  • Политика брандмауэра (Firewall Policy)
    • Все другие объекты на панели инструментов в Firewall Policy View
  • Virtual Private Networks
  • Networks (делается)

Это все, что потребовалось для моей конфигурации, а для базы правил, включающей в себя более 40 правил и более 700 объектов, это было гораздо лучше, чем заново печатать их всех! FYI, если вы экспортируете политику брандмауэра Firewall Policy, то вам не нужно экспортировать все отдельные объекты на панели инструментов, они включены в экспорт.

В моем случае это сработало, и я продолжу использовать этот процесс в случае необходимости. Я протестировал всю базу правил 2006 на моем новом компьютере и в настоящее время не возникло проблем.

В целом, лично я проверил следующие:

  • ISA 2004 Std -> ISA 2006 Std
  • ISA2004 Std -> ISA 2006 Enterprise
  • ISA2006 Std -> ISA 2006 Enterprise

Мне было бы очень интересно узнать, если бы у кого-нибудь возникли проблемы с методом экспорта/импорта, о котором я рассказал в этой статье. Но пока еще мне никто не сообщал об ошибках. Свяжитесь со мной, если вы обнаружите любые проблемы, или улучшения, касающиеся этого, мне очень интересно услышать ваши отзывы.

Источник www.isaserver.org


Смотрите также:

Tags: ,

Readers Comments (Комментариев нет)




Да человек я, человек! =)

Exchange 2007

Проведение мониторинга Exchange 2007 с помощью диспетчера System Center Operations Manager 2007 (часть 3)

Если вы хотите прочитать предыдущие части этой серии статей, перейдите по ссылкам: Проведение мониторинга Exchange 2007 с помощью диспетчера System ... [+]

Практическое рассмотрение перехода с Exchange 2003 на Exchange 2007 (часть 1)

Введение В этой статье из нескольких частей я хочу показать вам процесс, который недавно использовал для перехода с существующей среды Exchange 2003 ... [+]

Использование инструмента Exchange Server Remote Connectivity Analyzer Tool (часть 2)

Если вы пропустили первую часть этой серии, пожалуйста, прочтите ее по ссылке Использование инструмента Exchange Server Remote Connectivity Analyzer Tool (Часть ... [+]

Мониторинг Exchange 2007 с помощью диспетчера System Center Operations Manager 2007 (часть 2)

Если вы пропустили предыдущую часть этой серии статей, перейдите по ссылке Мониторинг Exchange 2007 с помощью диспетчера System Center Operations ... [+]

Подробное рассмотрение подготовки Active Directory для Exchange 2007 (часть 5)

Если вы пропустили предыдущие части этой серии статей, перейдите по ссылкам: Подробное рассмотрение подготовки Active Directory для Exchange 2007 (часть 1) ... [+]

Установка и настройка Exchange 2007 из командной строки (Часть 3)

If you missed the previous parts in this article series please read: Exchange 2007 Install and Configuration from the command line (Part ... [+]

Использование инструмента Exchange Server Remote Connectivity Analyzer Tool (часть 1)

Инструмент ExRCA Текущий выпуск инструмента предоставляется только в целях тестирования и оснащен 5 опциями: Тест подключения Outlook 2007 Autodiscover Тест подключения Outlook 2003 RPC ... [+]

Развертывание сервера Exchange 2007 Edge Transport (часть 5)

Если вы хотите прочитать предыдущие части этой серии статей, перейдите по ссылкам: Развертывание сервера Exchange 2007 Edge Transport (часть 1) Развертывание ... [+]

Установка и настройка Exchange 2007 из командной строки (часть 2)

Если вы пропустили первую статью данного цикла, пожалуйста, перейдите по ссылке: Exchange 2007 Install and Configuration from the command line (Part ... [+]

Использование интегрированных сценариев Using Exchange Server 2007 – часть 2: генерирование отчетов агента Transport AntiSpam Agent

Если вы пропустили предыдущую часть этой серии статей, перейдите по ссылке Использование интегрированных сценариев Using Exchange Server 2007 – часть ... [+]