Эта запись опубликована
26.10.2009 в 18:18. Рубрики: Forefront TMG, безопасность. Вы можете следить
за ответами к этой записи через RSS 2.0.
Вы можете оставить отзыв или трекбек со своего сайта.
Миграция с ISA 2006 на TMG 2010
На днях выдалось немного времени на тестирование продукта, представляющего из себя эволюционное развитие ISA Server 2006. Теперь то, что мы ранее знали под именем ISA, будет называться Threat Management Gateway 2010.
Подробное описание всех функций продукта есть в руководстве пользователя. У меня же задача не переписывать оное, а лишь отметить самое интересное.
А самым интересным является миграция с ISA 2006 на новый продукт. Я понимаю, зачем было сделано выделение роли управления массивом серверов для Enterprise конфигурации. Но что же делать тем, у кого ISA используется в, скажем так, некомплексной конфигурации?
Вот реальный пример того, как бывает:
- Когда-то давно была развернута ISA Enterprise на массив из двух серверов.
- С течением времени, некоторый функционал был перенесен на аппаратные платформы, некоторый на платформы под управлением альтернативных програмных систем.
- На момент появления желания мигрировать на новую версию продукта, фактической необходимости в Enterprise версии уже нет. Зато есть его легальная копия (точнее, разумеется, она появится сразу после выхода RTM версии продукта) и существующая конфигурация ISA 2006 Enterprise, несущая на себе около 50 публикаций различных серверов.
- Cуществующий сервер, с запасом справляющийся с нагрузкой, находится на виртуальной машине внутри кластера и, посему, к отказу аппаратного обеспечения вполне устойчив.
Вполне естественно, что поднимать полноценную Enterprise структуру в данной ситуации нерационально. Но и настраивать все полностью с нуля, откровенно говоря, не является разумной идеей.
Что ж, помочь с решением проблемы не столь и сложно. Всего то и необходимо, что обойти защиту от загрузки несовместимой конфигурации при импорте Firewall Policy.
Итак, для начала выгружаем конфигурацию с ISA сервера, включив в экспорт все данные. Копируем файл экспорта на новый TMG сервер.
Открываем файл экспорта в блокноте и ищем следующие строки по всему тексту:
- <fpc4:Build dt:dt=»string»>
Полная строка будет выглядеть примерно следующим образом: <fpc4:Build dt:dt=»string»>5.0.5723.511</fpc4:Build>
Заменяем всю строку на следующую: <fpc4:Build dt:dt=»string»>7.0.7733.100</fpc4:Build> - <fpc4:IsaXmlVersion dt:dt=»string»>
Полная строка будет выглядеть примерно следующим образом: <fpc4:IsaXmlVersion dt:dt=»string»>5.30</fpc4:IsaXmlVersion>
Заменяем всю строку на следующую: <fpc4:IsaXmlVersion dt:dt=»string»>7.3</fpc4:IsaXmlVersion> - <fpc4:SSLRequireSecureChannel dt:dt=»int»>2</fpc4:SSLRequireSecureChannel>
Данный параметр более не поддерживается и строку необходимо удалить. - <fpc4:Scope dt:dt=»int»>1</fpc4:Scope>
Данную строку необходимо удалить.
После данной обработки, с большой долей вероятности, файл экспорта удастся успешно использовать в качестве файла импорта настроек Firewall Policy.
Останется лишь только проверить и отредактировать все настройки сетей и интерфейсов, импортировать на сервер все необходимые сертификаты и прописать их в свойствах коннекторов.
Threat Management Gateway 2010 к боям готов 😉
Ваш отзыв