ISA Server的下個版本TMG2010已經發布有一段時間了,現在正在逐漸將原來的ISA Server 2006升級到TMG2010。由於TMG2010需要64位的CPU與Windows Server 2008操作系統,所以,如果原來的ISA Server 2006是安裝在32位的CPU的服務器中,則不能升級到TMG2010,只能將ISA Server 2006的“策略”導出,在另外一臺64位、安裝Windows Server 2008的計算機上,安裝TMG2010,然後將ISA Server 2006導出的策略導入即可。本文將介紹這種升級的步驟。
在本例中,ISA Server 2006有兩塊網卡,是一個“邊緣防火牆服務器”,在這個ISA Server中有許多的策略。另外已經有一臺Windows Server 2008的服務器,安裝了TMG2010的中文版。
1 導出ISA Server 2006的策略
可以根據需要導出ISA Server 2006的配置(所有ISA Server的信息)、ISA Server的防火牆策略或***策略。
1.1 導出配置
(1)在ISA Server 2006中,右擊ISA Server的計算機名稱,導出ISA Server 2006的備份,如圖1所示。
圖1 導出備份
(2)在“導出首選項”中,選擇“導出機密信息”與“導出用戶權限設置”,並且設置保護密碼,如圖2所示。
圖2 導出首選項
【說明】一定要選中“導出機密信息”,否則在TMG2010中將不能導入該設置。
(3)指定導出文件位置,如圖3所示。
圖3
(4)導出完成,如圖4所示。
圖4 導出設置完成
1.2 導出防火牆策略
一般情況下,導出服務器的配置就可以了。當然,你也可以在“防火牆策略”中,只導出防火牆策略,這樣只保留防火牆策略。如圖5所示。
圖5 導出防火牆策略
(6)當然,在“導出首選項”中,也要選中“導出機密信息”,如圖6所示。
圖6 導出機密信息
1.3 導出***客戶端配置
也可以在“虛擬專用網”中,導出***配置。在使用這一項的時候,我竟然發現了ISA Server的一個“BUG”,如圖7所示,這裏面兩條都是“導出***客戶端配置”,實際上第二項是“導入***客戶端配置”。
圖 7 導出***客戶配置
2 在TMG2010中導入策略
將導出的ISA Server配置文件(或防火牆策略、***客戶端配置)複製到TMG2010計算機上,運行TMG2010管理控制檯,導入ISA Server 2006的配置。
(1)右擊TMG2010計算機名稱,在此可以導入原來ISA Server 2006(或TMG2010)的配置,如圖8所示。如果你要導入防火牆策略,則需要右擊“防火牆策略”,而不是右擊“計算機名稱”。
圖8 導入還原
(2)選擇導入文件,如圖9所示。
圖9
(3)此時會提示,你導入的是早期版本的TMG配置,單擊“確定”即可。
圖10
(4)鍵入密碼,這是在導出ISA Server 2006時所設置的,如圖11所示。
圖11 鍵入保護密碼
(5)如果你導出的ISA Server配置時,沒有選中“導出機密信息”,此時會彈出圖12的錯誤提示,並且不能繼續。
圖12 無法導入
(6)導入完成,如圖13所示。
圖13 導入完成
(7)選項後信息,如圖14所示。
圖14 遷移信息
(8)單擊“應用”按鈕,讓導入的配置生效,如圖15所示。
圖15 讓設置生效
(9)如果原來的ISA Server提供了***或***路由功能,需要重新啓動計算機,讓***設置生效,如圖16所示。
圖16 重新啓動計算機
如果沒有***配置,則不用重新啓動計算機,當前導入的設置會立刻生效。