ISA Server 2004 – Migration eines ISA 2000 auf ISA 2004 mit Hilfe von ISA2KEXPORT.EXE - Von Marc Grote
Die Informationen in diesem Artikel beziehen sich auf:
- Microsoft ISA Server 2000 SP1
- Microsoft ISA Server 2004
Dieser Artikel beschreibt die Migration eines ISA Server 2000 (SP2 und FP1) auf einen ISA Server 2004. Es handelt sich hierbei um zwei verschiedene Maschinen.
Es stehen zwei Upgrade Möglichkeiten zur Verfügung:
- Inplace Upgrade
- Export- und Import der Konfiguration
Inplace Update
Bei einem Inplace Update wird der vorhandene ISA Server 2000 direkt auf ISA Server 2004 migriert. Die meisten Konfigurationseinstellungen bleiben erhalten, aber aufgrund der nicht unerheblichen Versionsunterschiede kann es das eine oder andere Problem geben. Eine Übersicht über den Migrationsvorgang finden Sie auf dieser Webseite in einem späteren Artikel.
Export- und Import der Konfiguration
Auf der ISA Server 2004 CD finden Sie im Verzeichnis Tools das Programm ISA2KEXPORT.EXE, mit welchem Sie eine ISA Server 2000 Konfiguration in eine XML-Datei speichern können. Diese XML-Datei kann dann auf einem frisch installierten ISA Server 2004 importiert werden.
Zur Gewährleistung der größtmöglichen Sicherheit wird empfohlen, die
Sicherungsdateien auf einer NTFS-Datenträgerpartition zu speichern. Nur
Administratoren des ISA Server-Computers sollten Leseberechtigungen für dieses
Verzeichnis besitzen.
Sie können je nach Erfordernis die gesamte ISA Server-Konfiguration oder
lediglich Teile davon exportieren. Folgende Objekte können exportiert werden:
- Die gesamte ISA Server-Konfiguration
- Alle Konnektivitätsverifizierungen oder eine ausgewählte Konnektivitätsverifizierung
- Alle Netzwerke oder ein ausgewähltes Netzwerk
- Alle Netzwerksätze oder ein ausgewählter Netzwerksatz
- Alle Netzwerkregeln oder eine ausgewählte Netzwerkregel
- Alle Webverkettungsregeln oder eine ausgewählte Webverkettungsregel
- Cachekonfiguration
- Alle Inhaltdownloadaufträge oder einer bzw. mehrere ausgewählte Inhaltdownloadaufträge
- Die gesamte Firewallrichtlinie oder eine ausgewählte Regel
- Die Systemrichtlinienregeln werden beim Exportieren der Firewallrichtlinie nicht mit exportiert. Wählen Sie zum Exportieren der Systemrichtlinie die Aufgabe Systemrichtlinie exportieren.
Beim Export einer gesamten Konfiguration werden alle allgemeinen
Konfigurationsinformationen exportiert. Dazu gehören Zugriffsregeln,
Veröffentlichungsregeln, Regelelemente, Alarmkonfiguration, Cachekonfiguration
und ISA Server-Eigenschaften. Außerdem können Sie ggf.
Benutzerberechtigungseinstellungen und vertrauliche Informationen,
beispielsweise Benutzerkennwörter, exportieren. Vertrauliche Informationen in
der Exportdatei werden verschlüsselt. Vertrauliche Informationen enthalten
Benutzeranmeldeinformationen (beispielsweise für die Protokollierung in einer
SQL Server-Datenbank), gemeinsame geheime Schlüssel für RADIUS-Nachrichten oder
vorinstallierte IPSec-Schlüssel.
Gründe für den Export einer Konfiguration
Klonen eines Servers
Eine Konfiguration kann von einem auf einen anderen ISA
Server-Computer exportiert werden, so dass eine Serverinstallation auf einfache
Weise dupliziert werden kann. Beispielsweise kann nach dem Konfigurieren eines
ISA Server-Computers in einer Zweigniederlassung die betreffende Konfiguration
in eine XML-Datei exportiert werden. Anschließend kann diese auf einem anderen
Computer in einer anderen Niederlassung wieder importiert werden.
Speichern einer teilweisen Konfiguration
Sie können eine einzelne Regel, eine
ganze Richtlinie oder eine gesamte Konfiguration exportieren. Dies ist zum
Beispiel dann sinnvoll, wenn Sie alle Firewallrichtlinien, jedoch nicht
die Überwachungskonfiguration auf einen anderen ISA Server-Computer kopieren
möchten.
Der Praxisteil - Export der Konfiguration am ISA Server 2000
Voraussetzung für den Export einer ISA Server 2000 Konfiguration ist das ISA
Server 2000 Service Pack 1.
Starten Sie den Export Wizard über die Datei ISAAUTORUN.EXE oder
ISA2KEXPORT.EXE aus dem Verzeichnis Tools.
Geben Sie den Pfad und Dateinamen für die XML Datei an.
Legen Sie jetzt die Standardfirewallrichtlinie fest. Diese Richtlinie regelt, ob
Clients im internen Netzwerk auf den Computer mit ISA Server 2004 zugreifen
können.
ISA Server 2004 bietet als erste Microsoft Firewallimplementierung die
Möglichkeit, das interne Netzwerkinterface vor Zugriffen zu schützen. Damit wird
die Sicherheit des ISA Servers erheblich erhöht. Wenn es keine zwingenden Gründe
gibt, Clients den direkten Zugriff auf den ISA Server 2004 zu geben, sollten Sie
wie in der Grafik dargestellt, den Clients im internen Netzwerk NICHT den
Zugriff auf den ISA Server 2004 Computer ermöglichen.
Klicken Sie jetzt auf Erstellen um die XML Datei zu erzeugen.
Dieser Prozess dauert nur einige Momente.
Der Migrationsvorgang ist erfolgreich beendet worden.
ISA2KEXPORT.LOG
Bei der Ausführung von
ISA2KEXPORT.EXE wird eine Logdatei erstellt, mit dessen Hilfe Sie
detailliert ermitteln können, welche Informationen exportiert werden
können, bzw. welche Probleme zu erwarten sind. Die Datei hat den Namen ISA2KEXPORT.LOG Datei
und befindet sich in dem beim Export Dialog angegebenem
Verzeichnis. In diesem Fall C:\TEMP.
Es folgt ein Auszug aus der Logdatei:
#Software: Microsoft ISA Server 2004
#Migrationsprotokoll für Microsoft ISA Server 2004
#Datum: 2004-9-15 21:59:33
Arrayparameterkonfigurationen erfolgreich exportiert
ISA Server 2000 verwendet das Laufwerk C: als Cachelaufwerk. Wenn Sie das Update
auf einem anderen Computer durchführen, überprüfen Sie, ob dieses Laufwerk auf
dem anderen Computer ebenfalls vorhanden ist. Andernfalls funktioniert das
Zwischenspeichern nicht.
Die Warnung Fehler in der WMT aktiven Datenstromaufteilung kann nicht
aktualisiert werden, weil das diese Warnung auslösende Ereignis in ISA Server
2004 unbekannt ist.
Die Warnung Fehlende Installationskomponente kann nicht aktualisiert werden,
weil das diese Warnung auslösende Ereignis in ISA Server 2004 unbekannt ist.
Die Warnung Verworfenes IP-Paket kann nicht aktualisiert werden, weil das diese
Warnung auslösende Ereignis in ISA Server 2004 unbekannt ist.
Die Warnung Server befindet sich außerhalb des Arraystandorts kann nicht
aktualisiert werden, weil das diese Warnung auslösende Ereignis in ISA Server
2004 unbekannt ist.
Die Warnung IP-Protokollverletzung kann nicht aktualisiert werden, weil das
diese Warnung auslösende Ereignis in ISA Server 2004 unbekannt ist.
Die Warnung SMTP Filter event kann nicht auf ISA Server 2004 aktualisiert
werden.
Warnungskonfigurationen erfolgreich exportiert
Computersatzkonfiguration erfolgreich exportiert
Domänennamensatz-Konfiguration erfolgreich exportiert
URL-Satzkonfiguration erfolgreich exportiert
Protokolle erfolgreich exportiert
Richtlinienelemente erfolgreich exportiert
Paketfilter, für dessen ICMP-Code "Alle Codes" angegeben wurde, konnte nicht
exportiert werden
Paketfilter, für dessen ICMP-Typ "Alle Typen" angegeben wurde, konnte nicht
exportiert werden
Paketfilter, für dessen ICMP-Code "Alle Codes" angegeben wurde, konnte nicht
exportiert werden
Warnung: Es wurden Paketfilter ermittelt, die den VPN-Zugriff einschränken.
Diese Filter können nicht nach ISA Server 2004 migriert werden; stattdessen
werden VPN-Zugriffsnetzwerke verwendet. Die VPN-Konfiguration wird aktualisiert,
aber VPN wird deaktiviert. Wenn die Aktualisierung abgeschlossen ist, sollten
Sie die VPN-Konfiguration überprüfen, die VPN-Zugriffsnetzwerke angeben und VPN
aktivieren.
Netzwerkkonfigurationen erfolgreich exportiert
Cachekonfigurationen erfolgreich exportiert
ISA Server 2000 verwendet das Laufwerk C: als Cachelaufwerk. Wenn Sie das Update
auf einem anderen Computer durchführen, überprüfen Sie, ob dieses Laufwerk auf
dem anderen Computer ebenfalls vorhanden ist. Andernfalls funktioniert das
Zwischenspeichern nicht.
Verweigerungspaketregeln erfolgreich in Richtlinienregeln exportiert
Zulassungspaketfilter erfolgreich in Richtlinienregeln exportiert
Webveröffentlichungsregeln konnten nicht aktualisiert werden, weil keine
Weblistener definiert sind
Verweigerungsprotokollregeln erfolgreich in Richtlinienregeln exportiert
Site- und Inhaltregel erfolgreich in eine Richtlinienregel exportiert
Protokollzulassungsregeln erfolgreich mit Site- und Inhaltzulassungsregeln
zusammengeführt
Protokollzulassungsregeln erfolgreich mit Site- und Inhaltzulassungsregeln
zusammengeführt
Richtlinienregelkonfiguration erfolgreich exportiert
Arrayrichtlinienkonfigurationen erfolgreich exportiert
Protokollkonfigurationen erfolgreich exportiert
Warnung: Der Registrierungsschlüssel [HKLM\SYSTEM\CurrentControlSet\Services\W3Proxy\Parameters\ConnectCacheTimeoutInSecs]
kann nicht automatisch aktualisiert werden. Sie müssen den
Registrierungsschlüssel manuell aktualisieren, um diese Funktionalität zu
aktualisieren. Der bisherige Wert ist "290".
Berichtaufträge werden aufgrund von Änderungen in der Struktur von Berichten
nicht aktualisiert. Daher werden in ISA Server 2004 Berichtdaten aus ISA Server
2000 ignoriert.
Exportvorgang erfolgreich abgeschlossen
#Protokoll wird geschlossen
ISA2KEXPORT.XML
ISA2KEXPORT.EXE speichert die exportierte ISA 2000
Konfiguration in einer Datei mit dem Namen ISA2KEXPORT.XML. Einen Auszug aus dieser Datei sehen
Sie hier:
Importieren der Konfiguration auf dem ISA Server 2004
Beim Importvorgang wird die in der exportierten XML-Datei gespeicherte
Konfiguration an den festgelegten Speicherort kopiert. Diese Datei enthält
serverspezifische Konfigurationsinformationen wie Cachelaufwerke und
SSL-Zertifikate. Wenn vertrauliche Informationen wie Benutzerkennwörter mit der
Datei exportiert wurden, muss zum Öffnen und Verschlüsseln der gesicherten
Informationen ein Kennwort eingegeben werden. Dieses Kennwort wird beim
Exportieren der Datei festgelegt.
Beim Export einer gesamten Konfiguration werden ebenfalls
Zertifikateinstellungen exportiert. Falls Sie jedoch die Konfiguration auf einem
ISA Server-Computer mit unterschiedlichen Zertifikaten importieren, kann der
Microsoft-Firewalldienst nicht gestartet werden. Daraufhin wird eine
entsprechende Ereignismeldung protokolliert.
Starten Sie die ISA Server 2004 Verwaltungskonsole und klicken Sie dort auf den
Servernamen und klicken mit der rechten Maustaste auf Importieren oder in
der Aufgabenleiste auf ISA Server-Konfiguration wiederherstellen.
Zur Sicherheit werden Sie darauf hingewiesen, dass die importierte Konfiguration
die vorhandene Konfiguration überschreibt. Sie sollten also von der
existierenden Konfiguration eine Sicherungskopie anfertigen, wenn es sich nicht
um eine Neuinstallation des ISA Server 2004 handelt.
Achtung:
Wenn eine ursprünglich von einem bestimmten Computer exportierte Datei auf
demselben Computer importiert wird, werden die vorher definierten Regelelemente,
Richtlinienregeln, Veröffentlichungsregeln sowie die Alarmkonfiguration,
Cachekonfiguration und ISA Server-Eigenschaften überschrieben, falls das Objekt
auch in der importierten Datei vorhanden ist. Dies gilt für die Ebene, auf der
der Importvorgang aufgerufen wird, sowie die untergeordneten Ebenen.
Wählen Sie den Pfad zur ISA 2000 Export Datei aus und
klicken Sie auf die zu importierende Datei
Als Importoptionen können Sie Benutzerberechtigungseinstellungen importieren
wählen und Cachelaufwerkseinstellungen und SSL-Zertifikate importieren.
Hinweis:
Sollten die zu importierenden SSL-Zertifikate in Konflikt mit bestehenden
SSL-Zertifikaten stehen, weist Sie der Importprozess auf diesen Misstand hin.
Es werden nur die Cachelaufwerkseinstellungen importiert - nicht der
Cacheinhalt. Der Cacheinhalt wird nur bei einem Inplace Update übernommen.
Der Punkt Benutzerberechtigungseinstellungen importieren macht aus meiner Sicht
weniger Sinn, weil der ISA Server 2004 ein völlig neues
Berechtigungsverwaltungskonzept erhalten hat. Mehr dazu
hier.
Nachdem Sie auf Importieren geklickt haben. dauert es ja ne Umfang des
Exportdatei eine gewisse Zeit, bis die Meldung erscheint, dass die Konfiguration
erfolgreich importiert wurde.
Nach erfolgreichem Import der Konfiguration, müssen Sie den
Microsoft Firewall Dienst neu starten, damit die Änderungen wirksam werden.
So sieht das Regelwerk nach erfolgreichem Import aus. Der alte ISA Server
2000 hatte zwei Regeln, welche allen Benutzern den Zugriff für die Protokolle
HTTP/HTTPS und FTP von INTERN nach EXTERN erlaubt hatte.
Tipps und Tricks zum Thema Import / Export
Es handelt sich hierbei um einen von mir ín die deutsche Sprache übersetzte
Auszug aus der FAQ von www.microsoft.com/isa.
| Frage: | Kann man eine ISA Server 2000 Enterprise Edition auf ISA Server 2004 Standard Edition updaten? |
| Antwort: | Nein, Sie können nur von ISA Server 2000 Standard mit SP1 auf ISA Server 2004 updaten. |
| Frage: | Werden die Einstellungen des ISA Server 2000 während des direkten Updates auf ISA Server 2004 behalten? |
| Antwort: | Ja, die meisten Einstellungen |
| Frage: | Welche ISA Server 2000 Einstellungen werden nicht beibehalten? |
| Antwort: |
|
| Frage: | Was passiert mit den im ISA Server 2000 gesetzten Berechtigungen während eines Updates? |
| Antwort: | Berechtigungen werden nicht migriert. Es werden die Default Einstellungen vom ISA 2004 |
| Frage: | Werden Applikations-Filter auf ISA Server 2004 migriert? |
| Antwort: | Ja, folgende:
Weitere Filter Migrationen entnehmen Sie folgendem Link. |
| Frage: | Wird der Cache während einer Migration migriert? |
| Antwort: | Die Cache Konfiguration wird erhalten bleiben. Ausnahmen entnehmen Sie bitte dem folgenden Link. |
| Frage: | Was passiert bei einem Upgrade von ISA Server 2000 mit einem Single Network Adapter? |
| Antwort: | Die Konfiguration wird übernommen- Eine Zugriffsregel für HTTP/FTP/HTTPS wird erstellt. |
| Frage: | Werden Paketfilter von ISA 2000 nach ISA 2004 migriert? |
| Antwort: | Nein. |
| Frage: | Wird das Tool URLSCAN von ISA 2000 in ISA 2004 unterstützt? |
| Antwort: | URLScan ist jetzt Bestandteil des ISA Server 2004 HTTP Filters.
Einige URLScan Funktionen werden jedoch nicht mehr unterstützt:
|
| Frage: | Was passiert mit den Routing Regeln des ISA Server 2000 bei einer Migration? |
| Antwort: | Diese Regeln werden komplett übernommen (dupliziert) |
Fazit:
Die ISA 2004 Export Funktion bietet eine solide Basis zum Export von
Konfigurationen aus einem ISA 2000 mit Import in ISA 2004. Jedoch ist dieses
Feature nach meiner Erfahrung nicht das Allheilmittel für alle Probleme. Nach
erfolgtem Import der Konfiguration in den ISA Server 2004 müssen Sie noch etwas
Feintuning betreiben und die korrekte Konfiguration überprüfen und hier und da
Kleinigkeiten anpassen.
Stand: Friday, 28. August 2009/MG. http://www.it-training-grote.de
