ISA Server FAQ Home | ISA 2000 | ISA 2004 | ISA 2006 | TMG | Verschiedenes | Tools | Downloads | Links | Das Buch! | Bücher | User Group | Events | Blog | About | Sitemap | Suche

Kapitel höher
Installation ISA 2004 Eval
Installation ISA 2004
2000 -> 2004 Migration
System Hardening
Inplace Update
ISA 2004 Service Pack 2
ISA 2004 Service Pack 3

 

ISA Server 2004 – Migration eines ISA 2000 auf ISA 2004 mit Hilfe von ISA2KEXPORT.EXE - Von Marc Grote


Die Informationen in diesem Artikel beziehen sich auf:

  • Microsoft ISA Server 2000 SP1
  • Microsoft ISA Server 2004

 

Dieser Artikel beschreibt die Migration eines ISA Server 2000 (SP2 und FP1) auf einen ISA Server 2004. Es handelt sich hierbei um zwei verschiedene Maschinen.

Es stehen zwei Upgrade Möglichkeiten zur Verfügung:

  • Inplace Upgrade
  • Export- und Import der Konfiguration

Inplace Update

Bei einem Inplace Update wird der vorhandene ISA Server 2000 direkt auf ISA Server 2004 migriert. Die meisten Konfigurationseinstellungen bleiben erhalten, aber aufgrund der nicht unerheblichen Versionsunterschiede kann es das eine oder andere Problem geben. Eine Übersicht über den Migrationsvorgang finden Sie auf dieser Webseite in einem späteren Artikel.

Export- und Import der Konfiguration

Auf der ISA Server 2004 CD finden Sie im Verzeichnis Tools das Programm ISA2KEXPORT.EXE, mit welchem Sie eine ISA Server 2000 Konfiguration in eine XML-Datei speichern können. Diese XML-Datei kann dann auf einem frisch installierten ISA Server 2004 importiert werden.



Zur Gewährleistung der größtmöglichen Sicherheit wird empfohlen, die Sicherungsdateien auf einer NTFS-Datenträgerpartition zu speichern. Nur Administratoren des ISA Server-Computers sollten Leseberechtigungen für dieses Verzeichnis besitzen.

Sie können je nach Erfordernis die gesamte ISA Server-Konfiguration oder lediglich Teile davon exportieren. Folgende Objekte können exportiert werden:

  • Die gesamte ISA Server-Konfiguration
  • Alle Konnektivitätsverifizierungen oder eine ausgewählte Konnektivitätsverifizierung
  • Alle Netzwerke oder ein ausgewähltes Netzwerk
  • Alle Netzwerksätze oder ein ausgewählter Netzwerksatz
  • Alle Netzwerkregeln oder eine ausgewählte Netzwerkregel
  • Alle Webverkettungsregeln oder eine ausgewählte Webverkettungsregel
  • Cachekonfiguration
  • Alle Inhaltdownloadaufträge oder einer bzw. mehrere ausgewählte Inhaltdownloadaufträge
  • Die gesamte Firewallrichtlinie oder eine ausgewählte Regel
  • Die Systemrichtlinienregeln werden beim Exportieren der Firewallrichtlinie nicht mit exportiert. Wählen Sie zum Exportieren der Systemrichtlinie die Aufgabe Systemrichtlinie exportieren.

Beim Export einer gesamten Konfiguration werden alle allgemeinen Konfigurationsinformationen exportiert. Dazu gehören Zugriffsregeln, Veröffentlichungsregeln, Regelelemente, Alarmkonfiguration, Cachekonfiguration und ISA Server-Eigenschaften. Außerdem können Sie ggf. Benutzerberechtigungseinstellungen und vertrauliche Informationen, beispielsweise Benutzerkennwörter, exportieren. Vertrauliche Informationen in der Exportdatei werden verschlüsselt. Vertrauliche Informationen enthalten Benutzeranmeldeinformationen (beispielsweise für die Protokollierung in einer SQL Server-Datenbank), gemeinsame geheime Schlüssel für RADIUS-Nachrichten oder vorinstallierte IPSec-Schlüssel.

Gründe für den Export einer Konfiguration

Klonen eines Servers

Eine Konfiguration kann von einem auf einen anderen ISA Server-Computer exportiert werden, so dass eine Serverinstallation auf einfache Weise dupliziert werden kann. Beispielsweise kann nach dem Konfigurieren eines ISA Server-Computers in einer Zweigniederlassung die betreffende Konfiguration in eine XML-Datei exportiert werden. Anschließend kann diese auf einem anderen Computer in einer anderen Niederlassung wieder importiert werden.
Speichern einer teilweisen Konfiguration

Sie können eine einzelne Regel, eine ganze Richtlinie oder eine gesamte Konfiguration exportieren. Dies ist zum Beispiel dann sinnvoll, wenn Sie alle Firewallrichtlinien, jedoch nicht die Überwachungskonfiguration auf einen anderen ISA Server-Computer kopieren möchten.

Der Praxisteil - Export der Konfiguration am ISA Server 2000

Voraussetzung für den Export einer ISA Server 2000 Konfiguration ist das ISA Server 2000 Service Pack 1.
Starten Sie den Export Wizard über die Datei ISAAUTORUN.EXE oder ISA2KEXPORT.EXE aus dem Verzeichnis Tools.

Geben Sie den Pfad und Dateinamen für die XML Datei an.



Legen Sie jetzt die Standardfirewallrichtlinie fest. Diese Richtlinie regelt, ob Clients im internen Netzwerk auf den Computer mit ISA Server 2004 zugreifen können.
ISA Server 2004 bietet als erste Microsoft Firewallimplementierung die Möglichkeit, das interne Netzwerkinterface vor Zugriffen zu schützen. Damit wird die Sicherheit des ISA Servers erheblich erhöht. Wenn es keine zwingenden Gründe gibt, Clients den direkten Zugriff auf den ISA Server 2004 zu geben, sollten Sie wie in der Grafik dargestellt, den Clients im internen Netzwerk NICHT den Zugriff auf den ISA Server 2004 Computer ermöglichen.



Klicken Sie jetzt auf Erstellen um die XML Datei zu erzeugen. Dieser Prozess dauert nur einige Momente.



Der Migrationsvorgang ist erfolgreich beendet worden.

ISA2KEXPORT.LOG

Bei der Ausführung von ISA2KEXPORT.EXE wird eine Logdatei erstellt, mit dessen Hilfe Sie detailliert ermitteln können, welche  Informationen exportiert werden können, bzw. welche Probleme zu erwarten sind. Die Datei hat den Namen ISA2KEXPORT.LOG Datei und befindet sich in dem beim Export Dialog angegebenem Verzeichnis. In diesem Fall C:\TEMP.

Es folgt ein Auszug aus der Logdatei:

#Software: Microsoft ISA Server 2004
#Migrationsprotokoll für Microsoft ISA Server 2004
#Datum: 2004-9-15 21:59:33
Arrayparameterkonfigurationen erfolgreich exportiert
ISA Server 2000 verwendet das Laufwerk C: als Cachelaufwerk. Wenn Sie das Update auf einem anderen Computer durchführen, überprüfen Sie, ob dieses Laufwerk auf dem anderen Computer ebenfalls vorhanden ist. Andernfalls funktioniert das Zwischenspeichern nicht.
Die Warnung Fehler in der WMT aktiven Datenstromaufteilung kann nicht aktualisiert werden, weil das diese Warnung auslösende Ereignis in ISA Server 2004 unbekannt ist.
Die Warnung Fehlende Installationskomponente kann nicht aktualisiert werden, weil das diese Warnung auslösende Ereignis in ISA Server 2004 unbekannt ist.
Die Warnung Verworfenes IP-Paket kann nicht aktualisiert werden, weil das diese Warnung auslösende Ereignis in ISA Server 2004 unbekannt ist.
Die Warnung Server befindet sich außerhalb des Arraystandorts kann nicht aktualisiert werden, weil das diese Warnung auslösende Ereignis in ISA Server 2004 unbekannt ist.
Die Warnung IP-Protokollverletzung kann nicht aktualisiert werden, weil das diese Warnung auslösende Ereignis in ISA Server 2004 unbekannt ist.
Die Warnung SMTP Filter event kann nicht auf ISA Server 2004 aktualisiert werden.
Warnungskonfigurationen erfolgreich exportiert
Computersatzkonfiguration erfolgreich exportiert
Domänennamensatz-Konfiguration erfolgreich exportiert
URL-Satzkonfiguration erfolgreich exportiert
Protokolle erfolgreich exportiert
Richtlinienelemente erfolgreich exportiert
Paketfilter, für dessen ICMP-Code "Alle Codes" angegeben wurde, konnte nicht exportiert werden
Paketfilter, für dessen ICMP-Typ "Alle Typen" angegeben wurde, konnte nicht exportiert werden
Paketfilter, für dessen ICMP-Code "Alle Codes" angegeben wurde, konnte nicht exportiert werden
Warnung: Es wurden Paketfilter ermittelt, die den VPN-Zugriff einschränken. Diese Filter können nicht nach ISA Server 2004 migriert werden; stattdessen werden VPN-Zugriffsnetzwerke verwendet. Die VPN-Konfiguration wird aktualisiert, aber VPN wird deaktiviert. Wenn die Aktualisierung abgeschlossen ist, sollten Sie die VPN-Konfiguration überprüfen, die VPN-Zugriffsnetzwerke angeben und VPN aktivieren.
Netzwerkkonfigurationen erfolgreich exportiert
Cachekonfigurationen erfolgreich exportiert
ISA Server 2000 verwendet das Laufwerk C: als Cachelaufwerk. Wenn Sie das Update auf einem anderen Computer durchführen, überprüfen Sie, ob dieses Laufwerk auf dem anderen Computer ebenfalls vorhanden ist. Andernfalls funktioniert das Zwischenspeichern nicht.
Verweigerungspaketregeln erfolgreich in Richtlinienregeln exportiert
Zulassungspaketfilter erfolgreich in Richtlinienregeln exportiert
Webveröffentlichungsregeln konnten nicht aktualisiert werden, weil keine Weblistener definiert sind
Verweigerungsprotokollregeln erfolgreich in Richtlinienregeln exportiert
Site- und Inhaltregel erfolgreich in eine Richtlinienregel exportiert
Protokollzulassungsregeln erfolgreich mit Site- und Inhaltzulassungsregeln zusammengeführt
Protokollzulassungsregeln erfolgreich mit Site- und Inhaltzulassungsregeln zusammengeführt
Richtlinienregelkonfiguration erfolgreich exportiert
Arrayrichtlinienkonfigurationen erfolgreich exportiert
Protokollkonfigurationen erfolgreich exportiert
Warnung: Der Registrierungsschlüssel [HKLM\SYSTEM\CurrentControlSet\Services\W3Proxy\Parameters\ConnectCacheTimeoutInSecs] kann nicht automatisch aktualisiert werden. Sie müssen den Registrierungsschlüssel manuell aktualisieren, um diese Funktionalität zu aktualisieren. Der bisherige Wert ist "290".
Berichtaufträge werden aufgrund von Änderungen in der Struktur von Berichten nicht aktualisiert. Daher werden in ISA Server 2004 Berichtdaten aus ISA Server 2000 ignoriert.
Exportvorgang erfolgreich abgeschlossen
#Protokoll wird geschlossen

ISA2KEXPORT.XML

ISA2KEXPORT.EXE speichert die exportierte ISA 2000 Konfiguration in einer Datei mit dem Namen ISA2KEXPORT.XML. Einen Auszug aus dieser Datei sehen Sie hier:



Importieren der Konfiguration auf dem ISA Server 2004

Beim Importvorgang wird die in der exportierten XML-Datei gespeicherte Konfiguration an den festgelegten Speicherort kopiert. Diese Datei enthält serverspezifische Konfigurationsinformationen wie Cachelaufwerke und SSL-Zertifikate. Wenn vertrauliche Informationen wie Benutzerkennwörter mit der Datei exportiert wurden, muss zum Öffnen und Verschlüsseln der gesicherten Informationen ein Kennwort eingegeben werden. Dieses Kennwort wird beim Exportieren der Datei festgelegt.

Beim Export einer gesamten Konfiguration werden ebenfalls Zertifikateinstellungen exportiert. Falls Sie jedoch die Konfiguration auf einem ISA Server-Computer mit unterschiedlichen Zertifikaten importieren, kann der Microsoft-Firewalldienst nicht gestartet werden. Daraufhin wird eine entsprechende Ereignismeldung protokolliert.

Starten Sie die ISA Server 2004 Verwaltungskonsole und klicken Sie dort auf den Servernamen und klicken mit der rechten Maustaste auf Importieren oder in der Aufgabenleiste auf ISA Server-Konfiguration wiederherstellen.



Zur Sicherheit werden Sie darauf hingewiesen, dass die importierte Konfiguration die vorhandene Konfiguration überschreibt. Sie sollten also von der existierenden Konfiguration eine Sicherungskopie anfertigen, wenn es sich nicht um eine Neuinstallation des ISA Server 2004 handelt.

Achtung:

Wenn eine ursprünglich von einem bestimmten Computer exportierte Datei auf demselben Computer importiert wird, werden die vorher definierten Regelelemente, Richtlinienregeln, Veröffentlichungsregeln sowie die Alarmkonfiguration, Cachekonfiguration und ISA Server-Eigenschaften überschrieben, falls das Objekt auch in der importierten Datei vorhanden ist. Dies gilt für die Ebene, auf der der Importvorgang aufgerufen wird, sowie die untergeordneten Ebenen.

Wählen Sie den Pfad zur ISA 2000 Export Datei aus und klicken Sie auf die zu importierende Datei



Als Importoptionen können Sie Benutzerberechtigungseinstellungen importieren wählen und Cachelaufwerkseinstellungen und SSL-Zertifikate importieren.

Hinweis:

Sollten die zu importierenden SSL-Zertifikate in Konflikt mit bestehenden SSL-Zertifikaten stehen, weist Sie der Importprozess auf diesen Misstand hin.
Es werden nur die Cachelaufwerkseinstellungen importiert - nicht der Cacheinhalt. Der Cacheinhalt wird nur bei einem Inplace Update übernommen.
Der Punkt Benutzerberechtigungseinstellungen importieren macht aus meiner Sicht weniger Sinn, weil der ISA Server 2004 ein völlig neues Berechtigungsverwaltungskonzept erhalten hat. Mehr dazu hier.

Nachdem Sie auf Importieren geklickt haben. dauert es ja ne Umfang des Exportdatei eine gewisse Zeit, bis die Meldung erscheint, dass die Konfiguration erfolgreich importiert wurde.



Nach erfolgreichem Import der Konfiguration, müssen Sie den Microsoft Firewall Dienst neu starten, damit die Änderungen wirksam werden.



So sieht das Regelwerk nach erfolgreichem Import aus. Der alte ISA Server 2000 hatte zwei Regeln, welche allen Benutzern den Zugriff für die Protokolle HTTP/HTTPS und FTP von INTERN nach EXTERN erlaubt hatte.



Tipps und Tricks zum Thema Import / Export

Es handelt sich hierbei um einen von mir ín die deutsche Sprache übersetzte Auszug aus der FAQ von www.microsoft.com/isa.

Frage: Kann man eine ISA Server 2000 Enterprise Edition auf ISA Server 2004 Standard Edition updaten?
Antwort: Nein, Sie können nur von ISA Server 2000 Standard mit SP1 auf ISA Server 2004 updaten.
 
Frage: Werden die Einstellungen des ISA Server 2000 während des direkten Updates auf ISA Server 2004 behalten?
Antwort: Ja, die meisten Einstellungen
 
Frage: Welche ISA Server 2000 Einstellungen werden nicht beibehalten?
Antwort:
  • Bandbreitenregeln werden im ISA 2004 nicht mehr unterstützt und deshalb nicht migriert
  • Der H.323 Gatekeeper wird nicht mehr unterstützt und entfernt
  • Protokolleinstellungen und Reporteinstellungen werden nicht aktualisiert
  • Berechtigungseinstellungen wie SACLs werden nicht aktualisiert
 
Frage: Was passiert mit den im ISA Server 2000 gesetzten Berechtigungen während eines Updates?
Antwort: Berechtigungen werden nicht migriert. Es werden die Default Einstellungen vom ISA 2004
 
Frage: Werden Applikations-Filter auf ISA Server 2004 migriert?
Antwort: Ja, folgende:
  • FTP Zugriffs Filter
  • Protocol Regeln für FTP
  • Protocol Regeln für FTP Server als Regeln mit ReadOnly disabled
  • Protocol Regeln für FTP Download werden migriert mit ReadOnly aktiviert
  • RPC Filter wird ersetzt mit einem Regelabhängigen RPC Filter.
  • DNS Filter (Intrusion Detection). Direkt migriert zu ISA Server 2004.
  • POP Filter (Intrusion Detection). Direkt migriert zu ISA Server 2004.

Weitere Filter Migrationen entnehmen Sie folgendem Link.

 
Frage: Wird der Cache während einer Migration migriert?
Antwort: Die Cache Konfiguration wird erhalten bleiben. Ausnahmen entnehmen Sie bitte dem folgenden Link.
 
Frage: Was passiert bei einem Upgrade von ISA Server 2000 mit einem Single Network Adapter?
Antwort: Die Konfiguration wird übernommen- Eine Zugriffsregel für HTTP/FTP/HTTPS wird erstellt.
 
Frage: Werden Paketfilter von ISA 2000 nach ISA 2004 migriert?
Antwort: Nein.
 
Frage: Wird das Tool URLSCAN von ISA 2000 in ISA 2004 unterstützt?
Antwort: URLScan ist jetzt Bestandteil des ISA Server 2004 HTTP Filters. Einige URLScan Funktionen werden jedoch nicht mehr unterstützt:
  • EnableLogging
  • PerProcessLogging
  • AllowLateScanning
  • PerDayLogging
  • RejectResponseUrl
  • UseFastPathReject
  • DenyUrlSequences
 
Frage: Was passiert mit den Routing Regeln des ISA Server 2000 bei einer Migration?
Antwort: Diese Regeln werden komplett übernommen (dupliziert)



Fazit:

Die ISA 2004 Export Funktion bietet eine solide Basis zum Export von Konfigurationen aus einem ISA 2000 mit Import in ISA 2004. Jedoch ist dieses Feature nach meiner Erfahrung nicht das Allheilmittel für alle Probleme. Nach erfolgtem Import der Konfiguration in den ISA Server 2004 müssen Sie noch etwas Feintuning betreiben und die korrekte Konfiguration überprüfen und hier und da Kleinigkeiten anpassen.

 

Stand: Friday, 28. August 2009/MG. http://www.it-training-grote.de


Home | ISA 2000 | ISA 2004 | ISA 2006 | TMG | Verschiedenes | Tools | Downloads | Links | Das Buch! | Bücher | User Group | Events | Blog | About | Sitemap | Suche

Fragen oder Probleme in Zusammenhang mit dieser Website richten Sie bitte an den Webmaster. Bitte inhaltliche oder technische Fragen ausschließlich in der deutschen ISA Server Newsgroup stellen.
Verbesserungsvorschläge, Anregungen oder Fremdartikel sind jederzeit willkommen! Copyright 2001-2011. Alle Rechte vorbehalten. msisafaq.de steht in keiner Beziehung zur Microsoft Corp.
Stand: Monday, 18. March 2013 / Dieter Rauscher