ISA Server 2004 – Migration eines ISA 2000 auf ISA 2004 mit Hilfe der Inplace Migration - Von Marc Grote
Die Informationen in diesem Artikel beziehen sich auf:
- Microsoft ISA Server 2004
Dieser Artikel beschreibt die Migration eines ISA Server 2000 (SP2 und FP1) auf einen ISA Server 2004 mit Hilfe der Inplace Migration. Es handelt sich hierbei um die selbe Maschine.
Es stehen zwei Upgrade Möglichkeiten zur Verfügung:
- Inplace Upgrade
- Export- und Import der Konfiguration
Im ersten Artikel wurde die Vorgehensweise einer ISA Server 2004 Migration mit Hilfe der Export- und Import-Funktion des Microsoft ISA Server Migrationsassistenten beschrieben. Dieser Artikel beschreibt die Vorgehensweise bei einem Inplace Update.
Inplace Update
Bei einem Inplace Update wird der vorhandene ISA Server
2000 direkt auf ISA Server 2004 migriert. Die meisten
Konfigurationseinstellungen bleiben erhalten, aber aufgrund der nicht
unerheblichen Versionsunterschiede kann das eine oder andere Problem während der
Migration auftreten.
Für eine detaillierte Übersicht über die verschiedenen Migrationsaspekte lesen
Sie sich bitte das HTML Dokument ISA2000migrate.htm. Sie finden das Dokument im Stammverzeichnis der
ISA Server CD.
Vorarbeiten
Bevor Sie mit einem Inplace Update des Microsoft ISA Server 2000 auf 2004
beginnen, empfiehlt es sich, das System einem umfassenden Audit zu unterwerfen.
Im Laufe der Betriebszeit des ISA Servers haben Sie evtl. Regeln erstellt oder
Einstellungen vorgenommen, welche nicht mehr ihren aktuellen Anforderungen und
Ihrer Security-Policy entsprechen. Überprüfen Sie sämtliche Regeln auf Ihre
Notwendigkeit und nehmen Sie ggfs. Änderungen vor, bzw. löschen Sie nicht mehr
benötigte Regeln.
Es empfiehlt sich weiterhin den ISA Server während des
Updatevorgangs und dem Einspielen der aktuellen Hotfixes vom Netzwerk zu
trennen. Am besten schließen Sie den ISA Server an einem autarken Switch oder
Hub an.
Beachten Sie bei der ISA Installation auch die Sicherheit des Betriebssystems
sowie der IT-Infrastrukutr. Lesen Sie hierzu den Artikel System-Hardening.
Beginnen Sie mit dem Updatevorgang durch Starten des Setup Vorgangs, indem Sie die Datei ISAAUTORUN.EXE von der ISA Server 2004 CD starten. Klicken Sie im folgenden Setup-Dialog auf ISA SERVER 2004 INSTALLIEREN
Folgen Sie den Anweisungen des Wizards.
Je nach bereits installierten Komponenten sieht folgende Dialogbox etwas anders aus. In diesem Fall werden die folgenden Dienste aktualisiert:
- ISA Server 2000-Dienste
- ISA Server 2000-Verwaltungsprogramm
- ISA Server 2000-Nachrichtenüberwachung
Lesen Sie den Lizenzvertrag aufmerksam durch und anerkennen Sie die Bedingungen,
Geben Sie in folgendem Fenster Ihren Benutzernamen,
Organisationsnamen und die Produktseriennummer an.
Bestimmen Sie hier den Speicherort der ISA Server 2004 Installationsdateien.
In folgender Dialog-Box werden Sie gefragt, ob ISA Server
mit Standardinstallationseinstellungen installiert werden soll, oder ob Sie das
ISA Server Migrationsprogramm verwenden wollen um die ISA Server 2000
Konfiguration während des Aktualisierungsvorgangs beizubehalten.
Um die ISA Server Konfiguration zu behalten, müssen Sie auf den Button
EXPORTIEREN klicken. Die vorhandene Konfiguration wird dann in eine
.XML-Datei exportiert.
Klicken Sie auf WEITER um den Exportvorgang zu starten.
In folgender Dialogbox können Sie festlegen, ob Clients
aus Ihrem internen Netzwerk auf den ISA Server 2004 zugreifen können. Per
Default werden den internen Clients die meisten Zugriffe verweigert. Sie können
nach erfolgter ISA Server 2004 Installation die
Systemrichtlinien anpassen, um die benötigten Zugriffe zu erlauben.
Klicken Sie in folgender Dialogbox auf ERSTELLEN um
die .XML-Datei der ISA Server 2000 Konfiguration zu erstellen.
Die Erstellung der .XML Datei dauert nur einen kurzen Moment.
In der Zusammenfassung werden Sie über den Erfolg oder
Misserfolg des Exports informiert. Die Meldung, dass Probleme beim Exportieren
der Einstellungen aufgetreten sind, erscheint sehr häufig. Ursache sind sehr
häufig Meldungen, dass der ISA Server Migrationswizard bestimmte
Konfigurationseinstellungen nicht in der ISA Server 2004 Konfiguration
verwenden kann. Diese Meldungen müssen nicht immer dazu führen, dass ein
erfolgreiches Update auf ISA Server 2004 durchgeführt werden kann. Lesen Sie
sich die erstellte Logdatei aufmerksam durch.
ISA2K_CONFIG.LOG
Informationen über den Exportvorgang werden in der Datei
ISA2K_CONFIG.LOG
erstellt. Sie finden die Datei im Verzeichnis
\WINDOWS\TEMP\ISA2K_UPGRADE
Inhalt der Datei ISA2K_CONFIG.LOG
#Software: Microsoft ISA Server 2004
#Migrationsprotokoll für Microsoft ISA Server 2004
#Datum: 2005-1-6 20:0:28
Arrayparameterkonfigurationen erfolgreich exportiert
Die Warnung Fehlende Installationskomponente kann nicht aktualisiert werden,
weil das diese Warnung auslösende Ereignis in ISA Server 2004 unbekannt ist.
Die Warnung Verworfenes IP-Paket kann nicht aktualisiert werden, weil das diese
Warnung auslösende Ereignis in ISA Server 2004 unbekannt ist.
Die Warnung Server befindet sich außerhalb des Arraystandorts kann nicht
aktualisiert werden, weil das diese Warnung auslösende Ereignis in ISA Server
2004 unbekannt ist.
Die Warnung IP-Protokollverletzung kann nicht aktualisiert werden, weil das
diese Warnung auslösende Ereignis in ISA Server 2004 unbekannt ist.
Die Warnung Fehler in der WMT aktiven Datenstromaufteilung kann nicht
aktualisiert werden, weil das diese Warnung auslösende Ereignis in ISA Server
2004 unbekannt ist.
Die Warnung SMTP Filter event kann nicht auf ISA Server 2004 aktualisiert
werden.
Warnungskonfigurationen erfolgreich exportiert
Computersatzkonfiguration erfolgreich exportiert
Domänennamensatz-Konfiguration erfolgreich exportiert
URL-Satzkonfiguration erfolgreich exportiert
Protokolle erfolgreich exportiert
Richtlinienelemente erfolgreich exportiert
Paketfilter, für dessen ICMP-Code "Alle Codes" angegeben wurde, konnte nicht
exportiert werden
Paketfilter, für dessen ICMP-Typ "Alle Typen" angegeben wurde, konnte nicht
exportiert werden
Paketfilter, für dessen ICMP-Code "Alle Codes" angegeben wurde, konnte nicht
exportiert werden
Warnung: Es wurden Paketfilter ermittelt, die den VPN-Zugriff einschränken.
Diese Filter können nicht nach ISA Server 2004 migriert werden; stattdessen
werden VPN-Zugriffsnetzwerke verwendet. Die VPN-Konfiguration wird aktualisiert,
aber VPN wird deaktiviert. Wenn die Aktualisierung abgeschlossen ist, sollten
Sie die VPN-Konfiguration überprüfen, die VPN-Zugriffsnetzwerke angeben und VPN
aktivieren.
Netzwerkkonfigurationen erfolgreich exportiert
Cachekonfigurationen erfolgreich exportiert
Verweigerungspaketregeln erfolgreich in Richtlinienregeln exportiert
Zulassungspaketfilter erfolgreich in Richtlinienregeln exportiert
Webveröffentlichungsregeln konnten nicht aktualisiert werden, weil keine
Weblistener definiert sind
Verweigerungsprotokollregeln erfolgreich in Richtlinienregeln exportiert
Site- und Inhaltregel erfolgreich in eine Richtlinienregel exportiert
Protokollzulassungsregeln erfolgreich mit Site- und Inhaltzulassungsregeln
zusammengeführt
Richtlinienregelkonfiguration erfolgreich exportiert
Arrayrichtlinienkonfigurationen erfolgreich exportiert
Protokollkonfigurationen erfolgreich exportiert
Warnung: Der Registrierungsschlüssel [HKLM\SYSTEM\CurrentControlSet\Services\W3Proxy\Parameters\ConnectCacheTimeoutInSecs]
kann nicht automatisch aktualisiert werden. Sie müssen den
Registrierungsschlüssel manuell aktualisieren, um diese Funktionalität zu
aktualisieren. Der bisherige Wert ist "290".
Berichtaufträge werden aufgrund von Änderungen in der Struktur von Berichten
nicht aktualisiert. Daher werden in ISA Server 2004 Berichtdaten aus ISA Server
2000 ignoriert.
Exportvorgang erfolgreich abgeschlossen
#Protokoll wird geschlossen
Während der Aktualisierung werden die Protokoll- und
Cachedateien entfernt. Wenn Sie diese sichern wollen, erstellen Sie vor dem
Klick auf WEITER eine Sicherungskopie.
Wenn Sie jetzt auf INSTALLIEREN klicken, wird der Installationsvorgang gestartet und die vorhandene ISA Server 2000 Installation entfernt.
Je nach Leistungsfähigkeit des Rechners und Umfang der zu
importierenden Konfiguration, kann die Installation einige Zeit in Anspruch
nehmen.
Mit ISA verwandte Dienste (Stichwort: Dienstabhängigkeiten)
werden beendet.
ISA Server 2004 Installationsdateien werden kopiert.
Die Installation wurde erfolgreich abgeschlossen. Sie können
sich über den Exportprozess informieren. Informationen über den Inhalt der
exportierten ISA 2000 Konfiguration finden Sie in der Datei ISA2K_CONFIG.XML.
Die Datei ISA2K_CONFIG.LOG enthält, wie bereits weiter oben erwähnt,
Informationen über den Exportvorgang.
Befolgen Sie im Anschluss an die Installation die Hinweise
von Microsoft und lesen Sie den ISA Security-Hardening-Guide.
Das Firewallregelwerk wurde importiert und sieht in der ISA Server 2004 Konsole wie folgt aus:
Der Migrationsvorgang wurde erfolgreich abgeschlossen. Überprüfen Sie jetzt sämtliche Konfigurationseinstellungen und machen Sie sich mit den neuen Funktionen des ISA Server 2004 vertraut.
Stand: Friday, 28. August 2009/MG. http://www.it-training-grote.de
