從 ISA Server 2004/2006 升級至 Forefront TMG

發佈時間: 2009年11月

更新日期: 2010年2月

適用於: Forefront Threat Management Gateway (TMG)

系統支援下列從 Microsoft Internet Security and Acceleration (ISA) Server 到 Forefront TMG 的移轉路徑:

  • ISA Server Standard Edition 到 Forefront TMG Standard Edition。

  • ISA Server Standard Edition 到 Forefront TMG Enterprise Edition 獨立伺服器。

  • ISA Server Enterprise Edition 的陣列 (包括僅包含單一伺服器的陣列) 到 Forefront TMG 企業管理伺服器 (EMS) 所管理之 Forefront TMG Enterprise Edition 的陣列。

    note附註:
    ISA Server 的陣列無法移轉至非 Forefront TMG EMS 所管理之 Forefront TMG 伺服器的陣列。即使您可以建立非 Forefront TMG EMS 所管理之 Forefront TMG 伺服器的陣列,這個選項仍無法用於移轉。

從 ISA Server 移轉至 Forefront TMG 之前,請閱讀下列資訊:

Important重要事項:
如果您要在目前安裝 ISA Server 之伺服器以外的伺服器上移轉至 Forefront TMG,建議您在移轉完成前,維持實際執行 ISA Server 功能,並確認 Forefront TMG 如同預期般運作。

本主題包含下列章節:

開始移轉程序之前,請先收集下列關於現有 ISA Server 部署的資訊:

  • 執行 ISA Server 之電腦的完整網域名稱 (FQDN)。

  • 已連接至主要企業網路之網路介面卡的 IP 位址、子網路遮罩,以及 DNS 伺服器位址。此網路介面卡將與預設的 Forefront TMG 內部網路相關聯。

  • 已連接至外部網路 (通常是網際網路) 之網路介面卡的 IP 位址、子網路遮罩、預設閘道,以及 DNS 伺服器位址。如果您要安裝包含單一網路介面卡的 Forefront TMG,則不需要外部介面卡設定。

  • 已連接至其他任何網路 (例如周邊網路) 之網路介面卡的 IP 位址、子網路遮罩,以及 DNS 伺服器位址。

下面是將單一 ISA Server 移轉至 Forefront TMG 所需的工作:

  1. 收集安裝所需的資訊。如需詳細資訊,請參閱收集資訊

  2. 匯出 ISA Server 設定。如需詳細資訊,請參閱匯出 ISA Server 設定

  3. 匯出 ISA Server 所使用的伺服器憑證。如需在 Windows 2003 中匯出伺服器憑證的指示,請參閱匯入及匯出憑證 (http://go.microsoft.com/fwlink/?LinkId=152428)。

  4. 如果您要在執行 ISA Server 的同一部電腦上移轉至 Forefront TMG,請從該電腦中解除安裝 ISA Server。如需詳細資訊,請參閱 ISA Server SE:解除安裝 ISA Server 軟體 (http://go.microsoft.com/fwlink/?LinkId=152933) (英文)。

  5. 在電腦上執行 Windows 2008 (SP2 64 位元或 R2) 的全新安裝。這適用於新的電腦或已經安裝 ISA Server 的電腦 (不支援從 32 位元 Windows 2003 就地升級為 64 位元 Windows 2008)。如需詳細資訊,請參閱安裝 Windows Server 2008 (http://go.microsoft.com/fwlink/?LinkId=152429)。

  6. 安裝 Forefront TMG。如需詳細資訊,請參閱安裝 Forefront TMG

  7. 將伺服器憑證匯入至 Forefront TMG 伺服器。如需詳細資訊,請參閱移動憑證 (http://go.microsoft.com/fwlink/?LinkId=152430)。

  8. 在 [Forefront TMG 管理] 主控台中,匯入並套用 ISA Server 設定。如需詳細資訊,請參閱將設定匯入至 Forefront TMG

  9. 在 Forefront TMG 上還原 ISA Server 報告工作與防火牆記錄內容。如需相關資訊,請參閱設定 Forefront TMG 報告設定 Forefront TMG 記錄

  10. 如果您要在乾淨的伺服器 (也就是先前沒有執行 ISA Server 的電腦) 上安裝 Forefront TMG,請以新的伺服器資訊更新您的實際執行環境,例如內部與外部 IP 位址,以及網域名稱系統 (DNS) 伺服器位址。

  11. 檢查設定是否正常運作,而且服務是否在 Forefront TMG 伺服器上啟動。

執行此程序時,請注意下列事項:

  • 如果電腦特有的設定與您所匯入的 ISA 設定不同,您就必須在 Forefront TMG 電腦的新陣列中調整這些設定。例如 FQDN、報告和記錄、認證以及憑證。

  • 只有設定存放區伺服器 (CSS) 的組態設定會移轉至執行 Forefront TMG EMS 的個別電腦。即使 CSS 位於其中一部 ISA Server 電腦 (而非個別的電腦) 上,您仍然必須將 Forefront TMG EMS 安裝在個別的電腦上。

下面是將 ISA Server 陣列移轉至 Forefront TMG 伺服器陣列所需的工作:

  1. 從陣列中的每部伺服器收集安裝所需的資訊。如需詳細資訊,請參閱收集資訊

  2. 從指定為 CSS 的電腦匯出 ISA Server 設定。如需詳細資訊,請參閱匯出 ISA Server 設定

  3. 匯出 ISA Server 所使用的伺服器憑證。如需在 Windows 2003 中匯出伺服器憑證的指示,請參閱匯入及匯出憑證 (http://go.microsoft.com/fwlink/?LinkId=152428)。

  4. 如果您要使用執行 ISA Server 的相同電腦來移轉至 Forefront TMG 電腦的陣列,請從這些電腦中解除安裝 ISA Server。如需詳細資訊,請參閱 ISA Server EE:解除安裝 ISA Server 軟體 (http://go.microsoft.com/fwlink/?LinkId=152936) (英文)。

  5. 在電腦上執行 Windows 2008 (SP2 64 位元或 R2) 的全新安裝。這適用於新的電腦和已安裝 ISA Server 的電腦 (不支援從 32 位元 Windows 2003 就地升級為 64 位元 Windows 2008)。如需詳細資訊,請參閱安裝 Windows Server 2008 (http://go.microsoft.com/fwlink/?LinkId=152429)。

  6. 將 Forefront TMG EMS 安裝在管理伺服器上 (這必須是個別的電腦,而非新陣列中的其中一部電腦)。如需詳細資訊,請參閱安裝用於集中管理的企業管理伺服器 (EMS)

  7. 將 ISA Server CSS 設定匯入並套用至管理伺服器上的 Forefront TMG EMS。如需詳細資訊,請參閱將設定匯入至 Forefront TMG

  8. 在每個新的陣列成員上安裝 Forefront TMG。如需詳細資訊,請參閱安裝 Forefront TMG

  9. 將伺服器憑證匯入至 Forefront TMG 伺服器。如需詳細資訊,請參閱移動憑證 (http://go.microsoft.com/fwlink/?LinkId=152430)。

  10. 還原 ISA Server 報告工作與防火牆記錄內容。如需相關資訊,請參閱設定 Forefront TMG 報告設定 Forefront TMG 記錄

  11. 如果您要在先前沒有執行 ISA Server 的電腦上安裝 Forefront TMG,請以新的伺服器資訊更新您的實際執行環境,例如內部與外部 IP 位址,以及網域名稱系統 (DNS) 伺服器位址。

  12. 將陣列中的每部 Forefront TMG 伺服器加入至 Forefront TMG EMS 管理伺服器。如需詳細資訊,請參閱將伺服器加入企業陣列

  13. 檢查設定是否已同步,而且服務是否在陣列中的每部 Forefront TMG 伺服器上啟動。

使用以下程序匯出目前的 ISA Server 設定。

匯出 ISA Server 設定

  1. 在 [ISA Server 管理] 主控台樹狀目錄中,存取根節點:

    • 在 ISA Server 電腦上,展開 [Microsoft Internet Security and Acceleration Server],然後按一下伺服器名稱

    • 在設定存放區伺服器電腦上,按一下 [Microsoft Internet Security and Acceleration Server]

      note附註:
      建議您從根節點匯出完整設定。其他選項是僅匯出您想要移轉至 Forefront TMG 的特定節點。請注意,您只能個別移轉下列節點:URLSet、DomainNameSet、ComputerSet、Computer、Subnet 和 AddressRange。

  2. [工作] 窗格中,按一下 [將 ISA Server 設定匯出至檔案]

  3. 在「匯出精靈」的 [匯出喜好設定] 頁面上,選取下列選項:

    • 匯出機密資訊:指定至少 8 個字元的密碼。

    • 匯出使用者權限設定值

    當您匯出機密資訊時,下列資訊會包含在匯出的資料中:

    • 用於警示、記錄、報告、報告工作、主要和備份路由、撥號連線,及網頁發行的認證。

    • 使用 RADIUS 伺服器時指定的共用機密。

    • 針對網際網路通訊協定安全性 (IPsec) 設定指定的預先共用金鑰。

    匯出程序期間會加密機密資訊。密碼是用來加密匯入程序期間的資訊。

    Important重要事項:
    若要將設定匯入至 Forefront TMG,不論系統中是否存在機密資訊,您都必須選取 [匯出機密資訊] 選項。

  4. [匯出檔案位置] 頁面上,指定匯出之備份檔的名稱和位置。如果您想要將此電腦升級至 Windows Server 2008,並在該電腦上安裝 Forefront TMG,請將匯出的檔案複製到網路位置,如此在移轉程序完成前,該檔案就不會遭到刪除。

  5. [套用變更] 列上,按一下 [套用]

使用以下程序將 ISA Server 設定匯入至 Forefront TMG。

將設定匯入至 Forefront TMG

  1. 在 [Forefront TMG 管理] 主控台的樹狀目錄中,存取根節點:

    • 在 Forefront TMG 電腦上,展開 [Microsoft Forefront Threat Management Gateway],然後按一下 [ServerName]

    • 在 EMS 電腦上,按一下 [Microsoft Forefront Threat Management Gateway]

  2. [工作] 索引標籤上,按一下 [匯入 (還原) 設定]

  3. [查詢] 中,瀏覽至包含您要匯入之檔案的資料夾。

  4. [選取匯入檔案] 步驟的 [檔案名稱] 中,指定您要匯入之 .xml 檔的檔案名稱。

  5. 指定加密機密資訊所需的密碼。

  6. [套用變更] 列上,按一下 [套用]

 
顯示: