Internet Security&Acceleration(ISA)Serverは、Forefront Threat Management Gateway(TMG)に置き換えられました。
この翻訳では、ISA 2004/2006からForefront TMGへの移行について説明します。
ISA Server 2004/2006は、定期的な更新としてTMGへの移行を提供していません-FF TMGは64ビットWindowsオペレーティングシステムでのみ動作し、ISAは32ビットシステムでのみ動作します。
したがって、ISAからTMGへのルールと構成の移植が、この問題の唯一の解決策です。
このような転送は、ISA 2004 SP3またはISA 2006 SP1で実行できます。
使用しているISAのバージョンに応じて、4つの可能な移行オプションがあります。
(TMG MBE-中規模ビジネス版を除く)
- ISA Server Standard-> TMG Standard
- ISA Server Standard-> TMG Enterprise(スタンドアロンモードのサーバー)
- ISA Server Enterprise(1つのサーバーからのアレイ/アレイの一部としてのサーバー)-> TMG Enterprise(分離モードのサーバー)
- ISA Server Enterprise(1つのサーバーからのアレイ/複数のアレイ)-> TMG Enterprise(EMSサーバーによって管理)
準備する
以前のISAバージョンからTMGに移行するには、慎重な計画、分析、および細部への注意が必要です。 移行を開始する前に、次のような既存のシステムに関する最も重要な情報をすべて収集して書き留めてください。
IPアドレス指定 -アレイ内のメンバー間の通信用インターフェイスやNLB(ネットワーク負荷分散)が使用する仮想IPアドレスなど、すべてのネットワークインターフェイスのIPアドレスを書き留めます。 VPNを使用する場合は、クライアントおよびサイト間ネットワーク(互いにリモートのネットワーク)のリモートアクセスのアドレス範囲も記録します。
ルーティング -ネットワークごとのスキームに必要なすべての静的ルートを書き留めます。
DNS -ISAファイアウォールで使用されるすべてのAホストレコードまたはCNAMEエイリアスを個別に保存します。 ISAサーバー自体の静的に構成されたホストエントリ、プロキシサーバーアレイエイリアス、またはWPADクライアントエントリ(プロキシ自動構成プロトコル)を含みます。
WPAD-エンタープライズDHCPがクライアントに設定を配布する場合、変更がそれらにも影響することに注意してください。
証明書 -HTTPS公開ルールで使用されるコンピューター証明書やSSL証明書など、TMGへの移行に必要なすべての証明書とキーをエクスポートします。 既定では、Windows Server 2008R2にインストールされるルート証明書の数は(Windows Server 2008または以前のバージョンのWindows Serverよりも)少ないことに注意してください。
Active Directory -Kerberosプロトコル拡張を使用するWebサイトを公開している場合-制約付き委任(KCD)、委任用の新しいシステムでコンピューターアカウントをセットアップします。 構成保管サーバー(CSS)のKerberosデータベースにSPN(サービスプリンシパル名マッピング)レコードを作成した場合は、必要に応じて更新します。
サードパーティのソリューション -ISA用のサードパーティのアドオンをインストールした場合、移行後に機能しなくなることに注意してください。 開発者ページにアクセスして、TMGのプラグインを既に更新してください。
定期レポートとユーザーレポート -すべてのレポートを保存します。FFTMGにも転送されません。
TMGに切り替えると、現在のISA構成に関する既存の問題がすべて解決されるとは思わないでください。 ISAベストプラクティスアナライザーユーティリティを使用して、システムをテストし、移行前に問題を解決します。
ISAからTMGへの移行を計画するときは、システムリソースも考慮する必要があります。 64ビットシステムでのパフォーマンスの向上にもかかわらず、TMGには多くの新しいセキュリティと追加のリソースを消費するセキュリティ機能が含まれています。
Forefront TMG 2010容量計画ツールを使用して、ハードウェアがTMGシステム要件を満たしているかどうかを判断します。
準備が完了し、新しいTMG構成が既に初期テストに合格している場合、実際の移行を続行できます。
Internet Security&Acceleration Serverからエクスポート
ISA管理コンソールを開きます-
- 標準版の場合:
ISAサーバー名を選択し、コンテキストメニューで[エクスポート(バックアップ)]を選択します。
- Enterprise Editionの場合:
以下に示すように、メニューからエクスポート(バックアップ)も選択します。
エクスポートウィザードが起動します。
[機密情報をエクスポートする]チェックボックスと[ユーザーのアクセス許可設定をエクスポートする]チェックボックスをオンにして、エクスポートしたデータを暗号化するためのパスワードを設定します。
[次へ]をクリックし、XMLファイルを保存する場所を指定します。 このファイルは後でTMGにインポートします。
Forefront Threat Management Gatewayへのインポート
設定をTMGにインポートする前に、「はじめに」ウィザードが開始されていないことを確認してください(このウィザードはファイアウォールを介した基本的なアクセスルールを作成します)。 開始された場合、このウィザードで作成されたすべてのアクセスルールを削除します。この条件が満たされている場合、TMGへの設定のインポートはエラーなしで実行されます。
注意:ISA Server EnterpriseからEMSサーバーが管理するTMGに移行する場合、アレイを作成するか、アレイにメンバーを追加する前に、EMSに構成をインポートする必要があります 。
また、ISA Server Enterprise(1つのサーバーからのアレイ/アレイの一部としてのサーバー)からTMG Enterprise(スタンドアロンサーバーモード)に切り替える場合、追加のアクションを1つ行う必要があります-それについては投稿の最後に記述されます。
TMGがインストールされているコンピューターで、管理コンソールを開きます-
- Standard EditionまたはEnterprise Editionの場合:
Forefrontサーバー名を選択し、コンテキストメニューで[インポート(復元)]を選択します。
- EMSサーバーによって管理されるエンタープライズエディションの場合:
以下に示すように、メニューからインポート(復元)を選択します。
インポートウィザードが起動します-ここで、以前に設定をエクスポートしたXMLファイルへのパスを指定し、エクスポート中に設定されたパスワードを入力します。
インポートウィザードがすべてが成功したことを報告した後、「適用」ボタンをクリックして変更を保存し、Threat Management Gateway構成を更新します。
ISA Server Enterpriseからのエクスポート(1つのサーバーからのアレイ/アレイの一部としてのサーバー)
ISAサーバー設定(エンタープライズ版-1つのサーバーからのアレイまたはアレイの一部としてのサーバー)をTMGエンタープライズ(スタンドアロンサーバーモード)にインポートする前に、まず、エクスポートされたXMLファイルを上記のバージョンのTMGが処理できる形式に変換する必要があります。 エクスポートされたISA Enterpriseファイルには、スタンドアロンサーバーモードのTMGバージョンではサポートされていないエンタープライズレベルのポリシーが含まれているため、これが必要です。 変換するには、ユーティリティを使用します
Forefront TMG用のEEシングルサーバー変換ツール
ファイル変換ユーティリティをインストールした後、コマンドプロンプトを開き、C:\ Program Files(x86)\ Microsoft Forefront TMG Tools \ EESingleServerConversionフォルダーに移動して、コマンドを入力します。
EESingleServerConversion.exe /s < XML-> /t < XML->
次に、上記のISA標準バージョンの手順に従ってください。
PS
- Forefront TMGは、Webサーバー(IIS)の役割をインストールします。 Forefront TMGをアンインストールしても、このコンポーネントは削除されないことに注意してください。
- Microsoft Forefront TMGは、300人を超えるライセンスユーザーをサポートしていません。