从ISA Server 2006升级到TMG2010

ISA Server的下个版本TMG2010已经发布有一段时间了，现在正在逐渐将原来的ISA Server 2006升级到TMG2010。由于TMG2010需要64位的CPU与Windows Server 2008操作系统，所以，如果原来的ISA Server 2006是安装在32位的CPU的服务器中，则不能升级到TMG2010，只能将ISA Server 2006的“策略”导出，在另外一台64位、安装Windows Server 2008的计算机上，安装TMG2010，然后将ISA Server 2006导出的策略导入即可。本文将介绍这种升级的步骤。
在本例中，ISA Server 2006有两块网卡，是一个“边缘防火墙服务器”，在这个ISA Server中有许多的策略。另外已经有一台Windows Server 2008的服务器，安装了TMG2010的中文版。
1 导出ISA Server 2006的策略可以根据需要导出ISA Server 2006的配置（所有ISA Server的信息）、ISA Server的防火墙策略或VPN策略。
1.1 导出配置（1）在ISA Server 2006中，右击ISA Server的计算机名称，导出ISA Server 2006的备份，如图1所示。

图1 导出备份
（2）在“导出首选项”中，选择“导出机密信息”与“导出用户权限设置”，并且设置保护密码，如图2所示。

图2 导出首选项
【说明】一定要选中“导出机密信息”，否则在TMG2010中将不能导入该设置。
（3）指定导出文件位置，如图3所示。

图3
（4）导出完成，如图4所示。

图4 导出设置完成
1.2 导出防火墙策略一般情况下，导出服务器的配置就可以了。当然，你也可以在“防火墙策略”中，只导出防火墙策略，这样只保留防火墙策略。如图5所示。

图5 导出防火墙策略
（6）当然，在“导出首选项”中，也要选中“导出机密信息”，如图6所示。

图6 导出机密信息
1.3 导出VPN客户端配置也可以在“虚拟专用网”中，导出VPN配置。在使用这一项的时候，我竟然发现了ISA Server的一个“BUG”，如图7所示，这里面两条都是“导出VPN客户端配置”，实际上第二项是“导入VPN客户端配置”。

图 7 导出VPN客户配置
2 在TMG2010中导入策略将导出的ISA Server配置文件（或防火墙策略、VPN客户端配置）复制到TMG2010计算机上，运行TMG2010管理控制台，导入ISA Server 2006的配置。
（1）右击TMG2010计算机名称，在此可以导入原来ISA Server 2006（或TMG2010）的配置，如图8所示。如果你要导入防火墙策略，则需要右击“防火墙策略”，而不是右击“计算机名称”。

图8 导入还原
（2）选择导入文件，如图9所示。

图9
（3）此时会提示，你导入的是早期版本的TMG配置，单击“确定”即可。

图9
（4）键入密码，这是在导出ISA Server 2006时所设置的，如图10所示。

图10 键入保护密码
（5）如果你导出的ISA Server配置时，没有选中“导出机密信息”，此时会弹出图11的错误提示，并且不能继续。

图11 无法导入
（6）导入完成，如图12所示。

图12 导入完成
（7）选项后信息，如图13所示。

图13 迁移信息
（8）单击“应用”按钮，让导入的配置生效，如图14所示。

图14 让设置生效
（9）如果原来的ISA Server提供了VPN或VPN路由功能，需要重新启动计算机，让VPN设置生效，如图15所示。

图15 重新启动计算机
如果没有VPN配置，则不用重新启动计算机，当前导入的设置会立刻生效。

http://www.isacn.org/info/info.php?sessid=&infoid=379

---