Проблемы при экспорте и импорте баз правил для сервера ISA с версии 2004 на версию 2006

В своей предыдущей статье я рассказал о том, как импортировать и экспортировать особые данные из и в ISA Server Enterprise (корпоративная версия) и Standard (стандартная версия). Это было очень полезно для автономной работы и построения совместимой базы правил, например, при работе на дому на вашем собственном ISA Server (у каждого он должен быть, в наши дни все делают это!), и тем самым упростить свою жизнь. А теперь я расскажу о немного другом...

Несколько дней назад я пришел к клиенту, у которого возникала следующая ошибка при экспорте базы правил на верхнем уровне управления ISA Server Management:

Рисунок 1

Это очевидно было проблемой, т.к. мы не обновляли текущую систему, а перестанавливали ее на новое аппаратное обеспечение. Процесс состоял в следующем:

1. Экспорт базы правил ISA 2004 Rule base
2. Установка ISA 2006 на новый компьютер
3. Импорт базы знаний с 2004 на новое аппаратно обеспечение с 2006

Из-за проблемы, описанной выше, экспорт всей конфигурации был невозможен, поэтому помня о моем предыдущем открытии, касающегося файлов XML, я начал снова.

Я решил, что если конфигурация не экспортируется полностью, то я сделаю это по частям (было не так много этих частей, поэтому я решил, что это будет неплохой идеей)

На первом этапе необходимо было экспортировать политики брандмауэра (Firewall Policy) с компьютера, на котором был установлен ISA 2004. Это прошло очень гладко. На следующем этапе надо было импортировать эти политики на новый компьютер с 2006. Я столкнулся со следующей ошибкой:

Рисунок 2 (Нажмите для увеличения)

Итак, нам нужно экспортировать конфигурацию со всеми настройками прав пользователя:

Рисунок 3

Опа, окно с правами пользователя подсвечивается серым цветом! Даже если мы попробуем использовать билет с конфиденциальной информации, то получим ту же самую ошибку. Это происходит лишь с ISA 2004 only, поэтому вы не должны столкнуться с ней в ISA 2006.

Поэтому мы берем наши политики брандмауэра для ISA 2004 (в формате XML) и копируем их на новый сервер. После этого, мы используем методики, описанные в предыдущей статье для перемещения объектов и изучения XML в файле, что выглядит примерно так в ISA 2004 Firewall Policy Export:

Рисунок 4 (Нажмите для увеличения)

Я выделил важную информацию, как вы можете увидеть на следующем рисунке, это части, которые имеют значение. Следующий рисунок – тот же самый экспорт из чистой ISA 2006 Standard Firewall Policy:

Рисунок 5 (Нажмите для увеличения)

Вы можете четко увидеть, что существует несколько различий, особенно следующие значения (дополнительно также показаны также значения для ISA 2006 Enterprise):

XML тег 2004 Standard Value (в зависимости от обновления) 2006 Standard Value (в зависимости от обновления) 2006 Enterprise Value (в зависимости от обновления)

Версия	4.0.2167.887	5.0.5720.100	5.0.5720.100
Редакция	80(or 81)	16	32
IsaXmlVersion	1.10	5.30	5.30
OptionalData	4	12	12

Некоторые умные люди могли заметить, что кроме тегов, описанных в этой таблице есть еще одни пропущенный тег, который необходимо добавить вручную. Ниже тегов Components Tag есть еще один новый тег в ISA 2006 под названием DNSName. Поэтому вы должны также добавить новую строку в вашем старом файле, полученном после экспорта ниже тега Components и выше тега Name:

<fpc4:Components dt:dt=”int”>-1</fpc4:Comonents> <fpc4:DNSName dt:dt=”string”/><fpc4:Name dt:dt=”string”/>

Просто измените эти значения (а одно добавьте) и файл замечательно импортируется в ISA 2006 Firewall Policy Configuration.

Значения не прописаны намертво, некоторые из них могут меняться в зависимости от различных обновлений, но соответствуют общему правилу.

Лучший способ убедиться, что помещаете правильную информацию, заключается в следующем:

1. Экспортируйте вашу политику с вашего исходного сервера, сохраните ее в формате XML.
2. Экспортируйте вашу политику с того сервера, на который вы собираетесь произвести импорт, сохраните ее в формате XML.
3. Сравните заголовки XML для тегов, описанных выше.

Теперь, я хочу упомянуть, что я не нашел информации относительно этого на веб сайте Microsoft, и я уверен, что есть причины, по которым это еще не стало общественным знанием, но факт остается фактом, это замечательно работает. И это гораздо лучше, чем заново перепечатывать всю базу правил.

Я также хочу упомянуть о том, что, как мне кажется, знает большинство администраторов ISA. Если вы импортируете базу правил, в которой используются сертификаты, то их сначала необходимо разместить в локальном хранилище компьютера перед импортом базы правил, иначе у вас возникнут различные проблемы при импорте этой базы правил.

Я проверил следующие экспорты/импорты:

• Политика брандмауэра (Firewall Policy)
  • Все другие объекты на панели инструментов в Firewall Policy View
• Virtual Private Networks
• Networks (делается)

Это все, что потребовалось для моей конфигурации, а для базы правил, включающей в себя более 40 правил и более 700 объектов, это было гораздо лучше, чем заново печатать их всех! FYI, если вы экспортируете политику брандмауэра Firewall Policy, то вам не нужно экспортировать все отдельные объекты на панели инструментов, они включены в экспорт.

В моем случае это сработало, и я продолжу использовать этот процесс в случае необходимости. Я протестировал всю базу правил 2006 на моем новом компьютере и в настоящее время не возникло проблем.

В целом, лично я проверил следующие:

• ISA 2004 Std -> ISA 2006 Std
• ISA2004 Std -> ISA 2006 Enterprise
• ISA2006 Std -> ISA 2006 Enterprise

Мне было бы очень интересно узнать, если бы у кого-нибудь возникли проблемы с методом экспорта/импорта, о котором я рассказал в этой статье. Но пока еще мне никто не сообщал об ошибках. Свяжитесь со мной, если вы обнаружите любые проблемы, или улучшения, касающиеся этого, мне очень интересно услышать ваши отзывы.