locked
Migration von ISA2006 nach TMG RRS feed

  • Frage

  • Hallo zusammen,

    ich teste gerade die Appliance von Celestix (Windows2008R2 / TMG). Im Rahmen dieser Tests habe ich versucht unseren ISA-Server nach TMG zu migrieren. Also exportierte (sicherte) ich einen unserer ISA-Server und versuchte die XML in TMG zu importieren. Sah auch erst ganz gut aus. Ein Fenster erschien in dem der Fortschrittsbalken langsam anwuchs... So weit. So gut. Plötzlich (Fortschrittsbalken war bis auf zwei Drittel angewachsen) endete der Import mit der Fehlermeldung "0x80090016 Keyset does not exist". Bei meinen Recherchen im Internet bin ich immer wieder auf das Thema "Serverzertifikat" gestoßen... Also habe ich von dem ISA-Server, von dem ich auch die Daten exportiert habe, das Serverzertifikat exportiert und auf der Celestix-Maschine importiert. Ein neuer Importversuch endete mit der gleichen Fehlermeldung wie oben beschrieben... Daher habe ich folgende Fragen an Euch:

    1. Habt ihr eine Idee was ich verkehrt mache bzw. was ich übersehe?
    2. Gibt es Konfigurationen die sich in TMG nicht importieren lassen?
    3. Muß die Celestix-Testmaschine erst Mitglied unserer Domäne werden um die in den ISA-Regeln verwendeten Benutzergruppen auflösen zu können und der Import erfolgreich beendet werden kann?

    Ich bin verzweifelt und daher für jede(n) Hilfe / Tip dankbar.

    Gruß Werner

     

    Samstag, 31. Juli 2010 22:04

Antworten

  • moin werner,

    bei deinem regelwerk kann ich verstehen, das du lieber importieren statt neu bauen magst! ich persönlich bin zwar kein freund davon - ist aber viel holz bei dir!

    ;-)

    zu 1: die nics sollten imho bei deinem szenario identisch konfiguriert sein. bindungsreihenfolge und netzwerkkartenbezeichnungen sollten gleich sein, partitionen auch. zertifikate vorher in den passenden zertifikatsspeicher legen.

    zu 2: schauma hier: http://technet.microsoft.com/en-us/library/dd440994.aspx

    zu 3: wenn du benutzer-regelwerk hast: nü kloa! ;-)


    gruss, jens mander aka karsten hentrup - www.aixperts.de - www.forefront-tmg.de - www.hentrup.net |<-|
    • Als Antwort markiert Marc.Grote Sonntag, 1. August 2010 16:58
    Samstag, 31. Juli 2010 22:21

Alle Antworten

  • moin werner,

    bei deinem regelwerk kann ich verstehen, das du lieber importieren statt neu bauen magst! ich persönlich bin zwar kein freund davon - ist aber viel holz bei dir!

    ;-)

    zu 1: die nics sollten imho bei deinem szenario identisch konfiguriert sein. bindungsreihenfolge und netzwerkkartenbezeichnungen sollten gleich sein, partitionen auch. zertifikate vorher in den passenden zertifikatsspeicher legen.

    zu 2: schauma hier: http://technet.microsoft.com/en-us/library/dd440994.aspx

    zu 3: wenn du benutzer-regelwerk hast: nü kloa! ;-)


    gruss, jens mander aka karsten hentrup - www.aixperts.de - www.forefront-tmg.de - www.hentrup.net |<-|
    • Als Antwort markiert Marc.Grote Sonntag, 1. August 2010 16:58
    Samstag, 31. Juli 2010 22:21
  • Hi,

    wenn Du nicht die gesamte Konfig exportieren kannst, exportiere doch nur das Firewallregelwerk und die Toolbox Elemente welche Du selbst angelegt hast, die kannst Du dann auch problemlos importieren auf die neue TMG Konfiguration.

    3) Fuer den reinen Import sollte es auch so funzen, da die Aufloesung der Security-ID der ISA Gruppencontainer zu AD Namen erst spaeter kommt. Fuer den reinen Betrieb aber muss die Celestix in der Domaene sein!

     


    regards Marc Grote aka Jens Baier - www.nt-faq.de - www.it-training-grote.de - www.forefront-tmg.de
    Sonntag, 1. August 2010 07:13
  • Hallo Jens,

    > bei deinem regelwerk kann ich verstehen, das du lieber importieren statt neu bauen magst! ich persönlich bin zwar kein freund davon - ist aber viel holz bei dir!

    Genau das ist das Problem... Mein Arbeitgeber würde es nicht verstehen wenn ich eine Woche brauchen würde um die Regeln aufzubauen und gewissenhaft zu testen. Allerdings muß unser Regelwerk unbedingt aufgeräumt werden... Es ist zwar richtig und lässt keine Lücke zu, aber da ist auch eine Menge Wildwuchs vorhanden.

    > die nics sollten imho bei deinem szenario identisch konfiguriert sein. bindungsreihenfolge und netzwerkkartenbezeichnungen sollten gleich sein, partitionen auch. zertifikate vorher in den passenden zertifikatsspeicher legen.

    Aus der Traum von der Ein-Klick-Migration... ;-)

    > schauma hier: http://technet.microsoft.com/en-us/library/dd440994.aspx

    Danke für den Link. Er ist Gold wert! Ich denke ich werde hier auf meinem VirtualServer mal eine TMG-Testmaschine bauen und versuchen meine ISA-Konfiguration nach Anleitung zu importieren. (Allerdings muß ich erst den Umzug und die Renovierung der verlassenen Wohnung hinter mich bringen. Aber ich habe ja bis Ende August Urlaub. Bis dahin sollte es klappen...)

    Gruß Werner

    Sonntag, 1. August 2010 10:07
  • Hallo Marc,

    > wenn Du nicht die gesamte Konfig exportieren kannst, exportiere doch nur das Firewallregelwerk und die Toolbox Elemente welche Du selbst angelegt hast, die kannst Du dann auch problemlos importieren auf die neue TMG Konfiguration.

    Ich habe die gesamte Konfiguration exportiert. Allerdings kann ich nicht herausfinden was wirklich Bestandteil des Exportes ist... Was Jens schreibt macht Sinn: Die Konfiguration der NIC's sollte man händisch durchführen. Auch die Routingtabelle ist ja nicht wirklich Bestandteil der ISA-Konfiguration... Ich denke ich habe Grundsätzliches übersehen. Wie schon geschrieben ist der Link von Jens Gold wert. Ich werde jetzt (hoffentlich kurzzeitig) das "Tal der Tränen" durchwandern und mal den Migrationsplan abarbeiten. Wenn ich nicht klar komme melde ich mich nochmal.

    Gruss Werner

    Sonntag, 1. August 2010 10:23
  • Hi,

    ja, Planung ist das halbe Leben :-) Zur Migration schau auch mal:
    http://www.isaserver.org/tutorials/How-migrate-Microsoft-ISA-Server-2006-Microsoft-Forefront-TMG.html


    regards Marc Grote aka Jens Baier - www.nt-faq.de - www.it-training-grote.de - www.forefront-tmg.de
    Sonntag, 1. August 2010 11:13
  • Hallo Marc,

    > ja, Planung ist das halbe Leben :-)

    das stimmt. Aber wie heißt es so schön: Des Einen Leid ist des Anderen Einkommen :-)... Vielleicht muß ich mir ja doch jemanden für die Migration kommen lassen.

    > Zur Migration schau auch mal:
    http://www.isaserver.org/tutorials/How-migrate-Microsoft-ISA-Server-2006-Microsoft-Forefront-TMG.html

    Danke für den Link. Auch ihn werde ich mir nach meinen Umzugs- und Renovierungsaktivitäten mal genauer anschauen.

    Gruß Werner

    Sonntag, 1. August 2010 11:39
  • moin werner,

    hatte ich dir nicht schon ein angebot zukommen lassen?

    *ggg*


    gruss, jens mander aka karsten hentrup - www.aixperts.de - www.forefront-tmg.de - www.hentrup.net |<-|
    Sonntag, 1. August 2010 12:33
  • Hallo Jens,

    > hatte ich dir nicht schon ein angebot zukommen lassen?

    Ja, es ist auch noch nicht in Vergessenheit geraten... Ich habe allerdings Spaß dabei wenns kompliziert wird bzw. wenn eine Aufgabe aussichtslos erscheint (sollte ich vielleicht mal durch einen Therapeuten überprüfen lassen...). Ich werde mich gut fühlen wenn ich die Migration unseres ISA-Servers (zumindestens in einer Trockenübung) hinbekommen habe. Es ist aber auch möglich, dass ich Dich September/Oktober (mit verheulter Stimme) anrufe und wir Dich für die Migration bestellen.

    Falls ich die Mirgation im Laufe meines Urlaubes auf meinem privaten Testsystem hinbekommen habe, werde ich es alle (wenn es erwünscht ist) über dieses Forum wissen lassen.

    Vorerst vielen Dank an Dich und Marc für die hilfreichen Tips/Links.

    Roger and out...

    Gruß Werner

    Sonntag, 1. August 2010 16:22
  • hey werner,

    ich bringe dann tempos mit wenn ich komme!

    ;-)

    moment - du hast urlaub und machst ne migrations-trockenübung? könnt mir nicht passieren! ich mach stattdessen uag. hihi...


    gruss, jens mander aka karsten hentrup - www.aixperts.de - www.forefront-tmg.de - www.hentrup.net |<-|
    Sonntag, 1. August 2010 21:12