和ISA Server 2000相比,ISA Server 2004的架构有了很大的变化,所以从ISA Server 2000企业版升级到ISA Server 2004企业版是一个比较复杂的过程,和直接安装ISA Server 2004企业版几乎无异。所以除非在非常庞大和复杂的ISA阵列环境中进行升级,否则我推荐你还是直接安装ISA Server 2004企业版为好;其实就是在非常庞大和复杂的ISA阵列环境,你都可以通过逐步的使用ISA Server 2004替换ISA Server 2000来完成ISA阵列的升级。
配置存储服务器(CSS)是ISA Server 2004企业版中新提出的非常具有创新性的改进,但是ISA Server 2000企业版是不支持这一特性的。所以在升级过程中,你需要额外预先部署好一台配置存储服务器,然后在升级ISA Server 2000企业版的过程中加入此配置存储服务器,最后导入迁移向导导出的配置文件完成升级。所以,我们升级需要进行的步骤有:
在额外的服务器上安装配置存储服务器;
在配置存储服务器上建立阵列;
在需要升级的ISA Server 2000服务器上运行迁移向导保存当前配置;
在需要升级的ISA Server 2000服务器上运行升级;
在升级完成后导入迁移向导保存的配置文件;
另外,运行升级也对原来的ISA Server 2000系统有所要求:
ISA Server 2000服务器上安装有SP1或者SP2补丁;
只能从 ISA Server2000企业版升级到ISA Server 2004企业版,并且升级的版本语言必须相同;
如果是不同计算机间的升级,请转移相关的证书;
由于ISA Server 2004企业版只支持在Windows Server 2003上安装配置存储服务器和ISA Server服务,所以如果是从运行在Windows 2000 Server系统上的ISA Server 2000升级,请先安装ISA Server 2000的SP1或者SP2补丁,然后将系统升级到Windows Server 2003,最后再进行升级;
在升级的过程中,有以下注意事项:
升级 ISA Server2000 阵列时,应用于 ISA Server2000 阵列的企业策略将升级,但升级为空策略。就是说,企业策略不包含任何规则。
ISA Server 2000的访问策略规则不会升级到ISA Server 2004,包含站点和内容规则、协议规则和数据包筛选器;同样,ISA Server 2000的发布规则也不会升级到 ISA Server2004。
ISA Server2004 不支持带宽规则(以及相关联的策略元素),将不对这些规则进行升级。
大部分ISA Server 2000的策略元素都可以升级到ISA Server2004:ISA Server2000 中的企业级策略元素升级为 ISA Server2004 企业级策略元素;同样,ISA Server2000 中的阵列级策略元素升级为 ISA Server2004 阵列级策略元素。不过所属的类别可能有所变化。
其他更多的升级注意事项,请参见ISA Server 2004的帮助。
本篇文章的试验网络如下图所示,在这次试验中,将对运行在Sydney计算机(Windows Server 2003系统)上的ISA Server 2000企业版进行升级,升级过程中会在Florence上安装配置存储服务器(CSS)。在进行试验之前已经确认各计算机的网络连接及相关服务工作正常。
这次试验中,各计算机的TCP/IP设置可以忽略;这是一个典型的边缘防火墙模型,内部网络为带有域的网络,域名为Contoso.com,IP地址范围为10.2.1.0/24。内部网络中的所有计算机都加入了域,并且试验中所有的操作都是通过域管理员身份登录来完成。
本次试验的步骤如下:
在Florence上安装配置存储服务器;
在Florence上建立阵列;
在Sydney上运行迁移向导保存当前配置;
在Sydney上运行升级;
在Sydney升级完成后导入迁移向导保存的配置文件;
在Florence上安装配置存储服务器
由于Florence是英文版操作系统,只能安装英文版的ISA Server 2004企业版,所以下面安装的是英文版本,不过中文版的操作是一致的。
在ISA Server 2004企业版的光盘自动运行界面上,点击安装ISA Server 2004,在弹出的欢迎使用ISA Server 2004安装向导页,点击下一步;
在协议许可和用户信息页面上点击下一步;
在安装场景页,选择安装配置存储服务器,点击下一步;
在组件选择页,接受默认选择,点击下一步;
在企业安装选项页,因为是第一个配置存储服务器,点击新建一个ISA企业,点击下一步;在新企业警告页,点击下一步;
在企业配置环境页,接受默认的选择我是在单个域中或者有信任关系的域中部署,然后点击下一步;
在准备安装程序页,点击安装;
等待一段时间后,配置存储服务器安装完毕,勾选向导关闭后运行ISA Server管理控制台,再点击完成。
在Florence上建立阵列
由于在升级过程中不能直接新建阵列,所以现在我们需要新建一个阵列为升级做准备。在ISA Server 2004管理控制台中,右击阵列,选择新建阵列;
在欢迎使用新建阵列向导页,输入阵列名,在此我们输入SYDNEY,然后点击下一步;
在阵列域名页,输入阵列的域名。这个域名是为防火墙客户端和Web代理客户所用,你可以通过它做网络负载均衡,在此我们输入Sydney的FQDN Sydney.contoso.com,然后点击下一步;
在企业策略分配页,接受默认的默认策略,点击下一步;
在阵列规则类型页,接受默认的选择,点击下一步;
最后在正在完成新建阵列向导页,点击完成;在弹出的建立阵列窗口点击确定,最后在ISA Server 2004管理控制台点击应用以保存修改和更新防火墙策略。
在Sydney上运行迁移向导保存当前配置
现在我们可以开始升级Sydney上的ISA Server 2000了。为了测试,我在Sydney上运行的ISA Server 2000中分别建立了两条访问规则和一个目标集YAHOO,如下图所示:
放入ISA Server 2004企业版的安装光盘,在光盘自动运行界面上,点击运行迁移向导;
在弹出的欢迎使用ISA服务器迁移工具页,点击下一步;
在文件位置页,点击浏览为导出的配置文件选择路径和文件名,在此我接受默认的ISA2KExport.xml文件名,然后选择保存在C盘根目录下,然后点击下一步;
