[Dongclee의 2012년 임진년 새해 1월 첫 번째 포스팅] ISA2006 Array에서 TMG2010 Array로의 마이그레이션 방법

  • Article

안녕하세요.....

임진년 새해가 밝았습니다.. 여러분 모두 새해에는 더욱 행복한 일들이 깃들기를 기원합니다.
잠시 제가 다른 얘기를 드리자면, 연말에 이해할 수 없는 일들이 발생해서, 마음이 무겁습니다. 우리 모두 2012년 사회에 적극 동참하여 이 세상을 좀 더 밝고 사람이 사람답게 살 수 세상을 이루어야 할 것 같습니다.
추운 겨율에 영어의 몸으로 세상을 밝게 지키고자 하는 분들에게 존경의 마음을 보냅니다.

이제 본연의 제 블로그 내용으로 돌아와서,,,
이번 포스팅의 주제는 바로 "ISA2006 Array 에서 TMG2010 Array 로의 마이그레이션 방법" 에 대한 것입니다.
아시다시피, ISA2006 서버에서 TMG2010으로의 마이그레이션 시에 가장 껄끄러운 부분이 바로 수 없이 많은 "규칙" 및 각종 ISA2006 내의 사용자 정의 객체일 것 입니다.
ISA2006 내의 객체라 함은 바로 웹 리스너, 컴퓨터, 컴퓨터 그룹 기타 등등일 것 입니다.

본 포스팅에서는 단일 서버 간의 마이그레이션 보다 좀 더 포괄적인 Array 간의 마이그레이션 입니다.

간단한 절차는 아래와 같습니다.

  1. 기존 ISA 2006 Array 환경 점검
  2. 기존 ISA 2006 Array 구성 정보를 TMG 2010 EMS 서버로 import
  3. 신규 TMG 2010 서버들을 TMG 2010 EMS 서버로 join
  4. 기존 ISA 2006 서버들을 TMG 2010 EMS 환경에서 disjoin

간단한 마이그레이션 구성도는 아래와 같이 2장의 그림으로 설명할 수 있습니다.

 

특히, TMG 2010 Array 로의 마이그레이션 시에 제약점이 아래와 같습니다. 이 점은 마이그레이션 시에 특별하게 주의해야 할 사항입니다.

①. ISA Servers 2004에서Forefront TMG서버로의 마이그레이션을 위해서는ISA Servers 2004 서버에 반드시 ISA Servers 2004 Service Pack 3가 적용되어 있어야 합니다.
②. ISA Servers 2006에서Forefront TMG서버로의 마이그레이션을 위해서는ISA Servers 2006 서버에 반드시 ISA Servers 2006 Service Pack 1가 적용되어 있어야 합니다.
③. 웹 프록시 클라이언트 요청을 처리하기 위하여 “로컬 호스트” 네트워크 객체에서 수신대기 설정이 활성화되어 있다면, 이 설정은 마이그레이션되지 않습니다. 아래 그림을 참조하세요

④. 커스터마이즈된 로그 필드 부분은 마이그레이션되지 않습니다. ISA Server 구성 설정이 import되었을 때, 커스터마이즈된 로그 필드는 기본 로그 필드 설정으로 overwrite 됩니다.
⑤. 보고서 구성 설정 역시 마이그레이션되지 않습니다.
⑥. 경고가 트리거되기 위해 설정한 이벤트 횟수 역시 마이그레이션되지 않습니다.
⑦. 기존 ISA Server에 활성화된 서드-파티 add-on 은 업그레이드 이후에 비활성화 상태로 됩니다. 이러한, 서드-파티 add-on은 Forefront TMG에서의 작동 여부를 반드시 확인하셔야 합니다.
⑧. ISA Server로부터 마이그레이션 이후에, ISA에서 구성된 VPN의 정적 주소 풀은 Forefront TMG 구성으로 마이그레이션되지 않습니다. 이 제약은 by design입니다. 아래 그림을 참조하세요

 

⑨. ISA Server로부터 Forefront TMG로 VPN Site-to-Site 구성을 마이그레이션 한 이후에, 어떠한 터널 소유자가 구성되지 않았기 때문에 Site-to-Site 네트워크은 연결이 실패할 수 있습니다. 이 문제를 해결하기 위해서는 Forefront TMG로 구성 정보를 import한 이후에 다음 스크립트를 수행합니다.

<script>

dim root

Set root = CreateObject("FPC.Root")

Set Arr=root.GetContainingArray

set S2SNet = Arr.NetworkConfiguration.Networks.Item(NetworkName)

S2SNet.VpnConfiguration.SetAssignedServer(root.GetContainingServer.Name)

S2SNet.save

</script>

⑩. ISA Server 2006에서의 IPsec Site-to-Site 기본 값은 아래와 같습니다.

a. Encryption algorithm : 3DES
b. Integrity algorithm : SHA1

⑪. 그러나, Forefront TMG에서의 IPsec Site-to-Site 기본 값은 아래와 같이 더 향상된 알고리즘으로 변경됩니다.

a. Encryption algorithm : AES256
b. Integrity algorithm : SHA256

⑫. 기본 값을 그대로 사용한 ISA Server 구성이 import되었을 때, 이 기본 값은 위에 설명된 Forefront TMG의 기본 값으로 대체됩니다(by design). 이러한 기본 값 변경은 현재 IPsec 구성을 깨뜨리는 현상이 발생합니다. 이 점을 해결하기 위해서는 반대 site의 ISA 서버를 Forefront TMG 서버로 마이그레이션 하면 됩니다.

이상으로 새해 첫 포스팅을 마칩니다.
여러분 추운 겨울인데 건강들 더 챙기세요.

그럼 이만

Migration from ISA2004 & 2006 to TMG2010.pdf