“Alternative” Migration Path

O TMG saiu do forno à pouco e já fiz algums deployments do produto. Estou muito empolgado e animado com os novos recursos. Eles trouxeram o firewall da Microsoft para um patamar acima, em termos de segurança, funcionalidade e escalabilidade.

Uma das possíveis etapas do deployment produto é a migração. Existem vários caminhos de migração documentados (e muito bem documentados) no technet, em vários artigos à
disposição da comunidade.

Entretanto, em um dos meus clientes, me deparei com um cenário um tanto “inusitado”.

Vamos lá.

 

Produtos: Microsoft
ISA Server 2006 Standard Edition e Forefront TMG 2010 Enterprise Edition EMS
Based

 

Cenário:

O cliente possui, hoje, um ambiente com firewall Cisco e o ISA STD 2006, em modo proxy (single adapter). O mesmo vem sofrendo bastante com problemas de segurança relacionados ao acesso à internet (sites não autorizados, vírus, phishing e afins) e ao
gerenciamento do mesmo (ausência de base de URL’s/Domínios, tornando o controle
manual). A equipe é pequena, como em vários cenários brasileiros, mas o
ambiente é bem grande, justificando, inclusive, a existência de um sistema de
acesso com failover.

Após a análise dos requisitos e necessidades, optamos por implementar o Forefront TMG 2010 Enterprise Edition com o EMS, para gerenciamento e armazenamento de configurações centralizado.

Nesse momento, nasce o nosso problema.

O problema:

Não existe caminho de migração de ISA STD para TMG 2010 baseado em EMS. Apenas para array standalone. Se você trabalha com ISA Server, à partir do 2004, e ainda não
começou a estudar o TMG, pode estar se perguntando: O que diabos é um array
standalone??

A teoria:

No Forefront TMG 2010, temos 2 tipos de arrays, considerando a versão Enterprise do produto.

1 – Array EMS Based: Baseados no Enterprise Management Server;

2 – Array Standalone: Baseados no nosso conhecido CSS, configuration storage server.

A principal diferença entre eles reside no seguinte: Com o array standalone, eu posso ter
UM array com até 50 servidores conectados ao mesmo storage, compartilhando das
mesmas configurações. Ele é recomendado para ambientes de site único, com carga
média.
No EMS, eu posso ter até DUZENTOS arrays, com 50 servidores cada, conectados em até 15 servidores EMS distintos, concedendo a capacidade máxima de gerenciamento de
até 200 mil servidores Forefront TMG 2010.

Ele é recomendado para ambientes de site único ou distribuidos, para maior escalabilidade .

Bem, já que entendemos um pouco das diferenças, vamos falar sobre o caminho da migração.

 

A Microsoft possui os seguintes migration paths documentos e suportados:

1 – ISA SE ->TMG SE;

2 – ISA SE ->TMG EE (Array Standalone);

3 – ISA EE -> TMG EE (EMS Array).

 
Notem que, no meu cenário, eu tenho um ISA 2006 SE e desejo migrar para um TMG 2010 com EMS. Como vocês podem ver, esse migration path não “existe”. Pelo menos não de forma direta.

 

ATENÇÃO:

Se você chegou até aqui e deseja continuar, é importante saber que não existe
documentação sobre o caminho de migração utilizado por mim. Apesar de ser
transitivamente suportado , não há artigo oficial sobre este path. Use por sua
conta e risco,🙂.

A Solução:

Para migrar o ISA SE do cliente para o TMG EE EMS , tive de usar um pouco de minha criatividade. De que forma??

 

Vamos relembrar os paths de migração.

1 – ISA SE -> TMG SE;

2 – ISA SE -> TMG EE (Array Standalone);

3 – ISA EE -> TMG EE (EMS Array).

 
Eu preciso do seguinte:

1 – ISA SE -> TMG EE (EMS Array) .

 

Para chegar nele, eu fiz:

1 – ISA SE -> TMG EE (Array Standalone);

2 – TMG EE (Array Standalone) -> TMG EE (EMS Array).

A conversão do TMG EE (Array Standalone) para TMG EE (EMS Array) é suportada e passível de utilização. Por isso citei que, transitivamente, a migração é suportada.

 

Conclusão: A migração do ISA SE para TMG EE (EMS Array) é plenamente possível, desde que seja utilizado o caminho de migração citado acima.

Para maiores informações:

http://technet.microsoft.com/en-us/library/dd440994.aspx

Boa leitura!!!

[]´s

Alberto Oliveira

Microsoft MVP,Forefront

Sobre Alberto Oliveira

Consultor de segurança da informação CISSP; Microsoft MVP - Forefront; MCSA/MCSE : Security, MCT, MCTS, MCITP; ComTIA Security Itil V2 Foundations
Esse post foi publicado em Uncategorized. Bookmark o link permanente.

4 respostas para “Alternative” Migration Path

  1. uilson76 disse:

    Alberto! Gostei muito do post! Vai ser útil pra mim…estou atuando num projeto para adequar o TMG com um appliance de load balance da F5.

    Quando tiver um tempo, dá uma passadinha no meu blog e deixei seus coments, ou críticas…

    http://uilson76.wordpress.com

    Abrs.

    Uilson

    • Valeu, Uilson. Já conhecia seu blog. Inclusive, você “falou mal” de mim lá, por conta das demos do webcast de TMG que não funcionaram, ehehehe,🙂.
      Apareça sempre que quiser. Procurarei colocar coisas legais por aqui.

      Um abraço.

  2. Olá Alberto,

    Cara muito bom seu BLOG show de bola, sempre que possivel vou fazer umas visitas.

    Um abraço

Deixe uma resposta

Preencha os seus dados abaixo ou clique em um ícone para log in:

Logotipo do WordPress.com

Você está comentando utilizando sua conta WordPress.com. Sair / Alterar )

Imagem do Twitter

Você está comentando utilizando sua conta Twitter. Sair / Alterar )

Foto do Facebook

Você está comentando utilizando sua conta Facebook. Sair / Alterar )

Foto do Google+

Você está comentando utilizando sua conta Google+. Sair / Alterar )

Conectando a %s