Bents Blog

 

Ein IT Blog mit Themen aus dem Windows Server Umfeld.

Import der Konfiguration eines ISA 2006 auf TMG 2010 nicht möglich

Es gibt Dinge, die lassen sich manchmal nicht lösen – aber zumindest für die Nachwelt und andere Nutzer dokumentieren. So auch in diesem Fall. Für einen Kunden wurde eine neue Firewall bezogen (Celestix MSA 1500i TMG Appliance), die mit dem Microsoft Threat Management Gateway 2010 (dem Nachfolger des Microsoft ISA Server 2006) ausgestattet ist.

Die Grundausstattung des Gerätes ist schnell erwähnt:

Celestix MSA 1500i TMG Appliance für bis zu 200 User.

  • Intel Celeron Prozessor
  • 2GB RAM
  • 300GB HDD
  • 6 x 100/1000 Ethernet Ports
  • PCI-Express-Bus
  • 1 Höheneinheit

Enthält die Microsoft Forefront TMG Workgroup Edition, Windows 2008 R2, Comet Web UI für die Appliance-Konfiguration und One-Button System-Recovery. 100 gleichzeitige VPN-Connections, NLB nicht möglich.

Soweit so gut, für den schmalen Geldbeutel durchaus akzeptabel, von der Geschwindigkeit und in Bezug auf Ausfallsicherheit gesehen aber durchaus verbesserungswürdig, da weder redundante Netzteile noch gespiegelte Festplatten vorhanden sind und der Dual Core Celeron Prozessor bereits bei kleineren Konfigurationsarbeiten zu erzwungenen Kaffeepausen (ver)führt.

Da der Kunde bereits eine Celestix MSA 2000i (inzwischen abgekündigt) im Einsatz hat, hatte ich für das Upgrade bzw. den Austausch der Appliance wenige Stunden eingeplant, da es laut Microsoft einen Upgrade-Pfad, genauer gesagt die Möglichkeit des Imports der Konfiguration aus dem ISA Server 2006 im TMG 2010 gibt.

Problem

In der Theorie sollte diese Prozedur anstandslos funktionieren (ich hatte alle Versionen vorher geprüft), in der Praxis wurde ich leider enttäuscht. Der Export der Konfiguration des ISA Server 2006 funktionierte reibungsfrei, allerdings ist zu beachten, dass hier vertrauliche Informationen und Benutzerrechte zwingend exportiert werden müssen – ohne diese Einstellung meldet der Import-Assistent des TMG 2010 die folgende Fehlermeldung:

Dieser Vorgang ist exemplarisch und sehr detailliert in folgendem Artikel auf Richard Hicks Blog dokumentiert.

Leider ließ sich in meinem Fall die erzeugte XML-Konfigurationsdatei auf dem TMG 2010 nicht importieren. Der Import der Konfigurationsdatei schlug mit folgender Meldung fehl:

Sowohl die unheimlich ausführliche Beschreibung „Catastrophic failure“ als auch die Fehlernummer 0x8000ffff lieferten keine Ergebnisse bei einer Suche nach Hinweisen im Internet. Allerdings kam mir beim erneuten, genauerem Lesen des Migrations-Leitfadens die Idee, dass die bereits installierten Updates (via Windows-Update) des TMG 2010 ein Grund für meine erfolglosen Import-Versuche darstellen könnten:

Und siehe da – nach der Deinstallation der aufgeführten Updates verlief der nächste Import-Versuch zwar nicht erfolgreich, zumindest aber mit einer anderen Fehlermeldung:

Leider fand ich auch unter dem Fehler 0xc0040357 und der Meldung

The Web Filter referenced by Server <Servername> does not exist. The error occured on object <Servername> of class ‚Server‘ in the scope of array <Servername>.

keine Hinweise zu einer Lösung des Problems. Auch der Blick in die XML-Konfigurationsdatei und der Versuch, nur Teile der Datei zu importieren, brachten kein Licht ins Dunkel und schlugen allesamt fehl.

Ich entschied mich deshalb – auf Grund der relativ geringen Konfiguration-Komplexität der alten Firewall – für die manuelle Konfiguration aller Einstellungen im TMG 2010, da ich bereits zu viel Zeit in die Ursachenforschung und Problemlösung investiert hatte. Ab einem gewissen Zeitpunkt sollte man eben abwägen, ob Aufwand und Nutzen in einem akzeptablen Verhältnis zueinander stehen.

Fazit

Für einen Tipp, der zur Lösung des beschriebenen Problems beiträgt, wäre ich sehr dankbar. Zumindest habe ich herausfinden können, dass bereits installierte Windows-Updates auf dem un-konfigurierten TMG 2010 den Import der Konfiguration aus einem ISA Server 2006 erschweren. Leider steht einem nicht immer die Zeit zur Verfügung um alle Möglichkeiten auszureizen, ich hätte hier gern noch weiter geforscht. Wie schon erwähnt, wer Ratschläge oder Hinweise hat, hinterlasst bitte einen Kommentar. Vielen Dank.

Einen Blog am Leben zu erhalten kostet Zeit und Geld. Da ich auf meiner Seite weder Werbung einbinde, noch andersweitige Zuwendungen erhalte, freue ich mich über jede kleine Spende. Einfach und unkompliziert geht das über PayPalMe. Du unterstützt damit diesen Blog. Vielen Dank.

3 Kommentare für “Import der Konfiguration eines ISA 2006 auf TMG 2010 nicht möglich”

  • Marc Grote

    Hi,
    probier mal folgendes (je nach TMG Rollup Stand):
    2 –> 3 in dem Export File zu aendern.

    Es gibt nachweisliche „Probleme“ beim Import / Export der Konfiguration mit verschiedenen TMG/ISA Rollup Level. Eine ISA Konfiguration importiere ich auf einem TMG immer dann, wenn noch kein Rollup installiert ist, oder halt den HAck in der XML Datei machen.

    http://social.technet.microsoft.com/Forums/en-US/Forefrontedgegeneral/thread/4c1c71cf-cb6b-4173-8ced-43f05fe7070f

  • Bent Schrader

    Hallo Marc,

    vielen Dank, allerdings enthält mein XML-File keinen Eintrag mit fpc4:EnterpriseLevel?

    Beide Server – sowohl ISA also auch TMG – sind SE Versionen.

    Gruß,
    Bent

  • Benny Eckert

    Hallo,

    hatte dieses Problem auch beim Import der Konfig eines ISA 2006 in einen TMG 2010. Auch die Reihenfolge erst mit Catastrophic Failure und dann die Fehlermeldung mit dem Webfilter. Die Fehlermeldung mit dem Webfilter wurde bei uns durch Reste einer Websense Installation verursacht und konnte durch Löschen der Websense Reste in der Registry behoben werden. Den genauen Pfad weiß ich leider nicht mehr, aber alle Webfilter die ISA nutzt stehen in der Registry. Nach dem Löschen habe ich die Konfig nochmal exportiert und wieder tauchte beim Import der Catastrohpic Failure auf. Den entscheidenden Hinweis habe ich vom TMG Support erhalten:
    BuiltinAdministrators wurde aus der ISA Admin Rolle entfernt
    Das war der entscheidende Hinweis, BuiltinAdministrators wieder hinzugefügt, Konfig nochmal exportiert und es funktioniert. Vielleicht zu spät, aber unter Umständen hilft es ja jemandem.

    Gruß Benny

Einen Kommentar hinterlassen:

Antispam Bee hat Bent's Blog vor 409.102 Spam-Kommentaren bewahrt.