Bents Blog

 

Ein IT Blog mit Themen aus dem Windows Server Umfeld.

Import der Konfiguration eines ISA 2006 auf TMG 2010 nicht möglich

Es gibt Dinge, die lassen sich manchmal nicht lösen – aber zumindest für die Nachwelt und andere Nutzer dokumentieren. So auch in diesem Fall. Für einen Kunden wurde eine neue Firewall bezogen (Celestix MSA 1500i TMG Appliance), die mit dem Microsoft Threat Management Gateway 2010 (dem Nachfolger des Microsoft ISA Server 2006) ausgestattet ist.

Die Grundausstattung des Gerätes ist schnell erwähnt:

Celestix MSA 1500i TMG Appliance für bis zu 200 User.

  • Intel Celeron Prozessor
  • 2GB RAM
  • 300GB HDD
  • 6 x 100/1000 Ethernet Ports
  • PCI-Express-Bus
  • 1 Höheneinheit

Enthält die Microsoft Forefront TMG Workgroup Edition, Windows 2008 R2, Comet Web UI für die Appliance-Konfiguration und One-Button System-Recovery. 100 gleichzeitige VPN-Connections, NLB nicht möglich.

Soweit so gut, für den schmalen Geldbeutel durchaus akzeptabel, von der Geschwindigkeit und in Bezug auf Ausfallsicherheit gesehen aber durchaus verbesserungswürdig, da weder redundante Netzteile noch gespiegelte Festplatten vorhanden sind und der Dual Core Celeron Prozessor bereits bei kleineren Konfigurationsarbeiten zu erzwungenen Kaffeepausen (ver)führt.

Da der Kunde bereits eine Celestix MSA 2000i (inzwischen abgekündigt) im Einsatz hat, hatte ich für das Upgrade bzw. den Austausch der Appliance wenige Stunden eingeplant, da es laut Microsoft einen Upgrade-Pfad, genauer gesagt die Möglichkeit des Imports der Konfiguration aus dem ISA Server 2006 im TMG 2010 gibt.

Problem

In der Theorie sollte diese Prozedur anstandslos funktionieren (ich hatte alle Versionen vorher geprüft), in der Praxis wurde ich leider enttäuscht. Der Export der Konfiguration des ISA Server 2006 funktionierte reibungsfrei, allerdings ist zu beachten, dass hier vertrauliche Informationen und Benutzerrechte zwingend exportiert werden müssen – ohne diese Einstellung meldet der Import-Assistent des TMG 2010 die folgende Fehlermeldung:

Dieser Vorgang ist exemplarisch und sehr detailliert in folgendem Artikel auf Richard Hicks Blog dokumentiert.

Leider ließ sich in meinem Fall die erzeugte XML-Konfigurationsdatei auf dem TMG 2010 nicht importieren. Der Import der Konfigurationsdatei schlug mit folgender Meldung fehl:

Sowohl die unheimlich ausführliche Beschreibung „Catastrophic failure“ als auch die Fehlernummer 0x8000ffff lieferten keine Ergebnisse bei einer Suche nach Hinweisen im Internet. Allerdings kam mir beim erneuten, genauerem Lesen des Migrations-Leitfadens die Idee, dass die bereits installierten Updates (via Windows-Update) des TMG 2010 ein Grund für meine erfolglosen Import-Versuche darstellen könnten:

Und siehe da – nach der Deinstallation der aufgeführten Updates verlief der nächste Import-Versuch zwar nicht erfolgreich, zumindest aber mit einer anderen Fehlermeldung:

Leider fand ich auch unter dem Fehler 0xc0040357 und der Meldung

The Web Filter referenced by Server <Servername> does not exist. The error occured on object <Servername> of class ‚Server‘ in the scope of array <Servername>.

keine Hinweise zu einer Lösung des Problems. Auch der Blick in die XML-Konfigurationsdatei und der Versuch, nur Teile der Datei zu importieren, brachten kein Licht ins Dunkel und schlugen allesamt fehl.

Ich entschied mich deshalb – auf Grund der relativ geringen Konfiguration-Komplexität der alten Firewall – für die manuelle Konfiguration aller Einstellungen im TMG 2010, da ich bereits zu viel Zeit in die Ursachenforschung und Problemlösung investiert hatte. Ab einem gewissen Zeitpunkt sollte man eben abwägen, ob Aufwand und Nutzen in einem akzeptablen Verhältnis zueinander stehen.

Fazit

Für einen Tipp, der zur Lösung des beschriebenen Problems beiträgt, wäre ich sehr dankbar. Zumindest habe ich herausfinden können, dass bereits installierte Windows-Updates auf dem un-konfigurierten TMG 2010 den Import der Konfiguration aus einem ISA Server 2006 erschweren. Leider steht einem nicht immer die Zeit zur Verfügung um alle Möglichkeiten auszureizen, ich hätte hier gern noch weiter geforscht. Wie schon erwähnt, wer Ratschläge oder Hinweise hat, hinterlasst bitte einen Kommentar. Vielen Dank.

Einen Blog am Leben zu erhalten kostet Zeit und Geld. Da ich auf meiner Seite weder Werbung einbinde, noch andersweitige Zuwendungen erhalte, freue ich mich über jede kleine Spende. Einfach und unkompliziert geht das über PayPalMe. Du unterstützt damit diesen Blog. Vielen Dank.

Kommentare für “Import der Konfiguration eines ISA 2006 auf TMG 2010 nicht möglich”

  • Bent Schrader

    Auf Grund der am 25. Mai 2018 in Kraft tretenden europäischen Datenschutz-Grundverordnung wurden alle Kommentare abgeschaltet und gelöscht. Damit wird die Erhebung personenbezogener Daten vermieden. Das DSGVO wurde von Professor Thomas Hoeren zu "einem der schlechtesten Gesetze des 21. Jahrhunderts" gekürt, mit der Bemerkung, dass überbordene Werk sei "hirnlos". Ich bedaure sehr, das damit die Möglichkeit zum Austausch von Informationen von Gleichgesinnten verhindert wird.