從去年年底開始,我開始負責公司的ISA2006服務(wù)器升級項目,目標是把ISA2006升級到最新版的TMG2010 SP1。經(jīng)過三個多月的努力,終于基本達到了預期目標。任務(wù)完成之余,回顧項目經(jīng)歷,有一些經(jīng)驗和大家分享一下,供有意升級ISA2006的朋友們參考。
一、TMG升級評估
現(xiàn)有的ISA2006是否需要升級到TMG?工程師只要想升級ISA2006,一定會被領(lǐng)導問這個問題。要回答這個問題,首先要評估升級后的收益。俗話說,無利不起早嘛。相比ISA2006,TMG2010的新增功能大致有下列內(nèi)容:
1、企業(yè)級的安全整合和管理
2、架構(gòu)變更與提升
3、Web非法軟件掃描與過濾
4、路由架構(gòu)改進
5、網(wǎng)絡(luò)入侵保護系統(tǒng)
6、郵件安全傳輸與過濾
7、人性化管理與集成操作
這些功能乍一看都不錯,但究竟能用到哪些,這就要結(jié)合自己的實際環(huán)境好好分析分析了。我們升級TMG主要是基于哪些考慮呢?首先,TMG的架構(gòu)變更對我們很有吸引力。ISA2006使用X86架構(gòu),X86架構(gòu)管理高性能服務(wù)器時有些力不從心。我們ISA2006服務(wù)器的硬件很好,4顆4核CPU的刀片服務(wù)器,16G內(nèi)存,但ISA2006只使用了3G內(nèi)存,讓人感覺硬件資源浪費得很嚴重。ISAf2006升級到TMG之后,TMG2010使用X64架構(gòu),管理硬件資源要好上很多。至少內(nèi)存使用達到8G以上了,感覺硬件利用率提升了不少,小賺了一筆。
其次,TMG提供的ISP冗余功能我們也很感興趣。ISP冗余支持TMG服務(wù)器使用兩條ISP鏈路,而且可以在兩條ISP鏈路上選擇故障轉(zhuǎn)移模式或負載平衡模式。我們公司的業(yè)務(wù)對互聯(lián)網(wǎng)有很強的依賴性,雖然我們選擇的電信運營商可靠性不錯,很少掉鏈子,但畢竟不能把雞蛋都放到一個籃子里啊。所以對使用單ISP接入方案我們還是有些小小的忐忑不安,現(xiàn)在有了ISP冗余,那就可以選擇兩家可靠的電信運營商來設(shè)計一套高可用的ISP接入環(huán)境,這下就可以踏踏實實地把心放到肚子里了。
我們升級還有一個技術(shù)之外的原因,那就是我們的領(lǐng)導是微軟的骨灰級粉絲,對微軟產(chǎn)品的最新版本有非常濃厚的興趣。一般來說,只要微軟服務(wù)器出了SP1,基本上領(lǐng)導就要督促我們考慮升級問題了。這些年我們總是第一時間體驗微軟的服務(wù)器產(chǎn)品,積極升級,積極測試,積極排錯,給微軟產(chǎn)品改進做出了相當大的貢獻啊。
看到這兒,有些朋友可能就要問了:“不對啊,TMG還有很多改進功能啊,怎么沒聽到你提啊,是不是你這家伙偷懶啊”?其實還真不是我偷懶,有些功能不錯,但并不適合我們的環(huán)境。比如,網(wǎng)絡(luò)入侵檢測保護是個不錯的功能,可是這個功能需要專門的許可證,是收費的,現(xiàn)在這年頭,一提到錢就容易傷感情…..所以還是算了吧。再舉個例子,Web非法軟件掃描中包括了一個URL篩選功能,其實就是微軟做的一個上網(wǎng)行為管理系統(tǒng)。這個功能看起來也不錯,系統(tǒng)可以根據(jù)用戶的訪問地址,自動判斷出用戶是訪問一個正常的商業(yè)站點,還是訪問一個娛樂站點,甚至是訪問非法的色情,賭博站點。如果用戶訪問的目標地址異常,例如在上班時間訪問playboy的網(wǎng)站,URL篩選可以自動限制用戶的訪問行為。這個功能看起來不錯,可是我們測試了一下,發(fā)現(xiàn)這套系統(tǒng)對國內(nèi)互聯(lián)網(wǎng)公司的識別準確率實在是差點意思。在URL篩選中輸入我們公司的網(wǎng)址,結(jié)果把我們這個金融公司識別成了房地產(chǎn)公司,這也就算了。我們再用www.163.net測試一下,居然把這個老牌的郵件運營商識別成了色情公司(目前這個問題已經(jīng)被修正),我們想了又想,實在是不敢啟用這個功能。萬一哪天這個功能導致用戶無法訪問正常的業(yè)務(wù)系統(tǒng),我們就麻煩了。算了,不求有功,但求無過,還是別折騰了。大家一定要相信一點,穩(wěn)定是壓倒一切的!
說了這么多,其實就一個意思,ISA2006是否需要升級并沒有標準答案,應(yīng)該根據(jù)自己的使用環(huán)境,因地制宜地進行決策。如果目前使用的產(chǎn)品可以滿足需求,新產(chǎn)品的功能又基本使用不上,那我的建議是可以考慮不升級,畢竟升級是有風險的,沒有明顯的收益就沒必要去做了。如果目前的產(chǎn)品無法滿足需求,而且我們又擁有升級所需要的資源(往往升級后對硬件資源的需求會提高),那就不妨積極地體驗一下最新版本帶來的新功能。
二、TMG升級注意事項
ISA2006是32位的服務(wù)器產(chǎn)品,TMG是64位產(chǎn)品。因此,我們不可能從ISA2006就地升級到TMG2010,只能考慮把ISA2006的配置遷移到TMG2010。好在從ISA2006遷移到TMG2010并不困難,微軟支持多種場景下的遷移方案。相比較從ISA2004升級到ISA2006,TMG的遷移方案可以設(shè)計得更加靈活。TMG的遷移要注意下列事項:
1、 TMG2010標準版可以升級到TMG2010企業(yè)版。也就是說,我們可以從ISA2006標準版遷移到TMG2010標準版,然后從TMG2010標準版再升級到TMG2010企業(yè)版。在ISA2006中,標準版和企業(yè)版差別非常大,企業(yè)版的配置存儲在配置存儲數(shù)據(jù)庫(CSS)中,而標準版根本就沒有CSS。因此ISA2006如果想從標準版升級到企業(yè)版,只能是先卸載ISA2006標準版,然后重新安裝ISA2006企業(yè)版。在TMG中,標準版和企業(yè)版之間的鴻溝已經(jīng)消失了,標準版也擁有CSS!從標準版升級到企業(yè)版,只需要輸入一個序列號就OK了。看起來,TMG標準版和企業(yè)版的區(qū)別主要體現(xiàn)在版權(quán)上,技術(shù)上已經(jīng)沒有區(qū)別了。這種設(shè)計方案對企業(yè)其實更加有利,企業(yè)完全可以先購買低價的TMG標準版。如果隨著企業(yè)的發(fā)展,標準版產(chǎn)品不堪重負了,企業(yè)可以從容地把TMG升級為企業(yè)版,完全沒有后顧之憂!
2、 從ISA2006導出配置數(shù)據(jù)時,必須導出機密信息和用戶配置數(shù)據(jù),如下圖所示。如果導出數(shù)據(jù)中沒有包括加密的機密信息,TMG導入時會報錯。另外,我們也不能僅僅導出ISA2006的防火墻策略,TMG也不支持這種導入方式。其實我們做TMG項目時最初僅僅想把ISA的防火墻策略遷移到TMG上,因為我們有些擔心整體導入ISA2006的配置信息后會對TMG的健康狀態(tài)產(chǎn)生影響。為什么這樣說呢,主要是因為之前的ISA2006服務(wù)器上發(fā)生過一些莫名其妙的問題,例如只要一啟用WPAD,就會影響用戶連接WSUS服務(wù)器。這個奇怪的問題在微軟開了CASE,微軟也一直沒有搞定,因此我們對ISA2006的健康狀況就有些隱隱約約的擔心。我們特別害怕ISA2006的這種亞健康狀態(tài)會隨著配置的遷移傳染給TMG,這樣我們可就沒有退路了。以前ISA2006有問題時,大家總是很期盼地說:等到升級TMG就歐了!一旦TMG再有問題,那就要被群眾扁死啊。所以啊,我們被迫在TMG上整體導入ISA配置后,立即在TMG上對防火墻策略單獨進行了備份,以防萬一。好在TMG導入ISA配置后工作得不錯,到目前為止狀態(tài)保持得還是相當穩(wěn)定的。(圖1)
三、TMG新功能
1、ISP-R
ISP-R是TMG中一個非常好用的新增功能,我們對這個功能仰慕已久,可惜ISA一直沒有提供這個功能。無數(shù)管理員曾經(jīng)在論壇上無助地詢問:ISA服務(wù)器能否使用兩條ISP鏈路啊?答案是否定的!四年等一回,TMG終于給我們帶來了ISP-R,F(xiàn)在ISP-R既可以利用兩條ISP鏈路實現(xiàn)負載平衡,也可以實現(xiàn)故障轉(zhuǎn)移。如下圖所示,TMG服務(wù)器上同時使用了兩條活動的ISP鏈路。(圖2)
使用ISP-R要特別注意DNS服務(wù)器的配置。ISP-R檢測鏈路狀態(tài)的方法是通過被檢測鏈路隨機訪問DNS根服務(wù)器,如果訪問成功,鏈路狀態(tài)就是健康的;如果一連三次訪問失敗,TMG會把鏈路狀態(tài)標注為不可用。如果你不想讓TMG檢測DNS根服務(wù)器,希望TMG檢測一個國內(nèi)的DNS服務(wù)器,你可以參考下列腳本進行修改。還有一點要注意的是,ISP-R只對NAT數(shù)據(jù)有效。也就是說,ISP-R對TMG本地主機是不起作用的。如果你希望TMG服務(wù)器通過電信的ISP鏈路訪問電信的DNS服務(wù)器,通過網(wǎng)通的ISP鏈路訪問網(wǎng)通的DNS服務(wù)器,你需要使用route add命令寫靜態(tài)路由。
Configuring verification of link status
In the default setting, TMG checks the status of the ISP link by trying to establish a TCP connection on port 53 (DNS zone transfer) to a list* of root DNS server on a round robin basis. If a connection can be established, TMG will consider the link active.
Although, the IP addresses and the TCP port used for the verification cannot be configured directly from the management console, If you need to modify these settings, e.g. because you setup your TMG server without direct access to the internet, you can do this by using the TMG COM, through simple Visual Basic script like this one:
Note: Please take an export of TMG configuration prior to running the script. To get the original behavior you need to import the original configuration
‘ ==================================================================
‘ we need to get the ISP Redundancy configuration object first:
set oRoot = CreateObject(“FPC.Root”)
set OArray = oRoot.GetContainingArray()
set oExternalNetwork = oArray.NetworkConfiguration.Networks(“External”)
set oISPRCfg = oExternalNetwork.ISPRedundancyConfig
‘ ===================================================================
‘ if you want to remove the complete list of connectivity verification
‘a(chǎn)ddresses:
oISPRCfg.ConnectivityVerificationRemoteIpAddresses.RemoveAll()
‘ To add a new address (in this case 192.168.1.1) to check the connectivity:
oISPRCfg.ConnectivityVerificationRemoteIpAddresses.Add “192.168.1.1”
‘ To change the TCP port for connectivity verification (default: 53)
oISPRCfg.ConnectivityVerificationRemotePort = 53
‘ To save the changes
oISPRCfg.Save
2、監(jiān)控
TMG的報表功能得到了增強,我們可以在TMG中針對重要用戶輸出單獨的訪問報表。如下圖所示,我們可以在TMG中創(chuàng)建用戶活動報告,訪問報告中將輸出用戶的訪問內(nèi)容,訪問時間,訪問類別等參數(shù)。我們既可以輸出單個用戶的訪問報告,也可以針對多個用戶進行輸出。(圖3)
報告輸出的效果如下圖所示。通過這種報告,我們可以很容易地針對用戶進行上網(wǎng)行為監(jiān)控,輔導用戶在上班時間合理使用互聯(lián)網(wǎng)鏈路。(圖4)
四、TMG產(chǎn)品缺陷
微軟的服務(wù)器產(chǎn)品以補丁總多而著稱,因此大家在使用過程中慢慢有了這樣一個習慣,如果一個服務(wù)器產(chǎn)品沒有出SP1,一般不會考慮在生產(chǎn)環(huán)境中應(yīng)用。但這次我發(fā)現(xiàn)即使有了SP1也不一定包打天下,SP1仍然會有一些缺陷,下面是我使用TMG2010 SP1的經(jīng)歷。
TMG2010安裝完成后,我馬上在第一時間安裝TMG2010 SP1。SP1安裝完成后,立刻發(fā)現(xiàn)重啟服務(wù)器后10多分鐘還沒能進入系統(tǒng),我的冷汗立刻就流下來了。額的娘啊,不會剛打完SP1就崩潰了吧。還好,又等了幾分鐘,終于進入系統(tǒng)了,最奇怪的是,查看一下還沒有發(fā)現(xiàn)有什么錯誤,難道TMG要休息一下?感覺去微軟論壇看看,這才發(fā)現(xiàn)有類似問題的還大有人在,看來這是TMG2010 SP1的通病。解決方法微軟也提供了,TMG2010 SP1 Update1就可以解決這個問題,打了Update1之后,TMG算是恢復正常了。只能感嘆這個TMG2010 SP1是怎么測試的,難道測試時沒有重啟過系統(tǒng)?
TMG服務(wù)器安裝完成后,我們使用兩個TMG服務(wù)器組成了一個陣列,然后又配置了負載平衡。負載平衡的效果非常好,1500個用戶,分布在兩臺服務(wù)器上的人數(shù)分別是740和760。但是,在TMG的控制臺上觀察,發(fā)現(xiàn)目前只使用了第一臺TMG服務(wù)器的Web緩存,第二臺TMG服務(wù)器的Web緩存利用率為零。Web緩存非常重要,這可不是鬧著玩的,我趕緊對TMG服務(wù)器上的緩存內(nèi)容進行檢測。如果想檢測TMG的緩存內(nèi)容,可以去微軟下載TMG Tools。TMG Tools中有一個名為Cachedir的工具,可以實時查看TMG服務(wù)器的緩存內(nèi)容。我用Cachedir檢查了兩臺服務(wù)器,發(fā)現(xiàn)內(nèi)容很正常,而且兩臺服務(wù)器緩存都有用戶訪問。那TMG控制臺上又怎么解釋呢?查了半天,也沒有結(jié)果,算了,去微軟開個CASE吧。還好,微軟很快就在測試環(huán)境中復現(xiàn)了這個故障。過了幾天,微軟工程師正式答復:這是個產(chǎn)品Bug,這個CASE我們免費,F(xiàn)在我們只能等產(chǎn)品組出Hotfix,但什么時候能提供hotfix,就沒有具體的時間表了,請您耐心等待…我又奇怪了,這個現(xiàn)象非常明顯啊,難道一直沒有針對陣列進行測試?這微軟到底是怎么做產(chǎn)品測試的!
過了一段時間,SCOM服務(wù)器也開始來找麻煩了。SCOM服務(wù)器基本每天都會報幾個TMG Web緩存的錯誤,大致內(nèi)容是這樣的:
警報: Forefront TMG 服務(wù)器 - 緩存: “當前每個請求的緩存提取平均毫秒數(shù)”錯誤
來源: Caching - HQ-TMG2
路徑: HQ-TMG2.chamc.com.cn
上次修改者: 系統(tǒng)
上次修改時間: 2011/1/19 19:04:18
警報描述: 800.375927734375
這個警報并不復雜,意思是SCOM服務(wù)器三分鐘內(nèi)隨機統(tǒng)計了5個客戶機向TMG服務(wù)器發(fā)起一個Web請求后所需要的平均響應(yīng)時間,TMG服務(wù)器發(fā)現(xiàn)客戶機平均需要經(jīng)過800豪秒才能從TMG服務(wù)器收到回應(yīng)。這就有些不對了,SCOM服務(wù)器認為這個平均值應(yīng)該在300毫秒以下?紤]到客戶機發(fā)起請求后,如果請求的內(nèi)容在TMG的Web緩存中,那響應(yīng)速度應(yīng)該在10毫秒以內(nèi)。因此,看到這個警報,我就考慮是否TMG的緩存性能出現(xiàn)了問題?墒,我很快就發(fā)現(xiàn)一個難以自圓其說的現(xiàn)象。SCOM服務(wù)器發(fā)起這個警報的時間,基本都是在夜間或雙休日,工作時間內(nèi)反而沒有警報。那就不對了, TMG服務(wù)器應(yīng)該在工作時段負載重啊,怎么反而在工作時段沒有這個警報呢?沒轍了,再去微軟開個CASE吧。微軟工程師的水平還是挺高的,查了一番資料后給了我一個挺好的解釋:是這樣的,如果用戶訪問的內(nèi)容在TMG的緩存中,那TMG的響應(yīng)速度是很快的;如果用戶訪問的內(nèi)容不在TMG的緩存中,例如用戶下載文件,或者用戶使用視頻點播,這種情況下TMG就得先從互聯(lián)網(wǎng)服務(wù)器下載數(shù)據(jù),然后才能響應(yīng)用戶,這樣響應(yīng)時間就會很長,需要上千甚至上萬毫秒都有可能。在工作時間內(nèi),很多用戶提交的Web請求都可以在TMG緩存中得到響應(yīng),因此緩存的利用率高。平均一下,每個用戶提交Web請求所需要的平均響應(yīng)時間就會非常短,SCOM就不容易報警。非工作時間呢,使用TMG服務(wù)器的用戶少了,TMG的Web緩存利用率就低了,用戶的Web請求就不容易從TMG緩存中獲得響應(yīng)(你可以想象一下,非工作時間用戶訪問的是神馬內(nèi)容),因此統(tǒng)計出來的平均響應(yīng)時間就長,這時就有可能觸發(fā)SCOM警告了。
聽了微軟的解釋,我覺得豁然開朗。哦,原來TMG服務(wù)器的緩存性能沒問題,這時好事,值得高興啊。但是,但是,仔細一想就不對了,TMG服務(wù)器沒問題,你SCOM報什么警啊!存心騷擾是不是?我向微軟的工程師咨詢:既然如此,SCOM的這個警報到底有什么意義呢?這回輪到微軟的工程師張口結(jié)舌了,只能推說要和產(chǎn)品組反映這個問題,然后給我答復。過了幾天,微軟工程師來電話了:經(jīng)過和產(chǎn)品組確認,確定這又是一個產(chǎn)品Bug!解決方法是等待產(chǎn)品組的Hotfix,Hotfix沒出來之前建議先把SCOM的這個警報禁用,免得收到無意義的警報。既然是Bug,那這個CASE還是免費的…
五、TMG升級總結(jié)
雖然TMG產(chǎn)品還存在一些小缺陷,但不能否認TMG相比之前的ISA2006還是有很大進步的。至少在產(chǎn)品穩(wěn)定性方面,TMG比ISA2006強大了很多。以前我們使用ISA2006時,隔上一段時間就會出現(xiàn)ISA2006不堪重負,不工作了,必須重啟服務(wù)器才能恢復正常。VPN用戶也經(jīng)常抱怨ISA的穩(wěn)定性不佳,時常掉線。升級到TMG之后,這些問題再也沒有出現(xiàn)過。三個月以來TMG堅如磐石地提供著Web代理,服務(wù)器發(fā)布,VPN接入等服務(wù),盡情地顯示著64位系統(tǒng)的優(yōu)越性?傮w來看,TMG2010做為新一代的企業(yè)級路由防火墻,在產(chǎn)品架構(gòu),防火墻核心性能,安全防護,穩(wěn)定性方面比前一代產(chǎn)品都有了本質(zhì)上的提高。如果硬件條件許可,我們建議還是盡可能把ISA2006升級到TMG2010,TMG不會令你失望的!
核心關(guān)注:拓步ERP系統(tǒng)平臺是覆蓋了眾多的業(yè)務(wù)領(lǐng)域、行業(yè)應(yīng)用,蘊涵了豐富的ERP管理思想,集成了ERP軟件業(yè)務(wù)管理理念,功能涉及供應(yīng)鏈、成本、制造、CRM、HR等眾多業(yè)務(wù)領(lǐng)域的管理,全面涵蓋了企業(yè)關(guān)注ERP管理系統(tǒng)的核心領(lǐng)域,是眾多中小企業(yè)信息化建設(shè)首選的ERP管理軟件信賴品牌。
轉(zhuǎn)載請注明出處:拓步ERP資訊網(wǎng)http://www.ezxoed.cn/
本文標題:TMG升級經(jīng)驗總結(jié)
本文網(wǎng)址:http://www.ezxoed.cn/html/support/1112189298.html