二、TMG升级注意事项

　　ISA2006是32位的服务器产品，TMG是64位产品。因此，我们不可能从ISA2006就地升级到TMG2010，只能考虑把ISA2006的配置迁移到TMG2010。好在从ISA2006迁移到TMG2010并不困难，微软支持多种场景下的迁移方案。相比较从ISA2004升级到ISA2006，TMG的迁移方案可以设计得更加灵活。TMG的迁移要注意下列事项：

　　1、 TMG2010标准版可以升级到TMG2010企业版。也就是说，我们可以从ISA2006标准版迁移到TMG2010标准版，然后从TMG2010标准版再升级到TMG2010企业版。在ISA2006中，标准版和企业版差别非常大，企业版的配置存储在配置存储数据库(CSS)中，而标准版根本就没有CSS。因此ISA2006如果想从标准版升级到企业版，只能是先卸载ISA2006标准版，然后重新安装ISA2006企业版。在TMG中，标准版和企业版之间的鸿沟已经消失了，标准版也拥有CSS!从标准版升级到企业版，只需要输入一个序列号就OK了。看起来，TMG标准版和企业版的区别主要体现在版权上，技术上已经没有区别了。这种设计方案对企业其实更加有利，企业完全可以先购买低价的TMG标准版。如果随着企业的发展，标准版产品不堪重负了，企业可以从容地把TMG升级为企业版，完全没有后顾之忧!

　　2、 从ISA2006导出配置数据时，必须导出机密信息和用户配置数据，如下图所示。如果导出数据中没有包括加密的机密信息，TMG导入时会报错。另外，我们也不能仅仅导出ISA2006的防火墙策略，TMG也不支持这种导入方式。其实我们做TMG项目时最初仅仅想把ISA的防火墙策略迁移到TMG上，因为我们有些担心整体导入ISA2006的配置信息后会对TMG的健康状态产生影响。为什么这样说呢，主要是因为之前的ISA2006服务器上发生过一些莫名其妙的问题，例如只要一启用WPAD，就会影响用户连接WSUS服务器。这个奇怪的问题在微软开了CASE，微软也一直没有搞定，因此我们对ISA2006的健康状况就有些隐隐约约的担心。我们特别害怕ISA2006的这种亚健康状态会随着配置的迁移传染给TMG，这样我们可就没有退路了。以前ISA2006有问题时，大家总是很期盼地说：等到升级TMG就欧了!一旦TMG再有问题，那就要被群众扁死啊。所以啊,我们被迫在TMG上整体导入ISA配置后，立即在TMG上对防火墙策略单独进行了备份，以防万一。好在TMG导入ISA配置后工作得不错，到目前为止状态保持得还是相当稳定的。(图1)

▲