技巧分享：Forefront TMG备份与恢复-网络安全专区

技巧分享：Forefront TMG备份与恢复

作者：蒋世强编辑：赵继诚 2010-04-13 00:00 来源：IT168�

　　引言

　　Forefront TMG可以在紧急情况下轻松地备份整个或部分配置，或将Forefront TMG服务器端的配置克隆到另一台服务器上。Forefront TMG使用卷影复制服务(Volume Shadow Copy Service，VSS)编写器将配置信息导出到一个XML文件，并通知VSS提供者备份这个XML文件。在进行恢复时，VSS提供者利用Forefront TMG的导入功能通过此文件还原配置。

　　备份和恢复整个配置

　　下面开始在Forefront TMG管理控制台备份或恢复整个TMG配置。定期备份整个TMG配置应该成为灾难恢复计划的一部分。

　　图1：备份整个TMG配置

　　启动导出向导：

　　图2：启动导出向导

　　如果要导出诸如网络策略服务器(NPS，Network Policy Server)这样的机密信息，需要指定一个至少8个字符的密码对信息进行加密。如果还需要备份TMG管理员角色的用户，必须激活Checkboy导出用户权限。

　　图 3：导出设置

　　指定导出文件的位置。该位置应位于具有NTFS权限的NTFS卷，以保护文件的安全。服务器发生故障时，需要将XML文件保存在TMG服务器之外的另外一台服务器上。

　　图4：导出文件位置

　　导出过程的时间取决于TMG配置的大小。

　　图 5: 导出过程

　　用IE或XML文件查看器打开一个XML文件，可以查看文件内容。

　　图 6：XML 文件内容

　　导入TMG配置

　　发生灾难时，可以导入整个Forefront TMG配置。首先，操作系统出现故障时重新安装一个底层操作系统，然后使用默认设置重新配置Forefront TMG，之后启动管理控制台，导入TMG配置。

　　图 7：导入TMG配置

　　指定导出的TMG配置的位置。

　　图 8：指定XML文件的位置

　　选择“覆盖(恢复)”选项，可以导入或覆盖当前TMG的配置。

　　图 9: 导入或覆盖TMG配置

　　选择想要导入的信息。

　　图 10: 选择导入数据

　　指定用于保护Forefront TMG导出文件中机密信息的密码，以导入(覆盖)当前TMG配置。

　　图 11: 输入导出文件的密码

　　导入的配置将覆盖现有的Forefront TMG配置，因此最好导出当前配置，以防导入过程中发生错误。

　　图 12：确认覆盖当前配置

　　导入过程的时间取决于导出文件中信息的数量及机器的处理能力。

　　图 13：导入配置进行中

　　配置成功导入后，必须应用配置更改，如下面的截图所示。

　　图 14：应用更改

　　备份、恢复部分TMG配置

　　几乎所有的TMG配置都可能导出到一个XML文件。例如，可以导出整个防火墙规则集、协议定义、网络等等。下图显示了整个防火墙策略的导出功能。

　　图 15：导出防火墙规则集

　　下面的例子显示了Forefront TMG创建的URL集导出对话框。

　　图 16：导出选择项

　　导入ISA Server 2006配置

　　ISA Server 2006可以迁移到Forefront TMG。首先，导出ISA Server 2006的配置，然后在一台新服务器上安装Windows 2008 R2。操作系统安装完成后，再安装Forefront TMG。如要导入ISA Server 2006配置，则需要关闭Forefront TMG入门向导，用事先导出的ISA Server 2006配置文件导入TMG配置。

　　图 17：导入ISA Server 2006配置

　　使用VSS编写器备份与恢复

　　备份和恢复Forefront TMG配置也可使用卷影复制服务(VSS)。在Forefront TMG中，配置信息存储在一个活动目录(AD，Active Directory)轻型目录服务(LDS ,Lightweight Directory Services)中。使用VSS备份和恢复Forefront TMG配置时，活动目录轻型目录服务被称为“VSS编写器”。

　　下图中，编写器命名为“ISA Writer”，ID注册码为25F33A79-3162-4496-8A7D-CAF8E7328205，

　　查看VSS编写器时，首先启动命令提示符，执行CMD.EXE命令，输入VSSadmin list Writers运行，VSSadmin输出如下图所示。

　　图 18：VSSadmin输出

　　其他需要备份的事项

　　如同Windows Sever的内置备份程序一样，备份Forefront TMG服务器的整个配置始终是个不错的选择。

　　对于一个正常的恢复过程来讲，重新安装Forefront TMG并导入XML文件就足够了。在操作系统完全发生故障的情况下，需要重新安装操作系统和Forefront TMG，并导入Forefront TMG备份文件。

　　有时，由Forefront TMG创建的所有日志文件可能会丢失，这种情况是安全策略所不允许的，这时，必须备份日志文件、MSDE(MS SQL Server Desktop Engine)数据引擎创建的数据库，以及TMG文本日志。

　　证书

　　SSL证书并不是Forefront TMG备份的一部分。如果管理员颁发了OWA发布或其他证书，就有必要利用其他工具导出证书。SSL证书存储在计算机的局部证书存储器内。可以使用一个命令行程序Certutil.exe来备份和恢复SSL证书，或使用证书的MMC管理单元从图形用户界面导出证书。

　　结语

　　本文主要介绍了Forefront TMG的导出和导入功能。同时，还可以备份和恢复完全或部分的Forefront TMG配置。建议定期对TMG进行备份。

关注我们