Forefront TMG включает функцию архивации и восстановления, позволяющую экспортировать его конфигурацию в XML-файл и затем импортировать ее обратно в Forefront TMG.
В Forefront TMG процесс архивации называется экспортом, а процесс восстановления — импортом. Функции импорта и экспорта являются гибкими в том смысле, что экспорт в Forefront TMG можно выполнять на разных уровнях. Например, можно экспортировать (и впоследствии импортировать) всю политику межсетевого экрана, одно правило или один сетевой объект. Можно архивировать всю конфигурацию и позднее восстановить ее.
В этом разделе представлены следующие сведения:
- Подготовка к
аварийному восстановлению
- Общие
сведения об архивации и восстановлении конфигурации Forefront
TMG
- Общие сведения
об архивации SSL-сертификатов
Подготовка к аварийному восстановлению
Архивация конфигурации важна как для аварийного восстановления, так и для возврата к предыдущей конфигурации (если это необходимо). Архивацию всей конфигурации рекомендуется выполнить в следующих случаях:
- После первоначальной настройки компьютера
Forefront TMG.
- После внесения значительных изменений,
включая изменение размера или расположения кэша, изменение политики
межсетевого экрана, настройку системных правил, создание
определений сети или сетевых правил и делегирование прав на
администрирование или отмену их делегирования.
Соблюдение данных инструкций может помочь в случае необратимой потери данных, когда вы сможете восстановить конфигурацию из имеющегося файла архива.
Общие сведения об архивации и восстановлении конфигурации Forefront TMG
Перед архивацией или восстановлением конфигурации обратите внимание на следующее:
- Чтобы выполнять архивацию и восстановление
конфигурации на уровне предприятия, необходимо являться
администратором или аудитором предприятия Forefront TMG.
- Чтобы выполнять резервное копирование и
восстановление конфиденциальной информации на уровне предприятия,
необходимо являться администратором предприятия Forefront TMG.
- Для экспорта конфиденциальной информации на
уровне массива необходимо быть администратором массива Forefront
TMG.
- Для обеспечения максимальной безопасности
рекомендуется сохранять файл архива в разделе диска с файловой
системой NTFS. Права на чтение каталога должны иметь только
администраторы Forefront TMG.
- При экспорте всей конфигурации экспортируются
и параметры сертификатов. Параметры сертификатов компьютера
Forefront TMG, на который импортируется конфигурация, должны
совпадать с параметрами сертификатов в экспортированном файле. При
импорте на компьютер Forefront TMG, на котором установлены
различные сертификаты, службе межсетевого экрана Microsoft не
сможет запуститься.
- При экспорте конфиденциальных сведений,
например паролей пользователей, защищенные данные в файле архива
шифруются. При импорте конфигурации отображается запрос на ввод
пароля, необходимого для расшифровки защищенных данных. Для
обеспечения надлежащей защиты зашифрованных данных рекомендуется
использовать надежный пароль. Пароль считается надежным, если он
обеспечивает эффективную защиту от несанкционированного доступа.
Надежный пароль не должен содержать часть или все имя учетной
записи пользователя. Он содержит как минимум три из четырех
следующих категорий символов: символы в верхнем регистре, символы в
нижнем регистре, основные 10 цифр и символы, расположенные на
клавиатуре (например, !, @ и #).
В следующих разделах описываются:
Архивация конфигурации
В Forefront TMG конфигурация Forefront TMG экспортируется в XML-файл с помощью мастера экспорта.
При экспорте конфигурации экспортируются все основные сведения о конфигурации. В файл резервной копии входят все сведения о политике и другие характерные для организации данные. В него также входят правила доступа, правила публикации, элементы правил, конфигурация оповещений, конфигурация кэша и другие свойства Forefront TMG, такие как диски кэша и ключи SSL-сертификатов.
Примечание. |
---|
В ходе архивации и восстановления также обрабатываются ключи SSL-сертификатов, и в Forefront TMG используются соответствующие сертификаты. Это не то же самое, что архивация и восстановление самих сертификатов. Рекомендуется вручную создать архив SSL-сертификатов и хранить его в безопасном месте. |
При создании файла архива кроме экспорта всех основных сведений о конфигурации предоставляется возможность экспорта параметров разрешений пользователей и конфиденциальных сведений, например паролей пользователей. Конфиденциальные сведения, включенные в экспортированный файл, зашифрованы с использованием пароля, который указывается в процессе экспорта. К конфиденциальным сведениям относятся пароли для учетных данных (например, пароли для входа в систему, где запущен Microsoft SQL Server), общие секреты службы RADIUS или предварительные ключи протокола IPsec. При экспорте в файл конфиденциальных сведений запрашивается пароль, указанный в ходе экспорта, чтобы открыть и расшифровать защищенные данные. Обратите внимание, что общие данные о конфигурации в экспортированном файле резервной копии не зашифрованы. Экспортированные данные конфигурации Forefront TMG в файлах архива должны обрабатываться как конфиденциальные данные, которые могут быть раскрыты.
Восстановление конфигурации
Восстановление конфигурации выполняется путем импорта файла архива конфигурации на сервер Forefront TMG. В ходе импорта конфигурация, сохраненная в XML-файле архива, копируется на сервер Forefront TMG.
В процессе восстановления воссоздается большая часть данных конфигурации. При импорте XML-файла конфигурации предоставляется возможность либо перезаписать существующую конфигурацию, либо импортировать сведения о конфигурации в существующую конфигурацию. При восстановлении конфигурации следует всегда перезаписывать существующую конфигурацию, которая в этом случае заменяется конфигурацией из файла импорта.
Общие сведения об архивации SSL-сертификатов
SSL-сертификаты хранятся в локальном хранилище сертификатов компьютера. Для архивации и восстановления компонентов центра сертификации, таких как SSL-сертификаты, можно использовать программу командной строки Certutil.exe, устанавливаемую в составе служб сертификации. Дополнительные сведения о программе Certutil.exe см. на страницах Средства для создания, просмотра сертификатов и управления ими (страница может быть на английском языке) (http://go.microsoft.com/fwlink/?LinkId=152904) и Программа Certutil (страница может быть на английском языке) (http://go.microsoft.com/fwlink/?LinkId=152902).
Для архивации SSL-сертификатов также можно использовать оснастку управления сертификатами консоли MMC. Дополнительные сведения см. на странице Архивация сертификата сервера (странице может быть на английском языке) (http://go.microsoft.com/fwlink/?LinkId=152903).