安装和配置 Microsoft iSCSI 发起程序

安装和配置 Microsoft iSCSI 发起程序

2010-12-31 10:51 TechNet 微软TechNet中文站 我要评论(0) 字号：T | T

Microsoft iSCSI 发起程序本地安装在 Windows Server 2008 R2、Windows 7、Windows Server 2008 和 Windows Vista 上。在这些操作系统上，不需要任何安装步骤。

AD：2013云计算架构师峰会超低价抢票中

Microsoft iSCSI 发起程序本地安装在 Windows Server 2008 R2、Windows 7、Windows Server 2008 和 Windows Vista 上。在这些操作系统上，不需要任何安装步骤。 备注 但仅在 Windows Server 操作系统中支持使用 Microsoft iSCSI 启动发起程序启动计算机。 有关如何在 Windows Server 2003 或 Windows XP 上安装 Microsoft iSCSI 发起程序的信息，请参阅 Microsoft 网站上的 Microsoft iSCSI Initiator 版本 2.08(http://go.microsoft.com/fwlink/?LinkID=44352)（可能为英文网页）。

安全性

Microsoft iSCSI 发起程序支持使用和配置质询握手身份验证协议 (CHAP) 和 Internet 协议安全性 (IPsec)。所有支持的 iSCSI HBA 也都支持 CHAP，而某些可能不支持 IPsec。

CHAP

CHAP 是一个用于对连接对等方进行身份验证的协议。它基于共享密码或机密的对等方。Microsoft iSCSI 发起程序支持单向和相互 CHAP。Microsoft iSCSI 发起程序假定的使用模型是每个目标可以拥有其自己的唯一 CHAP 机密用于单向 CHAP，而发起程序拥有一个机密用于对所有目标的相互 CHAP。Microsoft iSCSI 发起程序可以使用 iscsicli 命令 AddTarget 为每个目标持续保留目标 CHAP 机密。

在持续将访问仅限于 Microsoft iSCSI 发起程序服务之前对机密进行加密。如果已持续保留目标机密，则不需要在每次登录尝试时都进行传递。管理应用程序（如 Microsoft iSCSI 发起程序中的图形用户界面）可以在每次登录尝试时都传递目标 CHAP 机密。对于永久性目标，将持续保留目标 CHAP 机密以及用于登录到该目标的其他信息。在持续保留之前，也对分配给 Microsoft iSCSI 发起程序中内核模式驱动程序的每个永久性目标的目标 CHAP 机密进行加密。

CHAP 要求 Microsoft iSCSI 发起程序具有一个用于操作的用户名和机密。通常，将 CHAP 用户名传递给目标，然后目标在其专用表中查找用于该用户名的机密。默认情况下，Microsoft iSCSI 发起程序将 iSCSI 限定名称 (IQN) 用作 CHAP 用户名。可以通过将 CHAP 用户名传递给登录请求将其覆盖。注意，Microsoft iSCSI 发起程序中的内核模式驱动程序将 CHAP 用户名限制为 223 个字符。

有

关

CHAP

的

详

细

信

息

，

请

参

阅

http://go.microsoft.com/fwlink/?LinkId=159074 上的Microsoft 网站（可能为英文网页）。

IPsec

IPsec 是一种在 IP 数据包层提供身份验证和数据加密的协议。在对等端之间使用 Internet 密钥交换 (IKE) 协议，以允许对等端彼此进行身份验证以及协商将用于连接的数据包加密和身份验证机制。

由于 Microsoft iSCSI 发起程序使用 Windows TCP/IP 堆栈，因此它可以使用 Windows TCP/IP 堆栈中所有可用的功能。对于身份验证，它包括预共享密钥、Kerberos 协议和证书。使用 Active Directory 将 IPsec 筛选器分发给运行 Microsoft iSCSI 发起程序的计算机。除了隧道和传输模式之外，还支持 3DES 和 HMAC-SHA1。

由于 iSCSI HBA 在适配器中嵌入了一个 TCP/IP 堆栈，而 iSCSI HBA 可以实现 IPsec 和 IKE，因此 iSCSI HBA 上可用的功能可能有所不同。它至少支持预共享密钥、3DES 和 HMAC-SHA1。Microsoft iSCSI 发起程序有一个通用的 API，它用于为 Microsoft iSCSI 发起程序和 iSCSI HBA 配置 IPsec。

有关 IPsec 的详细信息，请参阅

http://go.microsoft.com/fwlink/?LinkId=159075 上的Microsoft 网站（可能为英文网页）。

Microsoft iSCSI 发起程序最佳实践

下面是建议用于 Microsoft iSCSI 发起程序配置的最佳实践：

部署在快速网络（GigE 或速度更快的网络）上。 确保物理安全。 对所有帐户使用强密码。

使用 CHAP 身份验证，因为它确保每个主机都拥有其自己的密码。也建议使用相互

CHAP 身份验证。 备注 使用 Microsoft 多路径 IO (MPIO) 管理到 iSCSI 存储的多个路径。Microsoft 不支持在用于连接到基于 iSCSI 的存储设备的网络适配器上成组。 使用 iSNS 发现和管理对 iSCSI 目标的访问。 存储阵列性能最佳实践

应该确保优化存储阵列以实现负载的最佳性能。建议选择包含 RAID 功能和缓存的 iSCSI 阵列。如果您配置的 Microsoft Exchange Server 版本具有对延迟敏感的其他 I/O 应用程序，则将 Microsoft Exchange Server 磁盘保留在阵列上单独的池中，这一点尤其重要。有关结合使用 Exchange Server 和 iSCSI 的最佳实践的详细信息，请参

阅

Microsoft

Exchange

解

决

方

案

检

查

程

序

(http://go.microsoft.com/fwlink/?LinkId=154595)（可能为英文网页）。

对于没有低延迟或高 IOPS 要求的应用程序，可以通过 SAN 或 WAN 链接实现 Microsoft iSCSI 发起程序的存储网络，这允许全局分发。Microsoft iSCSI 发起程序消除了存储网络的传统界线，使企业能够访问全球数据并且帮助确保最强大的灾难保护。为了最大程度地提高性能，建议您在网络上使用专用于 iSCSI 通信的 iSCSI。

遵循供应商关于存储阵列的最佳实践原则来配置 Microsoft iSCSI 发起程序超

时。

安全最佳实践

Microsoft iSCSI 发起程序中的协议的实现兼顾了安全性。除了将 iSCSI SAN 与 LAN 通信隔离之外，还可以通过以下安全方法使用 Microsoft iSCSI 发起程序：

单向和相互 CHAP IPsec 访问控制

在登录之前，通过 Windows 主机在 iSCSI 目标上配置对特定 LUN 的访问控制。这也称为 LUN 掩码。

除了 IPsec 之外，Microsoft iSCSI 发起程序还支持单向和相互 CHAP。根据 iSCSI 标准，使用 IPsec 进行加密，使用 CHAP 进行身份验证。加密通信的密钥交换提供 Windows Internet 密钥交换安全功能。Microsoft iSCSI 发起程序具有一个通用的 API，可以使用该 API 来配置发起程序和 iSCSI HBA。

网络最佳实践

以下是使用 Microsoft iSCSI 发起程序时建议用于网络的最佳实践：

使用非阻止交换机，并将“配置网络端口速度”设置为特定的值，而不是允许速

度协商。

禁用单播风暴控制。默认情况下，大多数交换机都禁用单播风暴控制。如果您的交

换机启用了单播风暴控制，则应该在连接到 Microsoft iSCSI 发起程序主机和目标的端口上禁用它以避免丢失数据包。

使用 MPIO 管理与 Microsoft iSCSI 发起程序中的存储的多个网络连接。这为

Windows Server 操作系统提供了额外的冗余和容错。 备注 Microsoft 不支持将 MPIO 和 MCS 连接用于同一设备。使用 MPIO 或 MCS 来管理存储路径和负载平衡策略。

在网络交换机和适配器上启用流控制。流控制可确保接收方能调整发送方的速度，

这对于避免数据丢失非常重要。

禁用用于检测循环的跨树算法。循环检测在创建端口时引入了延迟，这对数据传输

来说可能非常有用，并且它可以导致应用程序超时。

将 SAN 和 LAN 通信隔离。应该将 Microsoft iSCSI 发起程序中的 SAN 接口与其

他企业网络通信 (LAN) 分离。服务器应该使用专用的网络适配器进行 SAN 通信。在单独的网络上为 Microsoft iSCSI 发起程序部署通信有助于最大程度地减少网络拥塞和延迟。此外，使用基于端口的虚拟局域网 (VLAN) 或物理分离的网络将 SAN 和 LAN 通信分离时，Microsoft iSCSI 发起程序的通信更加安全。

配置其他路径的高可用性。对服务器中的其他网络适配器使用 MPIO 或每个会话多

个连接 (MCS)。这会通过冗余的以太网交换构造创建与 Microsoft iSCSI 发起程序中存储阵列的其他连接。

解除仅连接到 Microsoft iSCSI 发起程序 SAN 的 Microsoft iSCSI 发起程序网

络适配器中的“文件和打印共享”。

使用 Gigabit 或速度更快的以太网连接以便对存储进行高速访问。阻塞或速度较

低的网络可能会引起延迟问题，对于通过 Microsoft iSCSI 发起程序连接的设备，这会中断 Microsoft iSCSI 发起程序和应用程序之间的访问。很多情况下，正确设计的 IP SAN 可以提供比内部硬盘驱动器更高的性能。Microsoft iSCSI 发起程序适合 WAN 和速度较低的实现，包括不考虑延迟和带宽的复制。

使用服务器级网络适配器。建议使用为企业网络和存储应用程序设计的网络适配

器。

对 Gigabit 网络基础结构使用等级为 CAT-6 的电缆。对于 10 Gigabit 的实现，

超过 55 米的距离通常需要使用 CAT-6a 或 CAT-7 电缆。

使用 Jumbo 帧（如果网络基础结构支持）。可以使用 Jumbo 帧来允许通过每个以

太网事务传输更多数据并减少帧数。更大的帧减少了在服务器和 iSCSI 目标方面的开销。对于端到端支持，网络中的每个设备都需要支持 Jumbo 帧，包括网络适配器和以太网交换机。

网络硬件最佳实践

在要求运行时间和冗余的服务器环境中，建议配置多个网卡以允许服务器环境中的

本文来源：https://www.bwwdw.com/article/meb2.html