还剩9页未读,继续阅读
本资源只提供10页预览,全部文档请下载后查看!喜欢就下载吧,查找使用更方便
文本内容:
安装和配置MicrosoftiSCSI发起程序2010-12-3110:51TechNet微软TechNet中文站我要评论0字号T|THYPERLINKjavascript:favorBoxopen;INCLUDEPICTUREhttp://images.51cto.com/images/art/newart1012/images/Fav.gif\*MERGEFORMAT\dMicrosoftiSCSI发起程序本地安装在WindowsServer2008R
2、Windows
7、WindowsServer2008和WindowsVista上在这些操作系统上,不需要任何安装步骤AD2013云计算架构师峰会超低价抢票中MicrosoftiSCSI发起程序本地安装在WindowsServer2008R
2、Windows
7、WindowsServer2008和WindowsVista上在这些操作系统上,不需要任何安装步骤备注但仅在WindowsServer操作系统中支持使用MicrosoftiSCSI启动发起程序启动计算机有关如何在WindowsServer2003或WindowsXP上安装MicrosoftiSCSI发起程序的信息,请参阅Microsoft网站上的MicrosoftiSCSIInitiator版本
2.08http://go.microsoft.com/fwlink/LinkID=44352(可能为英文网页)安全性MicrosoftiSCSI发起程序支持使用和配置质询握手身份验证协议CHAP和Internet协议安全性IPsec所有支持的iSCSIHBA也都支持CHAP,而某些可能不支持IPsecCHAPCHAP是一个用于对连接对等方进行身份验证的协议它基于共享密码或机密的对等方MicrosoftiSCSI发起程序支持单向和相互CHAPMicrosoftiSCSI发起程序假定的使用模型是每个目标可以拥有其自己的唯一CHAP机密用于单向CHAP,而发起程序拥有一个机密用于对所有目标的相互CHAPMicrosoftiSCSI发起程序可以使用iscsicli命令AddTarget为每个目标持续保留目标CHAP机密在持续将访问仅限于MicrosoftiSCSI发起程序服务之前对机密进行加密如果已持续保留目标机密,则不需要在每次登录尝试时都进行传递管理应用程序(如MicrosoftiSCSI发起程序中的图形用户界面)可以在每次登录尝试时都传递目标CHAP机密对于永久性目标,将持续保留目标CHAP机密以及用于登录到该目标的其他信息在持续保留之前,也对分配给MicrosoftiSCSI发起程序中内核模式驱动程序的每个永久性目标的目标CHAP机密进行加密CHAP要求MicrosoftiSCSI发起程序具有一个用于操作的用户名和机密通常,将CHAP用户名传递给目标,然后目标在其专用表中查找用于该用户名的机密默认情况下,MicrosoftiSCSI发起程序将iSCSI限定名称IQN用作CHAP用户名可以通过将CHAP用户名传递给登录请求将其覆盖注意,MicrosoftiSCSI发起程序中的内核模式驱动程序将CHAP用户名限制为223个字符有关CHAP的详细信息,请参阅http://go.microsoft.com/fwlink/LinkId=159074上的Microsoft网站(可能为英文网页)IPsecIPsec是一种在IP数据包层提供身份验证和数据加密的协议在对等端之间使用Internet密钥交换IKE协议,以允许对等端彼此进行身份验证以及协商将用于连接的数据包加密和身份验证机制由于MicrosoftiSCSI发起程序使用WindowsTCP/IP堆栈,因此它可以使用WindowsTCP/IP堆栈中所有可用的功能对于身份验证,它包括预共享密钥、Kerberos协议和证书使用ActiveDirectory将IPsec筛选器分发给运行MicrosoftiSCSI发起程序的计算机除了隧道和传输模式之外,还支持3DES和HMAC-SHA1由于iSCSIHBA在适配器中嵌入了一个TCP/IP堆栈,而iSCSIHBA可以实现IPsec和IKE,因此iSCSIHBA上可用的功能可能有所不同它至少支持预共享密钥、3DES和HMAC-SHA1MicrosoftiSCSI发起程序有一个通用的API,它用于为MicrosoftiSCSI发起程序和iSCSIHBA配置IPsec有关IPsec的详细信息,请参阅http://go.microsoft.com/fwlink/LinkId=159075上的Microsoft网站(可能为英文网页)MicrosoftiSCSI发起程序最佳实践下面是建议用于MicrosoftiSCSI发起程序配置的最佳实践部署在快速网络(GigE或速度更快的网络)上确保物理安全对所有帐户使用强密码使用CHAP身份验证,因为它确保每个主机都拥有其自己的密码也建议使用相互CHAP身份验证使用iSNS发现和管理对iSCSI目标的访问备注使用Microsoft多路径IOMPIO管理到iSCSI存储的多个路径Microsoft不支持在用于连接到基于iSCSI的存储设备的网络适配器上成组存储阵列性能最佳实践应该确保优化存储阵列以实现负载的最佳性能建议选择包含RAID功能和缓存的iSCSI阵列如果您配置的MicrosoftExchangeServer版本具有对延迟敏感的其他I/O应用程序,则将MicrosoftExchangeServer磁盘保留在阵列上单独的池中,这一点尤其重要有关结合使用ExchangeServer和iSCSI的最佳实践的详细信息,请参阅MicrosoftExchange解决方案检查程序http://go.microsoft.com/fwlink/LinkId=154595(可能为英文网页)对于没有低延迟或高IOPS要求的应用程序,可以通过SAN或WAN链接实现MicrosoftiSCSI发起程序的存储网络,这允许全局分发MicrosoftiSCSI发起程序消除了存储网络的传统界线,使企业能够访问全球数据并且帮助确保最强大的灾难保护为了最大程度地提高性能,建议您在网络上使用专用于iSCSI通信的iSCSI遵循供应商关于存储阵列的最佳实践原则来配置MicrosoftiSCSI发起程序超时安全最佳实践MicrosoftiSCSI发起程序中的协议的实现兼顾了安全性除了将iSCSISAN与LAN通信隔离之外,还可以通过以下安全方法使用MicrosoftiSCSI发起程序单向和相互CHAPIPsec访问控制在登录之前,通过Windows主机在iSCSI目标上配置对特定LUN的访问控制这也称为LUN掩码除了IPsec之外,MicrosoftiSCSI发起程序还支持单向和相互CHAP根据iSCSI标准,使用IPsec进行加密,使用CHAP进行身份验证加密通信的密钥交换提供WindowsInternet密钥交换安全功能MicrosoftiSCSI发起程序具有一个通用的API,可以使用该API来配置发起程序和iSCSIHBA网络最佳实践以下是使用MicrosoftiSCSI发起程序时建议用于网络的最佳实践使用非阻止交换机,并将“配置网络端口速度”设置为特定的值,而不是允许速度协商禁用单播风暴控制默认情况下,大多数交换机都禁用单播风暴控制如果您的交换机启用了单播风暴控制,则应该在连接到MicrosoftiSCSI发起程序主机和目标的端口上禁用它以避免丢失数据包使用MPIO管理与MicrosoftiSCSI发起程序中的存储的多个网络连接这为WindowsServer操作系统提供了额外的冗余和容错备注Microsoft不支持将MPIO和MCS连接用于同一设备使用MPIO或MCS来管理存储路径和负载平衡策略在网络交换机和适配器上启用流控制流控制可确保接收方能调整发送方的速度,这对于避免数据丢失非常重要禁用用于检测循环的跨树算法循环检测在创建端口时引入了延迟,这对数据传输来说可能非常有用,并且它可以导致应用程序超时将SAN和LAN通信隔离应该将MicrosoftiSCSI发起程序中的SAN接口与其他企业网络通信LAN分离服务器应该使用专用的网络适配器进行SAN通信在单独的网络上为MicrosoftiSCSI发起程序部署通信有助于最大程度地减少网络拥塞和延迟此外,使用基于端口的虚拟局域网VLAN或物理分离的网络将SAN和LAN通信分离时,MicrosoftiSCSI发起程序的通信更加安全配置其他路径的高可用性对服务器中的其他网络适配器使用MPIO或每个会话多个连接MCS这会通过冗余的以太网交换构造创建与MicrosoftiSCSI发起程序中存储阵列的其他连接解除仅连接到MicrosoftiSCSI发起程序SAN的MicrosoftiSCSI发起程序网络适配器中的“文件和打印共享”使用Gigabit或速度更快的以太网连接以便对存储进行高速访问阻塞或速度较低的网络可能会引起延迟问题,对于通过MicrosoftiSCSI发起程序连接的设备,这会中断MicrosoftiSCSI发起程序和应用程序之间的访问很多情况下,正确设计的IPSAN可以提供比内部硬盘驱动器更高的性能MicrosoftiSCSI发起程序适合WAN和速度较低的实现,包括不考虑延迟和带宽的复制使用服务器级网络适配器建议使用为企业网络和存储应用程序设计的网络适配器对Gigabit网络基础结构使用等级为CAT-6的电缆对于10Gigabit的实现,超过55米的距离通常需要使用CAT-6a或CAT-7电缆使用Jumbo帧(如果网络基础结构支持)可以使用Jumbo帧来允许通过每个以太网事务传输更多数据并减少帧数更大的帧减少了在服务器和iSCSI目标方面的开销对于端到端支持,网络中的每个设备都需要支持Jumbo帧,包括网络适配器和以太网交换机网络硬件最佳实践在要求运行时间和冗余的服务器环境中,建议配置多个网卡以允许服务器环境中的冗余本部分讨论通常具有不同管理要求的网络连接iSCSI网络连接通常,将iSCSI数据网络连接到与用于客户端访问的网络不同的网段要为该连接提供冗余,建议在两个网络适配器上使用两个或多个端口这些连接应该由MPIO管理,用于为连接提供冗余,并且提高吞吐量(取决于配置)客户端访问网络客户端访问网络是一个使用专门用于客户端访问服务器的网段的网络端口例如,客户端使用该网络连接到文件服务器、ExchangeServer或SQLServer对于网络适配器端口冗余,可以利用网络适配器成组来跨两个或多个网络端口提供冗余,在某些配置中,这会提高吞吐量管理网络通常,管理网络是一个孤立的网段,用于进行服务器管理在某些配置中,它还可以用于备份作业,以避免影响数据或客户端访问网络除了以上段落中描述的三种网络类型之外,在WindowsServer故障转移群集WSFC配置中,群集检测信号通信还需要另一种网络该网络专用于群集检测信号通信,不用于以前定义的任何其他类型的通信下表显示了配置示例服务器配置建议独立服务器(非群集)六个网络端口至少跨两个卡配置两个用于客户端访问的端口(使用网络成组),两个用于iSCSI与存储连接的端口(使用MPIO提供冗余)配置一个用于系统管理的网络接口,一个用于系统备份的网络接口WindowsServer故障转移群集六个网络端口至少跨三个网络适配器采用上述相同配置,并且至少添加一个专门用于群集检测信号通信的端口如果可能,应该将网络适配器端口连接到不同的网络交换机,以允许在一个网络交换机出现问题时提供冗余,如下图所示图3网络交换机冗余上图描述了具有基本冗余级别的网络硬件配置在需要较高容错级别的方案中,可以配置其他连接,如下图所示绿色和蓝色的直线表示额外的网络容错级别图4具有其他连接的硬件配置便于对WindowsServer2008R2和Windows7进行防火墙配置可以直接通过iSCSICLI命令行实用程序允许通过防火墙使用Internet存储名称服务iSNS服务器但是,如果需要,您仍然可以通过高级安全Windows防火墙控制它启用iSNS通信以便与MicrosoftiSCSI发起程序一起使用使用以下命令通过防火墙启用iSNS通信这允许您将iSNS服务器与本地MicrosoftiSCSI发起程序一起使用iscsicliFirewallExemptiSNSServer连接到iSCSI目标设备完成以下过程以建立一个从使用MicrosoftiSCSI发起程序的客户端计算机到使用快速连接功能的iSCSI目标的连接备注快速连接功能不支持高级连接类型,如MPIO连接、CHAP、IPsec或MCS该功能用于在不需要高级设置(如MPIO和MCS支持或安全功能支持)时快速创建与目标设备的连接有关这些连接类型的信息,请参阅本文档后面的使用高级设置连接到iSCSI目标使用快速连接连接到iSCSI目标设备的步骤单击「开始」,在“开始搜索”中键入iSCSI,然后在“程序”下单击“iSCSI发起程序”在“用户帐户控制”页中,单击“继续”如果这是第一次启动MicrosoftiSCSI发起程序,您会收到一个提示,告知您MicrosoftiSCSI服务未运行必须启动该服务,MicrosoftiSCSI发起程序才能正常运行单击“是”以启动该服务将打开“MicrosoftiSCSI发起程序属性”对话框,并显示“目标”选项卡在“目标”选项卡的“快速连接”文本框中键入目标设备的名称或IP地址,然后单击“快速连接”将显示“快速连接”对话框如果指定的目标门户上有多个目标,则显示列表单击所需的目标,然后单击“连接”备注如果只有一个目标可用,则自动连接该目标单击“完成”备注如果硬盘驱动器之前已进行了格式化,则现在可以对其进行访问并可随时使用如果之前没有对其进行格式化,则必须对其进行格式化并分配一个驱动器号,然后才能使用该设备格式化硬盘驱动器的步骤单击「开始」,在“开始搜索”中键入diskmgmt.msc,然后在“程序”下单击diskmgmt在“用户帐户控制”页中,单击“继续”将显示“磁盘管理”控制台如果以前没有使用过该硬盘驱动器,系统将提示您对其进行初始化单击“MBR主启动记录”,然后单击“确定”在“磁盘管理”控制台中,将显示MicrosoftiSCSI发起程序已连接的磁盘右键单击硬盘驱动器,然后单击“新建简单卷”将显示“新建简单卷向导”在“欢迎使用”页上,单击“下一步”在“指定卷大小”页上输入简单卷大小,然后单击“下一步”在“分配驱动器号和路径”页上,单击要使用的驱动器(例如,驱动器D),然后单击“下一步”在“格式化分区”页上,键入所需的新分区名称,然后单击“下一步”在“正在完成新建简单卷”页上,查看新分区的摘要详细信息,然后单击“完成”若要在完成格式化过程之后访问新分区,请在“磁盘管理”控制台中,右键单击该分区,然后单击“打开”也可以使用“我的电脑”访问通过MicrosoftiSCSI发起程序连接的新分区使用高级设置连接到iSCSI目标对于到iSCSI目标设备的高级连接(例如需要以下功能的连接),无法使用快速连接连接到这些设备MPIO每个会话多个连接MCSCHAP、IPsec或RADIUS安全需要特定TCP端口的连接或需要选择特定网络适配器的连接进行高级连接的步骤单击「开始」,在“开始搜索”中键入iSCSI,然后在“程序”下单击“iSCSI发起程序”在“用户帐户控制”页中,单击“继续”如果这是第一次启动MicrosoftiSCSI发起程序,您会收到一个提示,告知您MicrosoftiSCSI服务未运行必须启动该服务,MicrosoftiSCSI发起程序才能正常运行单击“是”以启动该服务将打开“MicrosoftiSCSI发起程序属性”对话框,并显示“目标”选项卡单击“发现”选项卡若要添加目标门户,请单击“发现门户”,然后在“发现门户”对话框中,键入要连接到的目标门户的IP地址或名称如果需要,还可以键入要用于该连接的备用TCP端口备注若要输入其他设置,如出站IP地址(当使用多个网络适配器时)和安全设置(如CHAP和RADIUS),请单击“高级”单击“确定”。