安装和配置 Microsoft iSCSI 发起程序.docx

安装和配置Microsoft iSCSI发起程序2010-12-31 10:51 TechNet 微软 TechNet 中文站我要评论（0）字号：T | TMicrosoft iSCSI 发起程序本地安装在 Windows Server 2008 R2、Windows 7、Windows Server 2008和Windows Vista上在这些操作系统上，不需要任何安装步骤AD： 2013云计算架构师峰会超低价抢票中Microsoft iSCSI 发起程序本地安装在 Windows Server 2008 R2、Windows 7、 Windows Server 2008和Windows Vista上在这些操作系统上，不需要任何安装步 骤回备注但仅在 Windows Server 操作系统中支持使用 Microsoft iSCSI 启动发起程序启动计算机有关如何在 Windows Server 2003 或 Windows XP 上安装 Microsoft iSCSI 发起 程序的信息，请参阅 Microsoft网站上的 Microsoft iSCSI Initiator版本 2.08（ iSCSI发起程序支持使用和配置质询握手身份验证协议 （CHAP）和 Internet协议安全性（IPsec）。

所有支持的iSCSI HBA也都支持CHAP，而某些可能 不支持IPsecCHAPCHAP是一个用于对连接对等方进行身份验证的协议它基于共享密码或机密的对 等方Microsoft iSCSI发起程序支持单向和相互CHAPMicrosoft iSCSI发起程序 假定的使用模型是每个目标可以拥有其自己的唯一 CHAP机密用于单向CHAP，而发起 程序拥有一个机密用于对所有目标的相互CHAPMicrosoft iSCSI发起程序可以使用 iscsicli命令AddTarget为每个目标持续保留目标CHAP机密在持续将访问仅限于Microsoft iSCSI发起程序服务之前对机密进行加密如果已持续保留目标机密，则不需要在每次登录尝试时都进行传递管理应用程序（如 Microsoft iSCSI发起程序中的图形用户界面）可以在每次登录尝试时都传递目标 CHAP机密对于永久性目标，将持续保留目标CHAP机密以及用于登录到该目标的其 他信息在持续保留之前，也对分配给Microsoft iSCSI发起程序中内核模式驱动程 序的每个永久性目标的目标CHAP机密进行加密CHAP要求Microsoft iSCSI发起程序具有一个用于操作的用户名和机密。

通常， 将CHAP用户名传递给目标，然后目标在其专用表中查找用于该用户名的机密默认情 况下，Microsoft iSCSI发起程序将iSCSI限定名称（IQN）用作CHAP用户名可以 通过将CHAP用户名传递给登录请求将其覆盖注意，Microsoft iSCSI发起程序中的 内核模式驱动程序将CHAP用户名限制为223个字符有 关 CHAP 的 详 细 信 息， 请 参 阅 上的 Microsoft 网站（可能为英 文网页）IPsecIPsec是一种在IP数据包层提供身份验证和数据加密的协议在对等端之间使用 Internet密钥交换（IKE）协议，以允许对等端彼此进行身份验证以及协商将用于连接 的数据包加密和身份验证机制由于Microsoft iSCSI发起程序使用Windows TCP/IP堆栈，因此它可以使用 Windows TCP/IP堆栈中所有可用的功能对于身份验证，它包括预共享密钥、Kerberos 协议和证书使用Active Directory将IPsec筛选器分发给运行Microsoft iSCSI 发起程序的计算机除了隧道和传输模式之外，还支持3DES和HMAC-SHA1。

由于iSCSI HBA在适配器中嵌入了一个TCP/IP堆栈，而iSCSI HBA可以实现 IPsec和IKE，因此iSCSI HBA上可用的功能可能有所不同它至少支持预共享密钥、 3DES和HMAC-SHA1Microsoft iSCSI发起程序有一个通用的API，它用于为 Microsoft iSCSI 发起程序和 iSCSI HBA 配置 IPsec有 关 IPsec 的 详 细 信 息， 请 参 阅 上的 Microsoft 网站（可能为英 文网页）Microsoft iSCSI发起程序最佳实践下面是建议用于Microsoft iSCSI发起程序配置的最佳实践：部署在快速网络（GigE或速度更快的网络）上确保物理安全对所有帐户使用强密码使用CHAP身份验证，因为它确保每个主机都拥有其自己的密码也建议使用相互 CHAP身份验证使用iSNS发现和管理对iSCSI目标的访问可备注 使用Microsoft多路径IO （MPIO）管理到iSCSI存储的多个路径Microsoft不支持在用于 连接到基于iSCSI的存储设备的网络适配器上成组 存储阵列性能最佳实践应该确保优化存储阵列以实现负载的最佳性能。

建议选择包含RAID功能和缓存的 iSCSI阵列如果您配置的Microsoft Exchange Server版本具有对延迟敏感的其他 I/O应用程序，则将Microsoft Exchange Server磁盘保留在阵列上单独的池中，这 一点尤其重要有关结合使用Exchange Server和iSCSI的最佳实践的详细信息，请 参 阅 Microsoft Exchange 解决方 案 检 杳 程 序 （ Microsoft iSCSI发起程序的存储网络，这允许全局分发Microsoft iSCSI发起程序 消除了存储网络的传统界线，使企业能够访问全球数据并且帮助确保最强大的灾难保 护为了最大程度地提高性能，建议您在网络上使用专用于iSCSI通信的iSCSI遵循供应商关于存储阵列的最佳实践原则来配置 Microsoft iSCSI发起程序超时安全最佳实践Microsoft iSCSI发起程序中的协议的实现兼顾了安全性除了将iSCSI SAN与LAN通信隔离之外，还可以通过以下安全方法使用Microsoft iSCSI发起程序：单向和相互CHAPIPsec访问控制在登录之前，通过Windows主机在iSCSI目标上配置对特定LUN的访问控制。

这也称为LUN掩码除了 IPsec之外，Microsoft iSCSI发起程序还支持单向和相互 CHAP根据 iSCSI标准，使用IPsec进行加密，使用CHAP进行身份验证加密通信的密钥交换 提供Windows Internet密钥交换安全功能Microsoft iSCSI发起程序具有一个通用 的API，可以使用该API来配置发起程序和iSCSI HBA网络最佳实践以下是使用Microsoft iSCSI发起程序时建议用于网络的最佳实践：使用非阻止交换机，并将“配置网络端口速度”设置为特定的值，而不是允许速度协商禁用单播风暴控制默认情况下，大多数交换机都禁用单播风暴控制如果您的交 换机启用了单播风暴控制，则应该在连接到Microsoft iSCSI发起程序主机和目标的 端口上禁用它以避免丢失数据包使用MPIO管理与Microsoft iSCSI发起程序中的存储的多个网络连接这为 Windows Server操作系统提供了额外的冗余和容错」备注Microsoft不支持将MPIO和MCS连接用于同一设备使用MPIO或MCS来管理存储路径和 负载平衡策略在网络交换机和适配器上启用流控制流控制可确保接收方能调整发送方的速度，这对于避免数据丢失非常重要。

禁用用于检测循环的跨树算法循环检测在创建端口时引入了延迟，这对数据传输 来说可能非常有用，并且它可以导致应用程序超时将SAN和LAN通信隔离应该将Microsoft iSCSI发起程序中的SAN接口与其 他企业网络通信（LAN）分离服务器应该使用专用的网络适配器进行SAN通信在单 独的网络上为Microsoft iSCSI发起程序部署通信有助于最大程度地减少网络拥塞和 延迟此外，使用基于端口的虚拟局域网（VLAN）或物理分离的网络将SAN和LAN通 信分离时，Microsoft iSCSI发起程序的通信更加安全配置其他路径的高可用性对服务器中的其他网络适配器使用MPIO或每个会话多 个连接（MCS）这会通过冗余的以太网交换构造创建与Microsoft iSCSI发起程序中 存储阵列的其他连接解除仅连接到Microsoft iSCSI发起程序SAN的Microsoft iSCSI发起程序网 络适配器中的“文件和打印共享”使用Gigabit或速度更快的以太网连接以便对存储进行高速访问阻塞或速度较 低的网络可能会引起延迟问题，对于通过Microsoft iSCSI发起程序连接的设备，这 会中断Microsoft iSCSI发起程序和应用程序之间的访问。

很多情况下，正确设计的 IP SAN可以提供比内部硬盘驱动器更高的性能Microsoft iSCSI发起程序适合WAN 和速度较低的实现，包括不考虑延迟和带宽的复制使用服务器级网络适配器建议使用为企业网络和存储应用程序设计的网络适配 器对Gigabit网络基础结构使用等级为CAT-6的电缆对于10 Gigabit的实现， 超过55米的距离通常需要使用CAT-6a或CAT-7电缆使用Jumbo帧（如果网络基础结构支持）可以使用Jumbo帧来允许通过每个以 太网事务传输更多数据并减少帧数更大的帧减少了在服务器和iSCSI目标方面的开 销对于端到端支持，网络中的每个设备都需要支持Jumbo帧，包括网络适配器和以 太网交换机网络硬件最佳实践在要求运行时间和冗余的服务器环境中，建议配置多个网卡以允许服务器环境中的冗余本部分讨论通常具有不同管理要求的网络连接：iSCSI网络连接 通常，将iSCSI数据网络连接到与用于客户端访问的网络不 同的网段要为该连接提供冗余，建议在两个网络适配器上使用两个或多个端口这些 连接应该由MPIO管理，用于为连接提供冗余，并且提高吞吐量（取决于配置）客户端访问网络 客户端访问网络是一个使用专门用于客户端访问服务器的网段 的网络端口。

例如，客户端使用该网络连接到文件服务器、Exchange Server或SQL Server对于网络适配器端口冗余，可以利用网络适配器成组来跨两个或多个网络端口 提供冗余，在某些配置中，这会提高吞吐量管理网络 通常，管理网络是一个孤立的网段，用于进行服务器管理在某些配 置中，它还可以用于备份作业，以避免影响数据或客户端访问网络除了以上段落中描述的三种网络类型之外，在 Windows Server故障转移群集 （WSFC）配置中，群集检测信号通信还需要另一种网络该网络专用于群集检测信号通 信，不用于以前定义的任何其他类型的通信下表显示了配置示例：服务器配置建议独立服务器（非群集）六个网络端口至少跨。