Exporter (0) Imprimer
Développer tout

Installation et configuration de l'initiateur Microsoft iSCSI

Mis à jour: octobre 2009

S'applique à: Windows Server 2008 R2

L'initiateur Microsoft iSCSI est installé en mode natif sur les systèmes Windows Server 2008 R2, Windows 7, Windows Server 2008 et Windows Vista. Sur ces systèmes d'exploitation, aucune étape d'installation n'est requise.

noteRemarque
Le démarrage d'un ordinateur à l'aide de l'initiateur de démarrage Microsoft iSCSI est uniquement pris en charge dans les systèmes d'exploitation Windows Server.

Pour plus d'informations sur l'installation de l'initiateur Microsoft iSCSI sur Windows Server 2003 ou Windows XP, voir Initiateur Microsoft iSCSI version 2.08 (éventuellement en anglais) sur le site Web Microsoft (http://go.microsoft.com/fwlink/?LinkID=44352).

Sécurité

L'initiateur Microsoft iSCSI prend en charge l'utilisation et la configuration du protocole CHAP (Challenge Handshake Authentication Protocol) et IPsec (Internet Protocol Security). Tous les adaptateurs de bus hôte iSCSI pris en charge prennent également en charge Le protocole CHAP ; cependant, certains pourraient ne pas prendre en charge IPsec.

CHAP

Le protocole CHAP sert à authentifier l'homologue d'une connexion. Il est basé sur le partage d'un mot de passe ou d'un secret entre homologues. L'initiateur Microsoft iSCSI prend en charge le protocole CHAP unidirectionnel et mutuel. Le modèle d'utilisation qu'adopte implicitement l'initiateur Microsoft iSCSI veut que chaque cible puisse avoir son propre secret CHAP pour le protocole CHAP unidirectionnel, et que l'initiateur possède un secret unique pour le protocole CHAP mutuel avec toutes les cibles. L'initiateur Microsoft iSCSI peut assurer la persistance du secret CHAP cible pour chaque cible à l'aide de la commande iscsicli AddTarget.

Le secret est chiffré avant la persistance pour restreindre l'accès au seul service de l'initiateur Microsoft iSCSI. Si le secret de la cible est conservé, il n'a pas à être fourni à chaque tentative de connexion. Une application de gestion, telle que l'interface utilisateur graphique dans l'initiateur Microsoft iSCSI, peut fournir le secret CHAP cible à chaque tentative d'ouverture de session. Pour les cibles persistantes, le secret CHAP cible est conservé avec les autres informations utilisées pour se connecter sur la cible. Le secret CHAP cible de chaque cible persistante qui est affecté au pilote en mode noyau dans l'initiateur Microsoft iSCSI est également chiffré avant d'être conservé.

CHAP impose que l'initiateur Microsoft iSCSI ait un nom d'utilisateur et un secret pour fonctionner. Le nom d'utilisateur CHAP est généralement passé à la cible, puis la cible recherche le secret pour ce nom d'utilisateur dans sa table privée. Par défaut, l'initiateur Microsoft iSCSI utilise le nom complet iSCSI (IQN) comme nom d'utilisateur CHAP. Mais il est également possible de passer un nom d'utilisateur CHAP à la demande d'ouverture de session. Notez que le pilote en mode noyau dans l'initiateur Microsoft iSCSI impose une limite de 223 caractères pour le nom d'utilisateur CHAP.

Pour plus d'informations sur le protocole CHAP, voir le site Web Microsoft (éventuellement en anglais) à l'adresse http://go.microsoft.com/fwlink/?LinkId=159074.

IPsec

IPsec est un protocole qui assure l'authentification et le chiffrement de données sur la couche des paquets. Le protocole IKE (Internet Key Exchange) est utilisé entre homologues pour permettre à ces derniers de s'authentifier mutuellement et de négocier le chiffrement des paquets et les mécanismes d'authentification à utiliser pour la connexion.

Comme l'initiateur Microsoft iSCSI utilise la pile TCP/IP de Windows, il peut employer toutes les fonctionnalités disponibles dans cette pile. Pour l'authentification, cela inclut les clés prépartagées, le protocole Kerberos et les certificats. Active Directory est utilisé pour distribuer les filtres IPsec aux ordinateurs exécutant l'initiateur Microsoft iSCSI. 3DES et HMAC-SHA1 sont pris en charge, en plus des modes de tunnels et de transport.

Comme une pile TCP/IP est incorporée dans un adaptateur de bus hôte iSCSI, cet adaptateur peut mettre en œuvre IPsec et IKE et la fonctionnalité disponible y est donc variable. Au minimum, il prend en charge les clés prépartagées, ainsi que 3DES et HMAC-SHA1. L'initiateur Microsoft iSCSI a une API commune servant à configurer IPsec pour l'initiateur Microsoft iSCSI et les adaptateurs de bus hôte iSCSI.

Pour plus d'informations sur IPsec, voir le site Web Microsoft (éventuellement en anglais) à l'adresse http://go.microsoft.com/fwlink/?LinkId=159075.

Meilleures pratiques applicables à l'initiateur Microsoft iSCSI

Les meilleures pratiques suivantes sont recommandées pour la configuration de l'initiateur Microsoft iSCSI :

  • Déployez sur un réseau rapide (un réseau GigE ou plus rapide).

  • Garantissez la sécurité physique.

  • Utilisez des mots de passe forts pour tous les comptes.

  • Utilisez l'authentification CHAP car elle garantit que chaque hôte a son propre mot de passe. L'authentification CHAP mutuelle est également recommandée.

  • Utilisez iSNS pour découvrir les cibles iSCSI et gérer l'accès à celles-ci.

noteRemarque
Utilisez Microsoft MultiPath IO (MPIO) pour gérer les chemins d'accès multiples au stockage iSCSI. Microsoft ne prend pas en charge la configuration en équipe entre cartes réseau utilisées pour établir une connexion à des périphériques de stockage iSCSI.

Meilleures pratiques relatives aux performances des groupes de stockage

Vous pouvez garantir que votre groupe de stockage est optimisé pour garantir les meilleures performances pour votre charge de travail. Nous recommandons de choisir les groupes iSCSI qui incluent des fonctionnalités et un cache RAID. Lorsque vous configurez des versions de Microsoft Exchange Server avec d'autres applications d'E/S sensibles à la latence, il est particulièrement important de conserver les disques Microsoft Exchange Server dans un pool séparé sur le groupe. Pour plus d'informations et connaître les meilleures pratiques concernant l'utilisation d'Exchange Server avec iSCSI, voir le programme Microsoft ESRP (Exchange Solution Reviewed Program) (page éventuellement en anglais) (http://go.microsoft.com/fwlink/?LinkId=154595).

Pour des applications n'ayant pas d'exigences de faible latence et d'IOPS élevés, les réseaux de stockage pour l'initiateur Microsoft iSCSI peuvent être implémentés sur des liaisons SAN ou WAN, qui permettent une distribution étendue. L'initiateur Microsoft iSCSI élimine les barrières conventionnelles des réseaux de stockage, permettant aux entreprises d'accéder aux données à l'échelle mondiale, et contribue à garantir une protection en cas d'urgence la plus robuste possible. Pour optimiser les performances, nous recommandons l'utilisation d'iSCSI sur un réseau dédié au trafic iSCSI.

Suivez les directives de meilleures pratiques des fournisseurs applicables aux groupes de stockage pour configurer les délais d'expiration de l'initiateur Microsoft iSCSI.

Meilleures pratiques en matière de sécurité

Le protocole dans l'initiateur Microsoft iSCSI a été mis en œuvre de façon à garantir la sécurité. Outre la séparation des réseaux SAN iSCSI du trafic de réseau local, les méthodes de sécurité suivantes sont disponibles lors de l'utilisation de l'initiateur Microsoft iSCSI :

  • Protocole CHAP unidirectionnel et mutuel

  • IPsec

  • Contrôle d'accès

Le contrôle d'accès à un numéro d'unité logique spécifique est configuré sur la cible iSCSI à partir de l'hôte Windows avant l'ouverture de session. Ce mécanisme est également qualifié de masquage de numéros d'unités logiques.

L'initiateur Microsoft iSCSI prend en charge le protocole CHAP unidirectionnel et mutuel, en complément d'IPsec. Conformément aux standards iSCSI, IPsec est utilisé pour le chiffrement et CHAP pour l'authentification. L'échange de clé pour les communications chiffrées est assuré par les fonctions IKE (Internet Key Exchange Security) de Windows. L'initiateur Microsoft iSCSI a une API commune servant à configurer l'initiateur et les adaptateurs de bus hôte iSCSI.

Meilleures pratiques applicables à la mise en réseau

Les meilleures pratiques suivantes sont recommandées pour la mise en réseau lors de l'utilisation de l'initiateur Microsoft iSCSI :

  • Utilisez des commutateurs non bloquants, et définissez Configurer la vitesse du port réseau à une valeur spécifique plutôt que d'autoriser la négociation de la vitesse.

  • Désactivez le contrôle « unicast storm ». Ce contrôle est désactivé par défaut sur la plupart des commutateurs. S'il est activé sur votre commutateur, il convient de le désactiver sur les ports qui sont connectés aux hôtes et cibles de l'initiateur Microsoft iSCSI pour éviter la perte de paquets.

  • Utilisez MPIO pour gérer les connexions réseau multiples au stockage dans l'initiateur Microsoft iSCSI. Cela fournit une redondance et une tolérance de panne supplémentaires sur les systèmes d'exploitation Windows Server.

    noteRemarque
    Microsoft ne prend pas en charge l'utilisation de connexions MPIO et MCS au même périphérique. Utilisez soit MPIO soit MCS pour gérer les chemins d'accès au stockage et les stratégies d'équilibrage de charge.

  • Activez le contrôle de flux sur les commutateurs et cartes réseau. Le contrôle de flux garantit qu'un récepteur peut suivre la vitesse de l'émetteur, aspect important pour éviter toute perte de données.

  • Désactivez l'algorithme de l'arbre maximal pour la détection des boucles. La détection des boucles introduit un retard lors de la création d'un port pouvant devenir utilisable pour les transferts de données, et cela peut entraîner des dépassements de délais d'attente d'application.

  • Séparez les trafics SAN et LAN. Les interfaces SAN dans l'initiateur Microsoft iSCSI doivent être séparées de tout autre trafic réseau de l'entreprise (réseau local). Les serveurs doivent utiliser des cartes réseau dédiées pour le trafic SAN. Le déploiement du trafic pour l'initiateur Microsoft iSCSI sur un ou plusieurs réseaux séparés contribue à réduire l'encombrement et la latence du réseau. En outre, le trafic pour l'initiateur Microsoft iSCSI est plus sécurisé lorsque les trafics SAN et LAN peuvent être séparés en utilisant des réseaux locaux virtuels (VLAN) basés sur des ports ou des réseaux physiquement séparés.

  • Configurez des chemins supplémentaires pour une haute disponibilité. Utilisez des connexions MPIO ou des connexions multiples par session (MCS) avec des cartes réseau supplémentaires dans le serveur. Cela crée des connexions supplémentaires au groupe de stockage dans l'initiateur Microsoft iSCSI par des ensembles de commutateurs Ethernet redondants.

  • Déliez le partage des fichiers et des imprimantes des cartes réseau de l'initiateur Microsoft iSCSI qui se connectent uniquement au réseau SAN de l'initiateur Microsoft iSCSI.

  • Utilisez une connexion Ethernet Gigabit ou plus rapide garantissant un accès à grande vitesse au stockage. Les réseaux encombrés ou à faible vitesse peuvent causer des problèmes de latence qui compromettent l'accès entre l'initiateur Microsoft iSCSI et les applications pour les périphériques connectés par l'intermédiaire de l'initiateur Microsoft iSCSI. Dans de nombreux cas, un réseau SAN IP correctement conçu peut fournir de meilleures performances que des disques durs internes. L'initiateur Microsoft iSCSI convient aux implémentations WAN et à faible vitesse, notamment pour la réplication lorsque la latence et la bande passante sont sans importance.

  • Utilisez des cartes réseau de catégorie serveur. Nous vous conseillons d'utiliser des cartes réseau conçues pour la mise en réseau d'entreprise et les applications de stockage.

  • Utilisez des câbles CAT-6 pour des infrastructures de réseau Gigabit. Pour les implémentations 10 Gigabit, un câble CAT-6a ou CAT-7 est généralement requis dans le cas d'une utilisation impliquant des distances supérieures à 55 mètres.

  • Utilisez des trames étendues si l'infrastructure de votre réseau les prend en charge. Les trames étendues peuvent être utilisées pour permettre de transférer plus de données avec chaque transaction Ethernet et de réduire ainsi le nombre de trames. Cette taille de trames plus grande réduit la charge de vos serveurs et cibles iSCSI. Pour une prise en charge de bout en bout, chaque périphérique du réseau doit prendre en charge les trames étendues, notamment la carte réseau et les commutateurs Ethernet.

Meilleures pratiques applicables au matériel de mise en réseau

Dans un environnement de serveurs où la continuité du service et la redondance sont requises, nous vous recommandons de configurer plusieurs cartes réseau pour y permettre la redondance. Cette section présente des connexions réseau qui ont généralement des besoins de gestion différents :

Connexion réseau iSCSI   Le réseau de données iSCSI est généralement connecté à un segment de réseau différent du réseau utilisé pour l'accès client. Pour assurer la redondance de cette connexion, nous recommandons d'utiliser deux ports ou plus sur les deux cartes réseau. Ces connexions doivent être gérées par MPIO pour en assurer la redondance et, selon la configuration, un débit accru.

Réseau d'accès client   Le réseau d'accès client est un port de réseau qui utilise un segment de réseau dédié à l'accès client sur le serveur. Par exemple, les clients utilisent ce réseau pour se connecter à un serveur de fichiers, Exchange Server ou SQL Server. Pour la redondance des ports de cartes réseau, la configuration en équipe de cartes réseau peut être employée pour assurer la redondance entre plusieurs cartes réseau et, dans certaines configurations, fournir un débit plus élevé.

Réseau de gestion   Un réseau de gestion est généralement un segment de réseau isolé utilisé pour la gestion des serveurs. Dans certaines configurations, il peut être utilisé pour les travaux de sauvegarde afin d'éviter tout impact sur les réseaux de données ou d'accès client.

En plus des trois types de réseau décrits dans les paragraphes précédents, dans le cas d'une configuration WSFC (Windows Server Failover Cluster), un réseau supplémentaire est requis pour le trafic de pulsations de clusters. Ce réseau est dédié au trafic de pulsations de clusters, et n'est pas utilisé pour tout autre type de trafic défini précédemment.

Un exemple de configuration est présenté dans le tableau suivant.

 

Configuration du serveur Recommandation

Serveur autonome (pas en clusters)

Six ports réseau sur un minimum de deux cartes.

Configurez deux ports pour l'accès client (en utilisant la configuration en équipe entre cartes) et deux ports pour la connectivité iSCSI au stockage (en utilisant MPIO pour la redondance).

Configurez une interface réseau pour la gestion du système et une autre interface pour les sauvegardes système.

Cluster de basculement de Windows Server

Six ports réseau sur un minimum de trois cartes réseau.

Configurez de la manière indiquée ci-dessus, et ajoutez au moins un port dédié au trafic de pulsations de clusters.

Si possible, les ports de cartes réseau doivent être connectés à différents commutateurs réseau pour permettre la redondance en cas de problème au niveau d'un commutateur réseau, comme le montre la figure suivante :

 

3330ea3b-2827-41b3-be29-f5ef89155ee6

 

Figure 3   Redondance de commutateur réseau

La figure précédente illustre une configuration matérielle de réseau avec un niveau de redondance de base. Dans les scénarios où des niveaux plus élevés de tolérance de panne sont requis, des connexions supplémentaires peuvent être configurées, comme le montre la figure suivante. Les lignes vertes et bleues représentent des niveaux supplémentaires de tolérance de panne réseau.

 

62a0e005-68d0-4d27-a35a-afda13f5568c

 

Figure 4   Configuration matérielle avec des connexions supplémentaires

Configuration de pare-feu plus simple pour Windows Server 2008 R2 et Windows 7

L'utilitaire de ligne de commande iSCSICLI permet d'autoriser directement l'utilisation d'un serveur iSNS (Internet Storage Name Service) à travers le pare-feu. Cependant, vous pouvez toujours le contrôler par l'intermédiaire du Pare-feu Windows avec fonctions avancées de sécurité, si vous le souhaitez.

Pour activer le trafic iSNS pour une utilisation avec l'initiateur Microsoft iSCSI Utilisez la commande suivante pour activer le trafic iSNS à travers le pare-feu. Cela vous permet d'utiliser un serveur iSNS avec l'initiateur Microsoft iSCSI local :

iscsicli FirewallExemptiSNSServer

Connexion à un périphérique cible iSCSI

Suivez la procédure suivante pour établir une connexion de l'ordinateur client qui utilise l'initiateur Microsoft iSCSI à un périphérique cible iSCSI en utilisant la fonction Connexion rapide.

noteRemarque
La fonctionnalité Connexion rapide ne prend pas en charge les types de connexion avancés, tels que les connexions MPIO, CHAP, IPsec ou MCS. Cette fonction est utilisée pour créer rapidement une connexion à un périphérique cible lorsque des paramètres avancés (tels que la prise en charge de MPIO et MCS ou des fonctions de sécurité) ne sont pas nécessaires. Pour plus d'informations sur ces types de connexion, voir Connexion à une cible iSCSI en utilisant les paramètres avancés plus loin dans ce document.

Pour établir une connexion à un périphérique cible iSCSI en utilisant Connexion rapide

  1. Cliquez sur Démarrer, tapez iSCSI dans Rechercher, puis sous Programmes, cliquez sur Initiateur iSCSI.

  2. Sur la page Contrôle de compte d'utilisateur, cliquez sur Continuer.

  3. Si c'est la première fois que vous lancez l'initiateur Microsoft iSCSI, un message indique que le service Microsoft iSCSI ne fonctionne pas. Vous devez démarrer le service pour que l'initiateur Microsoft iSCSI fonctionne correctement. Cliquez sur Oui pour démarrer le service. La boîte de dialogue Propriétés de l'initiateur Microsoft iSCSI s'ouvre, et l'onglet Cibles s'affiche.

  4. Dans l'onglet Cibles, tapez le nom ou l'adresse IP du périphérique cible dans la zone de texte Connexion rapide, puis cliquez sur Connexion rapide. La boîte de dialogue Connexion rapide s'affiche.

  5. Si plusieurs cibles sont disponibles sur le portail cible spécifié, une liste s'affiche. Sélectionnez la cible souhaitée, puis cliquez sur Connecter.

    noteRemarque
    Si une seule cible est disponible, elle est automatiquement connectée.

  6. Cliquez sur Terminé.

noteRemarque
Si le disque dur a déjà été formaté, il est maintenant accessible et prêt à être utilisé. S'il n'a pas déjà été formaté, vous devez le formater et affecter une lettre de lecteur avant d'utiliser le périphérique.

Pour formater le disque dur

  1. Cliquez sur Démarrer, tapez diskmgmt.msc dans Rechercher, puis sous Programmes, cliquez sur diskmgmt.

  2. Sur la page Contrôle de compte d'utilisateur, cliquez sur Continuer. La console Gestion des disques s'affiche.

  3. Si le disque dur n'a pas encore été utilisé, un message vous invite à l'initialiser. Cliquer sur MBR (Master Boot Record), puis sur OK. Dans la console Gestion des disques, le disque connecté pour l'initiateur Microsoft iSCSI est affiché.

  4. Cliquez avec le bouton droit sur le disque dur, puis cliquez sur Nouveau volume simple. L'Assistant Création d'un volume simple s'affiche.

  5. Dans la page Bienvenue, cliquez sur Suivant.

  6. Dans la page Spécifiez la taille du volume, entrez la taille du volume simple, puis cliquez sur Suivant.

  7. Dans la page Affecter une lettre de lecteur ou le chemin d'accès, cliquez sur le lecteur (par exemple, le lecteur D) que vous souhaitez utiliser, puis cliquez sur Suivant.

  8. Dans la page Formater une partition, tapez le nom souhaité pour la nouvelle partition, puis cliquez sur Suivant.

  9. Dans la page Création d'un volume simple, passez en revue le récapitulatif détaillé de la nouvelle partition, puis cliquez sur Terminer.

  10. Pour accéder à la nouvelle partition une fois le formatage terminé, dans la console Gestion des disques, cliquez avec le bouton droit sur la partition, puis cliquez sur Ouvrir. Sinon, vous pouvez utiliser Poste de travail pour accéder à la nouvelle partition qui est connectée par l'intermédiaire de l'initiateur Microsoft iSCSI.

Connexion à un périphérique cible iSCSI en utilisant les paramètres avancés

Pour des connexions avancées à des périphériques cibles iSCSI, telles que celles qui nécessitent les fonctions suivantes, il est impossible de se connecter au périphérique à l'aide de Connexion rapide :

  • MPIO

  • Connexions multiples par session (MCS)

  • Sécurité CHAP, IPsec ou RADIUS

  • Les connexions qui nécessitent des ports TCP spécifiques, ou celles qui imposent la sélection d'une carte réseau spécifique

Pour établir une connexion avancée

  1. Cliquez sur Démarrer, tapez iSCSI dans Rechercher, puis sous Programmes, cliquez sur Initiateur iSCSI.

  2. Sur la page Contrôle de compte d'utilisateur, cliquez sur Continuer.

  3. Si c'est la première fois que vous lancez l'initiateur Microsoft iSCSI, un message indique que le service Microsoft iSCSI ne fonctionne pas. Vous devez démarrer le service pour que l'initiateur Microsoft iSCSI fonctionne correctement. Cliquez sur Oui pour démarrer le service. La boîte de dialogue Propriétés de l'initiateur Microsoft iSCSI s'ouvre, et l'onglet Cibles s'affiche.

  4. Cliquez sur l'onglet Découverte.

  5. Pour ajouter le portail cible, cliquez sur Découvrir un portail, puis dans la boîte de dialogue Découvrir un portail, tapez l'adresse IP ou le nom du portail cible auquel vous souhaitez vous connecter. Si vous le souhaitez, vous pouvez également taper un autre port TCP à utiliser pour la connexion.

    noteRemarque
    Pour entrer des paramètres supplémentaires, par exemple l'adresse IP sortante (lorsque vous utilisez plusieurs cartes réseau), et des paramètres de sécurité (tels que CHAP et RADIUS), cliquez sur Avancé.

  6. Cliquez sur OK.

Cela vous a-t-il été utile ?
(1500 caractères restants)
Merci pour vos suggestions.

Ajouts de la communauté

AJOUTER
Afficher:
© 2014 Microsoft