CHAP とは、接続のピアを認証するために使用されるプロトコルです。パスワードまたはシークレットを共有するピアに基づいています。Microsoft iSCSI イニシエーターでは、一方向および相互の CHAP をサポートしています。Microsoft iSCSI イニシエーターの前提となる使用モデルでは、各ターゲットは一方向 CHAP に対してそれぞれ一意の CHAP シークレットを持つことができ、イニシエーターはすべてのターゲットとの相互 CHAP に対して 1 つのシークレットを持ちます。Microsoft iSCSI イニシエーターは、iscsicli コマンド AddTarget を使用することで、各ターゲットに対してターゲット CHAP シークレットを保持できます。

Microsoft iSCSI イニシエーター サービスへのアクセスのみを制限する場合、シークレットは暗号化されてから保持されます。ターゲット シークレットを保持しておけば、各ログオンの実行時に、そのシークレットを渡す必要がなくなります。これに対し、Microsoft iSCSI イニシエーターのグラフィカル ユーザー インターフェイスなどの管理アプリケーションでは、各ログオンの実行時に、ターゲット CHAP シークレットを渡すことができます。永続ターゲットでは、ターゲット CHAP シークレットは、ターゲットへのログオンで使用されるその他の情報と共に保持されます。Microsoft iSCSI イニシエーターのカーネル モード ドライバーに割り当てられる各永続ターゲットのターゲット CHAP シークレットも、暗号化されてから保持されます。

CHAP では、Microsoft iSCSI イニシエーターは操作に必要なユーザー名とシークレットを持っていることが要求されます。通常、CHAP ユーザー名はターゲットに渡され、ターゲットはプライベート テーブルでそのユーザー名に対する CHAP シークレットを検索します。既定では、Microsoft iSCSI イニシエーターは iSCSI 修飾名 (IQN) を CHAP ユーザー名として使用します。ログイン要求に CHAP ユーザー名を渡すと、この既定の動作よりも優先され、渡した CHAP ユーザー名が使用されます。Microsoft iSCSI イニシエーターのカーネル モード ドライバーでは、CHAP ユーザー名について 223 文字までの制限があることに注意してください。

CHAP の詳細については、Microsoft Web サイト (http://go.microsoft.com/fwlink/?LinkId=159074) を参照してください。

インターネット プロトコル セキュリティ (IPsec) は、IP パケット レイヤーでの認証とデータ暗号化を提供するプロトコルです。インターネット キー交換 (IKE) プロトコルは、ピアの間で使用され、ピアが相互に認証を行い、接続に使用するパケット暗号化と認証メカニズムをネゴシエートできるようにします。

Microsoft iSCSI イニシエーターは Windows TCP/IP スタックを使用するので、Windows TCP/IP スタックで利用可能なすべての機能を使用できます。認証の場合、利用可能な機能には、事前共有キー、Kerberos プロトコル、および証明書があります。Active Directory を使用して、Microsoft iSCSI イニシエーターを実行しているコンピューターに IPsec フィルターを配布できます。トンネルおよびトランスポート モードに加えて、3DES と HMAC-SHA1 もサポートされます。

iSCSI HBA ではアダプター内に TCP/IP スタックが埋め込まれているので、iSCSI HBA は IPsec および IKE を実装できます。このため、iSCSI HBA で使用できる機能が異なる場合があります。少なくとも、事前共有キー、3DES、および HMAC-SHA1 はサポートされます。Microsoft iSCSI イニシエーターには、Microsoft iSCSI イニシエーター用 IPsec および iSCSI HBA 用 IPsec を構成する場合に使用される共通の API があります。

IPsec の詳細については、Microsoft Web サイト (http://go.microsoft.com/fwlink/?LinkId=159075) を参照してください。

記憶域アレイが最適化されており、作業負荷に対して最高のパフォーマンスが実現されることを確認してください。RAID 機能とキャッシュを備えた iSCSI アレイを選択することをお勧めします。待機時間に反応する他の I/O アプリケーションと共に複数の Microsoft Exchange Server を構成する場合、Microsoft Exchange Server のディスクをアレイ上の個別のプールに保持することが特に重要になります。iSCSI で Exchange Server を使用するためのベスト プラクティスの詳細については、「Microsoft Exchange Solution Reviewed Program (Microsoft Exchange Solution Reviewed Program に関するページ)」(http://go.microsoft.com/fwlink/?LinkId=154595) を参照してください。

短い待機時間や高い IOPS の要件を持たないアプリケーションの場合、Microsoft iSCSI イニシエーター用の記憶域ネットワークは SAN または WAN リンク上に実装できます。これによりグローバル配布が可能になります。Microsoft iSCSI イニシエーターでは、記憶域ネットワークについて従来の境界が使用されなくなるため、業務を行う際に世界中のデータにアクセスできるようになります。また、最も堅牢な障害対策を実現することができます。パフォーマンスを最大限に高めるには、iSCSI トラフィック専用のネットワーク上で iSCSI を使用することをお勧めします。

Microsoft iSCSI イニシエーターのタイムアウトを構成する場合は、記憶域アレイに関するベンダーのベスト プラクティスのガイドラインに従ってください。

Microsoft iSCSI イニシエーターのプロトコルは、セキュリティを考慮して実装されました。iSCSI SAN を LAN トラフィックから分離することだけではなく、Microsoft iSCSI イニシエーターを使用することで、次のセキュリティ メソッドが利用できるようになります。

• 一方向および相互の CHAP
  
  
• IPsec
  
  
• アクセス制御
  
  

ログオンの前に、特定の LUN に対するアクセス制御が、Windows ホストから iSCSI ターゲット上に構成されます。これは、LUN マスキングと呼ばれることもあります。

Microsoft iSCSI イニシエーターでは、IPsec だけでなく一方向および相互の CHAP もサポートしています。iSCSI 標準に従って、IPsec は認証用の暗号化と CHAP に使用されます。暗号化された通信のキー交換では、Windows インターネット キー交換セキュリティ機能を利用できます。Microsoft iSCSI イニシエーターには、イニシエーターと iSCSI HBA を構成する場合に使用される共通の API があります。

次のベスト プラクティスは、Microsoft iSCSI イニシエーターを使用する際のネットワークの構築で推奨されます。

• 非ブロック スイッチを使用し、ネットワーク ポート速度の構成を速度のネゴシエーションを許可しない特定の値に設定します。
  
  
• ユニキャスト ストーム制御を無効にします。ほとんどのスイッチでは、ユニキャスト ストーム制御が既定で無効になっています。使用しているスイッチでユニキャスト ストーム制御が有効になっている場合は、Microsoft iSCSI イニシエーターのホストとターゲットに接続されているポート上でこの制御を無効にして、パケットの損失を回避してください。
  
  
• MPIO を使用して、Microsoft iSCSI イニシエーターの記憶域に対する複数のネットワーク接続を管理します。これにより、Windows Server オペレーティング システムに対して冗長性が追加され、フォールト トレランスが実現されます。
  
  

  メモ
  Microsoft では、同じデバイスに MPIO 接続と MCS 接続の両方を使用することはサポートしていません。記憶域ポリシーおよび負荷分散ポリシーへのパスの管理には、MPIO または MCS のいずれかを使用してください。

• ネットワーク スイッチとネットワーク アダプターでフロー制御を有効にします。フロー制御を使用すると受信側は送信側の速度を制御できます。フロー制御はデータの損失を防ぐための重要な機能です。
  
  
• ループを検出するためのスパニング ツリー アルゴリズムを無効にします。ループの検出によって、データ転送に使用できるポートの作成で遅延が発生します。また、アプリケーションのタイムアウトの原因にもなります。
  
  
• SAN と LAN トラフィックを分離します。Microsoft iSCSI イニシエーターの SAN インターフェイスを、他の企業ネットワーク トラフィック (LAN) から分離します。サーバーでは、SAN トラフィック専用のネットワーク アダプターを使用してください。Microsoft iSCSI イニシエーターのトラフィックを個別のネットワークに展開することによって、ネットワークの混雑状態や待機時間を最小限に抑えることができます。また、ポート ベースの仮想ローカル エリア ネットワーク (VLAN) または物理的に分けられたネットワークを使用して、SAN と LAN のトラフィックを分離すると、Microsoft iSCSI イニシエーターのトラフィックは、より安全なものとなります。
  
  
• 高可用性を実現するために追加のパスを構成します。サーバーで追加のネットワーク アダプターを利用し、MPIO またはセッションごとの複数接続 (MCS) を使用します。これにより、冗長化されたイーサネット スイッチ ファブリックを介して、Microsoft iSCSI イニシエーターの記憶域アレイに対する追加の接続が作成されます。
  
  
• Microsoft iSCSI イニシエーター SAN にのみ接続する Microsoft iSCSI イニシエーター ネットワーク アダプターから、ファイルとプリンターの共有のバインドを解除します。
  
  
• 記憶域へ高速でアクセスするためにギガビット以上のイーサネット接続を使用します。混雑したネットワークや低速なネットワークでは、待機時間の問題が発生し、Microsoft iSCSI イニシエーターを経由して接続されているデバイスで、Microsoft iSCSI イニシエーターとアプリケーション間のアクセスが中断される場合があります。多くの場合、適切に設計された IP SAN では、内蔵ハード ディスク ドライブよりも高いパフォーマンスを実現できます。Microsoft iSCSI イニシエーターは、WAN や低速な実装 (待機時間や帯域幅が問題とならないレプリケーションなど) に適しています。
  
  
• サーバー クラスのネットワーク アダプターを使用します。エンタープライズ ネットワークや記憶域アプリケーション用に設計されたネットワーク アダプターの使用をお勧めします。
  
  
• ギガビット ネットワーク インフラストラクチャ用に CAT-6 相当のケーブルを使用します。10 ギガビットの実装では、55 m 以上の距離で使用する場合は、通常 CAT-6a または CAT-7 ケーブルが必要になります。
  
  
• ネットワーク インフラストラクチャがサポートしている場合は、Jumbo Frame を使用します。Jumbo Frame を使用すると、各イーサネット トランザクションとやり取りできるデータ量が多くなり、フレームの数を減らすことができます。このサイズの大きいフレームによって、サーバーと iSCSI ターゲットに対するオーバーヘッドが軽減されます。エンド ツー エンドのサポートでは、ネットワーク内の各デバイスが、ネットワーク アダプターとイーサネット スイッチも対象とした Jumbo Frame をサポートしている必要があります。
  
  

稼働時間と冗長性が要求されるサーバー環境では、サーバー環境での冗長性が許可されるように、複数のネットワーク カードを構成することをお勧めします。ここでは、一般的にはさまざまな管理要件が存在するネットワーク接続について説明します。

iSCSI ネットワーク接続   通常、iSCSI データ ネットワークは、クライアント アクセスに使用されるネットワークとは異なるネットワーク セグメントに接続されます。この接続で冗長性を実現するには、2 つのネットワーク アダプターに 2 つ以上のポートを設定することをお勧めします。これらのポートへの接続は MPIO で管理され、接続の冗長性が実現されます。また、構成によっては、スループットが増加します。

クライアント アクセス ネットワーク   クライアント アクセス ネットワークでは、ネットワーク ポートはサーバーに対するクライアント アクセス専用のネットワーク セグメントを使用します。たとえば、クライアントは、ファイル サーバー、Exchange Server、または SQL Server に接続する場合に、このネットワークを使用します。ネットワーク アダプターのポートの冗長性が必要な場合は、ネットワーク アダプターのチーム化を利用することで、2 つ以上のネットワーク ポートに対して冗長性を実現することができます。また、構成によっては、スループットが増加します。

管理ネットワーク   通常、管理ネットワークは分離されたネットワーク セグメントであり、サーバーの管理に使用されます。構成によっては、管理ネットワークをバックアップ ジョブで使用して、データやクライアント アクセス ネットワークに対する影響を防ぐことができます。

Windows Server Failover Cluster (WSFC) 構成の場合、上で説明した 3 種類のネットワーク以外にも、クラスター ハートビート トラフィック用に追加のネットワークが必要になります。このネットワークはクラスター ハートビート トラフィック専用であり、既に定義されている他の種類のトラフィックには使用されません。

構成の例を次の表に示します。

 

サーバーの構成	推奨
スタンドアロン サーバー (クラスター化されていない)	2 つ以上のカードに対して 6 つのネットワーク ポートを設定します。 クライアント アクセス用に 2 つのポート (ネットワークのチーム化を使用)、記憶域に対する iSCSI 接続用に 2 つのポート (冗長性のための MPIO を使用) を構成します。 また、システム管理用に 1 つのネットワーク インターフェイス、およびシステム バックアップ用に 1 つのネットワーク インターフェイスを構成します。
Windows Server Failover Cluster	3 つ以上のネットワーク アダプターに対して 6 つのネットワーク ポートを設定します。 上記と同様に構成し、さらに、クラスター ハートビート トラフィック専用のポートを少なくとも 1 つ追加します。

可能であれば、ネットワーク アダプターの各ポートは異なるネットワーク スイッチに接続して、次の図に示すように、ネットワーク スイッチで問題が発生した場合の冗長性に備えてください。

 

 

図 3   ネットワーク スイッチの冗長性

上の図は、冗長性の基本レベルを使用したネットワーク ハードウェア構成を示しています。よりレベルの高いフォールト トレランスを必要とするシナリオでは、次の図に示すように、追加の接続を構成できます。緑と青の線は、ネットワーク フォールト トレランスの追加のレベルを示しています。

 

 

図 4   追加の接続を使用したハードウェア構成

1. [スタート] ボタンをクリックし、[検索の開始] に「iSCSI」と入力して、[プログラム] の [iSCSI イニシエーター] をクリックします。

2. [ユーザー アカウント制御] ページで [続行] をクリックします。

3. Microsoft iSCSI イニシエーターを初めて起動した場合であれば、Microsoft iSCSI サービスが実行されていないことを示すメッセージが表示されます。Microsoft iSCSI イニシエーターが適切に実行されるように、サービスを開始する必要があります。サービスを開始するには [はい] をクリックします。[Microsoft iSCSI イニシエーターのプロパティ] ダイアログ ボックスが開き、[ターゲット] タブが表示されます。

4. [ターゲット] タブで、[クイック接続] ボックスにターゲット デバイスの名前または IP アドレスを入力し、[クイック接続] をクリックします。[クイック接続] ダイアログ ボックスが表示されます。

5. 指定されているターゲット ポータルで複数のターゲットが使用できる場合は、一覧が表示されます。目的のターゲットをクリックし、[接続] をクリックします。

   メモ
   使用できるターゲットが 1 つのみの場合は、それが自動的に接続されます。

6. [完了] をクリックします。

1. [スタート] ボタンをクリックし、[検索の開始] に「diskmgmt.msc」と入力して、[プログラム] の [diskmgmt] をクリックします。

2. [ユーザー アカウント制御] ページで [続行] をクリックします。[ディスクの管理] コンソールが表示されます。

3. ハード ディスク ドライブがまだ使用されていない場合は、初期化を求めるメッセージが表示されます。[MBR (マスター ブート レコード)] をクリックして、[OK] をクリックします。[ディスクの管理] コンソールに、Microsoft iSCSI イニシエーター用に接続されているディスクが表示されます。

4. ハード ディスク ドライブを右クリックし、[新しいシンプル ボリューム] をクリックします。新しいシンプル ボリューム ウィザードが表示されます。

5. [新しいシンプル ボリューム ウィザードの開始] ページで、[次へ] をクリックします。

6. [ボリューム サイズの指定] ページで、シンプル ボリュームのサイズを入力し、[次へ] をクリックします。

7. [ドライブ文字またはパスの割り当て] ページで、使用するドライブ (ドライブ D など) をクリックし、[次へ] をクリックします。

8. [パーティションのフォーマット] ページで、必要な新しいパーティションの名前を入力し、[次へ] をクリックします。

9. [新しいシンプル ボリューム ウィザードの完了] ページで、新しいパーティションの詳細を確認し、[完了] をクリックします。

10. フォーマット プロセスの完了時に新しいパーティションにアクセスするには、[ディスクの管理] コンソールでパーティションを右クリックし、[開く] をクリックします。または、[マイ コンピューター] を使用して、Microsoft iSCSI イニシエーターを経由して接続されている新しいパーティションにアクセスできます。

1. [スタート] ボタンをクリックし、[検索の開始] に「iSCSI」と入力して、[プログラム] の [iSCSI イニシエーター] をクリックします。

2. [ユーザー アカウント制御] ページで [続行] をクリックします。

3. Microsoft iSCSI イニシエーターを初めて起動した場合であれば、Microsoft iSCSI サービスが実行されていないことを示すメッセージが表示されます。Microsoft iSCSI イニシエーターが適切に実行されるように、サービスを開始する必要があります。サービスを開始するには [はい] をクリックします。[Microsoft iSCSI イニシエーターのプロパティ] ダイアログ ボックスが開き、[ターゲット] タブが表示されます。

4. [探索] タブをクリックします。

5. ターゲット ポータルを追加するには、[ポータルの探索] をクリックし、[ポータルの探索] ダイアログ ボックスで接続先のターゲット ポータルの IP アドレスまたは名前を入力します。必要に応じて、接続に使用する代替 TCP ポートを入力することもできます。

   メモ
   発信 IP アドレス (複数のネットワーク アダプターを使用する場合) やセキュリティ設定 (たとえば CHAP および RADIUS) などの追加の設定を入力するには、[詳細設定] をクリックします。

6. [OK] をクリックします。