有數個 iSCSI 安全性等級可與 SAN 存放管理員一起使用。基本等級是以 Challenge Handshake 驗證通訊協定 (CHAP) 為基礎。CHAP 是用來驗證連線對等,並以共用「機密」(類似於密碼的安全性金鑰) 之對等為基礎的通訊協定。IP 安全性 (IPsec) 是在 IP 封包層實施驗證及資料加密的通訊協定,它提供更高的安全性等級。
 | 重要 |
|
此功能可讓您執行與 iSCSI 設定和管理相關的選取工作子集合。您也可以使用 Microsoft iSCSI 啟動器來執行這些工作和其他工作,此功能包含在 Windows Server 2008 的「系統管理工具」中。此外,網路和存放裝置解決方案廠商會提供類似的工具來執行 iSCSI 設定和管理工作。如需 iSCSI 的相關資訊,請參閱 |
您必須選擇最適合您組織之安全性原則的安全性等級:
-
One-way CHAP authentication。在此安全性等級下,只有目標會驗證啟動器。只對目標設定機密,因此所有想要存取該目標的啟動器需要使用相同的機密,才能利用目標啟動登入工作階段。
-
Mutual CHAP authentication。在此安全性等級下,目標與啟動器會彼此驗證。會針對存放區域網路 (SAN) 中的每一個目標及每一個啟動器設定個別的機密。
-
IPsec。在此安全性等級下,將加密並驗證資料傳輸期間所傳送的所有 IP 封包。有一個公用金鑰設定在所有 IP 入口網站上,以允許所有對等彼此驗證並交涉封包加密。如需相關資訊,請參閱 IPsec (
https://go.microsoft.com/fwlink/?linkid=93520 (可能為英文網頁) )。
 | 注意 |
|
在 iSCSI 啟動器與目標之間最少必須使用單向 CHAP 驗證。 |
 | 附註 |
|
您可以對存放子系統設定的安全性等級取決於硬體製造商而定。並非所有子系統都支援所有 iSCSI 安全性等級。您應該連絡硬體製造商,確認支援的安全性等級。 |
如需 iSCSI 的相關資訊,請參閱
若要完成此程序,至少需要本機 Administrators 群組或等同群組的成員資格。 請參閱有關使用適當帳戶與群組成員資格的詳細資料,網址位於:
 | 管理 iSCSI 安全性 |
於主控台樹狀目錄中,按一下 [LUN 管理]。
按一下 [動作] 窗格中的 [管理 iSCSI 安全性]。
若要設定單向 CHAP 驗證,請在 [管理 iSCSI 安全性] 對話方塊的 [目標] 索引標籤上,設定下列設定:
-
如果您想要對不同目標設定不同的 CHAP 機密,請在目標清單中,選取您要設定 CHAP 機密的目標,然後按一下 [設定密碼]。
- 或 -
若要對目標群組使用相同的 CHAP 機密,請從清單中選取目標,然後按一下 [設定密碼]。
-
在 [設定密碼] 對話方塊中,輸入並確認目標 CHAP 機密。
-
如果您想要自動將新的機密傳遞給本機啟動器,可選擇性地選取 [記憶本機啟動器上的機密]。
-
若要設定新的機密,請按一下 [確定]。
-
如果您想要對不同目標設定不同的 CHAP 機密,請在目標清單中,選取您要設定 CHAP 機密的目標,然後按一下 [設定密碼]。
若要設定相互 CHAP 驗證,首先您必須遵循步驟 3 來設定單向 CHAP 驗證。然後,在 [本機啟動器] 索引標籤上輸入下列設定:
-
輸入並確認本機啟動器的 CHAP 機密。
-
在相互 CHAP 驗證下,啟動器只能夠登入知道啟動器機密的目標。若要與伺服器需要存取的目標共用啟動器機密,請在目標清單中選取您要在啟動器上驗證的每一個目標。
-
若要設定本機啟動器的新機密並與選取的目標共用它,請按一下 [套用機密]。
-
輸入並確認本機啟動器的 CHAP 機密。
若要設定 IPsec,請在 [管理 iSCSI 安全性] 對話方塊的 [入口網站] 索引標籤上,設定下列設定:
-
如果您想要對不同入口網站使用不同 IPsec 金鑰,請在入口網站清單中選取入口網站,並按一下 [設定 IPsec 金鑰]。
- 或 -
若要對入口網站群組使用相同的 IPsec 金鑰,請從清單中選取入口網站,然後按一下 [設定 IPsec 金鑰]。
-
在 [設定 IPsec 金鑰] 對話方塊中,輸入並確認新的 IPsec 金鑰。
-
如果您想要自動將新的金鑰傳遞給本機啟動器,可選擇性地選取 [記憶本機啟動器上的 IPsec 金鑰]。
-
若要設定新的 IPsec 金鑰,請按一下 [確定]。
-
如果您想要對不同入口網站使用不同 IPsec 金鑰,請在入口網站清單中選取入口網站,並按一下 [設定 IPsec 金鑰]。
完成 iSCSI 安全性的設定時,請按一下 [關閉]。