HOWTO: 使用 PowerShell 删除已分配的 iSCSI 目标
之前 gOxiA 分享了一篇日志“HOWTO: 基于 Windows Server iSCSI 服务创建 RAM Disk ”,由于该方法会导致服务器管理无法正常访问 iSCSI 目标服务器,可能会影响管理员日常操作。
如果您体验完毕可以使用以下 PowerShell 步骤去删除 RAM Disk,否则对 iSCSI 目标服务的管理都要基于 PowerShell 进行。删除 iSCSI RAM Disk 的方法很简单,就是倒着执行一遍之前的命令,只不过将新建改为移除。
首先,移除已经为 iSCSI 目标移除分配的 RAM Disk,为此执行如下命令:
Remove-IscsiVirtualDiskTargetMapping -targetName targetRAMDisk -Path "ramdisk:WIM-RAMDisk.vhdx"
然后,移除 iSCSI 目标,为此执行如下命令:
Remove-IscsiServerTarget -TargetName targetRAMDisk
我们还能使用 Get-IscsiServerTarget 查看当前所有的 iSCSI 目标。
最后,移除 RAM Disk,为此执行如下命令:
Remove-IscsiVirtualDisk -Path "ramdisk:WIM-RAMDisk.vhdx"
HOWTO: 基于 Windows Server iSCSI 服务创建 RAM Disk
上个月看到 Windows Team 的工程师 Mounia Rachidi 发布的 Blog,提到了在 Windows Server 上利用 iSCSI 创建 RAM Disk 的方法,于是动手实践了一下,感觉还不错!决定分享一下实践经验。
实践环境是一台运行 Windows Server 2016,且拥有 32GB 内存的工作站。计划在内存中创建 28GB 的 RAM Disk,用于系统映像(WIM)的处理。将 WIM 放在 RAM Disk 里进行读写操作的优势显而易见,降低磁盘IO瓶颈。当然,也许您还能想到更多 RAM Disk 的应用场景,不妨利用 Windows Server iSCSI 服务来体验一下。
首先,我们需要为 Windows Server 2016 安装 iSCSI 目标服务器(iSCSI Target Server)角色,可启动服务器管理工具添加角色和功能。iSCSI目标服务器角色位于”文件和存储服务“角色下,具体参考下图:
然后,在 Windows 防火墙(Windows Firewall)中允许”iSCSI 服务“例外,即允许通过防火墙。
为了确保 iSCSI 目标服务能够为本机提供 iSCSI 服务,需要修改 Windows Server 2016 的注册表以允许回环模式,为此执行 Regedit 定位至如下路径,修改 AllowLoopBack(REG_DWORD) 值为:1
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\iSCSI Target
完成上述操作后,便可开始创建 RAM Disk,首先创建容量为 28GB 的 RAM Disk:
New-IscsiVirtualDisk -Path "ramdisk:WIM-RAMDisk.vhdx -Size 28GB
之后创建 iSCSI 目标:
New-IscsiServerTarget -TargetName targetRAMDisk -Initiatorlds @("IPAddress:X.X.X.X")
接下来将 RAM Disk 分配给 iSCSI 目标:
Add-IscsiVirtualDiskTargetMapping -TargetName targetRAMDisk -DevicePath "ramdisk:WIM-RAMDisk.vhdx"
现在启动 Windows Server 2016 上的 iSCSI Initiator(iSCSI 发起程序,该程序位于管理工具组下) 来连接这个 iSCSI 目标。
连接成功后,便可在通过磁盘管理器初始化这个 RAM Disk,默认配置下这个 RAM Disk 是动态扩展类型的 VHDX,所以分配并格式化后,不会马上占用内存容量,会随着 RAM Disk 数据量的增长,而发生变化,但不会因删除数据而逆转。也就是说拷贝了一个10GB的数据,删除后会发现内存占用还是10GB,必须重新启动服务器才会得到空间的释放。
最后需要注意的是,在 iSCSI 目标服务上启用 RAM Disk 后,会导致无法正常访问 服务器管理器 下的 iSCSI 目标服务器角色。
[GPO]HOWTO: 利用组策略禁用 IE ESC(Internet Explorer 增强的安全配置)
HOWTO: 利用组策略禁用 IE ESC(Internet Explorer 增强的安全配置)
Internet Explorer Enhanced Security Configuration(即:IE ESC,Internet Explorer 增强的安全配置),自 Windows Server 2008 开始提供的一项服务器安全配置,旨在有效降低来自基于 Web 的不安全内容攻击的风险,直至 Windows Server 2012 R2 该安全配置默认都为启用。
IE ESC 默认情况下为 Administrators 组和 Users 组启用,当这些组用户在使用 IE 浏览网站时会收到警告提示,被告知该网站中的一些内容被阻止,此时可以去除“网站内容被阻止时继续提示”的复选框已减少干扰,加入用户信赖该网站,则可以将该网站添加到信任网站中,那么下次再访问的时候就不会在提示安全警告。
IE ESC 其实是一项非常不错的功能,但是在一些测试环境中,可能会略显繁琐,通过手工方式关闭简单有效,但是如果环境中创建了多台 Windows Server 虚机就会很麻烦,毕竟要一步一步执行操作。
如果当前正好是一个域环境,那么我们可以利用组策略来为禁用 IE ESC,接下来就可以编辑现有组策略或新建一个组策略!IE ESC 提供两个注册表项分别为 Administrators 组和 Users 组定义配置:{A509B1A7-37EF-4b3f-8CFC-4F3A74704073} 和 {A509B1A8-37EF-4b3f-8CFC-4F3A74704073},他们位于:HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components下,所以我们需要在组策略中创建两个注册表项的预定义,将其下的“IsInstalled”根据需要改为“00000000”,如下图所示:
如果还不知道如何在组策略中添加注册表配置,请参考下图:
