Post Views: 920
ID22058
はじめに 前回までに、導入初期にはDS918+を最小構成で立ち上げ、その後、予算と暇にまかせてフルスペックにしてきました。本サイトのWordPressによるblog配信やホームサーバーとして、しばらく安定稼働させていました。
最近、安定稼働への不安要素が出てきました。それは、DiskStation Manager (DSM)のバージョンアップがあり、更新をしようとするとディスクスペースが不足するとのメッセージが出て更新を受け付けてくれない事です。このままアップデートできない場合、セキュリティ問題を少ならかず抱えてしまいます。
コントロールパネルのDSM更新画面を確認すると 状態が、「DSM 6.2.3-25426をダウンロードできます。」となっていた ダウンロードは正常に完了した 状態が、「今すぐアップデートする」に変わった アップデータを開始すると、確認画面が出るので、「はい」で開始した 開始した途端、すぐに「このシステムでの利用可能なドライブ スペースが不足しています。」の表示が出て更新作業が中断された 図1. DSMの更新ができない
その後、なんとかしてDSMの更新作業ができないかSynologyのサポートを求めたり、ネットで調べたり(*)しましたが、結局は、以下のように、自力でクリーンインストールをすることにしました。問題があったバージョンは以下の通りです。
(*) 因みに、ネットで情報を得るには、原文を読まないといけません。英語を翻訳していたりすると、さっぱり意味がわからないことが多いです。Synologyサイトにしても原文は英語です。Synology関連の日本語の説明を読んでもよく分からないことがあります。そんな時は、英語の原文にあたります。 マシン : DS918+16 GB メインメモリ(8GB x 2 * ), RAID5 8TB HDD x 4 (WD RED) SSD Cache 512 GB x 2 (WD), 読み書き 旧バージョン : 6.2.2-24922 Update 新バージョン : 6.2.3-25426 概要 Synologyのサポートセンター 図2. Synology サポートサービス
先ず、Synologyのサポートを利用(2020/06/05)しました。DSMにログインして「サポートセンター」から状況をテキストで記載して送信すると、数日するとemailに返事があり、状況をよく理解するために写真を送れと指示がありました。
エラ〜メッセージのスクリーンショット ログ (debug.dat) : 「サポートセンター」の「サポートサービス」の「ログ作成」で「システム」をクリックして「ログ作成」をクリックすると、debug.datがダウンロードされる iPadの録画機能を使って、DSM更新する様子として、更新ができないと表示されるまでので様子を録画して、Synology オフィシャルページ・サポートから添付し返信しました。サポートからの提案としては、サポートがログインして作業する案が提案されていましたが、少し躊躇しました。一時的にであってもです。
提案内容 リモートアクセスの情報提供の方法
「メインメニュー」をクリックします。 「サポートセンター」をクリックします。 「サポート サービス」をクリックします。 「リモートアクセスを有効にする」のチェックボックスにチェックし、「適用」をクリックします。※リモートアクセスの有効期限内であることを確認します。 表示される「サポートIDキー」と「adminのパスワード(一時的パスワードに変更)」を当チケットに記載し、ご連絡ください。2段階認証が有効の場合は、当検証が完了するまで「無効」としてください。 いくらSynoloygと言っても、ネットに招待すること、しかも、管理者権限でのアクセスはセキュリティ上難しいと思いました。
数日考えた結果、その返事は保留して、クリーンインストールを含め自力で解決する方・対策を考えることにしました。
Synology テクニカルサポートとのやりとり期間は、2020/06/05~2020/06/11でした。06/15には、Synology Online Support Surveyがemailに来ました。もちろん、私は、サポートの提案から”逃げた” ので、サーベイすることはありませんでした。
方針はクリーンインストール Linux関連でそれらしい記事を見つけることはできましたが、DSMがいくらLinuxを元にしていると言っても、Synologyがカスタマイズしているため、やはり別物であり、その成り立ちは同一ではないと思われました。この時点で、クリーンインストールを念頭に、考え始めました。以下は取り進めた概要です。
データバックアップは、Hyper Backupを使用します。共有フォルダ、インストールしたパッケージのアプリ、など全てをバックアップします。外付けUSB HDDでも、別のSynology NASのドライブでも可能です。 対象としているSynology NASをWebブラウザから見つけられるか確認する Synology NASをリセットして初期状態に戻す 再導入したDSMでの初期設定 (別途詳細に説明しています) 以下に、上記概要の詳細を示しました。
1. バックアップ できるだけ全てのDS918+にある情報をバックアップして、それから、クリーンインストールする戦略としました。
日頃から「Hyper Backup」と「Snapshot Replication」で主要なバックアップを定期的に行っているため、バックアップ体制の構築はしないで済みました。
今回は、Snapshot Replicationは使用しません。Hyper Backupのバックアップ機能とリストア機能で対応します。
Hyper Backupでは、基本的にDS918+の外付けUSB HDDにバックアップしています。クリーンインストールの際には、その方がアクセスしやすいです。Hyper Backupでのバックアップについては、以下の記事をご参考にしてください。
Hyper Backup のバックアップデータを .hbk ファイル形式で表示および復元する方法 – Synology Site –
https://www.synology.com/ja-jp/knowledgebase/DSM/tutorial/Backup/How_to_browse_and_restore_Hyper_Backup_backup_data_in_hbk_file_format Hyper Backupの設定でバックアップに漏れがないかどうか、チェックを行い漏れている項目(システムアプリ、共有フォルダ)を追加して、最新のバックアップを取りました。
因みに、バックアップに時間がかかったのは、どうでもいいはずの「スプラツーン2のプレイ録画ファイル」でした。1TB近くあったため、あれやこれやとやり直したりして、1週間以上かかりました。いざ、そのデータの価値を考えた時に、数年の記録であることを考えると、どうでもいいはずのデータが価値を持っていることに気づきました。自己満足です。
2. 前準備 – Synology NASを見つけられるか Hyper BackupによるDS918+全体のバックアップを完了したと判断(*)した後、以下の手順でクリーンインストールを実施しました。
* 当初は、クリーンインストールした後、リストアしてデータの復元具合を確認しておらず、思い通りのバックアップが、なされたのかどうかは分かりませんでした。実は、「暗号化」を解除していないと共有フォルダは、バックアップされていませんでした。それはそうなりますね、暗号化を解除しないとフォルダそのものが見えないからです。別途、暗号化を解除した状態で、WindowsのRobocopyによりバックアップ(Hyper Backupによる)のバックアップ(Robocopyによる)をとっていました。よかったです。全てはミスの可能性があります。そのためのリカバリーが大事であるということでしょうか。 クリーンインストール後に、DS918+を見つけられるか確認します。Web ブラウザに「find.synology.com」を叩いて、現在のローカルネットワークに繋がっているSynology製品を表示されるか確認します。その他の確認手段として、「Synology Assistant」というアプリもあります。 3. NASのリセット DSMにログイン 「コントロールパネル」→「リセット」 「すべてのデータを消去」をクリック 確認ダイアログが表示されます。チェックボックスにチェックして「すべてのデータを消去」をクリック パスワード入力が促されます パスワードを入力して「送信」をクリック 「DiskStationが再起動しています再起動が完了したら、Synology Assistantを使用してDiskStationを検索して接続します。」と表示が出ます 図3 ドライブ初期化の手順
4. クリーンインストール Webブラウザから「find.sysnology.com」をたたく 検索中の表示が出て、数十秒待つと画面が切り替わり、左上に「Web Assistant」と表示され、製品の写真が現れる 複数台のSynology製品をネットに繋がっていれば、スクロールさせて、目的のクリーンインストールしたいDS918+を探す 見つけたDS918+をクリック ダイヤログが現れる「Synologyエンドユーザー ライセンス合意書」。同意にクリックして「OK」をクリック 「ようこそ!」画面となるので、「設定」をクリック 「DiskStation Manager (DSM)をインストール」画面が現れる。インストールしたいHDDであることを確認しつつ「今すぐインストール」をクリック データが削除されることの注意のダイアログが現れるので、チェックボックスにチェックして、「OK」をクリック 「DiskStation Managerのインストール」画面が現れ、%表示が出て、初期化中 → システムパーティションのフォーマット → ダウンロード中 → DiskStation Managerのインストールと、表示が変わっていく 「DiskStationを再起動しています」画面が現れる。10分間のカウントダウンです。 QuickConnectの設定もWeb Assistantから行います。 「すべての設定が完了しました!」が表示されます。 「私のSynologyデバイスのネットワーク位置を共有して、私がそれをfind.synoloyg.com経由で見つけることを許可します。私はサービス規約を読み同意します。そしてプライバシーに関する声明を承諾します。」のチェックボックスは、チェックしませんでした。「移動」をクリック。 因みに、ホームネットワークからは、「find.synology.com」は機能するようです。 以上で、クリーンインストールは完了です。DSM画面が現れます 初期のDSM画面では、いくつかの初期チュートリアルがあります。指示の通りクリックして終了です。DSMは使用可能になました。 図4 DSMのインストール終了後の最初のログイン
再導入したDSMでの初期設定 システム設定 Hyper Backupのバックアップからリストア*しました。リストアするには、Hyper Backupをインストールして、先ずは、バックアップファイルと再リンクする必要があります*。また、システムの設定については、Hyper Backupでもバックアップされないので、再構成することはできません。
再導入したDSMから、再度設定する必要があります。具体的には、二段階認証やDoS保護など、特にセキュリティの設定がデフォルトになっていまいます。仕方がないので、以下のように特に重要な項目について再設定しておきます。
* Synologyサーバ間のバックアップとリストア – ホームNW研究所-
いつもお世話になっているblogerさんのページです。リストア方法の詳細が説明されています。Hyper Backupによるバックアップ先のSynology NASに必要なrsyncの設定、または、Hyper Backup Vaultをインストールする必要性についても解説されています。
https://nw.myds.me/wordpress/howto-wpbackup1/ 「コントロールパネル」の「セキュリティ」 セキュリティ 「サイト間のリスクスト偽造攻撃からの保護を強化する」にチェック 「HTTP Content Security Policy(CSP)ヘッダーでセキュリティを強化する」をチェック 「iFrameでDSMが埋めこられないようにする」をチェック 「システムの再起動に伴い保存したユーザーログイン セッションがすべてクリアされます」にチェック 「現在のIPが変更されたら、DSMデスクトップ上に通知を表示」にチェック ファイヤーウォール このマシンを目掛けて2分に1回程度の不正アクセスが、各国踏み台を利用して仕掛けてきているので、これを玄関払いしてもらいます 最初、日本を許可を設定ししましたが、これでは、外国をブロックしてくれませんでした そこで、日本以外の国全てをDSMログインを拒否する設定とします。一件につき15か国までしか登録できないので、地道に全ての国を拒否として登録しました(日本を除く)(図5) リアルタイムに不正アクセスの攻撃のさなか、この設定が完了した直後から、DSMログインはぱったりなくなったことを確認できました(図6)。 図5 ファイヤウォール設定の様子 図6 設定によってブラックリストに自動的に登録される 保護 アカウント 自動ブロック「自動ブロックを有効化する」をチェック : 同一のIPアドレスからのエラー数でブロック 「ホワイトリスト/ブロックリスト」から、ホワイトリストを作成 : 許すIPアドレス アカウント保護「アカウント保護を有効化」をチェック 「信頼されていないクライアント」も「信頼できるクライアント」のいずれも以下の設定にする「ログイン回数」:10 「分以内」: 60 (<1000) 「プロック解除」: 30 RAID5へ再設定 クリーンインストールによりRAID設定は無効になっています。ストレージマネージャから作業します。
「ストレージマネージャ」の「ボリューム」に移動 「作成」をクリックして、ボリューム作成ウィザードを開く 「カスタマイズ」を選択し「次へ」をクリック 「ストレージプールを選択」画面から「新しいストレージプールを作成」を選択し、「次へ」をクリック 「ストレージプールのタイプを選択」画面から「より良いパフォーマンス」を選択し、「次へ」をクリック 「ストレージプールのプロパティを構成」画面からRAIDタイプを「RAID5」を選択し、「次へ」をクリック 「ディスクの選択」画面から、4つの全てのドライブが選択されていることを確認し、「次へ」をクリック 「警告」画面が現れ、データの消去についてアラートされるので、「OK」をクリック 「ファイルシステムを選択」画面から「Btrfs」(Snapshot Replicationの機能を利用するために必要です)を選択し、「」をクリック 「ボリュームの容量の割り当て」画面が現れます。必要があれば、説明を記入し、「次へ」をクリック 「設定の確認」画面が現れます。確認できれば、「次へ」をクリック 「ストレージマネージャ」の「ストレージプール」画面が現れます。ステータスが「作成しています」になり、100%になると完了です。最初の投稿で記事にしたように、DS918+を最初にRAID5に設定した歳は、100%になるまで、丸3日を要しました。今回も、3日間を覚悟していましたが、丸1日で処理は完了していました。 ストレージマネージャのRAID5設定をしている間を活用してで、パッケージセンターからアプリをインストールしました(以下に続く) 図7 ボリューム1にRAID5を構築中の様子 SSDキャッシュの再設定 SSDの設定も必要です。今回、あらためて設定したRAID5へのリンクが切れているためです。この設定は、RAID5の設定処理が完了してから実施しました。RAID5設定途中でも可能かもしれません。
図8 割り当てがないSSDキャッシュをボリューム1のRAID5に再度割り当てる HDDハイバネーション RAIDシステムは常時稼働状態にするのが普通です。頻繁な電源の入り切りよりは、常時ONの方が安定稼働には良いようです。クリーンインストールの後は、「HDDハイバネーション」が有効になっているので、無効にしておきます。
コントロールパネルのハードウェアと電源の「HDDハイバネーション」で設定します。
図9 HDDハイバネーションを無効に設定 パッケージセンターからのアプリのインストール ストレージマネージャがRAID5の設定をしている間を活用して、以下の主なアプリをインストールしました。後に実施するリストアで、設定内容を上書きし戻します。
基本的に各ホームサーバーのそれぞれのクライアントの設定は、Synologyのホームサーバー関連のサーバーでは、port/port転送で設定したportを使用します。Plex Serverでは、32400に固定されています。
付け加えて、port設定に関わることで重要な設定項目は、firewallの設定です。そのアプリをallowに設定します。
もしも、RT2600acルーターを使用していてUPnPによりport転送ルールが自動的にしている場合は、その関連するportのinternet側のport番号を確認しておく必要があります。
最後に、2段回認証 を有効にしていても、各クライアントでの1回目のログイン設定の時に「デバイスを覚える」を設定すれば、その後ログインで「ワンタイムパス」を聞かれることはありません。
Hyper Backup Hyper Backup Vaults Plexマルチメディア・ファイルをどんなフォーマットでも対応したサーバーです。クライアントは、有料ですが、ネットの外から閲覧が可能になります。 元のPlexサーバーではなく、新たなPlexサーバーになってしまったようです。以前のDS918+にあったPlexサーバーは「オフライン」で使用不可になっていました。 新しいPlexサーバーと思われるサーバーには、メディアファイルが1つもありませんでした。クリーンインストールしたDSMにPlexサーバーをインストールしてしまったせいかも知れません。リストアで設定が上書きされると思っていましたが、以前のPlexサーバーと新規にインストールしたPlexサーバーが別物扱いになってしまうためと思われます。 メディアファイルをリストアした後、あらためてメディアのデータベースを作ることにして、データベースを復旧することは諦めました。 Note Station WindowsのOneNoteみたいなことができますが、もちろん、機能は、OneNoteの方が高いです。 iOSアプリ(DS note)address: port user id pass word Photo Station 保管した写真を鍵付きで共有したり、動画をYouTubeにアップしたりできます iOSアプリ(DS photo)address:port user id pass word Audio Station 音楽ファイルをストリーミングできます。iTunesで購入した音楽ファイルを登録しています。外からアクセスかのです iOSアプリ(DS audio) Video Station Synology製の動画サーバーです iOSアプリ(DS audio)address:port user id pass word メディアサーバーVideo Stationの動画データベースと統合して、機能拡張した動画サーバーです UPnP/DLNA対応のテレビで視聴ができます。我が家では、東芝の古いRegza RE1があります。テレビにDS918+のメディアサーバーを表示させます。動画を再生させるためには、テレビにあったMIMEタイプの設定が必要なので、バカチョンで再生できない場合、テレビでの視聴についてはハードルが高くなります。 Moments 写真のストックと表示アプリです。iPad用のMomentsからDS918+にバックアップします シーンを自動で作成して表示してくれます iOSアプリ(Synology Moments)の設定address:port user id pass word 注意点アップロードでは、MOVファイルはエラーが発生して、一時停止します その他、停止したまま動かなくなるファイルがあります。 安定するバージョンアップが出るまで、無効化することにしました。 リストア Webブラウザから「find.sysnology.com」をたたいて、クリーンインストールしたDS918+にログインします。その後、各システム設定を確認します。Adminが無効になっていることや、管理者権限のユーザーの設定です。以下の操作が必要ですが素早く、バックアップからリストアして、管理者などのシステム設定を元に戻す方法でも構いません。これは、セキュリティ対策の一環です。
Hyper Backupのインストール DSMのパッケージセンターから、「Hyper Backup」をインストールします。ついでに、「Hyper Backup Vault」もインスーとるしておきます。Synology製品間でのHyper Backupによるリモートバックアップに必要なパッケージです。
Hyper backupからリストア 関連付け クリーンインストールしたDSMに改めてインストールしたHyper Backを、以下のようにバックアップに関連付けします。
File Stationを使って、バックアップしたファイルが、どの外付けUSB HDDにあるかを確認します Hyper Backupを起動します 左下の「+」をクリック 「データバックアップタスク」を選択 「バックアップウィザード」画面が現れる。左上のにあるSynologyの「ローカルフォルダ & USB」を選択し、「次へ」をクリック 「バックアップ先の設定」画面が現れる。「既存のタスクに再リンク」を選択する。「共有フォルダ」には、前述で確認したバックアップファイルがのあるフォルダを選択(今回は、外付けUSB HDD) 「ディレクトリ」には、拡張子「hbk」のある該当するファイルを選択 「次へ」をクリック 確認画面が現れるが、「はい」をクリック 「データバックアップ」画面が現れる。 「フォルダ」及び「アプリケーション」は、何も選択せず、「次へ」でどんどん進んでデフォルト設定のまま完了させる 作成できたタスクは、Hyper Backupの左メニューに表示される。 リストア 関連付けされたタスクを使って、リストアを実行します。
Hyper Backupの左下の「時計のマーク」を選択し「データ」を選ぶ 「復元タスクの選択」画面が現れる。先ほど再リンクしたタスクを選択し、「次へ」をクリック 「システム設定」画面が現れる。「システム設定情報を復元する」をチェック(全システム構成)し、「次へ」をクリック 警告ダイアログが現れるが、「はい」をクリック 「データの復元」画面が現れる。全ての「フォルダ」を選択し、「次へ」をクリック 「アプリケーションの復元」画面が現れる。全ての「アプリケーション」を選択し、「次へ」をクリック 確認画面が現れるが、「はい」をクリック 「データ復元サマリ」画面が現れる。確認して「適用」をクリック 「復元状況」画面が現れる。各タスクが%表示される。 以上で、処理が終了すればリストアは完了です。 まとめ DS918+は、度重なるパーツの追加でフルスペックに仕立て上げ、blog配信やホームサーバーとして安定稼働させていました。しかし、DSMの新バージョン(6.2.3)への更新は、容量不足が原因ということで、古いバージョンのDSMでの運用が続いていました。新バージョンへの更新までのセキュリティに不安がありました。その間、Synologyのサポートパスに相談したり、ネットで解決策について情報を収集したりしてきました。意を決してクリーンインストールによる新パージョンのDSM 更新とシステム復旧を覚悟してDS918+の再構築を断行することができました。
以上、参考になれば幸いです。はりきり(Mr)
編集履歴 編集履歴v^^)
2020/09/05 HARIKIR(MR)
2020/09/06 追記(写真を追加)
2020/09/07 追記(ファイヤーフォールの設定によるDSMからの不正アクセスを拒否する設定)
2021/03/06 追記 (リストア関する概説 - 詳細は「ホームNW研究所」へのリンク)