タグ: AD-Synology

ID22058

はじめに

前回までに、導入初期にはDS918+を最小構成で立ち上げ、その後、予算と暇にまかせてフルスペックにしてきました。本サイトのWordPressによるblog配信やホームサーバーとして、しばらく安定稼働させていました。

最近、安定稼働への不安要素が出てきました。それは、DiskStation Manager (DSM)のバージョンアップがあり、更新をしようとするとディスクスペースが不足するとのメッセージが出て更新を受け付けてくれない事です。このままアップデートできない場合、セキュリティ問題を少ならかず抱えてしまいます。

• コントロールパネルのDSM更新画面を確認すると
• 状態が、「DSM 6.2.3-25426をダウンロードできます。」となっていた
• ダウンロードは正常に完了した
• 状態が、「今すぐアップデートする」に変わった
• アップデータを開始すると、確認画面が出るので、「はい」で開始した
• 開始した途端、すぐに「このシステムでの利用可能なドライブ　スペースが不足しています。」の表示が出て更新作業が中断された

図1. DSMの更新ができない

その後、なんとかしてDSMの更新作業ができないかSynologyのサポートを求めたり、ネットで調べたり(*)しましたが、結局は、以下のように、自力でクリーンインストールをすることにしました。問題があったバージョンは以下の通りです。

(*) 因みに、ネットで情報を得るには、原文を読まないといけません。英語を翻訳していたりすると、さっぱり意味がわからないことが多いです。Synologyサイトにしても原文は英語です。Synology関連の日本語の説明を読んでもよく分からないことがあります。そんな時は、英語の原文にあたります。

• マシン : DS918+
  • 16 GB メインメモリ(8GB x 2 * ), RAID5
  • 8TB HDD x 4 (WD RED)
  • SSD Cache 512 GB x 2 (WD), 読み書き
• 旧バージョン : 6.2.2-24922 Update
• 新バージョン : 6.2.3-25426

概要

Synologyのサポートセンター

図2. Synology サポートサービス

先ず、Synologyのサポートを利用(2020/06/05)しました。DSMにログインして「サポートセンター」から状況をテキストで記載して送信すると、数日するとemailに返事があり、状況をよく理解するために写真を送れと指示がありました。

• エラ〜メッセージのスクリーンショット
• ログ (debug.dat) : 「サポートセンター」の「サポートサービス」の「ログ作成」で「システム」をクリックして「ログ作成」をクリックすると、debug.datがダウンロードされる

iPadの録画機能を使って、DSM更新する様子として、更新ができないと表示されるまでので様子を録画して、Synology オフィシャルページ・サポートから添付し返信しました。サポートからの提案としては、サポートがログインして作業する案が提案されていましたが、少し躊躇しました。一時的にであってもです。

提案内容

リモートアクセスの情報提供の方法

1. 「メインメニュー」をクリックします。
2. 「サポートセンター」をクリックします。
3. 「サポート サービス」をクリックします。
4. 「リモートアクセスを有効にする」のチェックボックスにチェックし、「適用」をクリックします。
   • ※リモートアクセスの有効期限内であることを確認します。
5. 表示される「サポートIDキー」と「adminのパスワード（一時的パスワードに変更）」を当チケットに記載し、ご連絡ください。
   • 2段階認証が有効の場合は、当検証が完了するまで「無効」としてください。

いくらSynoloygと言っても、ネットに招待すること、しかも、管理者権限でのアクセスはセキュリティ上難しいと思いました。

数日考えた結果、その返事は保留して、クリーンインストールを含め自力で解決する方・対策を考えることにしました。

Synology テクニカルサポートとのやりとり期間は、2020/06/05~2020/06/11でした。06/15には、Synology Online Support Surveyがemailに来ました。もちろん、私は、サポートの提案から”逃げた” ので、サーベイすることはありませんでした。

方針はクリーンインストール

Linux関連でそれらしい記事を見つけることはできましたが、DSMがいくらLinuxを元にしていると言っても、Synologyがカスタマイズしているため、やはり別物であり、その成り立ちは同一ではないと思われました。この時点で、クリーンインストールを念頭に、考え始めました。以下は取り進めた概要です。

1. データバックアップは、Hyper Backupを使用します。共有フォルダ、インストールしたパッケージのアプリ、など全てをバックアップします。外付けUSB HDDでも、別のSynology NASのドライブでも可能です。
2. 対象としているSynology NASをWebブラウザから見つけられるか確認する
3. Synology NASをリセットして初期状態に戻す
4. 再導入したDSMでの初期設定 (別途詳細に説明しています)

以下に、上記概要の詳細を示しました。

1. バックアップ

できるだけ全てのDS918+にある情報をバックアップして、それから、クリーンインストールする戦略としました。

日頃から「Hyper Backup」と「Snapshot Replication」で主要なバックアップを定期的に行っているため、バックアップ体制の構築はしないで済みました。

今回は、Snapshot Replicationは使用しません。Hyper Backupのバックアップ機能とリストア機能で対応します。

Hyper Backupでは、基本的にDS918+の外付けUSB HDDにバックアップしています。クリーンインストールの際には、その方がアクセスしやすいです。Hyper Backupでのバックアップについては、以下の記事をご参考にしてください。

Hyper Backup のバックアップデータを .hbk ファイル形式で表示および復元する方法 – Synology Site –

https://www.synology.com/ja-jp/knowledgebase/DSM/tutorial/Backup/How_to_browse_and_restore_Hyper_Backup_backup_data_in_hbk_file_format

Hyper Backupの設定でバックアップに漏れがないかどうか、チェックを行い漏れている項目(システムアプリ、共有フォルダ)を追加して、最新のバックアップを取りました。

因みに、バックアップに時間がかかったのは、どうでもいいはずの「スプラツーン2のプレイ録画ファイル」でした。1TB近くあったため、あれやこれやとやり直したりして、1週間以上かかりました。いざ、そのデータの価値を考えた時に、数年の記録であることを考えると、どうでもいいはずのデータが価値を持っていることに気づきました。自己満足です。

2. 前準備 – Synology NASを見つけられるか

Hyper BackupによるDS918+全体のバックアップを完了したと判断(*)した後、以下の手順でクリーンインストールを実施しました。

* 当初は、クリーンインストールした後、リストアしてデータの復元具合を確認しておらず、思い通りのバックアップが、なされたのかどうかは分かりませんでした。実は、「暗号化」を解除していないと共有フォルダは、バックアップされていませんでした。それはそうなりますね、暗号化を解除しないとフォルダそのものが見えないからです。別途、暗号化を解除した状態で、WindowsのRobocopyによりバックアップ(Hyper Backupによる)のバックアップ(Robocopyによる)をとっていました。よかったです。全てはミスの可能性があります。そのためのリカバリーが大事であるということでしょうか。

• クリーンインストール後に、DS918+を見つけられるか確認します。Web ブラウザに「find.synology.com」を叩いて、現在のローカルネットワークに繋がっているSynology製品を表示されるか確認します。その他の確認手段として、「Synology Assistant」というアプリもあります。

3. NASのリセット

1. DSMにログイン
2. 「コントロールパネル」→「リセット」
3. 「すべてのデータを消去」をクリック
4. 確認ダイアログが表示されます。チェックボックスにチェックして「すべてのデータを消去」をクリック
5. パスワード入力が促されます
6. パスワードを入力して「送信」をクリック
7. 「DiskStationが再起動しています再起動が完了したら、Synology Assistantを使用してDiskStationを検索して接続します。」と表示が出ます

図3 ドライブ初期化の手順

4. クリーンインストール

1. Webブラウザから「find.sysnology.com」をたたく
2. 検索中の表示が出て、数十秒待つと画面が切り替わり、左上に「Web Assistant」と表示され、製品の写真が現れる
3. 複数台のSynology製品をネットに繋がっていれば、スクロールさせて、目的のクリーンインストールしたいDS918+を探す
4. 見つけたDS918+をクリック
5. ダイヤログが現れる「Synologyエンドユーザー ライセンス合意書」。同意にクリックして「OK」をクリック
6. 「ようこそ！」画面となるので、「設定」をクリック
7. 「DiskStation Manager (DSM)をインストール」画面が現れる。インストールしたいHDDであることを確認しつつ「今すぐインストール」をクリック
8. データが削除されることの注意のダイアログが現れるので、チェックボックスにチェックして、「OK」をクリック
9. 「DiskStation Managerのインストール」画面が現れ、%表示が出て、初期化中 → システムパーティションのフォーマット → ダウンロード中 → DiskStation Managerのインストールと、表示が変わっていく
10. 「DiskStationを再起動しています」画面が現れる。10分間のカウントダウンです。
11. QuickConnectの設定もWeb Assistantから行います。
12. 「すべての設定が完了しました!」が表示されます。
13. 「私のSynologyデバイスのネットワーク位置を共有して、私がそれをfind.synoloyg.com経由で見つけることを許可します。私はサービス規約を読み同意します。そしてプライバシーに関する声明を承諾します。」のチェックボックスは、チェックしませんでした。「移動」をクリック。
    因みに、ホームネットワークからは、「find.synology.com」は機能するようです。
14. 以上で、クリーンインストールは完了です。DSM画面が現れます
15. 初期のDSM画面では、いくつかの初期チュートリアルがあります。指示の通りクリックして終了です。DSMは使用可能になました。

図4 DSMのインストール終了後の最初のログイン

再導入したDSMでの初期設定

システム設定

Hyper Backupのバックアップからリストア*しました。リストアするには、Hyper Backupをインストールして、先ずは、バックアップファイルと再リンクする必要があります*。また、システムの設定については、Hyper Backupでもバックアップされないので、再構成することはできません。

再導入したDSMから、再度設定する必要があります。具体的には、二段階認証やDoS保護など、特にセキュリティの設定がデフォルトになっていまいます。仕方がないので、以下のように特に重要な項目について再設定しておきます。

* Synologyサーバ間のバックアップとリストア – ホームNW研究所-

いつもお世話になっているblogerさんのページです。リストア方法の詳細が説明されています。Hyper Backupによるバックアップ先のSynology NASに必要なrsyncの設定、または、Hyper Backup Vaultをインストールする必要性についても解説されています。

https://nw.myds.me/wordpress/howto-wpbackup1/

「コントロールパネル」の「セキュリティ」

セキュリティ

• 「サイト間のリスクスト偽造攻撃からの保護を強化する」にチェック
• 「HTTP Content Security Policy(CSP)ヘッダーでセキュリティを強化する」をチェック
• 「iFrameでDSMが埋めこられないようにする」をチェック
• 「システムの再起動に伴い保存したユーザーログイン　セッションがすべてクリアされます」にチェック
• 「現在のIPが変更されたら、DSMデスクトップ上に通知を表示」にチェック

ファイヤーウォール

• このマシンを目掛けて2分に1回程度の不正アクセスが、各国踏み台を利用して仕掛けてきているので、これを玄関払いしてもらいます
• 最初、日本を許可を設定ししましたが、これでは、外国をブロックしてくれませんでした
• そこで、日本以外の国全てをDSMログインを拒否する設定とします。一件につき15か国までしか登録できないので、地道に全ての国を拒否として登録しました(日本を除く)(図5)
• リアルタイムに不正アクセスの攻撃のさなか、この設定が完了した直後から、DSMログインはぱったりなくなったことを確認できました(図6)。

図5 ファイヤウォール設定の様子

図6 設定によってブラックリストに自動的に登録される

保護

• 「保護」の「DoS保護を有効にする」をチェック

アカウント

• 自動ブロック
  • 「自動ブロックを有効化する」をチェック : 同一のIPアドレスからのエラー数でブロック
    
    • 「ログイン回数」を10
    • 「分以内」を1440
      
  • 「ホワイトリスト/ブロックリスト」から、ホワイトリストを作成 : 許すIPアドレス
    
    • 個別のIPの設定
    • フザネットの設定
    • IP範囲で設定
      

• アカウント保護
  • 「アカウント保護を有効化」をチェック
  • 「信頼されていないクライアント」も「信頼できるクライアント」のいずれも以下の設定にする
    • 「ログイン回数」:10
    • 「分以内」: 60 (<1000)
    • 「プロック解除」: 30

RAID5へ再設定

クリーンインストールによりRAID設定は無効になっています。ストレージマネージャから作業します。

1. 「ストレージマネージャ」の「ボリューム」に移動
2. 「作成」をクリックして、ボリューム作成ウィザードを開く
3. 「カスタマイズ」を選択し「次へ」をクリック
4. 「ストレージプールを選択」画面から「新しいストレージプールを作成」を選択し、「次へ」をクリック
5. 「ストレージプールのタイプを選択」画面から「より良いパフォーマンス」を選択し、「次へ」をクリック
6. 「ストレージプールのプロパティを構成」画面からRAIDタイプを「RAID5」を選択し、「次へ」をクリック
7. 「ディスクの選択」画面から、4つの全てのドライブが選択されていることを確認し、「次へ」をクリック
8. 「警告」画面が現れ、データの消去についてアラートされるので、「OK」をクリック
9. 「ファイルシステムを選択」画面から「Btrfs」(Snapshot Replicationの機能を利用するために必要です)を選択し、「」をクリック
10. 「ボリュームの容量の割り当て」画面が現れます。必要があれば、説明を記入し、「次へ」をクリック
11. 「設定の確認」画面が現れます。確認できれば、「次へ」をクリック
12. 「ストレージマネージャ」の「ストレージプール」画面が現れます。ステータスが「作成しています」になり、100%になると完了です。最初の投稿で記事にしたように、DS918+を最初にRAID5に設定した歳は、100%になるまで、丸3日を要しました。今回も、3日間を覚悟していましたが、丸1日で処理は完了していました。
13. ストレージマネージャのRAID5設定をしている間を活用してで、パッケージセンターからアプリをインストールしました(以下に続く)

図7 ボリューム1にRAID5を構築中の様子

SSDキャッシュの再設定

SSDの設定も必要です。今回、あらためて設定したRAID5へのリンクが切れているためです。この設定は、RAID5の設定処理が完了してから実施しました。RAID5設定途中でも可能かもしれません。

図8 割り当てがないSSDキャッシュをボリューム1のRAID5に再度割り当てる

HDDハイバネーション

RAIDシステムは常時稼働状態にするのが普通です。頻繁な電源の入り切りよりは、常時ONの方が安定稼働には良いようです。クリーンインストールの後は、「HDDハイバネーション」が有効になっているので、無効にしておきます。

コントロールパネルのハードウェアと電源の「HDDハイバネーション」で設定します。

図9 HDDハイバネーションを無効に設定

パッケージセンターからのアプリのインストール

ストレージマネージャがRAID5の設定をしている間を活用して、以下の主なアプリをインストールしました。後に実施するリストアで、設定内容を上書きし戻します。

基本的に各ホームサーバーのそれぞれのクライアントの設定は、Synologyのホームサーバー関連のサーバーでは、port/port転送で設定したportを使用します。Plex Serverでは、32400に固定されています。

付け加えて、port設定に関わることで重要な設定項目は、firewallの設定です。そのアプリをallowに設定します。

もしも、RT2600acルーターを使用していてUPnPによりport転送ルールが自動的にしている場合は、その関連するportのinternet側のport番号を確認しておく必要があります。

最後に、2段回認証を有効にしていても、各クライアントでの1回目のログイン設定の時に「デバイスを覚える」を設定すれば、その後ログインで「ワンタイムパス」を聞かれることはありません。

• Hyper Backup
• Hyper Backup Vaults
• Plex
  • マルチメディア・ファイルをどんなフォーマットでも対応したサーバーです。クライアントは、有料ですが、ネットの外から閲覧が可能になります。
  • 元のPlexサーバーではなく、新たなPlexサーバーになってしまったようです。以前のDS918+にあったPlexサーバーは「オフライン」で使用不可になっていました。
  • 新しいPlexサーバーと思われるサーバーには、メディアファイルが1つもありませんでした。クリーンインストールしたDSMにPlexサーバーをインストールしてしまったせいかも知れません。リストアで設定が上書きされると思っていましたが、以前のPlexサーバーと新規にインストールしたPlexサーバーが別物扱いになってしまうためと思われます。
  • メディアファイルをリストアした後、あらためてメディアのデータベースを作ることにして、データベースを復旧することは諦めました。
• Note Station
  • WindowsのOneNoteみたいなことができますが、もちろん、機能は、OneNoteの方が高いです。
  • iOSアプリ(DS note)
    • address: port
      • portは、外部からのDSMログイン時と同じ
    • user id
    • pass word
• Photo Station
  • 保管した写真を鍵付きで共有したり、動画をYouTubeにアップしたりできます
  • iOSアプリ(DS photo)
    • address:port
      • postは、外部からのDSMログイン時と同じ
    • user id
    • pass word

• Audio Station
  • 音楽ファイルをストリーミングできます。iTunesで購入した音楽ファイルを登録しています。外からアクセスかのです
  • iOSアプリ(DS audio)
    • address:port
      • postは、外部からのDSMログイン時と同じ
    • user id
    • pass word

• Video Station
  • Synology製の動画サーバーです
  • iOSアプリ(DS audio)
    • address:port
      • postは、外部からのDSMログイン時と同じ
    • user id
    • pass word

• メディアサーバー
  • Video Stationの動画データベースと統合して、機能拡張した動画サーバーです
  • UPnP/DLNA対応のテレビで視聴ができます。我が家では、東芝の古いRegza RE1があります。テレビにDS918+のメディアサーバーを表示させます。動画を再生させるためには、テレビにあったMIMEタイプの設定が必要なので、バカチョンで再生できない場合、テレビでの視聴についてはハードルが高くなります。
• Moments
  • 写真のストックと表示アプリです。iPad用のMomentsからDS918+にバックアップします
  • シーンを自動で作成して表示してくれます
  • iOSアプリ(Synology Moments)の設定
    • address:port
      • postは、外部からのDSMログイン時と同じ
    • user id
    • pass word
  • 注意点
    • アップロードでは、MOVファイルはエラーが発生して、一時停止します
    • その他、停止したまま動かなくなるファイルがあります。
    • 安定するバージョンアップが出るまで、無効化することにしました。

リストア

Webブラウザから「find.sysnology.com」をたたいて、クリーンインストールしたDS918+にログインします。その後、各システム設定を確認します。Adminが無効になっていることや、管理者権限のユーザーの設定です。以下の操作が必要ですが素早く、バックアップからリストアして、管理者などのシステム設定を元に戻す方法でも構いません。これは、セキュリティ対策の一環です。

Hyper Backupのインストール

DSMのパッケージセンターから、「Hyper Backup」をインストールします。ついでに、「Hyper Backup Vault」もインスーとるしておきます。Synology製品間でのHyper Backupによるリモートバックアップに必要なパッケージです。

Hyper backupからリストア

関連付け

クリーンインストールしたDSMに改めてインストールしたHyper Backを、以下のようにバックアップに関連付けします。

1. File Stationを使って、バックアップしたファイルが、どの外付けUSB HDDにあるかを確認します
2. Hyper Backupを起動します
3. 左下の「＋」をクリック
4. 「データバックアップタスク」を選択
5. 「バックアップウィザード」画面が現れる。左上のにあるSynologyの「ローカルフォルダ & USB」を選択し、「次へ」をクリック
6. 「バックアップ先の設定」画面が現れる。「既存のタスクに再リンク」を選択する。
   • 「共有フォルダ」には、前述で確認したバックアップファイルがのあるフォルダを選択(今回は、外付けUSB HDD)
   • 「ディレクトリ」には、拡張子「hbk」のある該当するファイルを選択
7. 「次へ」をクリック
8. 確認画面が現れるが、「はい」をクリック
9. 「データバックアップ」画面が現れる。
10. 「フォルダ」及び「アプリケーション」は、何も選択せず、「次へ」でどんどん進んでデフォルト設定のまま完了させる
11. 作成できたタスクは、Hyper Backupの左メニューに表示される。

リストア

関連付けされたタスクを使って、リストアを実行します。

1. Hyper Backupの左下の「時計のマーク」を選択し「データ」を選ぶ
2. 「復元タスクの選択」画面が現れる。先ほど再リンクしたタスクを選択し、「次へ」をクリック
3. 「システム設定」画面が現れる。「システム設定情報を復元する」をチェック(全システム構成)し、「次へ」をクリック
4. 警告ダイアログが現れるが、「はい」をクリック
5. 「データの復元」画面が現れる。全ての「フォルダ」を選択し、「次へ」をクリック
6. 「アプリケーションの復元」画面が現れる。全ての「アプリケーション」を選択し、「次へ」をクリック
7. 確認画面が現れるが、「はい」をクリック
8. 「データ復元サマリ」画面が現れる。確認して「適用」をクリック
9. 「復元状況」画面が現れる。各タスクが%表示される。
10. 以上で、処理が終了すればリストアは完了です。

まとめ

DS918+は、度重なるパーツの追加でフルスペックに仕立て上げ、blog配信やホームサーバーとして安定稼働させていました。しかし、DSMの新バージョン(6.2.3)への更新は、容量不足が原因ということで、古いバージョンのDSMでの運用が続いていました。新バージョンへの更新までのセキュリティに不安がありました。その間、Synologyのサポートパスに相談したり、ネットで解決策について情報を収集したりしてきました。意を決してクリーンインストールによる新パージョンのDSM 更新とシステム復旧を覚悟してDS918+の再構築を断行することができました。

以上、参考になれば幸いです。はりきり(Mr)

編集履歴

編集履歴v^^)
2020/09/05 HARIKIR(MR)
2020/09/06 追記(写真を追加)
2020/09/07 追記(ファイヤーフォールの設定によるDSMからの不正アクセスを拒否する設定)
2021/03/06 追記 (リストア関する概説 - 詳細は「ホームNW研究所」へのリンク)