さて、先日購入した Synology の NAS こと「DiskStation DS224+」ですが、OS にあたる「DiskStation Manager(DSM)」のインストールを行ってデータを保存することまで出来るようになりました。今回は、停電に備えて UPS(無停電電源装置)と連携させ、より使いやすくなるよう「DSM」の各種設定を行っていくこととします。
■ IPアドレスの固定
セットアップ時はルーターの DHCP(Dynamic Host Configuration Protocol)によって自動的に割り当てられる IPアドレスで行っても何も問題はありませんが、DHCP で割り当てられた IPアドレスは、ルーターを再起動したり停電があったりすると別の IPアドレスに変更されてしまう可能性があります。
こうなると変更された IPアドレスがすぐには分からず、PC やスマホなどからアクセス出来なくなってしまうということも考えられるため、NAS のようなデバイスの IPアドレスは固定しておくべきです。また、何らかの原因で IPアドレスがバッティングするのを防ぐ為にもルーター側と NAS側の双方で IPアドレスを固定しておいた方が良いでしょう。
うちの回線ではルーターに Yamaha の RTX830 を使っているので、以下のコマンドを投入して IPアドレスを固定する NAS を入れ替えます。
no dhcp scope bind 1 192.168.100.xx ethernet (DS218j の MACアドレス) dhcp scope bind 1 192.168.100.xx ethernet (DS224+ の MACアドレス)
次に、「DS224+」の側でも IPアドレスを固定しておきます。
「DS224+」でコントロールパネルを開き、「ネットワーク」→「ネットワークインターフェイス」へ進みます。IPアドレスを固定したいインターフェース(この場合は LAN 1)を選び、「編集」をクリックして下さい。「IPv4」タブの「手動で設定する」を選択し、固定しておきたい IPアドレスを入力すれば NAS側での IPアドレスの固定が完了します。
すぐに IPアドレスが変更されたことを確認したい場合は、ルーター、NAS のそれぞれを再起動してみて下さい。再起動完了後、Webブラウザから NAS に設定した IPアドレスを叩いて管理画面に入ることが出来れば大丈夫です。
■ ファイルサービスの確認とワークグループ名の変更
コントロールパネルの「ファイルサービス」という項目からは「DS224+」で使用する共有プロトコルを決めたり SMB の「ワークグループ名」の変更が行えます。
「DS224+」ではデフォルトの「ワークグループ」は「WORKGROUP」となっています。Windows の側でもデフォルトの状態では同じワークグループ名になっていますが、自分で別のものに変更している場合はここで合わせておくとよいでしょう。
「DS224+」は SMB1 ~ SMB3 の「SMB(Server Message Block)プロトコル」に対応していますが、「SMB1」にはセキュリティ上の重大なリスクが存在していることが知られています。余程古いデバイスからアクセスする必要でも無い限り「SMB1」は無効化しておくことをお勧めします。
「AFP(Apple Filling Protocol)」は Apple の Mac OS などで使われていたファイル共有プロトコルですが、macOS 11(Big Sur)以降のバージョンでは「AFP」と互換性に問題が出る場合があるようなので、古い機種を使わないのであれば OFF のままにしておくのが良さそうです。現在は Apple の macOS でも SMBプロトコルを使う事が推奨されています。
また、Windows から NAS にアクセスする場合は、「WS-Discovery」という項目にチェックが入っていることも確認しておきましょう。ここが OFF になっていると Windows のエクスプローラーからは見えなくなってしまいます。
■ 「通知」の設定
コントロールパネルの「通知」で設定を行っておくことで、「DS224+」に何らかのエラーやイベントが発生した時に自動的にメールなどで通知が送られるようにしておく事が可能です。
設定は簡単!「Synology アカウント」に設定しているメールアドレスに通知させたい場合は、「システムステータスの変更またはエラーが起きた時に~」のチェックボックスをオンにしておくだけです。メール以外にも Microsoft Teams、LINE、SMS などで通知を送ることが出来るようです。
「ルール」タブからは、どの程度重要なイベントが発生したら通知を出すかの設定が行えます。「ALL」「Warning」「Critical」の 3つのルールが設定されていますが、個人的には「Warining」に少し足した方がいいんじゃないかと思うので、「追加」から自前のルールを作成しておくことをお勧めします。
■ UPS(無停電電源装置)の接続とファン回転数・LED輝度の調節
うちでは DS218j を UPS(無停電電源装置)と連携させて、落雷や地震などで停電があった際に一定時間経過したら自動的に NAS を安全にシャットダウンさせるようにしていました。最近は滅多に停電なんてしなくなりましたが、万一に備えてこちらの設定を「DS224+」でも行っておくことにします。
ちなみに連携させるのは APC の「BR550SE-JP4W」という ” 正弦波 ” 出力が可能な UPS です。
UPS のコンセントに「DS224+」を接続し、UPS 付属の「RJ-45→USB Type-A 変換ケーブル」で UPS と NAS を接続したらコントロールパネルの「ハードウェアと電源」の項目から設定を入れます。
設定の手順は DS218j の場合とほぼ同じです。
- 「全般」タブで「電源の問題が修正されたとき自動的に再起動する」にチェック
→ 停電から商用電源が復帰したら NAS も自動的に起動してくれるようになります。 - 「UPS」タブで「UPSサポートの利用」にチェック
- 「Synology NAS がセーフモードになるまでの時間」で UPS がバッテリー運用に切り替わってから
「DS224+」がシャットダウンするまでの時間を指定 - 「システムがスタンバイモードに入ったときに UPS をシャットダウンする」で「DS224+」の電源
が切れたと同時に UPS の電源も切るかどうかを指定(UPS のバッテリー温存の為)
設定完了後は「適用」を押すのを忘れないように。「デバイス情報」のボタンをクリックすると接続されている UPS の情報を見ることができます。「ステータス」が「接続完了」となっていることを確認しておいてください。
設定が終わったら必ず意図した通りの動作をするかを確認しておきましょう。UPS が稼働している状態で UPS に給電している電源ケーブルを抜いて停電をシミュレートして挙動を見てみました。
UPS への電源を遮断するとすぐに UPS がバッテリー運転に切り替わり、無事 NAS を初めとする UPS に接続している機器への電源供給は継続されました。ただ、UPS がバッテリー運転に切り替わってから 2分後に「DS224+」をシャットダウンするよう設定していたのですが、これは 2分後から「DS224+」のシャットダウン作業が始まる という意味ですね。実際にシャットダウンされるまでにはそこから更に数分掛かるので、トリガーの時間は短めに設定しておいた方が良さそうです。まあ「2分後からシャットダウン開始」なら許容できる範囲ではないでしょうか。
また、先程の「通知設定」で「DS224+」にイベントがあった時にメールなどで通知するよう設定しておくと、UPS への切り替わりの際などに以下の様なメールが送られてきます。
・電源が遮断されて UPS がバッテリー運転に切り替った直後
DS224_Plus に接続してある UPS デバイスがバッテリー モードに戻りました。バッテリー推定有効時間:39 分. 送信元 DS224_Plus
・商用電源復帰後
DS224_Plus に接続されている UPS デバイスが AC モードに戻りました。 送信元 DS224_Plus
「通知」の設定でルールを「Warning」にしていただけでは AC電源復帰時の通知はしてくれないので、カスタマイズしておくことをお勧めします。
UPS の連携をさせたついでに「HDD ハイバネーション」の設定も行っておきます。「DS224+」では本体に搭載している HDD だけでなく、バックアップ用として外部に接続した USBドライブのハイバネーション管理も行うことが出来るようです。
また、これから暑くなってくるのでファンの速度は「冷却モード」に設定しておきました。「冷却モード」と言っても、元々非常に静かなファンが使われているので、特にうるさくなったという気はしませんね。就寝時に LEDインジケーターが眩しく感じる方も居るでしょう。「スケジュールの設定」から時間帯によって自動的に輝度調節させることが出来るので、こちらで調整しておくのが良いかと。
■ セキュリティ設定の確認
セキュリティに関する設定の確認を行っておきます。
「サイト間のリクエスト偽造攻撃(Cross-Site Request Forgeries:CSRF)」は、” 三大脆弱性 ” として知られる攻撃手法の 1つで、マルウェアを仕込まれたりフィッシング詐欺に遭ったりする危険性があるようです。同様に、「HTTP Content Security Policy (CSP) ヘッダーでセキュリティを強化する」も「Cross Site Scripting(XSS)」攻撃からの防御力を高めるものとのこと。
「2要素認証」については「個人」設定の方が優先されるとのことなのでそちらで設定しておくことにしました。「アダプティブ多要素認証」を有効化しておくと、ログインの試みが危険と判断された場合に第 2の認証形式が要求されるようになるそうです。
「ファイアウォール」は一応有効化しておきましたが、うちでは基本的にルーター(Yamaha RTX830)に任せているのでプロファイルは default のままにしています。「DS224+」自体で VPN を張ったり外部に公開したりする場合はもう少ししっかり設定を入れておいた方がよいでしょう。
「自動ブロック」はパスワードを何度も入力して強引にログインするのを防ぐ機能です。「Dos(Denial of Service attack:サービス拒否攻撃)」保護」と共に有効化しておくと良いでしょう。
「HTTP 圧縮」はネットワークトラフィックの帯域幅を低くして Webページの読み込み速度を向上されるオプションです。「ログインポータル」の「DSM」タブにある「HTTP 接続を DSM デスクトップ用の HTTPS に自動ダイレクトします、」と共に有効化しておきました。HTTP ポート(5000番)を介して「DS224+」にアクセスしようとした場合に自動的に HTTPS ポートにリダイレクトしてくれます。
「TLS / SSL プロファイルレベル」は、「標準の互換性」で TLS のバージョン 1.2 と 1.3 をサポートします。余程古いデバイスからアクセスする必要でも無い限り、脆弱性の知られている TLS 1.1 以下のプロトコルのサポートは切っておいた方が良いでしょう。
■ 「セキュリティアドバイザー」の実行
「DS224+」には「セキュリティアドバイザー」という、DSM のセキュリティリスクをスキャンするアプリが予め用意されているのでチェックしておきます。
「自宅と個人」の設定でチェックしてみたところ、特に問題は無さそうです。
特に負荷が掛かるわけでも無いので、定期的なスキャンをスケジューリングしておくのが良いでしょう。
■ 「Antivirus Essential」のインストール
「DS224+」には「Antivirus Essential」と「Antivirus by McAfee」というウイルス対策アプリが用意されています。「Antivirus by McAfee」の方は 1年サブスクリプションが 19.99 USD、2年が 34.99 USD の有料アプリですが、「Antivirus Essential」は無料で利用することが出来ます。
「Antivirus Essential」は「ClamAV」というオープンソースのウイルス対策エンジンを使っているらしく、機能面では「Antivirus by McAfee」に大きく劣りますが、無料ですからね・・・。メモリが 512GB しかない「DS218j」でも一応なんとか使う事は出来ましたが、「DS224+」ならメモリにも余裕があり、CPU の処理能力も高いので、スキャンを実行しながらでも他の操作にも支障は無さそうです。
基本的に NAS に放り込むファイルは PC の方でスキャン済みのものばかりですが、違うエンジンで検査する意味というものもあるかとは思いますし、利用出来るものは利用することにしましょう(笑)。
ちなみに定期スキャンは日曜の午前に設定しました。ほんとは月に一度くらいで充分なのですが、週一以上の頻度でしか指定出来ないのですよね・・・。「ClamAV」エンジンの制限として、2GB 以上のサイズのファイルはスキャン出来ない、ZIP などアーカイブされたファイルの検出精度は低い、ローカルストレージのみ検査可能という点には留意しておいて下さい。
■ 「ストレージマネージャー」を使った HDD の定期検査
「DS224+」では「ストレージマネージャー」というプリインストールアプリを使って ” S.M.A.R.T. ” による HDD の定期検査をスケジューリングしておくことが可能です。
「クイックテスト」は月に 1回、「拡張テスト」は半年に 1回も行っておけば充分でしょう。
■ 「Data Scrubbing」の定期実行
「Btrfs」に対応した「DS224+」では、不適切または不完全なストレージプール内のデータを修正するデータ保守機能の「Data Scrubbing」を利用することが可能です。「DS224+」を使う上でのメリットの 1つなので、こちらについても定期的に Data Scrubbing を行うようスケジューリングしておきます。
この「Data Scrubbing」ですが、事前に確認しておく必要のある点が 1点。
コントロールパネルの「共有フォルダ」から各フォルダの「編集ー詳細設定」を開いたところにある「高度なデータ整合性のためにデータ チェックサムを有効化」というオプションが有効になっていないと、チェックサム機能が無いため Data Scrubbing でデータの修復を行えないのだそうです。
新規に共有フォルダを作る時に気をつけておけばいい話ですが、古い NAS からデータを移行させた場合はフォルダの構成が丸ごと移行されるため、ここのオプションがグレーアウトしてしまって変更出来ないということがあります。この場合は、新規のフォルダを作成して必要なデータを移動させて下さい。
Data Scrubbing のスケジューリング自体は簡単です。
手順は以下の通り。
① 「ストレージマネージャ」を開く
② ストレージプールを選択して「Data Scrubbing を実行する」をクリック
③ 「Data Scrubbing スケジュールの有効化」をONに
④ ストレージプールを選択し、頻度を指定
「時間グリッド」を指定しておけばあまり使わない時間帯に Data Scrubbing を実行してくれます。
■ その他設定
その他の細々とした設定も加えておきます。
言語設定は日本語になっていたのですが、どういうわけか、タイムゾーンが ” Seoul ” になっていたので東京時間に修正しておきます。時差は同じ 9時間ですが、気持ち悪いですからね・・・。
メディアインデックスのサムネイルの品質は「高品質」に変えておきました。パフォーマンスには余裕があるので問題無いでしょう。概ね設定も終わったので、最後に DSM 構成のバックアップを取っておきます。Synology アカウントに構成ファイルを保存するにあたって「自己定義暗号化」を行っておくよう推奨されていたのでそれに従いました。
以上、だいたいこんなところでしょうか。次回は、古い NAS(DS218j)から新しい NAS(DS224+)へデータを移行させていきます。