Archiv der Kategorie: Synology

Synology VMM | Windows VM mit starker CPU Auslastung durch “System interrupts”

Veröffentlicht am von
Antwort

Ich muss hier einen Fall von Layer-8 Ignoranz schildern – mit etwas Vorgeschichte.

Alles Cloud …

Vor vier Monaten erzählte mir ein Freund, dass er eine Praxis übernehmen würde – mit einer Softwarelösung, die zu 100% in der Cloud läuft. „Wir brauchen nur ein paar Tablets und Internet, da kannst du mir vielleicht helfen?“ Wo fängt man da an …

  1. Es gab PCs, Baujahr 2018 oder 2019 – so genau wusste das niemand. Man hielt sie für „relativ neu“. OK – relativ. Und mit <Panikmodus>Festplatten</Panikmodus>
  2. Ein neues, dreidimensionales Röntgengerät musste her. Die Daten sollten direkt in die Cloud gespeichert werden – allerdings braucht es dazwischen ein „Laufwerk“ als Cloud-Cache
  3. Dazu kamen diverse Konnektoren – wofür auch immer

Die Informationen sickerten nach und nach durch. Ein vollständiges Bild hatten wir erst 14 Tage vor der Wiedereröffnung der Praxis.

Where the rubber meets the road …

Für Punkt 1 konnte ich mit etwas Überzeugungsarbeit ein Synology-NAS (RS822+) ins Spiel bringen. Dank Synology Directory Server gab es eine kleine Domäne, über die sich die PCs (nun mit SSDs ausgestattet) verwalten ließen.

Mit maximalem RAM ausgestattet, liefen darauf zwei bis drei kleine VMs. Der AMD Ryzen 1500B ist zwar kein Kraftpaket, aber für kleine Aufgaben reicht’s. Die Bereitstellung der VMs übernahm der Synology Virtual Machine Manager (VMM), also QEMU/KVM so mehr oder weniger.

Zwei Windows-VMs wurden eingerichtet:

  • Eine mit 4 vCPUs, 16 GB RAM und 2 TB Speicher für den Cloud-Cache (Punkt 2).
  • Eine weitere mit 10 GB RAM für einen Healthconnector.

Nach einigen Optimierungen liefen die VMs stabil und flott – auch dank SSD-Cache im NAS.

Punkt 3: Die Konnektoren

Der erste Konnektor ließ sich problemlos installieren. Kein Thema. Dann kam der RISE-Konnektor – und wie so oft: ein Dienstleister, der sich als besonders „resistent“ erwies.

Natürlich, der Dienstleister ist immer der andere … Winking smile

Die „Anforderung“, in der virtuellen Windows-VM (QEMU/KVM-basiert) das „Hyper-V Networking“ zu installieren, war für mich nicht nachvollziehbar. Angeblich sei das für WireGuard-VPN nötig?! Das Eventlog zeigte jedenfalls mehr als nur „Hyper-V Networking“ – vielleicht hatte er sich jemand verklickt.

image

Mir ist kein explizites „Hyper-V Networking“ bekannt. Windows bietet auf dem Client die folgenden Features an:

Vor dem Reboot sah der Taskmanager noch wie folgt aus …

image

Die Konsequenzen waren aber dem Reboot zu sehen und verheerend.

image

Der Screenshot zeigt nicht das gesamte Ausmaß des Desasters, die virtuellen CPUs liefen über weite Strecken auf 100% und ein Arbeiten war nicht mehr möglich. Weder RDP-Sitzungen noch TeamViewer funktionierten. Auch mehr vCPUs halfen nicht wesentlich.

Ich konnte die Last auf etwa 40 % drücken – aber die VM blieb träge. Sehr träge.

image

Sobald die Hyper-V-Rolle innerhalb des Windows 11-Gastsystems installiert ist, beginnt sich die virtuelle Maschine selbst wie ein Hyper-V-Host zu verhalten (oder versucht es zumindest). Dies verändert die Art und Weise, wie Windows mit der zugrunde liegenden Hardware und der Virtualisierungsschicht interagiert und führt häufig zu:

  • Konflikten bei verschachtelter Virtualisierung: Hyper-V innerhalb einer VM (Nested Virtualization) kann mit den eigenen Virtualisierungsmechanismen von QEMU/KVM interferieren.
  • Problemen bei der Interrupt-Verarbeitung: Das System kann auf andere Taktquellen oder Interrupt-Modelle umschalten (z. B. hyperv_clocksource_tsc_page vs. tsc), was zu übermäßigen System-Interrupts und einer verschlechterten Leistung führen kann
  • Verändertes Timer- und Polling-Verhalten: Hyper-V kann beeinflussen, wie das Gastbetriebssystem Leerlaufzustände und Interrupts behandelt – insbesondere, wenn Funktionen wie halt_poll nicht abgestimmt sind

Ein zeitaufwändig erstellter Dump des Systemprozesses (PID 4) zeigte massenhaft IRPs – ein weiteres Indiz für Probleme durch Hypervisor-Verschachtelung.

image

Hyper-V musste also wieder runter

Final blieb nur die Möglichkeit Hyper-V zu entfernen, was dem Dienstleister nicht wirklich gefallen hat. Die Lösung war die Installation des RISE-Konnektors auf einen der PCs in der Praxis, wobei hier auf das Hinzufügen der Hyper-V Rolle verzichtet wurde?!Wir fragen nicht und nehmen die Alternative mal einfach so hin Sick smile

Die beiden folgenden PowerShell Aufrufe zeigten halfen das System dann anschließend zu korrigieren und in einen nutzbaren Zustand zu versetzen:

# Anzeigen aller aktivierten (enabled) Features in Windows 11
Get-WindowsOptionalFeature -Online | Where-Object {$_.State -eq "Enabled"}
# Deaktivieren der Hyper-V Rolle + manuellem Reboot hinterher
Disable-WindowsOptionalFeature -Online -FeatureName Microsoft-Hyper-V-All

Nach dem Neustart lief der RISE-Konnektor mit ~10 % Systemlast. Der Dienstleister war da schon am nächsten PC – und ich hatte ehrlich gesagt keine Lust mehr. Hauptsache, die VM lief wieder.

So, genügend Angry smile – einfach aufpassen und schauen, was “Fachkräfte” auf den Systemen so installieren und sich die Systemanforderungen im Vorfeld schriftlich per Mail besorgen.

Enjoy it, b!

Synology NAS | Replikation von Shares funktioniert nach Update vom 08.10.2025 nicht mehr

Veröffentlicht am von
Antwort

Mahlzeit zusammen, den Beitrag will ich heute ein Stück weit anders aufziehen. Gestern habe ich auf zwei NAS-Systemen ein Update einer Reihe von Paketen gemacht, einige unter anderem auch die Snapshot Replication, trugen den Verweis der Kompatibilität zur neuen Version 7.3 des DSM.

Das Problem

Nach dem Update der Pakete befindet sich die Replikation in folgendem Zustand.

image

Das Einrichten neuer Replikas schlägt mit einer nicht mehr endenden wollenden Replikation fehl.

Erste Lösungsversuche

Nach einigem Suchen, habe ich mich entschlossen einen Support-Case zu öffnen und hier war bis jetzt die Aussage, dass ich ein Upgrade des DSM auf die 7.3 versuchen soll. Zumindest auf den Synology RS1619xs+ wird die 7.3 nicht direkt angeboten sondern muss aus dem Support-Bereich geladen werden.

Hier der Download auf der Supportseite von Synology:

https://www.synology.com/de-de/support/download/RS1619xs+?version=7.2#system

Konkret wird es um ein Upgrade von 7.2.272806 auf 7.3-81180 gehen.

image

Heute Abend / Nacht will ich das Upgrade wagen …. stay tuned und …

Update 10.10.2025

Das manuelle Upgrade des DSM auf die Version 7.3-81180 wahr erfolgreich. Allerdings gab es auch hier zwei Punkte zu beachten.

  1. Die Snapshot Replication meldete einen “… ongoing Task”
  2. Eine Reihe von Anwendungen mussten nach dem Update auf 7.3 manuell aktualisiert werden
    – Active Backup * (Alle Active Backup Anwendungen wie Active Backup for Business und Active Backup for Microsoft 365 …)
    – PHP von 7.x auf 8.2

Punkt 1 habe ich mit einem reboot in den Griff bekommen:

Untitled-a

# Erzwingt einen Neustart ohne Synchronisierung oder Umount des Dateisystems. Dies sollte nur verwendet werden, wenn das System nicht mehr reagiert..
sudo reboot -f

Die VMs hatte ich davor natürlich heruntergefahren. Gerade im Bezug auf den Replikationsdienst lohnt sich vor dem Hammer mit oben (reboot -f) ein Beenden des eigentlichen Prozesses.

image

# Wenn der Prozess nicht auf SIGTERM reagiert, kann er mit dem Signal SIGKILL zwangsweise beendet werden
kill -9 pid

Punkt 2 war ebenfalls unproblematisch

Download der folgenden Pakete von Synology und manuelle Installation:

  • ActiveBackup-Office365-x86_64-2.6.1-14212.spk
  • ActiveBackup-x86_64-3.1.0-24948.spk
  • PHP8.2-x86_64-8.2.28-0107.spk

Ich habe die manuelle Installation durchgeführt (ohne die alten Pakete davor zu löschen).

Läuft Winking smile wieder …

Untitled-b

Zur Replikation noch drei Dinge die mir aufgefallen sind.

  1. Die auf “Replication Stopped” stehenden Replikas konnten manuell, nachdem beide NAS-Systeme auf DSM 7.3 aktualisiert waren, gestartet werden
  2. Neue Replikas konnte ebenfalls ohne Problem erstellt werden
  3. Nicht manuell gestartete Replikas wurden gemäß dem Zeitplan aktiviert und ausgeführt

Enjoy it, b!

Synology NAS | „there is an ongoing replication…“

Veröffentlicht am von
Antwort

Die Synology SnapShot Replication dient zur Replikation von Freigaben (Ordnern) auf ein anderes Synology-NAS. Einmal eingerichtet, funktioniert diese sehr zuverlässig – mit einer Ausnahme.

Das Problem ist, wenn es zu einer Änderung der IP-Adressen kommt

Angenommen, an einem der zahlreichen Adapter einer RS822+ wird eine Konfiguration geändert, wodurch eine weitere IP-Adresse im DNS registriert wird.
Danach wird die Replikation mit dem FQDN anstatt einer IP-Adresse eingerichtet.

Unbenannt-1

Solange beide IP-Adressen funktional und erreichbar sind, ist das kein Problem. Fällt aber eine der beiden wieder weg, bleibt sie erst einmal im DNS vorhanden und wird gemäß dem Round-Robin-Mechanismus im DNS (RFC 1749) bei Abfragen zurück geliefert. Da das NAS über diese Adresse aber nicht mehr erreichbar ist, kommt die Replikation ins Stocken und schlägt fehl. Was bei einem versuchten Neustart zu der in der Überschrift gezeigten Meldung (there is an ongoing replication …) führt und diesen verhindert.

Manchmal dauert es Stunden, bis sich die Replikation wieder erholt (unter der Voraussetzung, dass der nicht mehr vorhandene DNS-Eintrag gelöscht wurde) und solange kann das NAS kann auch nicht ohne Weiteres rebootet werden.

Ein Neustart über die Weboberfläche des DSM schlägt mit der Meldung „There is an ongoing replication task …“ fehl.

Ein Neustart des NAS über SSH, nicht optimal aber möglich

Eine Lösung, wenn man nicht warten will, ist der Neustart des NAS über eine SSH-Session. Dazu muss SSH aber aktiviert werden …

Control Panel / Connectivity / Terminal & SNMP

Unbenannt-2

… und natürlich auf Apply (rechts unten) klicken, damit die Änderungen übernommen werden.
Damit ist der Zugang zum NAS per SSH aktiviert und ein „erzwungener“ Neustart mit einem Benutzer, der die entsprechenden Rechte hat, möglich.

image

Bevor man das NAS nun „abschießt“, ist es ratsam, manuell Prozesse soweit wie möglich zu stoppen. Das heißt, virtuelle Maschinen herunterzufahren eventuelle Container zu stoppen und so weiter.

Hier die entsprechenden Befehle und Möglichkeiten:

# Anmeldung
ssh admin_username@nas_ip_address

# Wechsel mit sudo in den Root-Modus (optional)
sudo -i

Für den Shutdown / Reboot gibt es die folgenden Optionen:

# Beendet Dienste vor dem Neustart ordnungsgemäß, funktioniert aber bei einer hängenden Snapshot-Replikation nicht.
sudo reboot

# Startet sofort neu, wobei einige Abschaltroutinen übersprungen werden. Hat meistens bei der Snapshot-Replikation funktioniert.
sudo shutdown -r now

# Erzwingt einen Neustart ohne Synchronisierung oder Umount des Dateisystems. Dies sollte nur verwendet werden, wenn das System nicht mehr reagiert..
sudo reboot -f

# Dadurch werden alle Shutdown-Skripte umgangen und das System wird sofort neu gestartet. Letzte Instanz 🙂
echo 1 | sudo tee /proc/sys/kernel/sysrq
echo b | sudo tee /proc/sysrq-trigger

Enjoy it, b!

Synology Directory Server | Zertifikat abgelaufen

Veröffentlicht am von
Antwort

Wenn im Synology DSM das Zertifikat für den Synology Directory Server (SDS) abgelaufen ist, gibt es die Möglichkeit dieses Online wieder zu verlängern. Dazu sind die folgenden Schritte notwendig:

  1. Der Vorgang muss auf jedem Synology Directory Server (also auf jedem NAS) explizit durchgeführt werden (in diesem Netzwerk sind zwei davon vorhanden)
  2. Der DNS muss “korrekt” konfiguriert sein, was einfach bedeutet das mit dem NAS eine Verbindung in das Internet möglich ist und externe Domains aufgelöst werden
  3. Das DSM muss von außen über Port 80 (HTTP) erreichbar sein. Dazu muss auf dem Router eine Weiterleitung von Port 80 extern auf die <NAS-IP>:80 intern eingestellt werden. Danach ist diese Regel sofort wieder zu deaktivieren!

Im Detail sieht das wie folgt aus:

image

  • Issued by: domain.tld | Beispiel home.local
  • Subject Alternative Name: domain-controller.domain.tld | Beispiel mausi.home.local

Hier die Regel im Router, in diesem Fall ein Mikrotik:

image

Das hätte man auch ein wenig anders realisieren können, aber für die zwei Minuten funktioniert es sehr gut.

Nun wird im DSM unter Security / Certificate das Zertifikat ausgewählt und mit Action / Renew certificate das Renewal angestoßen.

image

Zur Sicherheit gibt das DSM nochmals einen Hinweis auf die notwendige DNS / Firewall-Konfiguration.

image

Mit  Renew Certificate dauert der Vorgang nur wenige Sekunden und es ist lediglich erforderlich, die Seite erneut zu laden.

image

Jetzt wieder Port 80 auf dem Router schließen und wir sind fertig.

Enjoy it, b!

Hyper-V | Konvertierung virtueller Disks

Veröffentlicht am von
Antwort

Gerade gibt es im Bereich der Virtualisierung recht viel zu tun. Ein zentrales Thema ist dabei die Konvertierung von virtuellen Disks (VHD). Da Broadcom VMware freiwillig aufs Abstellgleis geschoben hat, spielen OpenSource und Hyper-V immer mehr eine wichtige Rolle.

Ich bin schon lange ein Freund von Hyper-V, da damit auch in kleinen Umgebungen virtualisiert werden kann, wenn ohnehin schon eine Windows Server-Lizenz vorliegt. Spätestens seit QNAP und Synology ihre NAS-Systeme mit Prozessoren von AMD und Intel ausstatten und zudem Hauptspeicher von 32 GB und mehr vorhanden ist, spricht nichts dagegen, auch auf einem NAS einen Anwendungsserver zu virtualisieren.

QEMU, hin und zurück

Während sich VHDs von Hyper-V (auch VHDX genannt) unter dem Synology Virtual Machine Manager importieren lassen und dabei zu einer VMDK konvertiert werden, ist bei der Migration einer VM von einer Synology auf einen Hyper-V-Server Handarbeit erforderlich.

Wird eine VM auf einem Synology-NAS exportiert, liegt am Ende des Vorgangs eine OVA-Datei in einem Verzeichnis/Share vor.

Die OVA-Datei ist ein Container, der neben allen Festplatten der VM auch deren Konfiguration in Form einer XML-Datei beinhaltet. Letztere wurde jedoch aus „Sicherheitsgründen” mit der Endung OVF versehen.

Der Importvorgang unter Hyper-V, der im Grunde keiner ist, läuft dabei wie folgt ab:

  1. Erstellen einer VM in Hyper-V mit den passenden Parametern. Hat man sich die Konfiguration nicht gemerkt, kann man ja in der OVF-Datei nachschauen
  2. Kopieren der VHDX in den Ordner “Virtual Hard Disks”
  3. Anhängen der virtuellen Disk (VHDX ) an die VM
  4. Start der VM

Wie kommt man nun aber von der OVA zu einer VHDX -Datei?

Dazu sind die folgenden Schritte notwendig:

image

Hier die einzelnen Befehle und bitte die Namen der Disks anpassen:

::  Entpacken der OVA-Datei mit 7z
7z.exe e w11-test-02.ova

::  Konvertieren der ersten Disk aus der OVA-Datei (welche das Betriebssystem enthaelt) in das vhdx-Format
qemu-img.exe convert w11-test-02-disk1.vmdk -O vhdx -o subformat=dynamic w11-test-02.vhdx

Nachdem Microsoft den Virtual Machine Converter (MVMC) aus unerfindlichen Gründen beerdigt hat, verwende ich neben dem QEMU disk image utility noch Disk2vhd, wenn ich mich nur in der Microsoft-Welt bewege.

Nachdem Microsoft aus unerfindlichen Gründen den Virtual Machine Converter (MVMC) eingestellt hat, verwende ich neben dem QEMU Disk Image Utility noch Disk2VHD, wenn ich mich ausschließlich in der Microsoft-Welt bewege.

Enjoy it, b!

Synology | Berechtigungen

Veröffentlicht am von
Antwort

Die Zuweisung von Berechtigungen für freigegebene Ordner auf einem Synology NAS erfolgt für die lokale Gruppe der Administratoren (administrators) mit Lesen/Schreiben.

image

Würde man diese Einstellung übernehmen, könnte der Eindruck entstehen, dass ein Vollzugriff auf den Ordner besteht.

Die Vergabe von Lese-/Schreibrechten ist für die meisten Aktionen ausreichend. Versucht man jedoch, z.B. mit PowerShell und dem NTFSSecurity Module, die Zuweisung auf einzelne Verzeichnisse innerhalb des freigegebenen Ordners automatisiert zu ändern, so schlägt diese Änderung fehl.

Letztlich fehlen zu den vollständigen Berechtigungen noch die Rechte zum Ändern von Berechtigungen und zum Übernehmen von Eigentum, die über die benutzerdefinierten Einstellungen explizit vergeben werden müssen.

image

Durch Aktivieren der rot markierten Checkbox öffnet sich der erweiterte Dialog des Berechtigungs-Editors und ermöglicht unter Administration die Vergabe der beiden fehlenden Rechte (grüner Kasten).

image

Enjoy it, b!

Default Domain Policy | Fehlende Remote Installation Services in der GPO

Veröffentlicht am von
Antwort

Eigentlich habe ich die Default Domain Policy in den Active Directory Domains (AD) meiner Kunden nie verändert. Jetzt, da ich durch den Verlust meines geliebten Small Business Servers vermehrt den Synology Directory Server einsetze (sagen wir einfach mal Samba dazu) bin ich beim Aufräumen auf eine veränderte Default Domain Policy gestoßen. Deren Einstellung wurden im Zuge einer Migration auf den Windows Small Business Server erweitert (Remote Installation in der User Configuration).

image

Von den Zeitstempeln (Created und Modified) würde das passen.

image

Ein Löschen der Einträge war leider nicht möglich, da diese nicht im Editor (gpedit) angezeigt wurden. Schließlich konnte ich aber die dazugehörige Richtlinien-Datei mit der GUID {31B2F340-016D-11D2-945F-00C04FB984F9} im SysVol finden und die Default Domain Policy bereinigen.

image

Man kann auch mit einem dir nachschauen, ob die Einstellungen dort wirklich zu finden sind (just to be sure).

image

Gelöscht wird über eine mit administrativen Rechten ausgeführte cmd.exe oder PowerShell und zwar der USER\Microsoft\Remote Installation Ordner und nicht die Policy selbst!

:: Löschen des Ordners "Remote Install" in der Policy
rd "\\synology-nas\sysvol\mydomain.local\Policies\{31B2F340-016D-11D2-945F-00C04FB984F9}\USER\Microsoft\Remote Install" /s /q

Nochmals und aus gegebenem Anlass, nicht die Policy löschen da es sich auch noch um die Default Domain Policy handelt und dcgpofix nur auf einem Windows Domain Controller ausgeführt werden kann, der ja in diesem Fall nicht vorhanden ist.

Enjoy it, b!

Synology L2TP-VPN mit Windows

Veröffentlicht am von
Antwort

Der Synology VPN Server bietet eine einfache und vor allem kostenlose Möglichkeit gesicherte Zugänge ins lokale Netzwerk herzustellen.

Der größte Vorteil ist, dass auf einem Windows-System keine zusätzliche Software installiert werden muss, es genügen ein oder zwei Einstellungen in der Registry und die Konfiguration des VPN-Tunnels per PowerShell. Vor allem wird die Geschwindigkeit des Windows Systems nicht beeinflusst, wie das zum Beispiel bei einem Lancom Advanced VPN-Client der Fall ist, mit dem sich der Startvorgang von Windows deutlich verlängert.

In diesem Blog geht es um die Einrichtung des VPN unter Windows. Damit der VPN-Server funktioniert, müssen die folgenden Punkte berücksichtigt werden:

  • Öffentliche IPv4-Adresse des Routers muss über einen DynDNS-Dienst erreichbar sein. Auch wenn eine feste IP-Adresse vom Provider vorhanden ist, empfehle ich deren Maskierung über einen DNS-Namen!
  • Der VPN-Server muss auf dem Synology NAS installiert und konfiguriert sein
  • Die Ports 500, 4500 und 1701 müssen für UDP vom Router auf das Synology NAS weitergeleitet werden

Hier der Screenshot einer FRITZ!Box mit den Weiterleitungen für L2TP, auf die interne IP-Adresse des Synology NAS (und damit dem VPN-Server) mit 172.16.16.13

image

Einmalig zu konfigurierende Einstellungen für das L2TP-VPN unter Windows

Microsoft beschreibt in diesem Artikel, mögliche Werte für die Konfiguration. Nach meiner Erfahrung befinden sich fast immer, sowohl der VPN-Client (also das Windows System) als auch das Synology NAS (und damit der VPN-Server) hinter einer mit NAT umgesetzten Umgebung. Darum habe ich den Wert 2 als Default in meinem Skript verwendet.

PowerShell L2TP-VPN Registry-Setting

Auszuführen ist der Code mit erweiterten Rechten in einer PowerShell-Sitzung (elevated), was aber im Skript ebenfalls abgeprüft wird. Nach dem Setzen des Wertes ist ein Neustart von Windows sinnvoll. Danach können von jedem Benutzer eigene, auf L2TP basierende VPN-Tunnels erstellt werden.

Erstellen eines L2TP basierten VPN-Tunnels

Der VPN-Zugang kann natürlich in den VPN-Einstellungen von Windows “durchgeklickt” werden, vor allem bei mehreren Benutzern und einfacher, ist die Verwendung der PowerShell und des folgenden Skriptes.

image

Zur Ausführung des Skriptes sind die folgenden Punkte zu beachten.

  • Das Skript wird im Benutzer-Kontext ausgeführt und ist individuell für jeden Benutzer anzupassen
  • Dafür sind ist die Variabel $User entweder mit einem Benutzer aus der Domäne zu belegen oder mit einem lokalen Benutzer auf dem Synology NAS. Ist ein AD / Domäne vorhanden, empfiehlt es sich diese zu verwenden, da dann das gleiche Passwort wie zur Anmeldung verwendet werden kann. Darüber hinaus bitte immer nur den Benutzernamen eintragen, die Domäne ist nicht notwendig

Generell sind für alle Benutzer die einen Zugang per VPN erhalten sollen, die folgenden Einstellungen zu treffen:

  • $ServerAddress = Ein über DNS (DynDNS) auflösbarer Name der vom Provider zugewiesenen IPv4 Adresse, die Konfiguration des DyDns-Providers kann man auf dem Router, dem Synology NAS oder einem anderen Endgerät durchführen
  • $L2tpPsk = Der im Synology VPN-Server hinterlegte Pre-Shared Key

Der Pre-Shared Key ist auf dem VPN-Server hinterlegt und muss auch in allen Konfigurationen auf den Endgeräten verwendet werden, er ist also immer gleich. Wer bei der Einrichtung einen hinreichend langen Key erstellen will, kann sich der auskommentierten Zeile 13 und PowerShell bedienen.

image

Damit ist die Konfiguration auch schon fertig, nun stellt sich nur die Frage was tun, wenn der Zugang nicht funktioniert?

Update 01.05.2024

Will man ein L2TP-VPN von einem Apple IOS Device nutzen (iPad Pro), dann darf der Pre-Shared Key nicht länger als 128 Zeichen sein. Thanks Apple for this unnecessary limitation. Sonst klappt die Verbindung nicht!

Das hat übrigens nichts mit diesen Support-Artikel von Apple zu tun. Dieser besagt lediglich, dass die Option Enable SHA-254 compatible mode (96Bit) nicht aktiviert werden darf.

Troubleshooting, Allgemeine Checks (DNS und Ports)

Ein korrekt über das Skript angelegter VPN-Zugang taucht als zusätzlicher WAN Miniport (L2TP) Adapter in den Netzwerkverbindungen auf, konfiguriert man mehrere Zugänge, dann gibt es auch mehrere Netzwerkverbindungen.

image

Prüfen ob von Windows aus der Synology VPN Server per nslookup auflösbar ist.

Nochmalige Prüfung on die drei UDP-Ports wirklich auf das NAS zeigen und ob auch wirklich UDP und nicht TCP verwendet wurde. Die Portnummern sind, nochmals zur Vollständigkeit 500, 4500 und 1701

Troubleshooting, Fehler 787

Für den Fall, dass der Aufbau des VPNs mit einem Fehler 787 fehlschlägt, ist ebenfalls in einer PowerShell-Sitzung mit erweiterten Rechten der unten stehende Code zur Ausführung zu bringen. Die dort beschriebene Änderung hat Microsoft ebenfalls in einem Artikel dokumentiert.

image

Bisher musste ich diesen Wert nur 2x setzen, daher habe ich ihn im Skript, das als Download zur Verfügung steht deaktiviert.

Troubleshooting, die Namensauflösung durch den Tunnel funktioniert nicht

Bei einem aufgebauten VPN-Tunnel funktioniert die Auflösung der dahinter liegenden DNS-Namen nicht. Der Grund dafür ist relativ einfach, Windows verwendet den DNS-Server mit dem Netzwerkadapter mit der kleinsten InterfaceMetric.

image

Wird nun der VPN-Verbindung die niedrigste InterfaceMetric zugewiesen, dann gehen die Abfragen des DNS durch den Tunnel.

image

Abfragen und ändern der InterfaceMetric kann man über die folgenden beiden PowerShell-Befehle erreichen.

image

Damit wird der, auf dem VPN-Server konfigurierte DNS verwendet und eine Verwendung und Abfrage von Namen als FQDN ist möglich.

Die niedrige InterfaceMetric für den VPN-Netzwerkadapter spielt im Betrieb ohne VPN keine Rolle, da dann der Netzwerkadapter deaktiviert ist.

Für und wider dem Synology VPN Server

Der Synology VPN Server hat eine Reihe von Eigenschaften die bekannt sein sollten, bevor man sich für diese Lösung entscheidet.

  1. Es ist nicht möglich ein Site-2-Site VPN zu erstellen, dass behält Synology seinen Routern vor
  2. Die Verwendung von DNS-Splittunneling ist nicht möglich, auch das geht nur mit Synology Routern (oder natürlich alternativen VPN-Lösungen)
  3. Wireguard ist schneller

Warum verwende ich dann trotzdem den Synology VPN Server?

  • Er ist kostenlos
  • Windows ist als VPN-Client einfach per PowerShell zu konfiguieren und es muss kein Agent installiert werden. Damit entfallen Updates und es werden Sicherheitsrisiken reduziert

Enjoy it, b!

LSA 40970 | Fehlende SPNs im Synology Directory

Veröffentlicht am von
Antwort

Hier geht es nicht nur um den Synology Directory Server, sondern auch um ein Problem in einer Samba-Domain allgemein. Letztendlich basiert der Synology Directory Server auf Samba und damit kann für eine Fehleranalyse und Behebung auf die Informationen im Samba-Wiki zurück gegriffen werden und natürlich auch (mit einer gewissen Vorsicht) die RSAT-Active Directory Tools vom Microsoft zum Einsatz kommen.

Hier noch ein Hinweis in eigener Sache:
Es handelt sich hier um eine Test/Labor-Umgebung, allerdings aus einem Kundenumfeld, darum habe ich die Namen entsprechend ersetzt.

Nach einer Reihe von Reparaturen in der Labor-Domain dslab.local, zeigte ein Computer die folgende Warnung im Ereignissprotokoll.

image

Da die Domain zwei DCs hat, war es kein großes Ding die SPNs beider Systeme miteinander zu vergleichen und tatsächlich fehlten dem nc-nas-11 eine Vielzahl von SPNs, die auf dem nc-ncs-14 zu finden waren.

image

Gegenüber den Einträgen des nc-nas-14 ist das recht spärlich Smile

image

Nachdem die fehlenden SPNs, analog zu den Einträgen des nc-nas-14 mit setspn registriert waren, verschwand auch der LSA 40970 im Ereignisprotokoll.

Enjoy it, b!

Synology DS | NVMe-SSD im RAID1

Veröffentlicht am von
Antwort

Ich glaube, dass hier über meine Zuneigung zu den Synology NAS-Systemen keine Zweifel herrschen. Allerdings gehe ich persönlich nicht ganz mit der Produktpolitik von Synology konform. Die bessere Integration oder sogar “only-supported”-Strategie von Synology-Festplatten und Synology-SSDs erschließt sich mir nicht vollständig, zumal diese gewisse Lücken offen lässt. So, um was geht es den hier genau?

Dieser Blog beschreibt die Konfiguration eines Volumes mit non-Synology NVMe-SSDs in einem RAID1. Zuerst erfolgt die Konfiguration und im Anschluss eine Reihe von Gedanken die ich mir zu diesem Thema gemacht habe. Für die Nerds unter uns, ist der Blog nach der Konfiguration fertig Smile

Hinweis:
Die hier gezeigte Konfiguration entspricht nicht den Support-Vorgaben von Synology und erfolgt auf eigenes Risiko.

Konfiguration eines RAID1 mit Samsung NVMe-SSDs

Die Ausgangssituation für diesen Beitrag ist die Folgende:

Das Ziel ist ein weiterer Storage Pool (Storage Pool 2) mit einem Volume bestehend aus den beiden Samsung NVMe SSDs in einem RAID1-Verbund.

Die Voraussetzungen, sind die folgenden:

  • Beide NVMe-SSDs sind eingebaut und werden von der Synology im Storage Manager erkannt
  • SSH wurde auf der Diskstation aktiviert

Die ersten Schritte erfolgen in der SSH-Session und erstellen einen weiteren Available Pool 1 / Verfügbaren Pool 1 (je nachdem welche Sprache die Diskstation verwendet).

image

image

Die Befehle oben gibt es hier in einer ZIP-Datei zum Herunterladen. Ich bevorzuge zum Öffnen entweder Visual Studio Code oder Notepad++ da damit eine ansprechende Formatierung möglich ist.

Dem Rahmen in Orange entnehmen wir, dass der Available Pool 1 assembliert werden muss – Online Assemble was im Fenster rechts oben über die drei, in einer Reihe liegenden Punkte erfolgt (Rahmen in Blau)

image

Hinter diesen drei Punkten ( ) befindet sich die Option Online Assemble, die nach anklicken noch mit Apply bestätigt werden muss.

image

Der Storage Manager zeigt daraufhin einen Storage Pool 2 an, der assembliert wird.

image

Öffnet man den Storage Pool 2 findet man die beiden Samsung M.2 SSDs mit ihrer Kapazität (Drive Size) und darunter das Volume 2 mit einer knapp darunter liegenden Kapazität von 889,9GB

image

Damit ist das Volume 2 erstellt und kann verwendet werden. Für mich war der Grund, darauf eine VM laufen zu lassen, die von der deutlich besseren Performance der Samsung SSDs profitiert. Dazu muss ich das neue Volume 2 im Virtual Machine Manager noch hinzufügen, was über das Menü Storage/Add möglich ist.

image

Nach einem Klick auf Add erscheint der Wizard um eine Storage Ressource zu erstellen (Create Storage Resource) der mit Start gestartet wird. Dort steht wiederum das erstellte Volume 2 zur Auswahl …

image

… das nach Konfiguration genereller Einstellungen, verwendet werden kann.

image

Existiert, wie in diesem Fall, schon auf Volume 1 eine VM, so kann diese auf das Volume 2 im Virtual Machine Manager migriert werden. Wie schnell der Vorgang von statten geht, hängt hauptsächlich von der Lese-Geschwindigkeit des Quell-Volumes ab.

Überlegungen zur Konfiguration der Samsung SSDs

Die Verwendung der beiden M.2 Slots für eine NVMe SSD ist natürlich verlockend. Wirft man einen Blick in die Synology-Kompatibilitätsliste, tritt hier schnell Ernüchterung ein. Außer den beiden Synology SSDs der SNV3410 und SNV3400-Serien mit jeweils 400 und 800GB sind keine Alternativen zu finden.

Die Synology-Laufwerke haben mindestens zwei Einschränkungen.

  1. Sie sind teuer (SNV3410-800G für ~ 300€ netto, Samsung 990 Pro M.2 mit 1TB für 83,00€ netto)
  2. Die maximale Kapazität endet bei 800GB und damit lassen sich größere Kapazitäten (mit 2 oder 4TB) mit Boardmitteln nicht erreichen

Betrachten wir die Synology SNV3410-800G, so wird für diese der 3,5-fache Preis einer Samsung SSD 990 Pro mit 1TB aufgerufen und auch die Samsung ist zum Einsatz im Dauerbetrieb geeignet (wenn auch nicht für eine Synology NAS zertifiziert).

Synology verhindert im Storage Manager offiziell die Konfiguration von NVMe-SSDs anderer Hersteller zu einem Volume, belegt aber deren Verwendung als Cache mit lediglich einer Warnung. Sogar die Speicherung von BTRFS-Metadaten im Cache ist mit nicht-zertifizierten SSDs möglich.

Unter dem technischen Aspekt, befindet sich in Cache oberhalb des eigentlichen Volumes, ein zusätzlich konfiguriertes Volume mit einem RAID1 ist parallel dazu angeschlossen. Gibt es also mit dem NVMe-RAID1 Probleme, dann erwarte ich hier wenig bis keinen Einfluß auf andere Volumes, als wenn diese NVMe-SSDs als Cache dazwischen arbeiten. Im Worst-Case wären die VMs auf dem “nicht-supportetem” Volume weg, die wir aber mit Active Backup for Business sichern können.

Ich hätte ein anderes Verhalten im Storage Manager hinterlegt, bei 3rd-Party SSDs wäre eine Warnung beim Erstellen von Volumes angebracht gewesen, als Cache würde ich deren Nutzung unterbinden.

To Cache or not to Cache

Diese Frage kann man nur differenziert beantworten und genau darum will ich das in einem weiteren Artikel beschreiben.

Damit erstmal viel Spaß mit dem neuen NVMe-Raid Winking smile

Enjoy it, b!