FortiGate「No default firmware」復旧手順:TFTPでOS再導入する方法

FortiGate「No default firmware」復旧手順:TFTPでOS再導入する方法 Fortinet

再起動後に「No default firmware」で停止。TFTPエラー、再起動しても復活せず――。
現場でこの症状が出ても、TFTPでOSを再導入すれば復旧できます。
本記事は実機ログ付きで、復旧の流れ→実行コマンド→つまずきポイントの対処までを順番に解説します。

Please connect TFTP server to Ethernet port 'WAN1'.
MAC: 70:4C:A5:xx:xx:xx
Connect to tftp server 192.168.1.168 ...
TFTP error: 'File not found' (1)
Not retrying...

Booting OS...
No default firmware. You may try backup.
Please power cycle. System halted.

この状態になると、内部ストレージから起動用のOS(ファームウェア)を読み込めず、システムが停止します。
今回は、TFTP経由でファームウェアを再導入して復旧する方法を、実際のログ付きで解説します。
例として FortiGate 50E を使用していますが、手順は他モデルでも共通です。

症状の概要

以下のような出力がコンソールに表示された場合、この手順で対応します。


FortiGate-50E (17:37-01.31.2017)
Ver:05000016
Serial number: FGT50E3U17024736
CPU(00): 1600MHz
Total RAM: 2GB
Initializing boot device...
Initializing MAC... egiga1
Please wait for OS to boot, or press any key to display configuration menu..........

Booting OS...
No default firmware. You may try backup.
 Please power cycle. System halted.

意味の整理

メッセージ内容
TFTP error: 'File not found'TFTPサーバーは応答したが、要求されたファイルが存在しない
No default firmware内部Flashに起動用OSが存在しない、または破損している
System halted起動できないため停止

主な原因

原因内容
ファームウェア更新中の電源断や中断Flash書き込みが未完了になりOSが破損
OS削除・フォーマット実行内部領域からイメージが消去
Flashメモリの書き換え限界書き込みエラーにより読み出し不能(再導入で一時的に回復する場合あり)
他モデル用イメージの書き込み不整合により起動不能

※Flashメモリの寿命が尽きた場合、OSを再導入しても再発する可能性があります。
Fortinetのベストプラクティス資料でも、長期稼働機器ではFlash障害に注意が必要とされています(後述参照)。

復旧に必要な準備

項目内容
TFTPサーバーソフト例:Tftpd64 / SolarWinds TFTP Server など
ファームウェアイメージ対応モデル用の .out ファイル(Fortinetサポート契約で入手)
コンソール接続USBまたはRS232ケーブル
LANケーブル機器とPCを直結接続(スイッチ経由でも可)

接続構成の例

機器IPアドレス備考
対象機器(WAN1)192.168.1.99TFTPクライアント側
TFTPサーバー(PC)192.168.1.168イメージ提供側

TFTPサーバーのルートディレクトリに .out ファイルを配置します。
例:FGT_50E-vx.x.x-build0600-FORTINET.out

ブートメニューに入る

  1. 機器を再起動する。
  2. 起動直後に以下のメッセージが出たら、Enterキーを押します
Please wait for OS to boot, or press any key to display configuration menu.
  1. メニューが表示されたら、まず C を入力してネットワークパラメータを修正。
    (IPアドレスやTFTPサーバーIPなどを確認・設定)
  2. 設定を保存後、再度メニューに戻り T を選択し、TFTPリカバリを開始します。

実際のTFTP転送ログ

Enter remote TFTP server IP address [192.168.1.168]:

Please connect TFTP server to Ethernet port 'WAN1'.
MAC: 70:4c:a5:42:84:18
Connect to tftp server 192.168.1.168 ...
###################################################################################
Image Received.
Checking image... OK
Save as Default firmware/Backup firmware/Run image without saving:[D/B/R]?D

「D/B/R」選択肢の説明

入力内容解説
DDefault firmware今回転送したファームウェアをメインOSとして保存(通常はこれ)
BBackup firmware予備スロットに保存(既存OSがある場合)
RRun without saving保存せず一時的に起動(再起動で消える)

内部OSが無い状態では、「D」一択です。

Flashへの書き込みと起動

D を入力後、Flashメモリへの書き込みが始まります。

Programming the boot device now.
............................................................
.............................................................

この処理には数分かかる場合があります。
転送速度設定が「Auto」のままだと、機器とPC側で速度交渉が合わず、転送が途中で停止する事例もあります。
その場合は、NICの速度を100Mbps固定に設定して再試行すると改善します。

書き込み完了後の起動ログ

Booting OS...
Reading boot image... 3058688 bytes.
Initializing firewall...

System is starting...

FortiGate login: admin
Password:
You are forced to change your password, please input a new password.
New Password: ********
Confirm Password: ********
Welcome!
#

初回ログイン時、デフォルトパスワードが設定されていない場合は空欄でEnterします。
その後、新しい管理者パスワードを設定してください。

復旧後の確認コマンド

CLIで次のコマンドを実行します。

get system status

ここでファームウェアバージョンやシリアル番号が正常に表示されていれば復旧成功です。
GUI(Web)にアクセスした場合は、初回セットアップウィザードが表示されることもあります。

トラブル事例と対処

症状対処法
File not found エラーファイル名が一致していない(大文字小文字も区別)
転送が途中で止まるNIC速度を固定(Auto同士だと交渉失敗する場合あり)
転送が始まらないIPアドレス設定やケーブルを確認
ログインできないデフォルトPWが空欄でない場合がある。初期化も検討(execute factoryreset
書き込み後も再発Flashメモリの物理障害。RMA(修理交換)を推奨

まとめ

「No default firmware」エラーは、内部OSが破損または消失した状態で発生します。
しかし、TFTPを用いて正しいファームウェアを再導入すれば、ほとんどの場合で復旧可能です。

ポイントは以下の通りです。

  1. ブートメニューを開く(Enterキー)
  2. Cでネットワークパラメータ修正、TでTFTPモード起動
  3. 正しいイメージファイル名を指定
  4. 「D」で保存(Default firmware)を選択
  5. NIC速度を固定し、転送中は中断しない

参考情報