Einleitung
In diesem Dokument wird beschrieben, wenn eine virtuelle E-Mail Security Appliance (vESA) keine Updates für die Cisco Antispam Engine (CASE) oder den Sophos- und/oder McAfee-Virenschutz herunterlädt und anwendet, obwohl die virtuelle Appliance korrekt lizenziert ist.
Voraussetzungen
Anforderungen
Cisco empfiehlt, dass Sie über Kenntnisse in folgenden Bereichen verfügen:
- E-Mail Security Appliance (ESA)
- vESA, Virtual Web Security Appliance (vWSA), Virtual Security Management Appliance (vSMA)
- AysncOS
Verwendete Komponenten
Die Informationen in diesem Dokument basierend auf folgenden Software- und Hardware-Versionen:
- vESA mit AsyncOS 8.0.0 und höher
- vWSA mit AsyncOS 7.7.5 und höher
- vSMA mit AsyncOS 9.0.0 und höher
Die Informationen in diesem Dokument beziehen sich auf Geräte in einer speziell eingerichteten Testumgebung. Alle Geräte, die in diesem Dokument benutzt wurden, begannen mit einer gelöschten (Nichterfüllungs) Konfiguration. Wenn Ihr Netz Live ist, überprüfen Sie, ob Sie die mögliche Auswirkung jedes möglichen Befehls verstehen.
vESA kann keine Updates für Antispam oder Antivirus herunterladen und anwenden
Wenn Sie Antispam oder Antivirus aktualisieren, können die Prozesse nicht auf die Service-Engine oder die Regelsätze zugreifen und diese aktualisieren, selbst wenn Sie den Befehl update force eingeben.
Einer dieser Befehle wurde möglicherweise direkt über die CLI in vESA eingegeben:
> antispamupdate ironport
> antispamupdate ironport force
> antivirusupdate force
> updatenow force
Wenn Sie tail updater_logs ausführen, werden folgende Fehler beobachtet:
Mon Oct 21 17:48:43 2013 Info: Dynamic manifest fetch failure: Received invalid update manifest response
Dies weist darauf hin, dass die dynamische Host-URL, die der Update-Konfiguration zugeordnet ist, nicht das richtige Updatermanifest erreichen kann. Die URL des dynamischen Hosts wird mit dem Befehl updateconfig festgelegt. Der Unterbefehl dynamichost ist ein ausgeblendeter Befehl in updateconfig, wie hier hervorgehoben:
myesa.local> updateconfig
Service (images): Update URL:
------------------------------------------------------------------------------
Feature Key updates http://downloads.ironport.com/asyncos
McAfee Anti-Virus definitions Cisco IronPort Servers
RSA DLP Engine Updates Cisco IronPort Servers
PXE Engine Updates Cisco IronPort Servers
Sophos Anti-Virus definitions Cisco IronPort Servers
IronPort Anti-Spam rules Cisco IronPort Servers
Intelligent Multi-Scan rules Cisco IronPort Servers
Outbreak Filters rules Cisco IronPort Servers
Timezone rules Cisco IronPort Servers
Cisco IronPort AsyncOS upgrades Cisco IronPort Servers
IMS Secondary Service rules Cisco IronPort Servers
Service (list): Update URL:
------------------------------------------------------------------------------
McAfee Anti-Virus definitions Cisco IronPort Servers
RSA DLP Engine Updates Cisco IronPort Servers
PXE Engine Updates Cisco IronPort Servers
Sophos Anti-Virus definitions Cisco IronPort Servers
IronPort Anti-Spam rules Cisco IronPort Servers
Intelligent Multi-Scan rules Cisco IronPort Servers
Outbreak Filters rules Cisco IronPort Servers
Timezone rules Cisco IronPort Servers
Service (list): Update URL:
------------------------------------------------------------------------------
Cisco IronPort AsyncOS upgrades Cisco IronPort Servers
Update interval: 5m
Proxy server: not enabled
HTTPS Proxy server: not enabled
Choose the operation you want to perform:
- SETUP - Edit update configuration.
[]> dynamichost
Enter new manifest hostname : port
[update-manifests.sco.cisco.com:443]>
Richten Sie die Appliance so ein, dass die richtige dynamische Host-URL verwendet wird
Es gibt zwei verschiedene dynamische Host-URLs, die für Kunden verwendet werden, je nachdem, wie sie über Cisco verknüpft werden:
- update-manifests.sco.cisco.com:443
- Verwendung: Kunde vESA, vWSA, vSMA
- stage-stg-updates.ironport.com:443
- Nutzung: Freundschaften, virtuelle Beta- und Hardware-Appliances
Hinweis: Hardware-Appliances (C1x0, C3x0, C6x0 und X10x0) sollten NUR die dynamische Host-URL von update-manifests.ironport.com:443 verwenden. Wenn eine Cluster-Konfiguration mit der ESA und vESA vorliegt, muss die Updatekonfiguration auf Computerebene konfiguriert werden und anschließend bestätigen, dass dynamichost entsprechend eingestellt ist.
Hinweis: Kunden sollten die Staging-Update-Server-URLs nur verwenden, wenn sie zuvor über Cisco nur für die Nutzung unter Beta Zugriff auf die Vorabbereitstellung erhalten haben. Wenn Sie keine gültige Lizenz für die Betaverwendung beantragt haben, erhält Ihre Appliance keine Updates von den Staging-Aktualisierungsservern.
Geben Sie als Fortsetzung von updateconfig und dem Unterbefehl dynamichost die URL des dynamischen Hosts nach Bedarf ein, kehren Sie zur CLI-Hauptaufforderung zurück, und bestätigen Sie die Änderungen:
Enter new manifest hostname : port
[update-manifests.sco.cisco.com:443]> stage-stg-updates.ironport.com:443
[]> <<<HIT RETURN TO GO BACK TO THE MAIN CLI PROMPT>>>
myesa.local> commit
Überprüfung
Führen Sie die folgenden Schritte aus, um sicherzustellen, dass die Appliance nun die richtige URL für den dynamischen Host anzeigt und die Updates erfolgreich durchgeführt wurden:
- Erhöhen Sie den Wert updater_logs zum Debuggen.
Currently configured logs:> logconfig
Log Name Log Type Retrieval Interval
---------------------------------------------------------------------------------
1. antispam Anti-Spam Logs Manual Download None
[SNIP FOR BREVITY]
28. updater_logs Updater Logs Manual Download None
29. upgrade_logs Upgrade Logs Manual Download None
Choose the operation you want to perform:
- NEW - Create a new log.
- EDIT - Modify a log subscription.
- DELETE - Remove a log subscription.
- SETUP - General settings.
- LOGHEADERS - Configure headers to log.
- HOSTKEYCONFIG - Configure SSH host keys.
[]> edit
Enter the number of the log you wish to edit.
[]> 28 [NOTE, log # will be different on a per/appliance basis]
Please enter the name for the log:
[updater_logs]>
Log level:
1. Critical
2. Warning
3. Information
4. Debug
5. Trace
[3]> 4
[SNIP FOR BREVITY]
myesa_2.local> commit
- Führen Sie eine erzwungene Aktualisierung für Antispam (Antispamupdate force) oder Antivirus (Antivirusupdate force) aus.
myesa.local> antivirusupdate force
Sophos Anti-Virus updates:
Requesting forced update of Sophos Anti-Virus.
- Geben Sie anschließend "tail updater_logs" ein, und stellen Sie sicher, dass die Appliance den Dynamichost wie folgt erreichen kann:
Mon Oct 21 18:19:12 2013 Debug: Acquiring dynamic manifest from stage-stg-updates.ironport.com:443
Fehlerbehebung
Gehen Sie wie folgt vor, um Probleme zu beheben:
- Stellen Sie sicher, dass die Standardeinstellung updateConfig verwendet wird. Wenn sich vESA oder der Host hinter einer Firewall befindet, stellen Sie sicher, dass Updates mit einem statischen Server verwendet werden.
- Stellen Sie sicher, dass Telnet zur URL des dynamischen Hosts wie gewählt werden kann:
> telnet
Please select which interface you want to telnet from.
1. Auto
2. Management (172.16.6.165/24: myesa_2.local)
3. new_data (192.168.1.10/24: myesa.local_data1)
[1]>
Enter the remote hostname or IP address.
[]> stage-stg-updates.ironport.com
Enter the remote port.
[25]> 443
Trying 208.90.58.24...
Connected to stage-stg-updates.ironport.com.
Escape character is '^]'.
^] ["CTRL + ]"]
telnet> quit
Connection closed.
Zugehörige Informationen
Feedback