Einleitung
In diesem Dokument wird beschrieben, wie Sie das Problem umgehen, wenn bei einer Cisco E-Mail Security Appliance (ESA) beim Erstellen oder Beitreten zu einem Cluster eine Zeitüberschreitung auftritt, wenn keine DNS-Pointer-Datensätze (PTR) verfügbar sind.
Voraussetzungen
Die Informationen in diesem Dokument basierend auf folgenden Software- und Hardware-Versionen:
- AsyncOS für Email Security Version 8.0 und höher
Hintergrundinformationen
Wenn Sie Cluster Communication Security (CSS) oder Secure Shell (SSH) für den Beitritt zum Cluster mit der IP-Adresse verwenden, ist der PTR-Datensatz erforderlich. Andernfalls gibt die ESA "Timeout"-Fehler aus, und der Cluster-Beitritt schlägt fehl.
In manchen Fällen sind Änderungen an DNS-Datensätzen nicht möglich oder nicht zulässig, um PTR-Datensätze ordnungsgemäß zu erstellen.
Folgende Situationen können eintreten:
- IP-Adressen der Appliances verwenden interne IP-Adressen
- Für beide Appliances sind keine PTR-Datensätze vorhanden.
- Root-DNS oder lokaler DNS kann nicht beide lokalen Hostnamen auflösen
- Stamm-DNS oder lokaler DNS kann nicht bearbeitet oder geändert werden
- Port 22 (SSH) und Port 222 (CSS) sind auf beiden Seiten geöffnet.
- Fehler mit Zeitüberschreitung auf beiden Seiten
- NXDOMAIN kann für diese IP-Adressen nicht auf dem Root-DNS konfiguriert werden.
Konfigurieren
Es gibt einen Workaround, der die lokale ESA als DNS-Quelle verwendet. Fügen Sie über die CLI der Appliance eine lokale DNS-Auflösung hinzu. Wenn beispielsweise die Appliance esa1.example.com (192.168.10.1) und esa2.example.com (192.168.10.2) vorhanden ist, für die der PTR-Datensatz nicht aufgelöst werden kann, führen Sie folgende Schritte aus:
esa1.example.com> dnsconfig
Choose the operation you want to perform:
- NEW - Add a new server.
- EDIT - Edit a server
- DELETE - Remove a server
- SETUP - Configure general settings.
[]> new
Currently using the local DNS cache servers:
1. Priority: 0 192.168.1.53
Do you want to add a new local DNS cache server or an alternate domain server?
1. Add a new local DNS cache server.
2. Add a new alternate domain server.
[]> 2
Please enter the domain this server is authoritative for. (Ex: "com").
[]> 2.10.168.192.in-addr.arpa [enter the in-addr-arpa which serves as PTR, in this example for esa2]
Please enter the fully qualified hostname of the DNS server for the domain
"1.10.10.10.in-addr.arpa".
(Ex: "dns.example.168.192.in-addr.arpa").
[]> esa1.example.com [enter the hostname of the ESA you are configuring this on]
Please enter the IP address of machinea.example.com.
[]> 192.168.10.1 [enter the IP of the ESA you are configuring this on]
esa2.example.com> dnsconfig
Choose the operation you want to perform:
- NEW - Add a new server.
- EDIT - Edit a server
- DELETE - Remove a server
- SETUP - Configure general settings.
[]> new
Currently using the local DNS cache servers:
1. Priority: 0 192.168.1.53
Do you want to add a new local DNS cache server or an alternate domain server?
1. Add a new local DNS cache server.
2. Add a new alternate domain server.
[]> 2
Please enter the domain this server is authoritative for. (Ex: "com").
[]> 1.10.168.192.in-addr.arpa [enter the in-addr-arpa which serves as PTR, in this example esa1]
Please enter the fully qualified hostname of the DNS server for the domain
"1.10.10.10.in-addr.arpa".
(Ex: "dns.example.168.192.in-addr.arpa").
[]> esa2.example.com [enter the hostname of the ESA you are configuring this on]
Please enter the IP address of machinea.example.com.
[]> 192.168.10.2 [enter the IP of the ESA you are configuring this on]
Drücken Sie die Eingabetaste, bis Sie zur Eingabeaufforderung gelangen, und führen Sie commit aus, um die Konfigurationsänderungen zu speichern und zu aktivieren.
Hinweis: In den obigen Beispielen ist die oben für Geben Sie die Domäne ein, für die dieser Server autorisierend ist, die umgekehrte DNS-Suche oder die IP-Adresse 192.168.10.1 und 192.168.10.2. Stellen Sie sicher, dass die IP-Adressen on esa1.example.com und esa2.example.com konfiguriert und erreichbar sind.
Feedback