Häufig gestellte Fragen zur ESA/SMA Virtual Deployment

Einführung

Dieses Dokument enthält Antworten auf häufig gestellte Fragen zur Bereitstellung, Migration und Konfiguration von virtuellen E-Mail Security Appliance (ESA)- und virtuellen Security Management Appliance (SMA)-Geräten. 

Mitarbeiter: Dennis McCabe Jr. und Vibhor Amrodia, Cisco TAC Engineers.

Empfohlene Ressourcen

Cisco empfiehlt, sich vor der Bereitstellung, Konfiguration und Migration Ihrer virtuellen ESA/SMA mit diesen Ressourcen vertraut zu machen.

• Best Practices für virtuelle ESA-, virtuelle WSA- oder virtuelle SMA-Lizenzen

• Installationsanleitung für die Cisco Content Security Virtual Appliance
• ESA-Benutzerhandbücher (Abschnitte Einrichtung und Installation)
• SMA-Benutzerhandbücher (Abschnitte Setup und Installation)
• Download der virtuellen ESA-Software
• Download der virtuellen SMA-Software

Häufig gestellte Fragen

Woher weiß ich beim Austausch einer Hardware-Appliance (z. B. C190, M690), welches virtuelle Modell ich auswählen sollte?

Im Allgemeinen sollten Sie das Hardwaremodell durch ein virtuelles Modell ersetzen, das mit derselben Nummer beginnt. Beispielsweise können Sie einen C190 durch einen C100V oder einen M690 durch einen M600V ersetzen. Weitere Informationen zur Bedarfsbestimmung finden Sie hier für ESA und hier für SMA. Wenden Sie sich im Zweifelsfall an Ihr Cisco Account Team oder Ihren Cisco Reseller, um zusätzliche Dimensionierungsempfehlungen zu erhalten. Bei der Arbeit mit Daten, die migriert werden müssen (z. B. PVO-Quarantäne), ist es ebenfalls wichtig, bei der Modellauswahl den benötigten Speicherplatz zu berücksichtigen. 

Wann sollte ich eine virtuelle ESA/SMA bereitstellen und/oder zu dieser migrieren?

Sie können jederzeit eine virtuelle ESA/SMA bereitstellen. Es wird empfohlen, wenn Sie zusätzliche Geräte für die Lastverteilung oder für die Sicherung zentralisierter SMA-Daten benötigen. Es wäre jedoch äußerst hilfreich und wichtig, auf eine virtuelle ESA/SMA umzusteigen, wenn Ihre Hardware-Appliance das Ende des Lebenszyklus (EoL) oder das Ende des Supports (EoS) erreicht. 

Die EoL/EoS-Hinweise für ESA und SMA finden Sie unten:

• EoL/EoS für ESA
• EoL/EoS für SMA

Sie können die unterstützte Hardware auch in den Versionshinweisen der jeweiligen Version(en) in den Abschnitten Unterstützte Hardware für diese Version überprüfen:

• Versionshinweise zum ESA
• SMA-Versionshinweise

Wie erhalte und installiere ich eine Lizenz für eine virtuelle ESA/SMA?

Wenn Sie über eine vorhandene Hardware-Lizenz verfügen, haben Sie Anspruch auf eine virtuelle Lizenz für eine ESA bzw. SMA. Sie können eine virtuelle Lizenzdatei mithilfe der Schritte in folgendem Artikel erhalten:

• Best Practices für virtuelle ESA-, virtuelle WSA- oder virtuelle SMA-Lizenzen

Wenn bei der Installation der virtuellen Lizenz(en) der Fehler "Malformed license" (Falschformatierung der Lizenz) auftritt, lesen Sie bitte das folgende Dokument zur Fehlerbehebung:

• Fehler "Fehlerhafte Lizenz" beim Versuch, eine Lizenzdatei auf virtuellem System zu installieren

Wie viele Geräte kann ich mit meiner virtuellen ESA/SMA-Lizenz bereitstellen?

Du kannst so viele spinnen, wie du willst. Im Gegensatz zu einer Lizenz, die an eine bestimmte physische Appliance gebunden ist, kann die virtuelle Lizenz für eine beliebige Anzahl von virtuellen Geräten verwendet und wiederverwendet werden, die Sie bereitstellen. 

Unterstützt eine virtuelle ESA/SMA Smart Licensing?

Smart Licensing wird unterstützt. Weitere Informationen zur Aktivierung von Smart Licensing auf einer virtuellen ESA/SMA finden Sie in diesem Dokument: 

• Smart Licensing - Übersicht und Best Practices für Cisco Email und Web Security (ESA, WSA, SMA)

Hinweis: Nach der Aktivierung von Smart Licensing erhalten Sie möglicherweise "Dynamic Manifest fetch failure: Fehler bei der Authentifizierung mit den Manifestserverfehlern auf den virtuellen ESA/SMA-Geräten. Dieses Problem ist bekannt und wird hier dokumentiert: Problemhinweis: FN - 70490

Wie würde ich eine Migration von einem alten Hardwaregerät zu einer neuen virtuellen ESA planen?

Der Prozess und die Übersicht der Schritte, die bei der Planung der Migration der Konfiguration von den Legacy-ESA-Geräten zu virtuellen Geräten berücksichtigt werden, ähneln den in diesem Artikel beschriebenen Schritten:

• Migration einer Konfiguration von einem älteren HW-Modell (CX70) zu einem neuen HW-Modell (CX95)

Während der Artikel hauptsächlich für die Migration von einem x70-EoL-Hardwaregerät zu einem neueren unterstützten x95 vorgesehen ist, kann der Abschnitt Verwenden einer vESA zur Bridge-Konfiguration zu einer neuen HW (Cx95) zum Bereitstellen einer neuen virtuellen ESA und zum Verbinden mit einem vorhandenen Cluster verwendet werden. Wenn Sie einem vorhandenen Cluster beigetreten sind und die neue virtuelle ESA über eine Kopie Ihrer aktuellen Konfiguration verfügt, können Sie dann entscheiden, ob Sie alles unverändert beibehalten möchten oder ob Sie dann mit der Außerbetriebnahme Ihrer alten Hardware fortfahren möchten. Bei letzterem können Sie dann die Legacy-Hardware aus dem Cluster entfernen.

Wie kann ich überprüfen, ob meine virtuelle ESA/SMA den richtigen Aktualisierungsserver verwendet?

Hardware und virtuelle Geräte verwenden beim Abrufen von Updates verschiedene DynamicChost Server (z. B. Anti-Spam, Anti-Virus, etc.). 

Sie können den Unterbefehl dynamichost unter updateconfig in der CLI verwenden, um die aktuelle Konfiguration zu überprüfen. Beachten Sie, dass es sich um einen ausgeblendeten Befehl handelt.

esa.lab.local> updateconfig

Choose the operation you want to perform:
- SETUP - Edit update configuration.
- VALIDATE_CERTIFICATES - Validate update server certificates
- TRUSTED_CERTIFICATES - Manage trusted certificates for updates
[]> dynamichost

Enter new manifest hostname:port
[update-manifests.sco.cisco.com:443]>

Hardware- und virtuelle Modelle verwenden jeweils die folgenden DynamicChost Server:

Hardwaremanifest: update-manifests.ironport.com:443
Virtuelles Manifest: update-manifests.sco.cisco.com:443

Wenn Ihre virtuelle ESA keine Updates herunterladen kann, können Sie die Schritte in den folgenden Artikeln befolgen, um zu bestätigen, dass alle Updates ordnungsgemäß konfiguriert sind:

• vESA kann keine Updates herunterladen und anwenden.
• Verfahren für Upgrade und Fehlerbehebung bei ESA AsyncOS

Hinweis: Virtuelle Appliances (z. B. x100V, x300V, x600V) sollten NUR die dynamische Host-URL von update-manifests.sco.cisco.com:443 verwenden. Wenn eine Cluster-Konfiguration mit Hardware- und virtuellen Appliances vorhanden ist, muss updateconfig auf Computerebene konfiguriert werden und dann entsprechend dynamichost festgelegt werden.

Wie exportiere ich eine Konfigurationsdatei von einer ESA/SMA und importiere sie in eine andere?

Auf die folgenden Artikel kann beim Exportieren und Importieren von Konfigurationsdateien verwiesen werden:

• Laden oder Migrieren der ESA-Konfiguration auf einer Ersatz-ESA
• Speichern und Exportieren von Konfigurationseinstellungen (ESA-Benutzerhandbuch)
• Speichern und Importieren von Konfigurationseinstellungen (SMA-Benutzerhandbuch)

Hinweis: Konfigurationsdateien, die mit maskierten Passphrasen exportiert werden, können nicht geladen werden. Stattdessen sollten sie mithilfe der Option Nur oder Verschlüsseln der Passphrase exportiert werden.

Wie lade ich eine Teilkonfiguration ein?

Bei der Migration von einer Hardware-Appliance zu einer virtuellen ESA/SMA oder zwischen verschiedenen Modelltypen ist es üblich, dass Sie die Konfiguration nicht einfach von einer auf eine andere exportieren und ohne Änderungen in eine andere importieren können. Dies liegt an der unterschiedlichen Festplattengröße, der Anzahl der Schnittstellen, der AsyncOS-Version usw. 

In diesem Fall können Sie sich an das Cisco TAC wenden, um Unterstützung zu erhalten, oder Sie können versuchen, einen Teil der Konfiguration mithilfe der folgenden Schritte zu laden:

• Wie werden Teilkonfigurationen in die ESA importiert?