はじめに
このドキュメントでは、仮想アプライアンス(vESA)のライセンスが適切であっても、仮想Eメールセキュリティアプライアンス(vESA)がCiscoスパム対策エンジン(CASE)またはSophosやMcAfeeのウイルス対策のアップデートをダウンロードして適用しない場合について説明します。
前提条件
要件
次の項目に関する知識があることが推奨されます。
- E メール セキュリティ アプライアンス(ESA)
- vESA、仮想Webセキュリティアプライアンス(vWSA)、仮想セキュリティ管理アプライアンス(vSMA)
- 非同期
使用するコンポーネント
このドキュメントの情報は、次のソフトウェアとハードウェアのバージョンに基づいています。
- AsyncOS 8.0.0以降を実行するvESA
- AsyncOS 7.7.5以降を実行するvWSA
- AsyncOS 9.0.0以降を実行するvSMA
このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されました。このドキュメントで使用するすべてのデバイスは、クリアな(デフォルト)設定で作業を開始しています。対象のネットワークが実稼働中である場合には、どのようなコマンドについても、その潜在的な影響について確実に理解しておく必要があります。
vESA でスパム対策やウイルス対策の更新をダウンロード/適用できない
スパム対策またはウイルス対策を更新する場合、update forceコマンドを入力しても、プロセスはサービスエンジンまたはルールセットに到達して更新することができません。
次のコマンドの1つが、vESAのCLIから直接入力された可能性があります。
> antispamupdate ironport
> antispamupdate ironport force
> antivirusupdate force
> updatenow force
tail updater_logsを実行すると、次のようなエラーが表示されます。
Mon Oct 21 17:48:43 2013 Info: Dynamic manifest fetch failure: Received invalid update manifest response
これは、更新設定に関連付けられたダイナミックホストURLが、適切な更新マニフェストに正しく到達できないことを示します。動的ホストURLはupdateconfigコマンド内で設定されます。サブコマンドdynamichostは、次に示すようにupdateconfig内の隠しコマンドです。
myesa.local> updateconfig
Service (images): Update URL:
------------------------------------------------------------------------------
Feature Key updates http://downloads.ironport.com/asyncos
McAfee Anti-Virus definitions Cisco IronPort Servers
RSA DLP Engine Updates Cisco IronPort Servers
PXE Engine Updates Cisco IronPort Servers
Sophos Anti-Virus definitions Cisco IronPort Servers
IronPort Anti-Spam rules Cisco IronPort Servers
Intelligent Multi-Scan rules Cisco IronPort Servers
Outbreak Filters rules Cisco IronPort Servers
Timezone rules Cisco IronPort Servers
Cisco IronPort AsyncOS upgrades Cisco IronPort Servers
IMS Secondary Service rules Cisco IronPort Servers
Service (list): Update URL:
------------------------------------------------------------------------------
McAfee Anti-Virus definitions Cisco IronPort Servers
RSA DLP Engine Updates Cisco IronPort Servers
PXE Engine Updates Cisco IronPort Servers
Sophos Anti-Virus definitions Cisco IronPort Servers
IronPort Anti-Spam rules Cisco IronPort Servers
Intelligent Multi-Scan rules Cisco IronPort Servers
Outbreak Filters rules Cisco IronPort Servers
Timezone rules Cisco IronPort Servers
Service (list): Update URL:
------------------------------------------------------------------------------
Cisco IronPort AsyncOS upgrades Cisco IronPort Servers
Update interval: 5m
Proxy server: not enabled
HTTPS Proxy server: not enabled
Choose the operation you want to perform:
- SETUP - Edit update configuration.
[]> dynamichost
Enter new manifest hostname : port
[update-manifests.sco.cisco.com:443]>
正しい動的ホストURLを使用するようにアプライアンスを設定する
シスコ経由での関連付けに基づいて、お客様に使用されるダイナミックホストURLは2種類あります。
- update-manifests.sco.cisco.com:443
- stage-stg-updates.ironport.com:443
- 使用法:フレンドリ、ベータ仮想およびハードウェアアプライアンス
注:ハードウェアアプライアンス(C1x0、C3x0、C6x0、およびX10x0)は、update-manifests.ironport.com:443のダイナミックホストURLのみを使用する必要があります。ESAとvESAの両方を使用するクラスタ設定がある場合は、updateconfigをマシンレベルで設定し、dynamichostが適切に設定されていることを確認する必要があります。
注:お客様がステージングアップデートサーバのURLを使用する必要があるのは、ベータ版のみを使用する目的でシスコから事前プロビジョニングにアクセスできる場合のみです。ベータ版の使用に適用される有効なライセンスがない場合、アプライアンスはステージング更新サーバーから更新を受け取りません。
updateconfigおよびdynamichostサブコマンドの続きとして、必要に応じてダイナミックホストURLを入力し、メインCLIプロンプトに戻って変更を確定します。
Enter new manifest hostname : port
[update-manifests.sco.cisco.com:443]> stage-stg-updates.ironport.com:443
[]> <<<HIT RETURN TO GO BACK TO THE MAIN CLI PROMPT>>>
myesa.local> commit
確認
アプライアンスが適切なダイナミックホストURLに到達し、アップデートが成功したことを確認するには、次の手順を実行します。
- updater_logsを増やしてdebugにします。
Currently configured logs:> logconfig
Log Name Log Type Retrieval Interval
---------------------------------------------------------------------------------
1. antispam Anti-Spam Logs Manual Download None
[SNIP FOR BREVITY]
28. updater_logs Updater Logs Manual Download None
29. upgrade_logs Upgrade Logs Manual Download None
Choose the operation you want to perform:
- NEW - Create a new log.
- EDIT - Modify a log subscription.
- DELETE - Remove a log subscription.
- SETUP - General settings.
- LOGHEADERS - Configure headers to log.
- HOSTKEYCONFIG - Configure SSH host keys.
[]> edit
Enter the number of the log you wish to edit.
[]> 28 [NOTE, log # will be different on a per/appliance basis]
Please enter the name for the log:
[updater_logs]>
Log level:
1. Critical
2. Warning
3. Information
4. Debug
5. Trace
[3]> 4
[SNIP FOR BREVITY]
myesa_2.local> commit
- スパム対策(antispamupdate force)またはウイルス対策(antivirusupdate force)のいずれかで強制更新を実行します。
myesa.local> antivirusupdate force
Sophos Anti-Virus updates:
Requesting forced update of Sophos Anti-Virus.
- 最後に、updater_logsを追跡し、アプライアンスが示されているようにdynamichostに到達できることを確認します。
Mon Oct 21 18:19:12 2013 Debug: Acquiring dynamic manifest from stage-stg-updates.ironport.com:443
トラブルシュート
問題のトラブルシューティングを行うには、次の手順を実行します。
- デフォルトのupdateconfigが使用されていることを確認します。vESAまたはホストがファイアウォールの背後にある場合は、スタティックサーバによるアップデートが使用されていることを確認します。
- 選択したダイナミックホストURLにtelnetできることを確認します。
> telnet
Please select which interface you want to telnet from.
1. Auto
2. Management (172.16.6.165/24: myesa_2.local)
3. new_data (192.168.1.10/24: myesa.local_data1)
[1]>
Enter the remote hostname or IP address.
[]> stage-stg-updates.ironport.com
Enter the remote port.
[25]> 443
Trying 208.90.58.24...
Connected to stage-stg-updates.ironport.com.
Escape character is '^]'.
^] ["CTRL + ]"]
telnet> quit
Connection closed.
関連情報