Inleiding
Dit document beschrijft wanneer een Cisco Email Security Applicatie (ESA) "getimed" fouten ervaart wanneer u probeert een cluster te maken of aan te sluiten, als er geen DNS-pointer (PTR)-records beschikbaar zijn en hoe u het probleem moet oplossen.
Voorwaarden
De informatie in dit document is gebaseerd op de volgende software- en hardware-versies:
- AsyncOS voor e-mail security versie 8.0 en nieuwer
Achtergrondinformatie
Wanneer u Cluster Communication Security (CSS) of Secure Shell (SSH) gebruikt om het cluster aan te sluiten met het IP-adres, is de PTR-record vereist, anders zal de ESA om 'time-out'-fouten vragen en zal de clusterverbinding mislukken.
Er zijn tijden wanneer DNS record wijzigingen niet mogelijk of toegestaan zijn om op de juiste manier PTR records te maken.
De volgende situaties kunnen van toepassing zijn:
- IP-adressen van de apparaten gebruiken interne IP-adressen
- Er zijn geen PTR-records voor beide apparaten
- DNS of lokale DNS kan niet beide lokale hostnamen oplossen
- DNS of lokale DNS kunnen niet worden bewerkt of aangepast
- Zowel poort 22 (SSH) als poort 222 (CSS) zijn aan beide zijden geopend
- "Time out"-fouten aan beide zijden
- Kan NXDOMAIN niet configureren op de hoofdDNS voor die IP-adressen
Configureren
Er is een tijdelijke oplossing die de lokale ESA als DNS bron gebruikt. Voeg via de CLI van het apparaat een lokale DNS-resolutie toe. Als er bijvoorbeeld een apparaat esa1.example.com (192.168.10.1) en esa2.example.com (192.168.10.2) was waarvoor de PTR-record niet kan worden opgelost, moet u het volgende doen:
esa1.example.com> dnsconfig
Choose the operation you want to perform:
- NEW - Add a new server.
- EDIT - Edit a server
- DELETE - Remove a server
- SETUP - Configure general settings.
[]> new
Currently using the local DNS cache servers:
1. Priority: 0 192.168.1.53
Do you want to add a new local DNS cache server or an alternate domain server?
1. Add a new local DNS cache server.
2. Add a new alternate domain server.
[]> 2
Please enter the domain this server is authoritative for. (Ex: "com").
[]> 2.10.168.192.in-addr.arpa [enter the in-addr-arpa which serves as PTR, in this example for esa2]
Please enter the fully qualified hostname of the DNS server for the domain
"1.10.10.10.in-addr.arpa".
(Ex: "dns.example.168.192.in-addr.arpa").
[]> esa1.example.com [enter the hostname of the ESA you are configuring this on]
Please enter the IP address of machinea.example.com.
[]> 192.168.10.1 [enter the IP of the ESA you are configuring this on]
esa2.example.com> dnsconfig
Choose the operation you want to perform:
- NEW - Add a new server.
- EDIT - Edit a server
- DELETE - Remove a server
- SETUP - Configure general settings.
[]> new
Currently using the local DNS cache servers:
1. Priority: 0 192.168.1.53
Do you want to add a new local DNS cache server or an alternate domain server?
1. Add a new local DNS cache server.
2. Add a new alternate domain server.
[]> 2
Please enter the domain this server is authoritative for. (Ex: "com").
[]> 1.10.168.192.in-addr.arpa [enter the in-addr-arpa which serves as PTR, in this example esa1]
Please enter the fully qualified hostname of the DNS server for the domain
"1.10.10.10.in-addr.arpa".
(Ex: "dns.example.168.192.in-addr.arpa").
[]> esa2.example.com [enter the hostname of the ESA you are configuring this on]
Please enter the IP address of machinea.example.com.
[]> 192.168.10.2 [enter the IP of the ESA you are configuring this on]
Druk op <Enter> totdat u bij de hoofdprompt komt en doorgaat met het opslaan en activeren van de configuratiewijzigingen.
Opmerking: In de bovenstaande voorbeelden is het domein dat hierboven is ingevoerd voor Voer het domein in waarvoor deze server de bevoegdheid heeft voor het omgekeerde DNS-lookup of IP-adres 192.168.10.1 en 192.168.10.2. Zorg ervoor dat de IP-adressen zijn ingesteld op on esa1.example.com en esa2.example.com en bereikbaar zijn.
Feedback