Criar ou unir ESAs a um cluster sem registros PTR

Opções de download

  • PDF     (250.9 KB)
    Ver no Adobe Reader em vários dispositivos
  • ePub     (80.4 KB)
    Ver em vários aplicativos no iPhone, iPad, Android, Sony Reader ou Windows Phone
  • Mobi (Kindle)     (65.6 KB)
    Ver no dispositivo Kindle ou no aplicativo Kindle em vários dispositivos
Atualizado:16 de novembro de 2016
ID do documento:200056

Linguagem imparcial

O conjunto de documentação deste produto faz o possível para usar uma linguagem imparcial. Para os fins deste conjunto de documentação, a imparcialidade é definida como uma linguagem que não implica em discriminação baseada em idade, deficiência, gênero, identidade racial, identidade étnica, orientação sexual, status socioeconômico e interseccionalidade. Pode haver exceções na documentação devido à linguagem codificada nas interfaces de usuário do software do produto, linguagem usada com base na documentação de RFP ou linguagem usada por um produto de terceiros referenciado. Saiba mais sobre como a Cisco está usando a linguagem inclusiva.

Sobre esta tradução

A Cisco traduziu este documento com a ajuda de tecnologias de tradução automática e humana para oferecer conteúdo de suporte aos seus usuários no seu próprio idioma, independentemente da localização. Observe que mesmo a melhor tradução automática não será tão precisa quanto as realizadas por um tradutor profissional. A Cisco Systems, Inc. não se responsabiliza pela precisão destas traduções e recomenda que o documento original em inglês (link fornecido) seja sempre consultado.

Introdução

Este documento descreve quando um Cisco Email Security Appliance (ESA) enfrenta erros de "timeout" ao tentar criar ou ingressar em um cluster, se os registros de ponteiro DNS (PTR) não estiverem disponíveis e como solucionar o problema.

Pré-requisitos

As informações neste documento são baseadas nestas versões de software e hardware:

  • AsyncOS para Email Security versão 8.0 e mais recente

Informações de Apoio

Ao usar Cluster Communication Security (CSS) ou Secure Shell (SSH) para unir o cluster com o endereço IP, o registro PTR é necessário, caso contrário o ESA solicitará erros de "timeout" e a junção do cluster falhará.

Há momentos em que as alterações de registro DNS podem não ser possíveis ou permitidas para criar registros PTR corretamente.

Podem ser aplicáveis as seguintes situações:

  • Os endereços IP dos dispositivos usam endereços IP internos
  • Não há registros PTR para ambos os dispositivos
  • O DNS raiz ou o DNS local não podem resolver os dois nomes de host locais
  • O DNS raiz ou o DNS local não podem ser editados nem modificados
  • A porta 22 (SSH) e a porta 222 (CSS) são abertas em ambos os lados
  • Obtendo erros de "tempo limite expirado" em ambos os lados
  • Não é possível configurar NXDOMAIN no DNS raiz para esses endereços IP

Configurar

Há uma solução alternativa que usa o ESA local como a origem DNS.  Na CLI do equipamento, adicione uma resolução DNS local. Por exemplo, se houver um dispositivo esa1.example.com (192.168.10.1) e esa2.example.com (192.168.10.2) para o qual o registro PTR não possa ser resolvido, execute o seguinte procedimento:

esa1.example.com> dnsconfig
 
Choose the operation you want to perform:
- NEW - Add a new server.
- EDIT - Edit a server
- DELETE - Remove a server
- SETUP - Configure general settings.
[]> new 
 
Currently using the local DNS cache servers:
1. Priority: 0 192.168.1.53
 
Do you want to add a new local DNS cache server or an alternate domain server?
1. Add a new local DNS cache server.
2. Add a new alternate domain server.
[]> 2
 
Please enter the domain this server is authoritative for. (Ex: "com").
[]> 2.10.168.192.in-addr.arpa [enter the in-addr-arpa which serves as PTR, in this example for esa2]
 
Please enter the fully qualified hostname of the DNS server for the domain
"1.10.10.10.in-addr.arpa".
(Ex: "dns.example.168.192.in-addr.arpa").
[]> esa1.example.com [enter the hostname of the ESA you are configuring this on]
 
Please enter the IP address of machinea.example.com.
[]> 192.168.10.1 [enter the IP of the ESA you are configuring this on]


esa2.example.com> dnsconfig
 
Choose the operation you want to perform:
- NEW - Add a new server.
- EDIT - Edit a server
- DELETE - Remove a server
- SETUP - Configure general settings.
[]> new 
 
Currently using the local DNS cache servers:
1. Priority: 0 192.168.1.53
 
Do you want to add a new local DNS cache server or an alternate domain server?
1. Add a new local DNS cache server.
2. Add a new alternate domain server.
[]> 2
 
Please enter the domain this server is authoritative for. (Ex: "com").
[]> 1.10.168.192.in-addr.arpa [enter the in-addr-arpa which serves as PTR, in this example esa1]
 
Please enter the fully qualified hostname of the DNS server for the domain
"1.10.10.10.in-addr.arpa".
(Ex: "dns.example.168.192.in-addr.arpa").
[]> esa2.example.com [enter the hostname of the ESA you are configuring this on]
 
Please enter the IP address of machinea.example.com.
[]> 192.168.10.2 [enter the IP of the ESA you are configuring this on]


Pressione <Enter> até chegar ao prompt principal e executar commit para salvar e ativar as alterações de configuração.

Observação: nos exemplos acima, o domínio inserido acima para Insira o domínio para o qual este servidor é autoritativo é a pesquisa de DNS reverso ou o endereço IP 192.168.10.1 e 192.168.10.2. Verifique se os endereços IP estão configurados como on esa1.example.com e esa2.example.com e acessíveis.

Histórico de revisões

Revisão Data de publicação Comentários
1.0
12-Aug-2015
Versão inicial
TAC Authored

Colaborado por engenheiros da Cisco

Este documento lhe foi útil?

FeedbackFeedback

Contate a Cisco

Este documento se refere a estes produtos