vESA無法下載並應用反垃圾郵件或防病毒更新

簡介

本文檔介紹虛擬郵件安全裝置(vESA)在虛擬裝置獲得正確許可的情況下，何時不能下載並應用思科反垃圾郵件引擎(CASE)或Sophos和/或McAfee防病毒軟體的更新。

必要條件

需求

思科建議您瞭解以下主題：

• 電子郵件安全裝置(ESA)
• vESA、虛擬網路安全裝置(vWSA)、虛擬安全管理裝置(vSMA)
• AysncOS

採用元件

本文中的資訊係根據以下軟體和硬體版本：

• 運行AsyncOS 8.0.0及更高版本的vESA
• 運行AsyncOS 7.7.5及更高版本的vWSA
• vSMA，運行AsyncOS 9.0.0及更高版本

本文中的資訊是根據特定實驗室環境內的裝置所建立。文中使用到的所有裝置皆從已清除（預設）的組態來啟動。如果您的網路正在作用，請確保您已瞭解任何指令可能造成的影響。

vESA無法下載並應用反垃圾郵件或防病毒更新

更新反垃圾郵件或防病毒程式時，即使您輸入update force命令，這些程式也無法聯絡和更新服務引擎或規則集。

以下命令之一可能直接從vESA上的CLI輸入：

> antispamupdate ironport
> antispamupdate ironport force
> antivirusupdate force
> updatenow force

運行tail updater_logs時，看到的錯誤與以下類似：

Mon Oct 21 17:48:43 2013 Info: Dynamic manifest fetch failure: Received invalid update manifest response

這表示與更新配置關聯的動態主機URL無法正確到達正確的更新程式清單。動態主機URL在updateconfig命令中設定。子命令dynamichost在updateconfig中是隱藏命令，在此處突出顯示：

myesa.local> updateconfig
Service (images): Update URL: 
------------------------------------------------------------------------------
Feature Key updates http://downloads.ironport.com/asyncos 
McAfee Anti-Virus definitions Cisco IronPort Servers 
RSA DLP Engine Updates Cisco IronPort Servers 
PXE Engine Updates Cisco IronPort Servers 
Sophos Anti-Virus definitions Cisco IronPort Servers 
IronPort Anti-Spam rules Cisco IronPort Servers 
Intelligent Multi-Scan rules Cisco IronPort Servers 
Outbreak Filters rules Cisco IronPort Servers 
Timezone rules Cisco IronPort Servers 
Cisco IronPort AsyncOS upgrades Cisco IronPort Servers 
IMS Secondary Service rules Cisco IronPort Servers
Service (list): Update URL: 
------------------------------------------------------------------------------
McAfee Anti-Virus definitions Cisco IronPort Servers 
RSA DLP Engine Updates Cisco IronPort Servers 
PXE Engine Updates Cisco IronPort Servers 
Sophos Anti-Virus definitions Cisco IronPort Servers 
IronPort Anti-Spam rules Cisco IronPort Servers 
Intelligent Multi-Scan rules Cisco IronPort Servers 
Outbreak Filters rules Cisco IronPort Servers 
Timezone rules Cisco IronPort Servers
Service (list): Update URL: 
------------------------------------------------------------------------------
Cisco IronPort AsyncOS upgrades Cisco IronPort Servers
Update interval: 5m
Proxy server: not enabled
HTTPS Proxy server: not enabled
Choose the operation you want to perform:
- SETUP - Edit update configuration.
[]> dynamichost
 
Enter new manifest hostname : port
[update-manifests.sco.cisco.com:443]>

設定裝置以使用正確的動態主機URL

根據客戶透過思科的關聯方式，可以使用兩種不同的動態主機URL：

1. update-manifests.sco.cisco.com:443 
   • 用途：客戶vESA、vWSA、vSMA
2. stage-stg-updates.ironport.com:443
   • 使用方式：友情、測試版虛擬及硬體裝置

注意：硬體裝置（C1x0、C3x0、C6x0和X10x0）應僅使用update-manifests.ironport.com:443的動態主機URL。如果存在包含ESA和vESA的集群配置，則必須在電腦級別配置updateconfig，然後確認已相應地設定dynamichost。

注意：如果客戶已經透過思科獲得預調配的許可權，且只能用於試用版，則他們應僅使用臨時更新伺服器URL。如果您沒有適用於Beta版使用的有效許可證，裝置將不會從暫存更新伺服器接收更新。

作為updateconfig和dynamichost子命令的後續，請根據需要輸入動態主機URL，返回主CLI提示符並提交更改：

Enter new manifest hostname : port
[update-manifests.sco.cisco.com:443]> stage-stg-updates.ironport.com:443
[]> <<<HIT RETURN TO GO BACK TO THE MAIN CLI PROMPT>>>

myesa.local> commit

驗證

要驗證裝置現在是否連線到正確的動態主機URL並且更新是否成功，請完成以下步驟：

1. 增加updater_logs以進行調試。

   Currently configured logs:> logconfig
   
   Log Name Log Type Retrieval Interval 
   ---------------------------------------------------------------------------------
   1. antispam Anti-Spam Logs Manual Download None 
   [SNIP FOR BREVITY]
   28. updater_logs Updater Logs Manual Download None 
   29. upgrade_logs Upgrade Logs Manual Download None
   Choose the operation you want to perform:
   - NEW - Create a new log.
   - EDIT - Modify a log subscription.
   - DELETE - Remove a log subscription.
   - SETUP - General settings.
   - LOGHEADERS - Configure headers to log.
   - HOSTKEYCONFIG - Configure SSH host keys.
   []> edit
   Enter the number of the log you wish to edit.
   []> 28 [NOTE, log # will be different on a per/appliance basis]
   Please enter the name for the log:
   [updater_logs]>
   Log level:
   1. Critical
   2. Warning
   3. Information
   4. Debug
   5. Trace
   [3]> 4
   [SNIP FOR BREVITY]
    
   myesa_2.local> commit 

2. 對反垃圾郵件(antispamupdate force)或防病毒(antivirusupdate force)運行強制更新。

   myesa.local> antivirusupdate force
   
   Sophos Anti-Virus updates:
   Requesting forced update of Sophos Anti-Virus.

3. 最後，使用tail updater_logs並確保裝置能夠按如下所示訪問dynamichost：

   Mon Oct 21 18:19:12 2013 Debug: Acquiring dynamic manifest from stage-stg-updates.ironport.com:443

疑難排解

完成以下步驟以排除任何問題：

1. 確保使用預設的updateconfig。如果vESA或主機位於防火牆之後，請確保使用靜態伺服器的更新正在使用中。
2. 確保您可以按照選擇的telnet 到動態主機URL：

   > telnet
   Please select which interface you want to telnet from.
   1. Auto
   2. Management (172.16.6.165/24: myesa_2.local)
   3. new_data (192.168.1.10/24: myesa.local_data1)
   [1]>
   Enter the remote hostname or IP address.
   []> stage-stg-updates.ironport.com
   Enter the remote port.
   [25]> 443
   Trying 208.90.58.24...
   Connected to stage-stg-updates.ironport.com.
   Escape character is '^]'.
   ^] ["CTRL + ]"]
   telnet> quit
   Connection closed.

相關資訊

• 使用靜態伺服器進行內容安全裝置升級或更新
• 技術支援與文件 - Cisco Systems