Sécurité : Appareil de sécurité de courriel Cisco

le vESA ne peut pas télécharger et appliquer des mises à jour pour le courrier indésirable ou l'antivirus

16 décembre 2015 - Traduction automatique
Autres versions: PDFpdf | Anglais (22 août 2015) | Commentaires

Introduction

Ce document décrit quand une appliance virtuelle de sécurité du courrier électronique (vESA) ne télécharge pas et applique des mises à jour pour l'engine de courrier indésirable de Cisco (CAS) ou l'antivirus de Sophos et/ou de McAfee, quoique l'appliance virtuelle soit autorisée correctement.

Contribué par Robert Sherwin, ingénieur TAC Cisco.

Conditions préalables

Conditions requises

Cisco vous recommande de prendre connaissance des rubriques suivantes :

  • Appliance de sécurité du courrier électronique (ESA)
  • vESA, appliance virtuelle de sécurité Web (vWSA), appliance virtuelle de Gestion de la sécurité (vSMA)
  • AysncOS

Composants utilisés

Les informations contenues dans ce document sont basées sur les versions de matériel et de logiciel suivantes :

  • le vESA, ce exécute AsyncOS 8.0.0 et plus tard
  • le vWSA, ce exécute AsyncOS 7.7.5 et plus tard
  • le vSMA, ce exécute AsyncOS 9.0.0 et plus tard

Les informations contenues dans ce document ont été créées à partir des périphériques d'un environnement de laboratoire spécifique. Tous les périphériques utilisés dans ce document ont démarré avec une configuration effacée (par défaut). Si votre réseau est opérationnel, assurez-vous que vous comprenez l'effet potentiel de toute commande.

le vESA ne peut pas télécharger et appliquer des mises à jour pour le courrier indésirable ou l'antivirus

Quand vous mettez à jour le courrier indésirable ou l'antivirus, les processus ne peuvent pas atteindre et mettre à jour l'engine ou les rulesets de service, même si vous sélectionnez la commande de force de mise à jour.

Une de ces commandes pourrait avoir été sélectionnée directement du CLI sur le vESA :

> antispamupdate ironport
> antispamupdate ironport force
> antivirusupdate force
> updatenow force

Quand vous exécutez des updater_logs de queue, les erreurs vues sont semblables à ces derniers :

Mon Oct 21 17:48:43 2013 Info: Dynamic manifest fetch failure: Received invalid
update manifest response

Ceci indique que l'URL dynamique d'hôte associé à la configuration de mise à jour ne peut pas atteindre l'updater approprié manifeste correctement. L'URL dynamique d'hôte est placé dans la commande d'updateconfig. La commande secondaire, dynamichost, est une commande masquée dans l'updateconfig, comme mis en valeur ici :

myesa.local> updateconfig
Service (images): Update URL:
------------------------------------------------------------------------------
Feature Key updates http://downloads.ironport.com/asyncos
McAfee Anti-Virus definitions Cisco IronPort Servers
RSA DLP Engine Updates Cisco IronPort Servers
PXE Engine Updates Cisco IronPort Servers
Sophos Anti-Virus definitions Cisco IronPort Servers
IronPort Anti-Spam rules Cisco IronPort Servers
Intelligent Multi-Scan rules Cisco IronPort Servers
Outbreak Filters rules Cisco IronPort Servers
Timezone rules Cisco IronPort Servers
Cisco IronPort AsyncOS upgrades Cisco IronPort Servers
IMS Secondary Service rules Cisco IronPort Servers
Service (list): Update URL:
------------------------------------------------------------------------------
McAfee Anti-Virus definitions Cisco IronPort Servers
RSA DLP Engine Updates Cisco IronPort Servers
PXE Engine Updates Cisco IronPort Servers
Sophos Anti-Virus definitions Cisco IronPort Servers
IronPort Anti-Spam rules Cisco IronPort Servers
Intelligent Multi-Scan rules Cisco IronPort Servers
Outbreak Filters rules Cisco IronPort Servers
Timezone rules Cisco IronPort Servers
Service (list): Update URL:
------------------------------------------------------------------------------
Cisco IronPort AsyncOS upgrades Cisco IronPort Servers
Update interval: 5m
Proxy server: not enabled
HTTPS Proxy server: not enabled
Choose the operation you want to perform:
- SETUP - Edit update configuration.
[]> dynamichost

Enter new manifest hostname : port
[update-manifests.sco.cisco.com:443]>

Placez l'appliance pour utiliser l'URL dynamique correct d'hôte

Il y a deux l'hôte dynamique différent URLs qui sont utilisés pour des clients basés sur la façon dont ils sont associés par Cisco :

  • update-manifests.sco .cisco .com : 443 
  • Utilisation : VESA de client, vWSA, vSMA

Remarque: L'appliance de matériel de client (C1x0, C3x0, C6x0, et X10x0) devrait SEULEMENT utiliser l'URL dynamique d'hôte d'update-manifests.ironport.com : 443. Si vous exécutez une batterie avec le vESA et l'ESA, vous devez avoir l'updateconfig réglé au niveau d'ordinateur et s'assurer que le dynamichost est placé en conséquence.

  • stage-stg-updates.ironport .com : 443 
  • Utilisation : Friendlies, bêtas appliances virtuelles et de matériel

Remarque: Les clients devraient être seulement utilisation l'URL de stage-stg-updates.ironport.com s'ils ont accédé au preprovision par Cisco pour la bêta utilisation seulement. Si vous n'avez pas un permis valide appliqué pour le bêta usage, votre appliance ne recevra pas des mises à jour de l'étape.

Comme suite d'updateconfig et de la commande secondaire de dynamichost, entrez dans l'URL dynamique d'hôte comme nécessaire, retour à la demande principale CLI, et commettez les modifications :

Enter new manifest hostname : port
[update-manifests.sco.cisco.com:443]> stage-stg-updates.ironport.com:443
[]> <<<HIT RETURN TO GO BACK TO THE MAIN CLI PROMPT>>>

myesa.local> commit

Vérifiez

Afin de vérifier que l'appliance atteint maintenant à l'URL d'hôte et aux mises à jour dynamiques appropriés sont réussie, terminez-vous ces étapes :

  1. Augmentez les updater_logs pour mettre au point.
    Currently configured logs:> logconfig

    Log Name Log Type Retrieval Interval
    ---------------------------------------------------------------------------------
    1. antispam Anti-Spam Logs Manual Download None
    [SNIP FOR BREVITY]
    28. updater_logs Updater Logs Manual Download None
    29. upgrade_logs Upgrade Logs Manual Download None
    Choose the operation you want to perform:
    - NEW - Create a new log.
    - EDIT - Modify a log subscription.
    - DELETE - Remove a log subscription.
    - SETUP - General settings.
    - LOGHEADERS - Configure headers to log.
    - HOSTKEYCONFIG - Configure SSH host keys.
    []> edit
    Enter the number of the log you wish to edit.
    []> 28 [NOTE, log # will be different on a per/appliance basis]
    Please enter the name for the log:
    [updater_logs]>
    Log level:
    1. Critical
    2. Warning
    3. Information
    4. Debug
    5. Trace
    [3]> 4
    [SNIP FOR BREVITY]

    myesa_2.local> commit 
  2. Exécutez une mise à jour de force sur le courrier indésirable (force d'antispamupdate) ou l'antivirus (force d'antivirusupdate).
    myesa.local> antivirusupdate force

    Sophos Anti-Virus updates:
    Requesting forced update of Sophos Anti-Virus.
  3. En conclusion, les updater_logs de queue et s'assurent que l'appliance peut atteindre le dynamichost comme indiqué :
    Mon Oct 21 18:19:12 2013 Debug: Acquiring dynamic manifest from
    stage-stg-updates.ironport.com:443

Dépannez

Terminez-vous ces étapes afin de dépanner toutes les questions :

  1. Assurez-vous que l'updateconfig par défaut est utilisé. Si le vESA ou l'hôte est derrière un Pare-feu, assurez-vous que les mises à jour avec un serveur statique sont en service.
  2. Assurez-vous que vous pouvez telnet à l'URL dynamique d'hôte comme choisi :
    > telnet
    Please select which interface you want to telnet from.
    1. Auto
    2. Management (172.16.6.165/24: myesa_2.local)
    3. new_data (192.168.1.10/24: myesa.local_data1)
    [1]>
    Enter the remote hostname or IP address.
    []> stage-stg-updates.ironport.com
    Enter the remote port.
    [25]> 443
    Trying 208.90.58.24...
    Connected to stage-stg-updates.ironport.com.
    Escape character is '^]'.
    ^] ["CTRL + ]"]
    telnet> quit
    Connection closed.

Informations connexes


Conversations connexes de la communauté de soutien de Cisco

Le site Cisco Support Community est un forum où vous pouvez poser des questions, répondre à des questions, faire part de suggestions et collaborer avec vos pairs.


Document ID: 118065