vESAがスパム対策またはウイルス対策のアップデートをダウンロードして適用できない場合のトラブルシューティング

はじめに

このドキュメントでは、有効なライセンスがあるにもかかわらず、vESAがスパム対策エンジンまたはウイルス対策エンジンの更新に失敗する理由について説明します。

前提条件と警告

要　件

次の製品と概念に精通していることを確認してください。

• E メール セキュリティ アプライアンス（ESA）
• vESA、仮想Webセキュリティアプライアンス(vWSA)、仮想セキュリティ管理アプライアンス(vSMA)
• AsyncOS

使用するコンポーネント

このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されたものです。このドキュメントで使用するすべてのデバイスは、クリアな（デフォルト）設定で作業を開始しています。本稼働中のネットワークでは、各コマンドによって起こる可能性がある影響を十分確認してください。

重要事項

• ハードウェアアプライアンス（C190、C195、C390、C395、C690、およびC695）では、動的ホストURL update-manifests.ironport.com:443のみを使用する必要があります。
• ステージング更新サーバのURLは、シスコがベータ版の使用に対するアクセスをプロビジョニングしている場合にのみ使用してください。有効なベータライセンスがないと、ステージングサーバーから更新プログラムを受信できません。
• ESAとvESAの両方を使用するクラスタ設定では、マシンレベルでupdateconfigを設定し、それに応じてdynamichostが設定されることを確認します。

症状

vESAは、適切にライセンスされている場合でも、スパム対策エンジンまたはウイルス対策エンジンの更新を正常にダウンロードまたは適用しません。次のような更新コマンドの実行

> antispamupdate ironport
> antispamupdate ironport force
> antivirusupdate force
> updatenow force

では問題は解決されません。tail updater_logsを使用してログを確認すると、次のようなエラーが表示されます。

Mon Oct 21 17:48:43 2025 Info: Dynamic manifest fetch failure: Received invalid update manifest response

これは、アプライアンスが、updateconfigコマンドを使用して設定された動的ホストURLで正しいアップデータマニフェストに到達できないことを示します。updateconfig内で使用可能なdynamichostサブコマンドは、アプライアンスが使用する更新サーバを定義します。

正しいダイナミックホストURLの設定

アプライアンスのタイプとサポートステータスに応じて、動的ホストURLを設定します。

1. update-manifests.sco.cisco.com:443
   • vESA、vWSA、およびvSMAアプライアンスで使用します。
2. stage-stg-updates.ironport.com:443
   • 明示的なシスコのベータ認証を持つフレンドリ、ベータ仮想、およびハードウェアアプライアンスにのみ使用します。

ダイナミックホストURLを設定するには、updateconfigコマンドを使用して非表示のdynamichostサブコマンドにアクセスし、目的のホストとポートを入力して、変更を確定します。

esa.example.com> updateconfig
[]> dynamichost

Enter new manifest hostname : port
[update-manifests.sco.cisco.com:443]> stage-stg-updates.ironport.com:443
[]> <<<HIT RETURN TO GO BACK TO THE MAIN CLI PROMPT>>>

esa.example.com> commit

アプライアンスの更新機能の確認

アプライアンスが正しい動的ホストURLから更新されていることを確認するには、次の手順を使用します。

1. 詳細な更新アクティビティを取得するには、updater_logsログレベルをdebugに上げます。

esa.example.com> logconfig
[...]
28. updater_logs Updater Logs Manual Download None
[...]
[]> edit
Enter the number of the log you wish to edit.
[]> 28
Please enter the name for the log:
[updater_logs]>
Log level:
1. Critical
2. Warning
3. Information
4. Debug
5. Trace
[3]> 4
[...]
esa.example.com> commit

注：ログ番号はアプライアンスごとに異なる場合があります。

2. 強制更新を実行して、接続をテストし、機能を更新します。

esa.example.com> updatenow force

Success - Force update for all components requested  

3. updater_logsを確認して、正しいダイナミックホストへの接続が正常に行われたことを確認します。

Mon Oct 21 18:19:12 2025 Debug: Acquiring dynamic manifest from stage-stg-updates.ironport.com:443

トラブルシューティングの手順

1. デフォルトのupdateconfigが使用されていることを確認します。vESAまたはそのホストがファイアウォールの背後にある場合は、ドキュメント『静的サーバによるコンテンツセキュリティアプライアンスのアップグレードまたは更新』で説明されているように、静的サーバを使用するように更新が設定されていることを確認します。
2. Telnetを使用してダイナミックホストURLへの接続をテストし、ネットワークの到達可能性を確認します。

   esa.example.com> telnet
   Please select which interface you want to telnet from.
   1. Auto
   2. Management (172.16.6.165/24: esa-mgmt.example.com)
   3. Data (192.168.1.10/24: esa-data.example.com)
   [1]>
   Enter the remote hostname or IP address.
   []> stage-stg-updates.ironport.com
   Enter the remote port.
   [25]> 443
   Trying 208.90.58.24...
   Connected to stage-stg-updates.ironport.com.
   Escape character is '^]'.
   ^] ["CTRL + ]"]
   telnet> quit
   Connection closed.

関連情報

• 静的サーバによるコンテンツ セキュリティ アプライアンスのアップグレードまたは更新
• テクニカル サポートとドキュメント – Cisco Systems