Introduction
Ce document décrit quand un appareil virtuel de sécurisation de la messagerie (vESA) ne télécharge et n'applique pas les mises à jour du moteur antispam Cisco (CASE) ou de l'antivirus Sophos et/ou McAfee, même si l'appareil virtuel dispose d'une licence correcte.
Conditions préalables
Exigences
Cisco vous recommande de prendre connaissance des rubriques suivantes :
- Appliance de sécurité de la messagerie (ESA)
- vESA, appliance de sécurité Web virtuelle (vWSA), appliance de gestion de la sécurité virtuelle (vSMA)
- AysncOS
Composants utilisés
Les informations contenues dans ce document sont basées sur les versions de matériel et de logiciel suivantes :
- vESA, qui exécute AsyncOS 8.0.0 et versions ultérieures
- vWSA, qui exécute AsyncOS 7.7.5 et versions ultérieures
- vSMA, qui exécute AsyncOS 9.0.0 et versions ultérieures
The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. If your network is live, make sure that you understand the potential impact of any command.
vESA n'est pas en mesure de télécharger et d'appliquer les mises à jour pour Antispam ou Antivirus
Lorsque vous mettez à jour l'antispam ou l'antivirus, les processus ne sont pas en mesure d'atteindre et de mettre à jour le moteur de service ou les ensembles de règles, même si vous entrez la commande update force.
L'une de ces commandes peut avoir été saisie directement à partir de l'interface de ligne de commande sur le vESA :
> antispamupdate ironport
> antispamupdate ironport force
> antivirusupdate force
> updatenow force
Lorsque vous exécutez tail_updater_logs, les erreurs observées sont similaires à celles-ci :
Mon Oct 21 17:48:43 2013 Info: Dynamic manifest fetch failure: Received invalid update manifest response
Cela indique que l'URL d'hôte dynamique associée à la configuration de mise à jour ne peut pas atteindre correctement le manifeste de mise à jour approprié. L'URL d'hôte dynamique est définie dans la commande updateconfig. La sous-commande, dynamichost, est une commande masquée dans updateconfig, comme mis en surbrillance ici :
myesa.local> updateconfig
Service (images): Update URL:
------------------------------------------------------------------------------
Feature Key updates http://downloads.ironport.com/asyncos
McAfee Anti-Virus definitions Cisco IronPort Servers
RSA DLP Engine Updates Cisco IronPort Servers
PXE Engine Updates Cisco IronPort Servers
Sophos Anti-Virus definitions Cisco IronPort Servers
IronPort Anti-Spam rules Cisco IronPort Servers
Intelligent Multi-Scan rules Cisco IronPort Servers
Outbreak Filters rules Cisco IronPort Servers
Timezone rules Cisco IronPort Servers
Cisco IronPort AsyncOS upgrades Cisco IronPort Servers
IMS Secondary Service rules Cisco IronPort Servers
Service (list): Update URL:
------------------------------------------------------------------------------
McAfee Anti-Virus definitions Cisco IronPort Servers
RSA DLP Engine Updates Cisco IronPort Servers
PXE Engine Updates Cisco IronPort Servers
Sophos Anti-Virus definitions Cisco IronPort Servers
IronPort Anti-Spam rules Cisco IronPort Servers
Intelligent Multi-Scan rules Cisco IronPort Servers
Outbreak Filters rules Cisco IronPort Servers
Timezone rules Cisco IronPort Servers
Service (list): Update URL:
------------------------------------------------------------------------------
Cisco IronPort AsyncOS upgrades Cisco IronPort Servers
Update interval: 5m
Proxy server: not enabled
HTTPS Proxy server: not enabled
Choose the operation you want to perform:
- SETUP - Edit update configuration.
[]> dynamichost
Enter new manifest hostname : port
[update-manifests.sco.cisco.com:443]>
Configurer l'appliance pour utiliser l'URL d'hôte dynamique correcte
Deux URL d'hôte dynamiques différentes sont utilisées pour les clients en fonction de la manière dont ils sont associés via Cisco :
- update-manifests.sco.cisco.com:443
- Utilisation : client vESA, vWSA, vSMA
- stage-stg-updates.ironport.com:443
- Utilisation : Conviviaux, Bêta appareils virtuels et matériels
Remarque : les appliances matérielles (C1x0, C3x0, C6x0 et X10x0) doivent UTILISER UNIQUEMENT l'URL d'hôte dynamique de update-manifests.ironport.com:443. Si une configuration de cluster est à la fois avec ESA et vESA, updateconfig doit être configurée au niveau de la machine, puis confirmer que dynamic host est défini en conséquence.
Remarque : les clients ne doivent utiliser les URL du serveur de mise à jour intermédiaire que s'ils ont obtenu l'accès au pré-provisionnement via Cisco pour une utilisation bêta uniquement. Si aucune licence valide n'est appliquée pour l'utilisation bêta, votre appliance ne recevra pas de mises à jour des serveurs de mise à jour intermédiaire.
Dans le prolongement de updateconfig et de la sous-commande dynamichost, entrez l'URL d'hôte dynamique si nécessaire, revenez à l'invite de l'interface de ligne de commande principale et validez les modifications :
Enter new manifest hostname : port
[update-manifests.sco.cisco.com:443]> stage-stg-updates.ironport.com:443
[]> <<<HIT RETURN TO GO BACK TO THE MAIN CLI PROMPT>>>
myesa.local> commit
Vérifier
Afin de vérifier que l'appliance atteint désormais l'URL d'hôte dynamique appropriée et que les mises à jour sont correctes, procédez comme suit :
- Augmentez le updater_logs pour déboguer.
Currently configured logs:> logconfig
Log Name Log Type Retrieval Interval
---------------------------------------------------------------------------------
1. antispam Anti-Spam Logs Manual Download None
[SNIP FOR BREVITY]
28. updater_logs Updater Logs Manual Download None
29. upgrade_logs Upgrade Logs Manual Download None
Choose the operation you want to perform:
- NEW - Create a new log.
- EDIT - Modify a log subscription.
- DELETE - Remove a log subscription.
- SETUP - General settings.
- LOGHEADERS - Configure headers to log.
- HOSTKEYCONFIG - Configure SSH host keys.
[]> edit
Enter the number of the log you wish to edit.
[]> 28 [NOTE, log # will be different on a per/appliance basis]
Please enter the name for the log:
[updater_logs]>
Log level:
1. Critical
2. Warning
3. Information
4. Debug
5. Trace
[3]> 4
[SNIP FOR BREVITY]
myesa_2.local> commit
- Exécutez une mise à jour forcée sur antispam (antispamupdate force) ou antivirus (antispamupdate force).
myesa.local> antivirusupdate force
Sophos Anti-Virus updates:
Requesting forced update of Sophos Anti-Virus.
- Enfin, tail updater_logs et assurez-vous que l'appliance est en mesure d'atteindre l'hôte dynamique comme indiqué :
Mon Oct 21 18:19:12 2013 Debug: Acquiring dynamic manifest from stage-stg-updates.ironport.com:443
Dépannage
Complétez ces étapes afin de dépanner les problèmes :
- Assurez-vous que la configuration de mise à jour par défaut est utilisée. Si le vESA ou l'hôte se trouve derrière un pare-feu, assurez-vous que les mises à jour avec un serveur statique sont utilisées.
- Assurez-vous que vous pouvez établir une connexion Telnet à l’URL d’hôte dynamique choisie :
> telnet
Please select which interface you want to telnet from.
1. Auto
2. Management (172.16.6.165/24: myesa_2.local)
3. new_data (192.168.1.10/24: myesa.local_data1)
[1]>
Enter the remote hostname or IP address.
[]> stage-stg-updates.ironport.com
Enter the remote port.
[25]> 443
Trying 208.90.58.24...
Connected to stage-stg-updates.ironport.com.
Escape character is '^]'.
^] ["CTRL + ]"]
telnet> quit
Connection closed.
Informations connexes