PTR レコードなしでクラスタに ESA を作成または参加させる

はじめに

このドキュメントでは、クラスタの作成またはクラスタへの参加を試みたときに、Cisco Eメールセキュリティアプライアンス(ESA)で「タイムアウト」エラーが発生した場合、DNSポインタ(PTR)レコードが使用できない場合、および問題を回避する方法について説明します。

前提条件

このドキュメントの情報は、次のソフトウェアとハードウェアのバージョンに基づいています。

• AsyncOS for Email Securityバージョン8.0以降

背景説明

クラスタ通信セキュリティ(CSS)またはセキュアシェル(SSH)を使用してIPアドレスでクラスタを参加させる場合、PTRレコードが必要です。そうしない場合、ESAは「タイムアウト」エラーを表示し、クラスタ参加が失敗します。

PTRレコードを適切に作成するために、DNSレコードの変更が不可能または許可されない場合があります。

次の状況が当てはまる場合があります。

• アプライアンスのIPアドレスは内部IPアドレスを使用します
• 両方のアプライアンスにPTRレコードはありません
• ルートDNSまたはローカルDNSは両方のローカルホスト名を解決できません
• ルートDNSまたはローカルDNSは編集または変更できません
• ポート22(SSH)とポート2222(CSS)の両方が両側で開いている
• 両側で「timed out」エラーが発生する
• これらのIPアドレスのルートDNSにNXDOMAINを設定できない

設定

ローカルESAをDNSソースとして使用する回避策があります。 アプライアンスのCLIで、ローカルDNS解決を追加します。たとえば、PTRレコードを解決できないアプライアンスesa1.example.com(192.168.10.1)とesa2.example.com(192.168.10.2)がある場合は、次の手順を実行します。

esa1.example.com> dnsconfig
 
Choose the operation you want to perform:
- NEW - Add a new server.
- EDIT - Edit a server
- DELETE - Remove a server
- SETUP - Configure general settings.
[]> new 
 
Currently using the local DNS cache servers:
1. Priority: 0 192.168.1.53
 
Do you want to add a new local DNS cache server or an alternate domain server?
1. Add a new local DNS cache server.
2. Add a new alternate domain server.
[]> 2
 
Please enter the domain this server is authoritative for. (Ex: "com").
[]> 2.10.168.192.in-addr.arpa [enter the in-addr-arpa which serves as PTR, in this example for esa2]
 
Please enter the fully qualified hostname of the DNS server for the domain
"1.10.10.10.in-addr.arpa".
(Ex: "dns.example.168.192.in-addr.arpa").
[]> esa1.example.com [enter the hostname of the ESA you are configuring this on]
 
Please enter the IP address of machinea.example.com.
[]> 192.168.10.1 [enter the IP of the ESA you are configuring this on]

esa2.example.com> dnsconfig
 
Choose the operation you want to perform:
- NEW - Add a new server.
- EDIT - Edit a server
- DELETE - Remove a server
- SETUP - Configure general settings.
[]> new 
 
Currently using the local DNS cache servers:
1. Priority: 0 192.168.1.53
 
Do you want to add a new local DNS cache server or an alternate domain server?
1. Add a new local DNS cache server.
2. Add a new alternate domain server.
[]> 2
 
Please enter the domain this server is authoritative for. (Ex: "com").
[]> 1.10.168.192.in-addr.arpa [enter the in-addr-arpa which serves as PTR, in this example esa1]
 
Please enter the fully qualified hostname of the DNS server for the domain
"1.10.10.10.in-addr.arpa".
(Ex: "dns.example.168.192.in-addr.arpa").
[]> esa2.example.com [enter the hostname of the ESA you are configuring this on]
 
Please enter the IP address of machinea.example.com.
[]> 192.168.10.2 [enter the IP of the ESA you are configuring this on]

メインプロンプトが表示されるまでEnterキーを押してcommitを実行し、設定の変更を保存してアクティブにします。

注：上記の例では、Please enter the domain this server is authoritative for the domain is the reverse DNS lookup or IP address 192.168.10.1 and 192.168.10.2で上記のように入力されています。IPアドレスがon esa1.example.comとesa2.example.comに設定されていて、到達可能であることを確認してください。