はじめに
このドキュメントでは、クラスタの作成またはクラスタへの参加を試みたときに、Cisco Eメールセキュリティアプライアンス(ESA)で「タイムアウト」エラーが発生した場合、DNSポインタ(PTR)レコードが使用できない場合、および問題を回避する方法について説明します。
前提条件
このドキュメントの情報は、次のソフトウェアとハードウェアのバージョンに基づいています。
- AsyncOS for Email Securityバージョン8.0以降
背景説明
クラスタ通信セキュリティ(CSS)またはセキュアシェル(SSH)を使用してIPアドレスでクラスタを参加させる場合、PTRレコードが必要です。そうしない場合、ESAは「タイムアウト」エラーを表示し、クラスタ参加が失敗します。
PTRレコードを適切に作成するために、DNSレコードの変更が不可能または許可されない場合があります。
次の状況が当てはまる場合があります。
- アプライアンスのIPアドレスは内部IPアドレスを使用します
- 両方のアプライアンスにPTRレコードはありません
- ルートDNSまたはローカルDNSは両方のローカルホスト名を解決できません
- ルートDNSまたはローカルDNSは編集または変更できません
- ポート22(SSH)とポート2222(CSS)の両方が両側で開いている
- 両側で「timed out」エラーが発生する
- これらのIPアドレスのルートDNSにNXDOMAINを設定できない
設定
ローカルESAをDNSソースとして使用する回避策があります。 アプライアンスのCLIで、ローカルDNS解決を追加します。たとえば、PTRレコードを解決できないアプライアンスesa1.example.com(192.168.10.1)とesa2.example.com(192.168.10.2)がある場合は、次の手順を実行します。
esa1.example.com> dnsconfig
Choose the operation you want to perform:
- NEW - Add a new server.
- EDIT - Edit a server
- DELETE - Remove a server
- SETUP - Configure general settings.
[]> new
Currently using the local DNS cache servers:
1. Priority: 0 192.168.1.53
Do you want to add a new local DNS cache server or an alternate domain server?
1. Add a new local DNS cache server.
2. Add a new alternate domain server.
[]> 2
Please enter the domain this server is authoritative for. (Ex: "com").
[]> 2.10.168.192.in-addr.arpa [enter the in-addr-arpa which serves as PTR, in this example for esa2]
Please enter the fully qualified hostname of the DNS server for the domain
"1.10.10.10.in-addr.arpa".
(Ex: "dns.example.168.192.in-addr.arpa").
[]> esa1.example.com [enter the hostname of the ESA you are configuring this on]
Please enter the IP address of machinea.example.com.
[]> 192.168.10.1 [enter the IP of the ESA you are configuring this on]
esa2.example.com> dnsconfig
Choose the operation you want to perform:
- NEW - Add a new server.
- EDIT - Edit a server
- DELETE - Remove a server
- SETUP - Configure general settings.
[]> new
Currently using the local DNS cache servers:
1. Priority: 0 192.168.1.53
Do you want to add a new local DNS cache server or an alternate domain server?
1. Add a new local DNS cache server.
2. Add a new alternate domain server.
[]> 2
Please enter the domain this server is authoritative for. (Ex: "com").
[]> 1.10.168.192.in-addr.arpa [enter the in-addr-arpa which serves as PTR, in this example esa1]
Please enter the fully qualified hostname of the DNS server for the domain
"1.10.10.10.in-addr.arpa".
(Ex: "dns.example.168.192.in-addr.arpa").
[]> esa2.example.com [enter the hostname of the ESA you are configuring this on]
Please enter the IP address of machinea.example.com.
[]> 192.168.10.2 [enter the IP of the ESA you are configuring this on]
メインプロンプトが表示されるまでEnterキーを押してcommitを実行し、設定の変更を保存してアクティブにします。
注:上記の例では、Please enter the domain this server is authoritative for the domain is the reverse DNS lookup or IP address 192.168.10.1 and 192.168.10.2で上記のように入力されています。IPアドレスがon esa1.example.comとesa2.example.comに設定されていて、到達可能であることを確認してください。