Creare o unire le ESA a un cluster senza record PTR

Opzioni per il download

  • PDF     (250.3 KB)
    Visualizza con Adobe Reader su diversi dispositivi
  • ePub     (80.5 KB)
    Visualizza in diverse app su iPhone, iPad, Android, Sony Reader o Windows Phone
  • Mobi (Kindle)     (65.7 KB)
    Visualizza su dispositivo Kindle o tramite app Kindle su più dispositivi
Aggiornato:16 novembre 2016
ID documento:200056

Linguaggio senza pregiudizi

La documentazione per questo prodotto è stata redatta cercando di utilizzare un linguaggio senza pregiudizi. Ai fini di questa documentazione, per linguaggio senza di pregiudizi si intende un linguaggio che non implica discriminazioni basate su età, disabilità, genere, identità razziale, identità etnica, orientamento sessuale, status socioeconomico e intersezionalità. Le eventuali eccezioni possono dipendere dal linguaggio codificato nelle interfacce utente del software del prodotto, dal linguaggio utilizzato nella documentazione RFP o dal linguaggio utilizzato in prodotti di terze parti a cui si fa riferimento. Scopri di più sul modo in cui Cisco utilizza il linguaggio inclusivo.

Informazioni su questa traduzione

Cisco ha tradotto questo documento utilizzando una combinazione di tecnologie automatiche e umane per offrire ai nostri utenti in tutto il mondo contenuti di supporto nella propria lingua. Si noti che anche la migliore traduzione automatica non sarà mai accurata come quella fornita da un traduttore professionista. Cisco Systems, Inc. non si assume alcuna responsabilità per l’accuratezza di queste traduzioni e consiglia di consultare sempre il documento originale in inglese (disponibile al link fornito).

Introduzione

In questo documento vengono descritti i casi in cui Cisco Email Security Appliance (ESA) rileva un errore di "timeout" durante il tentativo di creare un cluster o di aggiungersi a un cluster, se i record puntatore DNS (PTR) non sono disponibili e viene spiegato come risolvere il problema.

Prerequisiti

Le informazioni fornite in questo documento si basano sulle seguenti versioni software e hardware:

  • AsyncOS for Email Security versione 8.0 e successive

Premesse

Quando si utilizza Cluster Communication Security (CSS) o Secure Shell (SSH) per aggiungere il cluster all'indirizzo IP, il record PTR è obbligatorio. In caso contrario, l'ESA visualizzerà un messaggio di errore di "timeout" e l'unione del cluster non riuscirà.

In alcuni casi, le modifiche ai record DNS potrebbero non essere possibili o consentite per creare correttamente i record PTR.

Possono verificarsi le seguenti situazioni:

  • Gli indirizzi IP degli accessori utilizzano indirizzi IP interni
  • Nessun record PTR per entrambi gli accessori
  • Il DNS radice o il DNS locale non è in grado di risolvere entrambi i nomi host locali
  • Impossibile modificare il DNS radice o il DNS locale
  • Entrambe le porte 22 (SSH) e 222 (CSS) sono aperte su entrambi i lati
  • Recupero degli errori di timeout su entrambi i lati
  • Impossibile configurare NXDOMAIN nel DNS radice per questi indirizzi IP

Configurazione

È disponibile una soluzione che utilizza l'ESA locale come origine DNS.  Dalla CLI dell'accessorio, aggiungere una risoluzione DNS locale. Ad esempio, se per l'accessorio esa1.example.com (192.168.10.1) e esa2.example.com (192.168.10.2) non è possibile risolvere il record PTR, effettuare le seguenti operazioni:

esa1.example.com> dnsconfig
 
Choose the operation you want to perform:
- NEW - Add a new server.
- EDIT - Edit a server
- DELETE - Remove a server
- SETUP - Configure general settings.
[]> new 
 
Currently using the local DNS cache servers:
1. Priority: 0 192.168.1.53
 
Do you want to add a new local DNS cache server or an alternate domain server?
1. Add a new local DNS cache server.
2. Add a new alternate domain server.
[]> 2
 
Please enter the domain this server is authoritative for. (Ex: "com").
[]> 2.10.168.192.in-addr.arpa [enter the in-addr-arpa which serves as PTR, in this example for esa2]
 
Please enter the fully qualified hostname of the DNS server for the domain
"1.10.10.10.in-addr.arpa".
(Ex: "dns.example.168.192.in-addr.arpa").
[]> esa1.example.com [enter the hostname of the ESA you are configuring this on]
 
Please enter the IP address of machinea.example.com.
[]> 192.168.10.1 [enter the IP of the ESA you are configuring this on]


esa2.example.com> dnsconfig
 
Choose the operation you want to perform:
- NEW - Add a new server.
- EDIT - Edit a server
- DELETE - Remove a server
- SETUP - Configure general settings.
[]> new 
 
Currently using the local DNS cache servers:
1. Priority: 0 192.168.1.53
 
Do you want to add a new local DNS cache server or an alternate domain server?
1. Add a new local DNS cache server.
2. Add a new alternate domain server.
[]> 2
 
Please enter the domain this server is authoritative for. (Ex: "com").
[]> 1.10.168.192.in-addr.arpa [enter the in-addr-arpa which serves as PTR, in this example esa1]
 
Please enter the fully qualified hostname of the DNS server for the domain
"1.10.10.10.in-addr.arpa".
(Ex: "dns.example.168.192.in-addr.arpa").
[]> esa2.example.com [enter the hostname of the ESA you are configuring this on]
 
Please enter the IP address of machinea.example.com.
[]> 192.168.10.2 [enter the IP of the ESA you are configuring this on]


Premere <Enter> fino a visualizzare il prompt principale ed eseguire il comando commit per salvare e attivare le modifiche alla configurazione.

Nota: negli esempi precedenti, il dominio immesso in precedenza per Immettere il dominio di cui il server è autorevole è la ricerca DNS inversa o l'indirizzo IP 192.168.10.1 e 192.168.10.2. Verificare che gli indirizzi IP siano configurati on esa1.example.com e esa2.example.com e raggiungibili.

Cronologia delle revisioni

Revisione Data di pubblicazione Commenti
1.0
12-Aug-2015
Versione iniziale
TAC Authored

Contributo dei tecnici Cisco

Questo documento ti è stato utile?

FeedbackFeedback

Contattaci

Questo documento si applica a questi prodotti