vESA无法下载和应用反垃圾邮件或防病毒更新

简介

本文档介绍虚拟邮件安全设备(vESA)无法下载和应用思科反垃圾邮件引擎(CASE)或Sophos和/或McAfee防病毒软件的更新（即使虚拟设备已获得正确许可）的情况。

先决条件

要求

Cisco 建议您了解以下主题：

• 邮件安全设备(ESA)
• vESA、虚拟网络安全设备(vWSA)、虚拟安全管理设备(vSMA)
• AysncOS

使用的组件

本文档中的信息基于以下软件和硬件版本：

• 运行AsyncOS 8.0.0及更高版本的vESA
• 运行AsyncOS 7.7.5及更高版本的vWSA
• 运行AsyncOS 9.0.0及更高版本的vSMA

本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始（默认）配置。如果您使用的是真实网络，请确保您已经了解所有命令的潜在影响。

vESA无法下载和应用反垃圾邮件或防病毒更新

当您更新反垃圾邮件或防病毒时，这些进程无法联系和更新服务引擎或规则集，即使您输入update force命令也是如此。

其中一条命令可能直接从vESA上的CLI输入：

> antispamupdate ironport
> antispamupdate ironport force
> antivirusupdate force
> updatenow force

运行tail updater_logs时，看到的错误类似于：

Mon Oct 21 17:48:43 2013 Info: Dynamic manifest fetch failure: Received invalid update manifest response

这表示与更新配置关联的动态主机URL无法正确到达正确的更新程序清单。动态主机URL在updateconfig命令中设置。子命令dynamichost在updateconfig中是隐藏命令，在此处突出显示：

myesa.local> updateconfig
Service (images): Update URL: 
------------------------------------------------------------------------------
Feature Key updates http://downloads.ironport.com/asyncos 
McAfee Anti-Virus definitions Cisco IronPort Servers 
RSA DLP Engine Updates Cisco IronPort Servers 
PXE Engine Updates Cisco IronPort Servers 
Sophos Anti-Virus definitions Cisco IronPort Servers 
IronPort Anti-Spam rules Cisco IronPort Servers 
Intelligent Multi-Scan rules Cisco IronPort Servers 
Outbreak Filters rules Cisco IronPort Servers 
Timezone rules Cisco IronPort Servers 
Cisco IronPort AsyncOS upgrades Cisco IronPort Servers 
IMS Secondary Service rules Cisco IronPort Servers
Service (list): Update URL: 
------------------------------------------------------------------------------
McAfee Anti-Virus definitions Cisco IronPort Servers 
RSA DLP Engine Updates Cisco IronPort Servers 
PXE Engine Updates Cisco IronPort Servers 
Sophos Anti-Virus definitions Cisco IronPort Servers 
IronPort Anti-Spam rules Cisco IronPort Servers 
Intelligent Multi-Scan rules Cisco IronPort Servers 
Outbreak Filters rules Cisco IronPort Servers 
Timezone rules Cisco IronPort Servers
Service (list): Update URL: 
------------------------------------------------------------------------------
Cisco IronPort AsyncOS upgrades Cisco IronPort Servers
Update interval: 5m
Proxy server: not enabled
HTTPS Proxy server: not enabled
Choose the operation you want to perform:
- SETUP - Edit update configuration.
[]> dynamichost
 
Enter new manifest hostname : port
[update-manifests.sco.cisco.com:443]>

将设备设置为使用正确的动态主机URL

根据客户通过思科的关联方式，有两个不同的动态主机URL可供客户使用：

1. update-manifests.sco.cisco.com:443 
   • 用途：客户vESA、vWSA、vSMA
2. stage-stg-updates.ironport.com:443
   • 用法：Friendlies、Beta虚拟和硬件设备

注意：硬件设备（C1x0、C3x0、C6x0和X10x0）应仅使用update-manifests.ironport.com:443的动态主机URL。如果有同时包含ESA和vESA的集群配置，则必须在计算机级别配置updateconfig，然后确认已相应地设置dynamichost。

注意：如果客户仅获得通过思科进行预调配的访问权限（仅限试用版使用），则他们应仅使用临时更新服务器URL。如果您没有适用于Beta版使用的有效许可证，设备将不会从临时更新服务器接收更新。

作为updateconfig和dynamichost子命令的延续，请输入动态主机URL，返回主CLI提示符，然后提交更改：

Enter new manifest hostname : port
[update-manifests.sco.cisco.com:443]> stage-stg-updates.ironport.com:443
[]> <<<HIT RETURN TO GO BACK TO THE MAIN CLI PROMPT>>>

myesa.local> commit

验证

要验证设备现在是否连接到了正确的动态主机URL，并且更新是否成功，请完成以下步骤：

1. 将updater_logs增加到debug。

   Currently configured logs:> logconfig
   
   Log Name Log Type Retrieval Interval 
   ---------------------------------------------------------------------------------
   1. antispam Anti-Spam Logs Manual Download None 
   [SNIP FOR BREVITY]
   28. updater_logs Updater Logs Manual Download None 
   29. upgrade_logs Upgrade Logs Manual Download None
   Choose the operation you want to perform:
   - NEW - Create a new log.
   - EDIT - Modify a log subscription.
   - DELETE - Remove a log subscription.
   - SETUP - General settings.
   - LOGHEADERS - Configure headers to log.
   - HOSTKEYCONFIG - Configure SSH host keys.
   []> edit
   Enter the number of the log you wish to edit.
   []> 28 [NOTE, log # will be different on a per/appliance basis]
   Please enter the name for the log:
   [updater_logs]>
   Log level:
   1. Critical
   2. Warning
   3. Information
   4. Debug
   5. Trace
   [3]> 4
   [SNIP FOR BREVITY]
    
   myesa_2.local> commit 

2. 对反垃圾邮件(antispamupdate force)或防病毒(antivirusupdate force)运行强制更新。

   myesa.local> antivirusupdate force
   
   Sophos Anti-Virus updates:
   Requesting forced update of Sophos Anti-Virus.

3. 最后，发出tail updater_logs命令，确保设备能够到达动态主机，如下所示：

   Mon Oct 21 18:19:12 2013 Debug: Acquiring dynamic manifest from stage-stg-updates.ironport.com:443

故障排除

完成以下步骤以排除任何问题：

1. 确保使用默认的updateconfig。如果vESA或主机位于防火墙之后，请确保正在使用静态服务器更新。
2. 确保可以telnet到所选的动态主机URL：

   > telnet
   Please select which interface you want to telnet from.
   1. Auto
   2. Management (172.16.6.165/24: myesa_2.local)
   3. new_data (192.168.1.10/24: myesa.local_data1)
   [1]>
   Enter the remote hostname or IP address.
   []> stage-stg-updates.ironport.com
   Enter the remote port.
   [25]> 443
   Trying 208.90.58.24...
   Connected to stage-stg-updates.ironport.com.
   Escape character is '^]'.
   ^] ["CTRL + ]"]
   telnet> quit
   Connection closed.

相关信息

• 使用静态服务器进行内容安全设备升级或更新
• 技术支持和文档 - Cisco Systems