Fehlerbehebung bei Smart License in Secure Web Appliance

Einleitung

In diesem Dokument werden die Schritte zum Konfigurieren und Beheben von Smart License in Secure Web Appliance (SWA) beschrieben.

Voraussetzungen

Anforderungen

Cisco empfiehlt, dass Sie über Kenntnisse in folgenden Bereichen verfügen:

• Funktionsweise von Smart License
• Verwaltung der Secure Web Appliance (SWA).

Cisco empfiehlt Folgendes:

• Physische oder Virtual Secure Web Appliance (SWA) installiert.

• Administratorzugriff auf die SWA.
• Zugriff auf das Smart License-Portal

Verwendete Komponenten

Dieses Dokument ist nicht auf bestimmte Software- und Hardware-Versionen beschränkt.

Die Informationen in diesem Dokument beziehen sich auf Geräte in einer speziell eingerichteten Testumgebung. Alle Geräte, die in diesem Dokument benutzt wurden, begannen mit einer gelöschten (Nichterfüllungs) Konfiguration. Wenn Ihr Netzwerk in Betrieb ist, stellen Sie sicher, dass Sie die möglichen Auswirkungen aller Befehle kennen.

Cisco Smart-Lizenz 

Smart Licensing bietet folgende Möglichkeiten:

• Verwaltung aller Produktlizenzen von einem zentralen Standort aus
• Normalisiert den Prozess zwischen physischen und virtuellen E-Mail-Security-Appliances (ESAs)/Security-Management-Appliances (SMAs)/SWAs mithilfe einer einzigen Methode zur Anwendung und Verwaltung von Lizenzen.
• Einfaches Lizenzieren Ihrer ESA/SMA/SWA
• Erhalt von Warnmeldungen zum Lizenzablauf
• Das vorkonfigurierte Hardware-Modell ESA/SMA/SWA sieht einen 90-tägigen Evaluierungszeitraum für alle Services vor.

Um die SWA mit Smart Licensing zu registrieren, muss der Eigentümer der Appliance über ein Smart Account verfügen.

• Smart Accounts werden einmal pro Domain vergeben.
• Der Administrator des Smart Accounts kann untergeordnete Virtual Accounts erstellen, die eine Isolierung der Ressourcen ermöglichen.
• Mit Virtual Accounts kann der Zugriff auf verschiedene Cisco Produktlizenzen je nach Ihren Anforderungen eingeschränkt werden.
• Zugriff auf den Cisco Smart Software Manager (CSSM) zur Verwaltung von Lizenzen und zum Herunterladen von Token

Unter den Links zu den von Cisco bereitgestellten Ressourcen finden Sie Videos, Leitfäden und Erklärungen rund um Smart Licensing:

• Neues Smart Account erstellen oder beantragen, einen Benutzer zu einem vorhandenen Konto hinzuzufügen
• Überblick über Smart Software Licensing - Cisco Webseite
• Bereitstellungsleitfaden für Smart Licensing

• Cisco Smart Accounts Cisco Seite

• Cisco Seite für Smart Software Manager

• Cisco Smart Software Manager (CSSM)
• Lizenzschlüsseldatei aus PAK-Datei für Email Security generieren - Cisco

Smart Software Manager Satellite

Der Cisco Smart Software Manager Satellit ist eine Komponente von Cisco Smart Licensing.

CSSM Satellite ermöglicht in Verbindung mit CSSM das Management von Produktlizenzen sowie eine zeitnahe Transparenz und Berichterstellung zu den verwendeten Cisco Lizenzen.

Wenn Sie aus Sicherheitsgründen die vorhandenen Installationen nicht mit dem Smart Software Manager verwalten möchten, der sich auf Cisco.com befindet, können Sie den Smart Software Manager vor Ort installieren.

Weitere Informationen zu Smart Software Manager Satellite finden Sie unter: Cisco Smart Software Manager - Cisco .

Definitionen für Smart License

Lizenztypen:

• Classic License (CL) bezieht sich auf die alten Methoden, die sowohl für Hardware- als auch für virtuelle Lizenzen verwendet werden.
• Smart-Lizenz (SL)

License Authorization Status (Lizenzautorisierungsstatus): Der Status einer bestimmten Lizenz innerhalb der Appliance.

• Auf der Seite für Smart Licenses wird nicht das tatsächliche Ablaufdatum angezeigt.
• Ort: GUI > Systemverwaltung > Lizenzen.
• Ort: CLI > license_smart > ÜBERSICHT

Der Status einer bestimmten Funktion wird mit einem der folgenden Werte angezeigt:

• Bewertung:
  • Der SL-Service wurde auf einer neuen (Hardware-)ESA/SMA ohne Tokenregistrierung aktiviert.
  • SL-Service wurde auf einer Appliance aktiviert, auf der die aktuelle CLI installiert ist.
• Testversion abgelaufen: Die Smart-Lizenz für die 90-tägige Testversion ist abgelaufen, und die Appliance hat auf den zusätzlichen Kulanzzeitraum von 30 Tagen umgestellt
• In Compliance: Die Appliance wurde mit einem Token registriert, und die Funktion benötigt derzeit eine gültige Lizenz.
• Out of Compliance (Kulanzfrist) kann in 2 Szenarien beobachtet werden:
  
  • Temporäre Lizenz für Funktionen für 30 Tage wird per Mausklick angefordert
  • Für die Appliance ist eine Lizenz abgelaufen, und die 30-tägige Kulanzfrist wurde eingeleitet.
• Out of Compliance (Abgelaufen): Die Lizenz ist vollständig abgelaufen, und der zugehörige Service funktioniert nicht mehr.

Hinweis: Ein unbefristeter Schlüssel weist darauf hin, dass für diese Funktion kein Ablaufzeitraum vorhanden ist. Ein ruhender Schlüssel weist darauf hin, dass die Funktion selbst über eine Endbenutzer-Lizenzvereinbarung (EULA) verfügt, die akzeptiert werden muss, oder dass die Funktion konfiguriert und aktiviert werden muss. Nach Abschluss des Vorgangs wird die Funktion in den Status "Aktiv" geändert, und die Ablaufzeit beginnt.

Konfigurieren einer Smart-Lizenz auf der Secure Web Appliance 

Sie können SWA über die grafische Benutzeroberfläche (GUI) und die Kommandozeile (CLI) mit der Smart-Lizenz verbinden.

Vorbereitungen

Vorsicht: Die Aktivierung der Smart License-Funktion auf der ESA/SMA/SWA ist dauerhaft und lässt keine Option zu, eine Appliance wieder in den klassischen Lizenzmodus zu versetzen.

• Alle erworbenen SWA-Hardwaremodelle beinhalten Testlizenzen für 90 Tage für alle Funktionen.
• Alle Hardwaremodelle, die mit den aktuellen Classic-Lizenzen (CL) auf die Smart-Lizenz migrieren, erhalten 90-Tage-Testlizenzen.
• Für alle virtuellen SWA-Modelle ist eine grundlegende Virtual License (VLN) erforderlich, bei der es sich um eine XML-Datei handelt, die über den load-Lizenzbefehl (CLI) der Befehlszeilenschnittstelle auf die Appliance geladen wird, um eine Verbindung zum Upgrade-/Update-Server herzustellen.
• Alle virtuellen SWA-Modelle enthalten, wenn sie erstellt werden, KEINE Lizenzen für 90 Tage und erfordern eine Registrierung durch die Classic License VLN-Datei (manchmal auch XML genannt).
• Alle virtuellen SWA-Modelle, die mit den aktuellen Classic-Lizenzen (CL) migriert werden, enthalten Testlizenzen für 90 Tage.
• Derzeit verfügt SWA über Smart Licence in allen Releases als optionale Funktion.
• Sobald die Smart License aktiviert ist, wird die Classic License in diesem Feld nicht mehr verwendet.
• Die klassische Lizenz kann nicht beibehalten werden, nachdem die Smart-Lizenz aktiviert wurde.
• In SWA-Version 15.0 und neueren Versionen gibt es eine Option zur direkten Aktivierung der Smart License ohne Aktivierung der Classic License. In diesem Fall müssen die Lizenzen erworben und für die Verwendung der SWA mit Smart License konfiguriert werden.
• Ab der Version 15.0 gilt eine Frist von 30 Tagen für die Neuinstallation und Registrierung der Smart License ohne Aktivierung der Classic License.
• In der neuesten Version, Version 15.1, ist Smart License eine Pflichtangabe, damit SWA ordnungsgemäß funktioniert. Außerdem werden in der neuesten Version alle Funktionen im Zusammenhang mit der Classic-Lizenz entfernt.
• Das Upgrade auf Smart License erfordert SWA-Builds zum Zeitpunkt des Downloads, wenn Smart License im Basis-Build nicht aktiviert ist.

Änderungen in der CLI- und GUI-Anzeige

In CLI für Classic License wurden vier Befehle verwendet. Daher werden diese Befehle in Smart License Mandate-Builds (15.1 und höher) entfernt.

Liste der entfernten CLI-Befehle:

• Ladeliste
• Ausstellungslizenz
• Funktionsschlüssel
• FeatureSchlüsselkonfiguration

In GUI for Classic License werden auf der Registerkarte Systemverwaltung zwei Seiten angezeigt. Aus diesem Grund werden Seiten in Smart License Mandate, das diese erstellt, entfernt.
Liste der entfernten GUI-Seiten:

• Feature-Schlüsseleinstellungen
• Feature-Schlüssel

Zurücksetzen und Neuladen

Zurücksetzen der Konfiguration in SWA bedeutet Zurücksetzen auf die Werkseinstellungen, wenn die gesamte Konfiguration gelöscht wird und SWA auf den Werkszustand zurückgesetzt wird.

Mit dem Smart License-Befehl "build" wird auch das gleiche Verhalten beibehalten.

Reload ist ein ausgeblendeter CLI-Befehl, der die Konfigurationsdaten löscht und auch die Feature-Schlüssel entfernt. Wenn SWA bei der Classic-Lizenz registriert war und einen erneuten Ladevorgang durchführt, laden Sie die Lizenz erneut.

Wenn SWA mit Smart License konfiguriert wurde, wird nach dem Neuladen die Smart License aufgehoben und deaktiviert. Gleichzeitig wird das aktuelle SWA-Verhalten auf die Werkseinstellungen zurückgesetzt.

In SWA-Versionen mit Mandanten wird Smart License nie wieder in den deaktivierten Zustand zurückgesetzt, daher löscht der Befehl reload alle Konfigurationen.

Die Smart-Lizenz verbleibt im registrierten Zustand, daher müssen alle Lizenzen erneut angefordert werden.

Kommunikationsanforderungen

Netzwerk- oder Proxy-Kommunikation mit smartreceive.cisco.com über TCP-Port 443.

Führen Sie die folgenden Schritte aus, um die Verbindung von SWA aus zu testen:

Schritt 1: Melden Sie sich bei der CLI an.

Schritt 2: Geben Sie telnet ein, und drücken Sie die Eingabetaste.

Schritt 3: Wählen Sie die Schnittstelle aus, die Sie für die SWA-Verbindung mit dem Smart License-Server erwarten.

Schritt 4: Geben Sie smartempfänger.cisco.com ein, und drücken Sie die Eingabetaste.

Schritt 5: Geben Sie 443 in den Portbereich ein, und drücken Sie die Eingabetaste.

Hinweis: Wenn Sie Smart Software Manager Satellite konfiguriert haben, fügen Sie die URL (Uniform Resource Locator) oder IP (Internet Protocol)-Adresse hinzu, die mit diesem Server in Schritt 4 verknüpft ist.

Beispiel für eine erfolgreiche Verbindung:

> telnet

Please select which interface you want to telnet from.
1. Auto
2. Management (10.48.48.184/24: management.swa1.cisco.com)
3. P1 (192.168.13.184/24: p1.swa1.cisco.com)
4. P2 (192.168.133.184/24: p2.swa1.cisco.com)
[1]> 4

Enter the remote hostname or IP address.
[]> smartreceiver.cisco.com

Enter the remote port.
[23]> 443

Trying 10.112.59.81...
Connected to smartreceiver.cisco.com.
Escape character is '^]'.

Beispiel für eine fehlgeschlagene Verbindung: 

SWA_CLI> telnet

Please select which interface you want to telnet from.
1. Auto
2. Management (10.48.48.184/24: management.swa1.cisco.com)
3. P1 (192.168.13.184/24: p1.swa1.cisco.com)
4. P2 (192.168.133.184/24: p2.swa1.cisco.com)
[1]> 2

Enter the remote hostname or IP address.
[]> smartreceiver.cisco.com

Enter the remote port.
[23]> 443

Trying 10.112.59.81...
telnet: connect to address 10.112.59.81: Operation timed out
Trying 2a04:e4c7:fffe::f...
bind: Invalid argument

Hinweis: Wenn die Tastenkombination Strg+c nicht funktioniert, halten Sie die Strg-Taste gedrückt und drücken Sie die Taste ], geben Sie q ein, und drücken Sie die Eingabetaste.

Smart License über GUI konfigurieren

Schritt 1: Melden Sie sich bei der GUI an, und navigieren Sie zu System Administration (Systemverwaltung).

Schritt 2: Wählen Sie Smart Software Licensing aus.

Image - Smart Software-Lizenzierung auswählen

Schritt 3: Smart Software-Lizenzierung aktivieren auswählen 

Image: Aktivieren Sie Smart Software Licensing.

Schritt 4: Bitte lesen Sie die Anleitung sorgfältig durch und wählen Sie OK. 

Bild: Lesen Sie die Anleitung sorgfältig durch.

Vorsicht: Sie können nicht von der Smart License zur Classic License zurückkehren, nachdem Sie die Smart License-Funktion auf Ihrer Appliance aktiviert haben.

Schritt 5: Änderungen bestätigen.

Schritt 6: Pause, dann aktualisieren Sie die Smart Licensing-Seite. 

Schritt 7. Wählen Sie Smart License Registration aus, und klicken Sie auf Confirm (Bestätigen)

Bild: Wählen Sie Smart License Registration

Schritt 8: (Optional) Wenn Sie einen Smart Software Manager-Satelliten in Ihrem Netzwerk installiert haben, fügen Sie die URL oder IP-Adresse des Servers in den Transporteinstellungen hinzu.  

Schritt 9. Wenn Sie über eine separate Routing-Tabelle verfügen, aber von der Management-Schnittstelle keinen Zugriff auf https://smartreceiver.cisco.com haben, wählen Sie Daten aus dem Abschnitt Test Interface (Testschnittstelle) aus. 

Standardmäßig ist die Management-Routing-Tabelle ausgewählt.

Image: Routing-Tabelle auswählen

Schritt 10. Wählen Sie Registrieren, um zur Registrierungsseite zu navigieren.

Schritt 11. Melden Sie sich bei Ihrem Smart Software Manager-Portal ( Cisco Software Central ) oder Ihrem Smart Software Manager-Satelliten an.

Schritt 12: Navigieren Sie zur Registerkarte Inventar, und generieren Sie ein neues Token, falls Sie noch kein Token haben. Alternativ können Sie auf den blauen Pfeil klicken, um Ihr Token anzuzeigen. 

Bild - Navigieren zum Bestand

Schritt 13: (Optional) Wählen Sie zum Erstellen eines Registrierungs-Tokens Neues Token aus, und füllen Sie die erforderlichen Felder aus. 

Schritt 14: Fügen Sie das Token aus dem Smart License-Portal in Ihr SWA ein, und wählen Sie Registrieren. 

Bild: Einfügen des Registrierungs-Tokens

Schritt 15: (Optional) Wenn das Gerät bereits registriert wurde, können Sie es erneut registrieren, wenn Sie das Kontrollkästchen aktivieren. 

Schritt 16: Nach einigen Minuten können Sie den Registrierungsstatus überprüfen.

Bild - Registrierte Appliance

Überprüfen der Integration

Sie können die Integration über die GUI, die CLI oder das Smart License Portal überprüfen. 

Smart License-Status über GUI überprüfen

Schritt 1: Melden Sie sich bei der GUI an, und navigieren Sie zu System Administration (Systemverwaltung).

Schritt 2: Wählen Sie Smart Software Licensing aus.

Schritt 3: Überprüfen Sie diese Punkte:

• Registrierungsstatus
• Status der Lizenzautorisierung
• Status des letzten Registrierungsversuchs
• Status des letzten Autorisierungsversuchs

Image - Überprüfen der Smart License in der GUI

Schritt 4: Wählen Sie im Menü Systemverwaltung die Option Lizenzen aus.

Schritt 5: Überprüfen Sie, ob die gewünschten Lizenzen den Vorschriften entsprechen.

Bild - Lizenzstatus

Smart License-Status von CLI überprüfen

Führen Sie die folgenden Schritte aus, um den Smart Licence-Status über die CLI zu überprüfen:

Schritt 1: Bei CLI anmelden 

Schritt 2: Geben Sie license_smart ein

Schritt 3: STATUS auswählen

Schritt 4: Überprüfen Sie diese Punkte:

• Registrierungsstatus
• Status der Lizenzautorisierung
• Status des letzten Registrierungsversuchs
• Status des letzten Autorisierungsversuchs

Smart Licensing is : Enabled

License Reservation is: Disabled
Evaluation Period: Not In Use
Evaluation Period Remaining: 89 days 22 hours 40 minutes
Registration Status: Registered ( 04 Sep 2023 20:38 ) Registration Expires on:  ( 03 Sep 2024 21:03 )
Smart Account: XXXXXXXXXXXX18.cisco.com
Virtual Account: XXXXXXXXX
Last Registration Renewal Attempt Status: SUCCEEDED on 04 Sep 2023 21:07
License Authorization Status: Authorized ( 04 Sep 2023 20:38 ) Authorization Expires on:  ( 03 Dec 2023 20:03 )
Last Authorization Renewal Attempt Status: SUCCEEDED on 04 Sep 2023 21:07
Product Instance Name: wsa125to15.amojarra.calo
Transport Settings: Direct (https://smartreceiver.cisco.com/licservice/license)
Device Led Conversion Status: Started

Schritt 5. Wählen Sie aus dem license_smart assistenten ZUSAMMENFASSUNG.

[]> SUMMARY

Feature Name                                                        License Authorization Status
----------------------------------------------------------------------------------------------------
Secure Web Appliance Cisco Web Usage Controls                          In Compliance
Secure Web Appliance Anti-Virus Webroot                                In Compliance
Secure Web Appliance L4 Traffic Monitor                                In Compliance
Secure Web Appliance Cisco AnyConnect SM for AnyConnect                In Compliance
Secure Web Appliance Secure Endpoint Reputation                        In Compliance
Secure Web Appliance Anti-Virus Sophos                                 In Compliance
Secure Web Appliance Web Reputation Filters                            In Compliance
Secure Web Appliance Secure Endpoint                                   In Compliance
Secure Web Appliance Anti-Virus McAfee                                 Not requested
Secure Web Appliance Web Proxy and DVS Engine                          In Compliance
Secure Web Appliance HTTPs Decryption                                  In Compliance

Schritt 6: Überprüfen Sie, ob die gewünschten Lizenzen den Vorschriften entsprechen.

Überprüfen des Gerätestatus im Smart License-Portal

Schritt 1: Anmelden beim Smart Software Licensing-Portal: Cisco Software Central

Schritt 2: Wählen Sie die Registerkarte "Bestand".

Schritt 3: Wählen Sie Produktinstanzen aus. 

Schritt 4: Überprüfen Sie, ob Ihr Gerät aufgeführt ist, und klicken Sie auf den Gerätenamen.

Bild - Überprüfen des Gerätestatus im Smart License-Portal

Schritt 5: Beobachten Sie die Feature-Schlüssel und den Gerätestatus auf der Registerkarte Allgemein.

Bild - Überprüfen der Feature-Schlüssel im Smart License-Portal

VLN über CLI suchen

Verwenden Sie den Befehl smartaccountinfo, um Ihr VLN über die CLI anzuzeigen. Außerdem können Sie einige zusätzliche Informationen anzeigen, z. B. Virtual Account Domain oder ID und Produktinstanzen. 

> smartaccountinfo

Smart Account details
---------------------

Product Instance ID       : 609XXXXXXXX-fXXXXXXXXX55
Smart Account Domain      : XXXXXXXXXXXXXXXXXXX18.cisco.com
Smart Account ID          : 111111
Smart Account Name        : XXXXXXXXXXXXXXXXXXX18.cisco.com
VLN                       : VLNWSA1111111
Virtual Account Domain    : WSA_XXXXX
Virtual Account ID        : 111111

Protokollieren 

Alle mit Smart License zusammenhängenden Protokolle werden in Smartlicense-Protokollen erfasst. Dieses Protokoll ist standardmäßig aktiviert.

Gehen Sie folgendermaßen vor, um das Smart License-Protokoll zu konfigurieren:

Schritt 1: Melden Sie sich bei der GUI an.

Schritt 2: Wählen Sie im Menü Systemverwaltung die Option Protokoll-Subscriptions aus.

Schritt 3: Blättern Sie nach unten, und suchen Sie nach Smartlicense-Protokollen.

Schritt 4: Klicken Sie auf den Protokollnamen, um die Konfiguration zu bearbeiten. 

Tipp: Wenn Sie die Protokolle an Ihren Protokollsammlungsserver übertragen möchten, wird empfohlen, neue Protokollabonnements zu erstellen und diese Protokolle weiterzuleiten, damit eine Kopie der Protokolle lokal auf dem SWA vorhanden ist.

Trouble Shoot Smart-Lizenz  

Im Folgenden finden Sie häufige Fehler und die Schritte zur Behebung des Problems. 

Sussessfull-Verbindung 

Hier ist ein Beispiel für Smart_License-Protokolle mit erfolgreichem Ergebnis:

Mon Sep  4 20:39:32 2023 Info: The product is registered successfully with Smart Software Manager.

Registrierung fehlgeschlagen 

Bild - Registrierung fehlgeschlagen

Wenn die Meldung Registration Failed (Registrierung fehlgeschlagen) zurückgegeben wird, überprüfen Sie die smart_license-Protokolle der CLI wie folgt: 

Schritt 1: Melden Sie sich bei CLI an.

Schritt 2: Geben Sie grep ein, und drücken Sie die Eingabetaste.

Schritt 3: Suchen Sie die Nummer, die den SmartLicense-Protokollen zugeordnet ist, geben Sie die Nummer ein, und drücken Sie die Eingabetaste.

Schritt 4: Drücken Sie die Eingabetaste, bis die Protokolle angezeigt werden.

Fehler beim Senden der Kommunikation

Wenn die Meldung "Communication send error" (Übertragungsfehler) angezeigt wird, überprüfen Sie die Verbindung zwischen SWA und Smart License Server auf Port TCP 443.

Mon Sep 4 19:57:09 2023 Warning: The registration of the product with Smart Software Manager failed. The response from Smart Software Manager is: Communication send error. 

Tipp: Wenn Sie Smart Software Manager satellite konfiguriert haben, überprüfen Sie die Verbindung mit der konfigurierten Portnummer.

Um die Verbindung zu überprüfen, gehen Sie wie im Abschnitt "Kommunikationsanforderungen" in diesem Artikel beschrieben vor. 

Auch in der Anzeige von Warnmeldungen wird dieselbe Fehlermeldung angezeigt:

04 Sep 2023 20:19:29 +0200    The registration of the product with Smart Software Manager failed. The response from Smart Software Manager is: Communication send error.

Das Token ist ungültig.

Wenn das Token abgelaufen ist oder den maximal definierten Used-Wert erreicht hat, wird das ungültige Warnprotokolltoken zurückgegeben.

Sie können den Fehler entweder über den Befehl displaysAlerts oder über Smartlicense-Protokolle überprüfen. 

Nachfolgend finden Sie ein Beispiel für einen Fehler bei der Anzeige von Warnmeldungen in der CLI:

04 Sep 2023 20:26:55 +0200    The registration of the product with Smart Software Manager failed. The response from Smart Software Manager is: Token is not valid

Hier ein Beispiel einer Protokollzeile aus SmartCese-Protokollen der CLI:

Mon Sep 4 20:26:55 2023 Warning: The registration of the product with Smart Software Manager failed. The response from Smart Software Manager is: Token is not valid

Um die Gültigkeit des Tokens zu überprüfen, melden Sie sich bei Ihrem Smart License-Portal an, navigieren Sie zum Inventar, überprüfen Sie den Ablaufstatus und die Anzahl der Verwendungen.

Bild - Ablaufen-Token

Erneuern der Autorisierung fehlgeschlagen

Fehler beim Senden der Kommunikation

Wenn Sie aufgrund eines Kommunikationsübertragungsfehlers die Autorisierung nicht erneuern können, liegt dies möglicherweise an dem .-Verbindungsproblem. Stellen Sie sicher, dass die richtige Routing-Tabelle ausgewählt ist, und testen Sie die Verbindung zwischen SWA und smartempfänger.cisco.com TCP-Port 443 oder Ihrem Smart Software Manager-Satellitenserver. 

Um die Verbindung zu überprüfen, gehen Sie wie im Abschnitt "Kommunikationsanforderungen" in diesem Artikel beschrieben vor. 

Sie können den Fehler entweder mit dem Befehl displaysAlerts oder aus Smartlicense-Protokollen überprüfen. 

Nachfolgend finden Sie ein Beispiel für einen Fehler bei der Anzeige von Warnmeldungen in der CLI:

04 Sep 2023 22:23:43 +0200 Failed to renew authorization of the product with Smart Software Manager due to Communication send error..

Hier ein Beispiel einer Protokollzeile aus SmartCese-Protokollen der CLI:

Mon Sep 4 22:22:58 2023 Warning: Failed to renew authorization of the product with Smart Software Manager due to Communication send error..

Das Zertifikat wurde ZURÜCKGEWIESEN

Wenn der Grund für die Erneuerung der Autorisierung darin besteht, dass das Zertifikat REVOKED (Verworfen) ist, überprüfen Sie, ob das Gerät aus dem Smart License Portal entfernt wurde.

Überprüfen Sie den Abschnitt "Überprüfen des Gerätestatus im Smart License-Portal" in diesem Artikel. 

Überprüfen Sie den Fehler entweder mit dem Befehl displaysAlerts oder aus Smartlicense-Protokollen. 

Nachfolgend finden Sie ein Beispiel für einen Fehler bei der Anzeige von Warnmeldungen in der CLI:

04 Sep 2023 22:39:10 +0200 Failed to renew authorization of the product with Smart Software Manager due to Could not return the certificate for the given sn (111111111) since it is REVOKED..

Hier ein Beispiel einer Protokollzeile aus SmartCese-Protokollen der CLI:

Mon Sep 4 22:39:10 2023 Warning: Failed to renew authorization of the product with Smart Software Manager due to Could not return the certificate for the given sn (1111111) since it is REVOKED..

Registrieren Sie das Gerät erneut, um dieses Problem zu beheben. 

Kein VLN im Gerät 

Für physische Geräte gibt es kein VLN; die virtuelle Lizenznummer wird nur in den virtuellen Appliances verwendet.

Wenn Sie ein virtuelles SWA verwenden und in der Ausgabe von smartaccountinfo in CLI kein VLN vorhanden ist, versuchen Sie erneut, die XML-Lizenzdatei mit dem Befehl loadlicense in CLI zu laden. 

Achtung: Der Befehl loadlicense entfernt alle vorhandenen Feature-Schlüssel (einschließlich Evaluierungsschlüssel) und die Lizenzdatei aus dem System, bevor die neue Lizenzdatei und die neuen Schlüssel installiert werden.

Der Smart License Agent-Dienst ist nicht verfügbar.

Wenn Sie diese Fehlermeldung erhalten, liegt dies an einer bekannten Cisco Bug-ID .  

"Smart license agent service is unavailable. Please visit this page after some time. If you continue to see the same message, please contact Cisco Sales representative."

Signatur konnte nicht überprüft werden

Wenn die Smart License-Autorisierung fehlschlägt, mit folgendem Fehler:

Tue Apr 22 09:46:27 2023 Warning: Failed to renew authorization of the product with Smart Software Manager due to Failed to verify signature..

[Erster Test] Dieser Fehler kann auf einen bekannten Cisco Bug mit der ID CSCvx04164 zurückzuführen sein  .

Die Bedingung für diesen Fehler ist, dass der Name des virtuellen Kontos im Smart Licensing-Portal nicht englische Zeichen enthält. Die Problemumgehung für dieses Problem lautet:

Benennen Sie das virtuelle Konto um, und entfernen Sie die nicht englischen Zeichen:

Schritt 1: Rufen Sie software.cisco.com auf.
Schritt 2: Navigieren Sie zu Administration > Manage Smart Account > Virtual Accounts.
Schritt 3: Klicken Sie auf das entsprechende virtuelle Konto.
Schritt 4: Definieren Sie einen neuen Namen, und entfernen Sie die nicht englischen Zeichen.

Hinweis: Der Benutzer muss über Administratorrechte verfügen, um das virtuelle Konto umbenennen zu können.

[Zweiter Test] Wenn der Name des virtuellen Kontos korrekt ist, stellen Sie sicher, dass das Gerät im Inventar des Smart License-Portals aufgeführt ist.

Gehen Sie wie im Abschnitt "Überprüfen des Gerätestatus im Smart License Portal" in diesem Artikel beschrieben vor.  

[Dritter Test] Wenn das Gerät im Inventar des Smart License Portals aufgeführt ist, versuchen Sie, den SWA Smart License Service über die CLI neu zu starten:

Schritt 1: Melden Sie sich bei CLI an.

Schritt 2: Führen Sie den Diagnosebefehl aus.

Schritt 3: SERVICES auswählen 

Schritt 4: SMART_LICENSE auswählen 

Schritt 5: NEUSTART auswählen

SWA_CLI> diagnostic

Choose the operation you want to perform:
- NET - Network Diagnostic Utility.
- PROXY - Proxy Debugging Utility.
- REPORTING - Reporting Utilities.
- SERVICES - Service Utilities.
[]> SERVICES

Choose one of the following services:
- AMP - Secure Endpoint
- AVC - AVC
- ADC - ADC
- DCA - DCA
- WBRS - WBRS
- EXTFEED - ExtFeed
- L4TM - L4TM
- ANTIVIRUS - Anti-Virus xiServices
- AUTHENTICATION - Authentication Services
- MANAGEMENT - Appliance Management Services
- REPORTING - Reporting Associated services
- MISCSERVICES - Miscellaneous Service
- OCSP - OSCP
- UPDATER - UPDATER
- SICAP - SICAP
- SNMP - SNMP
- SNTP - SNTP
- VMSERVICE - VM Services
- WEBUI - Web GUI
- SMART_LICENSE - Smart Licensing Agent
- WCCP - WCCP
[]> SMART_LICENSE


Choose the operation you want to perform:
- RESTART - Restart the service
- STATUS - View status of the service
[]> RESTART

smart_agent is restarting.

[Vierter Test] Generieren Sie ein neues Token im Smart License Manager-Portal, und registrieren Sie das Gerät neu.

Smart_Agent im deaktivierten Zustand festgefahren 

Diese Fehler sind auf einer ESA oder SMA nach dem Upgrade der Appliance (bei dem die Smart-Lizenz vor dem Upgrade aktiviert wurde) auf Version 14.1 oder 14.0 zu sehen.

Hinweis: Dieser Fehler trat auf x195- oder x395-Geräten auf.

Hier ist ein Beispiel der von der Appliance erzeugten Nachricht. 

08 Apr 2023 10:19:36 -0500 Initialization of smart agent service failed. Reason : Port 65501 is not available for smart agent service to run. Please try changing port for smart agent service through `license_smart setagentport` cli command or free the port from other service.

In den Smart_License-Protokollen können Sie Folgendes sehen:

Mon Apr 8 09:02:36 2021 Warning: Smart License: Failed to change the hostname to esa.local for the product.

Dieser Fehler ist auf eine bekannte Cisco Bug-ID CSCvz74874 für die ESA und die Cisco Bug-ID CSCvx68947 für SMA zurückzuführen. Sie müssen sich an den Cisco Support wenden, um dieses Problem zu beheben.

Initialisierung des Smart Agent-Diensts fehlgeschlagen

Dieser Fehler ist hauptsächlich auf virtuelle Appliances zurückzuführen, die mit mehr Ressourcen als erwartet konfiguriert wurden.

Hier ein Beispiel des Protokolls:

Thu Jun 23 16:16:07 2022 Critical: Initialization of smart agent service failed. Reason : Port 65501 is not available for smart agent service to run. Please try changing port for smart agent service through `license_smart setagentport` cli command or free the port from other service.
any attempts to swap ports using the defined command will fail.

Um dieses Problem zu beheben, überprüfen Sie die Ausgabe des Befehls version in CLI, und stellen Sie sicher, dass die Anzahl der CPUs und der zugewiesene Speicher auf erwartet eingestellt sind.

Wenn mehr unterstützte Kerne in der Appliance vorhanden sind, korrigieren Sie die Zuweisung. 

Ungültige Antwort von Lizenzierungs-Cloud

Wenn das Gerät aus dem Smart License Manager-Portal entfernt wurde, geben ältere Versionen diesen Fehler zurück. 

Thu Nov 15 13:50:20 2022 Warning: Failed to renew authorization of the product with Smart Software Manager due to Invalid response from licensing cloud..

Um dieses Problem zu beheben, registrieren Sie die Appliance erneut.

Kein gültiges SSL-Zertifikat gesendet

Wenn Sie diesen Fehler von Ihrer Appliance erhalten und die Updates nicht abgerufen werden können, finden Sie weitere Informationen in Problemhinweis FN - 72502. 

21 Aug 2023 14:03:04 +0200    Unable to connect to the Cisco Aggregator Server.
Details: No valid SSL certificate was sent

Traditionelle VLN-Zertifikatsdateien enthalten ein von Talos Keymaster erstelltes Zertifikat für den Zugriff auf Updates und Upgrades. Die alte Keymaster-Zertifizierungsstelle ist am 13. Januar 2023 abgelaufen.

VLN-Zertifikatsdateien mit vor dem 15. Dezember 2021 ausgestellten Zertifikaten mit einer Gültigkeit von mehr als 12 Monaten müssen erneuert und vor dem 13. Januar 2023 angewendet werden.

Um dieses Problem zu lösen, kontaktieren Sie den Cisco Lizenzsupport und fragen Sie nach einer neuen VLN-Datei. 

Funktion wurde aus Compliance verschoben

Wenn Protokolle angezeigt werden, die zeigen, dass eine oder einige Ihrer Funktionen in den Status "Nicht konform" verschoben wurden, überprüfen Sie Folgendes:

1. Sie verfügen über eine gültige Lizenz. 
2. Die Appliance ist mit dem Smart License-Server verbunden (siehe Abschnitt "Kommunikationsanforderungen" in diesem Artikel). 
3. Weitere Informationen zu diesem Problem finden Sie in den Smart License-Protokollen.
4. Wenden Sie sich an den Cisco Support 

Hier ein Beispielprotokoll:

Mon Sep 4 20:41:09 2023 Warning: Secure Web Appliance HTTPs Decryption license has been moved to Out of Compliance successfully.
Mon Sep 4 20:41:10 2023 Warning: The Secure Web Appliance HTTPs Decryption is in Out of Compliance (OOC) state. You have 29 days remaining in your grace period.

Smart Agent ist abgelaufen. Autorisierung

Wenn der kritische Fehler "Smart Agent ist abgelaufen" angezeigt wird, suchen Sie in den nächsten Zeilen nach den Gründen für diesen Status.

Hier ein Beispiel für einen Fehler:

Fri Aug 18 15:51:11 2023 Critical: Web Security Appliance Cisco Web Usage Controls feature will stop working as Smart Agent is in Authorization Expired state. This can happen if there is no communication between the appliance and the Cisco Smart Software Manager (CSSM) for more than 90 days.

Überprüfen Sie die Verbindung, und stellen Sie sicher, dass Ihr Gerät im Smart License Portal registriert ist.  

Referenz 

Best Practices-Richtlinien für Cisco Web Security Appliances - Cisco

BRKSEC-3303 (Cisco Live)

Benutzerhandbuch für AsyncOS 14.5 für Cisco Secure Web Appliance - GD (Allgemeine Bereitstellung) - Verbinden, Installieren und Konfigurieren [Cisco Secure Web Appliance] - Cisco

Cisco Smart Software Manager - Cisco