无法启用ESA集中策略、病毒和爆发隔离区(PVO)

下载选项

  • PDF     (525.0 KB)
    在各种设备上使用 Adobe Reader 查看
  • ePub     (243.3 KB)
    在 iPhone、iPad、Android、Sony Reader 或 Windows Phone 上使用各种应用查看
  • Mobi (Kindle)     (175.6 KB)
    在 Kindle 设备上查看或在多个设备上使用 Kindle 应用查看
已更新: 2015 年 8 月 28 日
文档 ID:118026

非歧视性语言

此产品的文档集力求使用非歧视性语言。在本文档集中,非歧视性语言是指不隐含针对年龄、残障、性别、种族身份、族群身份、性取向、社会经济地位和交叉性的歧视的语言。由于产品软件的用户界面中使用的硬编码语言、基于 RFP 文档使用的语言或引用的第三方产品使用的语言,文档中可能无法确保完全使用非歧视性语言。 深入了解思科如何使用包容性语言。

关于此翻译

思科采用人工翻译与机器翻译相结合的方式将此文档翻译成不同语言,希望全球的用户都能通过各自的语言得到支持性的内容。 请注意:即使是最好的机器翻译,其准确度也不及专业翻译人员的水平。 Cisco Systems, Inc. 对于翻译的准确性不承担任何责任,并建议您总是参考英文原始文档(已提供链接)。

简介

本文档介绍在思科邮件安全设备(ESA)上无法启用集中策略、病毒和爆发隔离区(PVO)时遇到的问题,因为“启用”(Enable)按钮显示为灰色,提供了问题的解决方案。

先决条件

要求

Cisco 建议您了解以下主题:

  • 如何在安全管理设备(SMA)上启用PVO。
  • 如何将PVO服务添加到每个托管ESA。
  • 如何配置PVO迁移。

使用的组件

本文档中的信息基于以下软件和硬件版本:

  • SMA版本8.1及更高版本
  • ESA 8.0版及更高版本

本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始(默认)配置。如果您使用的是真实网络,请确保您已经了解所有命令的潜在影响。

背景信息

ESA上由特定过滤器、策略和扫描操作处理的邮件可以放入隔离区,以临时保留这些邮件以供进一步操作。在某些情况下,虽然已在SMA上正确配置了PVO并使用迁移向导,但似乎无法在ESA上启用PVO。在ESA上启用此功能的按钮通常仍为灰色,因为ESA无法连接到端口7025上的SMA。

问题

在ESA上,“启用”按钮呈灰色显示。

SMA显示服务处于非活动状态且需要执行操作

解决方案

此处介绍几种方案。

场景 1

在SMA上,请在CLI上运行status命令以确保设备处于联机状态。如果SMA离线,则无法在ESA上启用PVO,因为连接失败。

sma.example.com> status

Enter "status detail" for more information.

Status as of:                  Mon Jul 21 11:57:38 2014 GMT
Up since:                      Mon Jul 21 11:07:04 2014 GMT (50m 34s)
Last counter reset:            Never
System status:                 Offline
Oldest Message:                No Messages

如果SMA离线,请运行resume命令以使其重新联机,这会启动cpq_listener。

sma.example.com> resume

Receiving resumed for euq_listener, cpq_listener.

场景 2

在SMA上使用“迁移向导”后,请务必提交更改。如果不提交更改,ESA上的[Enable...]按钮将保持为灰色。

  1. 使用管理员帐户(而不是操作员(或其他帐户类型)或可以执行的设置用户)登录SMA和ESA,但ESA端的[启用……]按钮将呈灰色显示。

  2. 在SMA上,选择管理设备>集中服务>策略、病毒和爆发隔离区

  3. 单击Launch Migration Wizard 并选择迁移方法。

  4. 提交并提交您的更改。

场景 3

如果已经通过deliveryconfig命令为ESA配置了默认传输接口,并且默认接口由于驻留在另一个子网或没有路由而与SMA没有连接,则无法在ESA上启用PVO。

下面是一个ESA,其中默认传输接口配置为In接口:

mx.example.com> deliveryconfig

Default interface to deliver mail: In

以下是从接口In到SMA端口7025的ESA连接测试:

mx.example.com> telnet

Please select which interface you want to telnet from.
1. Auto
2. In (192.168.1.1/24: mx.example.com)
3. Management (10.172.12.18/24: mgmt.example.com)
[1]> 2

Enter the remote hostname or IP address.
[]> 10.172.12.17

Enter the remote port.
[25]> 7025

Trying 10.172.12.17...
telnet: connect to address 10.172.12.17: Operation timed out
telnet: Unable to connect to remote host

要解决此问题,请将默认接口配置为Auto,其中ESA自动使用正确的接口。

mx.example.com> deliveryconfig

Default interface to deliver mail: In

Choose the operation you want to perform:
- SETUP - Configure mail delivery.
[]> setup

Choose the default interface to deliver mail.
1. Auto
2. In (192.168.1.1/24: mx.example.com)
3. Management (10.172.12.18/24: mgmt.example.com)
[1]> 1

场景 4

默认情况下,与集中隔离区的连接是传输层安全(TLS)加密的。如果您查看ESA上的邮件日志文件并搜索SMA上端口7025的传送连接ID (DCID),您可能会看到TLS失败错误,例如:

Mon Apr 7 15:48:42 2014 Info: New SMTP DCID 3385734 interface 172.16.0.179
address 172.16.0.94 port 7025
Mon Apr 7 15:48:42 2014 Info: DCID 3385734 TLS failed: verify error: no certificate
from server
Mon Apr 7 15:48:42 2014 Info: DCID 3385734 TLS was required but could not be
successfully negotiated

当您在ESA CLI上运行tlsverify时,您会看到相同的内容。

mx.example.com> tlsverify

Enter the TLS domain to verify against:
[]> the.cpq.host

Enter the destination host to connect to.  Append the port (example.com:26) if you are not
connecting on port 25:
[the.cpq.host]> 10.172.12.18:7025

Connecting to 10.172.12.18 on port 7025.
Connected to 10.172.12.18 from interface 10.172.12.17.
Checking TLS connection.
TLS connection established: protocol TLSv1, cipher ADH-CAMELLIA256-SHA.
Verifying peer certificate.
Certificate verification failed: no certificate from server.
TLS connection to 10.172.12.18 failed: verify error.
TLS was required but could not be successfully negotiated.

Failed to connect to [10.172.12.18].
TLS verification completed.

基于此,用于与SMA协商的ADH-CAMELLIA256-SHA密码会导致SMA无法提供对等体证书。进一步调查表明,所有ADH密码都使用匿名身份验证,不提供对等证书。解决之道是消除匿名密码。为此,请将传出密码列表更改为HIGH:MEDIUM:ALL:-aNULL:-SSLv2

mx.example.com> sslconfig

sslconfig settings:
  GUI HTTPS method:  sslv3tlsv1
  GUI HTTPS ciphers: RC4-SHA:RC4-MD5:ALL
  Inbound SMTP method:  sslv3tlsv1
  Inbound SMTP ciphers: RC4-SHA:RC4-MD5:ALL
  Outbound SMTP method:  sslv3tlsv1
  Outbound SMTP ciphers: RC4-SHA:RC4-MD5:ALL

Choose the operation you want to perform:
- GUI - Edit GUI HTTPS ssl settings.
- INBOUND - Edit Inbound SMTP ssl settings.
- OUTBOUND - Edit Outbound SMTP ssl settings.
- VERIFY - Verify and show ssl cipher list.
[]> OUTBOUND

Enter the outbound SMTP ssl method you want to use.
1. SSL v2.
2. SSL v3 
3. TLS v1 
4. SSL v2 and v3
5. SSL v3 and TLS v1
6. SSL v2, v3 and TLS v1
[5]> 

Enter the outbound SMTP ssl cipher you want to use.
[RC4-SHA:RC4-MD5:ALL]> HIGH:MEDIUM:ALL:-aNULL:-SSLv2

sslconfig settings:
  GUI HTTPS method:  sslv3tlsv1
  GUI HTTPS ciphers: RC4-SHA:RC4-MD5:ALL
  Inbound SMTP method:  sslv3tlsv1
  Inbound SMTP ciphers: RC4-SHA:RC4-MD5:ALL
  Outbound SMTP method:  sslv3tlsv1
  Outbound SMTP ciphers: HIGH:MEDIUM:ALL:-aNULL:-SSLv2

Choose the operation you want to perform:
- GUI - Edit GUI HTTPS ssl settings.
- INBOUND - Edit Inbound SMTP ssl settings.
- OUTBOUND - Edit Outbound SMTP ssl settings.
- VERIFY - Verify and show ssl cipher list.
[]> 

mx.example.com> commit

提示:还要添加-SSLv2,因为这些密码也不安全。

方案 5

无法启用PVO并显示此类型的错误消息。

Unable to proceed with Centralized Policy, Virus and Outbreak Quarantines 
configuration as host1 and host2 in Cluster have content filters / DLP actions 
available at a level different from the cluster Level.

此错误消息可能表示其中一台主机未应用DLP功能密钥,并且已禁用DLP。解决方案是添加缺失的功能密钥,并应用与应用了功能密钥的主机相同的DLP设置。此功能密钥不一致可能对爆发过滤器、Sophos防病毒和其他功能密钥产生相同影响。

方案 6

如果在集群配置中存在有关内容、邮件过滤器、DLP和DMARC设置的计算机或组级配置,则PVO的启用按钮将呈灰色显示。要解决此问题,所有邮件和内容过滤器必须从计算机或组级别移至集群级别,并且必须移至DLP和DMARC设置。或者,您也可以从集群中完全删除具有计算机级别配置的计算机。输入CLI命令clusterconfig > removemachine,然后将其重新加入集群以继承集群配置。

相关信息

修订历史记录

版本 发布日期 备注
1.0
23-Jul-2014
初始版本
TAC Authored

由思科工程师提供

此文档是否有帮助?

Feedback反馈

联系我们

本文档适用于以下产品