本文档介绍如何在邮件安全设备(ESA)和云邮件安全(CES)上排除故障和解决问题,即使设备上有可用的功能密钥,安全功能在传入和传出邮件策略中显示为“不可用”。
作者:Alan Macorra和Mathew Huynh Cisco CX工程师。
要求
前提条件
- 任何AsyncOS版本上的任何ESA/CES。
- 通过可用的安全服务功能密钥获得许可的设备。
- 了解不同级别的集群配置和覆盖。
背景
ESA/CES设备无法执行来自以下服务的任何安全扫描:
- 反垃圾邮件
- 防病毒
- 高级恶意软件保护
- 灰色邮件
- 爆发过滤器
- DLP(仅出站)
功能密钥可用且可以在GUI或CLI上进行验证。
GUI:系统管理>功能密钥
CLI:功能密钥
在“传入和传出邮件策略”中,所有安全功能显示为“不可用”,当检查安全服务本身时,将其配置为“已启用”。
问题
功能密钥在设备上可用,但服务为“不可用”且未执行扫描。
点击邮件策略上的“不可用”(Not Available)链接,会将您重定向到该特定安全服务的全局设置,该全局设置显示已启用,修改此设置不会更改邮件策略本身上的“不可用”(Not Available)状态。
提供的输出示例:
解决方案
此问题通常源于设备上的功能密钥在续订和重新安装许可证之前已过期,在这种情况下,需要重新接受最终用户许可协议(EULA)。鉴于设备在到期之前已启用它们,在完成初始密钥重新安装/续订时,不会再次显示EULA,因为设备在集群级别设置。
要解决此问题,您需要将ESA/CES上的设置覆盖到机器级别,以允许EULA提交供接受。在此过程中,设备将注册密钥续订,并再次重新激活功能。
注意:您当前登录时使用的配置模式将显示在左上角,其中显示Mode - Cluster/Group/Machine。根据不同的模式,所显示的内容可能与初始的相同输出不同,初始输出已经在Machine Mode中。
警告:为此解决方案创建覆盖时,请确保DO NOT选择Move configuration,因为这将强制集群级别配置进入特定服务的未配置模式。如果选择此项,则在删除覆盖时,功能将退回到未配置(未启用)状态。
在显示“Not Available”(不可用)的每个安全服务上:
- 从“传入或传出邮件策略”(Incoming or Outgoing Mail Policies)页面单击“不可用”(Not Available)链接。
- 这会重定向到每个引擎的全局设置,选择更改模式……,然后从下拉菜单中选择。选择当前登录的计算机。
- 单击Override Settings
- 选择Copy from:集群.(这会将当前启用的设置从集群级别向下复制到计算机)。
- 单击 Submit
- 配置现在将显示为Enabled,继续点击Edit Global Settings...
- 系统将显示EULA,通读并接受EULA。
- 提交更改以保存此设置。
- 对需要重新启用的其他功能重复上述步骤。
提供的输出示例:
使用右侧的下拉菜单将其更改为已登录的计算机。
将设置从群集复制到计算机覆盖。
覆盖设置输出:
单击Edit Global Settings...后,将显示EULA。
接受EULA并提交更改。
Sophos的设置现在将反映在邮件策略中,不再显示“不可用”。
正在删除计算机覆盖以回退到群集级别
要删除计算机覆盖设置,请执行以下操作:
- 从下拉菜单转到“Machine”(计算机)模式,如前所述。
- 单击以展开集中管理选项
- 单击Delete Settings
- 单击Delete按钮,设置将回退到较高的级别(组或集群,以配置者为准)。
- 验证所选较高级别的设置是否配置正确。
- 提交更改以保存此设置。
输出示例:
相关信息