本文檔介紹當安全功能在傳入和傳出郵件策略中顯示為「不可用」時,如何在郵件安全裝置(ESA)和雲郵件安全(CES)上進行故障排除和解決,儘管功能金鑰在裝置上可用。
作者:Alan Macorra和Mathew Huynh Cisco CX工程師。
需求
必備條件
- 任何AsyncOS版本上的任何ESA/CES。
- 通過可用的安全服務功能金鑰獲得許可的裝置。
- 瞭解不同級別的群集配置和覆蓋。
背景
ESA/CES裝置無法執行來自以下服務的任何安全掃描:
- 反垃圾郵件
- 防病毒
- 高級惡意軟體防護
- 灰色郵件
- 爆發過濾器
- DLP(僅出站)
功能鍵可用且可以在GUI或CLI上驗證。
GUI:系統管理>功能金鑰
CLI:功能鍵
在傳入和傳出郵件策略上,所有安全功能顯示為「不可用」,當檢查安全服務本身時,將其配置為「已啟用」。
問題
功能鍵在裝置上可用,但服務為「不可用」且未執行掃描。
按一下郵件策略上的「不可用」連結,將您重定向到該特定安全服務的全域性設定,該全域性設定顯示已啟用,修改此功能不會更改郵件策略本身上的「不可用」狀態。
提供的輸出示例:
解決方案
此問題通常源於裝置上的功能金鑰在續訂並重新安裝許可證之前過期,在這種情況下,需要重新接受終端使用者許可協定(EULA)。鑑於裝置在到期之前已啟用這些裝置,在完成初始金鑰重新安裝/續訂時,不會再次顯示EULA,因為裝置是在集群級別設定的。
要解決此問題,您需要將ESA/CES上的設定改寫為機器級別,以允許EULA提交以供接受。在此過程中,裝置將註冊金鑰續訂,並再次重新啟用功能。
附註:您當前登入的配置模式將顯示在左上角,其中顯示Mode - Cluster/Group/Machine。根據模式的不同,顯示的內容可能與初始的相同輸出不同,而初始的輸出已處於機器模式中。
警告:為此解決方案建立覆蓋時,請確保不要選擇移動配置,因為這樣會強制將群集級別的配置進入特定服務的未配置模式。如果選擇此選項,則在刪除覆蓋時,該功能將返回到未配置(未啟用)狀態。
在顯示「Not Available」的每個安全服務上:
- 按一下「傳入或傳出郵件策略」頁中的「不可用」連結。
- 此操作重定向到每個引擎的全域性設定,從下拉選單中選擇更改模式……。選擇當前已登入的電腦。
- 按一下「Override Settings(覆蓋設定)」
- 選擇Copy from:叢集.(這會將當前啟用的設定從群集級別複製到電腦)。
- 按一下Submit
- 配置現在將顯示為「Enabled」(已啟用),繼續按一下「Edit Global Settings..(編輯全域性設定……)」
- 將顯示EULA,通讀並接受EULA。
- 提交更改以儲存此設定。
- 對需要重新啟用的其他功能重複這些步驟。
提供的輸出示例:
使用右側的下拉選單將其更改為已登入的電腦。
將設定從群集複製到電腦覆蓋。
覆蓋設定輸出:
按一下Edit Global Settings...後,將顯示EULA。
接受EULA並提交更改。
Sophos的設定現在將反映在郵件策略中,不再顯示「不可用」。
正在刪除電腦覆蓋以回退到群集級別
要刪除電腦覆蓋設定:
- 從下拉選單轉到「Machine(電腦)」模式(如前所述)。
- 按一下展開「Centralized Management Options(集中管理選項)」
- 按一下Delete Settings
- 按一下Delete按鈕,設定將回退到更高級別(組或群集,以所配置者為準)。
- 驗證所選較高級別的設定是否配置正確。
- 提交更改以儲存此設定。
輸出示例:
相關資訊