降低&ldquo；不可用”安全功能状态

本文档介绍如何对邮件策略中显示“不可用”的ESA和CES安全功能进行故障排除和解决。

作者：Alan Macorra和Mathew Huynh Cisco CX工程师。

要求

前提条件

• 任何AsyncOS版本上的任何ESA（邮件安全设备）/CES（云邮件安全）。
• 通过可用的安全服务功能密钥获得许可的设备。
• 了解不同级别的集群配置和覆盖。

背景

ESA（邮件安全设备）/CES（云邮件安全）设备无法从以下服务执行任何安全扫描：

• 反垃圾邮件
• 防病毒
• 高级恶意软件保护
• 灰色邮件
• 爆发过滤器
• DLP（仅出站）

功能密钥可用，可在GUI或CLI上进行验证。

GUI:系统管理>功能密钥

CLI：功能密钥

传入和传出邮件策略上的安全功能显示“不可用”，即使已启用该服务。

问题

• 功能密钥在设备上可用，但服务在执行扫描时显示“不可用”。
• 点击邮件策略上的“不可用”(Not Available)链接时，它会重定向到该特定安全服务的全局设置。这表示服务已启用，并且强制进行修改不会更改邮件策略上的“不可用”状态。

解决方案

当功能密钥在续订和许可证重新安装之前过期时，会出现此问题。出现这种情况时，必须重新接受最终用户许可协议(EULA)。由于设备在到期前已启用，初始功能密钥已重新安装/更新，EULA不再显示，设备已设置为集群级别。

要解决此问题，您必须将ESA/CES上的设置覆盖到机器级别，以允许EULA提交供接受。在此过程中，设备注册密钥以续订，并再次重新激活功能。

注意：您当前登录的配置模式显示在左上角，其中显示模式 — 集群/组/计算机。根据模式的不同，显示的内容可能与提供的初始输出不同，初始输出已处于Machine Mode中。

警告：为此解决方案创建覆盖时，请确保DO NOT选择Move Configuration，因为这会将集群级别配置强制进入特定服务的未配置模式。如果在删除覆盖时选中此项，则功能将返回到未配置（未启用）状态。

在显示“Not Available”的每个安全服务上：

1. 从“传入或传出邮件策略”(Incoming or Outgoing Mail Policies)页面单击不可用链接。
2. 这会重定向到每个引擎的全局设置。
3. 选择更改模式……，然后从下拉菜单中选择当前登录的计算机。
4. 点击覆盖设置。
5. 选择Copy from:集群（这会将当前已启用的设置从集群级别向下复制到您的计算机）。
6. 单击 submit。
7. 配置显示它已启用。单击Edit Global Settings...（编辑全局设置……）
8. 此时将显示EULA，您可以通读并接受EULA。
9. 通过保存此设置提交更改。
10. 对其他功能重复上述步骤，需要重新启用。

示例输出：

使用右侧的下拉菜单将其更改为已登录的计算机：

将设置从集群复制到计算机覆盖：

覆盖设置输出：

单击Edit Global Settings...后，EULA将显示：

接受EULA和提交更改。

Sophos的设置反映在邮件策略中，不再显示“不可用”。

删除计算机覆盖以回退到集群级别

要删除计算机覆盖设置，请执行以下操作：

1. 从下拉菜单中选择Machine Mode。
2. 单击展开集中管理选项。
3. 单击Delete Settings。
4. 单击Delete按钮，设置会回退到较高的级别（组或集群，以配置者为准）。 
5. 验证在所选的较高级别上正确配置了设置。
6. 提交更改以保存此设置。

输出示例：

相关信息

• 思科邮件安全设备 — 最终用户指南
• 技术支持和文档 - Cisco Systems

修订历史记录

版本	发布日期	备注
2.0	03-Jun-2026	更新了拼写、语法，重写了《简介》和其他句子。
1.0	31-May-2019	初始版本