緩解&ldquo；不可用”安全功能狀態

本文檔介紹如何對郵件策略上顯示「不可用」的ESA和CES安全功能進行故障排除和解決。

作者：Alan Macorra和Mathew Huynh Cisco CX工程師。

需求

必備條件

• 任何AsyncOS版本上的任何ESA（郵件安全裝置）/CES（雲郵件安全）。
• 通過可用的安全服務功能金鑰獲得許可的裝置。
• 瞭解不同級別的群集配置和覆蓋。

背景

ESA（郵件安全裝置）/CES（雲郵件安全）裝置無法執行來自以下服務的任何安全掃描：

• 反垃圾郵件
• 防病毒
• 高級惡意軟體防護
• 灰色郵件
• 爆發過濾器
• DLP（僅出站）

功能金鑰可用，可在GUI或CLI上驗證。

GUI:系統管理>功能鍵

CLI:功能鍵

傳入和傳出郵件策略上的安全功能顯示「不可用」，即使已啟用該服務。

問題

• 功能鍵在裝置上可用，但在執行掃描時，服務顯示「不可用」。
• 當按一下郵件策略上的「不可用」連結時，它將重定向到該特定安全服務的全域性設定。這顯示服務已啟用，強制進行任何修改不會更改郵件策略上的「不可用」狀態。

解決方案

如果功能金鑰在續訂和許可證重新安裝之前過期，則會出現此問題。發生這種情況時，必須重新接受終端使用者許可協定(EULA)。由於裝置在到期前已啟用，初始功能金鑰已重新安裝/更新，因此不再顯示EULA，裝置已設定為集群級別。

要解決此問題，您必須將ESA/CES上的設定改寫為機器級別，以允許EULA提交以供接受。在此過程中，裝置將註冊金鑰以進行續訂，並再次重新啟用這些功能。

附註：您當前登入的配置模式顯示在左上角，其中顯示Mode - Cluster/Group/Machine。根據模式的不同，顯示的內容可能與提供的初始輸出不同，初始輸出已處於Machine Mode。

警告：為此解決方案建立覆蓋時，請確保不要選擇Move Configuration，因為此操作會強制將群集級別的配置進入特定服務的未配置模式。如果在移除覆寫時選擇了此選項，則功能將返回到未配置（未啟用）狀態。

在顯示「Not Available」的每個安全服務上：

1. 在「傳入或傳出郵件策略」頁中按一下不可用連結。
2. 這將重定向到每個引擎的全域性設定。
3. 選擇Change Mode...，然後從下拉選單中選擇當前登入的電腦。
4. 按一下Override Settings。
5. 選擇Copy from:集群（這會將當前啟用的設定從集群級別複製到電腦）。
6. 按一下「Submit」。
7. 配置顯示它已啟用。按一下Edit Global Settings...（編輯全域性設定……）
8. 顯示EULA時，您可以通讀並接受EULA。
9. 通過儲存此設定提交更改。
10. 對其他功能重複這些步驟，這些功能需要您重新啟用。

輸出範例:

使用右側的下拉選單將其更改為已登入的電腦：

將設定從群集複製到電腦覆蓋：

覆蓋設定輸出：

按一下「Edit Global Settings...（編輯全域性設定……）」後，將顯示EULA:

接受EULA和提交更改。

Sophos的設定反映在郵件策略上，不再顯示「不可用」。

刪除電腦覆蓋以回退到群集級別

要刪除電腦覆蓋設定，請執行以下操作：

1. 從下拉選單中選擇Machine Mode。
2. 按一下展開Centralized Management Options。
3. 按一下Delete Settings。
4. 按一下Delete按鈕，設定會回退到更高級別（組或群集，以所配置者為準）。 
5. 驗證是否已在選定的較高級別上正確配置設定。
6. 提交更改以儲存此設定。

輸出範例:

相關資訊

• Cisco Email Security Appliance - 一般使用者指南
• 技術支援與文件 - Cisco Systems

修訂記錄

修訂	發佈日期	意見
2.0	03-Jun-2026	更新拼寫、語法，重寫「簡介」和其他句子。
1.0	31-May-2019	初始版本