Dit document beschrijft een probleem dat is opgetreden wanneer het Centralisatiebeleid, het virus en de uitbraakquarantaine (PVO) niet kunnen worden ingeschakeld op de Cisco Email Security Applicatie (ESA) omdat de knop Enable (Inschakelen) grijs is en een oplossing voor het probleem biedt.
Cisco raadt kennis van de volgende onderwerpen aan:
De informatie in dit document is gebaseerd op de volgende software- en hardware-versies:
De informatie in dit document is gebaseerd op de apparaten in een specifieke laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als uw netwerk live is, moet u de potentiële impact van elke opdracht begrijpen.
Berichten die door bepaalde filters, beleidslijnen en scanbewerkingen op een ESA worden verwerkt, kunnen in quarantaine worden geplaatst om ze tijdelijk vast te houden voor verdere actie. In sommige gevallen lijkt het erop dat het VVB niet op de ESA kan worden ingeschakeld, hoewel het op de SMA correct was geconfigureerd en de Migratiewizard werd gebruikt. De knop om deze functie op de ESA in te schakelen is meestal nog grijs omdat de ESA niet in staat is om verbinding te maken met de SMA op poort 7025.
Op de ESA, is de Enable knop grijs.
De SMA toont de dienst niet actief en vereiste actie
Er zijn verschillende scenario's, die hier worden beschreven.
Voer in de SMA de statusopdracht op de CLI uit om er zeker van te zijn dat het apparaat zich in een online toestand bevindt. Als de SMA offline is, kan de PVO niet worden ingeschakeld op de ESA omdat de verbinding mislukt.
sma.example.com> status
Enter "status detail" for more information.
Status as of: Mon Jul 21 11:57:38 2014 GMT
Up since: Mon Jul 21 11:07:04 2014 GMT (50m 34s)
Last counter reset: Never
System status: Offline
Oldest Message: No Messages
Als de SMA offline is, voer dan de cpq_luisteraar de cpq_luisteraar online te zetten.
sma.example.com> resume
Receiving resumed for euq_listener, cpq_listener.
Nadat u de Migratiewizard op de SMA gebruikt, is het belangrijk om de wijzigingen vast te leggen. De toets [Enable...] op de ESA blijft grijs als u geen wijzigingen doorvoert.
Als de ESA is geconfigureerd met een standaardleveringsinterface via de opdracht deliveryConfig en als die standaardinterface geen verbinding met de SMA heeft omdat hij zich in een ander subnet bevindt of omdat er geen route is, kan de PVO niet op de ESA worden ingeschakeld.
Hier is een ESA met standaard leveringsinterface geconfigureerd voor interface In:
mx.example.com> deliveryconfig
Default interface to deliver mail: In
Hier is een ESA connectiviteitstest van interface In naar SMA Port 7025:
mx.example.com> telnet
Please select which interface you want to telnet from.
1. Auto
2. In (192.168.1.1/24: mx.example.com)
3. Management (10.172.12.18/24: mgmt.example.com)
[1]> 2
Enter the remote hostname or IP address.
[]> 10.172.12.17
Enter the remote port.
[25]> 7025
Trying 10.172.12.17...
telnet: connect to address 10.172.12.17: Operation timed out
telnet: Unable to connect to remote host
Om dit probleem op te lossen moet u de standaardinstelling van de interface naar Auto configureren, waarbij de ESA automatisch de juiste interface gebruikt.
mx.example.com> deliveryconfig
Default interface to deliver mail: In
Choose the operation you want to perform:
- SETUP - Configure mail delivery.
[]> setup
Choose the default interface to deliver mail.
1. Auto
2. In (192.168.1.1/24: mx.example.com)
3. Management (10.172.12.18/24: mgmt.example.com)
[1]> 1
De verbindingen met de gecentraliseerde quarantaine zijn Transport Layer Security (TLS) - standaard versleuteld. Als u het e-maillogbestand op de ESA bekijkt en zoekt naar Delivery Connection ID’s (DCID’s) naar Port 7025 op de SMA, ziet u mogelijk mislukte TLS-fouten zoals dit:
Mon Apr 7 15:48:42 2014 Info: New SMTP DCID 3385734 interface 172.16.0.179
address 172.16.0.94 port 7025
Mon Apr 7 15:48:42 2014 Info: DCID 3385734 TLS failed: verify error: no certificate
from server
Mon Apr 7 15:48:42 2014 Info: DCID 3385734 TLS was required but could not be
successfully negotiated
Wanneer je een test uitvoert op de ESA CLI, zie je hetzelfde.
mx.example.com> tlsverify
Enter the TLS domain to verify against:
[]> the.cpq.host
Enter the destination host to connect to. Append the port (example.com:26) if you are not
connecting on port 25:
[the.cpq.host]> 10.172.12.18:7025
Connecting to 10.172.12.18 on port 7025.
Connected to 10.172.12.18 from interface 10.172.12.17.
Checking TLS connection.
TLS connection established: protocol TLSv1, cipher ADH-CAMELLIA256-SHA.
Verifying peer certificate.
Certificate verification failed: no certificate from server.
TLS connection to 10.172.12.18 failed: verify error.
TLS was required but could not be successfully negotiated.
Failed to connect to [10.172.12.18].
TLS verification completed.
Op basis hiervan zorgt het ADH-CAMELLIA256-SHA-algoritme dat wordt gebruikt om met de SMA te onderhandelen ervoor dat de SMA geen peer certificate kan geven. Verder onderzoek onthult dat alle ADH-algoritmen anonieme authenticatie gebruiken, wat geen peer certificaat oplevert. De oplossing hier is om anonieme algoritmen te elimineren. Wijzig de vertreklijst van het algoritme in HIGH:MEDIUM:ALL:-ANULL:-SSLv2.
mx.example.com> sslconfig
sslconfig settings:
GUI HTTPS method: sslv3tlsv1
GUI HTTPS ciphers: RC4-SHA:RC4-MD5:ALL
Inbound SMTP method: sslv3tlsv1
Inbound SMTP ciphers: RC4-SHA:RC4-MD5:ALL
Outbound SMTP method: sslv3tlsv1
Outbound SMTP ciphers: RC4-SHA:RC4-MD5:ALL
Choose the operation you want to perform:
- GUI - Edit GUI HTTPS ssl settings.
- INBOUND - Edit Inbound SMTP ssl settings.
- OUTBOUND - Edit Outbound SMTP ssl settings.
- VERIFY - Verify and show ssl cipher list.
[]> OUTBOUND
Enter the outbound SMTP ssl method you want to use.
1. SSL v2.
2. SSL v3
3. TLS v1
4. SSL v2 and v3
5. SSL v3 and TLS v1
6. SSL v2, v3 and TLS v1
[5]>
Enter the outbound SMTP ssl cipher you want to use.
[RC4-SHA:RC4-MD5:ALL]> HIGH:MEDIUM:ALL:-aNULL:-SSLv2
sslconfig settings:
GUI HTTPS method: sslv3tlsv1
GUI HTTPS ciphers: RC4-SHA:RC4-MD5:ALL
Inbound SMTP method: sslv3tlsv1
Inbound SMTP ciphers: RC4-SHA:RC4-MD5:ALL
Outbound SMTP method: sslv3tlsv1
Outbound SMTP ciphers: HIGH:MEDIUM:ALL:-aNULL:-SSLv2
Choose the operation you want to perform:
- GUI - Edit GUI HTTPS ssl settings.
- INBOUND - Edit Inbound SMTP ssl settings.
- OUTBOUND - Edit Outbound SMTP ssl settings.
- VERIFY - Verify and show ssl cipher list.
[]>
mx.example.com> commit
Het VVB kan niet worden ingeschakeld en toont dit soort foutmelding.
Unable to proceed with Centralized Policy, Virus and Outbreak Quarantines
configuration as host1 and host2 in Cluster have content filters / DLP actions
available at a level different from the cluster Level.
De foutmelding kan aangeven dat een van de hosts geen DLP-functiesleutel heeft toegepast en DLP is uitgeschakeld. De oplossing is om de ontbrekende functiesleutel toe te voegen en DLP-instellingen toe te passen die identiek zijn aan die op de host waarop de functiesleutel is toegepast. Deze eigenschap zeer belangrijke inconsistentie zou het zelfde effect met de Filters van de Uitbraak, Sophos Antivirus, en andere eigenschapsleutels kunnen hebben.
De knop Enable voor de PVO wordt grijs weergegeven als er in een clusterconfiguratie een machine- of groepsconfiguratie is voor inhoud, berichtfilters, DLP- en DMARC-instellingen. Om dit probleem op te lossen, moeten alle bericht- en inhoudsfilters worden verplaatst van machine- of groepsniveau naar clusterniveau, evenals DLP en DMARC instellingen. U kunt ook de machine met configuratie op machineniveau volledig uit het cluster verwijderen. Voer de CLI-opdracht clusterconfiguratie > removemachine in en sluit zich dan weer aan bij het cluster om de clusterconfiguratie te erven.
Revisie | Publicatiedatum | Opmerkingen |
---|---|---|
1.0 |
23-Jul-2014 |
Eerste vrijgave |