Letztes Jahr wurde ich zu einem Rufbereitschaftseinsatz hinzugezogen, bei dem laut Meldung die Spam-Quarantäne-Seite einer Cisco Email Security Appliance (ESA) ausgefallen war. Dadurch konnten Anwender nicht mehr auf die Quarantäne-Seite zugreifen, um dringend erwartete E-Mails freizugeben.
Zur Kontextualisierung, die Infrastruktur besteht aus Cisco Email Security Appliances (ESAs) und Cisco Security Management Appliances (SMAs). Die ESA ist eine virtuelle All-in-One-Appliance, die Schutz vor Spam, Malware, Viren und anderen ein- und ausgehenden E-Mail-Bedrohungen und Belästigungen bietet . Die SMA hingegen wird zur Zentralisierung von Diensten von ESAs verwendet. Die zentralisierten Dienste sind: Externe Spam-Quarantäne. Zentralisierte Richtlinien-, Viren- und Ausbruchsquarantänen.
Die Störung betrifft daher nach vorheriger Definition somit die SMA und nicht die ESA. Da der Kunde einen Fehler auf den vorgeschalteten Systemen ausschließt, beginnen wir mit der Untersuchung auf der aktiven SMA-Einheit. Bei der ersten Prüfung stellt sich bereits heraus, dass ein System-Backup ausgeführt wird, wodurch Dienste eingeschränkt oder pausiert sind. Dies ist ein normales und erwartetes Verhalten; jedoch läuft das Backup üblicherweise täglich, und dieser Fehler tritt zum ersten Mal auf.
Wir überprüfen daher die Backup-Einstellungen und -Status auf der Kommandozeile der SMA, indem wir in die Backup-Konfiguration navigieren. Da die SMA die gleichen Befehle im Folgenden immer wieder präsentieren wird, schneide ich diesen Auszug aus den folgenden Ausgaben heraus. Die relevanten Befehle sind hier VIEW, VERIFY, SCHEDULE, CANCEL, STATUS und SETUP.
SMA01> backupconfig
Choose the operation you want to perform:
- VIEW - View scheduled backups
- VERIFY - Verify if backup can be scheduled to a remote machine
- SCHEDULE - Schedule backup to an appliance
- CANCEL - Cancel a scheduled backup
- STATUS - Show the status of a backup in progress.
- SETUP - Configure backup parameters.Zunächst überprüfen wir die laufenden Backup-Jobs und stellen fest, dass die Backups täglich um 2 Uhr von der aktiven SMA01 zur passiven SMA02 durchgeführt werden. Wir verifizieren ebenfalls, dass ein Backup-Job noch aktiv ist, wie in der AdminGUI angezeigt wird.
[]> view
Scheduled Backups:
# Name IP Schedule Features
= ==================== =================== ================== ==================
1 SMA01_to_SMA02 To 10.10.10.2 In Progress Email Tracking
Web Tracking
Spam Quarantine
Reporting
Policy Quarantine
Safelist/Blocklist
2 SMA01_to_SMA02 To 10.10.10.2 every day at Email Tracking
02:00 Web Tracking
Spam Quarantine
Reporting
Policy Quarantine
Safelist/BlocklistAus diesem Grund überprüfen wir den Status des laufenden Backup-Jobs. Obwohl das Backup wie geplant um 2 Uhr gestartet ist, läuft es nun bereits seit über zwei Stunden. Normalerweise sind die Backups innerhalb weniger Minuten abgeschlossen. Um sicherzustellen, dass alles korrekt verläuft, warten wir etwa 10 Minuten. Bei einer Datentransferrate von 14 MB/s sollte eine messbare Veränderung im übertragenen Datenvolumen von 81 GB auftreten.
[]> STATUS
Backup Name: SMA01_to_SMA02
Begin Time: 29 Dec 2023 02:00 Time elapsed: 2hr 32min
Transfer Rate: 14MB/s
Phase: Two
Data Transferred: 81GB (44%)
Web Tracking: Completed
Reporting: Completed
Email Tracking: Completed
Policy Quarantine: Completed
Spam Quarantine: In Progress Transferred: 0GB (0%)
Phase: One
Data Transferred: 0GB
Web Tracking: Completed
Reporting: Completed
Email Tracking: Completed
Policy Quarantine: Completed
Spam Quarantine: Completed
Safelist/Blocklist: Completed
Bei der nächsten Kontrolle ergibt sich, dass bei angeblich anhaltenden 14MB/s keine Veränderung am transferierten Datenvolumen stattgefunden hat. Es ist wahrscheinlich, dass das Backup hängengeblieben ist und nicht fortgesetzt wird.
[]> STATUS
Backup Name: SMA01_to_SMA02
Begin Time: 29 Dec 2023 02:00 Time elapsed: 2hr 45min
Transfer Rate: 14MB/s
Phase: Two
Data Transferred: 81GB (44%)
Web Tracking: Completed
Reporting: Completed
Email Tracking: Completed
Policy Quarantine: Completed
Spam Quarantine: In Progress Transferred: 0GB (0%)
Phase: One
Data Transferred: 0GB
Web Tracking: Completed
Reporting: Completed
Email Tracking: Completed
Policy Quarantine: Completed
Spam Quarantine: Completed
Safelist/Blocklist: CompletedWir brechen das Backup manuell ab, damit der Wartungsmodus beendet wird und die SMA wieder ihre normale Operation aufnimmt.
[]> CANCEL
Scheduled Backups:
# Name IP Schedule Features
= ==================== =================== ================== ====================
1 SMA01_to_SMA02 To 10.10.10.2 In Progress Email Tracking
Web Tracking
Spam Quarantine
Reporting
Policy Quarantine
Safelist/Blocklist
2 SMA01_to_SMA02 To 10.10.10.2 every day at Email Tracking
02:00 Web Tracking
Spam Quarantine
Reporting
Policy Quarantine
Safelist/Blocklist
Select the name or number of the backup
[]> 1
Canceling a backup in progress is not recommended. The data will be incomplete
and may not be usable until a subsequent backup is completed, especially if you
receive an error. If you must cancel a backup in progress, be sure to run a
complete backup as soon as possible to ensure that you always have a usable
current backup.
Do you really want to cancel the backup? [N]> Y
Backup "SMA01_to_SMA02" has been cancelled.
Wir lassen uns nochmals den Status anzeigen, um den korrekten Abbruch zu verifizieren.
[]> STATUS
No backup in progressAuf der AdminGUI ist die Fehlermeldung nun verschwunden und der Zugriff auf die Spam-Quarantäne-Seite ist wieder erfolgreich. Um das versäumte Backup nachzuholen, planen wir ein einmaliges Backup und führen dieses durch.
[]> SCHEDULE
Enter the IP address of a machine to transfer data to.
[]> 10.10.10.2
Enter a name to identify the remote appliance
[]> SMA02
Please enter username and passphrase:
Username:
[]> admin
Passphrase:
[]>
Would you like to backup all the data, including Email Tracking, Web Tracking,
Spam Quarantine, Reporting, Policy Quarantine, Safelist/Blocklist ? [Y]> Y
Verifying target machine for version compatibility and disk space...
1. Set up a repeating backup schedule
2. Schedule a single backup
3. Start a single backup now
[1]> 3
Please enter a name for this backup job:
[]> Test-Backup
Backup "Test-Backup" has been initiated and will begin in a few seconds.Das temporäre Backup ist, wie erwartet, innerhalb weniger Minuten durchgelaufen. Als abschließende Maßnahme überprüfen wir die Schedules, um sicherzustellen, dass die Backups auch am Folgetag ordnungsgemäß durchgeführt werden, sowie den Zugriff auf die Spam-Quarantäne-Seite.