Beheben von Problemen mit der Bereitstellung der Information Protection-Überprüfung
Hinweis
Der Azure Information Protection-Scanner für einheitliche Bezeichnungen wird Microsoft Purview Information Protection Scanner umbenannt. Gleichzeitig wird die Konfiguration (derzeit in der Vorschauphase) in die Microsoft Purview-Complianceportal verschoben. Derzeit können Sie den Scanner sowohl im Azure-Portal als auch im Complianceportal konfigurieren. Die Anweisungen in diesem Artikel beziehen sich auf beide Verwaltungsportale.
Wenn Probleme mit dem Microsoft Preview Information Protection Scanner auftreten, überprüfen Sie, ob Ihre Bereitstellung fehlerfrei ist, indem Sie das PowerShell-Cmdlet Start-AIPScannerDiagnostics verwenden, um das Diagnosetool für die Überprüfung zu starten:
Start-AIPScannerDiagnostics
Das Diagnose-Tool überprüft die folgenden Details und erstellt dann eine Protokolldatei mit den Ergebnissen:
- Gibt an, ob die Datenbank auf dem neuesten Stand ist
- Gibt an, ob auf Netzwerk-URLs zugegriffen werden kann
- Gibt an, ob ein gültiges Authentifizierungstoken vorhanden ist und die Richtlinie abgerufen werden kann
- Gibt an, ob das Profil im Azure-Portal
- Ob eine Offline-/Onlinekonfiguration vorhanden ist und abgerufen werden kann
- Ob die konfigurierten Regeln gültig sind
Tipp
- Wenn Sie das Tool nicht mit dem Dienstkonto ausführen, das zum Ausführen des Scannerdiensts verwendet wird, müssen Sie den
-OnBehalf
-Parameter verwenden. Andernfalls treten Fehler auf. - Fügen Sie den Parameter hinzu, um die letzten 10 Fehler aus dem Scannerprotokoll auszugeben
Verbose
. Wenn Sie weitere Fehler drucken möchten, verwenden Sie dieVerboseErrorCount
, um die Anzahl der zu druckenden Fehler zu definieren.
Der Start-AIPScannerDiagnostics
Befehl führt keine vollständige Voraussetzungsprüfung aus. Wenn Probleme mit dem Scanner auftreten, müssen Sie auch sicherstellen, dass Ihr System die Scanneranforderungen erfüllt und die Konfiguration und Installation des Scanners abgeschlossen ist.
Überprüfen der Überprüfungsdetails pro Scannerknoten und Repository
Führen Sie das PowerShell-Cmdlet Get-AIPScannerStatus aus, um Details zum aktuellen Scan-status und zur Liste der Knoten in Ihrem Scannercluster abzurufen.
PS C:\> Get-AIPScannerStatus
Cluster : contoso-test
ClusterStatus : Scanning
StartTime : 12/22/2020 9:05:02 AM
TimeFromStart : 00:00:00:37
NodesInfo : {t-contoso1-T298-corp.contoso.com,t-contoso2-T298-corp.contoso.com}
Verwenden Sie die NodesInfo
Variable mit dem Cmdlet Get-AIPScannerStatus , um weitere Details zu den einzelnen Knoten im Cluster abzurufen:
PS C:\WINDOWS\system32> $x=Get-AIPScannerStatus
PS C:\WINDOWS\system32> $x.NodesInfo
Die Ausgabe zeigt Details für jeden Knoten in einer Tabelle an, wie im folgenden Beispiel gezeigt:
NodeName Status IsScanning Summary
-------- -------- ---------- -------
t-contoso1-T298-corp.contoso.com Scanning True Microsoft.InformationProtection.Scanner.ScanSummaryData
t-contoso2-T298-corp.contoso.com Scanning Pending Microsoft.InformationProtection.Scanner.ScanSummaryData
Um einen drilldown auf jeden Knoten weiter auszuführen, verwenden Sie die NodesInfo
Variable erneut, wobei die ganze Knotenzahl mit 0 beginnt.
PS C:\Windows\system32> $x.NodesInfo[0].Summary
Die Ausgabe zeigt die Details zu den Überprüfungen auf dem ausgewählten Knoten an, wie im folgenden Beispiel gezeigt:
ScannerID : t-contoso1-T298-corp.contoso.com
ScannedFiles : 2280
FailedFiles : 0
ScannedBytes : 78478187
Classified : 0
Labeled : 0
....
Verwenden Sie den Verbose
Parameter mit dem Cmdlet Get-AIPScannerStatus , um Daten zu einer aktuellen Überprüfung abzurufen.
PS C:\> Get-AIPScannerStatus -Verbose
ScannedFiles MBScanned CurrentScanSummary RepositoriesStatus
------------ --------- ------------------ ------------------
2280 78478187 Microsoft.InformationProtection.Scanner.ScanSummaryData {{ Path = C:\temp, Status = Scanning }
Verwenden Sie die RepositoriesStatus
Variablen oder CurrentScanSummary
, um weitere Details zur status der Repositorys zu erhalten.
Mögliche Repository-status Werte:
- Übersprungen, wenn das Repository übersprungen wurde
- Ausstehend, wenn die aktuelle Überprüfung noch nicht mit der Überprüfung des Repositorys begonnen hat
- Überprüfung, wenn die aktuelle Überprüfung im Repository ausgeführt wird
- Abgeschlossen, wenn die aktuelle Überprüfung abgeschlossen wurde, die im Repository ausgeführt wird
Beispiel: Verwenden der RepositoryStatus-Variable
PS C:\Windows\system32> $x.Get-AIPScannerStatus -Verbose
PS C:\Windows\system32> $x.RepositoriesStatus
Path Status
---- ------
C:\temp Scanning
Beispiel: Verwenden der CurrentScanSummary-Variablen
PS C:\Windows\system32> $x.CurrentScanSummary
ScannerID :
ScannedFiles : 2280
FailedFiles : 0
ScannedBytes : 78478187
Classified : 0
Labeled : 0
....
Diese Ausgabe zeigt nur ein einzelnes Repository an. Wenn mehrere Repositorys vorhanden sind, wird jedes repository separat aufgelistet.
Scannerfehlerreferenz
Die folgende Tabelle enthält Informationen zu bestimmten Fehlermeldungen, die vom Scanner generiert werden, sowie Aktionen zum Beheben des zugehörigen Problems:
Fehlertyp | Problembehandlung |
---|---|
Authentifizierungsfehler | |
Richtlinienfehler | |
DATENBANK-/Schemafehler | |
Andere Fehler |
Authentifizierungstoken nicht akzeptiert
Fehlermeldung
Microsoft.InformationProtection.Exceptions.AccessDeniedException: Der Dienst hat das Authentifizierungstoken nicht akzeptiert.
Beschreibung
Fehler beim Befehl Set-AIPAuthentication .
Lösung
Stellen Sie fest, dass die entsprechenden Berechtigungen im Azure-Portal richtig definiert sind.
Weitere Informationen finden Sie unter Erstellen und Konfigurieren Microsoft Entra Anwendungen für Set-AIPAuthentication.
Authentifizierungstoken fehlt
Fehlermeldungen
-
NoAuthTokenException: Clientanwendung konnte kein Authentifizierungstoken für HTTP-Anforderung bereitstellen
-
Microsoft.InformationProtection.Exceptions.NoAuthTokenException: Clientanwendung konnte kein Authentifizierungstoken für HTTP-Anforderungen bereitstellen. Fehler mit: System.AggregateException: Mindestens ein Fehler ist aufgetreten. >--- Microsoft.IdentityModel.Clients.ActiveDirectory.AdalException: user_interaction_required: Eine von zwei Bedingungen wurde gefunden: 1. Das Flag PromptBehavior.Never wurde übergeben, aber die Einschränkung konnte nicht eingehalten werden, da eine Benutzerinteraktion erforderlich war. 2. Während einer automatischen Webauthentifizierung ist ein Fehler aufgetreten, der verhindert hat, dass der HTTP-Authentifizierungsfluss in einem kurzen Zeitrahmen abgeschlossen wird.
-
Fehler beim Abrufen eines Tokens mithilfe der integrierten Windows-Authentifizierung (kein SSO)
Auf der Azure-Portal auf der Seite Knoten:
Die Richtlinie enthält keine Bedingung für automatische Bezeichnungen.
Beschreibung
Diese Authentifizierungsfehler treten auf, wenn der Scanner nicht interaktiv ausgeführt wird.
Lösung
Sie müssen sich mit einem Token authentifizieren, indem Sie das Cmdlet Set-AIPAuthentication verwenden.
Wenn Sie das Cmdlet Set-AIPAuthentication ausführen, stellen Sie sicher, dass Sie den Tokenparameter im Namen des Dienstkontos verwenden, das zum Ausführen des Scannerdiensts verwendet wird, wie im folgenden Beispiel gezeigt:
$pscreds = Get-Credential CONTOSO\scanner
Set-AIPAuthentication -AppId "77c3c1c3-abf9-404e-8b2b-4652836c8c66" -AppSecret "OAkk+rnuYc/u+]ah2kNxVbtrDGbS47L4" -DelegatedUser scanner@contoso.com -TenantId "9c11c87a-ac8b-46a3-8d5c-f4d0b72ee29a" -OnBehalfOf $pscreds
Acquired application access token on behalf of CONTOSO\scanner.
Weitere Informationen finden Sie unter Abrufen eines Microsoft Entra Tokens für den Scanner.
Richtlinie fehlt
Fehlermeldung
Richtlinie fehlt
Beschreibung
Die Überprüfung kann Ihre Richtliniendatei für Vertraulichkeitsbezeichnungen nicht finden.
Lösung
Um zu überprüfen, ob Ihre Richtliniendatei wie erwartet vorhanden ist, überprüfen Sie den folgenden Speicherort: %localappdata%\Microsoft\MSIP\mip\MSIP.Scanner.exe\mip\mip.policies.sqlite3.
Weitere Informationen zu Vertraulichkeitsbezeichnungen und deren Bezeichnungsrichtlinien finden Sie unter Erstellen und Konfigurieren von Vertraulichkeitsbezeichnungen und deren Richtlinien.
Die Richtlinie schließt keine bedingungen für automatische Bezeichnungen ein.
Fehlermeldung
In der Richtlinie fehlen Bezeichnungsbedingungen
Beschreibung
In der Bezeichnungsrichtlinie fehlen bedingungen für automatische Bezeichnungen.
Lösung
Konfigurieren Sie die folgenden Einstellungen:
Einstellung | Schritte zum Konfigurieren von Einstellungen |
---|---|
Inhaltsüberprüfungsauftragseinstellungen | Gehen Sie im Azure-Portal wie folgt vor: |
Bezeichnungsrichtlinieneinstellungen | Gehen Sie im Microsoft Purview-Complianceportal wie folgt vor: |
Wenn die Einstellungen bereits wie erwartet definiert sind, kann die Richtliniendatei selbst fehlen oder nicht zugänglich sein, z. B. wenn ein Timeout vom Microsoft Purview-Complianceportal.
Um Ihre Richtliniendatei zu überprüfen, überprüfen Sie, ob die folgende Datei vorhanden ist: %localappdata%\Microsoft\MSIP\mip\MSIP.Scanner.exe\mip\mip.policies.sqlite3
Weitere Informationen finden Sie unter Was ist der Azure Information Protection Unified Labeling Scanner? und Informationen zu Vertraulichkeitsbezeichnungen.
Datenbankfehler
Fehlermeldung
Datenbankfehler
Beschreibung
Der Scanner kann keine Verbindung mit der Datenbank herstellen.
Lösung
Überprüfen Sie die Netzwerkkonnektivität zwischen dem Scannercomputer und der Datenbank.
Stellen Sie außerdem sicher, dass das Dienstkonto, das zum Ausführen von Scannerprozessen verwendet wird, über alle Berechtigungen verfügt, die für den Zugriff auf die Datenbank erforderlich sind.
Nicht übereinstimmende oder veraltete Schemas
Fehlermeldung
Eine der folgenden Varianten:
-
SchemaMismatchException
Im Azure-Portal auf der Seite Knoten:
Das Datenbankschema ist nicht auf dem neuesten Stand. Führen Sie Update-AIPScanner Befehl aus, um das Datenbankschema zu aktualisieren.
Fehler: Das Datenbankschema ist nicht auf dem neuesten Stand.
Beschreibung
Das Datenbankschema ist nicht auf dem neuesten Stand.
Lösung
Führen Sie das Cmdlet Update-AIPScanner aus, um Ihr Schema neu zu synchronisieren und sicherzustellen, dass es mit den letzten Änderungen auf dem neuesten Stand ist.
Die zugrunde liegende Verbindung wurde geschlossen.
Fehlermeldungen
System.Net.WebException: Die zugrunde liegende Verbindung wurde geschlossen: Bei einem Senden ist ein unerwarteter Fehler aufgetreten. >--- System.IO.IOException: Fehler bei der Authentifizierung, weil die Remotepartei den Transportstream geschlossen hat.
[System.Net.Http.HttpRequestException: Fehler beim Senden der Anforderung. >--- System.Net.WebException: Die zugrunde liegende Verbindung wurde geschlossen: Unerwarteter Fehler beim Senden. >--- System.IO.IOException: Daten können nicht aus der Transportverbindung gelesen werden: Eine vorhandene Verbindung wurde vom Remotehost erzwungen geschlossen. >--- System.Net.Sockets.SocketException: Eine vorhandene Verbindung wurde vom Remotehost erzwungen geschlossen.
Beschreibung
Diese Fehler deuten darauf hin, dass TLS 1.2 nicht aktiviert ist.
Lösung
Informationen zum Aktivieren von TLS 1.2 finden Sie unter:
- Anforderungen an Firewalls und Netzwerkinfrastruktur
- Aktivieren von TLS 1.2
- Aktivieren der TLS 1.1- und TLS 1.2-Unterstützung in Office Online Server
Hängen gebliebene Scannerprozesse
Fehlermeldung
Es wird keine Fehlermeldung angezeigt, aber für den Scanner tritt ein Zeitüberschreitung auf.
Beschreibung
Der Scanner verarbeitet eine einzelne Datei über einen längeren Zeitraum als erwartet oder wird unerwartet beendet, während eine große Anzahl von Dateien in einem Repository überprüft wird. Der Scannerprozess bleibt möglicherweise hängen.
Lösung
Ändern Sie eine der folgenden Einstellungen:
Anzahl der dynamischen Ports. Möglicherweise müssen Sie die Anzahl der dynamischen Ports für das Betriebssystem erhöhen, auf dem die Dateien gehostet werden. Die Serverhärtung für SharePoint kann ein Grund dafür sein, dass der Scanner die Anzahl der zulässigen Netzwerkverbindungen überschreitet und anhält.
Informationen zum Anzeigen des aktuellen Portbereichs und zum Erhöhen des Bereichs finden Sie unter Einstellungen, die geändert werden können, um die Netzwerkleistung zu verbessern.
Schwellenwert für Listenansichten. Bei großen SharePoint-Farmen müssen Sie möglicherweise den Schwellenwert für die Listenansicht erhöhen. Standardmäßig ist der Schwellenwert für die Listenansicht auf 5.000 festgelegt.
Informationen zum Erhöhen des Schwellenwerts finden Sie unter Verwalten großer Listen und Bibliotheken in SharePoint.
Wenn das Problem weiterhin auftritt, überprüfen Sie den detaillierten Bericht, um zu ermitteln, ob die Datei größer wird.
Wenn die Dateigröße weiter zunimmt, verarbeitet der Scanner weiterhin Daten, und Sie müssen warten, bis dies abgeschlossen ist.
Wenn die Datei nicht mehr zunimmt, gehen Sie wie folgt vor:
Führen Sie die folgenden Cmdlets aus:
- Start-AIPScannerDiagnostics-Cmdlet : Zum Ausführen von Diagnoseprüfungen auf Dem Scanner sowie zum Exportieren und Zippen von Protokolldateien für gefundene Fehler.
- Export-AIPLogs-Cmdlet : Zum Exportieren und Erstellen einer .zip Version der Protokolldateien aus dem Verzeichnis %localappdata%\Microsoft\MSIP\Logs .
Erstellen Sie eine Speicherabbilddatei für den MSIP Scanner-Dienst. Klicken Sie im Windows-Task-Manager mit der rechten Maustaste auf den DIENST MSIP-Scanner, und wählen Sie Speicherabbilddatei erstellen aus.
Beenden Sie im Azure-Portal die Überprüfung.
Starten Sie den Dienst auf dem Scannercomputer neu.
Öffnen Sie ein Supportticket, und fügen Sie die Sicherungsdateien aus dem Scannerprozess an.
Verbindung mit Remoteserver kann nicht hergestellt werden
Fehlermeldung
In der Datei MSIPScanner.iplog unter %localappdata%\Microsoft\MSIP\Logs\:
Herstellen einer Verbindung mit dem Remoteserver ---> System.Net.Sockets.SocketException nicht möglich: Normalerweise ist nur eine Verwendung jeder Socketadresse (Protokoll/Netzwerkadresse/Port) zulässig IP:Port
Wenn mehrere Protokolle vorhanden sind, ist die Datei MSIPScanner.iplog eine .zip Datei.
Beschreibung
Der Scanner hat die Anzahl der zulässigen Netzwerkverbindungen überschritten.
Lösung
Erhöhen Sie die Anzahl der dynamischen Ports für das Betriebssystem, auf dem die Dateien gehostet werden.
Informationen zum Anzeigen des aktuellen Portbereichs und zum Erhöhen des Bereichs finden Sie unter Einstellungen, die geändert werden können, um die Netzwerkleistung zu verbessern.
Fehlender Auftrag oder Profil zur Inhaltsüberprüfung
Fehlermeldung
Im Azure-Portal auf der Seite Knoten:
Kein Auftrag zur Inhaltsüberprüfung gefunden
Beschreibung
Dieser Fehler tritt auf, wenn der Auftrag oder das Profil der Inhaltsüberprüfung nicht gefunden werden kann.
Lösung
Überprüfen Sie ihre Scannerkonfiguration im Azure-Portal.
Weitere Informationen finden Sie unter Konfigurieren und Installieren des Azure Information Protection Unified Labeling Scanner.
Hinweis: Ein Profil ist ein Legacy-Scannerbegriff, der in neueren Versionen des Scanners durch den Scannercluster und den Auftrag zur Inhaltsüberprüfung ersetzt wurde.
Keine Repositorys konfiguriert
Fehlermeldung
Gehen Sie im Verwaltungsportal auf der Seite Knoten wie
Es sind keine Repositorys konfiguriert.
Beschreibung
Möglicherweise haben Sie einen Auftrag zur Inhaltsüberprüfung ohne konfigurierte Repositorys.
Lösung
Überprüfen Sie ihre Auftragseinstellungen für die Inhaltsüberprüfung, und fügen Sie mindestens ein Repository hinzu.
Weitere Informationen finden Sie unter Erstellen eines Inhaltsüberprüfungsauftrags.
Kein Cluster gefunden
Fehlermeldung
Gehen Sie im Verwaltungsportal auf der Seite Knoten wie
Kein Cluster gefunden
Beschreibung
Für einen der von Ihnen definierten Scannercluster wurde keine tatsächliche Übereinstimmung gefunden.
Lösung
Überprüfen Sie Ihre Clusterkonfiguration, und überprüfen Sie sie anhand Ihrer eigenen Systemdetails auf Tippfehler und Fehler.
Weitere Informationen finden Sie unter Erstellen eines Scannerclusters.
Weitere Informationen
Bewährte Methoden für die Bereitstellung und Verwendung des AIP UL-Scanners.