Resolución de problemas con la implementación del analizador de protección de la información
Nota:
Se cambia el nombre del analizador de etiquetado unificado de Azure Information Protection Microsoft Purview Information Protection. Al mismo tiempo, la configuración (actualmente en versión preliminar) se mueve al portal de cumplimiento Microsoft Purview. Actualmente, puede configurar el analizador tanto en el Azure Portal como en el portal de cumplimiento. Las instrucciones de este artículo se refieren a ambos portales de administración.
Si tiene problemas con el analizador de Information Protection de Microsoft Preview, compruebe si la implementación está en buen estado mediante el cmdlet de PowerShell Start-AIPScannerDiagnostics para iniciar la herramienta de diagnóstico del analizador:
Start-AIPScannerDiagnostics
La herramienta de diagnóstico comprueba los detalles siguientes y, a continuación, crea un archivo de registro con los resultados:
- Si la base de datos está actualizada
- Si se puede acceder a las direcciones URL de red
- Si hay un token de autenticación válido y se puede adquirir la directiva
- Si el perfil se define en el Azure Portal
- Si la configuración sin conexión o en línea existe y se puede adquirir
- Si las reglas configuradas son válidas
Sugerencia
- Si no ejecuta la herramienta mediante la cuenta de servicio que se usa para ejecutar el servicio de escáner, debe usar el
-OnBehalf
parámetro . De lo contrario, encontrará errores. - Para imprimir los últimos 10 errores del registro del analizador, agregue el
Verbose
parámetro . Si desea imprimir más errores, use paraVerboseErrorCount
definir el número de errores que desea imprimir.
El Start-AIPScannerDiagnostics
comando no ejecuta una comprobación de requisitos previos completa. Si tiene problemas con el escáner, también debe asegurarse de que el sistema cumple con los requisitos del escáner y que la configuración y la instalación del escáner están completas.
Comprobación de los detalles del examen por nodo y repositorio del analizador
Ejecute el cmdlet de PowerShell Get-AIPScannerStatus para obtener detalles sobre el estado de examen actual y la lista de nodos del clúster del analizador.
PS C:\> Get-AIPScannerStatus
Cluster : contoso-test
ClusterStatus : Scanning
StartTime : 12/22/2020 9:05:02 AM
TimeFromStart : 00:00:00:37
NodesInfo : {t-contoso1-T298-corp.contoso.com,t-contoso2-T298-corp.contoso.com}
Use la NodesInfo
variable con el cmdlet Get-AIPScannerStatus para obtener más detalles sobre cada nodo del clúster:
PS C:\WINDOWS\system32> $x=Get-AIPScannerStatus
PS C:\WINDOWS\system32> $x.NodesInfo
La salida muestra los detalles de cada nodo de una tabla, como se muestra en el ejemplo siguiente:
NodeName Status IsScanning Summary
-------- -------- ---------- -------
t-contoso1-T298-corp.contoso.com Scanning True Microsoft.InformationProtection.Scanner.ScanSummaryData
t-contoso2-T298-corp.contoso.com Scanning Pending Microsoft.InformationProtection.Scanner.ScanSummaryData
Para profundizar más en cada nodo, use la NodesInfo
variable de nuevo, con el entero del nodo a partir de 0.
PS C:\Windows\system32> $x.NodesInfo[0].Summary
La salida muestra los detalles de los exámenes en el nodo seleccionado, como se muestra en el ejemplo siguiente:
ScannerID : t-contoso1-T298-corp.contoso.com
ScannedFiles : 2280
FailedFiles : 0
ScannedBytes : 78478187
Classified : 0
Labeled : 0
....
Use el Verbose
parámetro con el cmdlet Get-AIPScannerStatus para obtener datos sobre un examen actual.
PS C:\> Get-AIPScannerStatus -Verbose
ScannedFiles MBScanned CurrentScanSummary RepositoriesStatus
------------ --------- ------------------ ------------------
2280 78478187 Microsoft.InformationProtection.Scanner.ScanSummaryData {{ Path = C:\temp, Status = Scanning }
Use o RepositoriesStatus
las CurrentScanSummary
variables para explorar en profundidad más detalles sobre el estado de los repositorios.
Entre los posibles valores de estado del repositorio se incluyen:
- Omitido, si se omitió el repositorio
- Pendiente, si el examen actual aún no ha comenzado a examinar el repositorio
- Examen, si el examen actual se está ejecutando en el repositorio
- Finalizado, si el examen actual ha terminado de ejecutarse en el repositorio
Ejemplo: usar la variable RepositoriesStatus
PS C:\Windows\system32> $x.Get-AIPScannerStatus -Verbose
PS C:\Windows\system32> $x.RepositoriesStatus
Path Status
---- ------
C:\temp Scanning
Ejemplo: uso de la variable CurrentScanSummary
PS C:\Windows\system32> $x.CurrentScanSummary
ScannerID :
ScannedFiles : 2280
FailedFiles : 0
ScannedBytes : 78478187
Classified : 0
Labeled : 0
....
Esta salida muestra solo un único repositorio. Si hay varios repositorios, cada uno de ellos se mostrará por separado.
Referencia de error del analizador
En la tabla siguiente se proporciona información sobre mensajes de error específicos generados por el analizador y se proporcionan acciones para corregir el problema asociado:
Tipo de error | Solución de problemas |
---|---|
Errores de autenticación | |
Errores de directiva | |
Errores de base de datos o esquema | |
Otros errores |
Token de autenticación no aceptado
Mensaje de error
Microsoft.InformationProtection.Exceptions.AccessDeniedException: el servicio no aceptó el token de autenticación.
Descripción
Error en el comando Set-AIPAuthentication .
Resolución
Compruebe que los permisos adecuados se definen correctamente en el Azure Portal.
Para obtener más información, consulte Creación y configuración de aplicaciones de Microsoft Entra para Set-AIPAuthentication.
Falta el token de autenticación
Mensajes de error
-
NoAuthTokenException: la aplicación cliente no pudo proporcionar el token de autenticación para la solicitud HTTP.
-
Microsoft.InformationProtection.Exceptions.NoAuthTokenException: la aplicación cliente no pudo proporcionar el token de autenticación para la solicitud HTTP. Error con: System.AggregateException: se han producido uno o varios errores. >--- Microsoft.IdentityModel.Clients.ActiveDirectory.AdalException: user_interaction_required: se encontró una de las dos condiciones: 1. Se pasó la marca PromptBehavior.Never, pero no se pudo respetar la restricción, ya que era necesaria la interacción del usuario. 2. Error durante una autenticación web silenciosa que impedía que el flujo de autenticación HTTP se completara en un breve período de tiempo
-
No se pudo adquirir un token mediante la autenticación integrada de Windows (sin sso)
En la Azure Portal, en la página Nodos:
La directiva no incluye ninguna condición de etiquetado automático
Descripción
Estos errores de autenticación se producen cuando el analizador se ejecuta de forma no interactiva.
Resolución
Debe autenticarse mediante un token mediante el cmdlet Set-AIPAuthentication .
Al ejecutar el cmdlet Set-AIPAuthentication, asegúrese de usar el parámetro token en nombre de la cuenta de servicio que se usa para ejecutar el servicio de escáner, como se muestra en el ejemplo siguiente:
$pscreds = Get-Credential CONTOSO\scanner
Set-AIPAuthentication -AppId "77c3c1c3-abf9-404e-8b2b-4652836c8c66" -AppSecret "OAkk+rnuYc/u+]ah2kNxVbtrDGbS47L4" -DelegatedUser scanner@contoso.com -TenantId "9c11c87a-ac8b-46a3-8d5c-f4d0b72ee29a" -OnBehalfOf $pscreds
Acquired application access token on behalf of CONTOSO\scanner.
Para obtener más información, consulte Obtención de un token de Microsoft Entra para el analizador.
Falta la directiva
Mensaje de error
Falta la directiva
Descripción
El analizador no puede encontrar el archivo de directiva de etiqueta de confidencialidad.
Resolución
Para comprobar que el archivo de directiva existe según lo esperado, compruebe la siguiente ubicación: %localappdata%\Microsoft\MSIP\mip\MSIP.Scanner.exe\mip\mip.policies.sqlite3.
Para obtener más información sobre las etiquetas de confidencialidad y sus directivas de etiquetas, consulte Creación y configuración de etiquetas de confidencialidad y sus directivas.
La directiva no incluye condiciones de etiquetado automático
Mensaje de error
Falta condiciones de etiquetado en la directiva
Descripción
A la directiva de etiquetado le faltan condiciones de etiquetado automático.
Resolución
Configure las siguientes opciones:
Configuración | Pasos para configurar las opciones |
---|---|
Configuración del trabajo de examen de contenido | En el Azure Portal, haga lo siguiente: |
Configuración de directiva de etiquetado | En el portal de cumplimiento Microsoft Purview, haga lo siguiente: |
Si la configuración ya está definida como esperada, es posible que el archivo de directiva en sí falte o no sea accesible, como cuando hay un tiempo de espera del portal de cumplimiento Microsoft Purview.
Para comprobar el archivo de directiva, compruebe que existe el archivo siguiente: %localappdata%\Microsoft\MSIP\mip\MSIP.Scanner.exe\mip\mip.policies.sqlite3
Para obtener más información, consulte ¿Qué es el analizador de etiquetado unificado de Azure Information Protection? y Información sobre las etiquetas de confidencialidad.
Errores de base de datos
Mensaje de error
Error de base de datos
Descripción
El analizador no puede conectarse a la base de datos.
Resolución
Compruebe la conectividad de red entre el equipo del escáner y la base de datos.
Además, asegúrese de que la cuenta de servicio que se usa para ejecutar procesos de escáner tiene todos los permisos necesarios para acceder a la base de datos.
Esquema no coincidente o obsoleto
Mensaje de error
Uno de los siguientes:
-
SchemaMismatchException
En el Azure Portal, en la página Nodos:
El esquema de base de datos no está actualizado. Ejecutar Update-AIPScanner comando para actualizar el esquema de base de datos
Error: El esquema de base de datos no está actualizado
Descripción
El esquema de base de datos no está actualizado.
Resolución
Ejecute el cmdlet Update-AIPScanner para volver a sincronizar el esquema y asegurarse de que está actualizado con los cambios recientes.
Se cerró la conexión subyacente
Mensajes de error
System.Net.WebException: se cerró la conexión subyacente: se produjo un error inesperado en un envío. >--- System.IO.IOException: error de autenticación porque la entidad remota ha cerrado el flujo de transporte.
[System.Net.Http.HttpRequestException: error al enviar la solicitud. >--- System.Net.WebException: se cerró la conexión subyacente: Error inesperado en un envío. >--- System.IO.IOException: No se pueden leer datos de la conexión de transporte: el host remoto cerró forzadamente una conexión existente. >--- System.Net.Sockets.SocketException: el host remoto cerró por la fuerza una conexión existente.
Descripción
Estos errores indican que TLS 1.2 no está habilitado.
Resolución
Para habilitar TLS 1.2, consulte:
- Firewalls y requisitos de infraestructura de red
- Habilitación de TLS 1.2
- Habilitar la compatibilidad con TLS 1.1 y 1.2 en Office Online Server
Procesos de escáner bloqueados
Mensaje de error
No se muestra ningún mensaje de error, pero el escáner agota el tiempo de espera.
Descripción
El analizador está procesando un único archivo durante más tiempo del esperado o se detiene inesperadamente mientras examina un gran número de archivos en un repositorio. Es posible que el proceso del escáner esté bloqueado.
Resolución
Modifique una de las opciones siguientes:
Número de puertos dinámicos. Es posible que tenga que aumentar el número de puertos dinámicos para el sistema operativo que hospeda los archivos. La protección del servidor para SharePoint puede ser una de las razones por las que el analizador supera el número de conexiones de red permitidas y se detiene.
Para obtener información sobre cómo ver el intervalo de puertos actual y aumentar el intervalo, consulte Configuración que se puede modificar para mejorar el rendimiento de la red.
Umbral de vista de lista. En el caso de las granjas de servidores de SharePoint grandes, es posible que tenga que aumentar el umbral de vista de lista. De forma predeterminada, el umbral de vista de lista se establece en 5000.
Para obtener información sobre cómo aumentar el umbral, vea Administrar listas y bibliotecas grandes en SharePoint.
Si el problema sigue ocurriendo, compruebe el informe detallado para determinar si el archivo aumenta de tamaño.
Si el tamaño del archivo sigue aumentando, el analizador sigue procesando datos y debe esperar hasta que se complete.
Si el archivo ya no aumenta de tamaño, haga lo siguiente:
Ejecute los siguientes cmdlets:
- Cmdlet Start-AIPScannerDiagnostics : para ejecutar comprobaciones de diagnóstico en el escáner y exportar y comprimir los archivos de registro de los errores que se encuentren.
- Cmdlet Export-AIPLogs : para exportar y crear una versión .zip de los archivos de registro desde el directorio %localappdata%\Microsoft\MSIP\Logs .
Cree un archivo de volcado para el servicio MSIP Scanner. En el Administrador de tareas de Windows, haga clic con el botón derecho en el servicio escáner MSIP y seleccione Crear archivo de volcado.
En el Azure Portal, detenga el examen.
En la máquina del escáner, reinicie el servicio.
Abra una incidencia de soporte técnico y adjunte los archivos de volcado del proceso del escáner.
No se puede conectar al servidor remoto
Mensaje de error
En el archivo MSIPScanner.iplog ubicado en %localappdata%\Microsoft\MSIP\Logs\:
No se puede conectar al servidor remoto ---> System.Net.Sockets.SocketException: normalmente, solo se permite un uso de cada dirección de socket (protocolo, dirección de red o puerto) IP:puerto.
Si hay varios registros, el archivo MSIPScanner.iplog será un archivo .zip.
Descripción
El escáner ha superado el número de conexiones de red permitidas.
Resolución
Aumente el número de puertos dinámicos para el sistema operativo que hospeda los archivos.
Para obtener información sobre cómo ver el intervalo de puertos actual y aumentar el intervalo, consulte Configuración que se puede modificar para mejorar el rendimiento de la red.
Falta el perfil o el trabajo de examen de contenido
Mensaje de error
En el Azure Portal, en la página Nodos:
No se encontró ningún trabajo de examen de contenido
Descripción
Este error se produce cuando no se encuentra el trabajo o el perfil de examen de contenido.
Resolución
Compruebe la configuración del escáner en el Azure Portal.
Para obtener más información, consulte Configuración e instalación del analizador de etiquetado unificado de Azure Information Protection.
Nota: Un perfil es un término de escáner heredado que se ha reemplazado por el clúster del escáner y el trabajo de examen de contenido en las versiones más recientes del escáner.
No hay repositorios configurados
Mensaje de error
En el portal de administración, en la página Nodos :
No hay repositorios configurados
Descripción
Es posible que tenga un trabajo de examen de contenido sin repositorios configurados.
Resolución
Compruebe la configuración del trabajo de examen de contenido y agregue al menos un repositorio.
Para obtener más información, consulte Creación de un trabajo de examen de contenido.
No se encontró ningún clúster
Mensaje de error
En el portal de administración, en la página Nodos :
No se encontró ningún clúster
Descripción
No se encontró ninguna coincidencia real para uno de los clústeres del escáner que haya definido.
Resolución
Compruebe la configuración del clúster y compruébelo con sus propios detalles del sistema para ver si hay errores tipográficos y errores.
Para obtener más información, consulte Creación de un clúster de escáner.
Más información
Procedimientos recomendados para implementar y usar el escáner UL de AIP.
Comentarios
https://aka.ms/ContentUserFeedback.
Próximamente: A lo largo de 2024 iremos eliminando gradualmente GitHub Issues como mecanismo de comentarios sobre el contenido y lo sustituiremos por un nuevo sistema de comentarios. Para más información, vea:Enviar y ver comentarios de