정보 보호 스캐너 배포 관련 문제 해결

• 적용 대상:

  Microsoft Purview

참고

Azure Information Protection 통합 레이블 지정 스캐너의 이름이 스캐너에 Microsoft Purview Information Protection 변경됩니다. 동시에 구성(현재 미리 보기 상태)이 Microsoft Purview 규정 준수 포털 이동합니다. 현재 Azure Portal 및 규정 준수 포털 모두에서 스캐너를 구성할 수 있습니다. 이 문서의 지침은 두 관리 포털을 참조하세요.

Microsoft Preview Information Protection 스캐너에 문제가 있는 경우 Start-AIPScannerDiagnostics PowerShell cmdlet을 사용하여 스캐너 진단 도구를 시작하여 배포가 정상인지 확인합니다.

Start-AIPScannerDiagnostics

진단 도구는 다음 세부 정보를 확인한 다음 결과가 포함된 로그 파일을 만듭니다.

• 데이터베이스가 최신 상태인지 여부
• 네트워크 URL에 액세스할 수 있는지 여부
• 유효한 인증 토큰이 있는지 여부와 정책을 획득할 수 있는지 여부
• 프로필이 Azure Portal 정의되어 있는지 여부
• 오프라인/온라인 구성이 존재하고 획득할 수 있는지 여부
• 구성된 규칙이 유효한지 여부

팁

• 스캐너 서비스를 실행하는 데 사용되는 서비스 계정을 사용하여 도구를 실행하지 않는 경우 매개 변수를 -OnBehalf 사용해야 합니다. 그렇지 않으면 오류가 발생합니다.
• 스캐너 로그에서 마지막 10 오류를 인쇄하려면 매개 변수를 추가합니다 Verbose . 더 많은 오류를 인쇄하려면 를 VerboseErrorCount 사용하여 인쇄할 오류 수를 정의합니다.

Start-AIPScannerDiagnostics 명령은 전체 필수 구성 요소 검사 실행하지 않습니다. 스캐너에 문제가 있는 경우 시스템이 스캐너 요구 사항을 준수하고 스캐너 구성 및 설치 가 완료되었는지도 확인해야 합니다.

스캐너 노드 및 리포지토리당 검사 세부 정보 확인

Get-AIPScannerStatus PowerShell cmdlet을 실행하여 현재 검사 상태 및 스캐너 클러스터의 노드 목록에 대한 세부 정보를 가져옵니다.

PS C:\> Get-AIPScannerStatus

Cluster        : contoso-test
ClusterStatus  : Scanning
StartTime      : 12/22/2020 9:05:02 AM
TimeFromStart  : 00:00:00:37
NodesInfo      : {t-contoso1-T298-corp.contoso.com,t-contoso2-T298-corp.contoso.com}

NodesInfoGet-AIPScannerStatus cmdlet과 함께 변수를 사용하여 클러스터의 각 노드에 대한 자세한 내용을 확인합니다.

PS C:\WINDOWS\system32> $x=Get-AIPScannerStatus
PS C:\WINDOWS\system32> $x.NodesInfo

출력은 다음 예제와 같이 테이블의 각 노드에 대한 세부 정보를 표시합니다.

NodeName                            Status    IsScanning    Summary
--------                            --------  ----------    -------
t-contoso1-T298-corp.contoso.com    Scanning        True    Microsoft.InformationProtection.Scanner.ScanSummaryData
t-contoso2-T298-corp.contoso.com    Scanning     Pending    Microsoft.InformationProtection.Scanner.ScanSummaryData

각 노드로 드릴다운하려면 변수를 NodesInfo 다시 사용하고 노드 정수는 0부터 시작합니다.

PS C:\Windows\system32> $x.NodesInfo[0].Summary

출력은 다음 예제와 같이 선택한 노드의 검사에 대한 세부 정보를 표시합니다.

ScannerID               : t-contoso1-T298-corp.contoso.com
ScannedFiles            : 2280
FailedFiles             : 0
ScannedBytes            : 78478187
Classified              : 0
Labeled                 : 0
....

VerboseGet-AIPScannerStatus cmdlet과 함께 매개 변수를 사용하여 현재 검사에 대한 데이터를 가져옵니다.

PS C:\> Get-AIPScannerStatus -Verbose

ScannedFiles    MBScanned    CurrentScanSummary                                         RepositoriesStatus
------------    ---------    ------------------                                         ------------------
        2280    78478187     Microsoft.InformationProtection.Scanner.ScanSummaryData    {{ Path = C:\temp, Status = Scanning }

RepositoriesStatus 또는 변수를 CurrentScanSummary 사용하여 리포지토리의 상태 대한 자세한 내용을 자세히 드릴다운합니다.

가능한 리포지토리 상태 값은 다음과 같습니다.

• 리포지토리를 건너뛴 경우 건너뛰기
• 보류 중, 현재 검사에서 리포지토리 검사를 아직 시작하지 않은 경우
• 현재 검사가 리포지토리에서 실행 중인 경우 검사
• 리포지토리에서 현재 검사가 완료된 경우 완료됨

예: RepositoriesStatus 변수 사용

PS C:\Windows\system32> $x.Get-AIPScannerStatus -Verbose
PS C:\Windows\system32> $x.RepositoriesStatus

Path        Status
----        ------
C:\temp     Scanning

예: CurrentScanSummary 변수 사용

PS C:\Windows\system32> $x.CurrentScanSummary

ScannerID               : 
ScannedFiles            : 2280
FailedFiles             : 0
ScannedBytes            : 78478187
Classified              : 0
Labeled                 : 0
....

이 출력은 단일 리포지토리만 표시합니다. 여러 리포지토리가 있는 경우 각 리포지토리가 별도로 나열됩니다.

스캐너 오류 참조

다음 표에서는 스캐너에서 생성된 특정 오류 메시지에 대한 정보를 제공하고 관련 문제를 해결하기 위한 작업을 제공합니다.

오류 유형	문제 해결
인증 오류	인증 토큰이 허용되지 않음 인증 토큰이 누락됨
정책 오류	정책 누락 정책에는 자동 레이블 지정 조건이 포함되지 않습니다.
DB/스키마 오류	데이터베이스 오류 일치하지 않거나 오래된 스키마
기타 오류	기본 연결이 닫혔습니다. 스캐너 프로세스가 중단됨 원격 서버에 연결할 수 없음 누락된 콘텐츠 검색 작업 또는 프로필 구성된 리포지토리 없음 클러스터를 찾을 수 없음

인증 토큰이 허용되지 않음

오류 메시지

Microsoft.InformationProtection.Exceptions.AccessDeniedException: 서비스에서 인증 토큰을 수락하지 않았습니다.

설명

Set-AIPAuthentication 명령이 실패했습니다.

해결 방법

적절한 권한이 Azure Portal 올바르게 정의되었는지 확인합니다.

자세한 내용은 Set-AIPAuthentication에 대한 Microsoft Entra 애플리케이션 만들기 및 구성을 참조하세요.

인증 토큰이 누락됨

오류 메시지

• NoAuthTokenException: 클라이언트 애플리케이션이 HTTP 요청에 대한 인증 토큰을 제공하지 못했습니다.

• Microsoft.InformationProtection.Exceptions.NoAuthTokenException: 클라이언트 애플리케이션이 HTTP 요청에 대한 인증 토큰을 제공하지 못했습니다. 실패: System.AggregateException: 하나 이상의 오류가 발생했습니다. >--- Microsoft.IdentityModel.Clients.ActiveDirectory.AdalException: user_interaction_required: 두 조건 중 하나가 발생했습니다. 1. PromptBehavior.Never 플래그가 전달되었지만 사용자 상호 작용이 필요했기 때문에 제약 조건을 적용할 수 없습니다. 2. Http 인증 흐름이 짧은 시간 프레임에 완료되지 못하게 하는 자동 웹 인증 중에 오류가 발생했습니다.

• Windows 통합 인증을 사용하여 토큰을 획득하지 못했습니다(SSO 없음).

• Azure Portal 노드 페이지에서 다음을 수행합니다.

  정책에는 자동 레이블 지정 조건이 포함되지 않습니다.

설명

이러한 인증 오류는 스캐너가 비대화형으로 실행되면 발생합니다.

해결 방법

Set-AIPAuthentication cmdlet을 사용하여 토큰을 사용하여 인증해야 합니다.

Set-AIPAuthentication cmdlet을 실행하는 경우 다음 예제와 같이 스캐너 서비스를 실행하는 데 사용되는 서비스 계정을 대신하여 토큰 매개 변수를 사용해야 합니다.

$pscreds = Get-Credential CONTOSO\scanner
Set-AIPAuthentication -AppId "77c3c1c3-abf9-404e-8b2b-4652836c8c66" -AppSecret "OAkk+rnuYc/u+]ah2kNxVbtrDGbS47L4" -DelegatedUser scanner@contoso.com -TenantId "9c11c87a-ac8b-46a3-8d5c-f4d0b72ee29a" -OnBehalfOf $pscreds
Acquired application access token on behalf of CONTOSO\scanner.

자세한 내용은 스캐너에 대한 Microsoft Entra 토큰 가져오기를 참조하세요.

정책 누락

오류 메시지

정책이 없습니다.

설명

스캐너에서 민감도 레이블 정책 파일을 찾을 수 없습니다.

해결 방법

정책 파일이 예상대로 존재하는지 확인하려면 %localappdata%\Microsoft\MSIP\mip\MSIP.Scanner.exe\mip\mip.policies.sqlite3 위치에 검사.

민감도 레이블 및 해당 레이블 정책에 대한 자세한 내용은 민감 도 레이블 및 해당 정책 만들기 및 구성을 참조하세요.

정책에는 자동 레이블 지정 조건이 포함되지 않습니다.

오류 메시지

정책에 레이블 지정 조건이 없습니다.

설명

레이블 지정 정책에 자동 레이블 지정 조건이 없습니다.

해결 방법

다음 설정을 구성합니다.

설정	설정을 구성하는 단계
콘텐츠 검사 작업 설정	Azure Portal 다음을 수행합니다. 검색할 정보 유형을모두로 설정합니다. 검사할 때 적용할 기본 레이블 정의
레이블 지정 정책 설정	Microsoft Purview 규정 준수 포털 다음을 수행합니다. 기본 민감도 레이블 정의 자동/권장 레이블 지정 구성

설정이 이미 예상대로 정의된 경우 Microsoft Purview 규정 준수 포털 시간 제한이 있는 경우와 같이 정책 파일 자체가 누락되거나 액세스할 수 없을 수 있습니다.

정책 파일을 확인하려면 다음 파일이 있는지 검사. %localappdata%\Microsoft\MSIP\mip\MSIP.Scanner.exe\mip\mip.policies.sqlite3

자세한 내용은 Azure Information Protection 통합 레이블 지정 스캐너란? 및 민감도 레이블에 대해 알아보기를 참조하세요.

데이터베이스 오류

오류 메시지

DB 오류

설명

스캐너가 데이터베이스에 연결할 수 없습니다.

해결 방법

스캐너 컴퓨터와 데이터베이스 간의 네트워크 연결을 확인합니다.

또한 스캐너 프로세스를 실행하는 데 사용되는 서비스 계정에 데이터베이스에 액세스하는 데 필요한 모든 권한이 있는지 확인합니다.

일치하지 않거나 오래된 스키마

오류 메시지

다음 중 하나가 필요합니다.

• SchemaMismatchException

• Azure Portal 노드 페이지에서 다음을 수행합니다.

  DB 스키마가 최신 상태가 아닙니다. Update-AIPScanner 명령을 실행하여 DB 스키마 업데이트
  오류: DB 스키마가 최신 상태가 아닙니다.

설명

데이터베이스 스키마가 최신 상태가 아닙니다.

해결 방법

Update-AIPScanner cmdlet을 실행하여 스키마를 다시 동기화하고 최신 변경 내용이 있는지 확인합니다.

기본 연결이 닫혔습니다.

오류 메시지

System.Net.WebException: 기본 연결이 닫혔습니다. 보내기에서 예기치 않은 오류가 발생했습니다. >--- System.IO.IOException: 원격 당사자가 전송 스트림을 닫아 인증에 실패했습니다.

[System.Net.Http.HttpRequestException: 요청을 보내는 동안 오류가 발생했습니다. > system.Net.WebException ---: 기본 연결이 닫혔습니다. 보내기에서 예기치 않은 오류가 발생했습니다. >--- System.IO.IOException: 전송 연결에서 데이터를 읽을 수 없음: 기존 연결이 원격 호스트에 의해 강제로 닫혔습니다. > system.Net.Sockets.SocketException ---: 기존 연결이 원격 호스트에 의해 강제로 닫혔습니다.

설명

이러한 오류는 TLS 1.2가 사용하도록 설정되지 않았음을 나타냅니다.

해결 방법

TLS 1.2를 사용하도록 설정하려면 다음을 참조하세요.

• 방화벽 및 네트워크 인프라 요구 사항
• TLS 1.2를 사용하도록 설정하는 방법
• Office Online Server에서 TLS 1.1 및 TLS 1.2 지원을 사용하도록 설정

스캐너 프로세스가 중단됨

오류 메시지

오류 메시지가 표시되지 않지만 스캐너 시간이 초과되었습니다.

설명

스캐너가 예상보다 오랜 시간 동안 단일 파일을 처리하거나 리포지토리에서 많은 수의 파일을 검사하는 동안 예기치 않게 중지됩니다. 스캐너 프로세스가 중단되었을 수 있습니다.

해결 방법

다음 설정 중 하나를 수정합니다.

• 동적 포트 수입니다. 파일을 호스팅하는 운영 체제에 대한 동적 포트 수를 늘려야 할 수 있습니다. SharePoint에 대한 서버 강화는 스캐너가 허용된 네트워크 연결 수를 초과하고 중지하는 이유 중 하나일 수 있습니다.

  현재 포트 범위를 보고 범위를 늘리는 방법에 대한 자세한 내용은 네트워크 성능 향상을 위해 수정할 수 있는 설정을 참조하세요.

• 목록 보기 임계값입니다. 대규모 SharePoint 팜의 경우 목록 보기 임계값을 늘려야 할 수 있습니다. 기본적으로 목록 보기 임계값은 5,000으로 설정됩니다.

  임계값을 높이는 방법에 대한 자세한 내용은 SharePoint에서 큰 목록 및 라이브러리 관리를 참조하세요.

문제가 계속 발생하는 경우 자세한 보고서를 검사 파일 크기가 증가하는지 여부를 확인합니다.

파일 크기가 계속 증가하는 경우 스캐너는 여전히 데이터를 처리하고 있으며 완료될 때까지 기다려야 합니다.

파일 크기가 더 이상 증가하지 않으면 다음을 수행합니다.

1. 다음 cmdlet을 실행합니다.

   • Start-AIPScannerDiagnostics cmdlet: 스캐너에서 진단 검사를 실행하고 발견된 오류에 대해 로그 파일을 내보내고 압축합니다.
   • Export-AIPLogs cmdlet: %localappdata%\Microsoft\MSIP\Logs 디렉터리에서 로그 파일의 .zip 버전을 내보내고 만듭니다.

2. MSIP 스캐너 서비스에 대한 덤프 파일을 만듭니다. Windows 작업 관리자에서 MSIP 스캐너 서비스를 마우스 오른쪽 단추로 클릭하고 덤프 파일 만들기를 선택합니다.

3. Azure Portal 검사를 중지합니다.

4. 스캐너 컴퓨터에서 서비스를 다시 시작합니다.

5. 지원 티켓을 열고 스캐너 프로세스에서 덤프 파일을 연결합니다.

원격 서버에 연결할 수 없음

오류 메시지

%localappdata%\Microsoft\MSIP\Logs\아래에 있는 MSIPScanner.iplog 파일에서:

System.Net.Sockets.SocketException을 ---> 원격 서버에 연결할 수 없음: 각 소켓 주소(프로토콜/네트워크 주소/포트)의 사용량은 일반적으로 IP:port로 허용됩니다.

여러 로그가 있는 경우 MSIPScanner.iplog 파일은 .zip 파일입니다.

설명

스캐너가 허용된 네트워크 연결 수를 초과했습니다.

해결 방법

파일을 호스팅하는 운영 체제의 동적 포트 수를 늘입니다.

현재 포트 범위를 보고 범위를 늘리는 방법에 대한 자세한 내용은 네트워크 성능을 향상시키기 위해 수정할 수 있는 설정을 참조하세요.

누락된 콘텐츠 검색 작업 또는 프로필

오류 메시지

Azure Portal 노드 페이지에서 다음을 수행합니다.

콘텐츠 검색 작업을 찾을 수 없음

설명

이 오류는 콘텐츠 검색 작업 또는 프로필을 찾을 수 없을 때 발생합니다.

해결 방법

Azure Portal 스캐너 구성을 확인합니다.

자세한 내용은 Azure Information Protection 통합 레이블 지정 스캐너 구성 및 설치를 참조하세요.

참고:프로필 은 최신 버전의 스캐너에서 스캐너 클러스터 및 콘텐츠 스캔 작업으로 대체된 레거시 스캐너 용어입니다.

구성된 리포지토리 없음

오류 메시지

관리 포털의 노드 페이지에서 다음 을 수행합니다 .

리포지토리가 구성되지 않음

설명

리포지토리가 구성되지 않은 콘텐츠 검사 작업이 있을 수 있습니다.

해결 방법

콘텐츠 검사 작업 설정을 확인하고 하나 이상의 리포지토리를 추가합니다.

자세한 내용은 콘텐츠 검색 작업 만들기를 참조하세요.

클러스터를 찾을 수 없음

오류 메시지

관리 포털의 노드 페이지에서 다음 을 수행합니다 .

클러스터를 찾을 수 없음

설명

정의한 스캐너 클러스터 중 하나에 대한 실제 일치 항목을 찾을 수 없습니다.

해결 방법

클러스터 구성을 확인하고 오타 및 오류에 대한 사용자 고유의 시스템 세부 정보에 대해 검사.

자세한 내용은 스캐너 클러스터 만들기를 참조하세요.

추가 정보

AIP UL 스캐너 배포 및 사용에 대한 모범 사례입니다.