Delen via


Problemen met de implementatie van de scanner voor gegevensbeveiliging oplossen

Opmerking

De naam van de geïntegreerde labelscanner van Azure Information Protection wordt gewijzigd Microsoft Purview Informatiebeveiliging scanner. Tegelijkertijd wordt de configuratie (momenteel in preview) verplaatst naar de Microsoft Purview-nalevingsportal. Op dit moment kunt u de scanner configureren in zowel de Azure Portal als de complianceportal. Instructies in dit artikel verwijzen naar beide beheerportals.

Als u problemen ondervindt met de Microsoft Preview Information Protection scanner, controleert u of uw implementatie in orde is met behulp van de PowerShell-cmdlet Start-AIPScannerDiagnostics om het diagnostische hulpprogramma voor scanners te starten:

Start-AIPScannerDiagnostics

Het diagnostisch hulpprogramma controleert de volgende details en maakt vervolgens een logboekbestand met de resultaten:

  • Of de database up-to-date is
  • Of netwerk-URL's toegankelijk zijn
  • Of er een geldig verificatietoken is en of het beleid kan worden verkregen
  • Of het profiel is gedefinieerd in de Azure Portal
  • Of offline/online-configuratie bestaat en kan worden verkregen
  • Of de geconfigureerde regels geldig zijn

Tip

  • Als u het hulpprogramma niet uitvoert met behulp van het serviceaccount dat wordt gebruikt om de scannerservice uit te voeren, moet u de -OnBehalf parameter gebruiken. Anders treden er fouten op.
  • Als u de laatste 10 fouten uit het scannerlogboek wilt afdrukken, voegt u de Verbose parameter toe. Als u meer fouten wilt afdrukken, gebruikt u de VerboseErrorCount om het aantal fouten te definiëren dat u wilt afdrukken.

Met de Start-AIPScannerDiagnostics opdracht wordt geen volledige controle van vereisten uitgevoerd. Als u problemen hebt met de scanner, moet u er ook voor zorgen dat uw systeem voldoet aan de scannervereisten en dat de configuratie en installatie van uw scanner is voltooid.

Scandetails per scannerknooppunt en opslagplaats controleren

Voer de PowerShell-cmdlet Get-AIPScannerStatus uit om meer informatie te krijgen over de huidige scanstatus en de lijst met knooppunten in uw scannercluster.

PS C:\> Get-AIPScannerStatus
Cluster        : contoso-test
ClusterStatus  : Scanning
StartTime      : 12/22/2020 9:05:02 AM
TimeFromStart  : 00:00:00:37
NodesInfo      : {t-contoso1-T298-corp.contoso.com,t-contoso2-T298-corp.contoso.com}

Gebruik de NodesInfo variabele met de cmdlet Get-AIPScannerStatus voor meer informatie over elk knooppunt in het cluster:

PS C:\WINDOWS\system32> $x=Get-AIPScannerStatus
PS C:\WINDOWS\system32> $x.NodesInfo

In de uitvoer worden details weergegeven voor elk knooppunt in een tabel, zoals wordt weergegeven in het volgende voorbeeld:

NodeName                            Status    IsScanning    Summary
--------                            --------  ----------    -------
t-contoso1-T298-corp.contoso.com    Scanning        True    Microsoft.InformationProtection.Scanner.ScanSummaryData
t-contoso2-T298-corp.contoso.com    Scanning     Pending    Microsoft.InformationProtection.Scanner.ScanSummaryData

Als u verder wilt inzoomen op elk knooppunt, gebruikt u de NodesInfo variabele opnieuw, waarbij het gehele getal van het knooppunt begint met 0.

PS C:\Windows\system32> $x.NodesInfo[0].Summary

In de uitvoer worden de details van de scans op het geselecteerde knooppunt weergegeven, zoals in het volgende voorbeeld:

ScannerID               : t-contoso1-T298-corp.contoso.com
ScannedFiles            : 2280
FailedFiles             : 0
ScannedBytes            : 78478187
Classified              : 0
Labeled                 : 0
....

Gebruik de Verbose parameter met de cmdlet Get-AIPScannerStatus om gegevens over een huidige scan op te halen.

PS C:\> Get-AIPScannerStatus -Verbose
ScannedFiles    MBScanned    CurrentScanSummary                                         RepositoriesStatus
------------    ---------    ------------------                                         ------------------
        2280    78478187     Microsoft.InformationProtection.Scanner.ScanSummaryData    {{ Path = C:\temp, Status = Scanning }

Gebruik de RepositoriesStatus variabelen of CurrentScanSummary om verder in te zoomen voor meer informatie over de status van de opslagplaatsen.

Mogelijke statuswaarden voor opslagplaatsen zijn:

  • Overgeslagen als de opslagplaats is overgeslagen
  • In behandeling als de huidige scan nog niet is begonnen met het scannen van de opslagplaats
  • Scannen, als de huidige scan wordt uitgevoerd in de opslagplaats
  • Voltooid als de huidige scan is voltooid in de opslagplaats

Voorbeeld: de variabele RepositoriesStatus gebruiken

PS C:\Windows\system32> $x.Get-AIPScannerStatus -Verbose
PS C:\Windows\system32> $x.RepositoriesStatus
Path        Status
----        ------
C:\temp     Scanning

Voorbeeld: de variabele CurrentScanSummary gebruiken

PS C:\Windows\system32> $x.CurrentScanSummary
ScannerID               : 
ScannedFiles            : 2280
FailedFiles             : 0
ScannedBytes            : 78478187
Classified              : 0
Labeled                 : 0
....

In deze uitvoer wordt slechts één opslagplaats weergegeven. Als er meerdere opslagplaatsen zijn, wordt elke opslagplaats afzonderlijk weergegeven.

Verwijzing naar scannerfouten

De volgende tabel bevat informatie over specifieke foutberichten die door de scanner worden gegenereerd en bevat acties om het bijbehorende probleem op te lossen:

Fouttype Probleemoplossing
Verificatiefouten
Beleidsfouten
DB-/schemafouten
Andere fouten

Verificatietoken niet geaccepteerd

Foutbericht

Microsoft.InformationProtection.Exceptions.AccessDeniedException: de service heeft het verificatietoken niet geaccepteerd.

Beschrijving

De opdracht Set-AIPAuthentication is mislukt.

Oplossing

Verfy dat de juiste machtigingen correct zijn gedefinieerd in de Azure Portal.

Zie Microsoft Entra-toepassingen voor Set-AIPAuthentication maken en configureren voor meer informatie.

Verificatietoken ontbreekt

Foutberichten

  • NoAuthTokenException: clienttoepassing kan geen verificatietoken opgeven voor HTTP-aanvraag

  • Microsoft.InformationProtection.Exceptions.NoAuthTokenException: Clienttoepassing kan geen verificatietoken opgeven voor HTTP-aanvraag. Mislukt met: System.AggregateException: Er zijn een of meer fouten opgetreden. >--- Microsoft.IdentityModel.Clients.ActiveDirectory.AdalException: user_interaction_required: Er is een van twee voorwaarden aangetroffen: 1. De vlag PromptBehavior.Never is doorgegeven, maar de beperking kan niet worden gehonoreerd, omdat gebruikersinteractie is vereist. 2. Er is een fout opgetreden tijdens een stille webverificatie waardoor de http-verificatiestroom niet binnen een kort tijdsbestek kan worden voltooid

  • Kan geen token verkrijgen met geïntegreerde Windows-verificatie (geen eenmalige aanmelding)

  • Vanuit de Azure Portal op de pagina Knooppunten:

    Beleid bevat geen voorwaarde voor automatisch labelen

Beschrijving

Deze verificatiefouten treden op wanneer de scanner niet-interactief wordt uitgevoerd.

Oplossing

U moet verifiëren met behulp van een token met behulp van de cmdlet Set-AIPAuthentication .

Wanneer u de cmdlet Set-AIPAuthentication uitvoert, moet u ervoor zorgen dat u de tokenparameter gebruikt namens het serviceaccount dat wordt gebruikt om de scannerservice uit te voeren, zoals wordt weergegeven in het volgende voorbeeld:

$pscreds = Get-Credential CONTOSO\scanner
Set-AIPAuthentication -AppId "77c3c1c3-abf9-404e-8b2b-4652836c8c66" -AppSecret "OAkk+rnuYc/u+]ah2kNxVbtrDGbS47L4" -DelegatedUser scanner@contoso.com -TenantId "9c11c87a-ac8b-46a3-8d5c-f4d0b72ee29a" -OnBehalfOf $pscreds
Acquired application access token on behalf of CONTOSO\scanner.

Zie Een Microsoft Entra-token voor de scanner ophalen voor meer informatie.

Beleid ontbreekt

Foutbericht

Beleid ontbreekt

Beschrijving

De scanner kan het vertrouwelijkheidslabelbeleidsbestand niet vinden.

Oplossing

Als u wilt controleren of uw beleidsbestand bestaat zoals verwacht, controleert u de volgende locatie: %localappdata%\Microsoft\MSIP\mip\MSIP.Scanner.exe\mip\mip.policies.sqlite3.

Zie Vertrouwelijkheidslabels en hun beleid maken en configureren voor meer informatie over vertrouwelijkheidslabels en het bijbehorende labelbeleid.

Beleid bevat geen voorwaarden voor automatisch labelen

Foutbericht

Beleid ontbreekt aan labelvoorwaarden

Beschrijving

In het labelbeleid ontbreken voorwaarden voor automatisch labelen.

Oplossing

Configureer de volgende instellingen:

Instelling Stappen voor het configureren van instellingen
Instellingen voor inhoudsscantaak Ga als volgt te werk in de Azure Portal:
Instellingen voor labelbeleid Ga als volgt te werk in de Microsoft Purview-nalevingsportal:

Als de instellingen al zijn gedefinieerd zoals verwacht, ontbreekt het beleidsbestand zelf mogelijk of is het niet toegankelijk, bijvoorbeeld wanneer er een time-out is van de Microsoft Purview-nalevingsportal.

Als u het beleidsbestand wilt controleren, controleert u of het volgende bestand bestaat: %localappdata%\Microsoft\MSIP\mip\MSIP.Scanner.exe\mip\mip.policies.sqlite3

Zie Wat is de geïntegreerde labelscanner van Azure Information Protection? en Meer informatie over vertrouwelijkheidslabels voor meer informatie.

Databasefouten

Foutbericht

DB-fout

Beschrijving

De scanner kan geen verbinding maken met de database.

Oplossing

Controleer de netwerkverbinding tussen de scannercomputer en de database.

Zorg er bovendien voor dat het serviceaccount dat wordt gebruikt om scannerprocessen uit te voeren, alle machtigingen heeft die nodig zijn voor toegang tot de database.

Niet-overeenkomend of verouderd schema

Foutbericht

Een van de volgende opties:

  • SchemaMismatchException

  • In de Azure Portal op de pagina Knooppunten:

    DB-schema is niet up-to-date. Voer Update-AIPScanner opdracht uit om het DB-schema bij te werken
    Fout: DB-schema is niet up-to-date

Beschrijving

Het databaseschema is niet up-to-date.

Oplossing

Voer de cmdlet Update-AIPScanner uit om uw schema opnieuw te synchroniseren en ervoor te zorgen dat het up-to-date is met recente wijzigingen.

Onderliggende verbinding is gesloten

Foutberichten

System.Net.WebException: De onderliggende verbinding is gesloten: er is een onverwachte fout opgetreden bij een verzendactie. >--- System.IO.IOException: Verificatie is mislukt omdat de externe partij de transportstroom heeft gesloten.

[System.Net.Http.HttpRequestException: er is een fout opgetreden tijdens het verzenden van de aanvraag. >--- System.Net.WebException: De onderliggende verbinding is gesloten: er is een onverwachte fout opgetreden bij een verzendactie. >--- System.IO.IOException: Kan gegevens van de transportverbinding niet lezen: een bestaande verbinding is geforceerd gesloten door de externe host. >--- System.Net.Sockets.SocketException: Een bestaande verbinding is geforceerd gesloten door de externe host.

Beschrijving

Deze fouten geven aan dat TLS 1.2 niet is ingeschakeld.

Oplossing

Als u TLS 1.2 wilt inschakelen, raadpleegt u:

Vastgelopen scannerprocessen

Foutbericht

Er wordt geen foutbericht weergegeven, maar er is een time-out opgetreden voor de scanner.

Beschrijving

De scanner verwerkt één bestand langer dan verwacht of stopt onverwacht tijdens het scannen van een groot aantal bestanden in een opslagplaats. Het scannerproces is mogelijk vastgelopen.

Oplossing

Wijzig een van de volgende instellingen:

  • Aantal dynamische poorten. Mogelijk moet u het aantal dynamische poorten verhogen voor het besturingssysteem dat als host fungeert voor de bestanden. Serverbeveiliging voor SharePoint kan een reden zijn waarom de scanner het aantal toegestane netwerkverbindingen overschrijdt en stopt.

    Zie Instellingen die kunnen worden gewijzigd om netwerkprestaties te verbeteren voor meer informatie over het weergeven van het huidige poortbereik en het vergroten van het bereik.

  • Drempelwaarde voor lijstweergave. Voor grote SharePoint-farms moet u mogelijk de drempelwaarde voor lijstweergave verhogen. De drempelwaarde voor lijstweergave is standaard ingesteld op 5000.

    Zie Grote lijsten en bibliotheken beheren in SharePoint voor meer informatie over het verhogen van de drempelwaarde.

Als het probleem zich blijft voordoen, controleert u het gedetailleerde rapport om te bepalen of het bestand groter wordt.

Als de bestandsgrootte blijft toenemen, verwerkt de scanner nog steeds gegevens en moet u wachten totdat dit is voltooid.

Als het bestand niet langer groter wordt, gaat u als volgt te werk:

  1. Voer de volgende cmdlets uit:

    • Cmdlet Start-AIPScannerDiagnostics : om diagnostische controles uit te voeren op uw scanner en logboekbestanden te exporteren en te zippen voor fouten die worden gevonden.
    • Cmdlet Export-AIPLogs : als u een .zip versie van de logboekbestanden wilt exporteren en maken vanuit de map %localappdata%\Microsoft\MSIP\Logs .
  2. Maak een dumpbestand voor de MSIP Scanner-service. Klik in Windows Taakbeheer met de rechtermuisknop op de MSIP Scanner-service en selecteer Dumpbestand maken.

  3. Stop de scan in de Azure Portal.

  4. Start de service opnieuw op de scannercomputer.

  5. Open een ondersteuningsticket en voeg de dumpbestanden van het scannerproces toe.

Kan geen verbinding maken met externe server

Foutbericht

In het bestand MSIPScanner.iplog onder %localappdata%\Microsoft\MSIP\Logs\:

Kan geen verbinding maken met de externe server ---> System.Net.Sockets.SocketException: slechts één gebruik van elk socketadres (protocol/netwerkadres/poort) is normaal gesproken toegestaan IP:poort

Als er meerdere logboeken zijn, is het bestand MSIPScanner.iplog een .zip-bestand.

Beschrijving

De scanner heeft het aantal toegestane netwerkverbindingen overschreden.

Oplossing

Verhoog het aantal dynamische poorten voor het besturingssysteem dat als host fungeert voor de bestanden.

Zie Instellingen die kunnen worden gewijzigd om de netwerkprestaties te verbeteren voor meer informatie over het weergeven van het huidige poortbereik en het vergroten van het bereik.

Ontbrekende inhoudsscantaak of -profiel

Foutbericht

In de Azure Portal op de pagina Knooppunten:

Geen inhoudsscantaak gevonden

Beschrijving

Deze fout treedt op wanneer de inhoudsscantaak of het profiel niet kan worden gevonden.

Oplossing

Controleer de configuratie van uw scanner in de Azure Portal.

Zie De geïntegreerde labelscanner van Azure Information Protection configureren en installeren voor meer informatie.

Opmerking: Een profiel is een verouderde scannerterm die is vervangen door het scannercluster en de inhoudsscantaak in nieuwere versies van de scanner.

Geen opslagplaatsen geconfigureerd

Foutbericht

In de beheerportal op de pagina Knooppunten :

Er zijn geen opslagplaatsen geconfigureerd

Beschrijving

Mogelijk hebt u een inhoudsscantaak waarvoor geen opslagplaatsen zijn geconfigureerd.

Oplossing

Controleer de instellingen van de inhoudsscantaak en voeg ten minste één opslagplaats toe.

Zie Een inhoudsscantaak maken voor meer informatie.

Geen cluster gevonden

Foutbericht

In de beheerportal op de pagina Knooppunten :

Geen cluster gevonden

Beschrijving

Er is geen werkelijke overeenkomst gevonden voor een van de scannerclusters die u hebt gedefinieerd.

Oplossing

Controleer uw clusterconfiguratie en controleer deze op basis van uw eigen systeemgegevens op typefouten en fouten.

Zie Een scannercluster maken voor meer informatie.

Meer informatie

Aanbevolen procedures voor het implementeren en gebruiken van de AIP UL-scanner.