Problemen met de implementatie van de scanner voor gegevensbeveiliging oplossen
Opmerking
De naam van de geïntegreerde labelscanner van Azure Information Protection wordt gewijzigd Microsoft Purview Informatiebeveiliging scanner. Tegelijkertijd wordt de configuratie (momenteel in preview) verplaatst naar de Microsoft Purview-nalevingsportal. Op dit moment kunt u de scanner configureren in zowel de Azure Portal als de complianceportal. Instructies in dit artikel verwijzen naar beide beheerportals.
Als u problemen ondervindt met de Microsoft Preview Information Protection scanner, controleert u of uw implementatie in orde is met behulp van de PowerShell-cmdlet Start-AIPScannerDiagnostics om het diagnostische hulpprogramma voor scanners te starten:
Start-AIPScannerDiagnostics
Het diagnostisch hulpprogramma controleert de volgende details en maakt vervolgens een logboekbestand met de resultaten:
- Of de database up-to-date is
- Of netwerk-URL's toegankelijk zijn
- Of er een geldig verificatietoken is en of het beleid kan worden verkregen
- Of het profiel is gedefinieerd in de Azure Portal
- Of offline/online-configuratie bestaat en kan worden verkregen
- Of de geconfigureerde regels geldig zijn
Tip
- Als u het hulpprogramma niet uitvoert met behulp van het serviceaccount dat wordt gebruikt om de scannerservice uit te voeren, moet u de
-OnBehalf
parameter gebruiken. Anders treden er fouten op. - Als u de laatste 10 fouten uit het scannerlogboek wilt afdrukken, voegt u de
Verbose
parameter toe. Als u meer fouten wilt afdrukken, gebruikt u deVerboseErrorCount
om het aantal fouten te definiëren dat u wilt afdrukken.
Met de Start-AIPScannerDiagnostics
opdracht wordt geen volledige controle van vereisten uitgevoerd. Als u problemen hebt met de scanner, moet u er ook voor zorgen dat uw systeem voldoet aan de scannervereisten en dat de configuratie en installatie van uw scanner is voltooid.
Scandetails per scannerknooppunt en opslagplaats controleren
Voer de PowerShell-cmdlet Get-AIPScannerStatus uit om meer informatie te krijgen over de huidige scanstatus en de lijst met knooppunten in uw scannercluster.
PS C:\> Get-AIPScannerStatus
Cluster : contoso-test
ClusterStatus : Scanning
StartTime : 12/22/2020 9:05:02 AM
TimeFromStart : 00:00:00:37
NodesInfo : {t-contoso1-T298-corp.contoso.com,t-contoso2-T298-corp.contoso.com}
Gebruik de NodesInfo
variabele met de cmdlet Get-AIPScannerStatus voor meer informatie over elk knooppunt in het cluster:
PS C:\WINDOWS\system32> $x=Get-AIPScannerStatus
PS C:\WINDOWS\system32> $x.NodesInfo
In de uitvoer worden details weergegeven voor elk knooppunt in een tabel, zoals wordt weergegeven in het volgende voorbeeld:
NodeName Status IsScanning Summary
-------- -------- ---------- -------
t-contoso1-T298-corp.contoso.com Scanning True Microsoft.InformationProtection.Scanner.ScanSummaryData
t-contoso2-T298-corp.contoso.com Scanning Pending Microsoft.InformationProtection.Scanner.ScanSummaryData
Als u verder wilt inzoomen op elk knooppunt, gebruikt u de NodesInfo
variabele opnieuw, waarbij het gehele getal van het knooppunt begint met 0.
PS C:\Windows\system32> $x.NodesInfo[0].Summary
In de uitvoer worden de details van de scans op het geselecteerde knooppunt weergegeven, zoals in het volgende voorbeeld:
ScannerID : t-contoso1-T298-corp.contoso.com
ScannedFiles : 2280
FailedFiles : 0
ScannedBytes : 78478187
Classified : 0
Labeled : 0
....
Gebruik de Verbose
parameter met de cmdlet Get-AIPScannerStatus om gegevens over een huidige scan op te halen.
PS C:\> Get-AIPScannerStatus -Verbose
ScannedFiles MBScanned CurrentScanSummary RepositoriesStatus
------------ --------- ------------------ ------------------
2280 78478187 Microsoft.InformationProtection.Scanner.ScanSummaryData {{ Path = C:\temp, Status = Scanning }
Gebruik de RepositoriesStatus
variabelen of CurrentScanSummary
om verder in te zoomen voor meer informatie over de status van de opslagplaatsen.
Mogelijke statuswaarden voor opslagplaatsen zijn:
- Overgeslagen als de opslagplaats is overgeslagen
- In behandeling als de huidige scan nog niet is begonnen met het scannen van de opslagplaats
- Scannen, als de huidige scan wordt uitgevoerd in de opslagplaats
- Voltooid als de huidige scan is voltooid in de opslagplaats
Voorbeeld: de variabele RepositoriesStatus gebruiken
PS C:\Windows\system32> $x.Get-AIPScannerStatus -Verbose
PS C:\Windows\system32> $x.RepositoriesStatus
Path Status
---- ------
C:\temp Scanning
Voorbeeld: de variabele CurrentScanSummary gebruiken
PS C:\Windows\system32> $x.CurrentScanSummary
ScannerID :
ScannedFiles : 2280
FailedFiles : 0
ScannedBytes : 78478187
Classified : 0
Labeled : 0
....
In deze uitvoer wordt slechts één opslagplaats weergegeven. Als er meerdere opslagplaatsen zijn, wordt elke opslagplaats afzonderlijk weergegeven.
Verwijzing naar scannerfouten
De volgende tabel bevat informatie over specifieke foutberichten die door de scanner worden gegenereerd en bevat acties om het bijbehorende probleem op te lossen:
Fouttype | Probleemoplossing |
---|---|
Verificatiefouten | |
Beleidsfouten | |
DB-/schemafouten | |
Andere fouten |
Verificatietoken niet geaccepteerd
Foutbericht
Microsoft.InformationProtection.Exceptions.AccessDeniedException: de service heeft het verificatietoken niet geaccepteerd.
Beschrijving
De opdracht Set-AIPAuthentication is mislukt.
Oplossing
Verfy dat de juiste machtigingen correct zijn gedefinieerd in de Azure Portal.
Zie Microsoft Entra-toepassingen voor Set-AIPAuthentication maken en configureren voor meer informatie.
Verificatietoken ontbreekt
Foutberichten
-
NoAuthTokenException: clienttoepassing kan geen verificatietoken opgeven voor HTTP-aanvraag
-
Microsoft.InformationProtection.Exceptions.NoAuthTokenException: Clienttoepassing kan geen verificatietoken opgeven voor HTTP-aanvraag. Mislukt met: System.AggregateException: Er zijn een of meer fouten opgetreden. >--- Microsoft.IdentityModel.Clients.ActiveDirectory.AdalException: user_interaction_required: Er is een van twee voorwaarden aangetroffen: 1. De vlag PromptBehavior.Never is doorgegeven, maar de beperking kan niet worden gehonoreerd, omdat gebruikersinteractie is vereist. 2. Er is een fout opgetreden tijdens een stille webverificatie waardoor de http-verificatiestroom niet binnen een kort tijdsbestek kan worden voltooid
-
Kan geen token verkrijgen met geïntegreerde Windows-verificatie (geen eenmalige aanmelding)
Vanuit de Azure Portal op de pagina Knooppunten:
Beleid bevat geen voorwaarde voor automatisch labelen
Beschrijving
Deze verificatiefouten treden op wanneer de scanner niet-interactief wordt uitgevoerd.
Oplossing
U moet verifiëren met behulp van een token met behulp van de cmdlet Set-AIPAuthentication .
Wanneer u de cmdlet Set-AIPAuthentication uitvoert, moet u ervoor zorgen dat u de tokenparameter gebruikt namens het serviceaccount dat wordt gebruikt om de scannerservice uit te voeren, zoals wordt weergegeven in het volgende voorbeeld:
$pscreds = Get-Credential CONTOSO\scanner
Set-AIPAuthentication -AppId "77c3c1c3-abf9-404e-8b2b-4652836c8c66" -AppSecret "OAkk+rnuYc/u+]ah2kNxVbtrDGbS47L4" -DelegatedUser scanner@contoso.com -TenantId "9c11c87a-ac8b-46a3-8d5c-f4d0b72ee29a" -OnBehalfOf $pscreds
Acquired application access token on behalf of CONTOSO\scanner.
Zie Een Microsoft Entra-token voor de scanner ophalen voor meer informatie.
Beleid ontbreekt
Foutbericht
Beleid ontbreekt
Beschrijving
De scanner kan het vertrouwelijkheidslabelbeleidsbestand niet vinden.
Oplossing
Als u wilt controleren of uw beleidsbestand bestaat zoals verwacht, controleert u de volgende locatie: %localappdata%\Microsoft\MSIP\mip\MSIP.Scanner.exe\mip\mip.policies.sqlite3.
Zie Vertrouwelijkheidslabels en hun beleid maken en configureren voor meer informatie over vertrouwelijkheidslabels en het bijbehorende labelbeleid.
Beleid bevat geen voorwaarden voor automatisch labelen
Foutbericht
Beleid ontbreekt aan labelvoorwaarden
Beschrijving
In het labelbeleid ontbreken voorwaarden voor automatisch labelen.
Oplossing
Configureer de volgende instellingen:
Instelling | Stappen voor het configureren van instellingen |
---|---|
Instellingen voor inhoudsscantaak | Ga als volgt te werk in de Azure Portal: |
Instellingen voor labelbeleid | Ga als volgt te werk in de Microsoft Purview-nalevingsportal: |
Als de instellingen al zijn gedefinieerd zoals verwacht, ontbreekt het beleidsbestand zelf mogelijk of is het niet toegankelijk, bijvoorbeeld wanneer er een time-out is van de Microsoft Purview-nalevingsportal.
Als u het beleidsbestand wilt controleren, controleert u of het volgende bestand bestaat: %localappdata%\Microsoft\MSIP\mip\MSIP.Scanner.exe\mip\mip.policies.sqlite3
Zie Wat is de geïntegreerde labelscanner van Azure Information Protection? en Meer informatie over vertrouwelijkheidslabels voor meer informatie.
Databasefouten
Foutbericht
DB-fout
Beschrijving
De scanner kan geen verbinding maken met de database.
Oplossing
Controleer de netwerkverbinding tussen de scannercomputer en de database.
Zorg er bovendien voor dat het serviceaccount dat wordt gebruikt om scannerprocessen uit te voeren, alle machtigingen heeft die nodig zijn voor toegang tot de database.
Niet-overeenkomend of verouderd schema
Foutbericht
Een van de volgende opties:
-
SchemaMismatchException
In de Azure Portal op de pagina Knooppunten:
DB-schema is niet up-to-date. Voer Update-AIPScanner opdracht uit om het DB-schema bij te werken
Fout: DB-schema is niet up-to-date
Beschrijving
Het databaseschema is niet up-to-date.
Oplossing
Voer de cmdlet Update-AIPScanner uit om uw schema opnieuw te synchroniseren en ervoor te zorgen dat het up-to-date is met recente wijzigingen.
Onderliggende verbinding is gesloten
Foutberichten
System.Net.WebException: De onderliggende verbinding is gesloten: er is een onverwachte fout opgetreden bij een verzendactie. >--- System.IO.IOException: Verificatie is mislukt omdat de externe partij de transportstroom heeft gesloten.
[System.Net.Http.HttpRequestException: er is een fout opgetreden tijdens het verzenden van de aanvraag. >--- System.Net.WebException: De onderliggende verbinding is gesloten: er is een onverwachte fout opgetreden bij een verzendactie. >--- System.IO.IOException: Kan gegevens van de transportverbinding niet lezen: een bestaande verbinding is geforceerd gesloten door de externe host. >--- System.Net.Sockets.SocketException: Een bestaande verbinding is geforceerd gesloten door de externe host.
Beschrijving
Deze fouten geven aan dat TLS 1.2 niet is ingeschakeld.
Oplossing
Als u TLS 1.2 wilt inschakelen, raadpleegt u:
- Firewalls en vereisten voor netwerkinfrastructuur
- TLS 1.2 inschakelen
- Schakel ondersteuning voor TLS 1.1 en TLS 1.2 in Office Online Server in
Vastgelopen scannerprocessen
Foutbericht
Er wordt geen foutbericht weergegeven, maar er is een time-out opgetreden voor de scanner.
Beschrijving
De scanner verwerkt één bestand langer dan verwacht of stopt onverwacht tijdens het scannen van een groot aantal bestanden in een opslagplaats. Het scannerproces is mogelijk vastgelopen.
Oplossing
Wijzig een van de volgende instellingen:
Aantal dynamische poorten. Mogelijk moet u het aantal dynamische poorten verhogen voor het besturingssysteem dat als host fungeert voor de bestanden. Serverbeveiliging voor SharePoint kan een reden zijn waarom de scanner het aantal toegestane netwerkverbindingen overschrijdt en stopt.
Zie Instellingen die kunnen worden gewijzigd om netwerkprestaties te verbeteren voor meer informatie over het weergeven van het huidige poortbereik en het vergroten van het bereik.
Drempelwaarde voor lijstweergave. Voor grote SharePoint-farms moet u mogelijk de drempelwaarde voor lijstweergave verhogen. De drempelwaarde voor lijstweergave is standaard ingesteld op 5000.
Zie Grote lijsten en bibliotheken beheren in SharePoint voor meer informatie over het verhogen van de drempelwaarde.
Als het probleem zich blijft voordoen, controleert u het gedetailleerde rapport om te bepalen of het bestand groter wordt.
Als de bestandsgrootte blijft toenemen, verwerkt de scanner nog steeds gegevens en moet u wachten totdat dit is voltooid.
Als het bestand niet langer groter wordt, gaat u als volgt te werk:
Voer de volgende cmdlets uit:
- Cmdlet Start-AIPScannerDiagnostics : om diagnostische controles uit te voeren op uw scanner en logboekbestanden te exporteren en te zippen voor fouten die worden gevonden.
- Cmdlet Export-AIPLogs : als u een .zip versie van de logboekbestanden wilt exporteren en maken vanuit de map %localappdata%\Microsoft\MSIP\Logs .
Maak een dumpbestand voor de MSIP Scanner-service. Klik in Windows Taakbeheer met de rechtermuisknop op de MSIP Scanner-service en selecteer Dumpbestand maken.
Stop de scan in de Azure Portal.
Start de service opnieuw op de scannercomputer.
Open een ondersteuningsticket en voeg de dumpbestanden van het scannerproces toe.
Kan geen verbinding maken met externe server
Foutbericht
In het bestand MSIPScanner.iplog onder %localappdata%\Microsoft\MSIP\Logs\:
Kan geen verbinding maken met de externe server ---> System.Net.Sockets.SocketException: slechts één gebruik van elk socketadres (protocol/netwerkadres/poort) is normaal gesproken toegestaan IP:poort
Als er meerdere logboeken zijn, is het bestand MSIPScanner.iplog een .zip-bestand.
Beschrijving
De scanner heeft het aantal toegestane netwerkverbindingen overschreden.
Oplossing
Verhoog het aantal dynamische poorten voor het besturingssysteem dat als host fungeert voor de bestanden.
Zie Instellingen die kunnen worden gewijzigd om de netwerkprestaties te verbeteren voor meer informatie over het weergeven van het huidige poortbereik en het vergroten van het bereik.
Ontbrekende inhoudsscantaak of -profiel
Foutbericht
In de Azure Portal op de pagina Knooppunten:
Geen inhoudsscantaak gevonden
Beschrijving
Deze fout treedt op wanneer de inhoudsscantaak of het profiel niet kan worden gevonden.
Oplossing
Controleer de configuratie van uw scanner in de Azure Portal.
Zie De geïntegreerde labelscanner van Azure Information Protection configureren en installeren voor meer informatie.
Opmerking: Een profiel is een verouderde scannerterm die is vervangen door het scannercluster en de inhoudsscantaak in nieuwere versies van de scanner.
Geen opslagplaatsen geconfigureerd
Foutbericht
In de beheerportal op de pagina Knooppunten :
Er zijn geen opslagplaatsen geconfigureerd
Beschrijving
Mogelijk hebt u een inhoudsscantaak waarvoor geen opslagplaatsen zijn geconfigureerd.
Oplossing
Controleer de instellingen van de inhoudsscantaak en voeg ten minste één opslagplaats toe.
Zie Een inhoudsscantaak maken voor meer informatie.
Geen cluster gevonden
Foutbericht
In de beheerportal op de pagina Knooppunten :
Geen cluster gevonden
Beschrijving
Er is geen werkelijke overeenkomst gevonden voor een van de scannerclusters die u hebt gedefinieerd.
Oplossing
Controleer uw clusterconfiguratie en controleer deze op basis van uw eigen systeemgegevens op typefouten en fouten.
Zie Een scannercluster maken voor meer informatie.
Meer informatie
Aanbevolen procedures voor het implementeren en gebruiken van de AIP UL-scanner.