Rozwiązywanie problemów z wdrażaniem skanera ochrony informacji

Uwaga 16.

Ujednolicony skaner etykietowania usługi Azure Information Protection jest zmieniany na skaner usługi Microsoft Purview Information Protection. W tym samym czasie konfiguracja (obecnie w wersji zapoznawczej) jest przenoszona do portal zgodności Microsoft Purview. Obecnie skaner można skonfigurować zarówno w witrynie Azure Portal, jak i w portalu zgodności. Instrukcje w tym artykule dotyczą obu portali administracyjnych.

Jeśli masz problemy ze skanerem usługi Microsoft Purview Information Protection, sprawdź, czy wdrożenie jest w dobrej kondycji, używając polecenia cmdlet Start-ScannerDiagnostics programu PowerShell, aby uruchomić narzędzie diagnostyczne skanera:

Start-ScannerDiagnostics

Narzędzie diagnostyczne sprawdza następujące szczegóły, a następnie tworzy plik dziennika z wynikami:

• Czy baza danych jest aktualna
• Czy adresy URL sieci są dostępne
• Czy istnieje prawidłowy token uwierzytelniania, a zasady można uzyskać
• Czy profil jest zdefiniowany w witrynie Azure Portal
• Czy konfiguracja offline/online istnieje i czy można je uzyskać
• Czy skonfigurowane reguły są prawidłowe

Napiwek

• Jeśli nie uruchamiasz narzędzia przy użyciu konta usługi używanego do uruchamiania usługi skanera, musisz użyć parametru -OnBehalf . W przeciwnym razie wystąpią błędy.
• Aby wydrukować ostatnie 10 błędów z dziennika skanera Verbose , dodaj parametr . Jeśli chcesz wydrukować więcej błędów, użyj elementu VerboseErrorCount , aby zdefiniować liczbę błędów, które chcesz wydrukować.

Polecenie Start-ScannerDiagnostics nie uruchamia pełnego sprawdzania wymagań wstępnych. Jeśli masz problemy ze skanerem, musisz również upewnić się, że system spełnia wymagania dotyczące skanera, a konfiguracja i instalacja skanera zostały ukończone.

Weryfikowanie szczegółów skanowania dla węzła i repozytorium skanera

Uruchom polecenie cmdlet Get-ScanStatus programu PowerShell, aby uzyskać szczegółowe informacje o bieżącym stanie skanowania i liście węzłów w klastrze skanera.

PS C:\> Get-ScanStatus

Cluster        : contoso-test
ClusterStatus  : Scanning
StartTime      : 12/22/2020 9:05:02 AM
TimeFromStart  : 00:00:00:37
NodesInfo      : {t-contoso1-T298-corp.contoso.com,t-contoso2-T298-corp.contoso.com}

Użyj zmiennej NodesInfo z poleceniem cmdlet Get-ScanStatus , aby uzyskać szczegółowe informacje o każdym węźle w klastrze:

PS C:\WINDOWS\system32> $x=Get-ScanStatus
PS C:\WINDOWS\system32> $x.NodesInfo

Dane wyjściowe zawierają szczegóły dla każdego węzła w tabeli, jak pokazano w poniższym przykładzie:

NodeName                            Status    IsScanning    Summary
--------                            --------  ----------    -------
t-contoso1-T298-corp.contoso.com    Scanning        True    Microsoft.InformationProtection.Scanner.ScanSummaryData
t-contoso2-T298-corp.contoso.com    Scanning     Pending    Microsoft.InformationProtection.Scanner.ScanSummaryData

Aby przejść do szczegółów poszczególnych węzłów, ponownie użyj zmiennej NodesInfo z liczbą całkowitą węzła rozpoczynającą się od 0.

PS C:\Windows\system32> $x.NodesInfo[0].Summary

Dane wyjściowe zawierają szczegółowe informacje o skanowaniach w wybranym węźle, jak pokazano w poniższym przykładzie:

ScannerID               : t-contoso1-T298-corp.contoso.com
ScannedFiles            : 2280
FailedFiles             : 0
ScannedBytes            : 78478187
Classified              : 0
Labeled                 : 0
....

Użyj parametru Verbosez poleceniem cmdlet Get-ScanStatus , aby pobrać dane dotyczące bieżącego skanowania.

PS C:\> Get-ScanStatus -Verbose

ScannedFiles    MBScanned    CurrentScanSummary                                         RepositoriesStatus
------------    ---------    ------------------                                         ------------------
        2280    78478187     Microsoft.InformationProtection.Scanner.ScanSummaryData    {{ Path = C:\temp, Status = Scanning }

RepositoriesStatus Użyj zmiennych lubCurrentScanSummary, aby przejść do szczegółów, aby uzyskać więcej informacji na temat stanu repozytoriów.

Możliwe wartości stanu repozytorium obejmują:

• Pominięto, jeśli repozytorium zostało pominięte
• Oczekujące, jeśli bieżące skanowanie nie zostało jeszcze rozpoczęte skanowanie repozytorium
• Skanowanie, jeśli bieżące skanowanie jest uruchomione w repozytorium
• Zakończono, jeśli bieżące skanowanie zostało ukończone w repozytorium

Przykład: użyj zmiennej RepozytoriaStatus

PS C:\Windows\system32> $x.Get-AIPScannerStatus -Verbose
PS C:\Windows\system32> $x.RepositoriesStatus

Path        Status
----        ------
C:\temp     Scanning

Przykład: użyj zmiennej CurrentScanSummary

PS C:\Windows\system32> $x.CurrentScanSummary

ScannerID               : 
ScannedFiles            : 2280
FailedFiles             : 0
ScannedBytes            : 78478187
Classified              : 0
Labeled                 : 0
....

Te dane wyjściowe zawierają tylko jedno repozytorium. Jeśli istnieje wiele repozytoriów, każda z nich zostanie wyświetlona oddzielnie.

Dokumentacja błędu skanera

Poniższa tabela zawiera informacje o konkretnych komunikatach o błędach generowanych przez skaner i udostępnia akcje umożliwiające rozwiązanie skojarzonego problemu:

Typ błędu	Rozwiązywanie problemów
Błędy uwierzytelniania	Token uwierzytelniania nie został zaakceptowany Brak tokenu uwierzytelniania
Błędy zasad	Brak zasad Zasady nie zawierają żadnego warunku automatycznego etykietowania
Błędy bazy danych/schematu	Błędy bazy danych Niezgodność lub nieaktualny schemat
Inne błędy	Połączenie bazowe zostało zamknięte Zablokowane procesy skanera Nie można nawiązać połączenia z serwerem zdalnym Brak zadania lub profilu skanowania zawartości Brak skonfigurowanych repozytoriów Nie znaleziono klastra

Nie zaakceptowano tokenu uwierzytelniania

Komunikat o błędzie

Microsoft.InformationProtection.Exceptions.AccessDeniedException: usługa nie zaakceptowała tokenu uwierzytelniania.

Opis

Polecenie Set-Authentication nie powiodło się.

Rozwiązanie

Verfy, że odpowiednie uprawnienia są poprawnie zdefiniowane w witrynie Azure Portal.

Aby uzyskać więcej informacji, zobacz Create and configure Microsoft Entra applications for Set-Authentication (Tworzenie i konfigurowanie aplikacji firmy Microsoft Entra na potrzeby ustawiania uwierzytelniania).

Brak tokenu uwierzytelniania

Komunikaty o błędach

• NoAuthTokenException: Aplikacja kliencka nie mogła podać tokenu uwierzytelniania dla żądania HTTP

• Microsoft.InformationProtection.Exceptions.NoAuthTokenException: Aplikacja kliencka nie mogła podać tokenu uwierzytelniania dla żądania HTTP. Wystąpił błąd: System.AggregateException: Wystąpił co najmniej jeden błąd. >--- Microsoft.IdentityModel.Clients.ActiveDirectory.AdalException: user_interaction_required: Napotkano jeden z dwóch warunków: 1. Przekazano flagę PromptBehavior.Never, ale ograniczenie nie mogło zostać uznane, ponieważ wymagana była interakcja użytkownika. 2. Wystąpił błąd podczas dyskretnego uwierzytelniania internetowego, który uniemożliwił ukończenie przepływu uwierzytelniania http w wystarczająco krótkim przedziale czasu

• Nie można uzyskać tokenu przy użyciu zintegrowanego uwierzytelniania systemu Windows (bez logowania jednokrotnego)

• W witrynie Azure Portal na stronie Węzły :

  Zasady nie zawierają żadnego warunku automatycznego etykietowania

Opis

Te błędy uwierzytelniania występują, gdy skaner działa nieinterakcyjne.

Rozwiązanie

Musisz uwierzytelnić się przy użyciu tokenu przy użyciu polecenia cmdlet Set-Authentication .

Po uruchomieniu polecenia cmdlet Set-Authentication upewnij się, że używasz parametru tokenu w imieniu konta usługi używanego do uruchamiania usługi skanera, jak pokazano w poniższym przykładzie:

$pscreds = Get-Credential CONTOSO\scanner
Set-Authentication -AppId "77c3c1c3-abf9-404e-8b2b-4652836c8c66" -AppSecret "OAkk+rnuYc/u+]ah2kNxVbtrDGbS47L4" -DelegatedUser scanner@contoso.com -TenantId "9c11c87a-ac8b-46a3-8d5c-f4d0b72ee29a" -OnBehalfOf $pscreds
Acquired application access token on behalf of CONTOSO\scanner.

Aby uzyskać więcej informacji, zobacz Uzyskiwanie tokenu entra firmy Microsoft dla skanera.

Brak zasad

Komunikat o błędzie

Brak zasad

Opis

Skaner nie może odnaleźć pliku zasad etykiety poufności.

Rozwiązanie

Aby sprawdzić, czy plik zasad istnieje zgodnie z oczekiwaniami, sprawdź następującą lokalizację: %localappdata%\Microsoft\MSIP\mip\MSIP. Scanner.exe\mip\mip.policies.sqlite3.

Aby uzyskać więcej informacji na temat etykiet poufności i zasad etykiet, zobacz Tworzenie i konfigurowanie etykiet poufności i ich zasad.

Zasady nie obejmują warunków automatycznego etykietowania

Komunikat o błędzie

Brak warunków etykietowania zasad

Opis

W zasadach etykietowania brakuje warunków automatycznego etykietowania.

Rozwiązanie

Skonfiguruj wymienione poniżej ustawienia:

Ustawienie	Kroki konfigurowania ustawień
Ustawienia zadania skanowania zawartości	W witrynie Azure Portal wykonaj następujące czynności: Ustaw typy informacji, które mają zostać odnalezione, na Wartość Wszystkie Definiowanie etykiety domyślnej do zastosowania podczas skanowania
Ustawienia zasad etykietowania	W portal zgodności Microsoft Purview wykonaj następujące czynności: Definiowanie domyślnej etykiety poufności Konfigurowanie automatycznego/zalecanego etykietowania

Jeśli ustawienia są już zdefiniowane zgodnie z oczekiwaniami, plik zasad może być niedostępny lub niedostępny, na przykład w przypadku przekroczenia limitu czasu z portal zgodności Microsoft Purview.

Aby sprawdzić plik zasad, sprawdź, czy istnieje następujący plik: %localappdata%\Microsoft\MSIP\mip\MSIP. Scanner.exe\mip\mip.policies.sqlite3

Aby uzyskać więcej informacji, zobacz Co to jest ujednolicony skaner etykietowania usługi Azure Information Protection? i Dowiedz się więcej o etykietach poufności.

Błędy bazy danych

Komunikat o błędzie

Błąd bazy danych

Opis

Skaner nie może nawiązać połączenia z bazą danych.

Rozwiązanie

Sprawdź łączność sieciową między komputerem skanera a bazą danych.

Ponadto upewnij się, że konto usługi używane do uruchamiania procesów skanera ma wszystkie uprawnienia wymagane do uzyskania dostępu do bazy danych.

Niezgodność lub nieaktualny schemat

Komunikat o błędzie

Jedna z następujących:

• SchemaMismatchException

• W witrynie Azure Portal na stronie Węzły :

  Schemat bazy danych nie jest aktualny. Uruchom polecenie Update-ScannerDatabase, aby zaktualizować schemat bazy danych
  Błąd: schemat bazy danych nie jest aktualny

Opis

Schemat bazy danych nie jest aktualny.

Rozwiązanie

Uruchom polecenie cmdlet Update-ScannerDatabase, aby ponownie zsynchronizować schemat i upewnić się, że jest on aktualny z najnowszymi zmianami.

Połączenie bazowe zostało zamknięte

Komunikaty o błędach

System.Net.WebException: Połączenie bazowe zostało zamknięte: Wystąpił nieoczekiwany błąd podczas wysyłania. >--- System.IO.IOException: Uwierzytelnianie nie powiodło się, ponieważ strona zdalna zamknęła strumień transportu.

[System.Net.Http.HttpRequestException: Wystąpił błąd podczas wysyłania żądania. >--- System.Net.WebException: Połączenie bazowe zostało zamknięte: Wystąpił nieoczekiwany błąd podczas wysyłania. >--- System.IO.IOException: Nie można odczytać danych z połączenia transportowego: istniejące połączenie zostało wymuszone przez hosta zdalnego. >--- System.Net.Sockets.SocketException: Istniejące połączenie zostało wymuszone przez hosta zdalnego.

Opis

Te błędy wskazują, że protokół TLS 1.2 nie jest włączony.

Rozwiązanie

Aby włączyć protokół TLS 1.2, zobacz:

• Zapory i wymagania dotyczące infrastruktury sieciowej
• Jak uruchomić protokół TLS 1.2
• Włączanie obsługi protokołu TLS 1.1 i TLS 1.2 w witrynie Office Online Server

Zablokowane procesy skanera

Komunikat o błędzie

Nie jest wyświetlany komunikat o błędzie, ale upłynął limit czasu skanera.

Opis

Skaner przetwarza pojedynczy plik przez dłuższy czas niż oczekiwano lub zatrzymuje się nieoczekiwanie podczas skanowania dużej liczby plików w repozytorium. Proces skanera może zostać zablokowany.

Rozwiązanie

Zmodyfikuj jedno z następujących ustawień:

• Liczba portów dynamicznych. Może być konieczne zwiększenie liczby portów dynamicznych dla systemu operacyjnego hostujących pliki. Wzmocnienie zabezpieczeń serwera dla programu SharePoint może być jednym z powodów, dla których skaner przekracza liczbę dozwolonych połączeń sieciowych i zatrzymuje się.

  Aby uzyskać informacje na temat wyświetlania bieżącego zakresu portów i zwiększania zakresu, zobacz Ustawienia, które można zmodyfikować w celu zwiększenia wydajności sieci.

• Próg widoku listy. W przypadku dużych farm programu SharePoint może być konieczne zwiększenie progu widoku listy. Domyślnie próg widoku listy jest ustawiony na 5000.

  Aby uzyskać informacje na temat zwiększania progu, zobacz Zarządzanie dużymi listami i bibliotekami w programie SharePoint.

Jeśli problem nadal występuje, sprawdź szczegółowy raport, aby ustalić, czy plik zwiększa rozmiar.

Jeśli rozmiar pliku będzie nadal się zwiększać, skaner nadal przetwarza dane i musisz poczekać na jego zakończenie.

Jeśli plik nie zwiększa już rozmiaru, wykonaj następujące czynności:

1. Uruchom następujące polecenia cmdlet:

   • Polecenie cmdlet Start-ScannerDiagnostics : aby uruchomić testy diagnostyczne skanera, a także wyeksportować i spakować pliki dziennika pod kątem błędów znalezionych.
   • Polecenie cmdlet Export-DebugLogs : aby wyeksportować i utworzyć .zip wersję plików dziennika z katalogu %localappdata%\Microsoft\MSIP\Logs .

2. Utwórz plik zrzutu dla usługi skanera MSIP. W Menedżerze zadań systemu Windows kliknij prawym przyciskiem myszy usługę skanera MSIP, a następnie wybierz polecenie Utwórz plik zrzutu.

3. W witrynie Azure Portal zatrzymaj skanowanie.

4. Na maszynie skanera uruchom ponownie usługę.

5. Otwórz bilet pomocy technicznej i dołącz pliki zrzutu z procesu skanera.

Nie można nawiązać połączenia z serwerem zdalnym

Komunikat o błędzie

W pliku MSIPScanner.iplog znajdującym się w folderze %localappdata%\Microsoft\MSIP\Logs\:

Nie można nawiązać połączenia z serwerem zdalnym ---> System.Net.Sockets.SocketException: Tylko jedno użycie każdego adresu gniazda (protokół/adres sieciowy/port) jest zwykle dozwolone ip:port

Jeśli istnieje wiele dzienników, plik MSIPScanner.iplog będzie plikiem .zip.

Opis

Skaner przekroczył liczbę dozwolonych połączeń sieciowych.

Rozwiązanie

Zwiększ liczbę portów dynamicznych dla systemu operacyjnego hostowania plików.

Aby uzyskać informacje na temat wyświetlania bieżącego zakresu portów i zwiększania zakresu, zobacz Ustawienia, które można zmodyfikować w celu zwiększenia wydajności sieci.

Brak profilu lub zadania skanowania zawartości

Komunikat o błędzie

W witrynie Azure Portal na stronie Węzły :

Nie znaleziono zadania skanowania zawartości

Opis

Ten błąd występuje, gdy nie można odnaleźć zadania lub profilu skanowania zawartości.

Rozwiązanie

Sprawdź konfigurację skanera w witrynie Azure Portal.

Aby uzyskać więcej informacji, zobacz Konfigurowanie i instalowanie ujednoliconego skanera etykietowania usługi Azure Information Protection.

Uwaga:Profil to starszy termin skanera, który został zastąpiony przez klaster skanera i zadanie skanowania zawartości w nowszych wersjach skanera.

Nie skonfigurowano repozytoriów

Komunikat o błędzie

W portalu administracyjnym na stronie Węzły :

Nie skonfigurowano żadnych repozytoriów

Opis

Być może masz zadanie skanowania zawartości bez skonfigurowanych repozytoriów.

Rozwiązanie

Sprawdź ustawienia zadania skanowania zawartości i dodaj co najmniej jedno repozytorium.

Aby uzyskać więcej informacji, zobacz Tworzenie zadania skanowania zawartości.

Nie znaleziono klastra

Komunikat o błędzie

W portalu administracyjnym na stronie Węzły :

Nie znaleziono klastra

Opis

Nie znaleziono rzeczywistego dopasowania dla jednego ze zdefiniowanych klastrów skanera.

Rozwiązanie

Zweryfikuj konfigurację klastra i sprawdź ją pod kątem własnych szczegółów systemu pod kątem literówek i błędów.

Aby uzyskać więcej informacji, zobacz Tworzenie klastra skanera.

Więcej informacji

Najlepsze rozwiązania dotyczące wdrażania i używania skanera AIP UL.