Устранение неполадок при развертывании локального сканера унифицированных меток

Используйте содержимое этой статьи, чтобы помочь вам устранить неполадки при развертывании локального сканера.

Устранение неполадок с помощью средства диагностики сканера

Если у вас возникли проблемы со средством проверки информации Azure, проверьте работоспособность развертывания с помощью команды PowerShell Start-AIPScannerDiagnostics :

Start-AIPScannerDiagnostics

Средство диагностики проверяет следующие сведения, а затем экспортирует файл журнала с результатами:

  • Является ли база данных актуальной
  • Доступны ли URL-адреса сети
  • Существует ли действительный маркер проверки подлинности и можно ли получить политику
  • Определяется ли профиль в портал Azure
  • Существует ли автономная или оперативная конфигурация и может ли быть получена
  • Допустимы ли настроенные правила

Совет

  • Если вы выполняете команду под пользователем, который не является пользователем средства проверки, обязательно добавьте параметр -OnBehalf .
  • Чтобы распечатать последние 10 ошибок из журнала сканера, добавьте параметр Verbose . Если вы хотите распечатать дополнительные ошибки, используйте verboseErrorCount , чтобы определить количество ошибок, которые требуется распечатать.

Примечание

Команда Start-AIPScannerDiagnostics не выполняет полную проверку необходимых компонентов. Если у вас возникли проблемы со сканером, убедитесь, что система соответствует требованиям сканера и что конфигурация и установка сканера завершены.

Устранение неполадок с истечением времени ожидания сканирования

Если сканер неожиданно останавливается в середине и не завершает сканирование большого количества файлов в репозитории, может потребоваться изменить один из следующих параметров:

  • Количество динамических портов. Возможно, потребуется увеличить количество динамических портов для операционной системы, в котором размещаются файлы. Одной из причин, по которой средство проверки превышает число разрешенных сетевых подключений и в результате останавливается, может быть усиление защиты сервера для SharePoint.

    Дополнительные сведения о том, как просмотреть и расширить текущий диапазон портов, см. в описании параметров, которые можно изменить для повышения производительности сети.

  • Пороговое значение представления списка. Для крупных ферм SharePoint может потребоваться увеличить пороговое значение представления списка. По умолчанию пороговое значение представления списка равно 5000.

    Дополнительные сведения см. в статье "Управление большими списками и библиотеками" в SharePoint.

Проверка сведений о сканировании на узел сканера и репозиторий

Используйте Get-AIPScannerStatus вместе с переменными, чтобы получить сведения о состоянии сканирования на каждом узле в кластере сканера.

Используйте один или несколько из следующих методов:

Используйте переменную NodesInfo для получения сведений о состоянии сканирования на каждом узле.

Например, выполните следующую команду:

PS C:\> Get-AIPScannerStatus

Cluster        : contoso-test
ClusterStatus  : Scanning
StartTime      : 12/22/2020 9:05:02 AM
TimeFromStart  : 00:00:00:37
NodesInfo      : {t-contoso1-T298-corp.contoso.com,t-contoso2-T298-corp.contoso.com}

В выходных данных отображаются сведения о текущем состоянии сканирования, а также список узлов в кластере.

Используйте переменную NodesInfo для отображения дополнительных сведений о каждом узле в кластере:

PS C:\WINDOWS\system32> $x=Get-AIPScannerStatus
PS C:\WINDOWS\system32> $x.NodesInfo

В выходных данных отображаются сведения о каждом узле в таблице. Пример:

NodeName                            Status    IsScanning    Summary
--------                            --------  ----------    -------
t-contoso1-T298-corp.contoso.com    Scanning        True    Microsoft.InformationProtection.Scanner.ScanSummaryData
t-contoso2-T298-corp.contoso.com    Scanning     Pending    Microsoft.InformationProtection.Scanner.ScanSummaryData

Чтобы выполнить детализацию по каждому узлу, снова используйте переменную NodesInfo с целым числом узла, начиная с 0. Пример:

PS C:\Windows\system32> $x.NodesInfo[0].Summary

В выходных данных отображается длинный список сведений о сканировании на выбранном узле. Пример:

ScannerID               : t-contoso1-T298-corp.contoso.com
ScannedFiles            : 2280
FailedFiles             : 0
ScannedBytes            : 78478187
Classified              : 0
Labeled                 : 0
....

Использование параметра Verbose для получения данных для текущей проверки

PS C:\> Get-AIPScannerStatus -Verbose

ScannedFiles    MBScanned    CurrentScanSummary                                         RepositoriesStatus
------------    ---------    ------------------                                         ------------------
        2280    78478187     Microsoft.InformationProtection.Scanner.ScanSummaryData    {​​​​​​{​​​​​​ Path = C:\temp, Status = Scanning }​​​​​​

Дополнительные сведения о репозиториях можно найти в репозиториях с помощью переменных RepositoriesStatus или CurrentScanSummary .

Возможные состояния репозитория:

  • Пропущено, если репозиторий пропущен
  • Ожидание, если текущая проверка еще не начала сканирование репозитория
  • Проверка, если текущая проверка выполняется в репозитории
  • Завершено, если текущая проверка завершена в репозитории

РепозиторииStatus

PS C:\Windows\system32> $x.Get-AIPScannerStatus -Verbose
PS C:\Windows\system32> $x.RepositoriesStatus

Path        Status
----        ------
C:\temp     Scanning

CurrentScanSummary

PS C:\Windows\system32> $x.CurrentScanSummary


ScannerID               : 
ScannedFiles            : 2280
FailedFiles             : 0
ScannedBytes            : 78478187
Classified              : 0
Labeled                 : 0
....

В выходных данных отображается только один репозиторий. В случаях с несколькими репозиториями каждый из них будет указан отдельно.

Справочник по ошибкам сканера

Используйте следующие разделы, чтобы понять конкретные сообщения об ошибках, созданные сканером, и устранить неполадки или действия решения, чтобы устранить проблему:

Тип ошибки Устранение неполадок
Ошибки проверки подлинности - Маркер проверки подлинности не принят
- Отсутствует маркер проверки подлинности
Ошибки политик - Отсутствует политика
- Политика не включает никаких условий автоматического добавления меток
Ошибки базы данных и схемы - Ошибки базы данных
- Несовпадение или устаревшая схема
Другие ошибки - Базовое подключение было закрыто
- Зависшие процессы сканера
- Не удается подключиться к удаленному серверу
- Ошибка при отправке запроса
- Отсутствует задание или профиль сканирования содержимого
- Репозитории не настроены
- Кластер не найден
- Ошибки диагностики сканера

Токен проверки подлинности не принят

Сообщение об ошибке

Microsoft.InformationProtection.Exceptions.AccessDeniedException: The service didn't accept the auth token.

Решение

Если не удалось выполнить команду Set-AIPAuthentication, убедитесь, что разрешения правильно определены в портал Azure.

Дополнительные сведения см. в статье "Создание и настройка Azure AD приложений для Set-AIPAuthentication".

Токен проверки подлинности отсутствует

Сообщение об ошибке

Это может быть:

  • NoAuthTokenException: Client application failed to provide authentication token for HTTP request

  • Microsoft.InformationProtection.Exceptions.NoAuthTokenException: Client application failed to provide authentication token for HTTP request. Failed with: System.AggregateException: One or more errors occurred. ---> Microsoft.IdentityModel.Clients.ActiveDirectory.AdalException: user_interaction_required: One of two conditions was encountered: 1. The PromptBehavior.Never flag was passed, but the constraint could not be honored, because user interaction was required. 2. An error occurred during a silent web authentication that prevented the http authentication flow from completing in a short enough time frame

  • Failed to acquire a token using windows integrated authentication (No SSO)

  • На странице "Узлы" на портал Azure выполните следующие действия.Policy does not include any automatic labeling condition

Решение

Чтобы средство проверки выполнялось неинтерактивно, необходимо пройти проверку подлинности с помощью маркера.

При выполнении команды Set-AIPAuthentication убедитесь, что вы используете параметр токена от имени пользователя средства проверки.

Пример:

$pscreds = Get-Credential CONTOSO\scanner
Set-AIPAuthentication -AppId "77c3c1c3-abf9-404e-8b2b-4652836c8c66" -AppSecret "OAkk+rnuYc/u+]ah2kNxVbtrDGbS47L4" -DelegatedUser scanner@contoso.com -TenantId "9c11c87a-ac8b-46a3-8d5c-f4d0b72ee29a" -OnBehalfOf $pscreds
Acquired application access token on behalf of CONTOSO\scanner.

Дополнительные сведения см. в статье "Получение маркера Azure AD для сканера".

Отсутствует политика

Сообщение об ошибке

Policy is missing

Описание

Сканеру не удается найти файл политики меток конфиденциальности.

Решение

Чтобы убедиться, что файл политики существует должным образом, проверьте следующее расположение: %localappdata%\Microsoft\MSIP\mip\MSIP.Scanner.exe\mip\mip.policies.sqlite3

Дополнительные сведения о метках конфиденциальности и их политиках меток см. в разделе "Создание и настройка меток конфиденциальности" и их политик в документации по Microsoft Purview.

Политика не включает никаких условий автоматического добавления меток

Ошибка

Ошибки показывают, что в политике меток отсутствуют условия автоматического применения меток

Решение

Проверьте все или все следующие проблемы:

Решение Сведения
Проверка параметров задания сканирования содержимого На портале Azure выполните следующие действия:

- Задайте типы сведений, которые будут обнаружены для всех
- Определение метки по умолчанию, применяемой при сканировании
Проверка параметров политики маркировки В Портал соответствия требованиям Microsoft Purview выполните следующие действия.

- Определение метки конфиденциальности по умолчанию
- Настройка автоматической или рекомендуемой маркировки
Убедитесь, что политика доступна Если параметры определены должным образом, сам файл политики может отсутствовать или недоступен, например при истечении времени ожидания Портал соответствия требованиям Microsoft Purview.

Чтобы проверить файл политики, убедитесь, что существует следующий файл: %localappdata%\Microsoft\MSIP\mip\MSIP.Scanner.exe\mip\mip.policies.sqlite3

Дополнительные сведения см. в статье "Что такое средство проверки унифицированных меток Azure Information Protection" и сведения о метках конфиденциальности.

Ошибки базы данных

Сообщение об ошибке

DB error

Описание

Сканер может не подключиться к базе данных.

Решение

Проверьте сетевое подключение между компьютером сканера и базой данных.

Кроме того, убедитесь, что учетная запись службы, используемая для запуска процессов сканера, имеет все разрешения, необходимые для доступа к базе данных.

Несовпадение или устаревшая схема

Сообщение об ошибке

Это может быть:

  • SchemaMismatchException

  • В портал Azure на странице DB schema is not up to date. Run Update-AIPScanner command to update the DB schema"Узлы" илиError: DB schema is not up to date

Решение

Выполните команду Update-AIPScanner , чтобы повторно выполнить синхронизацию схемы и убедиться, что она обновлена с последними изменениями.

Ошибки диагностики сканера

Если при выполнении команды Start-AIPDiagnostics возникают ошибки, убедитесь, что вы используете правильные учетные данные учетной записи сканера в параметре -OnBehalf .

Пример:

$scanner_account_creds= Get-Credential
Start-AIPScannerDiagnostics -onbehalf $scanner_account_creds

Базовое соединение закрыто

Сообщение об ошибке

System.Net.WebException: The underlying connection was closed: An unexpected error occurred on a send. ---> System.IO.IOException: Authentication failed because the remote party has closed the transport stream.

Решение

Эта ошибка обычно означает, что TLS 1.2 не включен.

Дополнительные сведения см. в разделе:

Зависание процессов сканера

Сообщение об ошибке

Средство проверки обрабатывает один файл дольше, чем ожидалось. Процесс может зависнуть.

Решение

Проверьте подробный отчет, чтобы узнать, растет ли файл.

Если файл продолжает расти, это означает, что средство проверки по-прежнему обрабатывает данные, и вы должны подождать, пока он не будет выполнен.

Однако если файл больше не растет, сделайте следующее:

  1. Выполните одно из следующих действий (или оба).

    • Запустите командлет Start-AIPScannerDiagnostics , чтобы выполнить диагностические проверки на сканере, а также экспортировать и zip-файлы журналов для всех обнаруженных ошибок.
    • Запустите командлет Export-AIPLogs для экспорта и zip-файловжурналов из каталога %localappdata%\Microsoft\MSIP\Logs .
  2. Создайте файл дампа для службы сканера MSIP. В диспетчере задач Windows щелкните правой кнопкой мыши службу сканера MSIP и выберите "Создать файл дампа".

  3. В портал Azure остановите проверку.

  4. На компьютере сканера перезапустите службу.

  5. Откройте запрос в службу поддержки и вложите файлы дампа из процесса проверки.

Дополнительные сведения см. в разделе "Устранение неполадок с истекающим временем ожидания проверки".

Невозможно соединиться с удаленным сервером

Ошибка

% В файле localappdata%\Microsoft\MSIP\Logs\MSIPScanner.iplogUnable to connect to the remote server ---> System.Net.Sockets.SocketException: Only one usage of each socket address (protocol/network address/port) is normally permitted IP:port

Примечание

Этот файл будет zip-файл при наличии нескольких журналов.

Описание

Средство проверки превысило число разрешенных сетевых подключений.

Решение

Увеличьте количество динамических портов для операционной системы, в котором размещены файлы.

Дополнительные сведения о том, как просмотреть и расширить текущий диапазон портов, см. в описании параметров, которые можно изменить для повышения производительности сети.

См. также: Устранение неполадок с истечением времени ожидания проверки.

Ошибка при отправке запроса

Сообщение об ошибке

[System.Net.Http.HttpRequestException: An error occurred while sending the request. ---> System.Net.WebException: The underlying connection was closed: An unexpected error occurred on a send. ---> System.IO.IOException: Unable to read data from the transport connection: An existing connection was forcibly closed by the remote host. ---> System.Net.Sockets.SocketException: An existing connection was forcibly closed by the remote host

Решение

Эта ошибка обычно означает, что TLS 1.2 не включен.

Дополнительные сведения см. в разделе:

Отсутствует задание сканирования содержимого или профиль

Ошибка

Ошибки показывают, что задание или профиль сканирования содержимого не найдены.

Например, следующая ошибка в портал Azure на странице узлов:No content scan job found

Решение

Проверьте конфигурацию сканера в портал Azure.

Дополнительные сведения см. в статье о настройке и установке сканера унифицированных меток Azure Information Protection.

Примечание

Профиль — это устаревший термин сканера, который был заменен кластером сканера и заданием сканирования содержимого в более новых версиях сканера.

Нет настроенных репозиториев

Сообщение об ошибке

На портал Azure на странице "Узлы":No repositories are configured

Описание

Возможно, у вас есть задание сканирования содержимого без настроенных репозиториев.

Решение

Проверьте параметры задания сканирования содержимого и добавьте хотя бы один репозиторий.

Дополнительные сведения см. в разделе "Создание задания сканирования содержимого".

Кластер не найден

Сообщение об ошибке

На портал Azure на странице "Узлы":No cluster found

Описание

Фактическое совпадение для одного из определенных кластеров сканера не найдено.

Решение

Проверьте конфигурацию кластера и проверьте ее на наличие опечаток и ошибок в системе.

Дополнительные сведения см. в статье "Создание кластера сканера".

Дальнейшие действия

Дополнительные сведения см. в записи блога "Рекомендации по развертыванию и использованию сканера AIP UL".