Lösa problem med distribution av informationsskyddsskanner

  • Artikel
  • Gäller för:
    Microsoft Purview

Obs!

Azure Information Protection enhetliga etiketteringsskanner byter namn Microsoft Purview Information Protection skanner. Samtidigt flyttas konfigurationen (för närvarande i förhandsversion) till efterlevnadsportal i Microsoft Purview. För närvarande kan du konfigurera skannern i både Azure Portal och efterlevnadsportalen. Anvisningarna i den här artikeln refererar till båda administratörsportalerna.

Om du har problem med Microsoft Preview Information Protection skanner kontrollerar du om distributionen är felfri med hjälp av PowerShell-cmdleten Start-AIPScannerDiagnostics för att starta skannerdiagnostikverktyget:

Start-AIPScannerDiagnostics

Diagnostikverktyget kontrollerar följande information och skapar sedan en loggfil med resultatet:

  • Om databasen är uppdaterad
  • Om nätverks-URL:er är tillgängliga
  • Om det finns en giltig autentiseringstoken och principen kan hämtas
  • Om profilen definieras i Azure Portal
  • Om offline-/onlinekonfiguration finns och kan hämtas
  • Om de konfigurerade reglerna är giltiga

Tips

  • Om du inte kör verktyget med hjälp av tjänstkontot som används för att köra skannertjänsten måste du använda parametern -OnBehalf . Annars uppstår fel.
  • Om du vill skriva ut de senaste 10 felen från skannerloggen lägger du till parametern Verbose . Om du vill skriva ut fler fel använder VerboseErrorCount du för att definiera antalet fel som du vill skriva ut.

Kommandot Start-AIPScannerDiagnostics kör inte en fullständig kravkontroll. Om du har problem med skannern måste du också se till att systemet uppfyller skannerkraven och att skannerkonfigurationen och installationen är klar.

Verifiera genomsökningsinformation per skannernod och lagringsplats

Kör PowerShell-cmdleten Get-AIPScannerStatus för att få information om aktuell genomsökningsstatus och listan över noder i skannerklustret.

PS C:\> Get-AIPScannerStatus

Cluster        : contoso-test
ClusterStatus  : Scanning
StartTime      : 12/22/2020 9:05:02 AM
TimeFromStart  : 00:00:00:37
NodesInfo      : {t-contoso1-T298-corp.contoso.com,t-contoso2-T298-corp.contoso.com}

Använd variabeln NodesInfo med cmdleten Get-AIPScannerStatus för att få mer information om varje nod i klustret:

PS C:\WINDOWS\system32> $x=Get-AIPScannerStatus
PS C:\WINDOWS\system32> $x.NodesInfo

Utdata visar information för varje nod i en tabell enligt följande exempel:

NodeName                            Status    IsScanning    Summary
--------                            --------  ----------    -------
t-contoso1-T298-corp.contoso.com    Scanning        True    Microsoft.InformationProtection.Scanner.ScanSummaryData
t-contoso2-T298-corp.contoso.com    Scanning     Pending    Microsoft.InformationProtection.Scanner.ScanSummaryData

Om du vill öka detaljnivån ytterligare i varje nod använder du variabeln NodesInfo igen, med nod heltal som börjar med 0.

PS C:\Windows\system32> $x.NodesInfo[0].Summary

Utdata visar information om genomsökningarna på den valda noden enligt följande exempel:

ScannerID               : t-contoso1-T298-corp.contoso.com
ScannedFiles            : 2280
FailedFiles             : 0
ScannedBytes            : 78478187
Classified              : 0
Labeled                 : 0
....

Använd parametern Verbose med cmdleten Get-AIPScannerStatus för att hämta data om en aktuell genomsökning.

PS C:\> Get-AIPScannerStatus -Verbose

ScannedFiles    MBScanned    CurrentScanSummary                                         RepositoriesStatus
------------    ---------    ------------------                                         ------------------
        2280    78478187     Microsoft.InformationProtection.Scanner.ScanSummaryData    {{ Path = C:\temp, Status = Scanning }

Använd variablerna RepositoriesStatusCurrentScanSummary eller för att öka detaljnivån ytterligare för mer information om lagringsplatsernas status.

Möjliga lagringsplatsstatusvärden är:

  • Hoppades över om lagringsplatsen hoppades över
  • Väntar, om den aktuella genomsökningen ännu inte har börjat genomsöka lagringsplatsen
  • Genomsökning, om den aktuella genomsökningen körs på lagringsplatsen
  • Slutförd, om den aktuella genomsökningen har slutförts på lagringsplatsen

Exempel: använd variabeln RepositoriesStatus

PS C:\Windows\system32> $x.Get-AIPScannerStatus -Verbose
PS C:\Windows\system32> $x.RepositoriesStatus

Path        Status
----        ------
C:\temp     Scanning

Exempel: använd variabeln CurrentScanSummary

PS C:\Windows\system32> $x.CurrentScanSummary

ScannerID               : 
ScannedFiles            : 2280
FailedFiles             : 0
ScannedBytes            : 78478187
Classified              : 0
Labeled                 : 0
....

Dessa utdata visar bara en enda lagringsplats. Om det finns flera lagringsplatser visas var och en separat.

Referens för skannerfel

Följande tabell innehåller information om specifika felmeddelanden som genereras av skannern och innehåller åtgärder för att åtgärda det associerade problemet:

Feltyp Felsökning
Autentiseringsfel
Principfel
DB/Schemafel
Andra fel

Autentiseringstoken accepteras inte

Felmeddelande

Microsoft.InformationProtection.Exceptions.AccessDeniedException: Tjänsten accepterade inte autentiseringstoken.

Beskrivning

Kommandot Set-AIPAuthentication misslyckades.

Lösning

Kontrollera att rätt behörigheter har definierats korrekt i Azure Portal.

Mer information finns i Skapa och konfigurera Microsoft Entra program för Set-AIPAuthentication.

Autentiseringstoken saknas

Felmeddelanden

  • NoAuthTokenException: Klientprogrammet kunde inte tillhandahålla autentiseringstoken för HTTP-begäran

  • Microsoft.InformationProtection.Exceptions.NoAuthTokenException: Klientprogrammet kunde inte tillhandahålla autentiseringstoken för HTTP-begäran. Misslyckades med: System.AggregateException: Ett eller flera fel inträffade. >--- Microsoft.IdentityModel.Clients.ActiveDirectory.AdalException: user_interaction_required: Ett av två villkor påträffades: 1. Flaggan PromptBehavior.Never skickades, men begränsningen kunde inte respekteras eftersom användarinteraktion krävdes. 2. Ett fel uppstod under en tyst webbautentisering som hindrade http-autentiseringsflödet från att slutföras inom en kort tidsperiod

  • Det gick inte att hämta en token med windows-integrerad autentisering (ingen enkel inloggning)

  • Från Azure Portal på sidan Noder:

    Principen innehåller inte några villkor för automatisk etikettering

Beskrivning

Dessa autentiseringsfel uppstår när skannern körs icke-interaktivt.

Lösning

Du måste autentisera med hjälp av en token med hjälp av cmdleten Set-AIPAuthentication .

När du kör cmdleten Set-AIPAuthentication kontrollerar du att du använder tokenparametern för tjänstkontot som används för att köra skannertjänsten enligt följande exempel:

$pscreds = Get-Credential CONTOSO\scanner
Set-AIPAuthentication -AppId "77c3c1c3-abf9-404e-8b2b-4652836c8c66" -AppSecret "OAkk+rnuYc/u+]ah2kNxVbtrDGbS47L4" -DelegatedUser scanner@contoso.com -TenantId "9c11c87a-ac8b-46a3-8d5c-f4d0b72ee29a" -OnBehalfOf $pscreds
Acquired application access token on behalf of CONTOSO\scanner.

Mer information finns i Hämta en Microsoft Entra-token för skannern.

Principen saknas

Felmeddelande

Principen saknas

Beskrivning

Skannern kan inte hitta principfilen för känslighetsetiketter.

Lösning

Kontrollera att principfilen finns som förväntat genom att checka in följande plats: %localappdata%\Microsoft\MSIP\mip\MSIP.Scanner.exe\mip\mip.policies.sqlite3.

Mer information om känslighetsetiketter och deras etikettprinciper finns i Skapa och konfigurera känslighetsetiketter och deras principer.

Principen innehåller inte villkor för automatisk etikettering

Felmeddelande

Det saknas etikettvillkor för principen

Beskrivning

Etikettprincipen saknar villkor för automatisk etikettering.

Lösning

Konfigurera följande inställningar:

Inställning Steg för att konfigurera inställningar
Jobbinställningar för innehållssökning Gör följande i Azure Portal:
Inställningar för etiketteringsprincip Gör följande i efterlevnadsportal i Microsoft Purview:

Om inställningarna redan har definierats som förväntat kan själva principfilen saknas eller vara otillgänglig, till exempel när det finns en timeout från efterlevnadsportal i Microsoft Purview.

Kontrollera att följande fil finns för att verifiera principfilen: %localappdata%\Microsoft\MSIP\mip\MSIP.Scanner.exe\mip\mip.policies.sqlite3

Mer information finns i Vad är Azure Information Protection skanner för enhetlig etikettering? och Läs mer om känslighetsetiketter.

Databasfel

Felmeddelande

DB-fel

Beskrivning

Skannern kan inte ansluta till databasen.

Lösning

Kontrollera nätverksanslutningen mellan skannerdatorn och databasen.

Kontrollera dessutom att tjänstkontot som används för att köra skannerprocesser har alla behörigheter som krävs för att komma åt databasen.

Felmatchat eller inaktuellt schema

Felmeddelande

Något av följande:

  • SchemaMismatchException

  • I Azure Portal på sidan Noder:

    DB-schemat är inte uppdaterat. Kör kommandot Update-AIPScanner för att uppdatera DB-schemat
    Fel: DB-schemat är inte uppdaterat

Beskrivning

Databasschemat är inte uppdaterat.

Lösning

Kör cmdleten Update-AIPScanner för att synkronisera om schemat och se till att det är uppdaterat med de senaste ändringarna.

Den underliggande anslutningen stängdes

Felmeddelanden

System.Net.WebException: Den underliggande anslutningen stängdes: Ett oväntat fel uppstod vid en sändning. >--- System.IO.IOException: Autentiseringen misslyckades eftersom fjärrparten har stängt transportströmmen.

[System.Net.Http.HttpRequestException: Ett fel uppstod när begäran skickades. >--- System.Net.WebException: Den underliggande anslutningen stängdes: Ett oväntat fel uppstod vid en sändning. >--- System.IO.IOException: Det går inte att läsa data från transportanslutningen: En befintlig anslutning stängdes med tvång av fjärrvärden. >--- System.Net.Sockets.SocketException: En befintlig anslutning stängdes med tvång av fjärrvärden.

Beskrivning

Dessa fel indikerar att TLS 1.2 inte är aktiverat.

Lösning

Information om hur du aktiverar TLS 1.2 finns i:

Processer för skanner som fastnat

Felmeddelande

Inget felmeddelande visas, men skannern överskrider tidsgränsen.

Beskrivning

Skannern bearbetar en enda fil under en längre tid än förväntat, eller så stoppas den oväntat vid genomsökning av ett stort antal filer på en lagringsplats. Skannerprocessen kan ha fastnat.

Lösning

Ändra någon av följande inställningar:

  • Antal dynamiska portar. Du kan behöva öka antalet dynamiska portar för operativsystemet som är värd för filerna. Serverhärdning för SharePoint kan vara en orsak till att skannern överskrider antalet tillåtna nätverksanslutningar och stoppar.

    Information om hur du visar det aktuella portintervallet och ökar intervallet finns i Inställningar som kan ändras för att förbättra nätverksprestanda.

  • Tröskelvärde för listvy. För stora SharePoint-servergrupper kan du behöva öka tröskelvärdet för listvyn. Som standard är tröskelvärdet för listvyn inställt på 5 000.

    Information om hur du ökar tröskelvärdet finns i Hantera stora listor och bibliotek i SharePoint.

Om problemet kvarstår kontrollerar du den detaljerade rapporten för att avgöra om filen ökar i storlek.

Om filstorleken fortsätter att öka bearbetar skannern fortfarande data och du måste vänta tills det är klart.

Om filen inte längre ökar i storlek gör du följande:

  1. Kör följande cmdlets:

    • Cmdleten Start-AIPScannerDiagnostics : för att köra diagnostikkontroller på skannern och exportera och zip-loggfiler för eventuella fel som hittas.
    • Export-AIPLogs cmdlet: för att exportera och skapa en .zip version av loggfilerna från katalogen %localappdata%\Microsoft\MSIP\Logs .

  2. Skapa en dumpfil för MSIP-skannertjänsten. Högerklicka på MSIP-skannertjänsten i Windows Aktivitetshanteraren och välj Skapa dumpfil.

  3. Stoppa genomsökningen i Azure Portal.

  4. Starta om tjänsten på skannerdatorn.

  5. Öppna ett supportärende och bifoga dumpfilerna från skannerprocessen.

Det går inte att ansluta till fjärrservern

Felmeddelande

I filen MSIPScanner.iplog under %localappdata%\Microsoft\MSIP\Logs\:

Det går inte att ansluta till fjärrservern ---> System.Net.Sockets.SocketException: Endast en användning av varje socketadress (protokoll/nätverksadress/port) tillåts normalt IP:port

Om det finns flera loggar blir MSIPScanner.iplog-filen en .zip fil.

Beskrivning

Skannern har överskridit antalet tillåtna nätverksanslutningar.

Lösning

Öka antalet dynamiska portar för operativsystemet som är värd för filerna.

Information om hur du visar det aktuella portintervallet och ökar intervallet finns i Inställningar som kan ändras för att förbättra nätverksprestanda.

Innehållsgenomsökningsjobb eller profil saknas

Felmeddelande

I Azure Portal på sidan Noder:

Inget innehållsgenomsökningsjobb hittades

Beskrivning

Det här felet uppstår när innehållssökningsjobbet eller profilen inte kan hittas.

Lösning

Kontrollera skannerkonfigurationen i Azure Portal.

Mer information finns i Konfigurera och installera Azure Information Protection enhetlig etiketteringsskanner.

Observera: En profil är en äldre skannerterm som har ersatts av skannerklustret och innehållsgenomsökningsjobbet i nyare versioner av skannern.

Inga lagringsplatser har konfigurerats

Felmeddelande

I administratörsportalen går du till sidan Noder :

Inga lagringsplatser har konfigurerats

Beskrivning

Du kan ha ett innehållsgenomsökningsjobb utan att några lagringsplatser har konfigurerats.

Lösning

Kontrollera jobbinställningarna för innehållssökning och lägg till minst en lagringsplats.

Mer information finns i Skapa ett innehållsgenomsökningsjobb.

Inget kluster hittades

Felmeddelande

I administratörsportalen går du till sidan Noder :

Inget kluster hittades

Beskrivning

Ingen faktisk matchning hittades för något av de skannerkluster som du har definierat.

Lösning

Kontrollera klusterkonfigurationen och kontrollera den mot din egen systeminformation för stavfel och fel.

Mer information finns i Skapa ett skannerkluster.

Mer information

Metodtips för att distribuera och använda AIP UL-skannern.