Sdílet prostřednictvím

Řešení problémů s nasazením skeneru ochrany informací

  • Článek
  • Platí pro:
    Microsoft Purview

Poznámka:

Skener sjednoceného popisování služby Azure Information Protection se přejmenovává na skener Microsoft Purview Information Protection. Současně se konfigurace (aktuálně ve verzi Preview) přesouvá na Portál dodržování předpisů Microsoft Purview. V současné době můžete skener nakonfigurovat na webu Azure Portal i na portálu pro dodržování předpisů. Pokyny v tomto článku najdete na obou portálech pro správu.

Pokud máte problémy se skenerem Microsoft Purview Information Protection, pomocí rutiny Start-ScannerDiagnostics PowerShell ověřte, jestli je vaše nasazení v pořádku, a spusťte nástroj pro diagnostiku skeneru:

Start-ScannerDiagnostics

Diagnostický nástroj zkontroluje následující podrobnosti a pak vytvoří soubor protokolu s výsledky:

  • Zda je databáze aktuální
  • Jestli jsou síťové adresy URL přístupné
  • Jestli existuje platný ověřovací token a zásady je možné získat
  • Určuje, jestli je profil definovaný na webu Azure Portal.
  • Jestli existuje offline nebo online konfigurace a dá se získat
  • Jestli jsou nakonfigurovaná pravidla platná

Tip

  • Pokud nástroj nespouštíte pomocí účtu služby, který se používá ke spuštění služby skeneru, musíte použít -OnBehalf parametr. Jinak dojde k chybám.
  • Pokud chcete vytisknout posledních 10 chyb z protokolu skeneru Verbose , přidejte parametr. Pokud chcete vytisknout více chyb, použijte VerboseErrorCount k definování počtu chyb, které chcete vytisknout.

Příkaz Start-ScannerDiagnostics nespustí úplnou kontrolu požadavků. Pokud máte problémy se skenerem, musíte také zajistit, aby váš systém splňoval požadavky skeneru a konfigurace a instalace skeneru byla dokončena.

Ověření podrobností kontroly na uzel a úložiště skeneru

Spuštěním rutiny Get-ScanStatus PowerShellu získáte podrobnosti o aktuálním stavu kontroly a seznamu uzlů v clusteru skeneru.

PS C:\> Get-ScanStatus

Cluster        : contoso-test
ClusterStatus  : Scanning
StartTime      : 12/22/2020 9:05:02 AM
TimeFromStart  : 00:00:00:37
NodesInfo      : {t-contoso1-T298-corp.contoso.com,t-contoso2-T298-corp.contoso.com}

NodesInfo Pomocí proměnné s rutinou Get-ScanStatus získejte další podrobnosti o jednotlivých uzlech v clusteru:

PS C:\WINDOWS\system32> $x=Get-ScanStatus
PS C:\WINDOWS\system32> $x.NodesInfo

Výstup zobrazí podrobnosti pro každý uzel v tabulce, jak je znázorněno v následujícím příkladu:

NodeName                            Status    IsScanning    Summary
--------                            --------  ----------    -------
t-contoso1-T298-corp.contoso.com    Scanning        True    Microsoft.InformationProtection.Scanner.ScanSummaryData
t-contoso2-T298-corp.contoso.com    Scanning     Pending    Microsoft.InformationProtection.Scanner.ScanSummaryData

Pokud chcete přejít k podrobnostem o jednotlivých uzlech, použijte NodesInfo proměnnou znovu s celočíselným číslem uzlu začínajícím číslem 0.

PS C:\Windows\system32> $x.NodesInfo[0].Summary

Výstup zobrazí podrobnosti o kontrolách na vybraném uzlu, jak je znázorněno v následujícím příkladu:

ScannerID               : t-contoso1-T298-corp.contoso.com
ScannedFiles            : 2280
FailedFiles             : 0
ScannedBytes            : 78478187
Classified              : 0
Labeled                 : 0
....

Pomocí parametru Verbose s rutinou Get-ScanStatus můžete získat data o aktuální kontrole.

PS C:\> Get-ScanStatus -Verbose

ScannedFiles    MBScanned    CurrentScanSummary                                         RepositoriesStatus
------------    ---------    ------------------                                         ------------------
        2280    78478187     Microsoft.InformationProtection.Scanner.ScanSummaryData    {{ Path = C:\temp, Status = Scanning }

RepositoriesStatus Pomocí proměnných CurrentScanSummary můžete přejít k dalším podrobnostem o stavu úložišť.

Mezi možné hodnoty stavu úložiště patří:

  • Vynecháno, pokud se úložiště přeskočí.
  • Čeká se na vyřízení, pokud aktuální kontrola ještě nezačala prohledávat úložiště.
  • Kontrola, pokud je aktuální kontrola spuštěná v úložišti
  • Dokončeno, pokud se v úložišti dokončila aktuální kontrola.

Příklad: použití proměnné RepositoriesStatus

PS C:\Windows\system32> $x.Get-AIPScannerStatus -Verbose
PS C:\Windows\system32> $x.RepositoriesStatus

Path        Status
----        ------
C:\temp     Scanning

Příklad: použití proměnné CurrentScanSummary

PS C:\Windows\system32> $x.CurrentScanSummary

ScannerID               : 
ScannedFiles            : 2280
FailedFiles             : 0
ScannedBytes            : 78478187
Classified              : 0
Labeled                 : 0
....

Tento výstup zobrazuje pouze jedno úložiště. Pokud existuje více úložišť, každá z nich bude uvedena samostatně.

Referenční informace k chybám skeneru

Následující tabulka obsahuje informace o konkrétních chybových zprávách generovaných skenerem a poskytuje akce pro opravu souvisejícího problému:

Typ chyby Řešení problému
Chyby ověřování
Chyby zásad
Chyby databáze nebo schématu
Jiné chyby

Ověřovací token se nepřijal

Chybová zpráva

Microsoft.InformationProtection.Exceptions.AccessDeniedException: Služba nepřijala ověřovací token.

Popis

Příkaz Set-Authentication selhal.

Řešení

Verfy, že příslušná oprávnění jsou správně definována na webu Azure Portal.

Další informace naleznete v tématu Vytvoření a konfigurace aplikací Microsoft Entra pro Set-Authentication.

Chybějící ověřovací token

Chybové zprávy

  • NoAuthTokenException: Klientské aplikaci se nepodařilo poskytnout ověřovací token pro požadavek HTTP.

  • Microsoft.InformationProtection.Exceptions.NoAuthTokenException: Klientská aplikace nepovedlo poskytnout ověřovací token pro požadavek HTTP. Došlo k chybě: System.AggregateException: Došlo k jedné nebo více chybám. >--- Microsoft.IdentityModel.Clients.ActiveDirectory.AdalException: user_interaction_required: Došlo k jedné ze dvou podmínek: 1. Příznak PromptBehavior.Never byl předán, ale omezení nelze respektovat, protože byla vyžadována interakce uživatele. 2. Během tichého webového ověřování došlo k chybě, která zabránila dokončení toku ověřování HTTP za dostatek času.

  • Nepodařilo se získat token pomocí integrovaného ověřování windows (bez jednotného přihlašování)

  • Na webu Azure Portal na stránce Uzly :

    Zásady nezahrnují žádnou podmínku automatického popisování

Popis

K těmto chybám ověřování dochází v případě, že skener běží neinteraktivně.

Řešení

K ověření použijte token pomocí rutiny Set-Authentication .

Při spuštění rutiny Set-Authentication se ujistěte, že používáte parametr tokenu jménem účtu služby, který se používá ke spuštění služby skeneru, jak je znázorněno v následujícím příkladu:

$pscreds = Get-Credential CONTOSO\scanner
Set-Authentication -AppId "77c3c1c3-abf9-404e-8b2b-4652836c8c66" -AppSecret "OAkk+rnuYc/u+]ah2kNxVbtrDGbS47L4" -DelegatedUser scanner@contoso.com -TenantId "9c11c87a-ac8b-46a3-8d5c-f4d0b72ee29a" -OnBehalfOf $pscreds
Acquired application access token on behalf of CONTOSO\scanner.

Další informace naleznete v tématu Získání tokenu Microsoft Entra pro skener.

Chybějící zásady

Chybová zpráva

Chybí zásady.

Popis

Skener nemůže najít soubor zásad popisku citlivosti.

Řešení

Pokud chcete ověřit, že soubor zásad existuje podle očekávání, zkontrolujte následující umístění: %localappdata%\Microsoft\MSIP\mip\MSIP. Scanner.exe\mip\mip.policies.sqlite3.

Další informace o popiscích citlivosti a jejich zásadách popisků najdete v tématu Vytvoření a konfigurace popisků citlivosti a jejich zásad.

Zásady nezahrnují podmínky automatického popisování.

Chybová zpráva

Chybí podmínky popisování zásad.

Popis

V zásadách popisování chybí podmínky automatického popisování.

Řešení

Nakonfigurujte tato nastavení:

Nastavení Postup konfigurace nastavení
Nastavení úlohy kontroly obsahu Na webu Azure Portal postupujte takto:
Nastavení zásad popisování V Portál dodržování předpisů Microsoft Purview postupujte takto:

Pokud už jsou nastavení definovaná podle očekávání, samotný soubor zásad může chybět nebo je nepřístupný, například když dojde k vypršení časového limitu z Portál dodržování předpisů Microsoft Purview.

Pokud chcete ověřit soubor zásad, zkontrolujte, jestli existuje následující soubor: %localappdata%\Microsoft\MSIP\mip\MSIP. Scanner.exe\mip\mip.policies.sqlite3

Další informace najdete v tématu Co je skener sjednocených popisků služby Azure Information Protection? a seznamte se s popisky citlivosti.

Chyby databáze

Chybová zpráva

Chyba databáze

Popis

Skener se nemůže připojit k databázi.

Řešení

Zkontrolujte síťové připojení mezi počítačem skeneru a databází.

Kromě toho se ujistěte, že účet služby používaný ke spouštění procesů skeneru má všechna oprávnění požadovaná pro přístup k databázi.

Neshoda nebo zastaralé schéma

Chybová zpráva

Jeden z následujících:

  • SchemaMismatchException

  • Na webu Azure Portal na stránce Uzly :

    Schéma databáze není aktuální. Spuštěním příkazu Update-ScannerDatabase aktualizujte schéma databáze.
    Chyba: Schéma databáze není aktuální

Popis

Schéma databáze není aktuální.

Řešení

Spuštěním rutiny Update-ScannerDatabase znovu synchronizujte schéma a ujistěte se, že je aktuální s nedávnými změnami.

Základní připojení bylo uzavřeno.

Chybové zprávy

System.Net.WebException: Základní připojení bylo uzavřeno: Při odesílání došlo k neočekávané chybě. >--- System.IO.IOException: Ověřování selhalo, protože vzdálená strana ukončila přenosový stream.

[System.Net.Http.HttpRequestException: Při odesílání požadavku došlo k chybě. >--- System.Net.WebException: Základní připojení bylo uzavřeno: Při odesílání došlo k neočekávané chybě. >--- System.IO.IOException: Nelze číst data z přenosového připojení: Vzdálený hostitel vynutil ukončení existujícího připojení. >--- System.Net.Sockets.SocketException: Vzdálený hostitel vynutil ukončení existujícího připojení.

Popis

Tyto chyby značí, že protokol TLS 1.2 není povolený.

Řešení

Pokud chcete povolit protokol TLS 1.2, přečtěte si:

Zablokované procesy skeneru

Chybová zpráva

Nezobrazuje se žádná chybová zpráva, ale časový limit skeneru vypršel.

Popis

Skener zpracovává jeden soubor po delší dobu, než se čekalo, nebo se při kontrole velkého počtu souborů v úložišti neočekávaně zastaví. Proces skeneru může být zablokovaný.

Řešení

Upravte jedno z následujících nastavení:

  • Počet dynamických portů Možná budete muset zvýšit počet dynamických portů pro operační systém, který je hostitelem souborů. Posílení zabezpečení serveru pro SharePoint může být jedním z důvodů, proč skener překročí povolený počet povolených síťových připojení a zastaví se.

    Informace o tom, jak zobrazit aktuální rozsah portů a zvýšit rozsah, naleznete v tématu Nastavení, která lze upravit tak, aby zlepšila výkon sítě.

  • Mezní hodnota zobrazení seznamu U velkých sharepointových farem možná budete muset zvýšit prahovou hodnotu zobrazení seznamu. Ve výchozím nastavení je mezní hodnota zobrazení seznamu nastavená na 5 000.

    Informace o zvýšení prahové hodnoty najdete v tématu Správa rozsáhlých seznamů a knihoven v SharePointu.

Pokud problém přetrvává, zkontrolujte podrobnou sestavu a zjistěte, jestli se soubor zvětšuje.

Pokud se velikost souboru bude dál zvětšovat, skener stále zpracovává data a musíte počkat, až se dokončí.

Pokud se soubor už nezvětšuje, udělejte toto:

  1. Spusťte následující rutiny:

    • Rutina Start-ScannerDiagnostics : Spuštění diagnostických kontrol na skeneru a export souborů protokolu ZIP pro případné nalezené chyby.
    • Rutina Export-DebugLogs : k exportu a vytvoření .zip verze souborů protokolu z adresáře %localappdata%\Microsoft\MSIP\Logs .

  2. Vytvořte soubor s výpisem paměti pro službu skeneru MSIP. Ve Správci úloh systému Windows klikněte pravým tlačítkem myši na službu Skener MSIP a vyberte Vytvořit soubor výpisu paměti.

  3. Na webu Azure Portal zastavte kontrolu.

  4. Na počítači skeneru restartujte službu.

  5. Otevřete lístek podpory a připojte soubory výpisu paměti z procesu skeneru.

Nejde se připojit ke vzdálenému serveru

Chybová zpráva

V souboru MSIPScanner.iplog umístěném ve složce %localappdata%\Microsoft\MSIP\Logs\:

Nelze se připojit ke vzdálenému serveru ---> System.Net.SocketException: Pouze jedno použití každé adresy soketu (protokol/síťová adresa/port) je normálně povoleno IP:port

Pokud existuje více protokolů, soubor MSIPScanner.iplog bude .zip soubor.

Popis

Skener překročil počet povolených síťových připojení.

Řešení

Zvyšte počet dynamických portů pro operační systém, který je hostitelem souborů.

Informace o zobrazení aktuálního rozsahu portů a zvýšení rozsahu najdete v tématu Nastavení, která je možné upravit, aby se zlepšil výkon sítě.

Chybějící profil nebo úloha prohledávání obsahu

Chybová zpráva

Na webu Azure Portal na stránce Uzly :

Nebyla nalezena žádná úloha kontroly obsahu.

Popis

K této chybě dochází v případě, že se nepodařilo najít úlohu nebo profil kontroly obsahu.

Řešení

Zkontrolujte konfiguraci skeneru na webu Azure Portal.

Další informace najdete v tématu Konfigurace a instalace sjednoceného skeneru popisků služby Azure Information Protection.

Poznámka: Profil je starší termín skeneru, který byl nahrazen clusterem skeneru a úlohou kontroly obsahu v novějších verzích skeneru.

Žádná nakonfigurovaná úložiště

Chybová zpráva

Na portálu pro správu na stránce Uzly :

Nejsou nakonfigurovaná žádná úložiště.

Popis

Je možné, že máte úlohu kontroly obsahu bez nakonfigurovaných úložišť.

Řešení

Zkontrolujte nastavení úlohy kontroly obsahu a přidejte aspoň jedno úložiště.

Další informace najdete v tématu Vytvoření úlohy kontroly obsahu.

Nenašel se žádný cluster

Chybová zpráva

Na portálu pro správu na stránce Uzly :

Nenašel se žádný cluster

Popis

Nebyla nalezena žádná skutečná shoda pro jeden z clusterů skeneru, které jste definovali.

Řešení

Ověřte konfiguraci clusteru a zkontrolujte ho u vlastních podrobností o systému, jestli se nejedná o překlepy a chyby.

Další informace najdete v tématu Vytvoření clusteru skeneru.

Více informací

Osvědčené postupy pro nasazení a používání skeneru AIP UL