Beheben von Problemen mit der Bereitstellung des Informationsschutzscanners

• Gilt für::

  Microsoft Purview

Notiz

In dieser Lerneinheit wird der Microsoft Purview Information Protection Scanner beschrieben, der früher als Azure Information Protection-Scanner für einheitliche Bezeichnung oder lokaler Scanner bezeichnet wurde. Gleichzeitig wechselt die Konfiguration (derzeit in der Vorschau) zum Microsoft Purview-Complianceportal. Derzeit können Sie den Scanner sowohl im Azure-Portal als auch im Complianceportal konfigurieren. Anweisungen in diesem Artikel beziehen sich auf beide Verwaltungsportale.

Wenn Beim Microsoft Purview Information Protection-Scanner Probleme auftreten, überprüfen Sie, ob Ihre Bereitstellung fehlerfrei ist, indem Sie das PowerShell-Cmdlet "Start-ScannerDiagnostics " verwenden, um das Scanner-Diagnosetool zu starten:

Start-ScannerDiagnostics

Das Diagnosetool überprüft die folgenden Details und erstellt dann eine Protokolldatei mit den Ergebnissen:

• Gibt an, ob die Datenbank auf dem neuesten Stand ist
• Gibt an, ob auf Netzwerk-URLs zugegriffen werden kann
• Gibt an, ob ein gültiges Authentifizierungstoken vorhanden ist und die Richtlinie erworben werden kann.
• Gibt an, ob das Profil im Azure-Portal definiert ist.
• Gibt an, ob die Offline-/Onlinekonfiguration vorhanden ist und erworben werden kann
• Gibt an, ob die konfigurierten Regeln gültig sind.

Tipp

• Wenn Sie das Tool nicht mit dem Dienstkonto ausführen, das zum Ausführen des Scannerdiensts verwendet wird, müssen Sie den -OnBehalf Parameter verwenden. Andernfalls treten Fehler auf.
• Um die letzten 10 Fehler aus dem Scannerprotokoll zu drucken, fügen Sie den Verbose Parameter hinzu. Wenn Sie weitere Fehler drucken möchten, definieren Sie die VerboseErrorCount Anzahl der Fehler, die Sie drucken möchten.

Der Start-ScannerDiagnostics Befehl führt keine vollständige Überprüfung der Voraussetzungen aus. Wenn Probleme mit dem Scanner auftreten, müssen Sie auch sicherstellen, dass Ihr System den Scanneranforderungen entspricht, und die Konfiguration und Installation des Scanners ist abgeschlossen.

Überprüfen der Scandetails pro Scannerknoten und Repository

Führen Sie das PowerShell-Cmdlet Get-ScanStatus aus, um Details zum aktuellen Scanstatus und zur Liste der Knoten in Ihrem Scannercluster abzurufen.

PS C:\> Get-ScanStatus

Cluster        : contoso-test
ClusterStatus  : Scanning
StartTime      : 12/22/2020 9:05:02 AM
TimeFromStart  : 00:00:00:37
NodesInfo      : {t-contoso1-T298-corp.contoso.com,t-contoso2-T298-corp.contoso.com}

Verwenden Sie die NodesInfo Variable mit dem Cmdlet "Get-ScanStatus ", um weitere Details zu den einzelnen Knoten im Cluster zu erhalten:

PS C:\WINDOWS\system32> $x=Get-ScanStatus
PS C:\WINDOWS\system32> $x.NodesInfo

Die Ausgabe zeigt Details für jeden Knoten in einer Tabelle an, wie im folgenden Beispiel gezeigt:

NodeName                            Status    IsScanning    Summary
--------                            --------  ----------    -------
t-contoso1-T298-corp.contoso.com    Scanning        True    Microsoft.InformationProtection.Scanner.ScanSummaryData
t-contoso2-T298-corp.contoso.com    Scanning     Pending    Microsoft.InformationProtection.Scanner.ScanSummaryData

Wenn Sie einen Drilldown weiter zu jedem Knoten ausführen möchten, verwenden Sie die NodesInfo Variable erneut, wobei die Ganze Zahl des Knotens beginnend mit 0 beginnt.

PS C:\Windows\system32> $x.NodesInfo[0].Summary

Die Ausgabe zeigt die Details zu den Scans auf dem ausgewählten Knoten an, wie im folgenden Beispiel gezeigt:

ScannerID               : t-contoso1-T298-corp.contoso.com
ScannedFiles            : 2280
FailedFiles             : 0
ScannedBytes            : 78478187
Classified              : 0
Labeled                 : 0
....

Verwenden Sie den Verbose Parameter mit dem Cmdlet "Get-ScanStatus ", um Daten zu einer aktuellen Überprüfung abzurufen.

PS C:\> Get-ScanStatus -Verbose

ScannedFiles    MBScanned    CurrentScanSummary                                         RepositoriesStatus
------------    ---------    ------------------                                         ------------------
        2280    78478187     Microsoft.InformationProtection.Scanner.ScanSummaryData    {{ Path = C:\temp, Status = Scanning }

Verwenden Sie die RepositoriesStatus Variablen, CurrentScanSummary um weitere Details zum Status der Repositorys zu erhalten.

Mögliche Repositorystatuswerte sind:

• Übersprungen, wenn das Repository übersprungen wurde
• Ausstehend, wenn die aktuelle Überprüfung noch nicht gestartet wurde, das Repository zu überprüfen
• Scannen, wenn der aktuelle Scan im Repository ausgeführt wird
• Abgeschlossen, wenn die aktuelle Überprüfung abgeschlossen ist, die im Repository ausgeführt wurde

Beispiel: Verwenden der RepositoryStatus-Variable

PS C:\Windows\system32> $x.Get-AIPScannerStatus -Verbose
PS C:\Windows\system32> $x.RepositoriesStatus

Path        Status
----        ------
C:\temp     Scanning

Beispiel: Verwenden der CurrentScanSummary-Variablen

PS C:\Windows\system32> $x.CurrentScanSummary

ScannerID               : 
ScannedFiles            : 2280
FailedFiles             : 0
ScannedBytes            : 78478187
Classified              : 0
Labeled                 : 0
....

Diese Ausgabe zeigt nur ein einzelnes Repository an. Wenn mehrere Repositorys vorhanden sind, wird jeder separat aufgeführt.

Scannerfehlerreferenz

Die folgende Tabelle enthält Informationen zu bestimmten Fehlermeldungen, die vom Scanner generiert werden, und stellt Aktionen zum Beheben des zugehörigen Problems bereit:

Fehlertyp	Problembehandlung
Authentifizierungsfehler	Authentifizierungstoken nicht akzeptiert Fehlendes Authentifizierungstoken
Richtlinienfehler	Richtlinie fehlt Richtlinie enthält keine bedingung für automatische Bezeichnungen
DB/Schemafehler	Datenbankfehler Nicht übereinstimmende oder veraltete Schemas
Sonstige Fehler	Zugrunde liegende Verbindung wurde geschlossen. Hängen gebliebene Scannerprozesse Verbindung mit Remoteserver kann nicht hergestellt werden. Fehlender Inhaltsscanauftrag oder -profil Keine Repositorys konfiguriert Kein Cluster gefunden

Authentifizierungstoken nicht akzeptiert

Fehlermeldung

Microsoft.InformationProtection.Exceptions.AccessDeniedException: Der Dienst hat das Authentifizierungstoken nicht akzeptiert.

Beschreibung

Fehler beim Befehl 'Set-Authentication' .

Lösung

Verfy, dass die entsprechenden Berechtigungen im Azure-Portal richtig definiert sind.

Weitere Informationen finden Sie unter Erstellen und Konfigurieren von Microsoft Entra-Anwendungen für die Set-Authentication.

Fehlendes Authentifizierungstoken

Fehlermeldungen

• NoAuthTokenException: Clientanwendung konnte kein Authentifizierungstoken für HTTP-Anforderung bereitstellen

• Microsoft.InformationProtection.Exceptions.NoAuthTokenException: Clientanwendung konnte kein Authentifizierungstoken für HTTP-Anforderung bereitstellen. Fehler bei: System.AggregateException: Mindestens ein Fehler ist aufgetreten. >--- Microsoft.IdentityModel.Clients.ActiveDirectory.AdalException: user_interaction_required: Eine von zwei Bedingungen ist aufgetreten: 1. Das Flag "PromptBehavior.Never" wurde übergeben, die Einschränkung konnte jedoch nicht berücksichtigt werden, da eine Benutzerinteraktion erforderlich war. 2. Fehler während einer automatischen Webauthentifizierung, die verhinderte, dass der HTTP-Authentifizierungsfluss in einem kurzen Zeitrahmen abgeschlossen wird

• Fehler beim Abrufen eines Tokens mithilfe der integrierten Windows-Authentifizierung (No SSO)

• Auf der Seite "Knoten" auf der Seite "Knoten" aus dem Azure-Portal:

  Richtlinie enthält keine Bedingung für automatische Bezeichnungen

Beschreibung

Diese Authentifizierungsfehler treten auf, wenn der Scanner nicht interaktiv ausgeführt wird.

Lösung

Sie müssen sich mithilfe eines Tokens mithilfe des Cmdlets "Set-Authentication " authentifizieren.

Stellen Sie beim Ausführen des Cmdlets "Set-Authentication" sicher, dass Sie den Tokenparameter im Namen des Dienstkontos verwenden, das zum Ausführen des Scannerdiensts verwendet wird, wie im folgenden Beispiel gezeigt:

$pscreds = Get-Credential CONTOSO\scanner
Set-Authentication -AppId "77c3c1c3-abf9-404e-8b2b-4652836c8c66" -AppSecret "OAkk+rnuYc/u+]ah2kNxVbtrDGbS47L4" -DelegatedUser scanner@contoso.com -TenantId "9c11c87a-ac8b-46a3-8d5c-f4d0b72ee29a" -OnBehalfOf $pscreds
Acquired application access token on behalf of CONTOSO\scanner.

Weitere Informationen finden Sie unter Abrufen eines Microsoft Entra-Tokens für den Scanner.

Richtlinie fehlt

Fehlermeldung

Die Richtlinie fehlt.

Beschreibung

Der Scanner kann Ihre Richtliniendatei für Vertraulichkeitsbezeichnungen nicht finden.

Lösung

Um zu überprüfen, ob Ihre Richtliniendatei wie erwartet vorhanden ist, überprüfen Sie den folgenden Speicherort: %localappdata%\Microsoft\MSIP\mip\MSIP. Scanner.exe\mip\mip.policies.sqlite3.

Weitere Informationen zu Vertraulichkeitsbezeichnungen und deren Bezeichnungsrichtlinien finden Sie unter Erstellen und Konfigurieren von Vertraulichkeitsbezeichnungen und deren Richtlinien.

Die Richtlinie enthält keine Bedingungen für die automatische Bezeichnung

Fehlermeldung

Die Richtlinie enthält keine Bezeichnungsbedingungen.

Beschreibung

Die Bezeichnungsrichtlinie enthält keine bedingungen für die automatische Bezeichnung.

Lösung

Konfigurieren Sie die folgenden Einstellungen:

Einstellung	Schritte zum Konfigurieren von Einstellungen
Einstellungen für den Inhaltsscanauftrag	Führen Sie im Azure-Portal folgende Schritte aus: Festlegen der Infotypen, die auf "Alle" erkannt werden sollen Definieren einer Standardbezeichnung, die beim Scannen angewendet werden soll
Bezeichnungsrichtlinieneinstellungen	Gehen Sie im Microsoft Purview-Complianceportal wie folgt vor: Definieren einer Standard-Vertraulichkeitsbezeichnung Konfigurieren der automatischen/empfohlenen Bezeichnung

Wenn die Einstellungen bereits wie erwartet definiert sind, ist die Richtliniendatei selbst möglicherweise nicht vorhanden oder kann nicht darauf zugegriffen werden, z. B. wenn ein Timeout aus der Microsoft Purview-Complianceportal vorhanden ist.

Überprüfen Sie, ob die folgende Datei vorhanden ist: %localappdata%\Microsoft\MSIP\mip\MSIP.To verify your policy file, check that the following file exists: %localappdata%\Microsoft\MSIP\mip\MSIP. Scanner.exe\mip\mip.policies.sqlite3

Weitere Informationen finden Sie unter Was ist der Azure Information Protection-Scanner für einheitliche Bezeichnungen? Und erfahren Sie mehr über Vertraulichkeitsbezeichnungen.

Datenbankfehler

Fehlermeldung

DB-Fehler

Beschreibung

Der Scanner kann keine Verbindung mit der Datenbank herstellen.

Lösung

Überprüfen Sie die Netzwerkkonnektivität zwischen dem Scannercomputer und der Datenbank.

Stellen Sie außerdem sicher, dass das Dienstkonto, das zum Ausführen von Scannerprozessen verwendet wird, über alle Berechtigungen verfügt, die für den Zugriff auf die Datenbank erforderlich sind.

Nicht übereinstimmende oder veraltete Schemas

Fehlermeldung

Eins der folgenden:

• SchemaMismatchException

• Auf der Seite "Knoten" im Azure-Portal:

  DAS DB-Schema ist nicht auf dem neuesten Stand. Ausführen des Befehls "Update-ScannerDatabase" zum Aktualisieren des DB-Schemas
  Fehler: DB-Schema ist nicht auf dem neuesten Stand

Beschreibung

Das Datenbankschema ist nicht auf dem neuesten Stand.

Lösung

Führen Sie das Cmdlet Update-ScannerDatabase aus, um Das Schema neu zu synchronisieren, und stellen Sie sicher, dass es mit den letzten Änderungen auf dem neuesten Stand ist.

Zugrunde liegende Verbindung wurde geschlossen.

Fehlermeldungen

System.Net.WebException: Die zugrunde liegende Verbindung wurde geschlossen: Unerwarteter Fehler beim Senden. >--- System.IO.IOException: Fehler bei der Authentifizierung, da die Remotepartei den Transportdatenstrom geschlossen hat.

[System.Net.Http.HttpRequestException: Fehler beim Senden der Anforderung. >--- System.Net.WebException: Die zugrunde liegende Verbindung wurde geschlossen: Unerwarteter Fehler beim Senden. >--- System.IO.IOException: Daten aus der Transportverbindung können nicht gelesen werden: Eine vorhandene Verbindung wurde vom Remotehost forcibly geschlossen. >--- System.Net.Sockets.SocketException: Eine vorhandene Verbindung wurde vom Remotehost forcibly geschlossen.

Beschreibung

Diese Fehler deuten darauf hin, dass TLS 1.2 nicht aktiviert ist.

Lösung

Informationen zum Aktivieren von TLS 1.2 finden Sie unter:

• Firewalls und Netzwerkinfrastrukturanforderungen
• Aktivieren von TLS 1.2
• Aktivieren des TLS 1.1- und TLS 1.2-Supports in Office Online-Server

Keine Reaktion bei Scanner-Prozessen

Fehlermeldung

Es wird keine Fehlermeldung angezeigt, aber der Scanner ist nicht ausgecheckt.

Beschreibung

Der Scanner verarbeitet eine einzelne Datei länger als erwartet, oder er wird unerwartet beendet, während eine große Anzahl von Dateien in einem Repository gescannt wird. Möglicherweise bleibt der Scannerprozess hängen.

Lösung

Ändern Sie eine der folgenden Einstellungen:

• Anzahl der dynamischen Ports. Möglicherweise müssen Sie die Anzahl der dynamischen Ports für das Betriebssystem erhöhen, auf dem die Dateien gehostet werden. Die Serverhärtung für SharePoint kann ein Grund sein, warum der Scanner die Anzahl der zulässigen Netzwerkverbindungen überschreitet und anhält.

  Informationen zum Anzeigen des aktuellen Portbereichs und zum Erhöhen des Bereichs finden Sie unter "Einstellungen", die geändert werden können, um die Netzwerkleistung zu verbessern.

• Schwellenwert für die Listenansicht. Bei großen SharePoint-Farmen müssen Sie möglicherweise den Schwellenwert für die Listenansicht erhöhen. Standardmäßig ist der Schwellenwert für die Listenansicht auf 5.000 festgelegt.

  Informationen zum Erhöhen des Schwellenwerts finden Sie unter Verwalten großer Listen und Bibliotheken in SharePoint.

Wenn das Problem weiterhin auftritt, überprüfen Sie den detaillierten Bericht, um zu ermitteln, ob die Datei größer wird.

Wenn die Dateigröße weiterhin zunimmt, verarbeitet der Scanner weiterhin Daten, und Sie müssen warten, bis sie abgeschlossen ist.

Wenn die Datei nicht mehr größer wird, gehen Sie wie folgt vor:

1. Führen Sie die folgenden Cmdlets aus:

   • Start-ScannerDiagnostics-Cmdlet : Zum Ausführen von Diagnoseüberprüfungen für Ihren Scanner sowie zum Exportieren und Zip-Protokollieren von Fehlern, die gefunden werden.
   • Cmdlet "Export-DebugLogs ": Zum Exportieren und Erstellen einer .zip Version der Protokolldateien aus dem Verzeichnis "%localappdata%\Microsoft\MSIP\Logs ".

2. Erstellen Sie eine Speicherabbilddatei für den MSIP Scanner-Dienst. Klicken Sie im Windows Task Manager mit der rechten Maustaste auf den MSIP Scanner-Dienst, und wählen Sie " Speicherabbilddatei erstellen" aus.

3. Beenden Sie den Scan im Azure-Portal.

4. Starten Sie den Dienst auf dem Scannercomputer neu.

5. Öffnen Sie ein Supportticket, und fügen Sie die Speicherabbilddateien aus dem Scannerprozess an.

Verbindung mit Remoteserver kann nicht hergestellt werden

Fehlermeldung

In der Datei MSIPScanner.iplog unter %localappdata%\Microsoft\MSIP\Logs\:

Es kann keine Verbindung mit dem Remoteserver hergestellt werden, ---> System.Net.Sockets.SocketException: Normalerweise ist nur eine Verwendung jeder Socketadresse (Protokoll/Netzwerkadresse/Port) zulässig: IP:port

Wenn mehrere Protokolle vorhanden sind, ist die Datei "MSIPScanner.iplog " eine .zip Datei.

Beschreibung

Der Scanner hat die Anzahl der zulässigen Netzwerkverbindungen überschritten.

Lösung

Erhöhen Sie die Anzahl der dynamischen Ports für das Betriebssystem, das die Dateien hosten.

Informationen zum Anzeigen des aktuellen Portbereichs und zum Erhöhen des Bereichs finden Sie unter "Einstellungen", die geändert werden können, um die Netzwerkleistung zu verbessern.

Fehlende Daten für den Scanauftrag oder das Profil

Fehlermeldung

Auf der Seite "Knoten" im Azure-Portal:

Es wurde kein Inhaltsscanauftrag gefunden.

Beschreibung

Dieser Fehler tritt auf, wenn der Inhaltsscanauftrag oder das Profil nicht gefunden werden kann.

Lösung

Überprüfen Sie die Scannerkonfiguration im Azure-Portal.

Weitere Informationen finden Sie unter Konfigurieren und Installieren des Azure Information Protection-Scanners für einheitliche Bezeichnungen.

Hinweis: Ein Profil ist ein älteren Scannerbegriff, der durch den Scannercluster und den Inhaltsscanauftrag in neueren Versionen des Scanners ersetzt wurde.

Keine Repositorys konfiguriert

Fehlermeldung

Im Verwaltungsportal auf der Seite "Knoten " folgendes:

Es sind keine Repositorys konfiguriert.

Beschreibung

Möglicherweise haben Sie einen Inhaltsscanauftrag ohne Repositorys konfiguriert.

Lösung

Überprüfen Sie die Einstellungen für den Inhaltsscanauftrag, und fügen Sie mindestens ein Repository hinzu.

Weitere Informationen finden Sie unter Erstellen eines Inhaltsscanauftrags.

Cluster nicht gefunden

Fehlermeldung

Im Verwaltungsportal auf der Seite "Knoten " folgendes:

Cluster nicht gefunden

Beschreibung

Für einen der von Ihnen definierten Scannercluster wurde keine tatsächliche Übereinstimmung gefunden.

Lösung

Überprüfen Sie Ihre Clusterkonfiguration, und überprüfen Sie sie anhand Ihrer systemeigenen Systemdetails für Tippfehler und Fehler.

Weitere Informationen finden Sie unter Erstellen eines Scannerclusters.

Weitere Informationen

Bewährte Methoden für die Bereitstellung und Verwendung des AIP UL-Scanners.