Устранение проблем с развертыванием сканера защиты информации
Примечание.
Унифицированный сканер меток Azure Information Protection переименован Защита информации Microsoft Purview сканер. В то же время конфигурация (в настоящее время находится в предварительной версии) перемещается в Портал соответствия требованиям Microsoft Purview. В настоящее время средство проверки можно настроить как в портал Azure, так и на портале соответствия требованиям. Инструкции в этой статье относятся к обоим порталам администрирования.
Если у вас возникли проблемы со сканером microsoft Preview Information Protection, проверьте работоспособность развертывания с помощью командлета PowerShell Start-AIPScannerDiagnostics, чтобы запустить средство диагностики сканера:
Start-AIPScannerDiagnostics
Средство диагностика проверяет следующие сведения, а затем создает файл журнала с результатами:
- Обновлена ли база данных
- Доступны ли URL-адреса сети
- Имеется ли действительный маркер проверки подлинности и можно ли получить политику
- Определяется ли профиль в портал Azure
- Существует ли автономная или оперативная конфигурация и может ли быть получена
- Являются ли настроенные правила допустимыми
Совет
- Если средство не запускается с помощью учетной записи службы, используемой для запуска службы проверки, необходимо использовать
-OnBehalf
параметр . В противном случае вы столкнетесь с ошибками. - Чтобы вывести последние 10 ошибок из журнала сканера
Verbose
, добавьте параметр . Если вы хотите напечатать больше ошибок, используйтеVerboseErrorCount
для определения количества ошибок, которые нужно напечатать.
Команда Start-AIPScannerDiagnostics
не выполняет полный проверка предварительных требований. Если у вас возникли проблемы со сканером, необходимо также убедиться, что система соответствует требованиям сканера, а настройка и установка сканера завершены.
Проверка сведений о сканировании для каждого узла и репозитория сканера
Выполните командлет PowerShell Get-AIPScannerStatus , чтобы получить сведения о текущем состоянии сканирования и списке узлов в кластере сканера.
PS C:\> Get-AIPScannerStatus
Cluster : contoso-test
ClusterStatus : Scanning
StartTime : 12/22/2020 9:05:02 AM
TimeFromStart : 00:00:00:37
NodesInfo : {t-contoso1-T298-corp.contoso.com,t-contoso2-T298-corp.contoso.com}
NodesInfo
Используйте переменную с командлетом Get-AIPScannerStatus, чтобы получить дополнительные сведения о каждом узле в кластере:
PS C:\WINDOWS\system32> $x=Get-AIPScannerStatus
PS C:\WINDOWS\system32> $x.NodesInfo
В выходных данных отображаются сведения о каждом узле в таблице, как показано в следующем примере:
NodeName Status IsScanning Summary
-------- -------- ---------- -------
t-contoso1-T298-corp.contoso.com Scanning True Microsoft.InformationProtection.Scanner.ScanSummaryData
t-contoso2-T298-corp.contoso.com Scanning Pending Microsoft.InformationProtection.Scanner.ScanSummaryData
Чтобы детализировать каждый узел, снова используйте NodesInfo
переменную с целым числом узла, начинающейся с 0.
PS C:\Windows\system32> $x.NodesInfo[0].Summary
В выходных данных отображаются сведения о проверках на выбранном узле, как показано в следующем примере:
ScannerID : t-contoso1-T298-corp.contoso.com
ScannedFiles : 2280
FailedFiles : 0
ScannedBytes : 78478187
Classified : 0
Labeled : 0
....
Verbose
Используйте параметр с командлетом Get-AIPScannerStatus для получения данных о текущем сканировании.
PS C:\> Get-AIPScannerStatus -Verbose
ScannedFiles MBScanned CurrentScanSummary RepositoriesStatus
------------ --------- ------------------ ------------------
2280 78478187 Microsoft.InformationProtection.Scanner.ScanSummaryData {{ Path = C:\temp, Status = Scanning }
RepositoriesStatus
Используйте переменные или для CurrentScanSummary
детализации для получения дополнительных сведений о состоянии репозиториев.
Возможные значения состояния репозитория:
- Пропущено, если репозиторий был пропущен
- Ожидание, если текущая проверка еще не начала проверку репозитория
- Сканирование, если текущая проверка выполняется в репозитории
- Завершено, если текущая проверка завершена в репозитории
Пример: используйте переменную RepositoriesStatus
PS C:\Windows\system32> $x.Get-AIPScannerStatus -Verbose
PS C:\Windows\system32> $x.RepositoriesStatus
Path Status
---- ------
C:\temp Scanning
Пример. Использование переменной CurrentScanSummary
PS C:\Windows\system32> $x.CurrentScanSummary
ScannerID :
ScannedFiles : 2280
FailedFiles : 0
ScannedBytes : 78478187
Classified : 0
Labeled : 0
....
В этих выходных данных показан только один репозиторий. Если существует несколько репозиториев, каждый из них будет указан отдельно.
Справочник по ошибкам сканера
В следующей таблице содержатся сведения о конкретных сообщениях об ошибках, создаваемых сканером, и приведены действия по устранению связанной проблемы:
Тип "ошибка" | Устранение неполадок |
---|---|
Ошибки проверки подлинности | |
Ошибки политики | |
Ошибки базы данных и схемы | |
Другие ошибки |
Маркер проверки подлинности не принят
Сообщение об ошибке
Microsoft.InformationProtection.Exceptions.AccessDeniedException: служба не приняла маркер проверки подлинности.
Описание
Сбой команды Set-AIPAuthentication .
Решение
Убедитесь, что соответствующие разрешения правильно определены в портал Azure.
Дополнительные сведения см. в статье Создание и настройка приложений Microsoft Entra для Set-AIPAuthentication.
Отсутствует маркер проверки подлинности
Сообщения об ошибках
-
NoAuthTokenException: клиентскому приложению не удалось предоставить маркер проверки подлинности для HTTP-запроса
-
Microsoft.InformationProtection.Exceptions.NoAuthTokenException: клиентскому приложению не удалось предоставить маркер проверки подлинности для HTTP-запроса. Сбой: System.AggregateException: произошла одна или несколько ошибок. >--- Microsoft.IdentityModel.Clients.ActiveDirectory.AdalException: user_interaction_required: возникло одно из двух условий: 1. Флаг PromptBehavior.Never был передан, но ограничение не удалось выполнить, так как требовалось взаимодействие с пользователем. 2. Произошла ошибка во время автоматической веб-проверки подлинности, которая не позволила завершить поток проверки подлинности HTTP в течение достаточно короткого периода времени
-
Не удалось получить маркер с помощью встроенной проверки подлинности Windows (без единого входа)
В портал Azure на странице Узлы:
Политика не включает условие автоматической маркировки
Описание
Эти ошибки проверки подлинности возникают, когда сканер работает неинтерактивно.
Решение
Необходимо пройти проверку подлинности с помощью маркера с помощью командлета Set-AIPAuthentication .
При выполнении командлета Set-AIPAuthentication убедитесь, что вы используете параметр token от имени учетной записи службы, которая используется для запуска службы проверки, как показано в следующем примере:
$pscreds = Get-Credential CONTOSO\scanner
Set-AIPAuthentication -AppId "77c3c1c3-abf9-404e-8b2b-4652836c8c66" -AppSecret "OAkk+rnuYc/u+]ah2kNxVbtrDGbS47L4" -DelegatedUser scanner@contoso.com -TenantId "9c11c87a-ac8b-46a3-8d5c-f4d0b72ee29a" -OnBehalfOf $pscreds
Acquired application access token on behalf of CONTOSO\scanner.
Дополнительные сведения см. в разделе Получение маркера Microsoft Entra для сканера.
Политика отсутствует
Сообщение об ошибке
Политика отсутствует
Описание
Сканеру не удается найти файл политики меток конфиденциальности.
Решение
Чтобы убедиться, что файл политики существует должным образом, проверка в следующем расположении: %localappdata%\Microsoft\MSIP\mip\MSIP.Scanner.exe\mip\mip.policies.sqlite3.
Дополнительные сведения о метках конфиденциальности и их политиках меток см. в статье Создание и настройка меток конфиденциальности и их политик.
Политика не включает условия автоматической маркировки
Сообщение об ошибке
В политике отсутствуют условия маркировки
Описание
В политике маркировки отсутствуют условия автоматической маркировки.
Решение
Настройте указанные ниже параметры.
Setting | Действия по настройке параметров |
---|---|
Параметры задания проверки содержимого | В портал Azure выполните следующие действия. |
Параметры политики маркировки | В Портал соответствия требованиям Microsoft Purview выполните следующие действия. |
Если параметры уже определены должным образом, сам файл политики может отсутствовать или быть недоступным, например при истечении времени ожидания Портал соответствия требованиям Microsoft Purview.
Чтобы проверить файл политики, проверка, что существует следующий файл: %localappdata%\Microsoft\MSIP\mip\MSIP.Scanner.exe\mip\mip.policies.sqlite3
Дополнительные сведения см. в разделах Что такое средство проверки унифицированных меток Azure Information Protection? и Сведения о метках конфиденциальности.
Ошибки базы данных
Сообщение об ошибке
Ошибка базы данных
Описание
Сканер не может подключиться к базе данных.
Решение
Проверьте сетевое подключение между компьютером сканера и базой данных.
Кроме того, убедитесь, что учетная запись службы, используемая для запуска процессов проверки, имеет все разрешения, необходимые для доступа к базе данных.
Несовпадение или устаревшая схема
Сообщение об ошибке
Один из следующих продуктов:
-
SchemaMismatchException
В портал Azure на странице Узлы:
Схема базы данных не обновлена. Выполните команду Update-AIPScanner, чтобы обновить схему базы данных
Ошибка: схема базы данных не обновлена
Описание
Схема базы данных не обновлена.
Решение
Выполните командлет Update-AIPScanner , чтобы повторно выполнить синхронизацию схемы и убедиться, что она обновлена с последними изменениями.
Базовое подключение закрыто
Сообщения об ошибках
System.Net.WebException: базовое подключение было закрыто: произошла непредвиденная ошибка при отправке. >--- System.IO.IOException: сбой проверки подлинности, так как удаленная сторона закрыла транспортный поток.
[System.Net.Http.HttpRequestException: произошла ошибка при отправке запроса. >--- System.Net.WebException: базовое подключение было закрыто: произошла непредвиденная ошибка при отправке. >--- System.IO.IOException: не удается прочитать данные из транспортного подключения. Существующее подключение было принудительно закрыто удаленным узлом. >--- System.Net.Sockets.SocketException: существующее подключение было принудительно закрыто удаленным узлом.
Описание
Эти ошибки указывают на то, что ПРОТОКОЛ TLS 1.2 не включен.
Решение
Чтобы включить TLS 1.2, ознакомьтесь со следующими разделами:
- Требования к брандмауэрам и сетевой инфраструктуре
- Включение TLS 1.2
- Включение поддержки протоколов TLS 1.1 и TLS 1.2 в Office Online Server
Зависание процессов сканера
Сообщение об ошибке
Сообщение об ошибке не отображается, но время ожидания сканера истекает.
Описание
Сканер обрабатывает один файл дольше, чем ожидалось, или неожиданно останавливается при сканировании большого количества файлов в репозитории. Процесс проверки может зависнуть.
Решение
Измените один из следующих параметров:
Количество динамических портов. Возможно, потребуется увеличить число динамических портов для операционной системы, в которых размещаются файлы. Усиление защиты сервера для SharePoint может быть одной из причин, по которой сканер превышает количество разрешенных сетевых подключений и останавливается.
Сведения о том, как просмотреть текущий диапазон портов и увеличить его, см. в разделе Параметры, которые можно изменить для повышения производительности сети.
Пороговое значение представления списка. Для крупных ферм SharePoint может потребоваться увеличить пороговое значение представления списка. По умолчанию пороговое значение представления списка равно 5000.
Сведения о повышении порогового значения см. в статье Управление большими списками и библиотеками в SharePoint.
Если проблема по-прежнему возникает, проверка подробный отчет, чтобы определить, увеличивается ли размер файла.
Если размер файла продолжает увеличиваться, сканер по-прежнему обрабатывает данные, и необходимо подождать, пока это будет сделано.
Если размер файла больше не увеличивается, сделайте следующее:
Выполните следующие командлеты:
- Командлет Start-AIPScannerDiagnostics : для выполнения диагностических проверок сканера, а также экспорта и ZIP-файлов журналов на наличие обнаруженных ошибок.
- Командлет Export-AIPLogs : для экспорта и создания .zip версии файлов журнала из каталога %localappdata%\Microsoft\MSIP\Logs .
Создайте файл дампа для службы сканера MSIP. В диспетчере задач Windows щелкните правой кнопкой мыши службу сканера MSIP и выберите Создать файл дампа.
В портал Azure остановите проверку.
На компьютере сканера перезапустите службу.
Откройте запрос в службу поддержки и вложите файлы дампа из процесса проверки.
Не удается подключиться к удаленному серверу
Сообщение об ошибке
В файле MSIPScanner.iplog , расположенном в папке %localappdata%\Microsoft\MSIP\Logs\:
Не удается подключиться к удаленному серверу ---> System.Net.Sockets.SocketException: обычно разрешено только одно использование каждого адреса сокета (протокол,сетевой адрес/порт)
При наличии нескольких журналов файл MSIPScanner.iplog будет .zip файлом.
Описание
Сканер превысил число разрешенных сетевых подключений.
Решение
Увеличьте число динамических портов для операционной системы, в которых размещаются файлы.
Сведения о том, как просмотреть текущий диапазон портов и увеличить диапазон, см. в разделе Параметры, которые можно изменить для повышения производительности сети.
Отсутствует задание или профиль сканирования содержимого
Сообщение об ошибке
В портал Azure на странице Узлы:
Задание сканирования содержимого не найдено
Описание
Эта ошибка возникает, когда не удается найти задание или профиль сканирования содержимого.
Решение
Проверьте конфигурацию сканера в портал Azure.
Дополнительные сведения см. в статье Настройка и установка средства проверки унифицированных меток Azure Information Protection.
Примечание:Профиль — это устаревший термин сканера, который был заменен кластером сканера и заданием проверки содержимого в новых версиях сканера.
Репозитории не настроены
Сообщение об ошибке
На портале администрирования на странице Узлы :
Репозитории не настроены
Описание
Возможно, у вас есть задание проверки содержимого без настроенных репозиториев.
Решение
Проверьте параметры задания проверки содержимого и добавьте по крайней мере один репозиторий.
Дополнительные сведения см. в разделе Создание задания проверки содержимого.
Кластер не найден
Сообщение об ошибке
На портале администрирования на странице Узлы :
Кластер не найден
Описание
Фактическое совпадение для одного из определенных кластеров сканера не найдено.
Решение
Проверьте конфигурацию кластера и проверка ее на наличие опечаток и ошибок в системе.
Дополнительные сведения см. в статье Создание кластера сканера.
Дополнительная информация
Рекомендации по развертыванию и использованию сканера AIP UL.