Lösa problem med distribution av informationsskyddsskanner

• Gäller för:

  Microsoft Purview

Kommentar

Den enhetliga etiketteringsskannern för Azure Information Protection byter namn till Microsoft Purview Information Protection-skannern. Samtidigt flyttas konfigurationen (för närvarande i förhandsversion) till efterlevnadsportal i Microsoft Purview. För närvarande kan du konfigurera skannern i både Azure Portal och efterlevnadsportalen. Instruktioner i den här artikeln refererar till båda administratörsportalerna.

Om du har problem med Microsoft Purview Information Protection-skannern kontrollerar du om distributionen är felfri med hjälp av PowerShell-cmdleten Start-ScannerDiagnostics för att starta skannerdiagnostikverktyget:

Start-ScannerDiagnostics

Diagnostikverktyget kontrollerar följande information och skapar sedan en loggfil med resultatet:

• Om databasen är uppdaterad
• Om nätverks-URL:er är tillgängliga
• Om det finns en giltig autentiseringstoken och principen kan hämtas
• Om profilen definieras i Azure Portal
• Om offline-/onlinekonfiguration finns och kan hämtas
• Om de konfigurerade reglerna är giltiga

Dricks

• Om du inte kör verktyget med hjälp av tjänstkontot som används för att köra skannertjänsten måste du använda parametern -OnBehalf . Annars kommer du att stöta på fel.
• Om du vill skriva ut de senaste 10 felen från skannerloggen lägger du till parametern Verbose . Om du vill skriva ut fler fel använder VerboseErrorCount du för att definiera antalet fel som du vill skriva ut.

Kommandot Start-ScannerDiagnostics kör inte en fullständig kravkontroll. Om du har problem med skannern måste du också se till att systemet uppfyller skannerkraven och att skannerkonfigurationen och installationen är klar.

Verifiera genomsökningsinformation per skannernod och lagringsplats

Kör PowerShell-cmdleten Get-ScanStatus för att få information om aktuell genomsökningsstatus och listan över noder i skannerklustret.

PS C:\> Get-ScanStatus

Cluster        : contoso-test
ClusterStatus  : Scanning
StartTime      : 12/22/2020 9:05:02 AM
TimeFromStart  : 00:00:00:37
NodesInfo      : {t-contoso1-T298-corp.contoso.com,t-contoso2-T298-corp.contoso.com}

Använd variabeln NodesInfo med cmdleten Get-ScanStatus för att få ytterligare information om varje nod i klustret:

PS C:\WINDOWS\system32> $x=Get-ScanStatus
PS C:\WINDOWS\system32> $x.NodesInfo

Utdata visar information för varje nod i en tabell enligt följande exempel:

NodeName                            Status    IsScanning    Summary
--------                            --------  ----------    -------
t-contoso1-T298-corp.contoso.com    Scanning        True    Microsoft.InformationProtection.Scanner.ScanSummaryData
t-contoso2-T298-corp.contoso.com    Scanning     Pending    Microsoft.InformationProtection.Scanner.ScanSummaryData

Om du vill öka detaljnivån ytterligare i varje nod använder du variabeln NodesInfo igen, med nod heltal som börjar med 0.

PS C:\Windows\system32> $x.NodesInfo[0].Summary

Utdata visar information om genomsökningarna på den valda noden enligt följande exempel:

ScannerID               : t-contoso1-T298-corp.contoso.com
ScannedFiles            : 2280
FailedFiles             : 0
ScannedBytes            : 78478187
Classified              : 0
Labeled                 : 0
....

Använd parametern Verbose med cmdleten Get-ScanStatus för att hämta data om en aktuell genomsökning.

PS C:\> Get-ScanStatus -Verbose

ScannedFiles    MBScanned    CurrentScanSummary                                         RepositoriesStatus
------------    ---------    ------------------                                         ------------------
        2280    78478187     Microsoft.InformationProtection.Scanner.ScanSummaryData    {{ Path = C:\temp, Status = Scanning }

Använd variablerna RepositoriesStatusCurrentScanSummary eller för att öka detaljnivån ytterligare för mer information om lagringsplatsernas status.

Möjliga lagringsplatsstatusvärden är:

• Hoppades över om lagringsplatsen hoppades över
• Väntar, om den aktuella genomsökningen ännu inte har börjat genomsöka lagringsplatsen
• Genomsökning, om den aktuella genomsökningen körs på lagringsplatsen
• Slutförd om den aktuella genomsökningen har slutförts på lagringsplatsen

Exempel: Använd variabeln RepositoriesStatus

PS C:\Windows\system32> $x.Get-AIPScannerStatus -Verbose
PS C:\Windows\system32> $x.RepositoriesStatus

Path        Status
----        ------
C:\temp     Scanning

Exempel: Använd variabeln CurrentScanSummary

PS C:\Windows\system32> $x.CurrentScanSummary

ScannerID               : 
ScannedFiles            : 2280
FailedFiles             : 0
ScannedBytes            : 78478187
Classified              : 0
Labeled                 : 0
....

Utdata visar endast en enda lagringsplats. Om det finns flera lagringsplatser visas var och en separat.

Referens för skannerfel

Följande tabell innehåller information om specifika felmeddelanden som genereras av skannern och innehåller åtgärder för att åtgärda det associerade problemet:

Typ av fel	Felsökning
Autentiseringsfel	Autentiseringstoken accepteras inte Autentiseringstoken saknas
Principfel	Princip saknas Principen innehåller inget villkor för automatisk etikettering
DB/Schemafel	Databasfel Felmatchat eller inaktuellt schema
Andra fel	Den underliggande anslutningen stängdes Processer för fast skanner Det går inte att ansluta till fjärrservern Innehållssökningsjobb eller profil saknas Inga lagringsplatser har konfigurerats Inget kluster hittades

Autentiseringstoken accepterades inte

Felmeddelande

Microsoft.InformationProtection.Exceptions.AccessDeniedException: Tjänsten accepterade inte autentiseringstoken.

Beskrivning

Kommandot Set-Authentication misslyckades.

Lösning

Kontrollera att rätt behörigheter har definierats korrekt i Azure Portal.

Mer information finns i Skapa och konfigurera Microsoft Entra-program för Set-Authentication.

Autentiseringstoken saknas

Felmeddelanden

• NoAuthTokenException: Klientprogrammet kunde inte tillhandahålla autentiseringstoken för HTTP-begäran

• Microsoft.InformationProtection.Exceptions.NoAuthTokenException: Klientprogrammet kunde inte tillhandahålla autentiseringstoken för HTTP-begäran. Misslyckades med: System.AggregateException: Ett eller flera fel inträffade. >--- Microsoft.IdentityModel.Clients.ActiveDirectory.AdalException: user_interaction_required: Ett av två villkor påträffades: 1. Flaggan PromptBehavior.Never skickades, men begränsningen kunde inte respekteras eftersom användarinteraktion krävdes. 2. Ett fel uppstod under en tyst webbautentisering som hindrade http-autentiseringsflödet från att slutföras inom en kort tidsram

• Det gick inte att hämta en token med windows-integrerad autentisering (ingen enkel inloggning)

• Från Azure Portal på sidan Noder:

  Principen innehåller inget automatiskt etiketteringsvillkor

Beskrivning

Dessa autentiseringsfel uppstår när skannern körs icke-interaktivt.

Lösning

Du måste autentisera med hjälp av en token med hjälp av cmdleten Set-Authentication .

När du kör cmdleten Set-Authentication kontrollerar du att du använder tokenparametern för tjänstkontot som används för att köra skannertjänsten enligt följande exempel:

$pscreds = Get-Credential CONTOSO\scanner
Set-Authentication -AppId "77c3c1c3-abf9-404e-8b2b-4652836c8c66" -AppSecret "OAkk+rnuYc/u+]ah2kNxVbtrDGbS47L4" -DelegatedUser scanner@contoso.com -TenantId "9c11c87a-ac8b-46a3-8d5c-f4d0b72ee29a" -OnBehalfOf $pscreds
Acquired application access token on behalf of CONTOSO\scanner.

Mer information finns i Hämta en Microsoft Entra-token för skannern.

Princip saknas

Felmeddelande

Principen saknas

Beskrivning

Skannern kan inte hitta din principfil för känslighetsetiketter.

Lösning

Kontrollera att principfilen finns som förväntat genom att checka in följande plats: %localappdata%\Microsoft\MSIP\mip\MSIP. Scanner.exe\mip\mip.policies.sqlite3.

Mer information om känslighetsetiketter och deras etikettprinciper finns i Skapa och konfigurera känslighetsetiketter och deras principer.

Principen innehåller inte villkor för automatisk etikettering

Felmeddelande

Principen saknar etiketteringsvillkor

Beskrivning

Etikettprincipen saknar villkor för automatisk etikettering.

Lösning

Konfigurera följande inställningar:

Inställning	Steg för att konfigurera inställningar
Jobbinställningar för innehållssökning	Gör följande i Azure Portal: Ange vilka informationstyper som ska identifieras till Alla Definiera en standardetikett som ska användas vid genomsökning
Inställningar för etiketteringsprincip	Gör följande i efterlevnadsportal i Microsoft Purview: Definiera en standardkänslighetsetikett Konfigurera automatisk/rekommenderad etikettering

Om inställningarna redan har definierats som förväntat kan själva principfilen saknas eller vara otillgänglig, till exempel när det finns en timeout från efterlevnadsportal i Microsoft Purview.

Kontrollera att följande fil finns för att verifiera principfilen: %localappdata%\Microsoft\MSIP\mip\MSIP. Scanner.exe\mip\mip.policies.sqlite3

Mer information finns i Vad är Azure Information Protection enhetlig etikettsskanner? och Läs mer om känslighetsetiketter.

Databasfel

Felmeddelande

DB-fel

Beskrivning

Skannern kan inte ansluta till databasen.

Lösning

Kontrollera nätverksanslutningen mellan skannerdatorn och databasen.

Kontrollera dessutom att tjänstkontot som används för att köra skannerprocesser har alla behörigheter som krävs för att få åtkomst till databasen.

Felmatchat eller inaktuellt schema

Felmeddelande

Något av följande:

• SchemaMismatchException

• I Azure Portal på sidan Noder:

  DB-schemat är inte uppdaterat. Kör kommandot Update-ScannerDatabase för att uppdatera DB-schemat
  Fel: DB-schemat är inte uppdaterat

Beskrivning

Databasschemat är inte uppdaterat.

Lösning

Kör cmdleten Update-ScannerDatabase för att synkronisera om schemat och se till att det är uppdaterat med de senaste ändringarna.

Den underliggande anslutningen stängdes

Felmeddelanden

System.Net.WebException: Den underliggande anslutningen stängdes: Ett oväntat fel uppstod vid en sändning. >--- System.IO.IOException: Autentiseringen misslyckades eftersom fjärrparten har stängt transportströmmen.

[System.Net.Http.HttpRequestException: Ett fel uppstod när begäran skickades. >--- System.Net.WebException: Den underliggande anslutningen stängdes: Ett oväntat fel uppstod vid en sändning. >--- System.IO.IOException: Det gick inte att läsa data från transportanslutningen: En befintlig anslutning stängdes med tvång av fjärrvärden. >--- System.Net.Sockets.SocketException: En befintlig anslutning stängdes med tvång av fjärrvärden.

Beskrivning

Dessa fel indikerar att TLS 1.2 inte är aktiverat.

Lösning

Information om hur du aktiverar TLS 1.2 finns i:

• Brandväggar och krav på nätverksinfrastruktur
• Aktivera TLS 1.2
• Aktivera stöd för TLS 1.1 och 1.2 i Office Online Server

Genomsökningen har fastnat

Felmeddelande

Inget felmeddelande visas, men skannern överskrider tidsgränsen.

Beskrivning

Skannern bearbetar en enskild fil under en längre tid än förväntat, eller så stoppas den oväntat vid genomsökning av ett stort antal filer på en lagringsplats. Skannerprocessen kan ha fastnat.

Lösning

Ändra någon av följande inställningar:

• Antal dynamiska portar. Du kan behöva öka antalet dynamiska portar för operativsystemet som är värd för filerna. Serverhärdning för SharePoint kan vara en orsak till att skannern överskrider antalet tillåtna nätverksanslutningar och stoppar.

  Information om hur du visar det aktuella portintervallet och ökar intervallet finns i Inställningar som kan ändras för att förbättra nätverksprestanda.

• Tröskelvärde för listvy. För stora SharePoint-servergrupper kan du behöva öka tröskelvärdet för listvyn. Som standard är tröskelvärdet för listvyn inställt på 5 000.

  Information om hur du ökar tröskelvärdet finns i Hantera stora listor och bibliotek i SharePoint.

Om problemet kvarstår kontrollerar du den detaljerade rapporten för att avgöra om filen ökar i storlek.

Om filstorleken fortsätter att öka bearbetar skannern fortfarande data och du måste vänta tills den är klar.

Om filen inte längre ökar i storlek gör du följande:

1. Kör följande cmdlets:

   • Cmdleten Start-ScannerDiagnostics : för att köra diagnostikkontroller på skannern och exportera och zip-loggfiler för eventuella fel som hittas.
   • Cmdleten Export-DebugLogs : för att exportera och skapa en .zip version av loggfilerna från katalogen %localappdata%\Microsoft\MSIP\Logs .

2. Skapa en dumpfil för MSIP Scanner-tjänsten. Högerklicka på MSIP-skannertjänsten i Windows Aktivitetshanteraren och välj Skapa dumpfil.

3. Stoppa genomsökningen i Azure Portal.

4. Starta om tjänsten på skannerdatorn.

5. Öppna ett supportärende och bifoga dumpfilerna från skannerprocessen.

Det går inte att ansluta till fjärrservern

Felmeddelande

I filen MSIPScanner.iplog under %localappdata%\Microsoft\MSIP\Logs\:

Det går inte att ansluta till fjärrservern ---> System.Net.Sockets.SocketException: Endast en användning av varje socketadress (protokoll/nätverksadress/port) tillåts normalt IP:port

Om det finns flera loggar blir MSIPScanner.iplog-filen en .zip fil.

Beskrivning

Skannern har överskridit antalet tillåtna nätverksanslutningar.

Lösning

Öka antalet dynamiska portar för operativsystemet som är värd för filerna.

Information om hur du visar det aktuella portintervallet och ökar intervallet finns i Inställningar som kan ändras för att förbättra nätverksprestanda.

Innehåll saknas för skanningsjobb eller profiler

Felmeddelande

I Azure Portal på sidan Noder:

Inget innehållsgenomsökningsjobb hittades

Beskrivning

Det här felet uppstår när innehållssökningsjobbet eller profilen inte kan hittas.

Lösning

Kontrollera skannerkonfigurationen i Azure Portal.

Mer information finns i Konfigurera och installera skannern för enhetlig etikettering i Azure Information Protection.

Obs! En profil är en äldre skannerterm som har ersatts av skannerklustret och innehållssökningsjobbet i nyare versioner av skannern.

Det finns inga konfigurerade databaser

Felmeddelande

På sidan Noder i administratörsportalen :

Inga lagringsplatser har konfigurerats

Beskrivning

Du kan ha ett innehållsgenomsökningsjobb utan att några lagringsplatser har konfigurerats.

Lösning

Kontrollera jobbinställningarna för innehållssökning och lägg till minst en lagringsplats.

Mer information finns i Skapa ett innehållsgenomsökningsjobb.

Inget kluster hittades

Felmeddelande

På sidan Noder i administratörsportalen :

Inget kluster hittades

Beskrivning

Ingen faktisk matchning hittades för ett av de skannerkluster som du har definierat.

Lösning

Kontrollera klusterkonfigurationen och kontrollera den mot din egen systeminformation för stavfel och fel.

Mer information finns i Skapa ett skannerkluster.

Mer information

Metodtips för att distribuera och använda AIP UL-skannern.