解決資訊保護掃描器部署的問題

• 適用於:

  Microsoft Purview

注意

Azure 資訊保護 統一卷標掃描器已重新命名為 Microsoft Purview 資訊保護 掃描器。 同時，組態（目前為預覽版）正在移至 Microsoft Purview 合規性入口網站。 目前，您可以在 Azure 入口網站 和合規性入口網站中設定掃描器。 本文中的指示是指這兩個系統管理入口網站。

如果您在 Microsoft Purview 資訊保護 掃描器時遇到問題，請使用 Start-ScannerDiagnostics PowerShell Cmdlet 來確認部署是否狀況良好，以啟動掃描儀診斷工具：

Start-ScannerDiagnostics

診斷工具會檢查下列詳細數據，然後使用結果建立記錄檔：

• 資料庫是否為最新狀態
• 是否可存取網路 URL
• 是否可以取得有效的驗證令牌和原則
• 配置檔是否定義於 Azure 入口網站
• 離線/在線設定是否存在且可取得
• 設定的規則是否有效

提示

• 如果您不是使用用來執行掃描器服務的服務帳戶來執行工具，則必須使用 -OnBehalf 參數。 否則，您會遇到錯誤。
• 若要從掃描儀記錄檔列印最後 10 個錯誤，請新增 Verbose 參數。 如果您想要列印更多錯誤，請使用 VerboseErrorCount 來定義您要列印的錯誤數目。

Start-ScannerDiagnostics此命令不會執行完整的必要條件檢查。 如果您在掃描器時遇到問題，您也必須確定您的系統符合 掃描器需求，而且您的 掃描器設定和安裝 已完成。

確認每個掃描器節點和存放庫的掃描詳細數據

執行 Get-ScanStatus PowerShell Cmdlet，以取得掃描器叢集中目前掃描狀態和節點清單的詳細數據。

PS C:\> Get-ScanStatus

Cluster        : contoso-test
ClusterStatus  : Scanning
StartTime      : 12/22/2020 9:05:02 AM
TimeFromStart  : 00:00:00:37
NodesInfo      : {t-contoso1-T298-corp.contoso.com,t-contoso2-T298-corp.contoso.com}

搭配 Get-ScanStatus Cmdlet 使用 NodesInfo 變數，以取得叢集中每個節點的進一步詳細數據：

PS C:\WINDOWS\system32> $x=Get-ScanStatus
PS C:\WINDOWS\system32> $x.NodesInfo

輸出會顯示資料表中每個節點的詳細資料，如下列範例所示：

NodeName                            Status    IsScanning    Summary
--------                            --------  ----------    -------
t-contoso1-T298-corp.contoso.com    Scanning        True    Microsoft.InformationProtection.Scanner.ScanSummaryData
t-contoso2-T298-corp.contoso.com    Scanning     Pending    Microsoft.InformationProtection.Scanner.ScanSummaryData

若要進一步向下切入到每個節點，請再次使用 NodesInfo 變數，並將節點整數從 0 開始。

PS C:\Windows\system32> $x.NodesInfo[0].Summary

輸出會顯示所選節點上掃描的詳細資料，如下列範例所示：

ScannerID               : t-contoso1-T298-corp.contoso.com
ScannedFiles            : 2280
FailedFiles             : 0
ScannedBytes            : 78478187
Classified              : 0
Labeled                 : 0
....

Verbose搭配 Get-ScanStatus Cmdlet 使用 參數，以取得目前掃描的相關數據。

PS C:\> Get-ScanStatus -Verbose

ScannedFiles    MBScanned    CurrentScanSummary                                         RepositoriesStatus
------------    ---------    ------------------                                         ------------------
        2280    78478187     Microsoft.InformationProtection.Scanner.ScanSummaryData    {{ Path = C:\temp, Status = Scanning }

RepositoriesStatus使用 或 CurrentScanSummary 變數進一步向下切入，以取得存放庫狀態的詳細數據。

可能的存放庫狀態值包括：

• 略過，如果已略過存放庫
• 擱置中，如果目前掃描尚未開始掃描存放庫
• 掃描，如果目前掃描正在存放庫上執行
• 已完成，如果目前的掃描已完成在存放庫上執行

範例：使用 RepositoriesStatus 變數

PS C:\Windows\system32> $x.Get-AIPScannerStatus -Verbose
PS C:\Windows\system32> $x.RepositoriesStatus

Path        Status
----        ------
C:\temp     Scanning

範例：使用 CurrentScanSummary 變數

PS C:\Windows\system32> $x.CurrentScanSummary

ScannerID               : 
ScannedFiles            : 2280
FailedFiles             : 0
ScannedBytes            : 78478187
Classified              : 0
Labeled                 : 0
....

此輸出只會顯示單一存放庫。 如果有多個存放庫，每個存放庫都會個別列出。

掃描器錯誤參考

下表提供掃描器所產生的特定錯誤訊息相關信息，並提供修正相關聯問題的動作：

錯誤類型	疑難排解
驗證錯誤	不接受驗證令牌 驗證令牌遺失
原則錯誤	原則遺失 原則不包含任何自動標籤條件
DB / 架構錯誤	資料庫錯誤 不相符或過期的架構
其他錯誤	基礎連線已關閉 停滯的掃描器程式 無法連線到遠端伺服器 遺失內容掃描作業或配置檔 未設定任何存放庫 找不到叢集

不接受驗證權杖

錯誤訊息

Microsoft.InformationProtection.Exceptions.AccessDeniedException：服務不接受驗證令牌。

說明

Set-Authentication 命令失敗。

解決方法

正確定義 Azure 入口網站 中適當許可權的 Verfy。

如需詳細資訊，請參閱 建立及設定 set-Authentication Microsoft Entra 應用程式。

遺失驗證權杖

錯誤訊息

• NoAuthTokenException：用戶端應用程式無法提供 HTTP 要求的驗證令牌

• Microsoft.InformationProtection.Exceptions.NoAuthTokenException：用戶端應用程式無法提供 HTTP 要求的驗證令牌。 失敗：System.AggregateException：發生一或多個錯誤。 >--- Microsoft.IdentityModel.Clients.ActiveDirectory.AdalException：user_interaction_required：遇到兩個條件之一：1。 已傳遞 PromptBehavior.Never 旗標，但無法接受條件約束，因為需要用戶互動。 2. 在無訊息 Web 驗證期間發生錯誤，導致 HTTP 驗證流程在足夠短的時間範圍內完成

• 無法使用 Windows 整合式驗證取得權杖（無 SSO）

• 從 [Azure 入口網站] 頁面的 [節點] 頁面上：

  原則不包含任何自動標記條件

說明

當掃描器以非互動方式執行時，就會發生這些驗證錯誤。

解決方法

您必須使用 Set-Authentication Cmdlet 來使用令牌進行驗證 。

當您執行 Set-Authentication Cmdlet 時，請確定您代表用來執行掃描儀服務的服務帳戶使用令牌參數，如下列範例所示：

$pscreds = Get-Credential CONTOSO\scanner
Set-Authentication -AppId "77c3c1c3-abf9-404e-8b2b-4652836c8c66" -AppSecret "OAkk+rnuYc/u+]ah2kNxVbtrDGbS47L4" -DelegatedUser scanner@contoso.com -TenantId "9c11c87a-ac8b-46a3-8d5c-f4d0b72ee29a" -OnBehalfOf $pscreds
Acquired application access token on behalf of CONTOSO\scanner.

如需詳細資訊，請參閱 取得掃描器的Microsoft Entra 令牌。

原則遺失

錯誤訊息

原則遺失

說明

掃描器找不到您的敏感度標籤原則檔案。

解決方法

若要確認您的原則檔案如預期般存在，請檢查下列位置： %localappdata%\Microsoft\MSIP\mip\MSIP。Scanner.exe\mip\mip.policies.sqlite3。

如需敏感度標籤及其標籤原則的詳細資訊，請參閱 建立和設定敏感度標籤及其原則。

原則不包含自動標籤條件

錯誤訊息

原則遺漏標籤條件

說明

卷標原則遺漏自動套用標籤條件。

解決方法

設定下列設定：

設定	設定設定的步驟
內容掃描作業設定	在 Azure 入口網站 中，執行下列動作： 將 [資訊類型] 設定為 [全部] 定義掃描時要套用的預設標籤
標籤原則設定	在 Microsoft Purview 合規性入口網站 中，執行下列動作： 定義預設敏感度標籤 設定自動/建議標籤

如果設定已定義為預期，原則檔案本身可能會遺失或無法存取，例如當 Microsoft Purview 合規性入口網站 發生逾時時。

若要確認您的原則檔案，請檢查下列檔案是否存在： %localappdata%\Microsoft\MSIP\mip\MSIP。Scanner.exe\mip\mip.policies.sqlite3

如需詳細資訊，請參閱什麼是 Azure 資訊保護 統一卷標掃描器？和瞭解敏感度標籤。

資料庫錯誤

錯誤訊息

DB 錯誤

說明

掃描器無法連線到資料庫。

解決方法

檢查掃描器電腦與資料庫之間的網路連線。

此外，請確定用來執行掃描器進程的服務帳戶具有存取資料庫所需的所有許可權。

不相符或過期的架構

錯誤訊息

下列其中一項：

• SchemaMismatchException

• 在 [Azure 入口網站] 的 [節點] 頁面上：

  資料庫架構不是最新的。 執行 Update-ScannerDatabase 命令來更新資料庫架構
  錯誤：資料庫架構不是最新的

說明

資料庫架構不是最新的。

解決方法

執行 Update-ScannerDatabase Cmdlet 來重新同步處理您的架構，並確保其為最新變更的最新狀態。

基礎連線已關閉

錯誤訊息

System.Net.WebException：基礎連線已關閉：傳送時發生未預期的錯誤。 >--- System.IO.IOException：驗證失敗，因為遠端合作物件已關閉傳輸數據流。

[System.Net.Http.HttpRequestException：傳送要求時發生錯誤。 >--- System.Net.WebException：基礎連線已關閉：傳送時發生非預期的錯誤。 >--- System.IO.IOException：無法從傳輸連線讀取數據：遠端主機強行關閉現有的連線。 >--- System.Net.Sockets.SocketException：遠端主機強制關閉現有的連線。

說明

這些錯誤表示未啟用 TLS 1.2。

解決方法

若要啟用 TLS 1.2，請參閱：

• 防火牆和網路基礎結構需求
• 如何啟用 TLS 1.2
• 啟用 Office Online Server 中的 TLS 1.1 和 TLS 1.2 支援

停滯的掃描器程序

錯誤訊息

沒有顯示錯誤訊息，但掃描器逾時。

說明

掃描器正在處理單一檔案的時間超過預期，或在掃描存放庫中大量檔案時意外停止。 掃描儀程式可能會停滯不前。

解決方法

修改下列其中一個設定：

• 動態埠數目。 您可能需要增加裝載檔案之作業系統的動態埠數目。 SharePoint 的伺服器強化可能是掃描器超過允許的網路連線數目和停止的原因之一。

  如需如何檢視目前埠範圍並增加範圍的資訊，請參閱 可修改以改善網路效能的設定。

• 清單檢視閾值。 針對大型 SharePoint 伺服器陣列，您可能需要增加清單檢視閾值。 根據預設，清單檢視閾值會設定為 5,000。

  如需增加臨界值的資訊，請參閱 在 SharePoint 中管理大型清單和文檔庫。

如果問題仍然發生，請檢查詳細報告，以判斷檔案的大小是否增加。

如果檔案大小繼續增加，則掃描器仍在處理數據，而且您必須等到完成為止。

如果檔案大小不再增加，請執行下列動作：

1. 執行下列 Cmdlet：

   • Start-ScannerDiagnostics Cmdlet：在掃描器上執行診斷檢查，並導出和壓縮記錄檔中是否有任何找到的錯誤。
   • Export-DebugLogs Cmdlet：從 %localappdata%\Microsoft\MSIP\Logs 目錄導出及建立記錄檔的.zip版本。

2. 建立 MSIP 掃描器服務的傾印檔案。 在 Windows 任務管理器中，以滑鼠右鍵按下 MSIP 掃描器服務，然後選取 [ 建立傾印檔案]。

3. 在 Azure 入口網站 中，停止掃描。

4. 在掃描器電腦上，重新啟動服務。

5. 開啟支援票證，並從掃描儀程式附加傾印檔案。

無法連線到遠端伺服器

錯誤訊息

在位於 %localappdata%\Microsoft\MSIP\Logs\的 MSIPScanner.iplog 檔案中：

無法連線到遠端伺服器---> System.Net.Sockets.SocketException：通常只允許每個套接字位址的一個使用方式（通訊協定/網路位址/埠）

如果有多個記錄， MSIPScanner.iplog 檔案將會是.zip檔案。

說明

掃描器已超過允許的網路連線數目。

解決方法

增加裝載檔案之作業系統的動態埠數目。

如需如何檢視目前埠範圍並增加範圍的資訊，請參閱 可修改以改善網路效能的設定。

遺失內容掃描工作或設定檔

錯誤訊息

在 [Azure 入口網站] 的 [節點] 頁面上：

找不到內容掃描作業

說明

找不到內容掃描作業或配置檔時，就會發生此錯誤。

解決方法

在 Azure 入口網站 中檢查掃描器組態。

如需詳細資訊，請參閱設定及安裝 Azure 資訊保護 統一卷標掃描器。

注意：配置檔是舊版掃描器字詞，已由掃描器叢集和較新版本掃描器的內容掃描作業所取代。

未設定任何存放庫？

錯誤訊息

在管理入口網站的 [節點] 頁面上：

未設定任何存放庫

說明

您可能有未設定存放庫的內容掃描作業。

解決方法

檢查您的內容掃描作業設定，並新增至少一個存放庫。

如需詳細資訊，請參閱 建立內容掃描作業。

找不到任何叢集

錯誤訊息

在管理入口網站的 [節點] 頁面上：

找不到任何叢集

說明

找不到您所定義的其中一個掃描器叢集的實際相符專案。

解決方法

確認您的叢集組態，並針對您自己的系統詳細數據檢查是否有錯字和錯誤。

如需詳細資訊，請參閱 建立掃描儀叢集。

其他相關資訊

部署和使用 AIP UL 掃描器的最佳做法。