Řešení potíží s jednotným označováním při nasazení místního skeneruTroubleshooting your unified labeling on-premises scanner deployment

*Platí pro: Azure Information Protection, Windows Server 2019, Windows Server 2016, Windows Server 2012 R2 **Applies to: Azure Information Protection, Windows Server 2019, Windows Server 2016, Windows Server 2012 R2*

*Relevantní pro: jenom klienta AIP Unified labeling. **Relevant for: AIP unified labeling client only.*

Obsah tohoto článku vám může pomoct při řešení potíží s nasazením místního skeneru.Use the content in this article to help you troubleshoot your on-premises scanner deployment.

Řešení potíží pomocí diagnostického nástroje pro skenováníTroubleshooting using the scanner diagnostic tool

Pokud máte problémy se službou Azure Information Scanner, ověřte, jestli je vaše nasazení v pořádku, pomocí příkazu Start-AIPScannerDiagnostics prostředí PowerShell:If you're having issues with the Azure Information Scanner, verify whether your deployment is healthy using the Start-AIPScannerDiagnostics PowerShell command:

Start-AIPScannerDiagnostics

Nástroj Diagnostika zkontroluje následující podrobnosti a potom exportuje soubor protokolu s výsledky:The diagnostics tool checks the following details and then exports a log file with the results:

  • Zda je databáze aktuálníWhether the database is up to date
  • Zda jsou k dispozici síťové adresy URLWhether network URLs are accessible
  • Zda existuje platný ověřovací token a zásadu lze získatWhether there's a valid authentication token and the policy can be acquired
  • Určuje, zda je profil definován v Azure PortalWhether the profile is defined in the Azure portal
  • Zda existuje konfigurace offline/online a že se dá získatWhether offline/online configuration exists and can be acquired
  • Zda jsou konfigurovaná pravidla platnáWhether the rules configured are valid

Tip

  • Pokud jste příkaz spustili v rámci uživatele, který není uživatel s skenerem, nezapomeňte přidat parametr -Add-jménem .If you are running the command under a user that is not the scanner user, be sure to add the -OnBehalf parameter.
  • Chcete-li vytisknout posledních 10 chyb z protokolu skeneru, přidejte podrobný parametr.To print the last 10 errors from the scanner log, add the Verbose parameter. Pokud chcete vytisknout více chyb, pomocí VerboseErrorCount definujte počet chyb, které chcete vytisknout.If you want to print more errors, use the VerboseErrorCount to define the number of errors you want to print.

Poznámka

Příkaz Start-AIPScannerDiagnostics nespustí úplnou kontrolu požadovaných součástí.The Start-AIPScannerDiagnostics command does not run a full prerequisites check. Pokud máte s skenerem problémy, ujistěte se také, že váš systém splňuje požadavky na skenera že je dokončena Konfigurace a instalace skeneru .If you're having issues with the scanner, also ensure that your system complies with scanner requirements, and that your scanner configuration and installation is complete.

Řešení potíží s kontrolou, která vypršel časový limitTroubleshooting a scan that timed out

Pokud se skener neočekávaně zastaví a nedokončil kontrolu velkého počtu souborů v úložišti, možná budete muset změnit jedno z následujících nastavení:If the scanner stops in the middle unexpectedly and doesn't complete scanning a large number of files in a repository, you may need to modify one of the following settings:

  • Počet dynamických portů.Number of dynamic ports. Možná budete muset zvýšit počet dynamických portů pro operační systém, který je hostitelem souborů.You may need to increase the number of dynamic ports for the operating system hosting the files. Posílení zabezpečení serveru pro SharePoint může být jedním z důvodů, proč tento skener překročí počet povolených síťových připojení, a proto se zastaví.Server hardening for SharePoint can be one reason why the scanner exceeds the number of allowed network connections, and therefore stops.

    Další informace o tom, jak zobrazit aktuální rozsah portů a zvětšit rozsah, najdete v tématu nastavení, která lze upravit za účelem zlepšení výkonu sítě.For more information about how to view the current port range and increase the range, see Settings that can be Modified to Improve Network Performance.

  • Prahová hodnota zobrazení seznamuList view threshold. U rozsáhlých farem SharePoint může být nutné zvýšit mezní hodnotu zobrazení seznamu.For large SharePoint farms, you may need to increase the list view threshold. Ve výchozím nastavení je prahová hodnota zobrazení seznamu nastavená na 5 000.By default, the list view threshold is set to 5,000.

    Další informace najdete v tématu Správa rozsáhlých seznamů a knihoven na SharePointu.For more information, see Manage large lists and libraries in SharePoint.

Ověřit podrobnosti o kontrole na uzel a úložiště skeneru (Public Preview)Verify scanning details per scanner node and repository (Public preview)

Použijte příkaz Get-AIPScannerStatus spolu s proměnnými k získání podrobností o stavu kontroly na jednotlivých uzlech v clusteru skeneru.Use the Get-AIPScannerStatus together with variables to get details about the scanning status on each node in your scanner cluster.

Použijte jednu nebo více následujících metod:Use one or more of the following methods:

K získání podrobných informací o stavu prohledávání každého uzlu použijte proměnnou NodesInfoUse the NodesInfo variable to get details about the scanning status on each node

Například spusťte následující příkaz:For example, run the following command:

PS C:\> Get-AIPScannerStatus

Cluster        : contoso-test
ClusterStatus  : Scanning
StartTime      : 12/22/2020 9:05:02 AM
TimeFromStart  : 00:00:00:37
NodesInfo      : {t-contoso1-T298-corp.contoso.com,t-contoso2-T298-corp.contoso.com}

Výstup zobrazí podrobnosti o aktuálním stavu kontroly a také seznam uzlů v clusteru.The output displays details about the current scan status, as well as a list of nodes in the cluster.

Pomocí proměnné NodesInfo můžete zobrazit další podrobnosti o jednotlivých uzlech v clusteru:Use the NodesInfo variable to display further details about each node in the cluster:

PS C:\WINDOWS\system32> $x=Get-AIPScannerStatus
PS C:\WINDOWS\system32> $x.NodesInfo

Výstup zobrazí podrobnosti pro každý uzel v tabulce.The output displays details for each node in a table. Například:For example:

NodeName                            Status    IsScanning    Summary
--------                            --------  ----------    -------
t-contoso1-T298-corp.contoso.com    Scanning        True    Microsoft.InformationProtection.Scanner.ScanSummaryData
t-contoso2-T298-corp.contoso.com    Scanning     Pending    Microsoft.InformationProtection.Scanner.ScanSummaryData

Chcete-li přejít k podrobnostem v jednotlivých uzlech, použijte znovu proměnnou NodesInfo s celým číslem uzlu začínajícím na 0.To drill down further into each node, use the NodesInfo variable again, with the node integer starting with 0. Například:For example:

PS C:\Windows\system32> $x.NodesInfo[0].Summary

Výstup zobrazí dlouhý seznam podrobností o kontrole na vybraném uzlu.The output displays a long list of details about the scan on the selected node. Například:For example:

ScannerID               : t-contoso1-T298-corp.contoso.com
ScannedFiles            : 2280
FailedFiles             : 0
ScannedBytes            : 78478187
Classified              : 0
Labeled                 : 0
....

Pro získání dat pro aktuální kontrolu použijte parametr verboseUse the Verbose parameter to get data for current scan

PS C:\> Get-AIPScannerStatus -Verbose

ScannedFiles    MBScanned    CurrentScanSummary                                         RepositoriesStatus
------------    ---------    ------------------                                         ------------------
        2280    78478187     Microsoft.InformationProtection.Scanner.ScanSummaryData    {{ Path = C:\temp, Status = Scanning }

Další informace o úložištích můžete podrobněji najít pomocí proměnných RepositoriesStatus nebo CurrentScanSummary .Drill down further to find more details for the repositories by using the RepositoriesStatus or the CurrentScanSummary variables.

Mezi možné stavy úložiště patří:Possible repository statuses include:

  • Přeskočeno, pokud bylo úložiště vynechánoSkipped, if the repository was skipped
  • Čeká na vyřízení, pokud aktuální kontrola ještě nespustila prohledávání úložištěPending, if the current scan has not yet started scanning the repository
  • Kontroluje se, jestli je aktuální kontrola spuštěná v úložišti.Scanning, if the current scan is running on the repository
  • Dokončeno, pokud se aktuální kontrola dokončila v úložištiFinished, if the current scan has completed running on the repository

RepositoriesStatusRepositoriesStatus

PS C:\Windows\system32> $x.Get-AIPScannerStatus -Verbose
PS C:\Windows\system32> $x.RepositoriesStatus

Path        Status
----        ------
C:\temp     Scanning

CurrentScanSummaryCurrentScanSummary

PS C:\Windows\system32> $x.CurrentScanSummary


ScannerID               : 
ScannedFiles            : 2280
FailedFiles             : 0
ScannedBytes            : 78478187
Classified              : 0
Labeled                 : 0
....

Tento výstup zobrazuje jenom jedno úložiště.This output shows only a single repository. V případě více úložišť bude každá z nich uvedena samostatně.In cases of multiple repositories, each one will be listed separately.

Reference k chybě skeneruScanner error reference

Pomocí následujících částí můžete pochopit konkrétní chybové zprávy, které jsou generovány skenerem, a akce řešení nebo řešení problému pro vyřešení tohoto problému:Use the following sections to understand specific error messages generated by the scanner, and troubleshooting or solution actions to fix the issue:

Typ chybyError type Řešení potížíTroubleshooting
Chyby ověřováníAuthentication errors - Ověřovací token se nepřijal.- Authentication token not accepted
- Chybí ověřovací token.- Authentication token missing
Chyby zásadPolicy errors - Chybějící zásady- Policy missing
- Zásada neobsahuje žádnou automatickou podmínku pro popisky.- Policy doesn't include any automatic labeling condition
Chyby databáze/schématuDB / Schema errors - Chyby databáze- Database errors
- Neshodné nebo zastaralé schéma- Mismatched or outdated schema
Jiné chybyOther errors - Základní připojení bylo zavřeno.- Underlying connection was closed
- Zablokované procesy skeneru- Stuck scanner processes
- Nepovedlo se připojit ke vzdálenému serveru.- Unable to connect to remote server
- Při odesílání žádosti došlo k chybě.- Error occurred while sending the request
- Chybí úloha nebo profil kontroly obsahu.- Missing content scan job or profile
- Nejsou nakonfigurovaná žádná úložiště.- No repositories configured
- Nenašel se žádný cluster.- No cluster found
- Diagnostické chyby skeneru- Scanner diagnostics errors

Ověřovací token se nepřijalAuthentication token not accepted

Chybová zprávaError message

Microsoft.InformationProtection.Exceptions.AccessDeniedException: The service didn't accept the auth token.

ŘešeníSolution

Pokud se příkaz set-AIPAuthentication nepovede, ujistěte se, že jste v Azure Portal správně definovali oprávnění.If the Set-AIPAuthentication command failed, make sure to define the permissions correctly in the Azure portal.

Další informace najdete v tématu Vytvoření a konfigurace aplikací Azure AD pro set-AIPAuthentication.For more information, see Create and configure Azure AD applications for Set-AIPAuthentication.

Chybějící ověřovací tokenAuthentication token missing

Chybová zprávaError message

Jeden z následujících produktů:One of the following:

  • NoAuthTokenException: Client application failed to provide authentication token for HTTP request

  • Microsoft.InformationProtection.Exceptions.NoAuthTokenException: Client application failed to provide authentication token for HTTP request. Failed with: System.AggregateException: One or more errors occurred. ---> Microsoft.IdentityModel.Clients.ActiveDirectory.AdalException: user_interaction_required: One of two conditions was encountered: 1. The PromptBehavior.Never flag was passed, but the constraint could not be honored, because user interaction was required. 2. An error occurred during a silent web authentication that prevented the http authentication flow from completing in a short enough time frame

  • Failed to acquire a token using windows integrated authentication (No SSO)

  • Z Azure Portal na stránce uzly : Policy does not include any automatic labeling conditionFrom the Azure portal, on the Nodes page: Policy does not include any automatic labeling condition

ŘešeníSolution

Aby se spustilo neinteraktivně spuštěné skenery, musíte se ověřit pomocí tokenu.In order to have the scanner run non-interactively, you must authenticate using a token.

Když spustíte příkaz set-AIPAuthentication , ujistěte se, že jste použili parametr tokenu jménem uživatele skeneru.When you run the Set-AIPAuthentication command, make sure you use the token parameter on behalf of the scanner user.

Například:For example:

$pscreds = Get-Credential CONTOSO\scanner
Set-AIPAuthentication -AppId "77c3c1c3-abf9-404e-8b2b-4652836c8c66" -AppSecret "OAkk+rnuYc/u+]ah2kNxVbtrDGbS47L4" -DelegatedUser scanner@contoso.com -TenantId "9c11c87a-ac8b-46a3-8d5c-f4d0b72ee29a" -OnBehalfOf $pscreds
Acquired application access token on behalf of CONTOSO\scanner.

Další informace najdete v tématu získání tokenu Azure AD pro skener.For more information, see Get an Azure AD token for the scanner.

Chybějící zásadyPolicy missing

Chybová zprávaError message

Policy is missing

PopisDescription

Skener nemůže najít soubor zásad Microsoft Information Protection (MIP).The scanner is unable to find your Microsoft Information Protection (MIP) policy file.

ŘešeníSolution

Pokud chcete ověřit, že soubor zásad existuje podle očekávání, vraťte se do následujícího umístění: % localappdata% \Microsoft\MSIP\mip\MSIP.Scanner.exe \mip\mip.policies.sqlite3To verify that your policy file exists as expected, check in the following location: %localappdata%\Microsoft\MSIP\mip\MSIP.Scanner.exe\mip\mip.policies.sqlite3

Další informace o štítcích MIP a zásadách popisků najdete v tématu Vytvoření a konfigurace popisků a pravidel citlivosti a jejich zásad v dokumentaci k Microsoft 365.For more information about MIP labels and label policies, see Create and configure sensitivity labels and their policies in the Microsoft 365 documentation.

Zásady nezahrnují žádnou podmínku automatického popisování.Policy doesn't include any automatic labeling condition

ChybaError

Chyby ukazují, že v zásadách označování chybí podmínky automatických popisků.Errors show that your labeling policy is missing automatic labeling conditions

ŘešeníSolution

Ověřte některé nebo všechny následující problémy:Verify any or all of following issues:

ŘešeníSolution PodrobnostiDetails
Kontrola nastavení úlohy prověřování obsahuCheck your content scan job settings V Azure Portal postupujte následovně:In the Azure portal, do the following:

- Nastavit typy informací, které mají být zjištěny všem- Set the Info types to be discovered to All
- Definovat výchozí popisek, který se použije při kontrole- Define a default label to be applied when scanning
Ověřte nastavení zásad označování.Check your labeling policy settings V centru pro správu popisků, jako je Microsoft 365 Security & Security Center, postupujte takto:In your labeling admin center, such as the Microsoft 365 Security & Compliance Center, do the following:

- Definovat výchozí popisek citlivosti- Define a default sensitivity label
- Definice automatického/doporučeného pravidla označování- Define automatic / recommended labeling rules
Ověřte, jestli je vaše zásada dostupná.Verify that your policy is accessible Pokud jsou nastavení definována podle očekávání, může být samotný soubor zásad chybět nebo nepřístupný, například když je v centru zabezpečení Microsoft 365 Security & časový limit.If your settings are defined as expected, the policy file itself may be missing or inaccessible, such as when there's a timeout from the Microsoft 365 Security & Compliance Center.

Chcete-li ověřit soubor zásad, zkontrolujte, zda existuje následující soubor: % localappdata% \Microsoft\MSIP\mip\MSIP.Scanner.exe \mip\mip.policies.sqlite3To verify your policy file, check that the following file exists: %localappdata%\Microsoft\MSIP\mip\MSIP.Scanner.exe\mip\mip.policies.sqlite3

Další informace najdete v tématu co je Azure Information Protection Unified labeling Scanner? a Další informace o popisech citlivosti.For more information, see What is the Azure Information Protection unified labeling scanner? and Learn about sensitivity labels.

Chyby databázeDatabase errors

Chybová zprávaError message

DB error

PopisDescription

Je možné, že se skener nebude moci připojit k databázi.The scanner may not be able to connect to the database.

ŘešeníSolution

Ověřte síťové připojení mezi počítačem skeneru a databází.Check your network connectivity between the scanner computer and the database.

Navíc se ujistěte, že účet služby používaný ke spouštění procesů skeneru má všechna oprávnění požadovaná pro přístup k databázi.Additionally, make sure that the service account being used to run scanner processes has any permissions required to access the database.

Neshodné nebo zastaralé schémaMismatched or outdated schema

Chybová zprávaError message

Jeden z následujících produktů:One of the following:

  • SchemaMismatchException

  • V Azure Portal na stránce uzly : DB schema is not up to date. Run Update-AIPScanner command to update the DB schema nebo Error: DB schema is not up to dateIn the Azure portal, on the Nodes page: DB schema is not up to date. Run Update-AIPScanner command to update the DB schema or Error: DB schema is not up to date

ŘešeníSolution

Spusťte příkaz Update-AIPScanner a znovu synchronizujte vaše schéma a ujistěte se, že je aktuální s případnými posledními změnami.Run the Update-AIPScanner command to resynchronize your schema and ensure that it's up to date with any recent changes.

Diagnostické chyby skeneruScanner diagnostics errors

Pokud se zobrazí chyby spuštění příkazu Start-AIPDiagnostics , ujistěte se, že používáte správné přihlašovací údaje k účtu skeneru v parametru - OnStart.If you get errors running the Start-AIPDiagnostics command, make sure that you're using the correct scanner account credentials in the -OnBehalf parameter.

Například:For example:

$scanner_account_creds= Get-Credential
Start-AIPScannerDiagnostics -onbehalf $scanner_account_creds

Základní připojení bylo zavřeno.Underlying connection was closed

Chybová zprávaError message

System.Net.WebException: The underlying connection was closed: An unexpected error occurred on a send. ---> System.IO.IOException: Authentication failed because the remote party has closed the transport stream.

ŘešeníSolution

Tato chyba obvykle znamená, že TLS 1,2 není povolen.This error usually means that TLS 1.2 is not enabled.

Další informace naleznete v tématu:For more information, see:

Zablokované procesy skeneruStuck scanner processes

Chybová zprávaError message

Skener zpracovává jeden soubor déle, než se čekalo.Scanner is processing a single file longer than expected. Proces může být zablokovaný.The process might be stuck.

ŘešeníSolution

Podívejte se na podrobnou sestavu, abyste viděli, jestli se soubor pořád zvětšoval.Check the detailed report to see whether the file is still growing or not.

Pokud soubor stále roste, znamená to, že se ve skeneru stále zpracovávají data a musíte počkat, až bude hotový.If the file continues to grow, this means that the scanner is still processing data, and you must wait until it's done.

Pokud se ale soubor už nezvětšuje, udělejte toto:However, if the file is no longer growing, do the following:

  1. Proveďte jednu nebo obě následující akce:Do one or both of the following:

    • Spusťte rutinu Start-AIPScannerDiagnostics , která spustí diagnostické kontroly na skeneru a vyexportuje soubory protokolu zip a zip pro všechny nalezené chyby.Run the Start-AIPScannerDiagnostics cmdlet to run diagnostic checks on your scanner, and export and zip log files for any errors that are found.
    • Spusťte rutinu Export-AIPLogs pro export a soubory protokolu zip z adresáře %localappdata%\Microsoft\MSIP\Logs .Run the Export-AIPLogs cmdlet to export and zip log files from the %localappdata%\Microsoft\MSIP\Logs directory.
  2. Vytvořte soubor s výpisem paměti pro službu MSIP Scanner.Create a dump file for the MSIP Scanner service. Ve Správci úloh systému Windows klikněte pravým tlačítkem na službu MSIP Scanner a vyberte vytvořit soubor s výpisem paměti.In the Windows Task Manager, right-click the MSIP Scanner service, and select Create dump file.

  3. V Azure Portal zastavte kontrolu.In the Azure portal, stop the scan.

  4. Na počítači skeneru restartujte službu.On the scanner machine, restart the service.

  5. Otevřete lístek podpory a připojte soubory s výpisem paměti od procesu skeneru.Open a support ticket and attach the dump files from the scanner process.

Další informace najdete v tématu řešení potíží s kontrolou, která vypršel časový limit.For more information, see Troubleshooting a scan that timed out.

Nejde se připojit ke vzdálenému serveruUnable to connect to remote server

ChybaError

V souboru % localappdata% \ Microsoft\MSIP\Logs\MSIPScanner.iplogUnable to connect to the remote server ---> System.Net.Sockets.SocketException: Only one usage of each socket address (protocol/network address/port) is normally permitted IP:portIn the %localappdata%\Microsoft\MSIP\Logs\MSIPScanner.iplog file, Unable to connect to the remote server ---> System.Net.Sockets.SocketException: Only one usage of each socket address (protocol/network address/port) is normally permitted IP:port

Poznámka

Pokud je k dispozici více protokolů, bude tento soubor zip.This file will be zipped if there are multiple logs.

PopisDescription

Skener překročil počet povolených síťových připojení.The scanner has exceeded the number of allowed network connections.

ŘešeníSolution

Zvyšte počet dynamických portů pro operační systém, který je hostitelem souborů.Increase the number of dynamic ports for the operating system hosting the files.

Další informace o tom, jak zobrazit aktuální rozsah portů a zvětšit rozsah, najdete v tématu nastavení, která lze upravit za účelem zlepšení výkonu sítě.For more information about how to view the current port range and increase the range, see Settings that can be Modified to Improve Network Performance.

Viz také: řešení potíží s kontrolou, která vypršel časový limit.See also: Troubleshooting a scan that timed out.

Při odesílání požadavku došlo k chyběError occurred while sending the request

Chybová zprávaError message

[System.Net.Http.HttpRequestException: An error occurred while sending the request. ---> System.Net.WebException: The underlying connection was closed: An unexpected error occurred on a send. ---> System.IO.IOException: Unable to read data from the transport connection: An existing connection was forcibly closed by the remote host. ---> System.Net.Sockets.SocketException: An existing connection was forcibly closed by the remote host

ŘešeníSolution

Tato chyba obvykle znamená, že TLS 1,2 není povolen.This error usually means that TLS 1.2 is not enabled.

Další informace naleznete v tématu:For more information, see:

Chybějící profil nebo úloha prohledávání obsahuMissing content scan job or profile

ChybaError

Chyby ukazují, že se nepovedlo najít úlohu nebo profil kontroly obsahu.Errors show that your content scan job or profile cannot be found.

Například následující chyba Azure Portal na stránce uzly : No content scan job foundFor example, the following error in the Azure portal on the Nodes page: No content scan job found

ŘešeníSolution

Ověřte konfiguraci skeneru v Azure Portal.Check your scanner configuration in the Azure portal.

Další informace najdete v tématu Konfigurace a instalace nástroje Azure Information Protection Unified labeling Scanner.For more information, see Configuring and installing the Azure Information Protection unified labeling scanner.

Poznámka

Profil je starší verze skeneru, která byla nahrazena clusterem skeneru a úlohou kontroly obsahu v novějších verzích skeneru.A profile is a legacy scanner term that has been replaced by the scanner cluster and content scan job in newer versions of the scanner.

Žádná nakonfigurovaná úložištěNo repositories configured

Chybová zprávaError message

V Azure Portal na stránce uzly : No repositories are configuredIn the Azure portal, on the Nodes page: No repositories are configured

PopisDescription

Může se jednat o úlohu kontroly obsahu bez nakonfigurovaného úložiště.You may have a content scan job with no repositories configured.

ŘešeníSolution

Zkontrolujte nastavení úlohy prověřování obsahu a přidejte aspoň jedno úložiště.Check your content scan job settings and add at least one repository.

Další informace najdete v tématu Vytvoření úlohy kontroly obsahu.For more information, see Create a content scan job.

Nenašel se žádný clusterNo cluster found

Chybová zprávaError message

V Azure Portal na stránce uzly : No cluster foundIn the Azure portal, on the Nodes page: No cluster found

PopisDescription

Pro jeden z clusterů skenerů, které jste definovali, se nenašla žádná skutečná shoda.No actual match found for one of the scanner clusters you've defined.

ŘešeníSolution

Ověřte konfiguraci clusteru a zajistěte si vlastní systémové podrobnosti o překlepech a chybách.Verify your cluster configuration and check it against your own system details for typos and errors.

Další informace najdete v tématu Vytvoření clusteru skenerů.For more information, see Create a scanner cluster.

Další krokyNext steps

Další informace najdete v našem blogu o osvědčených postupech pro nasazení a používání skeneru AIP ul.For more information, see our blog on Best practices for deploying and using the AIP UL scanner.