Řešení problémů s nasazením skeneru ochrany informací

  • Článek
  • Platí pro:
    Microsoft Purview

Poznámka

Skener sjednocených popisků Azure Information Protection se přejmenovává Microsoft Purview Information Protection skeneru. Současně se konfigurace (aktuálně ve verzi Preview) přesouvá do Portál dodržování předpisů Microsoft Purview. V současné době můžete skener nakonfigurovat na Azure Portal i na portálu pro dodržování předpisů. Pokyny v tomto článku se týkají obou portálů pro správu.

Pokud máte problémy se skenerem Information Protection Microsoft Preview, pomocí rutiny PowerShellu Start-AIPScannerDiagnostics spusťte diagnostický nástroj skeneru a ověřte, jestli je vaše nasazení v pořádku:

Start-AIPScannerDiagnostics

Diagnostický nástroj zkontroluje následující podrobnosti a pak vytvoří soubor protokolu s výsledky:

  • Jestli je databáze aktuální
  • Jestli jsou síťové adresy URL přístupné
  • Jestli existuje platný ověřovací token a jestli je možné získat zásadu
  • Určuje, jestli je profil definovaný v Azure Portal
  • Jestli existuje konfigurace offline/online a je možné ji získat
  • Jestli jsou nakonfigurovaná pravidla platná

Tip

  • Pokud nástroj nespouštíte pomocí účtu služby, který se používá ke spuštění služby skeneru -OnBehalf , musíte použít parametr . Jinak dojde k chybám.
  • Pokud chcete z protokolu skeneru vytisknout posledních 10 chyb, přidejte Verbose parametr . Pokud chcete vytisknout více chyb, definujte VerboseErrorCount počet chyb, které chcete vytisknout.

Příkaz Start-AIPScannerDiagnostics nespustí úplnou kontrolu požadavků. Pokud máte se skenerem problémy, musíte se také ujistit, že váš systém splňuje požadavky skeneru a že konfigurace a instalace skeneru jsou dokončené.

Ověření podrobností kontroly podle uzlu skeneru a úložiště

Spuštěním rutiny Prostředí PowerShell Get-AIPScannerStatus získejte podrobnosti o aktuálním stavu kontroly a seznamu uzlů v clusteru skeneru.

PS C:\> Get-AIPScannerStatus

Cluster        : contoso-test
ClusterStatus  : Scanning
StartTime      : 12/22/2020 9:05:02 AM
TimeFromStart  : 00:00:00:37
NodesInfo      : {t-contoso1-T298-corp.contoso.com,t-contoso2-T298-corp.contoso.com}

NodesInfo Pomocí proměnné s rutinou Get-AIPScannerStatus získáte další podrobnosti o jednotlivých uzlech v clusteru:

PS C:\WINDOWS\system32> $x=Get-AIPScannerStatus
PS C:\WINDOWS\system32> $x.NodesInfo

Výstup zobrazí podrobnosti pro každý uzel v tabulce, jak je znázorněno v následujícím příkladu:

NodeName                            Status    IsScanning    Summary
--------                            --------  ----------    -------
t-contoso1-T298-corp.contoso.com    Scanning        True    Microsoft.InformationProtection.Scanner.ScanSummaryData
t-contoso2-T298-corp.contoso.com    Scanning     Pending    Microsoft.InformationProtection.Scanner.ScanSummaryData

Pokud chcete přejít k podrobnostem jednotlivých uzlů, použijte NodesInfo znovu proměnnou s celočíselným číslem uzlu začínajícím na 0.

PS C:\Windows\system32> $x.NodesInfo[0].Summary

Výstup zobrazí podrobnosti o kontrolách na vybraném uzlu, jak je znázorněno v následujícím příkladu:

ScannerID               : t-contoso1-T298-corp.contoso.com
ScannedFiles            : 2280
FailedFiles             : 0
ScannedBytes            : 78478187
Classified              : 0
Labeled                 : 0
....

Verbose K získání dat o aktuální kontrole použijte parametr s rutinou Get-AIPScannerStatus.

PS C:\> Get-AIPScannerStatus -Verbose

ScannedFiles    MBScanned    CurrentScanSummary                                         RepositoriesStatus
------------    ---------    ------------------                                         ------------------
        2280    78478187     Microsoft.InformationProtection.Scanner.ScanSummaryData    {{ Path = C:\temp, Status = Scanning }

RepositoriesStatus Pomocí proměnných nebo CurrentScanSummary přejděte k podrobnostem o stavu úložišť.

Mezi možné hodnoty stavu úložiště patří:

  • Vynecháno, pokud se úložiště přeskočí.
  • Čeká na vyřízení, pokud aktuální kontrola ještě nezačala prohledávat úložiště
  • Kontrola, pokud je aktuální kontrola spuštěná v úložišti
  • Dokončeno, pokud se v úložišti dokončila aktuální kontrola.

Příklad: Použití proměnné RepositoriesStatus

PS C:\Windows\system32> $x.Get-AIPScannerStatus -Verbose
PS C:\Windows\system32> $x.RepositoriesStatus

Path        Status
----        ------
C:\temp     Scanning

Příklad: Použití proměnné CurrentScanSummary

PS C:\Windows\system32> $x.CurrentScanSummary

ScannerID               : 
ScannedFiles            : 2280
FailedFiles             : 0
ScannedBytes            : 78478187
Classified              : 0
Labeled                 : 0
....

Tento výstup zobrazuje pouze jedno úložiště. Pokud existuje více úložišť, bude každé z nich uvedené samostatně.

Referenční informace o chybách skeneru

Následující tabulka obsahuje informace o konkrétních chybových zprávách generovaných skenerem a obsahuje akce k vyřešení souvisejícího problému:

Typ chyby Řešení problémů
Chyby ověřování
Chyby zásad
Chyby databáze nebo schématu
Další chyby

Ověřovací token není přijat.

Chybová zpráva

Microsoft.InformationProtection.Exceptions.AccessDeniedException: Služba nepřijala ověřovací token.

Popis

Příkaz Set-AIPAuthentication se nezdařil.

Řešení

Ověřte, že příslušná oprávnění jsou správně definována v Azure Portal.

Další informace najdete v tématu Vytvoření a konfigurace aplikací Microsoft Entra pro Set-AIPAuthentication.

Chybí ověřovací token.

Chybové zprávy

  • NoAuthTokenException: Klientské aplikaci se nepodařilo poskytnout ověřovací token pro požadavek HTTP.

  • Microsoft.InformationProtection.Exceptions.NoAuthTokenException: Klientské aplikaci se nepodařilo poskytnout ověřovací token pro požadavek HTTP. Selhání s: System.AggregateException: Došlo k jedné nebo více chybám. >--- Microsoft.IdentityModel.Clients.ActiveDirectory.AdalException: user_interaction_required: Byla zjištěna jedna ze dvou podmínek: 1. Příznak PromptBehavior.Never byl předán, ale omezení nebylo možné dodržet, protože byla vyžadována interakce uživatele. 2. Během tichého webového ověřování došlo k chybě, která zabránila dokončení toku ověřování HTTP v dostatečně krátkém časovém rámci.

  • Nepodařilo se získat token pomocí integrovaného ověřování Windows (bez jednotného přihlašování)

  • Na Azure Portal na stránce Uzly:

    Zásady nezahrnují žádnou podmínku automatického popisování.

Popis

K těmto chybám ověřování dochází, když skener běží neinteraktivně.

Řešení

Ověření musíte provést pomocí tokenu pomocí rutiny Set-AIPAuthentication .

Při spuštění rutiny Set-AIPAuthentication se ujistěte, že používáte parametr tokenu jménem účtu služby, který se používá ke spuštění služby skeneru, jak je znázorněno v následujícím příkladu:

$pscreds = Get-Credential CONTOSO\scanner
Set-AIPAuthentication -AppId "77c3c1c3-abf9-404e-8b2b-4652836c8c66" -AppSecret "OAkk+rnuYc/u+]ah2kNxVbtrDGbS47L4" -DelegatedUser scanner@contoso.com -TenantId "9c11c87a-ac8b-46a3-8d5c-f4d0b72ee29a" -OnBehalfOf $pscreds
Acquired application access token on behalf of CONTOSO\scanner.

Další informace najdete v tématu Získání tokenu Microsoft Entra pro skener.

Chybí zásady

Chybová zpráva

Chybí zásady

Popis

Skener nemůže najít soubor zásad popisku citlivosti.

Řešení

Pokud chcete ověřit, jestli soubor zásad existuje očekávaným způsobem, zkontrolujte toto umístění: %localappdata%\Microsoft\MSIP\mip\MSIP.Scanner.exe\mip\mip.policies.sqlite3.

Další informace o popiscích citlivosti a jejich zásadách popisků najdete v tématu Vytvoření a konfigurace popisků citlivosti a jejich zásad.

Zásady nezahrnují podmínky automatického popisování.

Chybová zpráva

V zásadách chybí podmínky popisování

Popis

V zásadách popisování chybí podmínky automatického popisování.

Řešení

Nakonfigurujte následující nastavení:

Nastavení Postup konfigurace nastavení
Nastavení úlohy kontroly obsahu V Azure Portal postupujte takto:
Nastavení zásad popisování V Portál dodržování předpisů Microsoft Purview postupujte takto:

Pokud jsou nastavení už definovaná podle očekávání, může samotný soubor zásad chybět nebo být nepřístupný, například když dojde k vypršení časového limitu Portál dodržování předpisů Microsoft Purview.

Pokud chcete ověřit soubor zásad, zkontrolujte, jestli existuje následující soubor: %localappdata%\Microsoft\MSIP\mip\MSIP.Scanner.exe\mip\mip.policies.sqlite3

Další informace najdete v tématech Co je Azure Information Protection skener sjednocených popisků? a Informace o popiscích citlivosti.

Chyby databáze

Chybová zpráva

Chyba databáze

Popis

Skener se nemůže připojit k databázi.

Řešení

Zkontrolujte síťové připojení mezi počítačem skeneru a databází.

Dále se ujistěte, že účet služby používaný ke spouštění procesů skeneru má všechna oprávnění potřebná pro přístup k databázi.

Neshodné nebo zastaralé schéma

Chybová zpráva

Jedna z následujících možností:

  • SchemaMismatchException

  • V Azure Portal na stránce Uzly:

    Schéma databáze není aktuální. Spuštěním příkazu Update-AIPScanner aktualizujte schéma databáze.
    Chyba: Schéma databáze není aktuální

Popis

Schéma databáze není aktuální.

Řešení

Spuštěním rutiny Update-AIPScanner znovu synchronizujte schéma a ujistěte se, že je aktuální s nedávnými změnami.

Základní připojení se ukončilo.

Chybové zprávy

System.Net.WebException: Základní připojení bylo ukončeno: Při odesílání došlo k neočekávané chybě. >--- System.IO.IOException: Ověřování selhalo, protože vzdálená strana zavřela přenosový datový proud.

[System.Net.Http.HttpRequestException: Při odesílání požadavku došlo k chybě. >--- System.Net.WebException: Základní připojení bylo ukončeno: Při odesílání došlo k neočekávané chybě. >--- System.IO.IOException: Nelze číst data z přenosového připojení: Vzdálený hostitel vynutil ukončení existujícího připojení. >--- System.Net.Sockets.SocketException: Vzdálený hostitel vynutil ukončení existujícího připojení.

Popis

Tyto chyby značí, že protokol TLS 1.2 není povolený.

Řešení

Pokud chcete povolit protokol TLS 1.2, přečtěte si:

Zablokované procesy skeneru

Chybová zpráva

Nezobrazuje se žádná chybová zpráva, ale časový limit skeneru vyprší.

Popis

Skener zpracovává jeden soubor déle, než se čekalo, nebo se neočekávaně zastaví při kontrole velkého počtu souborů v úložišti. Proces skeneru se může zaseknout.

Řešení

Upravte jedno z následujících nastavení:

  • Počet dynamických portů Možná budete muset zvýšit počet dynamických portů pro operační systém, který je hostitelem souborů. Posílení zabezpečení serveru pro SharePoint může být jedním z důvodů, proč skener překračuje počet povolených síťových připojení a zastaví se.

    Informace o tom, jak zobrazit aktuální rozsah portů a zvětšit rozsah, najdete v tématu Nastavení, která je možné upravit tak, aby se zlepšil výkon sítě.

  • Mezní hodnota zobrazení seznamu U velkých sharepointových farem možná budete muset zvýšit prahovou hodnotu zobrazení seznamu. Ve výchozím nastavení je prahová hodnota zobrazení seznamu nastavená na 5 000.

    Informace o zvýšení prahové hodnoty najdete v tématu Správa velkých seznamů a knihoven v SharePointu.

Pokud problém přetrvává, zkontrolujte podrobnou sestavu a zjistěte, jestli se soubor zvětšuje.

Pokud se velikost souboru bude dál zvětšovat, skener stále zpracovává data a vy musíte počkat, až se to dokončí.

Pokud se velikost souboru už nezvětšuje, postupujte takto:

  1. Spusťte následující rutiny:

    • Rutina Start-AIPScannerDiagnostics : Ke spuštění diagnostických kontrol na skeneru a exportu souborů protokolu a zipu pro případné chyby, které byly nalezeny.
    • Rutina Export-AIPLogs : Export a vytvoření .zip verze souborů protokolu z adresáře %localappdata%\Microsoft\MSIP\Logs .

  2. Vytvořte soubor s výpisem paměti pro službu skeneru MSIP. Ve Správci úloh systému Windows klikněte pravým tlačítkem na službu skeneru MSIP a vyberte Vytvořit soubor výpisu paměti.

  3. V Azure Portal zastavte kontrolu.

  4. Na skeneru restartujte službu.

  5. Otevřete lístek podpory a připojte soubory výpisu paměti z procesu kontroly.

Nejde se připojit ke vzdálenému serveru

Chybová zpráva

V souboru MSIPScanner.iplog v umístění %localappdata%\Microsoft\MSIP\Logs\:

Nejde se připojit ke vzdálenému serveru ---> System.Net.Sockets.SocketException: Ip:port je obvykle povoleno pouze jedno použití každé adresy soketu (protokol/síťová adresa/port).

Pokud existuje více protokolů, bude soubor MSIPScanner.iplog souborem .zip.

Popis

Skener překročil počet povolených síťových připojení.

Řešení

Zvyšte počet dynamických portů pro operační systém, který je hostitelem souborů.

Informace o zobrazení aktuálního rozsahu portů a jeho zvětšení najdete v tématu Nastavení, která je možné upravit za účelem zvýšení výkonu sítě.

Chybějící úloha nebo profil kontroly obsahu

Chybová zpráva

V Azure Portal na stránce Uzly:

Nenašla se žádná úloha kontroly obsahu.

Popis

K této chybě dochází v případě, že nelze najít úlohu nebo profil kontroly obsahu.

Řešení

Zkontrolujte konfiguraci skeneru v Azure Portal.

Další informace najdete v tématu Konfigurace a instalace skeneru sjednoceného popisování Azure Information Protection.

Poznámka:Profil je starší termín skeneru, který byl v novějších verzích skeneru nahrazen clusterem skeneru a úlohou prohledávání obsahu.

Nejsou nakonfigurovaná žádná úložiště.

Chybová zpráva

Na portálu pro správu na stránce Uzly :

Nejsou nakonfigurovaná žádná úložiště.

Popis

Možná máte úlohu kontroly obsahu, která nemá nakonfigurovaná žádná úložiště.

Řešení

Zkontrolujte nastavení úlohy kontroly obsahu a přidejte aspoň jedno úložiště.

Další informace najdete v tématu Vytvoření úlohy kontroly obsahu.

Nenašel se žádný cluster.

Chybová zpráva

Na portálu pro správu na stránce Uzly :

Nenašel se žádný cluster.

Popis

Pro jeden ze skenerů, které jste definovali, nebyla nalezena žádná skutečná shoda.

Řešení

Ověřte konfiguraci clusteru a zkontrolujte, jestli v ní v podrobnostech o vašem systému nezískáte překlepy a chyby.

Další informace najdete v tématu Vytvoření clusteru skeneru.

Další informace

Osvědčené postupy pro nasazení a používání skeneru AIP UL