Beheben von Problemen mit der Bereitstellung der Information Protection-Überprüfung

• Gilt für::

  Microsoft Purview

Hinweis

Der Azure Information Protection-Scanner für einheitliche Bezeichnungen wird Microsoft Purview Information Protection Scanner umbenannt. Gleichzeitig wird die Konfiguration (derzeit in der Vorschauphase) in die Microsoft Purview-Complianceportal verschoben. Derzeit können Sie den Scanner sowohl im Azure-Portal als auch im Complianceportal konfigurieren. Die Anweisungen in diesem Artikel beziehen sich auf beide Verwaltungsportale.

Wenn Probleme mit dem Microsoft Preview Information Protection Scanner auftreten, überprüfen Sie, ob Ihre Bereitstellung fehlerfrei ist, indem Sie das PowerShell-Cmdlet Start-AIPScannerDiagnostics verwenden, um das Diagnosetool für die Überprüfung zu starten:

Start-AIPScannerDiagnostics

Das Diagnose-Tool überprüft die folgenden Details und erstellt dann eine Protokolldatei mit den Ergebnissen:

• Gibt an, ob die Datenbank auf dem neuesten Stand ist
• Gibt an, ob auf Netzwerk-URLs zugegriffen werden kann
• Gibt an, ob ein gültiges Authentifizierungstoken vorhanden ist und die Richtlinie abgerufen werden kann
• Gibt an, ob das Profil im Azure-Portal
• Ob eine Offline-/Onlinekonfiguration vorhanden ist und abgerufen werden kann
• Ob die konfigurierten Regeln gültig sind

Tipp

• Wenn Sie das Tool nicht mit dem Dienstkonto ausführen, das zum Ausführen des Scannerdiensts verwendet wird, müssen Sie den -OnBehalf -Parameter verwenden. Andernfalls treten Fehler auf.
• Fügen Sie den Parameter hinzu, um die letzten 10 Fehler aus dem Scannerprotokoll auszugeben Verbose . Wenn Sie weitere Fehler drucken möchten, verwenden Sie die VerboseErrorCount , um die Anzahl der zu druckenden Fehler zu definieren.

Der Start-AIPScannerDiagnostics Befehl führt keine vollständige Voraussetzungsprüfung aus. Wenn Probleme mit dem Scanner auftreten, müssen Sie auch sicherstellen, dass Ihr System die Scanneranforderungen erfüllt und die Konfiguration und Installation des Scanners abgeschlossen ist.

Überprüfen der Überprüfungsdetails pro Scannerknoten und Repository

Führen Sie das PowerShell-Cmdlet Get-AIPScannerStatus aus, um Details zum aktuellen Scan-status und zur Liste der Knoten in Ihrem Scannercluster abzurufen.

PS C:\> Get-AIPScannerStatus

Cluster        : contoso-test
ClusterStatus  : Scanning
StartTime      : 12/22/2020 9:05:02 AM
TimeFromStart  : 00:00:00:37
NodesInfo      : {t-contoso1-T298-corp.contoso.com,t-contoso2-T298-corp.contoso.com}

Verwenden Sie die NodesInfo Variable mit dem Cmdlet Get-AIPScannerStatus , um weitere Details zu den einzelnen Knoten im Cluster abzurufen:

PS C:\WINDOWS\system32> $x=Get-AIPScannerStatus
PS C:\WINDOWS\system32> $x.NodesInfo

Die Ausgabe zeigt Details für jeden Knoten in einer Tabelle an, wie im folgenden Beispiel gezeigt:

NodeName                            Status    IsScanning    Summary
--------                            --------  ----------    -------
t-contoso1-T298-corp.contoso.com    Scanning        True    Microsoft.InformationProtection.Scanner.ScanSummaryData
t-contoso2-T298-corp.contoso.com    Scanning     Pending    Microsoft.InformationProtection.Scanner.ScanSummaryData

Um einen drilldown auf jeden Knoten weiter auszuführen, verwenden Sie die NodesInfo Variable erneut, wobei die ganze Knotenzahl mit 0 beginnt.

PS C:\Windows\system32> $x.NodesInfo[0].Summary

Die Ausgabe zeigt die Details zu den Überprüfungen auf dem ausgewählten Knoten an, wie im folgenden Beispiel gezeigt:

ScannerID               : t-contoso1-T298-corp.contoso.com
ScannedFiles            : 2280
FailedFiles             : 0
ScannedBytes            : 78478187
Classified              : 0
Labeled                 : 0
....

Verwenden Sie den Verbose Parameter mit dem Cmdlet Get-AIPScannerStatus , um Daten zu einer aktuellen Überprüfung abzurufen.

PS C:\> Get-AIPScannerStatus -Verbose

ScannedFiles    MBScanned    CurrentScanSummary                                         RepositoriesStatus
------------    ---------    ------------------                                         ------------------
        2280    78478187     Microsoft.InformationProtection.Scanner.ScanSummaryData    {{ Path = C:\temp, Status = Scanning }

Verwenden Sie die RepositoriesStatus Variablen oder CurrentScanSummary , um weitere Details zur status der Repositorys zu erhalten.

Mögliche Repository-status Werte:

• Übersprungen, wenn das Repository übersprungen wurde
• Ausstehend, wenn die aktuelle Überprüfung noch nicht mit der Überprüfung des Repositorys begonnen hat
• Überprüfung, wenn die aktuelle Überprüfung im Repository ausgeführt wird
• Abgeschlossen, wenn die aktuelle Überprüfung abgeschlossen wurde, die im Repository ausgeführt wird

Beispiel: Verwenden der RepositoryStatus-Variable

PS C:\Windows\system32> $x.Get-AIPScannerStatus -Verbose
PS C:\Windows\system32> $x.RepositoriesStatus

Path        Status
----        ------
C:\temp     Scanning

Beispiel: Verwenden der CurrentScanSummary-Variablen

PS C:\Windows\system32> $x.CurrentScanSummary

ScannerID               : 
ScannedFiles            : 2280
FailedFiles             : 0
ScannedBytes            : 78478187
Classified              : 0
Labeled                 : 0
....

Diese Ausgabe zeigt nur ein einzelnes Repository an. Wenn mehrere Repositorys vorhanden sind, wird jedes repository separat aufgelistet.

Scannerfehlerreferenz

Die folgende Tabelle enthält Informationen zu bestimmten Fehlermeldungen, die vom Scanner generiert werden, sowie Aktionen zum Beheben des zugehörigen Problems:

Fehlertyp	Problembehandlung
Authentifizierungsfehler	Authentifizierungstoken nicht akzeptiert Authentifizierungstoken fehlt
Richtlinienfehler	Richtlinie fehlt Die Richtlinie enthält keine Bedingung für automatische Bezeichnungen.
DATENBANK-/Schemafehler	Datenbankfehler Nicht übereinstimmende oder veraltete Schemas
Andere Fehler	Die zugrunde liegende Verbindung wurde geschlossen. Hängen gebliebene Scannerprozesse Verbindung mit Remoteserver kann nicht hergestellt werden Fehlender Auftrag oder Profil zur Inhaltsüberprüfung Keine Repositorys konfiguriert Kein Cluster gefunden

Authentifizierungstoken nicht akzeptiert

Fehlermeldung

Microsoft.InformationProtection.Exceptions.AccessDeniedException: Der Dienst hat das Authentifizierungstoken nicht akzeptiert.

Beschreibung

Fehler beim Befehl Set-AIPAuthentication .

Lösung

Stellen Sie fest, dass die entsprechenden Berechtigungen im Azure-Portal richtig definiert sind.

Weitere Informationen finden Sie unter Erstellen und Konfigurieren Microsoft Entra Anwendungen für Set-AIPAuthentication.

Authentifizierungstoken fehlt

Fehlermeldungen

• NoAuthTokenException: Clientanwendung konnte kein Authentifizierungstoken für HTTP-Anforderung bereitstellen

• Microsoft.InformationProtection.Exceptions.NoAuthTokenException: Clientanwendung konnte kein Authentifizierungstoken für HTTP-Anforderungen bereitstellen. Fehler mit: System.AggregateException: Mindestens ein Fehler ist aufgetreten. >--- Microsoft.IdentityModel.Clients.ActiveDirectory.AdalException: user_interaction_required: Eine von zwei Bedingungen wurde gefunden: 1. Das Flag PromptBehavior.Never wurde übergeben, aber die Einschränkung konnte nicht eingehalten werden, da eine Benutzerinteraktion erforderlich war. 2. Während einer automatischen Webauthentifizierung ist ein Fehler aufgetreten, der verhindert hat, dass der HTTP-Authentifizierungsfluss in einem kurzen Zeitrahmen abgeschlossen wird.

• Fehler beim Abrufen eines Tokens mithilfe der integrierten Windows-Authentifizierung (kein SSO)

• Auf der Azure-Portal auf der Seite Knoten:

  Die Richtlinie enthält keine Bedingung für automatische Bezeichnungen.

Beschreibung

Diese Authentifizierungsfehler treten auf, wenn der Scanner nicht interaktiv ausgeführt wird.

Lösung

Sie müssen sich mit einem Token authentifizieren, indem Sie das Cmdlet Set-AIPAuthentication verwenden.

Wenn Sie das Cmdlet Set-AIPAuthentication ausführen, stellen Sie sicher, dass Sie den Tokenparameter im Namen des Dienstkontos verwenden, das zum Ausführen des Scannerdiensts verwendet wird, wie im folgenden Beispiel gezeigt:

$pscreds = Get-Credential CONTOSO\scanner
Set-AIPAuthentication -AppId "77c3c1c3-abf9-404e-8b2b-4652836c8c66" -AppSecret "OAkk+rnuYc/u+]ah2kNxVbtrDGbS47L4" -DelegatedUser scanner@contoso.com -TenantId "9c11c87a-ac8b-46a3-8d5c-f4d0b72ee29a" -OnBehalfOf $pscreds
Acquired application access token on behalf of CONTOSO\scanner.

Weitere Informationen finden Sie unter Abrufen eines Microsoft Entra Tokens für den Scanner.

Richtlinie fehlt

Fehlermeldung

Richtlinie fehlt

Beschreibung

Die Überprüfung kann Ihre Richtliniendatei für Vertraulichkeitsbezeichnungen nicht finden.

Lösung

Um zu überprüfen, ob Ihre Richtliniendatei wie erwartet vorhanden ist, überprüfen Sie den folgenden Speicherort: %localappdata%\Microsoft\MSIP\mip\MSIP.Scanner.exe\mip\mip.policies.sqlite3.

Weitere Informationen zu Vertraulichkeitsbezeichnungen und deren Bezeichnungsrichtlinien finden Sie unter Erstellen und Konfigurieren von Vertraulichkeitsbezeichnungen und deren Richtlinien.

Die Richtlinie schließt keine bedingungen für automatische Bezeichnungen ein.

Fehlermeldung

In der Richtlinie fehlen Bezeichnungsbedingungen

Beschreibung

In der Bezeichnungsrichtlinie fehlen bedingungen für automatische Bezeichnungen.

Lösung

Konfigurieren Sie die folgenden Einstellungen:

Einstellung	Schritte zum Konfigurieren von Einstellungen
Inhaltsüberprüfungsauftragseinstellungen	Gehen Sie im Azure-Portal wie folgt vor: Legen Sie die zu ermittelnden Infotypen auf Alle fest. Definieren einer Standardbezeichnung, die beim Scannen angewendet werden soll
Bezeichnungsrichtlinieneinstellungen	Gehen Sie im Microsoft Purview-Complianceportal wie folgt vor: Definieren einer Standardmäßigen Vertraulichkeitsbezeichnung Konfigurieren der automatischen/empfohlenen Bezeichnung

Wenn die Einstellungen bereits wie erwartet definiert sind, kann die Richtliniendatei selbst fehlen oder nicht zugänglich sein, z. B. wenn ein Timeout vom Microsoft Purview-Complianceportal.

Um Ihre Richtliniendatei zu überprüfen, überprüfen Sie, ob die folgende Datei vorhanden ist: %localappdata%\Microsoft\MSIP\mip\MSIP.Scanner.exe\mip\mip.policies.sqlite3

Weitere Informationen finden Sie unter Was ist der Azure Information Protection Unified Labeling Scanner? und Informationen zu Vertraulichkeitsbezeichnungen.

Datenbankfehler

Fehlermeldung

Datenbankfehler

Beschreibung

Der Scanner kann keine Verbindung mit der Datenbank herstellen.

Lösung

Überprüfen Sie die Netzwerkkonnektivität zwischen dem Scannercomputer und der Datenbank.

Stellen Sie außerdem sicher, dass das Dienstkonto, das zum Ausführen von Scannerprozessen verwendet wird, über alle Berechtigungen verfügt, die für den Zugriff auf die Datenbank erforderlich sind.

Nicht übereinstimmende oder veraltete Schemas

Fehlermeldung

Eine der folgenden Varianten:

• SchemaMismatchException

• Im Azure-Portal auf der Seite Knoten:

  Das Datenbankschema ist nicht auf dem neuesten Stand. Führen Sie Update-AIPScanner Befehl aus, um das Datenbankschema zu aktualisieren.
  Fehler: Das Datenbankschema ist nicht auf dem neuesten Stand.

Beschreibung

Das Datenbankschema ist nicht auf dem neuesten Stand.

Lösung

Führen Sie das Cmdlet Update-AIPScanner aus, um Ihr Schema neu zu synchronisieren und sicherzustellen, dass es mit den letzten Änderungen auf dem neuesten Stand ist.

Die zugrunde liegende Verbindung wurde geschlossen.

Fehlermeldungen

System.Net.WebException: Die zugrunde liegende Verbindung wurde geschlossen: Bei einem Senden ist ein unerwarteter Fehler aufgetreten. >--- System.IO.IOException: Fehler bei der Authentifizierung, weil die Remotepartei den Transportstream geschlossen hat.

[System.Net.Http.HttpRequestException: Fehler beim Senden der Anforderung. >--- System.Net.WebException: Die zugrunde liegende Verbindung wurde geschlossen: Unerwarteter Fehler beim Senden. >--- System.IO.IOException: Daten können nicht aus der Transportverbindung gelesen werden: Eine vorhandene Verbindung wurde vom Remotehost erzwungen geschlossen. >--- System.Net.Sockets.SocketException: Eine vorhandene Verbindung wurde vom Remotehost erzwungen geschlossen.

Beschreibung

Diese Fehler deuten darauf hin, dass TLS 1.2 nicht aktiviert ist.

Lösung

Informationen zum Aktivieren von TLS 1.2 finden Sie unter:

• Anforderungen an Firewalls und Netzwerkinfrastruktur
• Aktivieren von TLS 1.2
• Aktivieren der TLS 1.1- und TLS 1.2-Unterstützung in Office Online Server

Hängen gebliebene Scannerprozesse

Fehlermeldung

Es wird keine Fehlermeldung angezeigt, aber für den Scanner tritt ein Zeitüberschreitung auf.

Beschreibung

Der Scanner verarbeitet eine einzelne Datei über einen längeren Zeitraum als erwartet oder wird unerwartet beendet, während eine große Anzahl von Dateien in einem Repository überprüft wird. Der Scannerprozess bleibt möglicherweise hängen.

Lösung

Ändern Sie eine der folgenden Einstellungen:

• Anzahl der dynamischen Ports. Möglicherweise müssen Sie die Anzahl der dynamischen Ports für das Betriebssystem erhöhen, auf dem die Dateien gehostet werden. Die Serverhärtung für SharePoint kann ein Grund dafür sein, dass der Scanner die Anzahl der zulässigen Netzwerkverbindungen überschreitet und anhält.

  Informationen zum Anzeigen des aktuellen Portbereichs und zum Erhöhen des Bereichs finden Sie unter Einstellungen, die geändert werden können, um die Netzwerkleistung zu verbessern.

• Schwellenwert für Listenansichten. Bei großen SharePoint-Farmen müssen Sie möglicherweise den Schwellenwert für die Listenansicht erhöhen. Standardmäßig ist der Schwellenwert für die Listenansicht auf 5.000 festgelegt.

  Informationen zum Erhöhen des Schwellenwerts finden Sie unter Verwalten großer Listen und Bibliotheken in SharePoint.

Wenn das Problem weiterhin auftritt, überprüfen Sie den detaillierten Bericht, um zu ermitteln, ob die Datei größer wird.

Wenn die Dateigröße weiter zunimmt, verarbeitet der Scanner weiterhin Daten, und Sie müssen warten, bis dies abgeschlossen ist.

Wenn die Datei nicht mehr zunimmt, gehen Sie wie folgt vor:

1. Führen Sie die folgenden Cmdlets aus:

   • Start-AIPScannerDiagnostics-Cmdlet : Zum Ausführen von Diagnoseprüfungen auf Dem Scanner sowie zum Exportieren und Zippen von Protokolldateien für gefundene Fehler.
   • Export-AIPLogs-Cmdlet : Zum Exportieren und Erstellen einer .zip Version der Protokolldateien aus dem Verzeichnis %localappdata%\Microsoft\MSIP\Logs .

2. Erstellen Sie eine Speicherabbilddatei für den MSIP Scanner-Dienst. Klicken Sie im Windows-Task-Manager mit der rechten Maustaste auf den DIENST MSIP-Scanner, und wählen Sie Speicherabbilddatei erstellen aus.

3. Beenden Sie im Azure-Portal die Überprüfung.

4. Starten Sie den Dienst auf dem Scannercomputer neu.

5. Öffnen Sie ein Supportticket, und fügen Sie die Sicherungsdateien aus dem Scannerprozess an.

Verbindung mit Remoteserver kann nicht hergestellt werden

Fehlermeldung

In der Datei MSIPScanner.iplog unter %localappdata%\Microsoft\MSIP\Logs\:

Herstellen einer Verbindung mit dem Remoteserver ---> System.Net.Sockets.SocketException nicht möglich: Normalerweise ist nur eine Verwendung jeder Socketadresse (Protokoll/Netzwerkadresse/Port) zulässig IP:Port

Wenn mehrere Protokolle vorhanden sind, ist die Datei MSIPScanner.iplog eine .zip Datei.

Beschreibung

Der Scanner hat die Anzahl der zulässigen Netzwerkverbindungen überschritten.

Lösung

Erhöhen Sie die Anzahl der dynamischen Ports für das Betriebssystem, auf dem die Dateien gehostet werden.

Informationen zum Anzeigen des aktuellen Portbereichs und zum Erhöhen des Bereichs finden Sie unter Einstellungen, die geändert werden können, um die Netzwerkleistung zu verbessern.

Fehlender Auftrag oder Profil zur Inhaltsüberprüfung

Fehlermeldung

Im Azure-Portal auf der Seite Knoten:

Kein Auftrag zur Inhaltsüberprüfung gefunden

Beschreibung

Dieser Fehler tritt auf, wenn der Auftrag oder das Profil der Inhaltsüberprüfung nicht gefunden werden kann.

Lösung

Überprüfen Sie ihre Scannerkonfiguration im Azure-Portal.

Weitere Informationen finden Sie unter Konfigurieren und Installieren des Azure Information Protection Unified Labeling Scanner.

Hinweis: Ein Profil ist ein Legacy-Scannerbegriff, der in neueren Versionen des Scanners durch den Scannercluster und den Auftrag zur Inhaltsüberprüfung ersetzt wurde.

Keine Repositorys konfiguriert

Fehlermeldung

Gehen Sie im Verwaltungsportal auf der Seite Knoten wie

Es sind keine Repositorys konfiguriert.

Beschreibung

Möglicherweise haben Sie einen Auftrag zur Inhaltsüberprüfung ohne konfigurierte Repositorys.

Lösung

Überprüfen Sie ihre Auftragseinstellungen für die Inhaltsüberprüfung, und fügen Sie mindestens ein Repository hinzu.

Weitere Informationen finden Sie unter Erstellen eines Inhaltsüberprüfungsauftrags.

Kein Cluster gefunden

Fehlermeldung

Gehen Sie im Verwaltungsportal auf der Seite Knoten wie

Kein Cluster gefunden

Beschreibung

Für einen der von Ihnen definierten Scannercluster wurde keine tatsächliche Übereinstimmung gefunden.

Lösung

Überprüfen Sie Ihre Clusterkonfiguration, und überprüfen Sie sie anhand Ihrer eigenen Systemdetails auf Tippfehler und Fehler.

Weitere Informationen finden Sie unter Erstellen eines Scannerclusters.

Weitere Informationen

Bewährte Methoden für die Bereitstellung und Verwendung des AIP UL-Scanners.