Solución de problemas de la implementación de escáneres locales de etiquetado unificado

Se aplica a:Azure Information Protection, Windows Server 2019, Windows Server 2016, Windows Server 2012 R2

Relevante solopara: cliente de etiquetado unificado AIP.

Use el contenido de este artículo para ayudarle a solucionar problemas con la implementación de escáneres locales.

Solución de problemas con la herramienta de diagnóstico del escáner

Si tiene problemas con el Escáner de información de Azure, compruebe si la implementación es correcta con el comando PowerShell Start-AIPScannerDiagnostics:

Start-AIPScannerDiagnostics

La herramienta de diagnóstico comprueba los detalles siguientes y, a continuación, exporta un archivo de registro con los resultados:

  • Si la base de datos está actualizada
  • Si las direcciones URL de red son accesibles
  • Si hay un token de autenticación válido y se puede adquirir la directiva
  • Si el perfil está definido en Azure Portal
  • Si la configuración sin conexión o en línea existe y se puede adquirir
  • Si las reglas configuradas son válidas

Sugerencia

  • Si ejecuta el comando en un usuario que no es el usuario del escáner, asegúrese de agregar el parámetro -OnBehalf.
  • Para imprimir los últimos 10 errores del registro del escáner, agregue el parámetro Verbose. Si desea imprimir más errores, use VerboseErrorCount para definir el número de errores que desea imprimir.

Nota

El comando Start-AIPScannerDiagnostics no ejecuta una comprobación de requisitos previos completa. Si tiene problemas con el escáner, asegúrese también de que el sistema cumple con los requisitos del escáner y de que la configuración e instalación del escáner se han completado.

Solución de problemas de un examen que ha quedo fuera de plazo

Si el escáner se detiene inesperadamente en el medio y no completa la digitalización de un gran número de archivos en un repositorio, es posible que deba modificar una de las opciones siguientes:

  • Número de puertos dinámicos. Es posible que tenga que aumentar el número de puertos dinámicos para el sistema operativo que hospeda los archivos. El endurecimiento del servidor SharePoint puede ser una de las razones por las que el escáner supera el número de conexiones de red permitidas y, por lo tanto, se detiene.

    Para obtener más información sobre cómo ver el rango de puertos actual y aumentar el rango, vea Configuración que se pueden modificar para mejorar el rendimiento de la red.

  • Umbral de vista de lista. Para grandes SharePoint granjas de servidores, es posible que tenga que aumentar el umbral de vista de lista. De forma predeterminada, el umbral de vista de lista se establece en 5.000.

    Para obtener más información, vea Administrar listas y bibliotecas grandes en SharePoint.

Comprobar los detalles de examen por nodo y repositorio del escáner

Use get-AIPScannerStatus junto con variables para obtener detalles sobre el estado de examen en cada nodo del clúster de escáneres.

Use uno o varios de los siguientes métodos:

Usar la variable NodesInfo para obtener detalles sobre el estado de examen en cada nodo

Por ejemplo, ejecute el siguiente comando:

PS C:\> Get-AIPScannerStatus

Cluster        : contoso-test
ClusterStatus  : Scanning
StartTime      : 12/22/2020 9:05:02 AM
TimeFromStart  : 00:00:00:37
NodesInfo      : {t-contoso1-T298-corp.contoso.com,t-contoso2-T298-corp.contoso.com}

El resultado muestra detalles sobre el estado de examen actual, así como una lista de nodos del clúster.

Use la variable NodesInfo para mostrar más detalles sobre cada nodo del clúster:

PS C:\WINDOWS\system32> $x=Get-AIPScannerStatus
PS C:\WINDOWS\system32> $x.NodesInfo

El resultado muestra los detalles de cada nodo de una tabla. Por ejemplo:

NodeName                            Status    IsScanning    Summary
--------                            --------  ----------    -------
t-contoso1-T298-corp.contoso.com    Scanning        True    Microsoft.InformationProtection.Scanner.ScanSummaryData
t-contoso2-T298-corp.contoso.com    Scanning     Pending    Microsoft.InformationProtection.Scanner.ScanSummaryData

Para profundizar más en cada nodo, use la variable NodesInfo de nuevo, con el entero del nodo a partir de 0. Por ejemplo:

PS C:\Windows\system32> $x.NodesInfo[0].Summary

El resultado muestra una larga lista de detalles sobre el examen en el nodo seleccionado. Por ejemplo:

ScannerID               : t-contoso1-T298-corp.contoso.com
ScannedFiles            : 2280
FailedFiles             : 0
ScannedBytes            : 78478187
Classified              : 0
Labeled                 : 0
....

Usar el parámetro Detallado para obtener datos para el examen actual

PS C:\> Get-AIPScannerStatus -Verbose

ScannedFiles    MBScanned    CurrentScanSummary                                         RepositoriesStatus
------------    ---------    ------------------                                         ------------------
        2280    78478187     Microsoft.InformationProtection.Scanner.ScanSummaryData    {​​​​​​{​​​​​​ Path = C:\temp, Status = Scanning }​​​​​​

Explore más a profundidad para encontrar más detalles para los repositorios mediante las variables RepositoriosStatus o CurrentScanSummary.

Los posibles estados del repositorio incluyen:

  • Omitido, si se omitió el repositorio
  • Pendiente, si el examen actual aún no ha comenzado a analizar el repositorio
  • Análisis, si el examen actual se está ejecutando en el repositorio
  • Finalizado, si el examen actual ha finalizado ejecutándose en el repositorio

RepositoriosStatus

PS C:\Windows\system32> $x.Get-AIPScannerStatus -Verbose
PS C:\Windows\system32> $x.RepositoriesStatus

Path        Status
----        ------
C:\temp     Scanning

CurrentScanSummary

PS C:\Windows\system32> $x.CurrentScanSummary


ScannerID               : 
ScannedFiles            : 2280
FailedFiles             : 0
ScannedBytes            : 78478187
Classified              : 0
Labeled                 : 0
....

Este resultado muestra solo un único repositorio. En los casos de varios repositorios, cada uno se mostrará por separado.

Referencia de error del escáner

Use las siguientes secciones para comprender los mensajes de error específicos generados por el escáner y las acciones de solución o solución de problemas para solucionar el problema:

Tipo de error Solución de problemas
Errores de autenticación - -
- -
Errores de directiva - -
- -
Errores de db/esquema - -
- -
Otros errores - -
- -
- -
- -
- -
- -
- -
- -

Token de autenticación no aceptado

Mensaje de error

Microsoft.InformationProtection.Exceptions.AccessDeniedException: The service didn't accept the auth token.

Solución

Si el comando Set-AIPAuthentication no funciona correctamente, asegúrese de definir los permisos correctamente en Azure Portal.

Para obtener más información, vea Crear y configurar Azure AD aplicaciones para Set-AIPAuthentication.

Falta un token de autenticación

Mensaje de error

Una de las siguientes opciones:

  • NoAuthTokenException: Client application failed to provide authentication token for HTTP request

  • Microsoft.InformationProtection.Exceptions.NoAuthTokenException: Client application failed to provide authentication token for HTTP request. Failed with: System.AggregateException: One or more errors occurred. ---> Microsoft.IdentityModel.Clients.ActiveDirectory.AdalException: user_interaction_required: One of two conditions was encountered: 1. The PromptBehavior.Never flag was passed, but the constraint could not be honored, because user interaction was required. 2. An error occurred during a silent web authentication that prevented the http authentication flow from completing in a short enough time frame

  • Failed to acquire a token using windows integrated authentication (No SSO)

  • Desde Azure Portal, en la página Nodos:

Solución

Para que el escáner se ejecute de forma no interactiva, debe autenticarse con un token.

Al ejecutar el comando Set-AIPAuthentication, asegúrese de usar el parámetro token en nombre del usuario del escáner.

Por ejemplo:

$pscreds = Get-Credential CONTOSO\scanner
Set-AIPAuthentication -AppId "77c3c1c3-abf9-404e-8b2b-4652836c8c66" -AppSecret "OAkk+rnuYc/u+]ah2kNxVbtrDGbS47L4" -DelegatedUser scanner@contoso.com -TenantId "9c11c87a-ac8b-46a3-8d5c-f4d0b72ee29a" -OnBehalfOf $pscreds
Acquired application access token on behalf of CONTOSO\scanner.

Para obtener más información, vea Obtener un token Azure AD para el escáner.

Falta una directiva

Mensaje de error

Policy is missing

Descripción

El escáner no puede encontrar el archivo de directiva Microsoft Information Protection (MIP).

Solución

Para comprobar que el archivo de directiva existe según lo esperado, compruebe la siguiente ubicación: %localappdata%\Microsoft\MSIP\mip\MSIP.Scanner.exe\mip\mip.policies.sqlite3

Para obtener más información sobre las etiquetas y directivas de etiquetas de MIP, vea Crear y configurar etiquetas de confidencialidad y sus directivas en la Microsoft 365 etiquetas.

La directiva no incluye ninguna condición de etiquetado automático

Error

Los errores muestran que la directiva de etiquetado no tiene condiciones de etiquetado automático

Solución

Compruebe uno o todos los siguientes problemas:

Solución Detalles
Comprobar la configuración del trabajo de examen de contenido En Azure Portal, haga lo siguiente:

- -
- -
Comprobar la configuración de la directiva de etiquetado En la Centro de cumplimiento de Microsoft 365, haga lo siguiente:

- -
- -
Comprobar que la directiva es accesible Si la configuración se define según lo esperado, es posible que el propio archivo de directiva falte o sea inaccesible, por ejemplo, cuando hay un tiempo de espera del Centro de cumplimiento Microsoft 365.

Para comprobar el archivo de directiva, compruebe que existe el siguiente archivo: %localappdata%\Microsoft\MSIP\mip\MSIP.Scanner.exe\mip\mip.policies.sqlite3

Para obtener más información, vea ¿Qué es el escáner de etiquetado unificado de Azure Information Protection? y Más información sobre las etiquetas de confidencialidad.

Errores de base de datos

Mensaje de error

DB error

Descripción

Es posible que el escáner no pueda conectarse a la base de datos.

Solución

Compruebe la conectividad de red entre el equipo del escáner y la base de datos.

Además, asegúrese de que la cuenta de servicio que se usa para ejecutar procesos de escáner tiene los permisos necesarios para obtener acceso a la base de datos.

Esquema no coincidente o obsoleto

Mensaje de error

Una de las siguientes opciones:

  • SchemaMismatchException

  • En Azure Portal, en la página Nodos: o Error: DB schema is not up to date

Solución

Ejecute el comando Update-AIPScanner para volver a sincronizar el esquema y asegurarse de que está actualizado con los cambios recientes.

Errores de diagnóstico del escáner

Si recibe errores al ejecutar el comando Start-AIPDiagnostics, asegúrese de que usa las credenciales de cuenta del escáner correctas en el parámetro -OnBehalf.

Por ejemplo:

$scanner_account_creds= Get-Credential
Start-AIPScannerDiagnostics -onbehalf $scanner_account_creds

Se cerró la conexión subyacente

Mensaje de error

System.Net.WebException: The underlying connection was closed: An unexpected error occurred on a send. ---> System.IO.IOException: Authentication failed because the remote party has closed the transport stream.

Solución

Este error suele significar que TLS 1.2 no está habilitado.

Para obtener más información, vea:

Procesos de escáner atascados

Mensaje de error

Escáner está procesando un único archivo más de lo esperado. Es posible que el proceso esté atascado.

Solución

Compruebe el informe detallado para ver si el archivo sigue creciendo o no.

Si el archivo sigue creciendo, significa que el escáner sigue procesando datos y debe esperar hasta que haya terminado.

Sin embargo, si el archivo ya no crece, haga lo siguiente:

  1. Realice una o ambas de las siguientes acciones:

    • Ejecute el cmdlet Start-AIPScannerDiagnostics para ejecutar comprobaciones de diagnóstico en el escáner y exportar y comprimir archivos de registro para los errores que se encuentran.
    • Ejecute el cmdlet Export-AIPLogs para exportar y comprimir archivos de registro desde el directorio %localappdata%\Microsoft\MSIP\Logs.
  2. Cree un archivo de volcado para el servicio escáner MSIP. En el Windows de tareas, haga clic con el botón derecho en el servicio escáner MSIPy seleccione Crear archivo de volcado.

  3. En Azure Portal, detenga el examen.

  4. En el equipo del escáner, reinicie el servicio.

  5. Abra un vale de soporte técnico y adjunte los archivos de volcado del proceso del escáner.

Para obtener más información, vea Solución de problemas de un examen que ha pasado el tiempo de espera.

No se puede conectar al servidor remoto

Error

En el archivo localappdata%\Microsoft\MSIP\Logs\MSIPScanner.iplog,

Nota

Este archivo se comprimirá si hay varios registros.

Descripción

El escáner ha superado el número de conexiones de red permitidas.

Solución

Aumente el número de puertos dinámicos para el sistema operativo que hospeda los archivos.

Para obtener más información sobre cómo ver el rango de puertos actual y aumentar el rango, vea Configuración que se pueden modificar para mejorar el rendimiento de la red.

Vea también: Solución de problemas de un examen que ha pasado el tiempo de espera.

Se ha producido un error al enviar la solicitud

Mensaje de error

[System.Net.Http.HttpRequestException: An error occurred while sending the request. ---> System.Net.WebException: The underlying connection was closed: An unexpected error occurred on a send. ---> System.IO.IOException: Unable to read data from the transport connection: An existing connection was forcibly closed by the remote host. ---> System.Net.Sockets.SocketException: An existing connection was forcibly closed by the remote host

Solución

Este error suele significar que TLS 1.2 no está habilitado.

Para obtener más información, vea:

Falta trabajo o perfil de examen de contenido

Error

Los errores muestran que no se encuentra el perfil o el trabajo de examen de contenido.

Por ejemplo, el siguiente error en Azure Portal en la página Nodos:

Solución

Compruebe la configuración del escáner en Azure Portal.

Para obtener más información, vea Configurar e instalar el escáner de etiquetado unificado de Azure Information Protection.

Nota

Un perfil es un término de escáner heredado que se ha sustituido por el trabajo de análisis de contenido y clúster del escáner en versiones más recientes del escáner.

Sin repositorios configurados

Mensaje de error

En Azure Portal, en la página Nodos:

Descripción

Es posible que tenga un trabajo de detección de contenido sin repositorios configurados.

Solución

Compruebe la configuración del trabajo de detección de contenido y agregue al menos un repositorio.

Para obtener más información, vea Crear un trabajo de detección de contenido.

No se ha encontrado ningún clúster

Mensaje de error

En Azure Portal, en la página Nodos:

Descripción

No se ha encontrado ninguna coincidencia real para uno de los clústeres de escáneres que ha definido.

Solución

Compruebe la configuración del clúster y compróquela con los detalles de su propio sistema para comprobar si hay errores tipográficos y errores.

Para obtener más información, vea Crear un clúster de escáneres.

Pasos siguientes

Para obtener más información, vea nuestro blog sobre procedimientos recomendados para implementar y usar el escáner UL AIP.