統合されたオンプレミスのスキャナー展開のトラブルシューティングTroubleshooting your unified labeling on-premises scanner deployment

*適用対象: Azure Information Protection、Windows Server 2019、Windows Server 2016、windows server 2012 R2 **Applies to: Azure Information Protection, Windows Server 2019, Windows Server 2016, Windows Server 2012 R2*

*関連: AIP のラベル付けクライアントのみ。 **Relevant for: AIP unified labeling client only.*

この記事の内容は、オンプレミスのスキャナーの展開のトラブルシューティングに役立ちます。Use the content in this article to help you troubleshoot your on-premises scanner deployment.

スキャナー診断ツールを使用したトラブルシューティングTroubleshooting using the scanner diagnostic tool

Azure Information Scanner で問題が発生した場合は、次のように、 Start-Aipscanの診断 PowerShell コマンドを使用して、デプロイが正常であるかどうかを確認します。If you're having issues with the Azure Information Scanner, verify whether your deployment is healthy using the Start-AIPScannerDiagnostics PowerShell command:

Start-AIPScannerDiagnostics

診断ツールは、次の詳細を確認し、結果と共にログファイルをエクスポートします。The diagnostics tool checks the following details and then exports a log file with the results:

  • データベースが最新かどうかWhether the database is up to date
  • ネットワーク Url にアクセスできるかどうかWhether network URLs are accessible
  • 有効な認証トークンがあるかどうか、およびポリシーを取得できるかどうかWhether there's a valid authentication token and the policy can be acquired
  • プロファイルが Azure portal で定義されているかどうかWhether the profile is defined in the Azure portal
  • オフライン/オンライン構成が存在し、取得できるかどうかWhether offline/online configuration exists and can be acquired
  • 構成されている規則が有効かどうかWhether the rules configured are valid

ヒント

スキャナーユーザーではないユーザーでコマンドを実行している場合は、必ず -onbehalf パラメーターを追加してください。If you are running the command under a user that is not the scanner user, be sure to add the -OnBehalf parameter.

注意

Start-Aipscanは、完全な前提条件の確認を実行しません。The Start-AIPScannerDiagnostics command does not run a full prerequisites check. スキャナーで問題が発生している場合は、システムが スキャナーの要件を満たしていることと、 スキャナーの構成とインストール が完了していることを確認してください。If you're having issues with the scanner, also ensure that your system complies with scanner requirements, and that your scanner configuration and installation is complete.

タイムアウトしたスキャンのトラブルシューティングTroubleshooting a scan that timed out

スキャナーが途中で停止し、リポジトリ内の多数のファイルのスキャンが完了しない場合は、次の設定のいずれかを変更する必要があります。If the scanner stops in the middle unexpectedly and doesn't complete scanning a large number of files in a repository, you may need to modify one of the following settings:

  • 動的ポートの数Number of dynamic ports. ファイルをホストしているオペレーティングシステムの動的ポートの数を増やすことが必要になる場合があります。You may need to increase the number of dynamic ports for the operating system hosting the files. SharePoint 用にサーバーのセキュリティが強化されている場合、スキャナーが許可されているネットワーク接続の数を超えて、そのために停止する原因の 1 つになる可能性があります。Server hardening for SharePoint can be one reason why the scanner exceeds the number of allowed network connections, and therefore stops.

    現在のポート範囲を表示し、範囲を拡大する方法について詳しくは、「ネットワーク パフォーマンスを向上させるために変更可能な設定」をご覧ください。For more information about how to view the current port range and increase the range, see Settings that can be Modified to Improve Network Performance.

  • リストビューのしきい値List view threshold. 大規模な SharePoint ファームの場合は、リストビューのしきい値を大きくする必要があります。For large SharePoint farms, you may need to increase the list view threshold. 既定では、リストビューのしきい値は 5000 に設定されています。By default, the list view threshold is set to 5,000.

    詳細については、「 SharePoint での大規模なリストとライブラリの管理」を参照してください。For more information, see Manage large lists and libraries in SharePoint.

スキャナーエラーのリファレンスScanner error reference

スキャナーによって生成される特定のエラーメッセージと、問題を解決するためのトラブルシューティングまたは解決策を理解するには、次のセクションを使用します。Use the following sections to understand specific error messages generated by the scanner, and troubleshooting or solution actions to fix the issue:

エラーの種類Error type トラブルシューティングTroubleshooting
認証エラーAuthentication errors - 認証トークンが受け入れられません- Authentication token not accepted
- 認証トークンがありません- Authentication token missing
ポリシー エラーPolicy errors - ポリシーがありません- Policy missing
- ポリシーに自動ラベル付け条件が含まれていません- Policy doesn't include any automatic labeling condition
DB/スキーマエラーDB / Schema errors - データベースエラー- Database errors
- 不一致または古いスキーマ- Mismatched or outdated schema
その他のエラーOther errors - 基になる接続が閉じられました- Underlying connection was closed
- スキャナープロセスをスタックする- Stuck scanner processes
- リモートサーバーに接続できません- Unable to connect to remote server
- 要求の送信中にエラーが発生しました- Error occurred while sending the request
- コンテンツスキャンジョブまたはプロファイルがありません- Missing content scan job or profile
- リポジトリが構成されていません- No repositories configured
- クラスターが見つかりませんでした- No cluster found

認証トークンが受け入れられませんAuthentication token not accepted

エラー メッセージError message

Microsoft.InformationProtection.Exceptions.AccessDeniedException: The service didn't accept the auth token.

ソリューションSolution

Set-AIPAuthenticationコマンドが失敗した場合は、Azure portal で権限を正しく定義していることを確認してください。If the Set-AIPAuthentication command failed, make sure to define the permissions correctly in the Azure portal.

詳細については、「 Set-AIPAuthentication の Azure AD アプリケーションの作成と構成」を参照してください。For more information, see Create and configure Azure AD applications for Set-AIPAuthentication.

認証トークンがありませんAuthentication token missing

エラー メッセージError message

次のいずれか:One of the following:

  • NoAuthTokenException: Client application failed to provide authentication token for HTTP request

  • Microsoft.InformationProtection.Exceptions.NoAuthTokenException: Client application failed to provide authentication token for HTTP request. Failed with: System.AggregateException: One or more errors occurred. ---> Microsoft.IdentityModel.Clients.ActiveDirectory.AdalException: user_interaction_required: One of two conditions was encountered: 1. The PromptBehavior.Never flag was passed, but the constraint could not be honored, because user interaction was required. 2. An error occurred during a silent web authentication that prevented the http authentication flow from completing in a short enough time frame

  • Failed to acquire a token using windows integrated authentication (No SSO)

  • [ ノード ] ページの Azure portal から、次のようにします。 Policy does not include any automatic labeling conditionFrom the Azure portal, on the Nodes page: Policy does not include any automatic labeling condition

ソリューションSolution

スキャナーが非対話形式で実行されるようにするには、トークンを使用して認証を行う必要があります。In order to have the scanner run non-interactively, you must authenticate using a token.

Set AIPAuthenticationコマンドを実行するときは、スキャナーユーザーの代わりに token パラメーターを使用してください。When you run the Set-AIPAuthentication command, make sure you use the token parameter on behalf of the scanner user.

次に例を示します。For example:

$pscreds = Get-Credential CONTOSO\scanner
Set-AIPAuthentication -AppId "77c3c1c3-abf9-404e-8b2b-4652836c8c66" -AppSecret "OAkk+rnuYc/u+]ah2kNxVbtrDGbS47L4" -DelegatedUser scanner@contoso.com -TenantId "9c11c87a-ac8b-46a3-8d5c-f4d0b72ee29a" -OnBehalfOf $pscreds
Acquired application access token on behalf of CONTOSO\scanner.

詳細については、「 スキャナーの Azure AD トークンを取得する」を参照してください。For more information, see Get an Azure AD token for the scanner.

ポリシーがありませんPolicy missing

エラー メッセージError message

Policy is missing

説明Description

スキャナーが Microsoft Information Protection (MIP) ポリシーファイルを見つけることができません。The scanner is unable to find your Microsoft Information Protection (MIP) policy file.

ソリューションSolution

ポリシーファイルが想定どおりに存在することを確認するには、次の場所を確認してください: % localappdata% \Microsoft\MSIP\mip\MSIP.Scanner.exe \mip\mip.policies.sqlite3To verify that your policy file exists as expected, check in the following location: %localappdata%\Microsoft\MSIP\mip\MSIP.Scanner.exe\mip\mip.policies.sqlite3

MIP ラベルとラベルポリシーの詳細については、Microsoft 365 のドキュメントの「 感度ラベルとそのポリシーを作成して構成する 」を参照してください。For more information about MIP labels and label policies, see Create and configure sensitivity labels and their policies in the Microsoft 365 documentation.

ポリシーに自動ラベル付け条件が含まれていませんPolicy doesn't include any automatic labeling condition

ErrorError

ラベル付けポリシーに自動ラベル付け条件がないことを示すエラーが表示されるErrors show that your labeling policy is missing automatic labeling conditions

ソリューションSolution

次のいずれかまたはすべての問題を確認します。Verify any or all of following issues:

解決策Solution 詳細Details
コンテンツスキャンジョブの設定を確認するCheck your content scan job settings Azure Portal で、次の操作を行います。In the Azure portal, do the following:

- [探索する情報の種類] を [すべて] に設定します。- Set the Info types to be discovered to All
- スキャン時に適用される既定のラベルを定義する- Define a default label to be applied when scanning
ラベル付けポリシーの設定を確認するCheck your labeling policy settings Microsoft 365 セキュリティ & コンプライアンスセンターなどのラベル付け管理センターで、次の操作を行います。In your labeling admin center, such as the Microsoft 365 Security & Compliance Center, do the following:

- 既定の秘密度ラベルを定義する- Define a default sensitivity label
- 自動/推奨のラベル付け規則を定義する- Define automatic / recommended labeling rules
ポリシーがアクセス可能であることを確認するVerify that your policy is accessible 設定が想定どおりに定義されている場合、ポリシーファイル自体が見つからないか、アクセスできない可能性があります。たとえば、Microsoft 365 セキュリティ & コンプライアンスセンターからタイムアウトが発生した場合などです。If your settings are defined as expected, the policy file itself may be missing or inaccessible, such as when there's a timeout from the Microsoft 365 Security & Compliance Center.

ポリシーファイルを確認するには、次のファイルが存在することを確認してください: % localappdata% \Microsoft\MSIP\mip\MSIP.Scanner.exe \mip\mip.policies.sqlite3To verify your policy file, check that the following file exists: %localappdata%\Microsoft\MSIP\mip\MSIP.Scanner.exe\mip\mip.policies.sqlite3

詳細については、「 Azure Information Protection 統合ラベル付けスキャナーとは」を参照してください。For more information, see What is the Azure Information Protection unified labeling scanner? and Learn about sensitivity labels.

データベース エラーDatabase errors

エラー メッセージError message

DB error

説明Description

スキャナーがデータベースに接続できない可能性があります。The scanner may not be able to connect to the database.

ソリューションSolution

スキャナーコンピューターとデータベースの間のネットワーク接続を確認します。Check your network connectivity between the scanner computer and the database.

また、スキャナープロセスの実行に使用されているサービスアカウントに、データベースにアクセスするために必要なアクセス許可があることを確認します。Additionally, make sure that the service account being used to run scanner processes has any permissions required to access the database.

不一致または古いスキーマMismatched or outdated schema

エラー メッセージError message

次のいずれか:One of the following:

  • SchemaMismatchException

  • Azure portal の [ ノード ] ページ: DB schema is not up to date. Run Update-AIPScanner command to update the DB schema または Error: DB schema is not up to dateIn the Azure portal, on the Nodes page: DB schema is not up to date. Run Update-AIPScanner command to update the DB schema or Error: DB schema is not up to date

ソリューションSolution

更新プログラム AIPScannerコマンドを実行して、スキーマを再同期し、最新の変更内容があるかどうかを確認します。Run the Update-AIPScanner command to resynchronize your schema and ensure that it's up to date with any recent changes.

基になる接続が閉じられましたUnderlying connection was closed

エラー メッセージError message

System.Net.WebException: The underlying connection was closed: An unexpected error occurred on a send. ---> System.IO.IOException: Authentication failed because the remote party has closed the transport stream.

ソリューションSolution

このエラーは、通常、TLS 1.2 が有効になっていないことを示します。This error usually means that TLS 1.2 is not enabled.

詳細については、次を参照してください。For more information, see:

スキャナープロセスをスタックするStuck scanner processes

エラー メッセージError message

スキャナーが、予想より長い1つのファイルを処理しています。Scanner is processing a single file longer than expected. プロセスがスタックしている可能性があります。The process might be stuck.

ソリューションSolution

詳細レポートで、ファイルがまだ拡大しているかどうかを確認します。Check the detailed report to see whether the file is still growing or not.

ファイルのサイズが増加し続ける場合は、スキャナーが引き続きデータを処理しているため、完了するまで待機する必要があります。If the file continues to grow, this means that the scanner is still processing data, and you must wait until it's done.

ただし、ファイルが大きくなっていない場合は、次の手順を実行します。However, if the file is no longer growing, do the following:

  1. 次のいずれかまたは両方の操作を行います。Do one or both of the following:

    • スタートアップコマンドレットを実行して、スキャナーで診断チェックを実行し、検出されたエラーについては、ログファイルをエクスポートおよび zip ログに記録します。Run the Start-AIPScannerDiagnostics cmdlet to run diagnostic checks on your scanner, and export and zip log files for any errors that are found.
    • Export-Ai%localappdata%\Microsoft\MSIP\Logs gsコマンドレットを実行して、ファイルをエクスポートし 、ログファイルを zip 形式でエクスポートします。Run the Export-AIPLogs cmdlet to export and zip log files from the %localappdata%\Microsoft\MSIP\Logs directory.
  2. MSIP スキャナーサービスのダンプファイルを作成します。Create a dump file for the MSIP Scanner service. Windows タスクマネージャーで、[ Msip スキャナー] サービス を右クリックし、[ ダンプファイルの作成] を選択します。In the Windows Task Manager, right-click the MSIP Scanner service, and select Create dump file.

  3. Azure portal で、スキャンを停止します。In the Azure portal, stop the scan.

  4. スキャナーコンピューターで、サービスを再起動します。On the scanner machine, restart the service.

  5. サポートチケットを開き、スキャナープロセスからダンプファイルを添付します。Open a support ticket and attach the dump files from the scanner process.

詳細については、「 タイムアウトしたスキャンのトラブルシューティング」を参照してください。For more information, see Troubleshooting a scan that timed out.

リモートサーバーに接続できませんUnable to connect to remote server

ErrorError

% Localappdata% \ Microsoft\MSIP\Logs\MSIPScanner.iplog ファイルで、Unable to connect to the remote server ---> System.Net.Sockets.SocketException: Only one usage of each socket address (protocol/network address/port) is normally permitted IP:portIn the %localappdata%\Microsoft\MSIP\Logs\MSIPScanner.iplog file, Unable to connect to the remote server ---> System.Net.Sockets.SocketException: Only one usage of each socket address (protocol/network address/port) is normally permitted IP:port

注意

複数のログがある場合、このファイルは圧縮されます。This file will be zipped if there are multiple logs.

説明Description

スキャナーが、許可されているネットワーク接続の数を超えています。The scanner has exceeded the number of allowed network connections.

ソリューションSolution

ファイルをホストしているオペレーティングシステムの動的ポートの数を増やします。Increase the number of dynamic ports for the operating system hosting the files.

現在のポート範囲を表示し、範囲を拡大する方法について詳しくは、「ネットワーク パフォーマンスを向上させるために変更可能な設定」をご覧ください。For more information about how to view the current port range and increase the range, see Settings that can be Modified to Improve Network Performance.

「タイムアウトし たスキャンのトラブルシューティング」も参照してください。See also: Troubleshooting a scan that timed out.

要求の送信中にエラーが発生しましたError occurred while sending the request

エラー メッセージError message

[System.Net.Http.HttpRequestException: An error occurred while sending the request. ---> System.Net.WebException: The underlying connection was closed: An unexpected error occurred on a send. ---> System.IO.IOException: Unable to read data from the transport connection: An existing connection was forcibly closed by the remote host. ---> System.Net.Sockets.SocketException: An existing connection was forcibly closed by the remote host

ソリューションSolution

このエラーは、通常、TLS 1.2 が有効になっていないことを示します。This error usually means that TLS 1.2 is not enabled.

詳細については、次を参照してください。For more information, see:

コンテンツスキャンジョブまたはプロファイルがありませんMissing content scan job or profile

ErrorError

エラーは、コンテンツスキャンジョブまたはプロファイルが見つからないことを示します。Errors show that your content scan job or profile cannot be found.

たとえば、[ ノード ] ページの Azure portal に次のエラーがあります。 No content scan job foundFor example, the following error in the Azure portal on the Nodes page: No content scan job found

ソリューションSolution

Azure portal でスキャナーの構成を確認します。Check your scanner configuration in the Azure portal.

詳細については、「 Azure Information Protection 統合ラベル付けスキャナーの構成とインストール」を参照してください。For more information, see Configuring and installing the Azure Information Protection unified labeling scanner.

注意

プロファイル とは、新しいバージョンのスキャナーで、スキャナークラスターおよびコンテンツスキャンジョブによって置き換えられた従来のスキャナー用語です。A profile is a legacy scanner term that has been replaced by the scanner cluster and content scan job in newer versions of the scanner.

リポジトリが構成されていませんNo repositories configured

エラー メッセージError message

Azure portal の [ ノード ] ページで次のようにします。 No repositories are configuredIn the Azure portal, on the Nodes page: No repositories are configured

説明Description

リポジトリが構成されていないコンテンツスキャンジョブがある可能性があります。You may have a content scan job with no repositories configured.

ソリューションSolution

コンテンツスキャンジョブの設定を確認し、少なくとも1つのリポジトリを追加します。Check your content scan job settings and add at least one repository.

詳細については、「 コンテンツスキャンジョブの作成」を参照してください。For more information, see Create a content scan job.

クラスターが見つかりませんでしたNo cluster found

エラー メッセージError message

Azure portal の [ ノード ] ページで次のようにします。 No cluster foundIn the Azure portal, on the Nodes page: No cluster found

説明Description

定義したスキャナークラスターの1つに対して、実際の一致は見つかりませんでした。No actual match found for one of the scanner clusters you've defined.

ソリューションSolution

クラスター構成を確認し、入力ミスやエラーがないかどうか、システムの詳細を確認します。Verify your cluster configuration and check it against your own system details for typos and errors.

詳細については、「 スキャナークラスターを作成する」を参照してください。For more information, see Create a scanner cluster.

次のステップNext steps

詳細については、 AIP UL スキャナーをデプロイして使用するためのベストプラクティスに関するブログを参照してください。For more information, see our blog on Best practices for deploying and using the AIP UL scanner.