Устранение неполадок при развертывании локального средства проверки пометки

*Область применения: Azure Information Protection, Windows Server 2019, Windows Server 2016, Windows Server 2012 R2 *

*Относится только к: административно единой метки для клиента. *

Используйте содержимое этой статьи для помощи в устранении неполадок при развертывании локального средства проверки.

Устранение неполадок с помощью средства диагностики сканера

Если возникли проблемы со средством проверки данных Azure, проверьте работоспособность развертывания с помощью команды PowerShell Start-аипсканнердиагностикс :

Start-AIPScannerDiagnostics

Средство диагностики проверяет следующие сведения, а затем экспортирует файл журнала с результатами:

  • Обновляется ли база данных в актуальном состоянии
  • Доступны ли сетевые URL-адреса
  • Существует ли допустимый маркер проверки подлинности, и политику можно получить
  • Определен ли профиль в портал Azure
  • Существует ли конфигурация в автономном или оперативном режиме и может быть получена
  • Допустимы ли настроенные правила

Совет

  • Если команда выполняется от имени пользователя, не воданного в сканер, добавьте параметр - onbehalf
  • Чтобы напечатать последние 10 ошибок из журнала сканера, добавьте параметр verbose . Если вы хотите напечатать больше ошибок, используйте вербосирроркаунт , чтобы определить количество ошибок, которые нужно напечатать.

Примечание

Команда Start-аипсканнердиагностикс не выполняет полную проверку готовности к установке. Если у вас возникли проблемы со сканером, убедитесь, что система соответствует требованиям к сканеру, а также в том, что Конфигурация и установка сканера завершена.

Устранение неполадок проверки, для которых истекло время ожидания

Если средство проверки неожиданно останавливается в середине и не выполняет сканирование большого количества файлов в репозитории, может потребоваться изменить один из следующих параметров.

  • Число динамических портов. Может потребоваться увеличить число динамических портов для операционной системы, в которой размещаются файлы. Одной из причин, по которой средство проверки превышает число разрешенных сетевых подключений и в результате останавливается, может быть усиление защиты сервера для SharePoint.

    Дополнительные сведения о том, как просмотреть и расширить текущий диапазон портов, см. в описании параметров, которые можно изменить для повышения производительности сети.

  • Пороговое значение представления списка. Для больших ферм SharePoint может потребоваться увеличить пороговое значение представления списка. По умолчанию пороговое значение представления списка равно 5 000.

    Дополнительные сведения см. в разделе Управление большими списками и библиотеками в SharePoint.

Проверка сведений о сканировании для каждого узла и репозитория сканера

Используйте Get-аипсканнерстатус вместе с переменными для получения сведений о состоянии сканирования на каждом узле в кластере сканера.

Используйте один или несколько следующих методов.

Используйте переменную Нодесинфо для получения сведений о состоянии сканирования на каждом узле.

Например, выполните следующую команду:

PS C:\> Get-AIPScannerStatus

Cluster        : contoso-test
ClusterStatus  : Scanning
StartTime      : 12/22/2020 9:05:02 AM
TimeFromStart  : 00:00:00:37
NodesInfo      : {t-contoso1-T298-corp.contoso.com,t-contoso2-T298-corp.contoso.com}

В выходных данных отображаются сведения о текущем состоянии сканирования, а также список узлов в кластере.

Используйте переменную нодесинфо для просмотра дополнительных сведений о каждом узле в кластере:

PS C:\WINDOWS\system32> $x=Get-AIPScannerStatus
PS C:\WINDOWS\system32> $x.NodesInfo

В выходных данных отображаются сведения для каждого узла в таблице. Пример:

NodeName                            Status    IsScanning    Summary
--------                            --------  ----------    -------
t-contoso1-T298-corp.contoso.com    Scanning        True    Microsoft.InformationProtection.Scanner.ScanSummaryData
t-contoso2-T298-corp.contoso.com    Scanning     Pending    Microsoft.InformationProtection.Scanner.ScanSummaryData

Чтобы подробно изучить каждый узел, снова используйте переменную нодесинфо , указав целое число Node, начинающееся с 0. Пример:

PS C:\Windows\system32> $x.NodesInfo[0].Summary

В выходных данных отображается длинный список сведений о проверке на выбранном узле. Пример:

ScannerID               : t-contoso1-T298-corp.contoso.com
ScannedFiles            : 2280
FailedFiles             : 0
ScannedBytes            : 78478187
Classified              : 0
Labeled                 : 0
....

Использование параметра verbose для получения данных для текущего сканирования

PS C:\> Get-AIPScannerStatus -Verbose

ScannedFiles    MBScanned    CurrentScanSummary                                         RepositoriesStatus
------------    ---------    ------------------                                         ------------------
        2280    78478187     Microsoft.InformationProtection.Scanner.ScanSummaryData    {{ Path = C:\temp, Status = Scanning }

Выполните детализацию, чтобы получить дополнительные сведения о репозиториях с помощью переменных репоситориесстатус или куррентскансуммари .

Возможные состояния репозитория включают:

  • Пропущено, если репозиторий был пропущен
  • Ожидание, если текущий просмотр еще не начал Просмотр репозитория
  • Сканирование, если текущая проверка выполняется в репозитории
  • Завершено, если текущая проверка выполняется в репозитории

репоситориесстатус

PS C:\Windows\system32> $x.Get-AIPScannerStatus -Verbose
PS C:\Windows\system32> $x.RepositoriesStatus

Path        Status
----        ------
C:\temp     Scanning

куррентскансуммари

PS C:\Windows\system32> $x.CurrentScanSummary


ScannerID               : 
ScannedFiles            : 2280
FailedFiles             : 0
ScannedBytes            : 78478187
Classified              : 0
Labeled                 : 0
....

В этом выводе отображается только один репозиторий. В случае нескольких репозиториев каждый из них будет указан отдельно.

Справочник по ошибкам сканера

Следующие разделы содержат сведения о конкретных сообщениях об ошибках, создаваемых средством проверки, а также об устранении неполадок и действиях решения для устранения проблемы.

Тип ошибки Устранение неполадок
Ошибки проверки подлинности - Токен проверки подлинности не принят
- Отсутствует токен проверки подлинности
Ошибки политик - Политика отсутствует
- Политика не включает никаких условий автоматического создания меток
Ошибки в базе данных или схеме - Ошибки базы данных
- Несоответствие или устаревшая схема
Другие ошибки - Базовое соединение закрыто
- Процессы для проверки на зависание
- Не удалось подключиться к удаленному серверу
- Произошла ошибка при отправке запроса
- Отсутствует задание или профиль сканирования содержимого
- Нет настроенных репозиториев
- Кластер не найден
- Ошибки диагностики сканера

Токен проверки подлинности не принят

Сообщение об ошибке

Microsoft.InformationProtection.Exceptions.AccessDeniedException: The service didn't accept the auth token.

Решение

Если не удалось выполнить команду Set-AIPAuthentication , убедитесь, что разрешения правильно определены в портал Azure.

Дополнительные сведения см. в статье Создание и настройка приложений Azure AD для Set-AIPAuthentication.

Токен проверки подлинности отсутствует

Сообщение об ошибке

Это может быть:

  • NoAuthTokenException: Client application failed to provide authentication token for HTTP request

  • Microsoft.InformationProtection.Exceptions.NoAuthTokenException: Client application failed to provide authentication token for HTTP request. Failed with: System.AggregateException: One or more errors occurred. ---> Microsoft.IdentityModel.Clients.ActiveDirectory.AdalException: user_interaction_required: One of two conditions was encountered: 1. The PromptBehavior.Never flag was passed, but the constraint could not be honored, because user interaction was required. 2. An error occurred during a silent web authentication that prevented the http authentication flow from completing in a short enough time frame

  • Failed to acquire a token using windows integrated authentication (No SSO)

  • На странице узлы портал Azure: Policy does not include any automatic labeling condition

Решение

Чтобы средство проверки выполнялось не в интерактивном режиме, необходимо выполнить проверку подлинности с помощью токена.

При выполнении команды Set-AIPAuthentication убедитесь, что вы используете параметр токена от имени пользователя сканера.

Пример:

$pscreds = Get-Credential CONTOSO\scanner
Set-AIPAuthentication -AppId "77c3c1c3-abf9-404e-8b2b-4652836c8c66" -AppSecret "OAkk+rnuYc/u+]ah2kNxVbtrDGbS47L4" -DelegatedUser scanner@contoso.com -TenantId "9c11c87a-ac8b-46a3-8d5c-f4d0b72ee29a" -OnBehalfOf $pscreds
Acquired application access token on behalf of CONTOSO\scanner.

Дополнительные сведения см. в статье получение маркера Azure AD для сканера.

Политика отсутствует

Сообщение об ошибке

Policy is missing

Описание

Сканеру не удается найти файл политики Microsoft Information Protection (MIP).

Решение

Чтобы убедиться, что файл политики существует правильно, проверьте следующее расположение: % LocalAppData% \Microsoft\MSIP\mip\MSIP.Scanner.exe \mip\mip.Policies.sqlite3

Дополнительные сведения о метках MIP и политиках меток см. в разделе Создание и Настройка меток конфиденциальности и их политик в документации по Microsoft 365.

Политика не включает никаких условий автоматического добавления меток

Ошибка

Ошибки показывают, что в политике меток отсутствуют условия автоматического создания меток

Решение

Проверьте все или все из перечисленных ниже проблем.

Решение Сведения
Проверка параметров задания сканирования содержимого На портале Azure выполните следующие действия:

- Задать типы сведений для обнаружения всем
- Определить метку по умолчанию, применяемую при сканировании
Проверка параметров политики меток В центре соответствия Microsoft 365 выполните следующие действия.

- Определение метки чувствительности по умолчанию
- Определение автоматических и рекомендуемых правил для создания меток
Убедитесь, что политика доступна Если параметры определены должным образом, то сам файл политики может отсутствовать или быть недоступным, например при превышении времени ожидания в центре Microsoft 365 Security &.

Чтобы проверить файл политики, убедитесь, что следующий файл существует: % LocalAppData% \Microsoft\MSIP\mip\MSIP.Scanner.exe \mip\mip.Policies.sqlite3

Дополнительные сведения см. в разделе что такое средство проверки пометки Azure Information Protection единая метка? и Узнайте о метках чувствительности.

Ошибки базы данных

Сообщение об ошибке

DB error

Описание

Возможно, сканер не сможет подключиться к базе данных.

Решение

Проверьте сетевое подключение между компьютером сканера и базой данных.

Кроме того, убедитесь, что учетная запись службы, используемая для выполнения процессов сканера, имеет разрешения, необходимые для доступа к базе данных.

Несоответствие или устаревшая схема

Сообщение об ошибке

Это может быть:

  • SchemaMismatchException

  • В портал Azure на странице узлы : DB schema is not up to date. Run Update-AIPScanner command to update the DB schema или. Error: DB schema is not up to date

Решение

Выполните команду Update-AIPScanner , чтобы повторно синхронизировать схему и убедиться, что она актуальна с учетом последних изменений.

Ошибки диагностики сканера

Если при выполнении команды Start-аипдиагностикс возникли ошибки, убедитесь, что вы используете правильные учетные данные сканера в параметре - onbehalf

Пример:

$scanner_account_creds= Get-Credential
Start-AIPScannerDiagnostics -onbehalf $scanner_account_creds

Базовое соединение закрыто

Сообщение об ошибке

System.Net.WebException: The underlying connection was closed: An unexpected error occurred on a send. ---> System.IO.IOException: Authentication failed because the remote party has closed the transport stream.

Решение

Эта ошибка обычно означает, что протокол TLS 1,2 не включен.

Дополнительные сведения см. в разделе:

Зависание процессов сканера

Сообщение об ошибке

Сканер обрабатывает один файл дольше, чем ожидалось. Процесс может быть задержан.

Решение

Проверьте подробный отчет, чтобы узнать, не растет ли этот файл.

Если файл продолжает расти, это означает, что сканер все еще обрабатывает данные, и вы должны дождаться его завершения.

Однако если файл больше не растет, выполните следующие действия.

  1. Выполните одно из следующих действий (или оба).

    • Запустите командлет Start-аипсканнердиагностикс , чтобы выполнить диагностические проверки на сканере, а также экспортируйте и заzip-файлы журнала на наличие найденных ошибок.
    • Выполните командлет Export-аиплогс , чтобы экспортировать и заархивировать файлы журнала из каталога %локалаппдата%\микрософт\мсип\логс .
  2. Создайте файл дампа для службы сканера MSIP. В диспетчере задач Windows щелкните правой кнопкой мыши службу сканер MSIP и выберите команду создать файл дампа.

  3. В портал Azure останавливает сканирование.

  4. На компьютере со сканером перезапустите службу.

  5. Откройте запрос в службу поддержки и вложите файлы дампа из процесса проверки.

Дополнительные сведения см. в разделе Устранение неполадок проверки, время ожидания которыхистекло.

Невозможно соединиться с удаленным сервером

Ошибка

В файле % LocalAppData% \ микрософт\мсип\логс\мсипсканнер.иплог ,Unable to connect to the remote server ---> System.Net.Sockets.SocketException: Only one usage of each socket address (protocol/network address/port) is normally permitted IP:port

Примечание

Этот файл будет ZIP, если имеется несколько журналов.

Описание

Сканер превысил число разрешенных сетевых подключений.

Решение

Увеличьте число динамических портов для операционной системы, в которой размещаются файлы.

Дополнительные сведения о том, как просмотреть и расширить текущий диапазон портов, см. в описании параметров, которые можно изменить для повышения производительности сети.

См. также раздел Устранение неполадок проверки, для которых истекло время ожидания.

Ошибка при отправке запроса

Сообщение об ошибке

[System.Net.Http.HttpRequestException: An error occurred while sending the request. ---> System.Net.WebException: The underlying connection was closed: An unexpected error occurred on a send. ---> System.IO.IOException: Unable to read data from the transport connection: An existing connection was forcibly closed by the remote host. ---> System.Net.Sockets.SocketException: An existing connection was forcibly closed by the remote host

Решение

Эта ошибка обычно означает, что протокол TLS 1,2 не включен.

Дополнительные сведения см. в разделе:

Отсутствует задание сканирования содержимого или профиль

Ошибка

Ошибки показывают, что не удается найти задание сканирования содержимого или профиль.

Например, следующая ошибка портал Azure на странице узлы : No content scan job found

Решение

Проверьте конфигурацию сканера в портал Azure.

Дополнительные сведения см. в разделе Настройка и установка Azure Information Protection единого сканирования меток.

Примечание

Профиль — это устаревший термин сканера, замененный кластером сканеров и заданием сканирования содержимого в более новых версиях сканера.

Нет настроенных репозиториев

Сообщение об ошибке

В портал Azure на странице узлы выполните следующие действия. No repositories are configured

Описание

Возможно, у вас есть задание сканирования содержимого без настроенных репозиториев.

Решение

Проверьте параметры задания сканирования содержимого и добавьте хотя бы один репозиторий.

Дополнительные сведения см. в разделе Создание задания сканирования содержимого.

Кластер не найден

Сообщение об ошибке

В портал Azure на странице узлы выполните следующие действия. No cluster found

Описание

Не найдено фактического совпадения для одного из определенных кластеров сканера.

Решение

Проверьте конфигурацию кластера и проверьте наличие в ней собственных сведений о опечатках и ошибках.

Дополнительные сведения см. в разделе Создание кластера сканера.

Дальнейшие действия

Дополнительные сведения см. в нашем блоге с рекомендациями по развертыванию и использованию сканера с административнымстандартом UL.