Поделиться через

Устранение проблем с развертыванием сканера защиты информации

  • Статья
  • Применяется к:
    Microsoft Purview

Примечание.

Средство проверки унифицированных меток Azure Information Protection переименовано Защита информации Microsoft Purview сканера. В то же время конфигурация (в настоящее время в предварительной версии) перемещается в Портал соответствия требованиям Microsoft Purview. В настоящее время средство проверки можно настроить как на портал Azure, так и на портале соответствия требованиям. Инструкции из этой статьи см. на обоих порталах администрирования.

Если у вас возникли проблемы с сканером Защита информации Microsoft Purview, проверьте работоспособность развертывания с помощью командлета PowerShell Start-ScannerDiagnostics, чтобы запустить средство диагностики сканера:

Start-ScannerDiagnostics

Средство диагностика проверяет следующие сведения, а затем создает файл журнала с результатами:

  • Актуально ли база данных
  • Доступны ли URL-адреса сети
  • Существует ли действительный маркер проверки подлинности и можно ли получить политику
  • Определяется ли профиль в портал Azure
  • Существует ли автономная или онлайн-конфигурация и может ли быть приобретена
  • Допустимы ли правила

Совет

  • Если средство не запущено с помощью учетной записи службы, используемой для запуска службы сканера, необходимо использовать -OnBehalf этот параметр. Кроме того, вы столкнетесь с ошибками.
  • Чтобы распечатать последние 10 ошибок из журнала сканера, добавьте Verbose этот параметр. Если вы хотите распечатать больше ошибок, используйте VerboseErrorCount его для определения количества ошибок, которые требуется распечатать.

Команда Start-ScannerDiagnostics не выполняет полную проверку предварительных требований. Если у вас возникли проблемы с сканером, необходимо также убедиться, что система соответствует требованиям сканера, а конфигурация сканера и установка завершены.

Проверка сведений о сканировании на узел сканера и репозиторий

Запустите командлет Get-ScanStatus PowerShell, чтобы получить сведения о текущем состоянии сканирования и списке узлов в кластере сканера.

PS C:\> Get-ScanStatus

Cluster        : contoso-test
ClusterStatus  : Scanning
StartTime      : 12/22/2020 9:05:02 AM
TimeFromStart  : 00:00:00:37
NodesInfo      : {t-contoso1-T298-corp.contoso.com,t-contoso2-T298-corp.contoso.com}

NodesInfo Используйте переменную с командлетом Get-ScanStatus, чтобы получить дополнительные сведения о каждом узле в кластере:

PS C:\WINDOWS\system32> $x=Get-ScanStatus
PS C:\WINDOWS\system32> $x.NodesInfo

Выходные данные отображают сведения для каждого узла в таблице, как показано в следующем примере:

NodeName                            Status    IsScanning    Summary
--------                            --------  ----------    -------
t-contoso1-T298-corp.contoso.com    Scanning        True    Microsoft.InformationProtection.Scanner.ScanSummaryData
t-contoso2-T298-corp.contoso.com    Scanning     Pending    Microsoft.InformationProtection.Scanner.ScanSummaryData

Чтобы выполнить детализацию по каждому узлу, используйте NodesInfo переменную еще раз с целым числом узла, начиная с 0.

PS C:\Windows\system32> $x.NodesInfo[0].Summary

Выходные данные отображают сведения о сканированиях на выбранном узле, как показано в следующем примере:

ScannerID               : t-contoso1-T298-corp.contoso.com
ScannedFiles            : 2280
FailedFiles             : 0
ScannedBytes            : 78478187
Classified              : 0
Labeled                 : 0
....

Verbose Используйте параметр с командлетом Get-ScanStatus, чтобы получить данные о текущем сканировании.

PS C:\> Get-ScanStatus -Verbose

ScannedFiles    MBScanned    CurrentScanSummary                                         RepositoriesStatus
------------    ---------    ------------------                                         ------------------
        2280    78478187     Microsoft.InformationProtection.Scanner.ScanSummaryData    {{ Path = C:\temp, Status = Scanning }

RepositoriesStatus Используйте переменные для CurrentScanSummary дальнейшего детализации для получения дополнительных сведений о состоянии репозиториев.

Возможные значения состояния репозитория:

  • Пропущено, если репозиторий пропущен
  • Ожидание, если текущая проверка еще не начала сканирования репозитория
  • Проверка, если текущая проверка выполняется в репозитории
  • Завершено, если текущая проверка завершена в репозитории

Пример. Использование переменной RepositoriesStatus

PS C:\Windows\system32> $x.Get-AIPScannerStatus -Verbose
PS C:\Windows\system32> $x.RepositoriesStatus

Path        Status
----        ------
C:\temp     Scanning

Пример: используйте переменную CurrentScanSummary

PS C:\Windows\system32> $x.CurrentScanSummary

ScannerID               : 
ScannedFiles            : 2280
FailedFiles             : 0
ScannedBytes            : 78478187
Classified              : 0
Labeled                 : 0
....

В выходных данных отображается только один репозиторий. Если существует несколько репозиториев, каждый из них будет указан отдельно.

Справочник по ошибкам сканера

В следующей таблице содержатся сведения об определенных сообщениях об ошибках, создаваемых сканером, и предоставляются действия по устранению связанной проблемы:

Тип ошибки Устранение неполадок
Ошибки проверки подлинности
Ошибки политики
Ошибки базы данных и схемы
Другие ошибки

Токен проверки подлинности не принят

Сообщение об ошибке

Microsoft.InformationProtection.Exceptions.AccessDeniedException: служба не приняла маркер проверки подлинности.

Description

Не удалось выполнить команду Set-Authentication .

Решение

Верфи, что соответствующие разрешения определены правильно в портал Azure.

Дополнительные сведения см. в статье "Создание и настройка приложений Microsoft Entra для set-Authentication".

Токен проверки подлинности отсутствует

Сообщения об ошибках

  • NoAuthTokenException: клиентское приложение не удалось предоставить маркер проверки подлинности для HTTP-запроса

  • Microsoft.InformationProtection.Exceptions.NoAuthTokenException: клиентское приложение не предоставило маркер проверки подлинности для HTTP-запроса. Сбой: System.AggregateException: произошла одна или несколько ошибок. >--- Microsoft.IdentityModel.Clients.ActiveDirectory.AdalException: user_interaction_required: возникло одно из двух условий: 1. Флаг PromptBehavior.Never был передан, но ограничение не может быть выполнено, так как взаимодействие с пользователем требуется. 2. Произошла ошибка во время автоматической веб-проверки подлинности, которая препятствовала выполнению потока проверки подлинности http в течение короткого периода времени

  • Не удалось получить маркер с помощью встроенной проверки подлинности Windows (без единого входа)

  • На странице "Узлы" портал Azure:

    Политика не содержит условий автоматического добавления меток

Description

Эти ошибки проверки подлинности возникают при выполнении сканера неинтерактивно.

Решение

Необходимо пройти проверку подлинности с помощью маркера с помощью командлета Set-Authentication .

При запуске командлета Set-Authentication убедитесь, что вы используете параметр токена от имени учетной записи службы, которая используется для запуска службы сканера, как показано в следующем примере:

$pscreds = Get-Credential CONTOSO\scanner
Set-Authentication -AppId "77c3c1c3-abf9-404e-8b2b-4652836c8c66" -AppSecret "OAkk+rnuYc/u+]ah2kNxVbtrDGbS47L4" -DelegatedUser scanner@contoso.com -TenantId "9c11c87a-ac8b-46a3-8d5c-f4d0b72ee29a" -OnBehalfOf $pscreds
Acquired application access token on behalf of CONTOSO\scanner.

Дополнительные сведения см. в разделе "Получение маркера Записи Майкрософт" для сканера.

Отсутствие политики

Сообщение об ошибке

Политика отсутствует

Description

Сканер не может найти файл политики меток конфиденциальности.

Решение

Чтобы убедиться, что файл политики существует должным образом, проверьте следующее расположение: %localappdata%\Microsoft\MSIP\mip\MSIP. Scanner.exe\mip\mip.policies.sqlite3.

Дополнительные сведения о метках конфиденциальности и их политиках меток см. в статье "Создание и настройка меток конфиденциальности" и их политик.

Политика не включает условия автоматической маркировки

Сообщение об ошибке

Политика отсутствует условия маркировки

Description

Политика маркировки отсутствует в автоматических условиях маркировки.

Решение

Настройте следующие параметры:

Параметр Действия по настройке параметров
Параметры задания сканирования содержимого На портале Azure выполните следующие действия:
Параметры политики маркировки В Портал соответствия требованиям Microsoft Purview выполните следующие действия:

Если параметры уже определены должным образом, сам файл политики может быть пропущен или недоступен, например при истечении времени ожидания из Портал соответствия требованиям Microsoft Purview.

Чтобы проверить файл политики, проверьте, существует ли следующий файл: %localappdata%\Microsoft\MSIP\mip\MSIP. Scanner.exe\mip\mip.policies.sqlite3

Дополнительные сведения см. в статье "Что такое средство проверки унифицированных меток Azure Information Protection" и сведения о метках конфиденциальности.

Ошибки базы данных

Сообщение об ошибке

Ошибка базы данных

Description

Сканер не может подключиться к базе данных.

Решение

Проверьте сетевое подключение между компьютером сканера и базой данных.

Кроме того, убедитесь, что учетная запись службы, используемая для запуска процессов сканера, имеет все разрешения, необходимые для доступа к базе данных.

Несоответствие или устаревшая схема

Сообщение об ошибке

Один из следующих:

  • SchemaMismatchException

  • На странице "Узлы" в портал Azure:

    Схема базы данных не обновлена. Выполните команду Update-ScannerDatabase, чтобы обновить схему базы данных
    Ошибка: схема базы данных не обновлена

Description

Схема базы данных не обновлена.

Решение

Выполните командлет Update-ScannerDatabase, чтобы повторно выполнить повторную синхронизацию схемы и убедиться, что она обновлена с последними изменениями.

Базовое подключение было закрыто

Сообщения об ошибках

System.Net.WebException: базовое соединение было закрыто: в отправке произошла непредвиденная ошибка. >--- System.IO.IOException: проверка подлинности завершилась ошибкой, так как удаленная сторона закрыла транспортный поток.

[System.Net.Http.HttpRequestException: произошла ошибка при отправке запроса. >--- System.Net.WebException: базовое соединение было закрыто: произошла непредвиденная ошибка при отправке. >--- System.IO.IOException: не удалось считывать данные из транспортного подключения: существующее соединение было принудительно закрыто удаленным узлом. >--- System.Net.Sockets.SocketException: существующее подключение было принудительно закрыто удаленным узлом.

Description

Эти ошибки указывают на то, что tls 1.2 не включен.

Решение

Сведения о включении TLS 1.2 см. в статье:.

Зависание процессов сканера

Сообщение об ошибке

Не отображается сообщение об ошибке, но время ожидания сканера не отображается.

Description

Сканер обрабатывает один файл дольше, чем ожидалось, или он неожиданно останавливается при сканировании большого количества файлов в репозитории. Процесс проверки может застрять.

Решение

Измените один из следующих параметров:

  • Число динамических портов. Возможно, потребуется увеличить количество динамических портов для операционной системы, в котором размещаются файлы. Защита сервера для SharePoint может быть одной из причин, почему сканер превышает количество разрешенных сетевых подключений и останавливается.

    Сведения о просмотре текущего диапазона портов и увеличении диапазона см. в разделе "Параметры", которые можно изменить для повышения производительности сети.

  • Пороговое значение представления списка. Для больших ферм SharePoint может потребоваться увеличить порог представления списка. По умолчанию пороговое значение представления списка равно 5000.

    Сведения об увеличении порогового значения см. в статье "Управление большими списками и библиотеками в SharePoint".

Если проблема по-прежнему возникает, проверьте подробный отчет, чтобы определить, увеличивается ли размер файла.

Если размер файла продолжает увеличиваться, средство проверки по-прежнему обрабатывает данные, и необходимо ждать, пока он не будет выполнен.

Если размер файла больше не увеличивается, сделайте следующее:

  1. Выполните следующие командлеты:

    • Командлет Start-ScannerDiagnostics : для выполнения диагностических проверок на сканере и экспорта и zip-файлов журналов для любых обнаруженных ошибок.
    • Командлет Export-DebugLogs : для экспорта и создания .zip версии файлов журнала из каталога %localappdata%\Microsoft\MSIP\Logs .

  2. Создайте файл дампа для службы сканера MSIP. В диспетчере задач Windows щелкните правой кнопкой мыши службу средства проверки MSIP и выберите "Создать файл дампа".

  3. В портал Azure остановите проверку.

  4. На компьютере сканера перезапустите службу.

  5. Откройте запрос в службу поддержки и вложите файлы дампа из процесса проверки.

Невозможно соединиться с удаленным сервером

Сообщение об ошибке

В файле MSIPScanner.iplog, расположенном в папке %localappdata%\Microsoft\MSIP\Logs\:

Не удается подключиться к удаленному серверу ---> System.Net.Sockets.SocketException: обычно разрешено только одно использование каждого адреса сокета (протокол/сетевой адрес/порт)

Если существует несколько журналов, файл MSIPScanner.iplog будет .zip файлом.

Description

Сканер превысил количество разрешенных сетевых подключений.

Решение

Увеличьте количество динамических портов для операционной системы, в котором размещаются файлы.

Сведения о просмотре текущего диапазона портов и увеличении диапазона см. в разделе "Параметры", которые можно изменить для повышения производительности сети.

Отсутствует задание сканирования содержимого или профиль

Сообщение об ошибке

На странице "Узлы" в портал Azure:

Задание сканирования содержимого не найдено

Description

Эта ошибка возникает, когда не удается найти задание сканирования содержимого или профиль.

Решение

Проверьте конфигурацию сканера в портал Azure.

Дополнительные сведения см. в статье "Настройка и установка средства проверки унифицированных меток Azure Information Protection".

Примечание. Профиль — это устаревший термин сканера, который был заменен кластером сканера и заданием сканирования содержимого в более новых версиях сканера.

Нет настроенных репозиториев

Сообщение об ошибке

На портале администрирования на странице "Узлы" :

Репозитории не настроены

Description

Возможно, у вас есть задание сканирования содержимого без настроенных репозиториев.

Решение

Проверьте параметры задания сканирования содержимого и добавьте хотя бы один репозиторий.

Дополнительные сведения см. в разделе "Создание задания сканирования содержимого".

Кластер не найден

Сообщение об ошибке

На портале администрирования на странице "Узлы" :

Кластер не найден

Description

Фактическое совпадение не найдено для одного из определенных кластеров сканера.

Решение

Проверьте конфигурацию кластера и проверьте ее на наличие собственных системных сведений о опечатках и ошибках.

Дополнительные сведения см. в разделе "Создание кластера сканера".

Дополнительная информация

Рекомендации по развертыванию и использованию сканера UL AIP.