Sdílet prostřednictvím

Monitorování konektoru Microsoft Rights Management

  • Článek

Po instalaci a konfiguraci služby RMS Connector můžete použít následující metody a informace, které vám pomůžou monitorovat konektor a používání služby Azure Rights Management ze služby Azure Information Protection.

Položky protokolu událostí aplikace

Konektor SLUŽBY RMS používá protokol událostí aplikace k zaznamenání položek pro konektor Microsoft RMS.

Například informační události, například:

  • ID 1000 potvrďte, že se služba konektoru spustila.

  • ID 1002, když se server úspěšně připojí ke službě RMS Connector

  • ID 1004 při každém stažení seznamu autorizovaných účtů (každý účet je uvedený) do konektoru

Pokud jste konektor nenakonfigurovali tak, aby používal protokol HTTPS, můžete očekávat, že se zobrazí upozornění s ID 2002, že klient používá nezabezpečené připojení (HTTP).

Pokud se konektoru nepodaří připojit ke službě Azure Rights Management, pravděpodobně se zobrazí chyba 3001. Příčinou tohoto selhání připojení může být například problém DNS nebo nedostatek přístupu k internetu pro jeden nebo více serverů se spuštěným konektorem RMS.

Tip

Pokud se servery konektoru RMS nemůžou připojit ke službě Azure Rights Management, jsou často důvodem konfigurace webového proxy serveru.

Stejně jako u všech položek protokolu událostí přejděte k podrobnostem zprávy.

Kromě kontroly protokolu událostí při prvním nasazení konektoru zkontrolujte upozornění a chyby průběžně. Konektor může zpočátku fungovat podle očekávání, ale ostatní správci můžou změnit závislé konfigurace. Jiný správce například změní konfiguraci webového proxy serveru tak, aby servery konektoru RMS už neměly přístup k internetu (chyba 3001) nebo odebere účet počítače ze skupiny, kterou jste určili jako autorizovanou k používání konektoru (upozornění 2001).

ID a popisy protokolu událostí

Pomocí následujících částí identifikujte možná ID událostí, popisy a další informace.

Informace 1000

Webová služba Microsoft RMS Connector byla spuštěna.

Tato událost se zaprotokoluje při prvním pokusu o spuštění konektoru RMS.

Informace 1001

Webová služba Microsoft RMS Connector se zastavila.

Tato událost se zaprotokoluje, když se konektor RMS zastaví v důsledku normálního provozu. Služba IIS se například restartuje nebo se počítač vypne.

Informace 1002

Pro autorizovaný server byl povolen přístup ke konektoru Microsoft RMS.

Tato událost se protokoluje, když se účet z místního serveru poprvé připojí ke konektoru RMS po autorizaci účtu správcem Azure RMS v nástroji pro správu konektoru RMS. Identifikátor SID, název účtu a název počítače, který vytváří připojení, je obsažen ve zprávě události.

Informace 1003

Připojení z klienta uvedeného níže přešlo z nezabezpečeného připojení (HTTP) na zabezpečené připojení (HTTPS).

Tato událost se zaprotokoluje, když místní server změní připojení ke službě RMS Connector z HTTP (méně bezpečné) na HTTPS (bezpečnější). Identifikátor SID, název účtu a název počítače, který vytváří připojení, je obsažen ve zprávě události.

Informace 1004

Seznam autorizovaných účtů byl aktualizován.

Tato událost se zaprotokoluje, když služba RMS Connector stáhla nejnovější seznam účtů (existující účty a všechny změny), které mají oprávnění k používání služby RMS Connector. Tento seznam se stáhne každých 15 minut, protože konektor RMS může komunikovat se službou Azure Rights Management.

Upozornění 2000

Objekt zabezpečení uživatele v kontextu HTTP chybí nebo je neplatný. Ověřte, zda je na webu konektoru Microsoft RMS zakázané anonymní ověřování ve službě IIS a je povolené pouze ověřování systému Windows.

Tato událost se zaprotokoluje, když rms Connector nemůže jednoznačně identifikovat účet, který se pokouší připojit ke službě RMS Connector. Důvodem může být nesprávně nakonfigurované anonymní ověřování pro službu IIS nebo účet pochází z nedůvěryhodné doménové struktury.

Upozornění 2001

Pokus o neoprávněný přístup ke službě Microsoft RMS Connector

Tato událost se protokoluje, když se účet pokusí připojit ke službě RMS Connector, ale selže. Nejčastějším důvodem tohoto upozornění je to, že účet, který provádí připojení, není ve staženého seznamu autorizovaných účtů, které konektor RMS stáhne ze služby Azure Rights Management. Například nejnovější seznam se ještě nestáhnul (k této události dochází každých 15 minut) nebo v seznamu chybí účet.

Dalším důvodem může být, že jste nainstalovali rms Connector na stejný server, který je nakonfigurovaný pro použití konektoru. Konektor RMS například nainstalujete na server, na kterém běží Exchange Server, a autorizujete účet Exchange pro použití konektoru. Tato konfigurace není podporovaná, protože konektor SLUŽBY RMS nemůže správně identifikovat účet při pokusu o připojení.

Zpráva události obsahuje informace o účtu a počítači, který se pokouší připojit ke službě RMS Connector:

  • Pokud je účet, který se pokouší připojit ke službě RMS Connector, platný účet, přidejte účet do seznamu autorizovaných účtů pomocí nástroje správce služby RMS Connector. Další informace o tom, které účty musí být autorizované, najdete v tématu Přidání serveru do seznamu povolených serverů.

  • Pokud se účet, který se pokouší připojit ke službě RMS Connector, pochází ze stejného počítače jako server služby RMS Connector, nainstalujte konektor na samostatný server. Další informace o požadavcích konektoru najdete v tématu Požadavky pro rms Connector.

Upozornění 2002

Připojení z klienta uvedeného níže používá nezabezpečené připojení (HTTP).

Tato událost se protokoluje, když místní server vytvoří úspěšné připojení ke službě RMS Connector, ale připojení používá protokol HTTP (méně bezpečné) místo HTTPS (bezpečnější). Jedna událost se zaprotokoluje na jeden účet, nikoli na připojení. Tato událost se znovu aktivuje, pokud se účet úspěšně přepnul na použití PROTOKOLU HTTPS, ale vrátí se k protokolu HTTP.

Zpráva události obsahuje identifikátor SID účtu, název účtu a název počítače, který vytvoří připojení ke službě RMS Connector.

Informace o tom, jak nakonfigurovat konektor RMS pro připojení HTTPS, najdete v tématu Konfigurace konektoru RMS pro použití PROTOKOLU HTTPS.

Upozornění 2003

Seznam autorizací je prázdný. Služba nebude použitelná, dokud se nenaplní seznam autorizovaných uživatelů a skupin konektoru.

Tato událost se zaprotokoluje, když rms Connector nemá seznam autorizovaných účtů, takže se k němu nemůžou připojit žádné místní servery. Konektor RMS stáhne seznam každých 15 minut z Azure RMS.

Pokud chcete zadat účty, použijte nástroj pro správu konektoru RMS. Další informace najdete v tématu Autorizace serverů pro použití služby RMS Connector.

Chyba 3000

V konektoru Microsoft RMS došlo k neošetřené výjimce.

Tato událost se zaprotokoluje při každém výskytu neočekávané chyby konektoru RMS s podrobnostmi o chybě ve zprávě události.

Jednou z možných příčin může být text : Požadavek selhal s prázdnou odpovědí ve zprávě události. Pokud se zobrazí tento text, může to být proto, že máte síťové zařízení, které provádí kontrolu PROTOKOLU SSL na paketech mezi místními servery a serverem konektoru RMS. Služba Azure Rights Management tuto konfiguraci nepodporuje a výsledkem je neúspěšná komunikace a tato zpráva protokolu událostí.

Chyba 3001

Při stahování informací o autorizaci došlo k výjimce.

Tato událost se zaprotokoluje, pokud konektor SLUŽBY RMS nemůže stáhnout nejnovější seznam účtů, které mají oprávnění k používání služby RMS Connector. Podrobnosti o chybě jsou ve zprávě události.

Čítače výkonu

Při instalaci konektoru RMS se automaticky vytvoří čítače výkonu konektoru Microsoft Rights Management, které vám můžou pomoct při monitorování a zlepšení výkonu služby Azure Rights Management.

Například pravidelně dochází ke zpožděním, když jsou dokumenty nebo e-maily chráněné. Nebo při otevření chráněných dokumentů nebo e-mailů dojde k prodlevám. V těchto případech vám čítače výkonu můžou pomoct určit, jestli jsou zpoždění způsobená časem zpracování konektoru, časem zpracování ze služby Azure Rights Management nebo zpožděním sítě.

Chcete-li zjistit, kde dochází ke zpoždění, vyhledejte čítače, které zahrnují průměrné počty pro dobu zpracování Připojení oru, dobu odezvy služby a dobu odezvy Připojení orové odezvy. Příklad: Licencování úspěšného dávkového požadavku – Průměrná doba odezvy Připojení or.

Pokud jste nedávno přidali nové účty serveru pro použití konektoru, je dobrým čítačem kontrola čas od poslední aktualizace zásad autorizace, abyste potvrdili, že konektor stáhl seznam od aktualizace, nebo jestli potřebujete chvíli počkat (až 15 minut).

Protokolování

Protokolování využití pomáhá identifikovat, kdy jsou e-maily a dokumenty chráněné a spotřebované. Když se konektor RMS používá k ochraně a využívání obsahu, pole ID uživatele v protokolech obsahuje hlavní název služby Aadrm_S-1-7-0. Tento název se automaticky vytvoří pro rms Connector.

Další informace o protokolování využití najdete v tématu Protokolování a analýza využití ochrany ze služby Azure Information Protection.

Pokud potřebujete podrobnější protokolování pro účely diagnostiky, použijte DebugView z Windows Sysinternals k výstupu protokolů do kanálu ladění.

  1. Spusťte DebugView jako správce a pak vyberte Capture Capture>Global Win32.

  2. Povolte trasování konektoru SLUŽBY RMS úpravou souboru web.config pro výchozí web ve službě IIS:

    1. Vyhledejte soubor web.config ve složce %programfiles%\Microsoft Rights Management Connector\Web Service.

    2. Vyhledejte následující řádek:

      <trace enabled="false" requestLimit="10" pageOutput="false" traceMode="SortByTime" localOnly="true"/>

    3. Nahraďte tento řádek následujícím textem:

      <trace enabled="true" requestLimit="10" pageOutput="false" traceMode="SortByTime" localOnly="true"/>

  3. Zastavením a spuštěním služby IIS aktivujte trasování.

  4. Po zachycení trasování v debugView, které potřebujete, vraťte řádek v kroku 3 a zastavte a spusťte službu IIS znovu.