Delen via

De Microsoft Rights Management-connector bewaken

  • Artikel

Nadat u de RMS-connector hebt geïnstalleerd en geconfigureerd, kunt u de volgende methoden en informatie gebruiken om de connector en het gebruik van de Azure Rights Management-service van Azure Information Protection in uw organisatie te bewaken.

Vermeldingen in Toepassingsgebeurtenislogboek

De RMS-connector gebruikt het gebeurtenislogboek van de toepassing om vermeldingen voor de Microsoft RMS-connector vast te leggen.

Bijvoorbeeld informatie-gebeurtenissen zoals:

  • Id 1000 bevestigen dat de connectorservice is gestart

  • Id 1002 wanneer een server verbinding heeft gemaakt met de RMS-connector

  • Id 1004 telkens wanneer de lijst met geautoriseerde accounts (elk account wordt vermeld) naar de connector wordt gedownload

Als u de connector niet hebt geconfigureerd voor het gebruik van HTTPS, ziet u een waarschuwings-id 2002 dat een client een niet-beveiligde (HTTP)-verbinding gebruikt.

Als de connector geen verbinding kan maken met de Azure Rights Management-service, ziet u waarschijnlijk fout 3001. Deze verbindingsfout kan bijvoorbeeld het gevolg zijn van een DNS-probleem of een gebrek aan internettoegang voor een of meer servers waarop de RMS-connector wordt uitgevoerd.

Fooi

Wanneer RMS-connectorservers geen verbinding kunnen maken met de Azure Rights Management-service, zijn webproxyconfiguraties vaak de reden.

Net als bij alle vermeldingen in het gebeurtenislogboek kunt u inzoomen op het bericht voor meer informatie.

Naast het controleren van het gebeurtenislogboek wanneer u de connector voor het eerst implementeert, controleert u doorlopend op waarschuwingen en fouten. De connector werkt mogelijk zoals verwacht in eerste instantie, maar andere beheerders kunnen afhankelijke configuraties wijzigen. Een andere beheerder wijzigt bijvoorbeeld de configuratie van de webproxyserver zodat de RMS-connectorservers geen toegang meer hebben tot internet (fout 3001) of een computeraccount verwijdert uit een groep die u hebt opgegeven als geautoriseerd voor het gebruik van de connector (waarschuwing 2001).

Gebeurtenislogboek-id's en beschrijvingen

Gebruik de volgende secties om de mogelijke gebeurtenis-id's, beschrijvingen en eventuele aanvullende informatie te identificeren.

Informatie 1000

De microsoft RMS-connectorwebservice is gestart.

Deze gebeurtenis wordt geregistreerd wanneer de RMS-connector voor het eerst probeert te starten.

Informatie 1001

De webservice van de Microsoft RMS-connector is gestopt.

Deze gebeurtenis wordt geregistreerd wanneer de RMS-connector stopt als gevolg van een normale werking. IIS wordt bijvoorbeeld opnieuw opgestart of de computer wordt afgesloten.

Informatie 1002

Toegang tot de Microsoft RMS-connector is toegestaan voor een geautoriseerde server.

Deze gebeurtenis wordt geregistreerd wanneer een account van een on-premises server voor het eerst verbinding maakt met de RMS-connector, nadat het account is geautoriseerd door de Azure RMS-beheerder in het beheerhulpprogramma van de RMS-connector. De SID, de accountnaam en de naam van de computer die de verbinding maakt, vindt u in het gebeurtenisbericht.

Informatie 1003

De verbinding van de onderstaande client is overgeschakeld van een niet-beveiligde (HTTP)-verbinding naar een beveiligde (HTTPS)-verbinding.

Deze gebeurtenis wordt geregistreerd wanneer een on-premises server de verbinding met de RMS-connector wijzigt van HTTP (minder veilig) naar HTTPS (veiliger). De SID, de accountnaam en de naam van de computer die de verbinding maakt, vindt u in het gebeurtenisbericht.

Informatie 1004

De lijst met geautoriseerde accounts is bijgewerkt.

Deze gebeurtenis wordt geregistreerd wanneer de RMS-connector de meest recente lijst met accounts (bestaande accounts en eventuele wijzigingen) heeft gedownload die zijn gemachtigd om de RMS-connector te gebruiken. Deze lijst wordt elke 15 minuten gedownload, zodat de RMS-connector kan communiceren met de Azure Rights Management-service.

Waarschuwing 2000

De gebruikers-principal in de HTTP-context ontbreekt of is ongeldig. Controleer of de website van de Microsoft RMS-connector anonieme verificatie heeft uitgeschakeld in IIS en alleen Windows-verificatie is ingeschakeld.

Deze gebeurtenis wordt geregistreerd wanneer de RMS-connector het account dat verbinding probeert te maken met de RMS-connector niet uniek kan identificeren. Dit kan het gevolg zijn van anonieme verificatie die onjuist is geconfigureerd voor IIS of dat het account afkomstig is van een niet-vertrouwd forest.

Waarschuwing 2001

Onbevoegde toegangspoging naar Microsoft RMS-connector.

Deze gebeurtenis wordt geregistreerd wanneer een account verbinding probeert te maken met de RMS-connector, maar mislukt. De meest voorkomende reden voor deze waarschuwing is dat het account dat de verbinding maakt, zich niet in de gedownloade lijst met geautoriseerde accounts bevindt die de RMS-connector downloadt vanuit de Azure Rights Management-service. De meest recente lijst is bijvoorbeeld nog niet gedownload (deze gebeurtenis vindt elke 15 minuten plaats) of het account ontbreekt in de lijst.

Een andere reden kan zijn als u de RMS-connector hebt geïnstalleerd op dezelfde server die is geconfigureerd voor het gebruik van de connector. U installeert bijvoorbeeld de RMS-connector op een server waarop Exchange Server wordt uitgevoerd en u machtigt een Exchange-account om de connector te gebruiken. Deze configuratie wordt niet ondersteund omdat de RMS-connector het account niet correct kan identificeren wanneer er verbinding wordt gemaakt.

Het gebeurtenisbericht bevat informatie over het account en de computer die verbinding probeert te maken met de RMS-connector:

  • Als het account dat verbinding probeert te maken met de RMS-connector een geldig account is, gebruikt u het administratorhulpprogramma van de RMS-connector om het account toe te voegen aan de lijst met geautoriseerde accounts. Zie Een server toevoegen aan de lijst met toegestane servers voor meer informatie over welke accounts moeten worden geautoriseerd.

  • Als het account dat verbinding probeert te maken met de RMS-connector afkomstig is van dezelfde computer als de RMS-connectorserver, installeert u de connector op een afzonderlijke server. Zie Vereisten voor de RMS-connector voor meer informatie over de vereisten voor de connector.

Waarschuwing 2002

De verbinding van de onderstaande client maakt gebruik van een niet-beveiligde (HTTP)-verbinding.

Deze gebeurtenis wordt geregistreerd wanneer een on-premises server verbinding maakt met de RMS-connector, maar de verbinding gebruikmaakt van HTTP (minder veilig) in plaats van HTTPS (veiliger). Eén gebeurtenis wordt per account geregistreerd in plaats van per verbinding. Deze gebeurtenis wordt opnieuw geactiveerd als het account is overgeschakeld naar het gebruik van HTTPS, maar wordt teruggezet naar HTTP.

Het gebeurtenisbericht bevat de account-SID, accountnaam en de naam van de computer die verbinding maakt met de RMS-connector.

Zie De RMS-connector configureren om HTTPS te gebruiken voor informatie over het configureren van de RMS-connector voor HTTPS-verbindingen.

Waarschuwing 2003

De lijst met autorisaties is leeg. De service kan pas worden gebruikt als de lijst met geautoriseerde gebruikers en groepen voor de connector is ingevuld.

Deze gebeurtenis wordt geregistreerd wanneer de RMS-connector geen lijst met geautoriseerde accounts heeft, zodat er geen on-premises servers verbinding mee kunnen maken. De RMS-connector downloadt de lijst elke 15 minuten van Azure RMS.

Als u de accounts wilt opgeven, gebruikt u het beheerdershulpprogramma van de RMS-connector. Zie Servers autoriseren om de RMS-connector te gebruiken voor meer informatie.

Fout 3000

Er is een niet-verwerkte uitzondering opgetreden in de Microsoft RMS-connector.

Deze gebeurtenis wordt geregistreerd telkens wanneer de RMS-connector een onverwachte fout tegenkomt, met de details van de fout in het gebeurtenisbericht.

Een mogelijke oorzaak kan worden geïdentificeerd door de tekst De aanvraag is mislukt met een leeg antwoord in het gebeurtenisbericht. Als u deze tekst ziet, kan het zijn dat u een netwerkapparaat hebt dat SSL-inspectie uitvoert op de pakketten tussen de on-premises servers en de RMS-connectorserver. De Azure Rights Management-service biedt geen ondersteuning voor deze configuratie en resulteert in een mislukte communicatie en dit gebeurtenislogboekbericht.

Fout 3001

Er is een uitzondering opgetreden tijdens het downloaden van autorisatiegegevens.

Deze gebeurtenis wordt geregistreerd als de RMS-connector de meest recente lijst met accounts die zijn gemachtigd voor het gebruik van de RMS-connector niet kan downloaden. Details van de fout staan in het gebeurtenisbericht.

Prestatiemeteritems

Wanneer u de RMS-connector installeert, worden er automatisch prestatiemeteritems voor de Microsoft Rights Management-connector gemaakt die nuttig kunnen zijn om u te helpen bij het bewaken en verbeteren van de prestaties van het gebruik van de Azure Rights Management-service.

U ondervindt bijvoorbeeld regelmatig vertragingen wanneer documenten of e-mailberichten worden beveiligd. Of u ondervindt vertragingen wanneer beveiligde documenten of e-mailberichten worden geopend. In deze gevallen kunnen de prestatiemeteritems u helpen bepalen of de vertragingen worden veroorzaakt door verwerkingstijd op de connector, verwerkingstijd van de Azure Rights Management-service of netwerkvertragingen.

Als u wilt bepalen waar de vertraging zich voordoet, zoekt u naar tellers met gemiddelde aantallen voor Verbinding maken or verwerkingstijd, reactietijd van de service en Verbinding maken or reactietijd. Bijvoorbeeld: Licentieverlening geslaagde batchaanvraag gemiddelde Verbinding maken or reactietijd.

Als u onlangs nieuwe serveraccounts hebt toegevoegd om de connector te gebruiken, is het handig om te controleren of tijd sinds de laatste update van het autorisatiebeleid is uitgevoerd om te bevestigen dat de connector de lijst heeft gedownload sinds u deze hebt bijgewerkt, of dat u iets langer moet wachten (maximaal 15 minuten).

Registratie in logboek

Met logboekregistratie van gebruik kunt u bepalen wanneer e-mailberichten en documenten worden beveiligd en gebruikt. Wanneer de RMS-connector wordt gebruikt om inhoud te beveiligen en te gebruiken, bevat het veld gebruikers-id in de logboeken de naam van de service-principal van Aadrm_S-1-7-0. Deze naam wordt automatisch gemaakt voor de RMS-connector.

Zie Logboekregistratie en analyse van het beveiligingsgebruik van Azure Information Protection voor meer informatie over logboekregistratie van gebruik.

Als u gedetailleerdere logboekregistratie nodig hebt voor diagnosedoeleinden, gebruikt u DebugView van Windows Sysinternals om de logboeken uit te voeren naar een foutopsporingspijp.

  1. Start DebugView als beheerder en selecteer vervolgens Capture Capture>Global Win32.

  2. Schakel tracering in voor de RMS-connector door het web.config-bestand voor de standaardsite in IIS te wijzigen:

    1. Zoek het bestand web.config in de map %programfiles%\Microsoft Rights Management connector\Web Service .

    2. Zoek de volgende regel:

      <trace enabled="false" requestLimit="10" pageOutput="false" traceMode="SortByTime" localOnly="true"/>

    3. Vervang deze regel door de volgende tekst:

      <trace enabled="true" requestLimit="10" pageOutput="false" traceMode="SortByTime" localOnly="true"/>

  3. Stop EN start IIS om tracering te activeren.

  4. Wanneer u de traceringen hebt vastgelegd in DebugView die u nodig hebt, keert u de regel terug in stap 3 en stopt en start u IIS opnieuw.