Überwachen Sie den Microsoft Rights Management Connector
Nachdem Sie den RMS-Connector installiert und konfiguriert haben, können Sie die folgenden Methoden und Informationen verwenden, um den Connector und die Verwendung des Azure Rights Management-Diensts in Azure Information Protection zu überwachen.
Einträge im Anwendungsereignisprotokoll
Der RMS-Connector verwendet das Anwendungsereignisprotokoll, um Einträge für den Microsoft RMS-Connector aufzuzeichnen.
Beispiel: Informationsereignisse wie:
ID 1000 bestätigen, dass der Connectordienst gestartet wurde
ID 1002, wenn ein Server erfolgreich eine Verbindung mit dem RMS-Connector herstellt
ID 1004 jedes Mal, wenn die Liste der autorisierten Konten (jedes Konto aufgeführt) auf den Connector heruntergeladen wird
Wenn Sie den Connector nicht für die Verwendung von HTTPS konfiguriert haben, erwarten Sie, dass eine Warnungs-ID 2002 angezeigt wird, dass ein Client eine nicht sichere (HTTP)-Verbindung verwendet.
Wenn der Connector keine Verbindung mit dem Azure Rights Management-Dienst herstellt, wird wahrscheinlich Fehler 3001 angezeigt. Dieser Verbindungsfehler kann zum Beispiel auf ein DNS-Problem oder einen fehlenden Internetzugang für einen oder mehrere Server, auf denen der RMS-Konnektor läuft, zurückzuführen sein.
Tipp
Wenn RMS-Connectorserver keine Verbindung mit dem Azure Rights Management-Dienst herstellen können, sind Webproxykonfigurationen häufig der Grund.
Wie bei allen Ereignisprotokolleinträgen führen Sie einen Drilldown in die Nachricht durch, um weitere Details zu erhalten.
Überprüfen Sie nicht nur das Ereignisprotokoll, wenn Sie den Connector zum ersten Mal bereitstellen, nach Warnungen und Fehlern auf fortlaufender Basis. Der Connector funktioniert möglicherweise anfangs wie erwartet, aber andere Administratoren können abhängige Konfigurationen ändern. Beispielsweise ändert ein anderer Administrator die Konfiguration des Web-Proxy-Servers, so dass die RMS-Connector-Server nicht mehr auf das Internet zugreifen können (Fehler 3001), oder er entfernt ein Computerkonto aus einer Gruppe, die Sie als berechtigt zur Verwendung des Connectors angegeben haben (Warnung 2001).
Ereignisprotokoll-IDs und Beschreibungen
Verwenden Sie die folgenden Abschnitte, um die möglichen Ereignis-IDs, Beschreibungen und zusätzlichen Informationen zu identifizieren.
Information1000
Der Microsoft RMS-Connector-Webdienst wurde gestartet.
Dieses Ereignis wird protokolliert, wenn der RMS-Connector zuerst versucht, zu starten.
Information 1001
Der Microsoft RMS-Connector-Webdienst wurde beendet.
Dieses Ereignis wird protokolliert, wenn der RMS-Connector aufgrund eines normalen Vorgangs beendet wird. IIS wird beispielsweise neu gestartet, oder der Computer wird heruntergefahren.
Information 1002
Der Zugriff auf den Microsoft RMS-Connector wurde für einen autorisierten Server zugelassen.
Dieses Ereignis wird protokolliert, wenn ein Konto von einem lokalen Server zuerst eine Verbindung mit dem RMS-Connector herstellt, nachdem das Konto vom Azure RMS-Administrator im RMS-Connector-Administratortool autorisiert wurde. Die SID, der Kontoname und der Name des Computers, auf dem die Verbindung hergestellt wird, ist in der Ereignismeldung enthalten.
Information 1003
Die Verbindung vom unten aufgeführten Client hat von einer nicht sicheren (HTTP)-Verbindung zu einer sicheren (HTTPS)-Verbindung gewechselt.
Dieses Ereignis wird protokolliert, wenn ein lokaler Server seine Verbindung mit dem RMS-Connector von HTTP (weniger sicher) zu HTTPS (sicherer) ändert. Die SID, der Kontoname und der Name des Computers, auf dem die Verbindung hergestellt wird, ist in der Ereignismeldung enthalten.
Information 1004
Die Liste der autorisierten Konten wurde aktualisiert.
Dieses Ereignis wird protokolliert, wenn der RMS-Connector die neueste Liste von Konten (vorhandene Konten und alle Änderungen) heruntergeladen hat, die für die Verwendung des RMS-Connectors autorisiert sind. Diese Liste wird alle 15 Minuten heruntergeladen, sodass der RMS-Connector mit dem Azure Rights Management-Dienst kommunizieren kann.
Warnung 2000
Der Benutzerprinzipal im HTTP-Kontext fehlt oder ist ungültig. Stellen Sie sicher, dass die Microsoft RMS-Connectorwebsite die anonyme Authentifizierung in IIS deaktiviert hat und nur die Windows-Authentifizierung aktiviert ist.
Dieses Ereignis wird protokolliert, wenn der RMS-Konnektor das Konto, das versucht, eine Verbindung zum RMS-Konnektor herzustellen, nicht eindeutig identifizieren kann. Dies kann dazu führen, dass die anonyme Authentifizierung für IIS falsch konfiguriert ist oder das Konto aus einer nicht vertrauenswürdigen Gesamtstruktur stammt.
Warnung 2001
Nicht autorisierter Zugriff versucht, den Microsoft RMS-Connector zu erhalten.
Dieses Ereignis wird protokolliert, wenn ein Konto versucht, eine Verbindung mit dem RMS-Connector herzustellen, schlägt jedoch fehl. Der häufigste Grund für diese Warnung ist, dass sich das Konto, das die Verbindung macht, nicht in der heruntergeladenen Liste der autorisierten Konten befindet, die der RMS-Connector aus dem Azure Rights Management-Dienst herunterlädt. Beispielsweise wird die neueste Liste noch nicht heruntergeladen (dieses Ereignis erfolgt alle 15 Minuten), oder das Konto fehlt in der Liste.
Ein weiterer Grund kann sein, wenn Sie den RMS-Connector auf demselben Server installiert haben, der für die Verwendung des Connectors konfiguriert ist. Sie installieren beispielsweise den RMS-Connector auf einem Server, auf dem Exchange Server ausgeführt wird, und Sie autorisieren ein Exchange-Konto für die Verwendung des Connectors. Diese Konfiguration wird nicht unterstützt, da der RMS-Connector das Konto nicht ordnungsgemäß identifizieren kann, wenn versucht wird, eine Verbindung herzustellen.
Die Ereignismeldung enthält Informationen über das Konto und den Computer, die versuchen, eine Verbindung mit dem RMS-Connector herzustellen:
Wenn das Konto, das versucht, eine Verbindung mit dem RMS-Connector herzustellen, ein gültiges Konto ist, verwenden Sie das RMS-Connectoradministratortool, um das Konto zur Liste der autorisierten Konten hinzuzufügen. Weitere Informationen dazu, welche Konten autorisiert werden müssen, finden Sie unter Hinzufügen eines Servers zur Liste der zulässigen Server.
Wenn das Konto, das versucht, eine Verbindung mit dem RMS-Connector herzustellen, von demselben Computer wie der RMS-Connectorserver stammt, installieren Sie den Connector auf einem separaten Server. Weitere Informationen zu den Voraussetzungen für den Connector finden Sie unter Voraussetzungen für den RMS-Connector.
Warnung 2002
Die Verbindung vom unten aufgeführten Client verwendet eine nicht sichere (HTTP)-Verbindung.
Dieses Ereignis wird protokolliert, wenn ein lokaler Server eine erfolgreiche Verbindung mit dem RMS-Connector herstellt, aber die Verbindung verwendet HTTP (weniger sicher) anstelle von HTTPS (sicherer). Ein Ereignis wird pro Konto und nicht pro Verbindung protokolliert. Dieses Ereignis wird erneut ausgelöst, wenn das Konto erfolgreich zur Verwendung von HTTPS gewechselt wurde, aber rückgängig machen s auf HTTP.
Die Ereignismeldung enthält die Konto-SID, den Kontonamen und den Namen des Computers, der die Verbindung mit dem RMS-Connector hergestellt.
Informationen zum Konfigurieren des RMS-Connectors für HTTPS-Verbindungen finden Sie unter Konfigurieren des RMS-Connectors für die Verwendung von HTTPS.
Warnung 2003
Die Liste der Autorisierungen ist leer. Der Dienst kann erst verwendet werden, wenn die Liste der autorisierten Benutzer und Gruppen für den Connector aufgefüllt wird.
Dieses Ereignis wird protokolliert, wenn der RMS-Connector nicht über eine Liste autorisierter Konten verfügt, sodass keine lokalen Server eine Verbindung damit herstellen können. Der RMS-Connector lädt die Liste alle 15 Minuten von Azure RMS herunter.
Verwenden Sie das RMS-Connectoradministratortool, um die Konten anzugeben. Weitere Informationen finden Sie unter Autorisieren von Servern für die Verwendung des RMS-Connectors.
Fehler 3000
Im Microsoft RMS-Connector ist eine unbehandelte Ausnahme aufgetreten.
Dieses Ereignis wird jedes Mal protokolliert, wenn der RMS-Connector einen unerwarteten Fehler mit den Details des Fehlers in der Ereignismeldung findet.
Eine mögliche Ursache kann durch den Text identifiziert werden, bei dem die Anforderung mit einer leeren Antwort in der Ereignisnachricht fehlgeschlagen ist. Wenn dieser Text angezeigt wird, liegt es möglicherweise daran, dass Sie über ein Netzwerkgerät verfügen, das SSL-Inspektionen auf den Paketen zwischen den lokalen Servern und dem RMS-Connectorserver durchführt. Der Azure Rights Management-Dienst unterstützt diese Konfiguration nicht und führt zu einer fehlgeschlagenen Kommunikation und dieser Ereignisprotokollnachricht.
Fehler 3001
Ausnahme beim Herunterladen von Autorisierungsinformationen.
Dieses Ereignis wird protokolliert, wenn der RMS-Connector die neueste Liste der Konten nicht herunterladen kann, die für die Verwendung des RMS-Connectors autorisiert sind. Einzelheiten finden Sie in der Ereignismeldung.
Leistungsindikatoren
Wenn Sie den RMS-Connector installieren, erstellt er automatisch Leistungsindikatoren des Microsoft Rights Management-Connectors, die Sie möglicherweise hilfreich finden können, um die Leistung des Azure Rights Management-Diensts zu überwachen und zu verbessern.
Beispielsweise treten regelmäßig Verzögerungen auf, wenn Dokumente oder E-Mails geschützt sind. Oder Es treten Verzögerungen auf, wenn geschützte Dokumente oder E-Mails geöffnet werden. In diesen Fällen können Sie anhand der Leistungsindikatoren ermitteln, ob die Verzögerungen aufgrund der Verarbeitungszeit für den Connector, die Verarbeitungszeit vom Azure Rights Management-Dienst oder Netzwerkverzögerungen verursacht werden.
Um zu ermitteln, wo die Verzögerung auftritt, suchen Sie nach Leistungsindikatoren, die durchschnittliche Anzahlen für Verbinden or Verarbeitungszeit, Dienstantwortzeit und Verbinden or-Antwortzeit enthalten. Beispiel: Lizenzierung erfolgreiche Batched Request Average Verbinden or Antwortzeit.
Wenn Sie kürzlich neue Serverkonten für die Verwendung des Connectors hinzugefügt haben, ist ein guter Indikator, um zu überprüfen, wie lange seit der letzten Autorisierungsrichtlinienaktualisierung überprüft wird, ob der Connector die Liste seit der Aktualisierung heruntergeladen hat oder ob Sie etwas länger warten müssen (bis zu 15 Minuten).
Protokollierung
Mithilfe der Verwendungsprotokollierung können Sie ermitteln, wann E-Mails und Dokumente geschützt und genutzt werden. Wenn der RMS-Connector zum Schützen und Nutzen von Inhalten verwendet wird, enthält das Feld Benutzer-ID in den Protokollen den Dienstprinzipalnamen Aadrm_S-1-7-0. Dieser Name wird automatisch für den RMS-Connector erstellt.
Weitere Informationen zur Protokollierung der Nutzung finden Sie unter Protokollierung und Analyse der Schutznutzung von Azure Information Protection.
Wenn Sie zu Diagnosezwecken eine ausführlichere Protokollierung benötigen, verwenden Sie DebugView von Windows Sysinternals, um die Protokolle in eine Debug-Pipe auszugeben.
Starten Sie DebugView als Administrator, und wählen Sie dann Erfassung>Erfassung Global Win32.
Aktivieren Sie die Ablaufverfolgung für den RMS-Konnektor, indem Sie die Datei web.config für die Standardsite im IIS ändern:
Suchen Sie die Datei web.config im Ordner %programfiles%\Microsoft Rights Management connector\Web Service.
Suchen Sie die folgende Zeile:
<trace enabled="false" requestLimit="10" pageOutput="false" traceMode="SortByTime" localOnly="true"/>
Ersetzen Sie diese Zeile durch folgenden Code:
<trace enabled="true" requestLimit="10" pageOutput="false" traceMode="SortByTime" localOnly="true"/>
Beenden Und starten Sie IIS, um die Ablaufverfolgung zu aktivieren.
Wenn Sie die benötigten Spuren in DebugView erfasst haben, kehren Sie die Zeile in Schritt 3 um und beenden und starten Sie den IIS erneut.