Supervisar el conector de Microsoft Rights Management

Se aplica a: Azure Information Protection, Windows Server 2016, Windows Server 2012 R2, Windows Server 2012

Relevante para: cliente de etiquetado unificado AIP y cliente clásico

Nota

Para proporcionar una experiencia de cliente unificada y simplificada, estamos desafilando el cliente clásico de Azure Information Protection y la administración de etiquetas en Azure Portal a partir del 31 de marzo de 2021. Ya no se proporciona soporte técnico para las versiones clásicas de cliente y el mantenimiento ya no se lanzará.

  • El cliente clásico se retirará por completo y dejará de funcionar el 31 de marzo de 2022.
  • A partir del 18 de marzo de 2022, también estamos despidiendo el registro de auditoría y análisis de AIP, con una fecha de retirada completa del 31 de septiembre de 2022.

Para obtener más información, vea Servicios eliminados y retirados.

Después de instalar y configurar el conector RMS, puede usar los siguientes métodos e información para ayudarle a supervisar el conector y el uso de su organización del servicio Azure Rights Management desde Azure Information Protection.

Entradas del registro de eventos de la aplicación

El conector RMS usa el registro de eventos de aplicación para registrar entradas para el conector RMS de Microsoft.

Por ejemplo, eventos de información como:

  • Id. 1000 confirmar que se ha iniciado el servicio de conector

  • Id. 1002 cuando un servidor se conecta correctamente al conector RMS

  • Id. 1004 cada vez que la lista de cuentas autorizadas (se muestra cada cuenta) se descarga en el conector

Si no ha configurado el conector para usar HTTPS, espere ver un Id. de advertencia 2002 que un cliente usa una conexión no segura (HTTP).

Si el conector no se conecta al Azure Rights Management, lo más probable es que vea Error 3001. Por ejemplo, este error de conexión puede deberse a un problema DNS o a la falta de acceso a Internet para uno o varios servidores que ejecutan el conector RMS.

Sugerencia

Cuando los servidores de conector rms no se pueden conectar Azure Rights Management servicio, las configuraciones de proxy web suelen ser el motivo.

Al igual que con todas las entradas del registro de eventos, explore el mensaje para obtener más información.

Además de comprobar el registro de eventos al implementar por primera vez el conector, compruebe si hay advertencias y errores de forma continua. Es posible que el conector funcione según lo esperado inicialmente, pero es posible que otros administradores cambien las configuraciones dependientes. Por ejemplo, otro administrador cambia la configuración del servidor proxy web para que los servidores conectores RMS ya no puedan acceder a Internet (Error 3001) o quite una cuenta de equipo de un grupo que especificó como autorizado para usar el conector (Advertencia 2001).

Descripciones y los IDs del registro de eventos

Use las siguientes secciones para identificar los posibles id. de eventos, descripciones y cualquier información adicional.


Información 1000

Se ha iniciado el servicio web conector RMS de Microsoft.

Este evento se registra cuando el conector RMS intenta iniciarse por primera vez.


Información 1001

El servicio web del conector RMS de Microsoft se ha detenido.

Este evento se registra cuando el conector RMS se detiene como resultado de un funcionamiento normal. Por ejemplo, IIS se reinicia o el equipo se cierra.


Información 1002

Se ha permitido el acceso al conector RMS de Microsoft para un servidor autorizado.

Este evento se registra cuando una cuenta de un servidor local se conecta primero al conector RMS, después de que la cuenta haya sido autorizada por el administrador de Azure RMS en la herramienta de administrador del conector RMS. El SID, el nombre de cuenta y el nombre del equipo que realiza la conexión se incluye en el mensaje del evento.


Información 1003

La conexión del cliente que se muestra a continuación ha cambiado de una conexión no segura (HTTP) a una conexión segura (HTTPS).

Este evento se registra cuando un servidor local cambia su conexión al conector RMS de HTTP (menos seguro) a HTTPS (más seguro). El SID, el nombre de cuenta y el nombre del equipo que realiza la conexión se incluye en el mensaje del evento.


Información 1004

Se ha actualizado la lista de cuentas autorizadas.

Este evento se registra cuando el conector RMS ha descargado la lista más reciente de cuentas (cuentas existentes y cualquier cambio) que están autorizadas a usar el conector RMS. Esta lista se descarga cada 15 minutos, siempre que el conector RMS pueda comunicarse con el Azure Rights Management servicio.


Advertencia 2000

La entidad de seguridad de usuario en el contexto HTTP no está o no es válida, compruebe que el sitio web del conector RMS de Microsoft tiene la autenticación anónima deshabilitada en IIS y solo Windows autenticación está habilitada.

Este evento se registra cuando el conector RMS no puede identificar de forma exclusiva la cuenta que intenta conectarse al conector RMS. Esto puede deberse a una autenticación anónima configurada incorrectamente para IIS o a que la cuenta es de un bosque que no es de confianza.


Advertencia 2001

Intento de acceso no autorizado a Microsoft RMS connector.

Este evento se registra cuando una cuenta intenta conectarse al conector RMS, pero se produce un error. El motivo más típico de esta advertencia es porque la cuenta que realiza la conexión no está en la lista de cuentas autorizadas descargadas por el conector RMS desde el servicio Azure Rights Management usuario. Por ejemplo, la lista más reciente aún no se descarga (este evento se produce cada 15 minutos) o la cuenta no se encuentra en la lista.

Otro motivo puede ser si instaló el conector RMS en el mismo servidor que está configurado para usar el conector. Por ejemplo, instale el conector RMS en un servidor que ejecute Exchange Server y autorice una cuenta de Exchange para usar el conector. Esta configuración no es compatible porque el conector RMS no puede identificar correctamente la cuenta cuando intenta conectarse.

El mensaje del evento contiene información sobre la cuenta y el equipo que intenta conectarse al conector RMS:

  • Si la cuenta que intenta conectarse al conector RMS es una cuenta válida, use la herramienta de administrador del conector RMS para agregar la cuenta a la lista de cuentas autorizadas. Para obtener más información sobre las cuentas que deben autorizarse, vea Agregar un servidor a la lista de servidores permitidos.

  • Si la cuenta que intenta conectarse al conector RMS es del mismo equipo que el servidor conector RMS, instale el conector en un servidor independiente. Para obtener más información sobre los requisitos previos para el conector, vea Requisitos previos para el conector RMS.


Advertencia 2002

La conexión del cliente que se muestra a continuación es usar una conexión no segura (HTTP).

Este evento se registra cuando un servidor local realiza una conexión correcta al conector RMS, pero la conexión usa HTTP (menos seguro) en lugar de HTTPS (más seguro). Se registra un evento por cuenta en lugar de por conexión. Este evento se vuelve a activar si la cuenta cambió correctamente a usar HTTPS, pero se revierte a HTTP.

El mensaje de evento contiene el SID de la cuenta, el nombre de la cuenta y el nombre del equipo que realiza la conexión al conector RMS.

Para obtener información sobre cómo configurar el conector RMS para conexiones HTTPS, vea Configurar el conector RMS para usar HTTPS.


Advertencia 2003

La lista de autorizaciones está vacía. El servicio no se podrá usar hasta que se rellene la lista de usuarios y grupos autorizados para el conector.

Este evento se registra cuando el conector RMS no tiene una lista de cuentas autorizadas, por lo que ningún servidor local puede conectarse a él. El conector RMS descarga la lista cada 15 minutos desde Azure RMS.

Para especificar las cuentas, use la herramienta de administrador del conector RMS. Para obtener más información, vea Autorizar servidores para usar el conector RMS.


Error 3000

Se produjo una excepción no controlada en el conector rms de Microsoft.

Este evento se registra cada vez que el conector RMS encuentra un error inesperado, con los detalles del error en el mensaje del evento.

Una posible causa se puede identificar mediante el texto La solicitud no pudo con una respuesta vacía en el mensaje de evento. Si ve este texto, puede deberse a que tiene un dispositivo de red que está realizando la inspección SSL en los paquetes entre los servidores locales y el servidor conector RMS. El Azure Rights Management no admite esta configuración y da como resultado una comunicación con errores y este mensaje de registro de eventos.


Error 3001

Se produjo una excepción al descargar la información de autorización.

Este evento se registra si el conector RMS no puede descargar la lista más reciente de cuentas autorizadas para usar el conector RMS. Los detalles del error se encuentran en el mensaje de evento.


Contadores de rendimiento

Al instalar el conector RMS, crea automáticamente contadores de rendimiento de conectores de Microsoft Rights Management que le pueden resultar útiles para ayudarle a supervisar y mejorar el rendimiento del uso del servicio Azure Rights Management.

Por ejemplo, regularmente experimenta retrasos cuando los documentos o correos electrónicos están protegidos. O bien, experimenta retrasos cuando se abren documentos o correos electrónicos protegidos. En estos casos, los contadores de rendimiento pueden ayudarle a determinar si los retrasos se deben al tiempo de procesamiento en el conector, al tiempo de procesamiento del servicio Azure Rights Management o a los retrasos de red.

Para ayudarle a identificar dónde se produce el retraso, busque contadores que incluyan recuentos medios para el tiempo de procesamiento del conector, el tiempo de respuesta del servicio y el tiempo de respuesta del conector. Por ejemplo: Tiempo medio de respuesta de solicitud por lotes por lotes de licencias.

Si ha agregado recientemente nuevas cuentas de servidor para usar el conector, un buen contador para comprobarlo es Hora desde la última actualización de directiva de autorización para confirmar que el conector ha descargado la lista desde que la actualizó, o si necesita esperar un poco más (hasta 15 minutos).

Registro

El registro de uso le ayuda a identificar cuándo los correos electrónicos y los documentos están protegidos y consumidos. Cuando se usa el conector RMS para proteger y consumir contenido, el campo id. de usuario de los registros contiene el nombre principal del servicio Aadrm_S-1-7-0. Este nombre se crea automáticamente para el conector RMS.

Para obtener más información sobre el registro de uso, vea Registro y análisis del uso de protección de Azure Information Protection.

Si necesita un registro más detallado para fines de diagnóstico, use DebugView desde Windows Sysinternals para generar los registros en una canalización de depuración.

  1. Inicie DebugView como administrador y, a continuación, seleccione CaptureCapture>Global Win32.

  2. Habilite el seguimiento para el conector RMS modificando el archivo web.config para el sitio predeterminado en IIS:

    1. Busque el web.config en la carpeta %programfiles%\Microsoft Rights Management connector\Web Service .

    2. Busque la línea siguiente:

      <trace enabled="false" requestLimit="10" pageOutput="false" traceMode="SortByTime" localOnly="true"/>
      
    3. Reemplace esa línea por el texto siguiente:

      <trace enabled="true" requestLimit="10" pageOutput="false" traceMode="SortByTime" localOnly="true"/>
      
  3. Detenga e inicie IIS para activar el seguimiento.

  4. Cuando haya capturado los seguimientos en DebugView que necesite, revierta la línea en el paso 3 y detenga e inicie IIS de nuevo.