Supervisión del conector Microsoft Rights Management

  • Artículo

Después de instalar y configurar el conector RMS, puede usar los siguientes métodos e información para ayudarle a supervisar el conector y el uso del servicio Azure Rights Management desde Azure Information Protection.

Entradas del registro de eventos de la aplicación

El conector RMS usa el registro de eventos de la aplicación para registrar entradas para el conector de Microsoft RMS.

Por ejemplo, eventos de información como:

  • Id. 1000 confirme que el servicio del conector se ha iniciado

  • Id. 1002 cuando un servidor se conecta correctamente al conector RMS

  • Id. 1004 cada vez que la lista de cuentas autorizadas (cada cuenta aparece en la lista) se descarga en el conector.

Si no ha configurado el conector para usar HTTPS, espere ver un identificador de advertencia 2002 que un cliente usa una conexión no segura (HTTP).

Si el conector no se puede conectar al servicio Azure Rights Management, lo más probable es que vea el error 3001. Por ejemplo, este error de conexión puede deberse a un problema de DNS o a la falta de acceso a Internet para uno o varios servidores que ejecutan el conector RMS.

Sugerencia

Cuando los servidores del conector RMS no se pueden conectar al servicio Azure Rights Management, las configuraciones de proxy web suelen ser el motivo.

Al igual que con todas las entradas del registro de eventos, profundice en el mensaje para obtener más detalles.

Además de comprobar el registro de eventos cuando implemente por primera vez el conector, compruebe si hay advertencias y errores de forma continua. El conector podría funcionar como se esperaba inicialmente, pero otros administradores podrían cambiar las configuraciones dependientes. Por ejemplo, otro administrador cambia la configuración del servidor proxy web para que los servidores del conector RMS ya no puedan acceder a Internet (error 3001) o quite una cuenta de equipo de un grupo que especificó como autorizado para usar el conector (advertencia 2001).

Identificadores y descripciones del registro de eventos

Use las secciones siguientes para identificar los posibles identificadores de evento, descripciones y cualquier información adicional.

Información 1000

Se ha iniciado el servicio web del conector de Microsoft RMS.

Este evento se registra cuando el conector RMS intenta iniciarse por primera vez.

Información 1001

El servicio web del conector de Microsoft RMS se ha detenido.

Este evento se registra cuando el conector RMS se detiene como resultado de una operación normal. Por ejemplo, IIS se reinicia o se apaga el equipo.

Información 1002

Se ha permitido el acceso al conector de Microsoft RMS para un servidor autorizado.

Este evento se registra cuando una cuenta de un servidor local se conecta primero al conector RMS, después de que el administrador de Azure RMS haya autorizado la cuenta en la herramienta de administrador del conector RMS. El SID, el nombre de la cuenta y el nombre del equipo que realiza la conexión se encuentran en el mensaje de evento.

Información 1003

La conexión del cliente que se muestra a continuación ha cambiado de una conexión no segura (HTTP) a una conexión segura (HTTPS).

Este evento se registra cuando un servidor local cambia su conexión al conector RMS desde HTTP (menos seguro) a HTTPS (más seguro). El SID, el nombre de la cuenta y el nombre del equipo que realiza la conexión se encuentran en el mensaje de evento.

Información 1004

Se ha actualizado la lista de cuentas autorizadas.

Este evento se registra cuando el conector RMS ha descargado la lista más reciente de cuentas (cuentas existentes y los cambios) que están autorizados para usar el conector RMS. Esta lista se descarga cada 15 minutos, lo que proporciona el conector RMS puede comunicarse con el servicio Azure Rights Management.

Advertencia 2000

Falta la entidad de seguridad de usuario en el contexto HTTP o no es válida, compruebe que el sitio web del conector de Microsoft RMS tiene deshabilitada la autenticación anónima en IIS y solo está habilitada la autenticación de Windows.

Este evento se registra cuando el conector RMS no puede identificar de forma única la cuenta que intenta conectarse al conector RMS. Esto puede ser un resultado de la autenticación anónima configurada incorrectamente para IIS o la cuenta es de un bosque que no es de confianza.

Advertencia 2001

Intento de acceso no autorizado al conector de Microsoft RMS.

Este evento se registra cuando una cuenta intenta conectarse al conector RMS, pero se produce un error. La razón más habitual de esta advertencia es que la cuenta que realiza la conexión no está en la lista descargada de cuentas autorizadas que descarga el conector RMS desde el servicio Azure Rights Management. Por ejemplo, la lista más reciente aún no se descarga (este evento se produce cada 15 minutos) o falta la cuenta de la lista.

Otro motivo puede ser si instaló el conector RMS en el mismo servidor que está configurado para usar el conector. Por ejemplo, instale el conector RMS en un servidor que ejecute Exchange Server y autorice a una cuenta de Exchange para que use el conector. Esta configuración no se admite porque el conector RMS no puede identificar correctamente la cuenta cuando intenta conectarse.

El mensaje de evento contiene información sobre la cuenta y el equipo que intenta conectarse al conector RMS:

  • Si la cuenta que intenta conectarse al conector RMS es una cuenta válida, use la herramienta de administrador del conector RMS para agregar la cuenta a la lista de cuentas autorizadas. Para obtener más información sobre qué cuentas deben autorizarse, vea Agregar un servidor a la lista de servidores permitidos.

  • Si la cuenta que intenta conectarse al conector RMS es del mismo equipo que el servidor del conector RMS, instale el conector en un servidor independiente. Para obtener más información sobre los requisitos previos para el conector, consulte Requisitos previos para el conector RMS.

Advertencia 2002

La conexión del cliente que se muestra a continuación es usar una conexión no segura (HTTP).

Este evento se registra cuando un servidor local realiza una conexión correcta al conector RMS, pero la conexión usa HTTP (menos seguro) en lugar de HTTPS (más seguro). Se registra un evento por cuenta en lugar de por conexión. Este evento se desencadena de nuevo si la cuenta ha cambiado correctamente al uso de HTTPS, pero se revierte a HTTP.

El mensaje de evento contiene el SID de cuenta, el nombre de la cuenta y el nombre del equipo que establece la conexión con el conector RMS.

Para obtener información sobre cómo configurar el conector RMS para conexiones HTTPS, consulte Configuración del conector RMS para usar HTTPS.

Advertencia 2003

La lista de autorizaciones está vacía. El servicio no se podrá usar hasta que se rellene la lista de usuarios y grupos autorizados para el conector.

Este evento se registra cuando el conector RMS no tiene una lista de cuentas autorizadas, por lo que ningún servidor local puede conectarse a él. El conector RMS descarga la lista cada 15 minutos de Azure RMS.

Para especificar las cuentas, use la herramienta de administrador del conector RMS. Para obtener más información, consulte Autorización de servidores para usar el conector RMS.

Error 3000

Se produjo una excepción no controlada en el conector de Microsoft RMS.

Este evento se registra cada vez que el conector RMS encuentra un error inesperado, con los detalles del error en el mensaje de evento.

Una posible causa se puede identificar mediante el texto Error de solicitud con una respuesta vacía en el mensaje de evento. Si ve este texto, puede deberse a que tiene un dispositivo de red que realiza la inspección SSL en los paquetes entre los servidores locales y el servidor del conector RMS. El servicio Azure Rights Management no admite esta configuración y da como resultado una comunicación errónea y este mensaje de registro de eventos.

Error 3001

Se produjo una excepción al descargar la información de autorización.

Este evento se registra si el conector RMS no puede descargar la lista más reciente de cuentas autorizadas para usar el conector RMS. Los detalles del error se encuentran en el mensaje de evento.

Contadores de rendimiento

Al instalar el conector RMS, crea automáticamente contadores de rendimiento del conector de Microsoft Rights Management que puede resultar útil para ayudarle a supervisar y mejorar el rendimiento del uso del servicio Azure Rights Management.

Por ejemplo, periódicamente experimenta retrasos cuando se protegen documentos o correos electrónicos. O bien, experimenta retrasos cuando se abren documentos o correos electrónicos protegidos. En estos casos, los contadores de rendimiento pueden ayudarle a determinar si los retrasos se deben al tiempo de procesamiento en el conector, el tiempo de procesamiento del servicio Azure Rights Management o los retrasos de red.

Para ayudarle a identificar dónde se está produciendo el retraso, busque contadores que incluyan el recuento medio del tiempo de procesamiento del conector, el tiempo de respuesta del servicio y el tiempo de respuesta del conector. Por ejemplo: Tiempo medio de respuesta de la solicitud por lotes del conector de licencias correctas.

Si ha agregado recientemente nuevas cuentas de servidor para usar el conector, un buen contador para comprobar es Hora desde la última actualización de la directiva de autorización para confirmar que el conector ha descargado la lista desde que la actualizó o si necesita esperar un poco más (hasta 15 minutos).

Registro

El registro de uso le ayuda a identificar cuándo se protegen y consumen correos electrónicos y documentos. Cuando se usa el conector RMS para proteger y consumir contenido, el campo id. de usuario de los registros contiene el nombre principal de servicio de Aadrm_S-1-7-0. Este nombre se crea automáticamente para el conector RMS.

Para más información acerca del registro de uso de claves para BYOK, consulte registro y análisis del uso de protección de Azure Information Protection.

Si necesita un registro más detallado con fines de diagnóstico, use DebugView de Windows Sysinternals para generar los registros en una canalización de depuración.

  1. Inicie DebugView como administrador y, a continuación, seleccione Captura>Captura Win32 global.

  2. Habilite el seguimiento para el conector RMS modificando el archivo web.config para el sitio predeterminado en IIS:

    1. Busque el archivo web.config en la carpeta %programfiles%\Microsoft Rights Management connector\Web Service.

    2. Busque la línea siguiente:

      <trace enabled="false" requestLimit="10" pageOutput="false" traceMode="SortByTime" localOnly="true"/>

    3. Reemplace la línea con el texto siguiente:

      <trace enabled="true" requestLimit="10" pageOutput="false" traceMode="SortByTime" localOnly="true"/>

  3. Detenga e inicie IIS para activar el seguimiento.

  4. Cuando haya capturado los seguimientos en DebugView que necesita, revierta la línea en el paso 3 y detenga e inicie IIS de nuevo.