A Microsoft Rights Management-összekötő figyelése

  • Cikk

Az RMS-összekötő telepítése és konfigurálása után az alábbi módszerekkel és információkkal figyelheti az összekötőt és a szervezet Azure Tartalomvédelmi szolgáltatások szolgáltatást az Azure Information Protectionből.

Az alkalmazás eseménynapló-bejegyzései

Az RMS-összekötő az alkalmazás eseménynaplóját használja a Microsoft RMS-összekötő bejegyzéseinek rögzítéséhez.

Például olyan információs események, mint például:

  • Az 1000-s azonosító megerősíti, hogy az összekötő szolgáltatás elindult

  • 1002-s azonosító, ha egy kiszolgáló sikeresen csatlakozik az RMS-összekötőhöz

  • Azonosító: 1004 minden alkalommal, amikor az engedélyezett fiókok listája (minden fiók szerepel a listán) letöltődik az összekötőbe

Ha nem konfigurálta az összekötőt a HTTPS használatára, várhatóan megjelenik egy 2002-ben megadott figyelmeztetés, amely szerint az ügyfél nem biztonságos (HTTP) kapcsolatot használ.

Ha az összekötő nem tud csatlakozni a Azure Tartalomvédelmi szolgáltatások szolgáltatáshoz, akkor valószínűleg a 3001-es hiba jelenik meg. Ez a kapcsolati hiba például dns-probléma vagy az RMS-összekötőt futtató egy vagy több kiszolgáló internet-hozzáférésének hiánya lehet.

Tipp.

Ha az RMS-összekötő-kiszolgálók nem tudnak csatlakozni Azure Tartalomvédelmi szolgáltatások szolgáltatáshoz, gyakran a webes proxykonfigurációk az oka.

Az eseménynapló-bejegyzésekhez hasonlóan az üzenetbe is behathat további részletekért.

Amellett, hogy az összekötő első üzembe helyezésekor ellenőrzi az eseménynaplót, folyamatosan ellenőrizze a figyelmeztetéseket és a hibákat. Előfordulhat, hogy az összekötő kezdetben a várt módon működik, de más rendszergazdák módosíthatják a függő konfigurációkat. Egy másik rendszergazda például módosítja a webproxy-kiszolgáló konfigurációját, hogy az RMS-összekötő-kiszolgálók többé ne férhessenek hozzá az internethez (3001-as hiba), vagy eltávolítson egy számítógépfiókot az összekötő használatára jogosultként megadott csoportból (figyelmeztetés: 2001).

Eseménynapló-azonosítók és leírások

A következő szakaszokban azonosíthatja a lehetséges eseményazonosítókat, leírásokat és minden további információt.

Információ 1000

Elindult a Microsoft RMS-összekötő webszolgáltatása.

Ezt az eseményt akkor naplózza a rendszer, amikor az RMS-összekötő először megpróbál elindulni.

Információ 1001

A Microsoft RMS-összekötő webszolgáltatás leállt.

Ezt az eseményt akkor naplózza a rendszer, ha az RMS-összekötő a normál működés eredményeként leáll. Az IIS például újraindul, vagy a számítógép le van állítva.

Információ 1002

A Microsoft RMS-összekötő hozzáférése engedélyezett egy jogosult kiszolgálóhoz.

Ezt az eseményt akkor naplózza a rendszer, ha egy helyszíni kiszolgálóról származó fiók először csatlakozik az RMS-összekötőhöz, miután az Azure RMS-rendszergazda engedélyezte a fiókot az RMS-összekötő rendszergazdai eszközében. Az eseményüzenet tartalmazza a SID-et, a fiók nevét és a kapcsolatot létesítő számítógép nevét.

Információ 1003

Az alább felsorolt ügyfélkapcsolat nem biztonságos (HTTP) kapcsolatról biztonságos (HTTPS) kapcsolatra váltott.

Ezt az eseményt akkor naplózza a rendszer, ha egy helyszíni kiszolgáló http -ről (kevésbé biztonságos) HTTPS-ről HTTPS-re (biztonságosabb) módosítja az RMS-összekötőhöz való kapcsolatot. Az eseményüzenet tartalmazza a SID-et, a fiók nevét és a kapcsolatot létesítő számítógép nevét.

Információ 1004

Az engedélyezett fiókok listája frissült.

Ezt az eseményt akkor naplózza a rendszer, ha az RMS-összekötő letöltötte az RMS-összekötő használatára jogosult fiókok legújabb listáját (meglévő fiókokat és módosításokat). Ez a lista 15 percenként töltődik le, feltéve, hogy az RMS-összekötő képes kommunikálni a Azure Tartalomvédelmi szolgáltatások szolgáltatással.

Figyelmeztetés 2000

A HTTP-környezetben a felhasználónév hiányzik vagy érvénytelen, ellenőrizze, hogy a Microsoft RMS-összekötő webhelyén le van-e tiltva a névtelen hitelesítés az IIS-ben, és csak a Windows-hitelesítés engedélyezve van.

Ezt az eseményt akkor naplózza a rendszer, ha az RMS-összekötő nem tudja egyedileg azonosítani az RMS-összekötőhöz csatlakozni próbáló fiókot. Ennek oka lehet az IIS-hez helytelenül konfigurált névtelen hitelesítés, vagy a fiók nem megbízható erdőből származik.

Figyelmeztetés 2001

Jogosulatlan hozzáférés a Microsoft RMS-összekötőhöz.

Ezt az eseményt akkor naplózza a rendszer, ha egy fiók megpróbál csatlakozni az RMS-összekötőhöz, de sikertelen. A figyelmeztetés leggyakoribb oka az, hogy a kapcsolatot létesítő fiók nem szerepel azon engedélyezett fiókok letöltött listájában, amelyeket az RMS-összekötő letölt a Azure Tartalomvédelmi szolgáltatások szolgáltatásból. Például a legújabb lista még nincs letöltve (ez az esemény 15 percenként történik), vagy a fiók hiányzik a listából.

Egy másik ok lehet, ha az RMS-összekötőt ugyanarra a kiszolgálóra telepítette, amely az összekötő használatára van konfigurálva. Az RMS-összekötőt például egy Exchange Servert futtató kiszolgálóra telepíti, és engedélyezi, hogy egy Exchange-fiók használja az összekötőt. Ez a konfiguráció nem támogatott, mert az RMS-összekötő nem tudja megfelelően azonosítani a fiókot, amikor csatlakozni próbál.

Az eseményüzenet információkat tartalmaz arról a fiókról és számítógépről, amely csatlakozni próbál az RMS-összekötőhöz:

  • Ha az RMS-összekötőhöz csatlakozni próbáló fiók érvényes fiók, az RMS-összekötő rendszergazdai eszközével vegye fel a fiókot az engedélyezett fiókok listájára. További információ arról, hogy mely fiókokat kell engedélyezni, lásd: Kiszolgáló hozzáadása az engedélyezett kiszolgálók listájához.

  • Ha az RMS-összekötőhöz csatlakozni próbáló fiók ugyanazon a számítógépen található, mint az RMS-összekötő kiszolgálója, telepítse az összekötőt egy külön kiszolgálóra. Az összekötő előfeltételeiről további információt az RMS-összekötő előfeltételei című témakörben talál.

Figyelmeztetés 2002

Az alább felsorolt ügyfélkapcsolat nem biztonságos (HTTP) kapcsolatot használ.

Ezt az eseményt akkor naplózza a rendszer, ha egy helyszíni kiszolgáló sikeres kapcsolatot létesít az RMS-összekötővel, de a kapcsolat HTTPS (biztonságosabb) helyett HTTP-t (kevésbé biztonságos) használ. A rendszer egy eseményt naplóz fiókonként, nem pedig kapcsolatonként. Ez az esemény akkor aktiválódik újra, ha a fiók sikeresen váltott a HTTPS használatára, de visszaáll a HTTP-re.

Az eseményüzenet tartalmazza a fiók biztonsági azonosítóját, a fiók nevét és annak a számítógépnek a nevét, amely az RMS-összekötőhöz csatlakozik.

További információ az RMS-összekötő HTTPS-kapcsolatokhoz való konfigurálásáról: Az RMS-összekötő konfigurálása HTTPS használatára.

Figyelmeztetés 2003

Az engedélyek listája üres. A szolgáltatás csak akkor használható, ha az összekötő jogosult felhasználóinak és csoportjainak listája fel nem töltődik.

Ezt az eseményt akkor naplózza a rendszer, ha az RMS-összekötő nem rendelkezik engedélyezett fiókok listájával, így helyszíni kiszolgálók nem tudnak csatlakozni hozzá. Az RMS-összekötő 15 percenként letölti a listát az Azure RMS-ből.

A fiókok megadásához használja az RMS-összekötő rendszergazdai eszközét. További információ: Kiszolgálók engedélyezése az RMS-összekötő használatára.

3000-s hiba

Nem kezelt kivétel történt a Microsoft RMS-összekötőben.

Ezt az eseményt minden alkalommal naplózza a rendszer, amikor az RMS-összekötő váratlan hibába ütközik az eseményüzenetben szereplő hiba részleteivel.

Az egyik lehetséges okot az a szöveg azonosíthatja, amely szerint a kérés üres válaszsal meghiúsult az eseményüzenetben. Ha ezt a szöveget látja, annak az lehet az oka, hogy van egy hálózati eszköze, amely SSL-ellenőrzést végez a helyszíni kiszolgálók és az RMS-összekötő-kiszolgáló közötti csomagokon. A Azure Tartalomvédelmi szolgáltatások szolgáltatás nem támogatja ezt a konfigurációt, és sikertelen kommunikációt és eseménynapló-üzenetet eredményez.

3001-s hiba

Kivétel történt az engedélyezési adatok letöltése során.

Ezt az eseményt akkor naplózza a rendszer, ha az RMS-összekötő nem tudja letölteni az RMS-összekötő használatára jogosult fiókok legújabb listáját. A hiba részletei az eseményüzenetben találhatók.

Performance counters

Az RMS-összekötő telepítésekor automatikusan létrehozza a Microsoft Rights Management-összekötő teljesítményszámlálóit, amelyek hasznosnak bizonyulhatnak a Azure Tartalomvédelmi szolgáltatások szolgáltatás teljesítményének figyeléséhez és javításához.

A dokumentumok vagy e-mailek védelme esetén például rendszeresen késik a rendszer. Vagy késést tapasztal a védett dokumentumok vagy e-mailek megnyitásakor. Ezekben az esetekben a teljesítményszámlálók segítségével megállapíthatja, hogy a késések az összekötő feldolgozási idejének, a Azure Tartalomvédelmi szolgáltatások szolgáltatás feldolgozási idejének vagy a hálózati késéseknek köszönhetők-e.

A késés helyének azonosításához keressen olyan számlálókat, amelyek a Csatlakozás or feldolgozási idejének, a szolgáltatás válaszidejének és Csatlakozás or válaszidejének átlagát tartalmazzák. Például: Sikeres kötegelt kérelmek licencelésének átlagos Csatlakozás or válaszideje.

Ha nemrég új kiszolgálófiókokat adott hozzá az összekötő használatához, érdemes ellenőrizni , hogy az utolsó engedélyezési házirend-frissítés óta eltelt idő jelzi-e, hogy az összekötő letöltötte-e a listát a frissítés óta, vagy egy kicsit tovább kell várnia (akár 15 percet is).

Naplózás

A használatnaplózás segít azonosítani az e-mailek és dokumentumok védelmét és felhasználását. Amikor az RMS-összekötőt a tartalom védelmére és felhasználására használják, a naplók felhasználói azonosító mezőjében a Aadrm_S-1-7-0 szolgáltatásnév szerepel. Ez a név automatikusan létrejön az RMS-összekötőhöz.

A használati naplózással kapcsolatos további információkért lásd az Azure Information Protection védelmi használatának naplózását és elemzését.

Ha részletesebb naplózásra van szüksége diagnosztikai célokra, használja a Windows Sysinternals DebugView-t a naplók hibakeresési csőre való kimenetéhez.

  1. Indítsa el a DebugView-t rendszergazdaként, majd válassza a Capture>Capture Global Win32 lehetőséget.

  2. Engedélyezze az RMS-összekötő nyomkövetését az IIS alapértelmezett helyének web.config fájljának módosításával:

    1. Keresse meg a web.config fájlt a %programfiles%\Microsoft Rights Management connector\Web Service mappában.

    2. Keresse meg a következő sort:

      <trace enabled="false" requestLimit="10" pageOutput="false" traceMode="SortByTime" localOnly="true"/>

    3. Cserélje le ezt a sort a következő szövegre:

      <trace enabled="true" requestLimit="10" pageOutput="false" traceMode="SortByTime" localOnly="true"/>

  3. Állítsa le és indítsa el az IIS-t a nyomkövetés aktiválásához.

  4. Ha rögzítette a szükséges nyomkövetéseket a DebugView-ban, állítsa vissza a 3. lépés sorát, és állítsa le és indítsa újra az IIS-t.