Microsoft Rights Management コネクタの監視

  • [アーティクル]

RMS コネクタをインストールして設定した後は、次の方法と情報を利用して、コネクタと、Azure Information Protection からの Azure Rights Management サービスを使用する組織を監視するのに役立ちます。

アプリケーション イベント ログのエントリ

RMS コネクタは、アプリケーション イベント ログを使用してMicrosoft RMS コネクタのエントリを 記録します

たとえば、情報イベントは次のようです。

  • ID 1000 は、コネクタ サービスが起動されたことを確認します

  • サーバーが RMS コネクタの接続に成功したときの ID 1002

  • 承認されたアカウントの一覧 (各アカウントが一覧表示されます) がコネクタにダウンロードされるたびに ID 1004 

コネクタを設定しないでHTTPS を使用する場合は、クライアントが非セキュリティ (HTTP) 接続を使用していることを示す警告 ID 2002 が表示されます。

コネクタが Azure Rights Management サービスに接続できない場合は、エラー 3001 が表示される可能性が大きいです。 たとえば、この接続エラーは、DNS の問題またはRMS コネクタが実行されている 1 つ以上のサーバーでインターネットアクセスができないことを原因として考えられます。

ヒント

RMS コネクタ サーバーが Azure Rights Management サービスに接続できない場合は、Web プロキシ構成が原因となることが多いです。

すべてのイベント ログ エントリと同様に、メッセージに掘り下げて詳細を確認します。

コネクタを初めて配備するときにイベント ログをチェックするだけでなく、継続的に警告とエラーをチェックする必要があります。 コネクタは最初は予定どおりに動作しますが、他の管理者が依存構成を変更する可能性があります。 たとえば、他の管理者が、Web プロキシ サーバー構成を変更したために RMS コネクタ サーバーがインターネットにアクセスできなくなったり (エラー 3001)、コネクタの使用が承認されているグループからコンピューター アカウントを削除してしまっている場合 (警告 2001) などがあります。

イベントログ ID と説明

次のセクションを利用して、可能なイベント ID、説明およびその他の情報を特定します。

情報 1000

Microsoft RMS コネクタ Web サービスが起動されました。

このイベントは、RMS コネクタが最初に起動しようとしたときに記録されます。

情報 1001

Microsoft RMS コネクタ Web サービスが停止されました。

このイベントは、 通常の操作の原因として、RMS コネクタが停止したときに記録されます。 たとえば、IIS が再起動されたり、コンピュータがシャットダウンされたりします。

情報 1002

承認されたサーバーが、Microsoft RMS コネクタへのアクセスは許可されています。

このイベントは、RMS コネクタ管理者ツールで Azure RMS 管理者によってアカウントが承認された後、オンプレミス サーバーからのアカウントが最初に RMS コネクタに接続したときに記録されます。 SID、アカウント名、接続を行うコンピュータの名前は、イベント メッセージに含まれています。

情報 1003

次に示すクライアントからの接続が、非セキュア (HTTP) 接続からセキュア(HTTPS) 接続に切り替わりました。

このイベントは、オンプレミス サーバーが RMS コネクタへの接続を HTTP (安全性が低い) から HTTPS (より安全) に変更したときに記録されます。 SID、アカウント名、接続を行うコンピュータの名前は、イベント メッセージに含まれています。

情報 1004

承認されたアカウントのリストが更新されました。

このイベントは、RMS コネクタの使用が承認されているアカウント (既存のアカウントと変更) の最新の一覧を RMS コネクタがダウンロードしたときに記録されます。 この一覧は 、RMS コネクタが Azure Rights Management サービスと通信できることを前提として、15分ごとにダウンロードされます。

警告 2000

HTTP コンテキストのユーザー プリンシパルが欠如または無効、Microsoft RMS コネクタ Web サイトが IIS で匿名認証を無効にしており、Windows 認証のみが有効になっていることを確認してください。

このイベントは、RMS コネクタに接続しようとしているアカウントを RMS コネクタが一意に識別できないときに記録されます。 これは、IIS に匿名認証が正しく設定されていないか、信頼されていないフォレストからのアカウントの可能性があります。

警告 2001

Microsoft RMS コネクタへの未承認のアクセス試行。 

このイベントは、アカウントが RMS コネクタに接続しようとしたが、失敗したときに記録されます。 この警告の最も一般的な原因は、接続を確立するアカウントが、RMS コネクタが Azure Rights Management サービスからダウンロードする承認済みアカウントのダウンロードリストに含まれていないことです。 たとえば、最新のリストがまだダウンロードされていない (このイベントは 15 分ごとに発生します) か、またはリストにアカウントがないです。

もう 1 つの原因は、コネクタを使用するように設定されているのと同じサーバーに RMS コネクタをインストールした場合です。 たとえば、Exchange Server を実行するサーバーに RMS コネクタをインストールし、コネクタを使用する Exchange アカウントを許可します。 RMS コネクタが接続を試みたとき、アカウントを正しく識別できないため、この設定はサポートされていません。

イベント メッセージには、アカウントとRMS コネクタに接続しようとしているコンピュータに関する情報が含まれています。

  • RMS コネクタに接続しようとしているアカウントが有効なアカウントである場合は、RMS コネクタ管理者ツールを利用して、承認されたアカウントの一覧にアカウントを追加します。 承認が必要なアカウントの詳細については、「許可されるサーバーの一覧にサーバーを追加する」を参照してください

  • RMS コネクタに接続しようとしているアカウントが RMS コネクタ サーバーのと同じコンピュータからである場合は、別のサーバーにコネクタをインストールします。 コネクタの前提条件の詳細については、「RMS コネクタの前提条件」を参照してください。 

警告 2002

次に示すクライアントからの接続は、非セキュア(HTTP) 接続を使用しています。

このイベントは、オンプレミス サーバーが RMS コネクタに正常に接続したが、接続で HTTPS (より安全)ではなく HTTP (安全性が低い) を使用している場合に記録されます。 接続ごとではなく、アカウントごとに 1 つのイベントが記録されます。 このイベントは、アカウントが正常に HTTPS の使用に切り替えたが、HTTP に戻った場合に、再度トリガーされます。

イベント メッセージには、アカウント SID、アカウント名、RMS コネクタへの接続を確立するコンピュータの名前が含まれます。

HTTPS 接続に RMS コネクタを構成する方法については、「HTTPS を使用するように RMS コネクタを構成する」を参照してください

警告 2003

権限の一覧が空白です。 コネクタの承認されたユーザーとグループの一覧が設定されるまで、サービスは利用できません。

このイベントは、RMS コネクタに承認されたアカウントの一覧がないため、オンプレミス サーバーがアカウントに接続できない場合に記録されます。 RMS コネクタは、Azure RMS から 15 分ごとにリストをダウンロードします。 

アカウントを指定するには、RMS コネクタ管理者ツールを利用します。 詳細については、「RMS コネクタを使用するための承認されたサーバー」を参照してください

エラー 3000

Microsoft RMS コネクタで処理されない例外が発生しました。

このイベントは、RMS コネクタで予期しないエラーが発生するたびに記録され、イベント メッセージにエラーの詳細が表示されます。

考えられる原因の 1 つは、イベント メッセージの空白の応答で要求が失敗したというテキストによって識別できます。 このテキストが表示される場合は、オンプレミス サーバーと RMS コネクタ サーバーの間のパケットで SSL 検査を実行しているネットワーク デバイスが存在している可能性があります。 Azure Rights Management サービスはこの設定をサポートしていないため、通信に失敗し、このイベント ログ メッセージが表示されます。

エラー 3001

認証情報をダウンロード中に例外が発生しました。

RMS コネクタの使用が承認されているアカウントの最新の一覧を RMS コネクタがダウンロードできない場合、このイベントは記録されます。 エラーの詳細については、イベント メッセージを参照してください。

パフォーマンス カウンター

RMS コネクタをインストールすると、Microsoft Rights Management コネクタのパフォーマンス カウンターが自動的に作成されます。このパフォーマンス カウンターは、Azure Rights Management サービスを使用するパフォーマンスを監視および改善に役立ちます。

たとえば、ドキュメントや電子メールが保護されている場合は、定期的に遅延が発生します。  または、保護されたドキュメントや電子メールが開かれる場合は、遅延が発生します。  このような場合、パフォーマンス カウンターは、コネクタの処理時間による遅延、Azure Rights Management サービスからの処理時間、ネットワーク遅延のいずれによるものかを判断するのに役立ちます。

遅延が発生している場所を特定するには、コネクタの処理時間、サービス応答時間、およびコネクタ応答時間平均カウントを含むカウンターを探します。 たとえば、 ライセンスの成功したバッチ要求がコネクタ応答時間を平均します。

コネクタを使用する新しいサーバー アカウントを最近追加した場合、適切なカウンターは、更新後にコネクタがリストをダウンロードしたことを確認するための前回の承認ポリシーの更新からの時間をチェックし、またはもう少し長く待つ必要があるかどうか (最大 15 分) です。

ログ記録

使用状況のログは、電子メールとドキュメントが保護され、使用されるタイミングを識別するのに役立ちます。 RMS コネクタを使用してコンテンツを保護および消費する場合、ログのユーザー ID フィールドには、Aadrm_S-1-7-0サービス プリンシパル名が含まれます。 この名前は RMS コネクタに自動的に作成されます。

使用状況のログ記録に関する詳細については、「Azure Information Protection からの保護の使用状況のログ記録と分析」を参照してください。

診断のために、さらに詳細なログ記録が必要な場合は、Windows Sysinternals から DebugView を使用して、ログをデバッグ パイプに出力します。

  1. 管理者として DebugView を起動し、[キャプチャ]>[Capture Global Win32]\(Global Win32 のキャプチャ\) を選択します。

  2. IIS の既定サイトの web.config ファイルを変更することにより、RMS コネクタのトレースを有効にします。

    1. %programfiles%\Microsoft Rights Management connector\Web Service フォルダーで web.config ファイルを探します。

    2. 次の行を見つけます。

      <trace enabled="false" requestLimit="10" pageOutput="false" traceMode="SortByTime" localOnly="true"/>

    3. この行を次の文字で置き換えます。

      <trace enabled="true" requestLimit="10" pageOutput="false" traceMode="SortByTime" localOnly="true"/>

  3. トレースをアクティブには、IIS を停止して起動し、。

  4. 必要なトレースを DebugView でキャプチャしたら、手順 3 の行を元に戻し、IIS を停止してから再起動します。