Microsoft Rights Management 커넥터 모니터링

  • 아티클

RMS 커넥터를 설치하고 구성한 후에는 다음 방법 및 정보를 사용하여 Azure Information Protection에서 커넥터 및 조직의 Azure Rights Management 서비스 사용을 모니터링할 수 있습니다.

애플리케이션 이벤트 로그 항목

RMS 커넥터는 애플리케이션 이벤트 로그를 사용하여 Microsoft RMS 커넥터대한 항목을 기록합니다.

예를 들어 다음과 같은 정보 이벤트가 있습니다.

  • ID 1000 커넥터 서비스가 시작되었는지 확인

  • 서버가 RMS 커넥터에 성공적으로 연결하는 경우 ID 1002

  • 인증된 계정 목록(각 계정이 나열됨)이 커넥터에 다운로드될 때마다 ID 1004

HTTPS를 사용하도록 커넥터를 구성하지 않은 경우 클라이언트가 비보안(HTTP) 연결을 사용하고 있다는 경고 ID 2002가 표시됩니다.

커넥터가 Azure Rights Management 서비스에 연결하지 못하면 오류 3001이 표시될 가능성이 큽니다. 예를 들어 이 연결 오류는 DNS 문제 또는 RMS 커넥터를 실행하는 하나 이상의 서버에 대한 인터넷 액세스 부족의 결과일 수 있습니다.

RMS 커넥터 서버가 Azure Rights Management 서비스에 연결할 수 없는 경우 웹 프록시 구성이 원인인 경우가 많습니다.

모든 이벤트 로그 항목과 마찬가지로 자세한 내용을 보려면 메시지로 드릴인합니다.

커넥터를 처음 배포할 때 이벤트 로그를 검사 것 외에도 지속적으로 경고 및 오류를 검사. 커넥터가 처음에는 예상대로 작동할 수 있지만 다른 관리자는 종속 구성을 변경할 수 있습니다. 예를 들어 다른 관리자가 웹 프록시 서버 구성을 변경하여 RMS 커넥터 서버가 더 이상 인터넷에 액세스할 수 없도록 하거나(오류 3001) 커넥터를 사용할 권한이 있는 것으로 지정한 그룹에서 컴퓨터 계정을 제거합니다(경고 2001).

이벤트 로그 ID 및 설명

다음 섹션을 사용하여 가능한 이벤트 ID, 설명 및 추가 정보를 식별합니다.

정보 1000

Microsoft RMS 커넥터 웹 서비스가 시작되었습니다.

이 이벤트는 RMS 커넥터가 처음 시작하려고 할 때 기록됩니다.

정보 1001

Microsoft RMS 커넥터 웹 서비스가 중지되었습니다.

이 이벤트는 정상적인 작업의 결과로 RMS 커넥터가 중지될 때 기록됩니다. 예를 들어 IIS가 다시 시작되거나 컴퓨터가 종료됩니다.

정보 1002

권한 있는 서버에 대해 Microsoft RMS 커넥터에 대한 액세스가 허용되었습니다.

이 이벤트는 RMS 커넥터 관리자 도구에서 Azure RMS 관리자가 계정에 권한을 부여한 후 온-프레미스 서버의 계정이 RMS 커넥터에 처음 연결될 때 기록됩니다. SID, 계정 이름 및 연결을 만드는 컴퓨터의 이름은 이벤트 메시지에 포함됩니다.

정보 1003

아래에 나열된 클라이언트의 연결이 안전하지 않은(HTTP) 연결에서 보안(HTTPS) 연결로 전환되었습니다.

이 이벤트는 온-프레미스 서버가 RMS 커넥터에 대한 연결을 HTTP(보안이 낮은)에서 HTTPS(더 안전한)로 변경하면 기록됩니다. SID, 계정 이름 및 연결을 만드는 컴퓨터의 이름은 이벤트 메시지에 포함됩니다.

정보 1004

권한 있는 계정 목록이 업데이트되었습니다.

이 이벤트는 RMS 커넥터가 RMS 커넥터를 사용할 권한이 있는 최신 계정 목록(기존 계정 및 변경 내용)을 다운로드한 경우 기록됩니다. 이 목록은 RMS 커넥터가 Azure Rights Management 서비스와 통신할 수 있는 경우 15분마다 다운로드됩니다.

경고 2000

HTTP 컨텍스트의 사용자 보안 주체가 없거나 잘못되었습니다. Microsoft RMS 커넥터 웹 사이트에서 IIS에서 익명 인증을 사용하지 않도록 설정하고 Windows 인증만 사용하도록 설정되어 있는지 확인하세요.

이 이벤트는 RMS 커넥터가 RMS 커넥터에 연결하려는 계정을 고유하게 식별할 수 없을 때 기록됩니다. IIS에 대해 잘못 구성된 익명 인증의 결과이거나 계정이 신뢰할 수 없는 포리스트에서 온 것일 수 있습니다.

경고 2001

Microsoft RMS 커넥터에 대한 무단 액세스 시도.

이 이벤트는 계정이 RMS 커넥터에 연결을 시도하지만 실패할 때 기록됩니다. 이 경고의 가장 일반적인 이유는 연결을 만드는 계정이 RMS 커넥터가 Azure Rights Management 서비스에서 다운로드한 권한 있는 계정의 다운로드 목록에 없기 때문입니다. 예를 들어 최신 목록은 아직 다운로드되지 않았거나(이 이벤트는 15분마다 발생) 목록에 계정이 없습니다.

또 다른 이유는 커넥터를 사용하도록 구성된 동일한 서버에 RMS 커넥터를 설치한 경우일 수 있습니다. 예를 들어 Exchange Server를 실행하는 서버에 RMS 커넥터를 설치하고 커넥터를 사용하도록 Exchange 계정에 권한을 부여합니다. RMS 커넥터가 연결을 시도할 때 계정을 올바르게 식별할 수 없으므로 이 구성은 지원되지 않습니다.

이벤트 메시지에는 RMS 커넥터에 연결하려는 계정 및 컴퓨터에 대한 정보가 포함됩니다.

  • RMS 커넥터에 연결하려는 계정이 유효한 계정인 경우 RMS 커넥터 관리자 도구를 사용하여 권한 있는 계정 목록에 계정을 추가합니다. 권한을 부여해야 하는 계정에 대한 자세한 내용은 허용된 서버 목록에 서버 추가를 참조하세요.

  • RMS 커넥터에 연결하려는 계정이 RMS 커넥터 서버와 동일한 컴퓨터에서 온 경우 별도의 서버에 커넥터를 설치합니다. 커넥터의 필수 구성 요소에 대한 자세한 내용은 RMS 커넥터의 필수 구성 요소를 참조하세요.

경고 2002

아래에 나열된 클라이언트의 연결은 안전하지 않은(HTTP) 연결을 사용합니다.

이 이벤트는 온-프레미스 서버가 RMS 커넥터에 성공적으로 연결하지만 연결에서 HTTPS(더 안전한) 대신 HTTP(덜 안전한)를 사용하는 경우 기록됩니다. 하나의 이벤트는 연결이 아닌 계정별로 기록됩니다. 계정이 HTTPS를 사용하도록 성공적으로 전환되었지만 HTTP로 되돌리기 경우 이 이벤트가 다시 트리거됩니다.

이벤트 메시지에는 계정 SID, 계정 이름 및 RMS 커넥터에 연결할 컴퓨터의 이름이 포함됩니다.

HTTPS 연결에 대한 RMS 커넥터를 구성하는 방법에 대한 자세한 내용은 HTTPS를 사용하도록 RMS 커넥터 구성을 참조 하세요.

경고 2003

권한 부여 목록이 비어 있습니다. 커넥터에 대한 권한이 부여된 사용자 및 그룹 목록이 채워질 때까지 서비스를 사용할 수 없습니다.

이 이벤트는 RMS 커넥터에 권한 있는 계정 목록이 없으면 기록되므로 온-프레미스 서버가 연결할 수 없습니다. RMS 커넥터는 Azure RMS에서 15분마다 목록을 다운로드합니다.

계정을 지정하려면 RMS 커넥터 관리자 도구를 사용합니다. 자세한 내용은 RMS 커넥터를 사용하도록 서버 권한 부여를 참조하세요.

오류 3000

Microsoft RMS 커넥터에서 처리되지 않은 예외가 발생했습니다.

이 이벤트는 RMS 커넥터가 이벤트 메시지의 오류 세부 정보와 함께 예기치 않은 오류가 발생할 때마다 기록됩니다.

한 가지 가능한 원인은 이벤트 메시지에서 빈 응답으로 요청이 실패한 텍스트로 식별할 수 있습니다. 이 텍스트가 표시되는 경우 온-프레미스 서버와 RMS 커넥터 서버 간의 패킷에서 SSL 검사를 수행하는 네트워크 디바이스가 있기 때문일 수 있습니다. Azure Rights Management 서비스는 이 구성을 지원하지 않으며, 이로 인해 통신 및 이 이벤트 로그 메시지가 실패합니다.

오류 3001

권한 부여 정보를 다운로드하는 동안 예외가 발생했습니다.

RMS 커넥터가 RMS 커넥터를 사용할 권한이 있는 최신 계정 목록을 다운로드할 수 없는 경우 이 이벤트가 기록됩니다. 오류의 세부 정보는 이벤트 메시지에 있습니다.

성능 카운터

RMS 커넥터를 설치하면 Azure Rights Management 서비스 사용 성능을 모니터링하고 개선하는 데 유용할 수 있는 Microsoft Rights Management 커넥터 성능 카운터가 자동으로 만들어집니다.

예를 들어 문서 또는 전자 메일이 보호될 때 정기적으로 지연이 발생합니다. 또는 보호된 문서 또는 전자 메일을 열 때 지연이 발생합니다. 이러한 경우 성능 카운터는 지연이 커넥터의 처리 시간, Azure Rights Management 서비스의 처리 시간 또는 네트워크 지연으로 인한 것인지를 확인하는 데 도움이 될 수 있습니다.

지연이 발생하는 위치를 식별하려면 커넥트or 처리 시간, 서비스 응답 시간 및 커넥트 또는 응답 시간에 대한 평균 수를 포함하는 카운터를 찾습니다. 예: 성공적인 일괄 처리 요청 평균 커넥트 또는 응답 시간 라이선스

최근에 커넥터를 사용하기 위해 새 서버 계정을 추가한 경우 마지막 권한 부여 정책 업데이트 이후 커넥터가 목록을 다운로드했는지 확인하거나 조금 더 기다려야 하는지(최대 15분)를 확인하기 위해 검사 좋은 카운터입니다.

로깅

사용 현황 로깅은 전자 메일 및 문서가 보호되고 사용되는 시기를 식별하는 데 도움이 됩니다. RMS 커넥터를 사용하여 콘텐츠를 보호하고 사용하는 경우 로그의 사용자 ID 필드에는 Aadrm_S-1-7-0서비스 주체 이름이 포함됩니다. 이 이름은 RMS 커넥터에 대해 자동으로 만들어집니다.

사용 현황 로깅에 대한 자세한 내용은 Azure Information Protection의 보호 사용 현황 로깅 및 분석을 참조하세요.

진단 목적으로 더 자세한 로깅이 필요한 경우 Windows Sysinternals의 DebugView를 사용하여 디버그 파이프에 로그를 출력합니다.

  1. DebugView를 관리자로 시작한 후 Capture>Capture Global Win32를 선택합니다.

  2. IIS의 기본 사이트에 대한 web.config 파일을 수정하여 RMS 커넥터에 대한 추적을 사용하도록 설정합니다.

    1. %programfiles%\Microsoft Rights Management connector\Web Service 폴더에서 web.config 파일을 찾습니다.

    2. 다음 줄을 찾습니다.

      <trace enabled="false" requestLimit="10" pageOutput="false" traceMode="SortByTime" localOnly="true"/>

    3. 해당 줄을 다음 텍스트로 바꿉다.

      <trace enabled="true" requestLimit="10" pageOutput="false" traceMode="SortByTime" localOnly="true"/>

  3. IIS를 중지하고 시작하여 추적을 활성화합니다.

  4. DebugView에서 필요한 추적을 캡처했으면 3단계에서 줄을 되돌리고 IIS를 중지했다가 다시 시작합니다.