Monitorowanie łącznika usługi Microsoft Rights Management
Po zainstalowaniu i skonfigurowaniu łącznika usługi RMS można użyć następujących metod i informacji, aby ułatwić monitorowanie łącznika i korzystania z usługi Azure Rights Management w organizacji z usługi Azure Information Protection.
Wpisy w dzienniku zdarzeń aplikacji
Łącznik usługi RMS używa dziennika zdarzeń aplikacji do rejestrowania wpisów łącznika usługi Microsoft RMS.
Na przykład zdarzenia informacyjne, takie jak:
Identyfikator 1000 potwierdza, że usługa łącznika została uruchomiona
Identyfikator 1002, gdy serwer pomyślnie łączy się z łącznikiem usługi RMS
Identyfikator 1004 za każdym razem, gdy lista autoryzowanych kont (każde konto jest wyświetlane) jest pobierana do łącznika
Jeśli łącznik nie został skonfigurowany do używania protokołu HTTPS, należy spodziewać się wyświetlenia ostrzeżenia o identyfikatorze 2002, że klient korzysta z połączenia niezabezpieczonego (HTTP).
Jeśli łącznik nie może nawiązać połączenia z usługą Azure Rights Management, najprawdopodobniej zobaczysz błąd 3001. Na przykład ten błąd połączenia może wynikać z problemu z systemem DNS lub braku dostępu do Internetu dla co najmniej jednego serwera z uruchomionym łącznikiem usługi RMS.
Napiwek
Gdy serwery łącznika usługi RMS nie mogą nawiązać połączenia z usługą Azure Rights Management, konfiguracje serwera proxy sieci Web są często przyczyną.
Podobnie jak w przypadku wszystkich wpisów dziennika zdarzeń, przejdź do szczegółów komunikatu, aby uzyskać więcej informacji.
Oprócz sprawdzania dziennika zdarzeń podczas pierwszego wdrożenia łącznika należy stale sprawdzać ostrzeżenia i błędy. Łącznik może działać zgodnie z oczekiwaniami, ale inni administratorzy mogą zmienić konfiguracje zależne. Na przykład inny administrator zmienia konfigurację serwera proxy sieci Web, tak aby serwery łączników usługi RMS nie mogły uzyskać dostępu do Internetu (błąd 3001) lub usuwa konto komputera z grupy określonej jako autoryzowane do korzystania z łącznika (ostrzeżenie 2001).
Identyfikatory i opisy dziennika zdarzeń
Skorzystaj z poniższych sekcji, aby zidentyfikować możliwe identyfikatory zdarzeń, opisy i wszelkie dodatkowe informacje.
Informacje 1000
Usługa internetowa łącznika usługi Microsoft RMS została uruchomiona.
To zdarzenie jest rejestrowane podczas pierwszej próby uruchomienia łącznika usługi RMS.
Informacje 1001
Usługa sieci Web łącznika usługi Microsoft RMS została zatrzymana.
To zdarzenie jest rejestrowane, gdy łącznik usługi RMS zatrzymuje się w wyniku normalnego działania. Na przykład usługi IIS są uruchamiane ponownie lub komputer jest zamykany.
Informacje 1002
Dostęp do łącznika usługi Microsoft RMS został dozwolony dla autoryzowanego serwera.
To zdarzenie jest rejestrowane, gdy konto z serwera lokalnego najpierw łączy się z łącznikiem usługi RMS po autoryzacji konta przez administratora usługi Azure RMS w narzędziu administratora łącznika usługi RMS. Identyfikator SID, nazwa konta i nazwa komputera tworzącego połączenie jest zawarty w komunikacie zdarzenia.
Informacje 1003
Połączenie z klienta wymienionego poniżej zostało przełączone z połączenia niezabezpieczonego (HTTP) z bezpiecznym połączeniem (HTTPS).
To zdarzenie jest rejestrowane, gdy serwer lokalny zmienia połączenie z łącznikiem usługi RMS z protokołu HTTP (mniej bezpieczne) na HTTPS (bezpieczniejszy). Identyfikator SID, nazwa konta i nazwa komputera tworzącego połączenie jest zawarty w komunikacie zdarzenia.
Informacje 1004
Lista autoryzowanych kont została zaktualizowana.
To zdarzenie jest rejestrowane, gdy łącznik usługi RMS pobrał najnowszą listę kont (istniejących kont i wszelkich zmian), które są autoryzowane do korzystania z łącznika usługi RMS. Ta lista jest pobierana co 15 minut, dzięki czemu łącznik usługi RMS może komunikować się z usługą Azure Rights Management.
Ostrzeżenie 2000
Brak podmiotu zabezpieczeń użytkownika w kontekście HTTP lub jest on nieprawidłowy. Sprawdź, czy witryna sieci Web łącznika usługi Microsoft RMS ma wyłączone uwierzytelnianie anonimowe w usługach IIS i włączono tylko uwierzytelnianie systemu Windows.
To zdarzenie jest rejestrowane, gdy łącznik usługi RMS nie może jednoznacznie zidentyfikować konta próbującego nawiązać połączenie z łącznikiem usługi RMS. Może to być wynikiem nieprawidłowego skonfigurowania uwierzytelniania anonimowego dla usług IIS lub konto pochodzi z niezaufanego lasu.
Ostrzeżenie 2001
Próba nieautoryzowanego dostępu do łącznika usługi Microsoft RMS.
To zdarzenie jest rejestrowane, gdy konto próbuje nawiązać połączenie z łącznikiem usługi RMS, ale kończy się niepowodzeniem. Najbardziej typową przyczyną tego ostrzeżenia jest to, że konto, które nawiązuje połączenie, nie znajduje się na pobranej liście autoryzowanych kont, które łącznik usługi RMS pobiera z usługi Azure Rights Management. Na przykład najnowsza lista nie została jeszcze pobrana (to zdarzenie odbywa się co 15 minut) lub brakuje konta z listy.
Innym powodem może być zainstalowanie łącznika usługi RMS na tym samym serwerze, który jest skonfigurowany do korzystania z łącznika. Na przykład łącznik usługi RMS jest instalowany na serwerze z uruchomionym programem Exchange Server i autoryzujesz konto programu Exchange do korzystania z łącznika. Ta konfiguracja nie jest obsługiwana, ponieważ łącznik usługi RMS nie może poprawnie zidentyfikować konta podczas próby nawiązania połączenia.
Komunikat o zdarzeniu zawiera informacje o koncie i komputerze próbującym nawiązać połączenie z łącznikiem usługi RMS:
Jeśli konto próbujące nawiązać połączenie z łącznikiem usługi RMS jest prawidłowym kontem, użyj narzędzia administratora łącznika usługi RMS, aby dodać konto do listy autoryzowanych kont. Aby uzyskać więcej informacji na temat kont, które muszą być autoryzowane, zobacz Dodawanie serwera do listy dozwolonych serwerów.
Jeśli konto próbujące nawiązać połączenie z łącznikiem usługi RMS pochodzi z tego samego komputera co serwer łącznika usługi RMS, zainstaluj łącznik na osobnym serwerze. Aby uzyskać więcej informacji na temat wymagań wstępnych dotyczących łącznika, zobacz Wymagania wstępne dotyczące łącznika usługi RMS.
Ostrzeżenie 2002
Połączenie z klienta wymienionego poniżej korzysta z połączenia niezabezpieczonego (HTTP).
To zdarzenie jest rejestrowane, gdy serwer lokalny nawiązuje pomyślne połączenie z łącznikiem usługi RMS, ale połączenie korzysta z protokołu HTTP (mniej bezpieczne) zamiast HTTPS (bezpieczniejsze). Jedno zdarzenie jest rejestrowane na konto, a nie na połączenie. To zdarzenie zostanie ponownie wyzwolone, jeśli konto zostało pomyślnie przełączone na użycie protokołu HTTPS, ale powróci do protokołu HTTP.
Komunikat zdarzenia zawiera identyfikator SID konta, nazwę konta i nazwę komputera, który nawiązuje połączenie z łącznikiem usługi RMS.
Aby uzyskać informacje o sposobie konfigurowania łącznika usługi RMS dla połączeń HTTPS, zobacz Konfigurowanie łącznika usługi RMS do korzystania z protokołu HTTPS.
Ostrzeżenie 2003
Lista autoryzacji jest pusta. Usługa nie będzie można używać do momentu wypełnienia listy autoryzowanych użytkowników i grup łącznika.
To zdarzenie jest rejestrowane, gdy łącznik usługi RMS nie ma listy autoryzowanych kont, więc żadne serwery lokalne nie mogą się z nim łączyć. Łącznik usługi RMS pobiera listę co 15 minut z usługi Azure RMS.
Aby określić konta, użyj narzędzia administratora łącznika usługi RMS. Aby uzyskać więcej informacji, zobacz Autoryzowanie serwerów do korzystania z łącznika usługi RMS.
Błąd 3000
Wystąpił nieobsługiwany wyjątek w łączniku usługi Microsoft RMS.
To zdarzenie jest rejestrowane za każdym razem, gdy łącznik usługi RMS napotka nieoczekiwany błąd ze szczegółami błędu w komunikacie zdarzenia.
Jedną z możliwych przyczyn może być zidentyfikowany tekst Żądanie nie powiodło się z pustą odpowiedzią w komunikacie zdarzenia. Jeśli widzisz ten tekst, może to być spowodowane tym, że masz urządzenie sieciowe, które przeprowadza inspekcję protokołu SSL na pakietach między serwerami lokalnymi i serwerem łącznika usługi RMS. Usługa Azure Rights Management nie obsługuje tej konfiguracji i powoduje niepowodzenie komunikacji i tego komunikatu dziennika zdarzeń.
Błąd 3001
Wystąpił wyjątek podczas pobierania informacji o autoryzacji.
To zdarzenie jest rejestrowane, jeśli łącznik usługi RMS nie może pobrać najnowszej listy kont, które są autoryzowane do korzystania z łącznika usługi RMS. Szczegóły błędu znajdują się w komunikacie o zdarzeniu.
Liczniki wydajności
Podczas instalowania łącznika usługi RMS automatycznie tworzy liczniki wydajności łącznika usługi Microsoft Rights Management, które mogą okazać się przydatne, aby ułatwić monitorowanie i poprawianie wydajności korzystania z usługi Azure Rights Management.
Na przykład regularnie występują opóźnienia w przypadku ochrony dokumentów lub wiadomości e-mail. Możesz też wystąpić opóźnienia podczas otwierania chronionych dokumentów lub wiadomości e-mail. W takich przypadkach liczniki wydajności mogą pomóc określić, czy opóźnienia są spowodowane czasem przetwarzania łącznika, czasem przetwarzania z usługi Azure Rights Management lub opóźnieniami sieci.
Aby ułatwić określenie, gdzie występuje opóźnienie, poszukaj liczników, które obejmują średnie liczby dla czasu przetwarzania Połączenie or, czasu odpowiedzi usługi i czasu odpowiedzi Połączenie or. Na przykład: Licencjonowanie zakończone powodzeniem żądania wsadowego Średni czas odpowiedzi Połączenie or.
Jeśli niedawno dodano nowe konta serwerów do korzystania z łącznika, dobrym licznikiem do sprawdzenia jest Czas od ostatniej aktualizacji zasad autoryzacji , aby potwierdzić, że łącznik pobrał listę od czasu jej zaktualizowania lub czy trzeba poczekać nieco dłużej (do 15 minut).
Rejestrowanie
Rejestrowanie użycia pomaga określić, kiedy wiadomości e-mail i dokumenty są chronione i używane. Gdy łącznik usługi RMS jest używany do ochrony zawartości i korzystania z nich, pole identyfikatora użytkownika w dziennikach zawiera nazwę główną usługi Aadrm_S-1-7-0. Ta nazwa jest tworzona automatycznie dla łącznika usługi RMS.
Aby uzyskać więcej informacji na temat rejestrowania użycia, zobacz Rejestrowanie i analizowanie użycia ochrony z usługi Azure Information Protection.
Jeśli potrzebujesz bardziej szczegółowego rejestrowania w celach diagnostycznych, użyj widoku DebugView z systemu Windows Sysinternals, aby wyświetlić dzienniki w potoku debugowania.
Uruchom aplikację DebugView jako administrator, a następnie wybierz pozycję Przechwyć>przechwytywanie globalne Win32.
Włącz śledzenie łącznika usługi RMS, modyfikując plik web.config dla lokacji domyślnej w usługach IIS:
Znajdź plik web.config w folderze %programfiles%\Microsoft Rights Management Connector\Web Service.
Znajdź następujący wiersz:
<trace enabled="false" requestLimit="10" pageOutput="false" traceMode="SortByTime" localOnly="true"/>Zastąp ten wiersz następującym tekstem:
<trace enabled="true" requestLimit="10" pageOutput="false" traceMode="SortByTime" localOnly="true"/>
Zatrzymaj i uruchom usługi IIS, aby aktywować śledzenie.
Po przechwyceniu śladów w potrzebnym widoku DebugView przywróć wiersz w kroku 3 i zatrzymaj i uruchom ponownie usługi IIS.
Opinia
Dostępne już wkrótce: W 2024 r. będziemy stopniowo wycofywać zgłoszenia z serwisu GitHub jako mechanizm przesyłania opinii na temat zawartości i zastępować go nowym systemem opinii. Aby uzyskać więcej informacji, sprawdź: https://aka.ms/ContentUserFeedback.
Prześlij i wyświetl opinię dla