Мониторинг соединителя Microsoft Rights Management
После установки и настройки соединителя RMS можно использовать следующие методы и сведения, чтобы отслеживать соединитель и использование службы Azure Rights Management из Azure Information Protection.
Записи журнала событий приложения.
Соединитель RMS использует журнал событий приложения для записи записей для соединителя Microsoft RMS.
Например, события сведений, такие как:
Идентификатор 1000 подтверждает, что служба соединителя запущена
Идентификатор 1002 при успешном подключении сервера к соединителю RMS
Идентификатор 1004 каждый раз, когда список авторизованных учетных записей (каждая учетная запись указана) загружается в соединитель.
Если соединитель не настроен для использования HTTPS, ожидается, что появится идентификатор предупреждения 2002, который клиент использует небезопасное подключение (HTTP).
Если соединитель не удается подключиться к службе Azure Rights Management, скорее всего, появится ошибка 3001. Например, эта ошибка подключения может быть вызвана проблемой DNS или отсутствием доступа к Интернету для одного или нескольких серверов с соединителем RMS.
Совет
Если серверы соединителей RMS не могут подключаться к службе Azure Rights Management, конфигурации веб-прокси часто являются причиной.
Как и во всех записях журнала событий, выполните детализацию в сообщении для получения дополнительных сведений.
Помимо проверка журнала событий при первом развертывании соединителя, проверка для предупреждений и ошибок на постоянной основе. Соединитель может работать должным образом, но другие администраторы могут изменить зависимые конфигурации. Например, другой администратор изменяет конфигурацию веб-прокси-сервера, чтобы серверы соединителей RMS больше не могли получить доступ к Интернету (ошибка 3001) или удаляет учетную запись компьютера из группы, указанной как авторизованная для использования соединителя (предупреждение 2001).
Идентификаторы и описания журнала событий
Используйте следующие разделы, чтобы определить возможные идентификаторы событий, описания и дополнительные сведения.
Сведения 1000
Веб-служба соединителя Microsoft RMS запущена.
Это событие регистрируется при первой попытке запустить соединитель RMS.
Сведения 1001
Веб-служба соединителя Microsoft RMS остановлена.
Это событие регистрируется, когда соединитель RMS останавливается в результате нормальной работы. Например, iis перезапускается или компьютер завершает работу.
Сведения 1002
Доступ к соединителю Microsoft RMS разрешен для авторизованного сервера.
Это событие регистрируется, когда учетная запись с локального сервера сначала подключается к соединителю RMS после того, как учетная запись была авторизована администратором Azure RMS в средстве администратора соединителя RMS. Идентификатор безопасности, имя учетной записи и имя компьютера, выполняющего подключение, содержится в сообщении о событии.
Сведения 1003
Подключение от клиента, указанного ниже, переключилось с небезопасного подключения (HTTP) на безопасное подключение (HTTPS).
Это событие регистрируется, когда локальный сервер изменяет подключение к соединителю RMS из HTTP (менее безопасно) на HTTPS (более безопасный). Идентификатор безопасности, имя учетной записи и имя компьютера, выполняющего подключение, содержится в сообщении о событии.
Сведения 1004
Обновлен список авторизованных учетных записей.
Это событие регистрируется, когда соединитель RMS скачал последний список учетных записей (существующие учетные записи и любые изменения), которые авторизованы для использования соединителя RMS. Этот список загружается каждые 15 минут, предоставляя соединитель RMS для связи со службой Azure Rights Management.
Предупреждение 2000
Субъект-пользователь в контексте HTTP отсутствует или недопустим, убедитесь, что веб-сайт соединителя Microsoft RMS отключен анонимной проверки подлинности в службах IIS и включена только проверка подлинности Windows.
Это событие регистрируется, когда соединитель RMS не может однозначно идентифицировать учетную запись, пытающуюся подключиться к соединителю RMS. Это может быть результатом неправильной настройки анонимной проверки подлинности для IIS или учетной записи из недоверенного леса.
Предупреждение 2001
Несанкционированный доступ к соединителю Microsoft RMS.
Это событие регистрируется, когда учетная запись пытается подключиться к соединителю RMS, но завершается ошибкой. Наиболее типичной причиной этого предупреждения является то, что учетная запись, которая делает подключение, не находится в скачанном списке авторизованных учетных записей, скачиваемых соединителем RMS из службы Azure Rights Management. Например, последний список еще не скачан (это событие происходит каждые 15 минут) или учетная запись отсутствует в списке.
Еще одна причина может быть, если вы установили соединитель RMS на том же сервере, который настроен для использования соединителя. Например, вы устанавливаете соединитель RMS на сервере, на котором выполняется Exchange Server, и вы авторизуете учетную запись Exchange для использования соединителя. Эта конфигурация не поддерживается, так как соединитель RMS не может правильно определить учетную запись при попытке подключения.
Сообщение о событии содержит сведения о учетной записи и компьютере, пытающихся подключиться к соединителю RMS:
Если учетная запись, пытающаяся подключиться к соединителю RMS, является допустимой учетной записью, используйте средство администратора соединителя RMS, чтобы добавить учетную запись в список авторизованных учетных записей. Дополнительные сведения о том, какие учетные записи должны быть авторизованы, см. в разделе "Добавление сервера в список разрешенных серверов".
Если учетная запись, пытающаяся подключиться к соединителю RMS, находится на том же компьютере, что и сервер соединителя RMS, установите соединитель на отдельном сервере. Дополнительные сведения о предварительных требованиях для соединителя см. в разделе "Предварительные требования для соединителя RMS".
Предупреждение 2002
Подключение от клиента, указанное ниже, использует небезопасное подключение (HTTP).
Это событие регистрируется, когда локальный сервер делает успешное подключение к соединителю RMS, но подключение использует HTTP (менее безопасный) вместо HTTPS (более безопасный). Одно событие регистрируется для каждой учетной записи, а не для каждого подключения. Это событие активируется снова, если учетная запись успешно переключится на использование HTTPS, но отменить изменения на HTTP.
Сообщение о событии содержит идентификатор безопасности учетной записи, имя учетной записи и имя компьютера, который делает подключение к соединителю RMS.
Сведения о настройке соединителя RMS для подключений HTTPS см. в статье Настройка соединителя RMS для использования HTTPS.
Предупреждение 2003
Список авторизации пуст. Служба не будет использоваться до тех пор, пока не будет заполнен список авторизованных пользователей и групп соединителя.
Это событие регистрируется, если соединитель RMS не содержит список авторизованных учетных записей, поэтому локальные серверы не могут подключаться к нему. Соединитель RMS загружает список каждые 15 минут из Azure RMS.
Чтобы указать учетные записи, используйте средство администратора соединителя RMS. Дополнительные сведения см. в разделе "Авторизация серверов" для использования соединителя RMS.
Ошибка 3000
Необработанное исключение произошло в соединителе Microsoft RMS.
Это событие регистрируется каждый раз, когда соединитель RMS обнаруживает непредвиденное сообщение об ошибке.
Одна из возможных причин может быть определена текстом Запроса сбоем с пустым ответом в сообщении о событии. Если вы видите этот текст, возможно, у вас есть сетевое устройство, выполняющее проверку SSL на пакетах между локальными серверами и сервером соединителя RMS. Служба Azure Rights Management не поддерживает эту конфигурацию и приводит к сбою связи и этому сообщению журнала событий.
Ошибка 3001
При скачивании сведений об авторизации произошло исключение.
Это событие регистрируется, если соединитель RMS не может скачать последний список учетных записей, авторизованных для использования соединителя RMS. Сведения об ошибке находятся в сообщении о событии.
Счетчики производительности
При установке соединителя RMS он автоматически создает счетчики производительности соединителя Microsoft Rights Management, которые могут оказаться полезными для мониторинга и повышения производительности использования службы Azure Rights Management.
Например, при защите документов или сообщений электронной почты регулярно возникают задержки. Кроме того, при открытии защищенных документов или сообщений электронной почты возникают задержки. В таких случаях счетчики производительности помогут определить, должны ли задержки выполняться в соединителе, время обработки из службы Azure Rights Management или задержки сети.
Чтобы узнать, где происходит задержка, найдите счетчики, которые включают средние счетчики для времени обработки Подключение or, времени отклика службы и времени отклика Подключение or. Например: лицензирование успешного пакетного запроса среднее время отклика Подключение or.
Если вы недавно добавили новые учетные записи сервера для использования соединителя, хороший счетчик для проверка is Time с момента последнего обновления политики авторизации, чтобы убедиться, что соединитель скачал список после его обновления, или нужно ли ждать немного дольше (до 15 минут).
Ведение журналов
Ведение журнала использования помогает определить, когда сообщения электронной почты и документы защищены и используются. Если соединитель RMS используется для защиты и использования содержимого, поле идентификатора пользователя в журналах содержит имя субъекта-службы Aadrm_S-1-7-0. Это имя автоматически создается для соединителя RMS.
Дополнительные сведения об ведении журнала использования см. в разделе "Ведение журнала" и анализ использования защиты от Azure Information Protection.
Если требуется более подробное ведение журнала для диагностики, используйте DebugView из Windows Sysinternals для вывода журналов в канал отладки.
Запустите DebugView от имени администратора, а затем выберите "Запись записи>глобальной win32".
Включите трассировку для соединителя RMS, изменив файл web.config для сайта по умолчанию в IIS:
Найдите файл web.config в папке %programfiles%\Microsoft Rights Management connector\Web Service.
Найдите следующую строку:
<trace enabled="false" requestLimit="10" pageOutput="false" traceMode="SortByTime" localOnly="true"/>Замените следующую строку следующим текстом:
<trace enabled="true" requestLimit="10" pageOutput="false" traceMode="SortByTime" localOnly="true"/>
Остановите и запустите СЛУЖБЫ IIS для активации трассировки.
Когда вы захватили трассировки в DebugView, отменить изменения строку на шаге 3, а затем остановите и снова запустите СЛУЖБЫ IIS.
Обратная связь
Ожидается в ближайшее время: в течение 2024 года мы постепенно откажемся от GitHub Issues как механизма обратной связи для контента и заменим его новой системой обратной связи. Дополнительные сведения см. в разделе https://aka.ms/ContentUserFeedback.
Отправить и просмотреть отзыв по