Мониторинг соединитела Службы управления правами Майкрософт

Применяется к: Azure Information Protection, Windows Server 2016, Windows Server 2012 R2, Windows Server 2012

Релевантные:единый клиент меток AIP и классический клиент

Примечание

Чтобы обеспечить единый и оптимизированный клиентский процесс, мы перенаправление классического клиента Azure Information Protection и управления наклейками на портале Azure с 31 марта 2021 г. Поддержка классических версий клиента больше не предоставляется, а версии обслуживания больше не выпускаются.

  • Классический клиент полностью перестанет работать и перестанет работать 31 марта 2022 г.
  • С 18 марта 2022 г. также будет отобрирован журнал аудита И АНАЛИТИКА AIP с полной датой выхода из нее 31 сентября 2022 г.

Дополнительные сведения см. в том, как удалять и удалять службы.

После установки и настройки соединителя RMS вы можете использовать следующие методы и сведения для отслеживания соединителя и использования службы управления правами Azure в Azure Information Protection.

Записи журнала событий приложений

Соединителог RMS использует журнал событий приложения для записи записей для соединитела Microsoft RMS.

Например, информационные события, такие как:

  • ID 1000 подтверждает, что служба соединитела запущена

  • ID 1002 при успешном подключении сервера к соединитеплею RMS

  • ID 1004 каждый раз, когда список авторизованной учетной записи (каждая учетная запись указана в списке) загружается в соединител

Если соединитектор не настроен для использования ПРОТОКОЛА HTTPS, вы увидите предупреждающий ИД 2002 о том, что клиент использует ненадежное подключение (HTTP).

Если соединителу не удается подключиться к службе управления правами Azure, скорее всего, вы увидите сообщение Ошибка 3001. Например, сбой подключения может быть результатом проблемы DNS или отсутствия доступа к Интернету для одного или двух серверов с соединитетелем RMS.

Совет

Если серверы соединители службы RMS не могут подключиться к службе управления правами Azure, часто причина заключается в конфигурации веб-прокси.

Как и все записи журнала событий, деталиизйдите к сообщению для получения дополнительных сведений.

Помимо проверки журнала событий при первом развертывании соединитела, регулярно проверяйте, нет ли предупреждений и ошибок. Изначально соединителю, возможно, нужно было работать так, как ожидалось, но другие администраторы могут изменить зависимые конфигурации. Например, другой администратор изменяет конфигурацию прокси-сервера веб-сервера таким образом, что соединитетельные серверы RMS больше не могут получать доступ к Интернету (ошибка 3001) или удаляет учетную запись компьютера из группы, которая была указана как авторизованная для использования соединитела (предупреждение 2001).

ИД и описания журналов событий

В следующих разделах можно определить возможные идентификации, описания событий и любые дополнительные сведения.


Сведения 1000

Запущена веб-служба Microsoft RMS Connector.

Это событие регистрируется при первой попытке запуска соединитела RMS.


Сведения 1001

Веб-служба Microsoft RMS Connector остановлена.

Это событие регистрируется, когда соединитектор RMS останавливается в результате обычной работы. Например, iiS перезапустится или компьютер будет выключен.


Сведения 1002

Для авторизованнго сервера разрешен доступ к соединитеплею Microsoft RMS.

Это событие регистрируется, когда учетная запись с локального сервера впервые подключается к соединитеору RMS после того, как учетная запись была авторизованна администратором Azure RMS в средстве администратора соединители RMS. В сообщении о событии содержатся имя пользователя, имя учетной записи и имя компьютера, на котором было подключено подключение.


Сведения 1003

Подключение от клиента, приведенного ниже, переключилось с небезопасного (HTTP) подключения на безопасное (HTTPS) подключение.

Это событие регистрируется, когда на локальном сервере изменяется подключение к соединители RMS с HTTP (менее безопасное) на HTTPS (более безопасное). В сообщении о событии содержатся имя пользователя, имя учетной записи и имя компьютера, на котором было подключено подключение.


Сведения 1004

Список авторизованной учетной записи обновлен.

Это событие регистрируется, когда соединитектор RMS скачивает последний список учетных записей (существующих учетных записей и всех изменений), имеющих право на использование соединитела RMS. Этот список загружается каждые 15 минут, что обеспечивает подключение соединитела RMS к службе управления правами Azure.


Предупреждение 2000

Основной пользователь в контексте HTTP отсутствует или недостоверен, убедитесь, что на веб-сайте соединителя Microsoft RMS отключена анонимная проверка подлинности в IIS и включена только Windows проверка подлинности.

Это событие регистрируется, когда соединителю RMS не удалось однозначно определить учетную запись, пытаемуюся подключиться к соединителю RMS. Это может быть результатом неправильной анонимной проверки подлинности, настроенной для IIS, или учетная запись из ненавязчивых лесов.


Предупреждение 2001

Попытка несанкционированного доступа к соединители microsoft RMS.

Это событие регистрируется, когда учетная запись пытается подключиться к соединители RMS, но не получается. Наиболее типичной причиной этого предупреждения является то, что учетная запись, которая создает подключение, не находится в загруженном списке авторизованных учетных записей, который соединитор RMS скачивает из службы управления правами Azure. Например, последний список еще не скачивается (это событие происходит каждые 15 минут) или учетная запись отсутствует в списке.

Еще одной причиной может быть то, что соединитектор RMS установлен на том же сервере, где он настроен. Например, вы устанавливаете соединителя RMS на сервер, на Exchange Server и разрешаете учетной записи Exchange использовать соединителя. Эта конфигурация не поддерживается, так как соединителю RMS не удается правильно определить учетную запись при попытке подключения.

Сообщение о событии содержит сведения об учетной записи и компьютере, которые пытаются подключиться к соединители RMS.

  • Если учетная запись, пытающаяся подключиться к соединителю RMS, является допустимой, добавьте ее в список авторизованной учетной записи с помощью средства администратора соединителю RMS. Дополнительные сведения о том, какие учетные записи должны быть авторизованны, см. в статью Добавление сервера в список разрешенных серверов.

  • Если учетная запись пытается подключиться к соединителу RMS с того же компьютера, что и сервер соединителя RMS, установите его на отдельном сервере. Дополнительные сведения о необходимых для соединители предварительных данных см. в этой теме.


Предупреждение 2002

Подключение от клиента, приведенного ниже, использует небезопасную (HTTP) связь.

Это событие регистрируется, когда локальному серверу удалось успешно подключиться к соединитеору RMS, но подключение использует протокол HTTP (менее безопасный), а не HTTPS (более безопасный). Одно событие регистрируется в учетной записи, а не на подключение. Это событие снова запускается, если учетная запись успешно переключилась на HTTPS, но возвращается к HTTP.

Сообщение о событии содержит имя учетной записи, имя учетной записи и имя компьютера, с помощью которого создается подключение к соединитеплею RMS.

Сведения о настройке соединитела RMS для подключений HTTPS см. в настройках соединитетеля RMS для использования HTTPS.


Предупреждение 2003

Список авторизации пуст. Служба не будет работать, пока не будет заполнен список авторизованных пользователей и групп для соединителя.

Это событие регистрируется, если у соединитела RMS нет списка авторизованных учетных записей, поэтому к этому событию не могут подключиться никакие серверы. Соединитектор RMS скачивает список каждые 15 минут из Azure RMS.

Чтобы указать учетные записи, используйте средство администратора соединители RMS. Дополнительные сведения см. в том, как разрешить серверам использовать соединители RMS.


Ошибка 3000

В соединиторе Microsoft RMS возникло необъединеное исключение.

Это событие регистрируется каждый раз, когда соединитектор RMS встречается с неожиданной ошибкой с подробными сведениями об ошибке в сообщении о событии.

Одной из возможных причин может быть текст Сообщение о сбойе запроса с пустым ответом в сообщении о событии. Если вы видите этот текст, возможно, у вас есть сетевое устройство, которое проводит SSL-проверку на пакетах между локальной и соединительной серверами RMS. Служба управления правами Azure не поддерживает эту конфигурацию и приводит к сбойу связи и сообщению журнала событий.


Ошибка 3001

При скачии данных авторизации возникло исключение.

Это событие регистрируется, если соединитеору RMS не удается скачать последнюю версию списка учетных записей, которые уполномочены использовать соединителог RMS. Сведения об ошибке есть в сообщении о событии.


Счетчики производительности

При установке соединителя RMS автоматически создаются счетчики производительности соединителя службы управления правами Майкрософт , которые могут оказаться полезными для отслеживания и повышения производительности использования службы управления правами Azure.

Например, при защите документов и сообщений электронной почты часто происходят задержки. При открытых защищенных документах или сообщениях электронной почты могут происходить задержки. В таких случаях счетчики производительности помогают определить, должны ли задержки быть вызваны временем обработки соединителения, обработкой времени из службы управления правами Azure или задержками сети.

Чтобы определить, где находится задержка, найди счетчики со средними значениями времени обработки соединитетелем, времени ответа на запросы службы и времени ответа соединитела. Например: Лицензирование успешного пакетного запроса Среднее время отклика соединитела.

Если вы недавно добавили новые учетные записи сервера для использования соединитела, следует проверить время с момента последнего обновления политики авторизации, чтобы подтвердить, что соединителю нужно скачать список с момента его обновления или подождать немного дольше (до 15 минут).

Ведение журнала

Ведение журнала использования помогает определить, когда электронная почта и документы защищены и расходуются. Когда соединителевая связь RMS используется для защиты и использования содержимого, поле "ИД пользователя" в журналах содержит основное имя службы Aadrm_S-1-7-0. Это имя автоматически создается для соединителю RMS.

Дополнительные сведения о логинге использования см. в журнале и анализе использования защиты из Azure Information Protection.

Если вам нужно более подробное ведение журнала для диагностики, используйте откорпоратированные данные из Windows Sysinternals для вывода журналов в отработку.

  1. Запустите от debugПросмотр в качестве администратора и выберите CaptureCapture>Global Win32.

  2. Чтобы включить трассировку для соединитела RMS, измените файлweb.configдля сайта по умолчанию в IIS:

    1. Найдите файлweb.config в папке %programfiles%\Microsoft Rights Management connector\Web Service .

    2. Найдите следующую строку:

      <trace enabled="false" requestLimit="10" pageOutput="false" traceMode="SortByTime" localOnly="true"/>
      
    3. Замените эту строку следующим текстом:

      <trace enabled="true" requestLimit="10" pageOutput="false" traceMode="SortByTime" localOnly="true"/>
      
  3. Остановите и запустите IIS, чтобы активировать трассировку.

  4. Если вы зафиксили трассировку в ОтдобавкаОбзор, отозвайте линию на шаге 3, а затем остановите и снова запустите СЛУЖБЫ IIS.