Övervaka Microsoft Rights Management-anslutningsappen

När du har installerat och konfigurerat RMS-anslutningstjänsten kan du använda följande metoder och information för att övervaka anslutningsappen och organisationens användning av Azure Rights Management-tjänsten från Azure Information Protection.

Poster i programhändelseloggen

RMS-anslutningstjänsten använder programhändelseloggen för att registrera poster för Microsoft RMS-anslutningstjänsten.

Till exempel Informationshändelser som:

• ID 1000 bekräftar att anslutningstjänsten har startats

• ID 1002 när en server ansluter till RMS-anslutningstjänsten

• ID 1004 varje gång listan över auktoriserade konton (varje konto visas) laddas ned till anslutningsappen

Om du inte har konfigurerat anslutningsappen för att använda HTTPS kan du förvänta dig att se ett varnings-ID 2002 om att en klient använder en icke-säker anslutning (HTTP).

Om anslutningsappen inte kan ansluta till Azure Rights Management-tjänsten visas troligen fel 3001. Det här anslutningsfelet kan till exempel bero på ett DNS-problem eller brist på Internetåtkomst för en eller flera servrar som kör RMS-anslutningstjänsten.

Dricks

När RMS-anslutningsservrar inte kan ansluta till Azure Rights Management-tjänsten är webbproxykonfigurationer ofta orsaken.

Precis som med alla händelseloggposter går du vidare till meddelandet för mer information.

Förutom att kontrollera händelseloggen när du först distribuerar anslutningsappen kan du söka efter varningar och fel kontinuerligt. Anslutningsappen kanske fungerar som förväntat från början, men andra administratörer kan ändra beroende konfigurationer. En annan administratör ändrar till exempel konfigurationen av webbproxyservern så att RMS-anslutningsservrar inte längre kan komma åt Internet (fel 3001) eller tar bort ett datorkonto från en grupp som du angav som behörig att använda anslutningsappen (Varning 2001).

Händelselogg-ID och beskrivningar

Använd följande avsnitt för att identifiera möjliga händelse-ID:er, beskrivningar och eventuell ytterligare information.

---

Information 1000

Webbtjänsten för Microsoft RMS-anslutningstjänsten har startats.

Den här händelsen loggas när RMS-anslutningstjänsten först försöker starta.

---

Information 1001

Webbtjänsten för Microsoft RMS-anslutningstjänsten har stoppats.

Den här händelsen loggas när RMS-anslutningstjänsten stoppas till följd av normal drift. Till exempel startas IIS om eller datorn stängs av.

---

Information 1002

Åtkomst till Microsoft RMS-anslutningstjänsten har tillåtits för en auktoriserad server.

Den här händelsen loggas när ett konto från en lokal server först ansluter till RMS-anslutningstjänsten, efter att kontot har godkänts av Azure RMS-administratören i rms-anslutningsverktygets administratörsverktyg. SID, kontonamn och namnet på den dator som upprättar anslutningen finns i händelsemeddelandet.

---

Information 1003

Anslutningen från klienten som anges nedan har växlat från en icke-säker anslutning (HTTP) till en säker anslutning (HTTPS).

Den här händelsen loggas när en lokal server ändrar sin anslutning till RMS-anslutningstjänsten från HTTP (mindre säker) till HTTPS (säkrare). SID, kontonamn och namnet på den dator som upprättar anslutningen finns i händelsemeddelandet.

---

Information 1004

Listan över auktoriserade konton har uppdaterats.

Den här händelsen loggas när RMS-anslutningstjänsten har laddat ned den senaste listan över konton (befintliga konton och eventuella ändringar) som har behörighet att använda RMS-anslutningstjänsten. Den här listan laddas ned var 15:e minut, förutsatt att RMS-anslutningstjänsten kan kommunicera med Azure Rights Management-tjänsten.

---

Varning 2000

Användarens huvudnamn i HTTP-kontexten saknas eller är ogiltigt. Kontrollera att webbplatsen för Microsoft RMS-anslutningstjänsten har anonym autentisering inaktiverad i IIS och att endast Windows-autentisering är aktiverat.

Den här händelsen loggas när RMS-anslutningstjänsten inte unikt kan identifiera kontot som försöker ansluta till RMS-anslutningstjänsten. Detta kan bero på att anonym autentisering har konfigurerats felaktigt för IIS eller att kontot kommer från en ej betrodd skog.

---

Varning 2001

Obehörig åtkomst försöker komma åt Microsoft RMS-anslutningstjänsten.

Den här händelsen loggas när ett konto försöker ansluta till RMS-anslutningstjänsten men misslyckas. Den vanligaste orsaken till den här varningen är att kontot som upprättar anslutningen inte finns i den nedladdade listan över auktoriserade konton som RMS-anslutningstjänsten laddar ned från Azure Rights Management-tjänsten. Den senaste listan har till exempel inte laddats ned ännu (händelsen inträffar var 15:e minut) eller så saknas kontot i listan.

En annan orsak kan vara om du har installerat RMS-anslutningstjänsten på samma server som har konfigurerats för att använda anslutningstjänsten. Du kan till exempel installera RMS-anslutningstjänsten på en server som kör Exchange Server och ge ett Exchange-konto behörighet att använda anslutningstjänsten. Den här konfigurationen stöds inte eftersom RMS-anslutningstjänsten inte kan identifiera kontot korrekt när det försöker ansluta.

Händelsemeddelandet innehåller information om kontot och datorn som försöker ansluta till RMS-anslutningstjänsten:

• Om kontot som försöker ansluta till RMS-anslutningstjänsten är ett giltigt konto använder du administratörsverktyget för RMS-anslutningstjänsten för att lägga till kontot i listan över auktoriserade konton. Mer information om vilka konton som måste auktoriseras finns i Lägga till en server i listan över tillåtna servrar.

• Om kontot som försöker ansluta till RMS-anslutningstjänsten kommer från samma dator som RMS-anslutningsservern installerar du anslutningsappen på en separat server. Mer information om förutsättningarna för anslutningstjänsten finns i Krav för RMS-anslutningstjänsten.

---

Varning 2002

Anslutningen från klienten som anges nedan använder en icke-säker anslutning (HTTP).

Den här händelsen loggas när en lokal server upprättar en lyckad anslutning till RMS-anslutningstjänsten, men anslutningen använder HTTP (mindre säkert) i stället för HTTPS (säkrare). En händelse loggas per konto i stället för per anslutning. Den här händelsen utlöses igen om kontot har växlat till https men återgår till HTTP.

Händelsemeddelandet innehåller konto-SID, kontonamn och namnet på den dator som upprättar anslutningen till RMS-anslutningstjänsten.

Information om hur du konfigurerar RMS-anslutningstjänsten för HTTPS-anslutningar finns i Konfigurera RMS-anslutningstjänsten så att den använder HTTPS.

---

Varning 2003

Listan över auktoriseringar är tom. Tjänsten kan inte användas förrän listan över behöriga användare och grupper för anslutningsappen har fyllts i.

Den här händelsen loggas när RMS-anslutningstjänsten inte har någon lista över auktoriserade konton, så inga lokala servrar kan ansluta till den. RMS-anslutningstjänsten laddar ned listan var 15:e minut från Azure RMS.

Om du vill ange kontona använder du administratörsverktyget för RMS-anslutningstjänsten. Mer information finns i Auktorisera servrar att använda RMS-anslutningstjänsten.

---

Fel 3000

Ett ohanterat undantag inträffade i Microsoft RMS-anslutningstjänsten.

Den här händelsen loggas varje gång RMS-anslutningstjänsten får ett oväntat fel, med information om felet i händelsemeddelandet.

En möjlig orsak kan identifieras med texten Begäran misslyckades med ett tomt svar i händelsemeddelandet. Om du ser den här texten kan det bero på att du har en nätverksenhet som utför SSL-inspektion på paketen mellan de lokala servrarna och RMS-anslutningsservern. Azure Rights Management-tjänsten stöder inte den här konfigurationen och resulterar i en misslyckad kommunikation och det här händelseloggmeddelandet.

---

Fel 3001

Ett undantag inträffade vid nedladdning av auktoriseringsinformation.

Den här händelsen loggas om RMS-anslutningstjänsten inte kan ladda ned den senaste listan över konton som har behörighet att använda RMS-anslutningstjänsten. Information om felet finns i händelsemeddelandet.

---

Prestandaräknare

När du installerar RMS-anslutningstjänsten skapas automatiskt prestandaräknare för Microsoft Rights Management-anslutningstjänsten som du kan ha nytta av för att hjälpa dig att övervaka och förbättra prestandan för att använda Azure Rights Management-tjänsten.

Du får till exempel regelbundet fördröjningar när dokument eller e-postmeddelanden skyddas. Eller så uppstår fördröjningar när skyddade dokument eller e-postmeddelanden öppnas. I dessa fall kan prestandaräknarna hjälpa dig att avgöra om fördröjningarna beror på bearbetningstiden för anslutningsappen, bearbetningstiden från Azure Rights Management-tjänsten eller nätverksfördröjningar.

Om du vill hjälpa dig att identifiera var fördröjningen inträffar letar du efter räknare som innehåller genomsnittliga antal för Anslut eller bearbetningstid, tjänstsvarstid och Anslut eller svarstid. Till exempel: Licensiering lyckades Batched Request Average Anslut eller Svarstid.

Om du nyligen har lagt till nya serverkonton för att använda anslutningsappen är en bra räknare att kontrollera tiden sedan den senaste uppdateringen av auktoriseringsprincipen för att bekräfta att anslutningsappen har laddat ned listan sedan du uppdaterade den, eller om du behöver vänta lite längre (upp till 15 minuter).

Loggning

Användningsloggning hjälper dig att identifiera när e-postmeddelanden och dokument skyddas och används. När RMS-anslutningstjänsten används för att skydda och använda innehåll innehåller användar-ID-fältet i loggarna tjänstens huvudnamn för Aadrm_S-1-7-0. Det här namnet skapas automatiskt för RMS-anslutningstjänsten.

Mer information om användningsloggning finns i Logga och analysera skyddsanvändningen från Azure Information Protection.

Om du behöver mer detaljerad loggning i diagnossyfte använder du DebugView från Windows Sysinternals för att mata ut loggarna till ett felsökningspipa.

1. Starta DebugView som administratör och välj sedan Capture>Capture Global Win32.

2. Aktivera spårning för RMS-anslutningstjänsten genom att ändra filen web.config för standardwebbplatsen i IIS:

   1. Leta upp filen web.config i mappen %programfiles%\Microsoft Rights Management connector\Web Service.

   2. Leta upp följande rad:

      <trace enabled="false" requestLimit="10" pageOutput="false" traceMode="SortByTime" localOnly="true"/>
      

   3. Ersätt den raden med följande text:

      <trace enabled="true" requestLimit="10" pageOutput="false" traceMode="SortByTime" localOnly="true"/>
      

3. Stoppa och starta IIS för att aktivera spårning.

4. När du har samlat in spårningarna i DebugView som du behöver återställer du raden i steg 3 och stoppar och startar IIS igen.