監視 Microsoft Rights Management 連接器

安裝並設定 RMS 連接器之後，您可以使用下列方法和資訊來協助您監視連接器，以及組織從 Azure 資訊保護使用 Azure Rights Management 服務。

應用程式事件記錄檔項目

RMS 連接器會使用應用程式事件記錄檔來記錄 Microsoft RMS 連接器 的專案 。

例如，資訊事件，例如：

• 識別碼 1000 確認連接器服務已啟動

• 當伺服器成功連線到 RMS 連接器時，識別碼 1002

• 識別碼 1004 每次將授權帳戶清單 （每個帳戶都列出） 下載到連接器

如果您尚未將連接器設定為使用 HTTPS，預期會看到用戶端使用非安全 （HTTP） 連線的警告識別碼 2002。

如果連接器無法連線到 Azure Rights Management 服務，您很可能會看到錯誤 3001。 例如，此連線失敗可能是因為 DNS 問題或執行 RMS 連接器的一或多部伺服器缺少網際網路存取。

提示

當 RMS 連接器伺服器無法連線到 Azure Rights Management 服務時，Web Proxy 設定通常是原因。

如同所有事件記錄檔專案，請向下切入訊息以取得詳細資料。

除了在第一次部署連接器時檢查事件記錄檔之外，請持續檢查警告和錯誤。 連接器一開始可能會如預期般運作，但其他系統管理員可能會變更相依設定。 例如，另一位系統管理員會變更 Web Proxy 伺服器設定，讓 RMS 連接器伺服器無法再存取網際網路（錯誤 3001），或從您指定為已獲授權使用連接器的群組中移除電腦帳戶（警告 2001）。

事件記錄檔識別碼和描述

使用下列各節來識別可能的事件識別碼、描述，以及任何其他資訊。

---

資訊 1000

Microsoft RMS 連接器 Web 服務已啟動。

當 RMS 連接器第一次嘗試啟動時，就會記錄此事件。

---

資訊 1001

Microsoft RMS 連接器 Web 服務已停止。

當 RMS 連接器因正常作業而停止時，就會記錄此事件。 例如，IIS 已重新開機，或電腦已關閉。

---

資訊 1002

已允許授權伺服器存取 Microsoft RMS 連接器。

當來自內部部署伺服器的帳戶在 RMS 連接器系統管理員工具中的 Azure RMS 系統管理員授權後，第一次連線到 RMS 連接器之後，就會記錄此事件。 建立連線之電腦的 SID、帳戶名稱和名稱包含在事件訊息中。

---

資訊 1003

下列用戶端的連線已從不安全的 （HTTP） 連線切換到安全 （HTTPS） 連線。

當內部部署伺服器將其與 RMS 連接器的連線從 HTTP（較不安全）變更為 HTTPS 時，就會記錄此事件（更安全）。 建立連線之電腦的 SID、帳戶名稱和名稱包含在事件訊息中。

---

資訊 1004

已更新授權帳戶的清單。

當 RMS 連接器已下載授權使用 RMS 連接器的最新帳戶清單（現有帳戶和任何變更）時，就會記錄此事件。 此清單會每隔 15 分鐘下載一次，前提是 RMS 連接器可以與 Azure Rights Management 服務通訊。

---

警告 2000

HTTP 內容中的使用者主體遺失或無效，請確認 MICROSOFT RMS 連接器網站已在 IIS 中停用匿名驗證，且只啟用 Windows 驗證。

當 RMS 連接器無法唯一識別嘗試連線到 RMS 連接器的帳戶時，就會記錄此事件。 這可能是 IIS 未正確設定匿名驗證的結果，或帳戶來自不受信任的樹系。

---

警告 2001

未經授權存取 Microsoft RMS 連接器。

當帳戶嘗試連線到 RMS 連接器但失敗時，就會記錄此事件。 此警告的最典型原因是建立連線的帳戶不在 RMS 連接器從 Azure Rights Management 服務下載的已授權帳戶清單中。 例如，尚未下載最新的清單（此事件每隔 15 分鐘發生一次），或清單中遺漏帳戶。

另一個原因可能是，如果您在設定為使用連接器的相同伺服器上安裝 RMS 連接器。 例如，您會在執行 Exchange Server 的伺服器上安裝 RMS 連接器，並授權 Exchange 帳戶使用連接器。 不支援此設定，因為 RMS 連接器在嘗試連線時無法正確識別帳戶。

事件訊息包含嘗試連線到 RMS 連接器之帳戶和電腦的相關資訊：

• 如果嘗試連線到 RMS 連接器的帳戶是有效的帳戶，請使用 RMS 連接器系統管理員工具來將帳戶新增至授權帳戶清單。 如需哪些帳戶必須獲得授權的詳細資訊，請參閱 將伺服器新增至允許的伺服器 清單。

• 如果嘗試連線到 RMS 連接器的帳戶來自與 RMS 連接器伺服器相同的電腦，請在不同的伺服器上安裝連接器。 如需連接器必要條件的詳細資訊，請參閱 RMS 連接器 的必要條件。

---

警告 2002

下列用戶端的連線是使用不安全的 （HTTP） 連線。

當內部部署伺服器成功連線至 RMS 連接器時，會記錄此事件，但連線會使用 HTTP （較不安全）而不是 HTTPS （更安全）。 每個帳戶會記錄一個事件，而不是每個連線。 如果帳戶成功切換至使用 HTTPS，但還原為 HTTP，就會再次觸發此事件。

事件訊息包含帳戶 SID、帳戶名稱和建立 RMS 連接器連線的電腦名稱稱。

如需如何設定 HTTPS 連線 RMS 連接器的資訊，請參閱 設定 RMS 連接器以使用 HTTPS 。

---

警告 2003

授權清單是空的。 在填入連接器的授權使用者和群組清單之前，服務將無法使用。

當 RMS 連接器沒有授權帳戶清單時，就會記錄此事件，因此任何內部部署伺服器都無法連線到該帳戶。 RMS 連接器會每隔 15 分鐘從 Azure RMS 下載一次清單。

若要指定帳戶，請使用 RMS 連接器系統管理員工具。 如需詳細資訊，請參閱 授權伺服器使用 RMS 連接器 。

---

錯誤 3000

Microsoft RMS 連接器中發生未處理的例外狀況。

每次 RMS 連接器遇到非預期的錯誤時，都會記錄此事件，並在事件訊息中記錄錯誤的詳細資料。

文字可以識別 一個可能的原因：要求失敗，事件訊息中有空的回應 。 如果您看到此文字，可能是因為您在內部部署伺服器與 RMS 連接器伺服器之間的封包上執行 SSL 檢查的網路裝置。 Azure Rights Management 服務不支援此設定，而且會導致通訊失敗，並產生此事件記錄檔訊息。

---

錯誤 3001

下載授權資訊時發生例外狀況。

如果 RMS 連接器無法下載授權使用 RMS 連接器的最新帳戶清單，就會記錄此事件。 錯誤的詳細資料位於事件訊息中。

---

效能計數器

當您安裝 RMS 連接器時，它會自動建立 Microsoft Rights Management 連接器 效能計數器，以協助您監視及改善使用 Azure Rights Management 服務的效能。

例如，當檔或電子郵件受到保護時，您經常會遇到延遲。 或者，當受保護的檔或電子郵件開啟時，您會遇到延遲。 在這些情況下，效能計數器可協助您判斷延遲是由於連接器上的處理時間、來自 Azure Rights Management 服務的處理時間，還是網路延遲。

為了協助您識別發生延遲的位置，請尋找計數器，其中包含連線or 處理時間 、服務回應時間和 連線or 回應時間 的平均計數 。 例如： 授權成功的批次要求平均連線或回應時間 。

如果您最近新增伺服器帳戶以使用連接器，檢查的好計數器是 上次授權原則更新 後的時間，以確認連接器自更新後已下載清單，或您是否需要等候更長的時間（最多 15 分鐘）。

記錄

使用記錄可協助您識別電子郵件和檔何時受到保護和取用。 當 RMS 連接器用來保護和取用內容時，記錄中的使用者識別碼欄位會包含服務主體名稱 Aadrm_S-1-7-0 。 RMS 連接器會自動建立此名稱。

如需使用量記錄的詳細資訊，請參閱 記錄和分析 Azure 資訊保護 的保護使用量。

如果您需要更詳細的記錄以進行診斷，請使用 Windows Sysinternals 中的 DebugView 將記錄輸出至偵錯管道。

1. 以系統管理員身分啟動 DebugView，然後選取 [ 擷取 > 全域 Win32]。

2. 修改 IIS 中預設網站的 web.config 檔案，以啟用 RMS 連接器的追蹤：

   1. 在 %programfiles%\Microsoft Rights Management connector\Web Service 資料夾中找出 web.config 檔案 。

   2. 找出下列這一行：

      <trace enabled="false" requestLimit="10" pageOutput="false" traceMode="SortByTime" localOnly="true"/>
      

   3. 以下列文字取代該行：

      <trace enabled="true" requestLimit="10" pageOutput="false" traceMode="SortByTime" localOnly="true"/>
      

3. 停止並啟動 IIS 以啟動追蹤。

4. 當您在 DebugView 中擷取所需的追蹤時，請還原步驟 3 中的行，然後再次停止並啟動 IIS。