Surveiller le connecteur Microsoft Rights Management

  • Article

Après avoir installé et configuré le connecteur RMS, vous pouvez utiliser les méthodes et informations suivantes pour vous aider à surveiller le connecteur et l’utilisation du service Azure Rights Management à partir d’Azure Information Protection.

Entrées du journal des événements de l’application

Le connecteur RMS utilise le journal des événements de l’application pour enregistrer les entrées du connecteur Microsoft RMS.

Par exemple, des événements d’informations tels que :

  • ID 1000 confirme que le service de connecteur a démarré

  • ID 1002 lorsqu’un serveur se connecte correctement au connecteur RMS

  • ID 1004 chaque fois que la liste des comptes autorisés (chaque compte est répertorié) est téléchargée sur le connecteur

Si vous n’avez pas configuré le connecteur pour utiliser HTTPS, attendez-vous à voir un ID d’avertissement 2002 qu’un client utilise une connexion non sécurisée (HTTP).

Si le connecteur ne parvient pas à se connecter au service Azure Rights Management, vous verrez probablement l’erreur 3001. Par exemple, cette défaillance de connexion peut résulter d’un problème DNS ou d’un manque d’accès Internet pour un ou plusieurs serveurs exécutant le connecteur RMS.

Conseil

Lorsque les serveurs du connecteur RMS ne peuvent pas se connecter au service Azure Rights Management, les configurations de proxy web sont souvent la raison.

Comme pour toutes les entrées du journal des événements, accédez au message pour plus d’informations.

En plus de vérifier le journal des événements lorsque vous déployez le connecteur pour la première fois, vérifiez également celui des avertissements et les erreurs en cours. Le connecteur peut fonctionner comme prévu initialement, mais d’autres administrateurs peuvent modifier les configurations dépendantes. Par exemple, un autre administrateur modifie la configuration du serveur proxy web afin que les serveurs du connecteur RMS ne puissent plus accéder à Internet (Erreur 3001) ou supprime un compte d’ordinateur d’un groupe que vous avez spécifié comme autorisé à utiliser le connecteur (Avertissement 2001).

ID et descriptions du journal des événements

Utilisez les sections suivantes pour identifier les ID d’événement, les descriptions et toutes les informations supplémentaires possibles.

Informations 1000

Le service web du connecteur Microsoft RMS a démarré.

Cet événement est enregistré lorsque le connecteur RMS tente d’abord de démarrer.

Informations 1001

Le service web du connecteur Microsoft RMS s’est arrêté.

Cet événement est enregistré lorsque le connecteur RMS s’arrête en raison d’une opération normale. Par exemple, IIS est redémarré ou l’ordinateur est arrêté.

Informations 1002

L’accès au connecteur Microsoft RMS a été autorisé pour un serveur autorisé.

Cet événement est enregistré lorsqu’un compte à partir d’un serveur local se connecte d’abord au connecteur RMS, une fois que le compte a été autorisé par l’administrateur Azure RMS dans l’outil d’administrateur du connecteur RMS. Le SID, le nom du compte et le nom de l’ordinateur à l’origine de la connexion sont contenus dans le message d’événement.

Informations 1003

La connexion du client répertoriée ci-dessous passe d’une connexion non sécurisée (HTTP) à une connexion sécurisée (HTTPS).

Cet événement est enregistré lorsqu’un serveur sur site modifie sa connexion au connecteur RMS de HTTP (moins sécurisé) en HTTPS (plus sécurisé). Le SID, le nom du compte et le nom de l’ordinateur à l’origine de la connexion sont contenus dans le message d’événement.

Informations 1004

La liste des comptes autorisés a été mise à jour.

Cet événement est enregistré lorsque le connecteur RMS a téléchargé la dernière liste de comptes (comptes existants et modifications) autorisés à utiliser le connecteur RMS. Cette liste est téléchargée toutes les 15 minutes, ce qui permet au connecteur RMS de communiquer avec le service Azure Rights Management.

Avertissement 2000

Le principal de l’utilisateur dans le contexte HTTP est absent ou non valide, vérifiez que le site web du connecteur Microsoft RMS a désactivé l’authentification anonyme dans IIS et que seule l’authentification Windows est activée.

Cet événement est enregistré lorsque le connecteur RMS ne peut pas identifier de manière unique le compte qui tente de se connecter au connecteur RMS. Cela peut être dû à une authentification anonyme configurée de manière incorrecte pour IIS ou que le compte provient d’une forêt non approuvée.

Avertissement 2001

Tentative d’accès non autorisé au connecteur RMS Microsoft.

Cet événement est enregistré lorsqu’un compte tente de se connecter au connecteur RMS, mais échoue. La raison la plus courante de cet avertissement est que le compte qui établit la connexion n’est pas dans la liste téléchargée des comptes autorisés que le connecteur RMS télécharge à partir du service Azure Rights Management. Par exemple, la liste la plus récente n’est pas encore téléchargée (cet événement se produit toutes les 15 minutes) ou le compte est manquant dans la liste.

Une autre raison peut être si vous avez installé le connecteur RMS sur le même serveur configuré pour utiliser le connecteur. Par exemple, vous installez le connecteur RMS sur un serveur qui exécute Exchange Server et vous autorisez un compte Exchange à utiliser le connecteur. Cette configuration n’est pas prise en charge, car le connecteur RMS ne peut pas identifier correctement le compte lorsqu’il tente de se connecter.

Le message d’événement contient des informations relative au compte et à l’ordinateur qui essaient de se connecter au connecteur RMS :

  • Si le compte qui tente de se connecter au connecteur RMS est un compte valide, utilisez l’outil d’administration du connecteur RMS pour ajouter le compte à la liste des comptes autorisés. Pour plus d’informations relatives aux comptes qui doivent être autorisés, consultez Ajouter un serveur à la liste des serveurs autorisés.

  • Si le compte qui tente de se connecter au connecteur RMS provient du même ordinateur que le serveur de connecteur RMS, installez le connecteur sur un serveur distinct. Pour plus d’informations sur les prérequis pour le connecteur, consultez Conditions préalables pour le connecteur RMS.

Avertissement 2002

La connexion du client répertoriée ci-dessous utilise une connexion non sécurisée (HTTP).

Cet événement est enregistré lorsqu’un serveur local établit une connexion réussie au connecteur RMS, mais que la connexion utilise HTTP (moins sécurisé) au lieu de HTTPS (plus sécurisé). Un événement est enregistré par compte plutôt que par connexion. Cet événement est à nouveau déclenché si le compte est passé avec succès à l'utilisation de HTTPS, mais revient à HTTP.

Le message d’événement contient le SID de compte, le nom du compte et le nom de l’ordinateur qui établit la connexion au connecteur RMS.

Pour plus d’informations sur la configuration du connecteur RMS pour les connexions HTTPS, consultez Configuration du connecteur RMS pour utiliser HTTPS.

Avertissement 2003

La liste des autorisations est vide. Le service n’est pas utilisable tant que la liste des utilisateurs et groupes autorisés pour le connecteur n’est pas remplie.

Cet événement est enregistré lorsque le connecteur RMS n’a pas de liste de comptes autorisés. Par conséquent, aucun serveur local ne peut se connecter à celui-ci. Le connecteur RMS télécharge la liste toutes les 15 minutes à partir d’Azure RMS.

Pour spécifier les comptes, utilisez l’outil d’administrateur du connecteur RMS. Pour plus d’informations, consultez Autoriser les serveurs à utiliser le connecteur RMS.

Erreur 3000

Une exception non gérée s’est produite dans le connecteur Microsoft RMS.

Cet événement est enregistré chaque fois que le connecteur RMS rencontre une erreur inattendue, avec les détails de l’erreur dans le message d’événement.

Une cause possible peut être identifiée par le texte La requête a échoué avec une réponse vide dans le message d’événement. Si vous voyez ce texte, cela peut être dû au fait que vous disposez d’un périphérique réseau qui effectue une inspection SSL sur les paquets entre les serveurs locaux et le serveur de connecteur RMS. Le service Azure Rights Management ne prend pas en charge cette configuration et génère une communication ayant échoué et ce message du journal des événements.

Erreur 3001

Une exception s’est produite lors du téléchargement des informations d’autorisation.

Cet événement est journalisé si le connecteur RMS ne peut pas télécharger la dernière liste de comptes autorisés à utiliser le connecteur RMS. Des détails de l’erreur figurent dans le message d’événement.

Compteurs de performance

Lorsque vous installez le connecteur RMS, il crée automatiquement des compteurs de performances du connecteur Microsoft Rights Management que vous pouvez trouver utiles pour vous aider à surveiller et améliorer les performances de l’utilisation du service Azure Rights Management.

Par exemple, vous rencontrez régulièrement des retards lorsque des documents ou des e-mails sont protégés. Vous pouvez également rencontrer des retards lorsque des documents ou e-mails protégés sont ouverts. Dans ce cas, les compteurs de performances peuvent vous aider à déterminer si les retards sont dus au temps de traitement sur le connecteur, au temps de traitement du service Azure Rights Management ou aux retards réseau.

Pour vous aider à identifier l’endroit où se produit le délai, recherchez les compteurs qui incluent le nombre moyen de temps de traitement du connecteur, le temps de réponse du service et le temps de réponse du Connecter. Par exemple : Temps de réponse du connecteur moyenne de la demande en lots réussie de gestion des licences.

Si vous avez récemment ajouté de nouveaux comptes de serveur pour utiliser le connecteur, un bon compteur pour case activée est Temps depuis la dernière mise à jour de la stratégie d’autorisation pour confirmer que le connecteur a téléchargé la liste depuis que vous l’avez mise à jour, ou si vous devez attendre un peu plus longtemps (jusqu’à 15 minutes).

Journalisation

La journalisation de l’utilisation vous permet d’identifier quand les e-mails et les documents sont protégés et consommés. Lorsque le connecteur RMS est utilisé pour protéger et consommer du contenu, le champ ID utilisateur dans les journaux d’activité contient le nom du service principal de Aadrm_S-1-7-0. Ce nom est automatiquement créé pour le connecteur RMS.

Pour plus d’informations sur la journalisation de l’utilisation, consultez Journalisation et analyse de l’utilisation de la protection d’Azure Information Protection.

Si vous avez besoin d’une journalisation plus détaillée à des fins de diagnostic, utilisez DebugView à partir de Windows Sysinternals pour générer les journaux d’activité dans un pipe de débogage.

  1. Lancez DebugView en tant qu’administrateur, puis sélectionnez Capture Global>Win32.

  2. Activez le suivi pour le connecteur RMS en modifiant le fichier web.config pour le site par défaut dans IIS :

    1. Recherchez le fichier web.config dans le dossier %programfiles%\connecteur Microsoft Rights Management\Web Service.

    2. Recherchez la ligne suivante :

      <trace enabled="false" requestLimit="10" pageOutput="false" traceMode="SortByTime" localOnly="true"/>

    3. Remplacez cette ligne par le texte suivant :

      <trace enabled="true" requestLimit="10" pageOutput="false" traceMode="SortByTime" localOnly="true"/>

  3. Arrêtez et démarrez IIS pour activer le suivi.

  4. Lorsque vous avez capturé les traces dans DebugView dont vous avez besoin, rétablissez la ligne à l’étape 3, puis arrêtez et recommencez IIS.