Surveiller le connecteur Azure Rights ManagementMonitor the Azure Rights Management connector

S’applique à : Azure Information Protection, Windows Server 2012, Windows Server 2012 R2Applies to: Azure Information Protection, Windows Server 2012, Windows Server 2012 R2

Après avoir installé et configuré le connecteur RMS, vous pouvez utiliser les méthodes et les informations suivantes pour surveiller le connecteur et l’utilisation du service Azure Rights Management d’Azure Information Protection par votre organisation.After you install and configure the RMS connector, you can use the following methods and information to help you monitor the connector and your organization’s use of the Azure Rights Management service from Azure Information Protection.

Entrées du journal des événements de l’applicationApplication event log entries

Le connecteur RMS utilise le journal des événements de l’application pour enregistrer des entrées pour le connecteur Microsoft RMS.The RMS connector uses the Application event log to record entries for the Microsoft RMS connector.

Voici quelques exemples d’événements d’informations :For example, Information events such as:

  • L’événement ID 1000 confirme que le service du connecteur a été démarréID 1000 confirm that the connector service has started

  • L’événement ID 1002 indique que le serveur est désormais connecté au connecteur RMSID 1002 when a server successfully connects to the RMS connector

  • L’événement ID 1004 correspond au téléchargement de la liste des comptes autorisés (chaque compte de la liste) dans le connecteurID 1004 each time the list of authorized accounts (each account is listed) is downloaded to the connector

Si vous n’avez pas configuré le connecteur pour utiliser le protocole HTTPS, vous recevez un avertissement avec l’ID 2002 indiquant qu’un client utilise une connexion non sécurisée (HTTP).If you have not configured the connector to use HTTPS, expect to see a Warning ID 2002 that a client is using a non-secure (HTTP) connection.

Si le connecteur ne parvient pas à se connecter au service Azure Rights Management, il est probable que l’erreur 3001 s’affiche.If the connector fails to connect to the Azure Rights Management service, you will most likely see Error 3001. Cet échec de connexion peut être dû à un problème DNS ou à l’absence d’une connexion Internet pour un ou plusieurs serveurs exécutant le connecteur RMS.For example, this connection failure might be as a result of a DNS problem or lack of Internet access for one or more servers running the RMS connector.

Conseil

Quand les serveurs du connecteur RMS ne peuvent pas se connecter au service Azure Rights Management, les configurations de proxy web sont souvent à l’origine du problème.When RMS connector servers can't connect to Azure Rights Management service, web proxy configurations are often the reason.

Comme avec toutes les entrées de journal des événements, examinez le message pour plus de détails.As with all event log entries, drill in to the message for more details.

Outre la vérification du journal des événements quand vous déployez le connecteur pour la première fois, recherchez régulièrement les avertissements et les erreurs.In addition to checking the event log when you first deploy the connector, check for warnings and errors on an ongoing basis. Le connecteur peut fonctionner comme prévu initialement, mais les autres administrateurs peuvent modifier les configurations dépendantes.The connector might be working as expected initially, but other administrators might change dependent configurations. Par exemple, un autre administrateur modifie la configuration du serveur proxy web et les serveurs du connecteur RMS ne peuvent plus se connecter à Internet (Erreur 3001) ou il supprime un compte d’ordinateur d’un groupe que vous avez autorisé à utiliser le connecteur (Avertissement 2001).For example, another administrator changes the web proxy server configuration so that RMS connector servers can no longer access the Internet (Error 3001) or removes a computer account from a group that you specified as authorized to use the connector (Warning 2001).

ID du journal des événements et descriptionsEvent log IDs and descriptions

Les sections suivantes indiquent les ID d’événement possibles, des descriptions et des informations supplémentaires.Use the following sections to identify the possible event IDs, descriptions, and any additional information.


Information 1000Information 1000

Le service web du connecteur Microsoft RMS a démarré.The Microsoft RMS connector web service has started.

Cet événement est consigné à la première tentative de démarrage du connecteur RMS.This event is logged when the RMS connector first attempts to start.


Information 1001Information 1001

Le service web du connecteur Microsoft RMS s’est arrêté.The Microsoft RMS connector web service has stopped.

Cet événement est consigné quand le connecteur RMS s’arrête à la suite d’une opération normale.This event is logged when the RMS connector stops as a result of normal operation. Par exemple, IIS est redémarré ou l’ordinateur est arrêté.For example, IIS is restarted or the computer is shut down.


Information 1002Information 1002

Un accès au connecteur Microsoft RMS a été accordé à un serveur autorisé.Access to the Microsoft RMS connector has been allowed for an authorized server.

Cet événement est consigné quand un compte à partir d’un serveur local se connecte au connecteur RMS après avoir été autorisé par l’administrateur Azure RMS dans l’outil d’administration du connecteur RMS.This event is logged when an account from an on-premises server first connects to the RMS connector, after the account has been authorized by the Azure RMS administrator in the RMS connector administrator tool. Le SID, le nom du compte et le nom de l’ordinateur effectuant la connexion figurent dans le message de l’événement.The SID, account name, and the name of the computer making the connection is contained in the event message.


Information 1003Information 1003

La connexion à partir du client répertorié ci-dessous est passée d’une connexion non sécurisée (HTTP) à une connexion sécurisée (HTTPS).The connection from the client listed below has switched from a non-secure (HTTP) connection to a secure (HTTPS) connection.

Cet événement est consigné quand un serveur local change sa connexion au connecteur RMS de HTTP (moins sécurisé) à HTTPS (plus sécurisé).This event is logged when an on-premises server changes its connection to the RMS connector from HTTP (less secure) to HTTPS (more secure). Le SID, le nom du compte et le nom de l’ordinateur effectuant la connexion figurent dans le message de l’événement.The SID, account name, and the name of the computer making the connection is contained in the event message.


Information 1004Information 1004

La liste des comptes autorisés a été mise à jour.The list of authorized accounts has been updated.

Cet événement est consigné quand le connecteur RMS a téléchargé la dernière liste des comptes (comptes existants et toutes les modifications) autorisés à utiliser le connecteur RMS.This event is logged when the RMS connector has downloaded the latest list of accounts (existing accounts and any changes) that are authorized to use the RMS connector. Cette liste est téléchargée toutes les quinze minutes, à condition que le connecteur RMS puisse communiquer avec le service Azure Rights Management.This list is downloaded every 15 minutes, providing the RMS connector can communicate with the Azure Rights Management service.


Avertissement 2000Warning 2000

Le nom principal de l’utilisateur est absent ou non valide dans le contexte HTTP. Vérifiez, dans le site web du connecteur Microsoft RMS, que l’authentification anonyme est désactivée dans IIS et que seule l’authentification Windows est activée.The user principal in the HTTP context is missing or invalid, please verify that the Microsoft RMS connector web site has Anonymous Authentication disabled in IIS and only Windows Authentication is enabled.

Cet événement est consigné quand le connecteur RMS ne peut pas identifier avec exactitude le compte qui essaie de se connecter au connecteur RMS.This event is logged when the RMS connector can't uniquely identify the account trying to connect to the RMS connector. Cet événement peut être dû au fait qu’une authentification anonyme est mal configurée pour IIS ou que le compte provient d’une forêt non approuvée.This might be a result of anonymous authentication incorrectly configured for IIS or the account is from an untrusted forest.


Avertissement 2001Warning 2001

Tentative d’accès non autorisée au connecteur Microsoft RMS.Unauthorized access attempt to Microsoft RMS connector.

Cet événement est consigné quand un compte ne parvient pas à se connecter au connecteur RMS.This event is logged when an account tries to connect to the RMS connector but fails. En règle générale, cet avertissement est dû au fait que le compte qui effectue la connexion ne se trouve pas dans la liste des comptes autorisés téléchargée par le connecteur RMS à partir du service Azure Rights Management.The most typical reason for this warning is because the account that makes the connection is not in the downloaded list of authorized accounts that the RMS connector downloads from the Azure Rights Management service. Par exemple, la liste la plus récente n’est pas encore téléchargée (cet événement se produit toutes les 15 minutes) ou le compte est manquant dans la liste.For example, the latest list is not yet downloaded (this event happens every 15 minutes) or the account is missing from the list.

Il est également possible que vous ayez installé le connecteur RMS sur le serveur qui est configuré pour utiliser le connecteur.Another reason can be if you installed the RMS connector on the same server that is configured to use the connector. Par exemple, vous installez le connecteur RMS sur un serveur qui exécute Microsoft Exchange Server et vous autorisez un compte Exchange à utiliser le connecteur.For example, you install the RMS connector on a server that runs Exchange Server and you authorize an Exchange account to use the connector. Cette configuration n’est pas prise en charge, car le connecteur RMS ne peut pas identifier correctement le compte quand il tente de se connecter.This configuration is not supported because the RMS connector cannot correctly identify the account when it attempts to connect.

Le message d’événement contient des informations sur le compte et l’ordinateur qui essaie de se connecter au connecteur RMS :The event message contains information about the account and computer trying to connect to the RMS connector:

  • Si le compte qui essaie de se connecter au connecteur RMS est un compte valide, utilisez l’outil d’administration du connecteur RMS pour ajouter le compte à la liste des comptes autorisés.If the account trying to connect to the RMS connector is a valid account, use the RMS connector administrator tool to add the account to the list of authorized accounts. Pour plus d’informations sur les comptes qui doivent être autorisés, consultez Ajout d’un serveur à la liste des serveurs autorisés.For more information about which accounts must be authorized, see Add a server to the list of allowed servers.

  • Si le compte qui essaie de se connecter au connecteur RMS provient du même ordinateur que le serveur de connecteur RMS, installez le connecteur sur un serveur distinct.If the account trying to connect to the RMS connector is from the same computer as the RMS connector server, install the connector on a separate server. Pour plus d’informations sur les conditions requises pour le connecteur, consultez Conditions requises pour l’installation du connecteur RMS.For more information about the prerequisites for the connector, see Prerequisites for the RMS connector.


Avertissement 2002Warning 2002

La connexion à partir du client répertorié ci-dessous utilise une connexion non sécurisée (HTTP).The connection from the client listed below is using a non-secure (HTTP) connection.

Cet événement est consigné quand un serveur local se connecte correctement au connecteur RMS, mais que la connexion utilise le protocole HTTP (moins sécurisé) au lieu du protocole HTTPS (plus sécurisé).This event is logged when an on-premises server makes a successful connection to the RMS connector, but the connection uses HTTP (less secure) instead of HTTPS (more secure). Un événement est consigné par compte, plutôt que par connexion.One event is logged per account rather than per connection. Cet événement est redéclenché si le compte revient à HTTP après avoir basculé vers HTTPS.This event is triggered again if the account successfully switched to using HTTPS but reverts to HTTP.

Le message d’événement contient le SID du compte, le nom de compte et le nom de l’ordinateur qui établit la connexion au connecteur RMS.The event message contains the account SID, account name, and the name of the computer that makes the connection to the RMS connector.

Pour plus d’informations sur la configuration du connecteur RMS pour les connexions HTTPS, consultez Configuration du connecteur RMS pour le protocole HTTPS.For information about how to configure the RMS connector for HTTPS connections, see Configuring the RMS connector to use HTTPS.


Avertissement 2003Warning 2003

La liste des autorisations est vide. Le service n’est pas utilisable tant que la liste des utilisateurs et groupes autorisés pour le connecteur n’est pas renseignée.The list of authorizations is empty. The service will not be usable until the list of authorized users and groups for the connector is populated.

Cet événement est consigné quand le connecteur RMS n’a pas de liste de comptes autorisés, ce qui empêche tout serveur local de s’y connecter.This event is logged when the RMS connector does not have a list of authorized accounts, so no on-premises servers can connect to it. Le connecteur RMS télécharge la liste toutes les 15 minutes à partir d’Azure RMS.The RMS connector downloads the list every 15 minutes from Azure RMS.

Pour spécifier les comptes, utilisez l’outil d’administration du connecteur RMS.To specify the accounts, use the RMS connector administrator tool. Pour plus d’informations, consultez Définition des serveurs autorisés à utiliser le connecteur RMS.For more information, see Authorizing servers to use the RMS connector.


Erreur 3000Error 3000

Une exception non prise en charge s’est produite dans le connecteur Microsoft RMS.An unhandled exception occurred in the Microsoft RMS connector.

Cet événement est consigné chaque fois que le connecteur RMS rencontre une erreur inattendue, avec les détails de l’erreur dans le message d’événement.This event is logged each time the RMS connector encounters an unexpected error, with the details of the error in the event message.

La présence du texte Échec de la requête avec une réponse vide dans le message d’événement peut révéler une cause possible.One possible cause can be identified by the text The request failed with an empty response in the event message. Si vous voyez ce texte, un appareil réseau effectue peut-être une inspection SSL sur les paquets entre les serveurs locaux et le serveur de connecteur RMS.If you see this text, it might be because you have a network device that is doing SSL inspection on the packets between the on-premises servers and the RMS connector server. Le service Azure Rights Management ne prend pas en charge cette configuration. Par conséquent, la connexion échoue et ce message du journal des événements s’affiche.The Azure Rights Management service does not support this configuration and it results in a failed communication and this event log message.


Erreur 3001Error 3001

Une exception s’est produite lors du téléchargement des informations d’autorisation.An exception occurred while downloading authorization information.

Cet événement est consigné si le connecteur RMS ne peut pas télécharger la dernière liste des comptes autorisés à utiliser le connecteur RMS.This event is logged if the RMS connector cannot download the latest list of accounts that are authorized to use the RMS connector. Les détails de l’erreur sont indiqués dans le message de l’événement.Details of the error are in the event message.


Compteurs de performancesPerformance counters

Quand vous installez le connecteur RMS, il crée automatiquement les compteurs de performances du connecteur Microsoft Rights Management qui sont utiles pour surveiller et améliorer les performances de l’utilisation du service Azure Rights Management.When you install the RMS connector, it automatically creates Microsoft Rights Management connector performance counters that you might find useful to help you monitor and improve the performance of using the Azure Rights Management service.

Par exemple, vous pouvez subir régulièrement des retards lorsque les documents ou les e-mails sont protégés.For example, you regularly experience delays when documents or emails are protected. Vous pouvez également subir des retards à l’ouverture des documents et des e-mails protégés.Or, you experience delays when protected documents or emails are opened. Dans ce cas, les compteurs de performances peuvent vous aider à déterminer si les retards sont dus au temps de traitement du connecteur, au temps de traitement du service Azure Rights Management ou à un délai réseau.For these cases, the performance counters can help you determine whether the delays are due to processing time on the connector, processing time from the Azure Rights Management service, or network delays.

Pour vous permettre d’identifier l’origine du retard, recherchez les compteurs qui incluent des valeurs moyennes pour le Temps de traitement du connecteur, le Temps de réponse du service et le Temps de réponse du connecteur.To help you identify where the delay is occurring, look for counters that include average counts for Connector Processing Time, Service Response Time, and Connector Response Time. Par exemple : Temps de réponse moyen du connecteur pour les demandes de licences par lot réussies.For example: Licensing Successful Batched Request Average Connector Response Time.

Si vous avez récemment ajouté des comptes de serveur pour utiliser le connecteur, le compteur à consulter est Durée depuis la dernière mise à jour de la stratégie d’autorisation pour vérifier que le connecteur a téléchargé la liste depuis que vous l’avez mise à jour, ou déterminer si vous devez attendre un peu plus longtemps (jusqu’à 15 minutes).If you have recently added new server accounts to use the connector, a good counter to check is Time since last authorization policy update to confirm that the connector has downloaded the list since you updated it, or whether you need to wait a little longer (up to 15 minutes).

JournalisationLogging

La journalisation de l’utilisation vous aide à identifier quand les e-mails et les documents sont protégés et consommés.Usage logging helps you identify when emails and documents are protected and consumed. Lorsque le connecteur RMS est utilisé pour protéger et utiliser du contenu, le champ ID d’utilisateur des journaux contient le nom de principal du service : Aadrm_S-1-7-0.When the RMS connector is used to protect and consume content, the user ID field in the logs contains the service principal name of Aadrm_S-1-7-0. Ce nom est automatiquement créé pour le connecteur RMS.This name is automatically created for the RMS connector.

Pour plus d’informations sur la journalisation de l’utilisation, consultez Journalisation et analyse de l’utilisation du service Azure Rights Management.For more information about usage logging, see Logging and analyzing usage of the Azure Rights Management service.

Si vous avez besoin d’une journalisation plus détaillée à des fins de diagnostic, vous pouvez utiliser Debugview dans Windows Sysinternals.If you need more detailed logging for diagnosis purposes, you can use Debugview from Windows Sysinternals. Activez le traçage pour le connecteur RMS en modifiant le fichier web.config du site par défaut dans IIS :Enable tracing for the RMS connector by modifying the web.config file for the Default site in IIS:

  1. Recherchez le fichier web.config dans %programfiles%\Microsoft Rights Management connector\Web Service.Locate the web.config file from %programfiles%\Microsoft Rights Management connector\Web Service.

  2. Recherchez la ligne suivante :Locate the following line:

     <trace enabled="false" requestLimit="10" pageOutput="false" traceMode="SortByTime" localOnly="true"/>
    
  3. Remplacez cette ligne par le texte suivant :Replace that line with the following text:

     <trace enabled="true" requestLimit="10" pageOutput="false" traceMode="SortByTime" localOnly="true"/>
    
  4. Arrêtez et démarrez les services IIS pour activer le suivi.Stop and start IIS to activate tracing.

  5. Quand vous avez capturé les traces dont vous avez besoin, rétablissez la ligne de l’étape 3, puis arrêtez et redémarrez les services IIS.When you have captured the traces that you need, revert the line in step 3, and stop and start IIS again.

CommentairesComments

Avant de transmettre vos commentaires, nous vous demandons de consulter notre règlement interne.Before commenting, we ask that you review our House rules.