Azure Rights Management コネクタを監視するMonitor the Azure Rights Management connector

適用対象: Azure Information Protection、Windows Server 2016、Windows Server 2012 R2、Windows Server 2012、Windows Server 2008 R2Applies to: Azure Information Protection, Windows Server 2016, Windows Server 2012 R2, Windows Server 2012, Windows Server 2008 R2

RMS コネクタのインストールと構成を行うと、以下の方法と情報を使用することで、コネクタと組織の Azure Rights Management サービスの使用状況を Azure Information Protection から監視できます。After you install and configure the RMS connector, you can use the following methods and information to help you monitor the connector and your organization’s use of the Azure Rights Management service from Azure Information Protection.

アプリケーション イベント ログ エントリApplication event log entries

RMS コネクタは、アプリケーション イベント ログを使用して、Microsoft RMS コネクタのエントリを記録します。The RMS connector uses the Application event log to record entries for the Microsoft RMS connector.

たとえば、次のような情報イベントです。For example, Information events such as:

  • ID 1000、コネクタ サービスが開始されたことを確認ID 1000 confirm that the connector service has started

  • ID 1002、サーバーが RMS コネクタに正常に接続したときID 1002 when a server successfully connects to the RMS connector

  • ID 1004、承認済みアカウントの一覧 (各アカウントの一覧) がコネクタにダウンロードされるときID 1004 each time the list of authorized accounts (each account is listed) is downloaded to the connector

HTTPS を使用するようにコネクタを構成していない場合は、クライアントがセキュリティで保護されていない (HTTP) 接続を使用していることを示す警告 ID 2002 が表示されます。If you have not configured the connector to use HTTPS, expect to see a Warning ID 2002 that a client is using a non-secure (HTTP) connection.

コネクタが Azure Rights Management サービスへの接続に失敗した場合は、通常、エラー 3001 が表示されます。If the connector fails to connect to the Azure Rights Management service, you will most likely see Error 3001. たとえば、この接続エラーは、DNS の問題や、RMS コネクタを実行している1つ以上のサーバーでインターネットにアクセスできないことが原因である可能性があります。For example, this connection failure might be as a result of a DNS problem or lack of internet access for one or more servers running the RMS connector.

ヒント

RMS コネクタ サーバーが Azure Rights Management サービスに接続できない場合、その理由の多くが Web プロキシの構成によるものです。When RMS connector servers can't connect to Azure Rights Management service, web proxy configurations are often the reason.

詳細については、すべてのイベント ログ エントリと同様に、メッセージも詳しく調べてください。As with all event log entries, drill in to the message for more details.

初めてコネクタをデプロイするときは、イベント ログを確認するだけでなく、警告やエラーも継続的に確認してください。In addition to checking the event log when you first deploy the connector, check for warnings and errors on an ongoing basis. 当初はコネクタが期待どおりに動作していても、依存する構成を他の管理者が変更してしまう可能性があります。The connector might be working as expected initially, but other administrators might change dependent configurations. たとえば、別の管理者が web プロキシサーバーの構成を変更して、RMS コネクタサーバーがインターネットにアクセスできないようにする (エラー 3001) か、コネクタを使用する権限が指定されているグループからコンピューターアカウントを削除します (警告 2001).For example, another administrator changes the web proxy server configuration so that RMS connector servers can no longer access the internet (Error 3001) or removes a computer account from a group that you specified as authorized to use the connector (Warning 2001).

イベント ログ ID と説明Event log IDs and descriptions

次のセクションでは、可能性のあるイベント ID、説明、およびその他の情報を特定できます。Use the following sections to identify the possible event IDs, descriptions, and any additional information.


情報 1000Information 1000

Microsoft RMS コネクタの Web サービスが開始しました。The Microsoft RMS connector web service has started.

このイベントは、RMS コネクタが最初に起動しようとしたときに記録されます。This event is logged when the RMS connector first attempts to start.


情報 1001Information 1001

Microsoft RMS コネクタ Web サービスが停止しました。The Microsoft RMS connector web service has stopped.

このイベントは、通常の操作の結果として、RMS コネクタが停止したときに記録されます。This event is logged when the RMS connector stops as a result of normal operation. たとえば、IIS が再起動したか、コンピューターがシャットダウンされた場合などです。For example, IIS is restarted or the computer is shut down.


情報 1002Information 1002

承認されたサーバーのみが Microsoft RMS コネクタにアクセスできます。Access to the Microsoft RMS connector has been allowed for an authorized server.

このイベントは、オンプレミス サーバーのアカウントが RMS コネクタの管理者ツールで Azure RMS 管理者によって承認された後、初めて RMS コネクタに接続されたときに記録されます。This event is logged when an account from an on-premises server first connects to the RMS connector, after the account has been authorized by the Azure RMS administrator in the RMS connector administrator tool. SID、アカウント名、接続を行っているコンピューターの名前がイベント メッセージに含まれます。The SID, account name, and the name of the computer making the connection is contained in the event message.


情報 1003Information 1003

以下に示すクライアントからの接続が、セキュリティで保護されていない (HTTP) 接続から、セキュリティで保護された (HTTPS) 接続に切り替わりました。The connection from the client listed below has switched from a non-secure (HTTP) connection to a secure (HTTPS) connection.

このイベントは、オンプレミス サーバーから RMS コネクタへの接続が HTTP (安全性が低い) から HTTPS (安全性が高い) に変更されたときに記録されます。This event is logged when an on-premises server changes its connection to the RMS connector from HTTP (less secure) to HTTPS (more secure). SID、アカウント名、接続を行っているコンピューターの名前がイベント メッセージに含まれます。The SID, account name, and the name of the computer making the connection is contained in the event message.


情報 1004Information 1004

承認されたアカウントの一覧が更新されました。The list of authorized accounts has been updated.

このイベントは、RMS コネクタの使用が承認されているアカウントの最新の一覧 (既存のアカウントとすべての変更) を RMS コネクタがダウンロードしたときに記録されます。This event is logged when the RMS connector has downloaded the latest list of accounts (existing accounts and any changes) that are authorized to use the RMS connector. RMS コネクタが Azure Rights Management サービスと通信できる場合、この一覧は 15 分ごとにダウンロードされます。This list is downloaded every 15 minutes, providing the RMS connector can communicate with the Azure Rights Management service.


警告 2000Warning 2000

HTTP コンテキストにユーザー プリンシパルがないか、無効です。Microsoft RMS コネクタ Web サイトで、IIS の匿名認証が無効にされ、Windows 認証だけが有効にされていることを確認してください。The user principal in the HTTP context is missing or invalid, please verify that the Microsoft RMS connector web site has Anonymous Authentication disabled in IIS and only Windows Authentication is enabled.

このイベントは、RMS コネクタに接続しようとしているアカウントを RMS コネクタが一意に識別できないときに記録されます。This event is logged when the RMS connector can't uniquely identify the account trying to connect to the RMS connector. これは、IIS の匿名認証が正しく構成されていないか、アカウントが信頼されていないフォレストのものであることが原因である可能性があります。This might be a result of anonymous authentication incorrectly configured for IIS or the account is from an untrusted forest.


警告 2001Warning 2001

Microsoft RMS コネクタへの承認されていないアクセス試行です。Unauthorized access attempt to Microsoft RMS connector.

このイベントは、アカウントが RMS コネクタに接続しようとして失敗したときに記録されます。This event is logged when an account tries to connect to the RMS connector but fails. この警告の最も一般的な理由は、RMS コネクタが Azure Rights Management サービスからダウンロードを行う、承認済みアカウントの一覧に、接続を行うアカウントが含まれていないことです。The most typical reason for this warning is because the account that makes the connection is not in the downloaded list of authorized accounts that the RMS connector downloads from the Azure Rights Management service. たとえば、最新の一覧がまだダウンロードされていない (このイベントは 15 分ごとに発生します) か、アカウントが一覧に含まれていません。For example, the latest list is not yet downloaded (this event happens every 15 minutes) or the account is missing from the list.

RMS コネクタを使用するように構成されているサーバーと同じサーバーにそのコネクタをインストールしたことが原因である場合もあります。Another reason can be if you installed the RMS connector on the same server that is configured to use the connector. たとえば、Exchange Server を実行するサーバーに RMS コネクタをインストールして、Exchange アカウントにそのコネクタを使用することを承認したとします。For example, you install the RMS connector on a server that runs Exchange Server and you authorize an Exchange account to use the connector. しかし、この構成はサポートされません。RMS コネクタが接続を試みてもアカウントを正しく識別できないためです。This configuration is not supported because the RMS connector cannot correctly identify the account when it attempts to connect.

イベント メッセージには、RMS コネクタに接続しようとしているアカウントとコンピューターに関する情報が含まれています。The event message contains information about the account and computer trying to connect to the RMS connector:

  • RMS コネクタに接続しようとしているアカウントが有効なアカウントである場合は、RMS コネクタ管理者ツールを使用して、承認されたアカウントの一覧にそのアカウントを追加します。If the account trying to connect to the RMS connector is a valid account, use the RMS connector administrator tool to add the account to the list of authorized accounts. 承認が必要なアカウントの詳細については、「許可されたサーバーの一覧へのサーバーの追加」を参照してください。For more information about which accounts must be authorized, see Add a server to the list of allowed servers.

  • RMS コネクタに接続しようとしているアカウントが RMS コネクタのサーバーと同じコンピューターのものである場合は、コネクタを別のサーバーにインストールします。If the account trying to connect to the RMS connector is from the same computer as the RMS connector server, install the connector on a separate server. コネクタの前提条件の詳細については、「RMS コネクタの前提条件」を参照してください。For more information about the prerequisites for the connector, see Prerequisites for the RMS connector.


警告 2002Warning 2002

次の一覧に示すクライアントからの接続で、セキュリティで保護されていない (HTTP) 接続が使用されています。The connection from the client listed below is using a non-secure (HTTP) connection.

このイベントは、オンプレミスのサーバーが RMS コネクタに接続できるものの、その接続で HTTPS (安全性が高い) ではなく HTTP (安全性が低い) を使用しているときに記録されます。This event is logged when an on-premises server makes a successful connection to the RMS connector, but the connection uses HTTP (less secure) instead of HTTPS (more secure). 接続ごとではなく、アカウントごとに 1 つのイベントが記録されます。One event is logged per account rather than per connection. このイベントは、アカウントが HTTPS を使用するように切り替えられたものの、HTTP に戻った場合、再度トリガーされます。This event is triggered again if the account successfully switched to using HTTPS but reverts to HTTP.

イベント メッセージには、アカウントの SID、アカウント名、RMS コネクタへの接続を行うコンピューターの名前が含まれています。The event message contains the account SID, account name, and the name of the computer that makes the connection to the RMS connector.

HTTPS 接続用の RMS コネクタを構成する方法については、「HTTPS を使用するための RMS コネクタの構成」を参照してください。For information about how to configure the RMS connector for HTTPS connections, see Configuring the RMS connector to use HTTPS.


警告 2003Warning 2003

承認の一覧が空です。このサービスは、コネクタに対して承認されたユーザーとグループの一覧が作成されるまで使用できません。The list of authorizations is empty. The service will not be usable until the list of authorized users and groups for the connector is populated.

このイベントは、承認されたアカウントの一覧が RMS コネクタに含まれていないため、オンプレミスのサーバーが接続できないときに記録されます。This event is logged when the RMS connector does not have a list of authorized accounts, so no on-premises servers can connect to it. RMS コネクタは、Azure RMS から一覧を 15 分ごとにダウンロードします。The RMS connector downloads the list every 15 minutes from Azure RMS.

アカウントを指定するには、RMS コネクタ管理者ツールを使用します。To specify the accounts, use the RMS connector administrator tool. 詳細については、「RMS コネクタを使用するサーバーの承認」を参照してください。For more information, see Authorizing servers to use the RMS connector.


エラー 3000Error 3000

Microsoft RMS コネクタで未処理の例外が発生しました。An unhandled exception occurred in the Microsoft RMS connector.

このイベントは、RMS コネクタで予期しないエラーが発生するたびに記録されます。エラーの詳細はイベント メッセージに含まれています。This event is logged each time the RMS connector encounters an unexpected error, with the details of the error in the event message.

イベント メッセージ内に 「空の応答によってリクエストが失敗しました」 というテキストがあるかどうかを確認することで、考えられる原因の 1 つを特定できます。One possible cause can be identified by the text The request failed with an empty response in the event message. このテキストが見つかった場合、オン プレミス サーバーと RMS コネクタ サーバー間に、パケットの SSL 検査を実行しているネットワーク デバイスが存在する可能性あります。If you see this text, it might be because you have a network device that is doing SSL inspection on the packets between the on-premises servers and the RMS connector server. Azure Rights Management サービスはこの構成をサポートしていないため、通信は失敗し、このイベント ログ メッセージが出力されます。The Azure Rights Management service does not support this configuration and it results in a failed communication and this event log message.


エラー 3001Error 3001

認証情報のダウンロード中に例外が発生しました。An exception occurred while downloading authorization information.

このイベントは、RMS コネクタの使用が承認されているアカウントの最新の一覧を、RMS コネクタがダウンロードできない場合に記録されます。This event is logged if the RMS connector cannot download the latest list of accounts that are authorized to use the RMS connector. エラーの詳細はイベント メッセージに含まれています。Details of the error are in the event message.


パフォーマンス カウンターPerformance counters

RMS コネクタをインストールすると、Microsoft Rights Management コネクタのパフォーマンス カウンターが自動的に作成されます。これによって、Azure Rights Management サービスの使用に関するパフォーマンスを監視や改善することができ、役に立ちます。When you install the RMS connector, it automatically creates Microsoft Rights Management connector performance counters that you might find useful to help you monitor and improve the performance of using the Azure Rights Management service.

たとえば、ドキュメントまたは電子メールが保護されている場合は、定期的に遅延が発生します。For example, you regularly experience delays when documents or emails are protected. あるいは、保護されているドキュメントまたは電子メールが開かれるとき、遅延が発生します。Or, you experience delays when protected documents or emails are opened. このような場合は、パフォーマンス カウンターによって、遅延の原因がコネクタの処理時間や Azure Rights Management サービスの処理時間なのか、それともネットワークの遅延なのかを判断できます。For these cases, the performance counters can help you determine whether the delays are due to processing time on the connector, processing time from the Azure Rights Management service, or network delays.

遅延が発生している場所を特定するには、コネクタの処理時間サービス応答時間、およびコネクタ応答時間の平均カウントが含まれているカウンターを調べます。To help you identify where the delay is occurring, look for counters that include average counts for Connector Processing Time, Service Response Time, and Connector Response Time. 例: Licensing Successful Batched Request Average Connector Response TimeFor example: Licensing Successful Batched Request Average Connector Response Time.

コネクタを使用する新しいサーバー アカウントを最近追加した場合、確認するとよいカウンターは、Time since last authorization policy update です。リストの更新後にコネクタがリストをダウンロードしたことや、もう少し待機する必要があるかどうか (最大 15 分) を確認できます。If you have recently added new server accounts to use the connector, a good counter to check is Time since last authorization policy update to confirm that the connector has downloaded the list since you updated it, or whether you need to wait a little longer (up to 15 minutes).

ログ記録Logging

使用状況ログ記録を使用すると、電子メールやドキュメントが保護および使用された日時を特定できます。Usage logging helps you identify when emails and documents are protected and consumed. RMS コネクタを使用してコンテンツを保護および使用する際、ログ内のユーザー ID フィールドには Aadrm_S-1-7-0 のサービス プリンシパル名が含まれます。When the RMS connector is used to protect and consume content, the user ID field in the logs contains the service principal name of Aadrm_S-1-7-0. この名前は、RMS コネクタ用に自動的に作成されます。This name is automatically created for the RMS connector.

使用状況ログの詳細については、「 Azure Information Protection からの保護の使用状況のログと分析」を参照してください。For more information about usage logging, see Logging and analyzing the protection usage from Azure Information Protection.

診断のためにより詳細なログを記録する必要がある場合は、Windows Sysinternals の Debugview を使用できます。If you need more detailed logging for diagnosis purposes, you can use Debugview from Windows Sysinternals. IIS の既定サイトの web.config ファイルを変更することにより、RMS コネクタのトレースを有効にします。Enable tracing for the RMS connector by modifying the web.config file for the Default site in IIS:

  1. %programfiles%\Microsoft Rights Management connector\Web Service で web.config ファイルを探します。Locate the web.config file from %programfiles%\Microsoft Rights Management connector\Web Service.

  2. 次の行を探します。Locate the following line:

     <trace enabled="false" requestLimit="10" pageOutput="false" traceMode="SortByTime" localOnly="true"/>
    
  3. その行を次のテキストに置き換えます。Replace that line with the following text:

     <trace enabled="true" requestLimit="10" pageOutput="false" traceMode="SortByTime" localOnly="true"/>
    
  4. IIS を停止してから起動し、トレースをアクティブ化します。Stop and start IIS to activate tracing.

  5. 必要なトレースをキャプチャしたら、手順 3. の行を元に戻し、IIS を停止してから再起動します。When you have captured the traces that you need, revert the line in step 3, and stop and start IIS again.