Monitorar o conector do Microsoft Rights Management

  • Artigo

Depois de instalar e configurar o conector RMS, você pode usar os seguintes métodos e informações para ajudá-lo a monitorar o conector e o uso que sua organização faz do serviço Azure Rights Management da Proteção de Informações do Azure.

Entradas do log de eventos do aplicativo

O conector RMS usa o log de eventos do aplicativo para registrar entradas para o conector do Microsoft RMS.

Por exemplo, eventos de informações como:

  • O ID 1000 confirma que o serviço de conector foi iniciado

  • O ID 1002 quando um servidor se conecta com êxito ao conector RMS

  • ID 1004 sempre que a lista de contas autorizadas (cada conta é listada) é baixada para o conector

Se você não configurou o conector para usar HTTPS, espere ver um Aviso de ID 2002 informando que um cliente está usando uma conexão não segura (HTTP).

Se o conector não conseguir se conectar ao serviço Azure Rights Management, você provavelmente verá o Erro 3001. Por exemplo, essa falha de conexão pode ser resultado de um problema de DNS ou falta de acesso à Internet para um ou mais servidores que executam o conector RMS.

Dica

Quando os servidores do conector RMS não podem se conectar ao serviço Azure Rights Management, as configurações de proxy Web geralmente são o motivo.

Como acontece com todas as entradas do log de eventos, analise a mensagem para obter mais detalhes.

Além de verificar o log de eventos quando você implanta o conector pela primeira vez, verifique se há avisos e erros continuamente. O conector pode estar funcionando conforme o esperado inicialmente, mas outros administradores podem alterar as configurações dependentes. Por exemplo, outro administrador altera a configuração do servidor proxy Web para que os servidores do conector RMS não possam mais acessar a Internet (Erro 3001) ou remove uma conta de computador de um grupo que você especificou como autorizado a usar o conector (Aviso 2001).

IDs e descrições do log de eventos

Use as seções a seguir para identificar as possíveis IDs de evento, descrições e quaisquer informações adicionais.

Informação 1000

O serviço Web do conector Microsoft RMS foi iniciado.

Esse evento é registrado quando o conector RMS tenta iniciar pela primeira vez.

Informação 1001

O serviço Web do conector Microsoft RMS parou.

Esse evento é registrado quando o conector RMS para em decorrência da operação normal. Por exemplo, o IIS é reiniciado ou o computador é desligado.

Informação 1002

O acesso ao conector Microsoft RMS foi permitido para um servidor autorizado.

Esse evento é registrado quando uma conta de um servidor local se conecta pela primeira vez ao conector RMS, depois que a conta foi autorizada pelo administrador do Azure RMS na ferramenta de administração do conector RMS. O SID, o nome da conta e o nome do computador que está fazendo a conexão estão contidos na mensagem do evento.

Informação 1003

A conexão do cliente listado abaixo mudou de uma conexão não segura (HTTP) para uma conexão segura (HTTPS).

Esse evento é registrado quando um servidor local altera sua conexão com o conector RMS de HTTP (menos segura) para HTTPS (mais segura). O SID, o nome da conta e o nome do computador que está fazendo a conexão estão contidos na mensagem do evento.

Informação 1004

A lista de contas autorizadas foi atualizada.

Esse evento é registrado quando o conector RMS baixa a lista mais recente de contas (contas existentes e quaisquer alterações) autorizadas a usar o conector RMS. Essa lista é baixada a cada 15 minutos, desde que o conector RMS possa se comunicar com o serviço Azure Rights Management.

Aviso 2000

A entidade de usuário no contexto HTTP está ausente ou inválida, verifique se o site do conector Microsoft RMS tem a Autenticação Anônima desabilitada no IIS e somente a Autenticação do Windows está habilitada.

Esse evento é registrado quando o conector RMS não consegue identificar exclusivamente a conta que está tentando se conectar ao conector RMS. Isso pode ser resultado de autenticação anônima configurada incorretamente para o IIS ou a conta é de uma floresta não confiável.

Aviso 2001

Tentativa de acesso não autorizado ao conector Microsoft RMS.

Esse evento é registrado quando uma conta tenta se conectar ao conector RMS, mas falha. O motivo mais típico para esse aviso é porque a conta que faz a conexão não está na lista de contas autorizadas que o conector RMS baixa do serviço Azure Rights Management. Por exemplo, a lista mais recente ainda não foi baixada (esse evento acontece a cada 15 minutos) ou a conta não consta da lista.

Outro motivo pode ser que você tenha instalado o conector RMS no mesmo servidor configurado para usar o conector. Por exemplo, você instala o conector RMS em um servidor que executa o Exchange Server e autoriza uma conta do Exchange a usar o conector. Essa configuração não tem suporte porque o conector RMS não consegue identificar corretamente a conta quando tenta se conectar.

A mensagem de evento contém informações sobre a conta e o computador que está tentando se conectar ao conector RMS:

  • Se a conta que está tentando se conectar ao conector RMS for uma conta válida, use a ferramenta de administração do conector RMS para adicionar a conta à lista de contas autorizadas. Para obter mais informações sobre quais contas precisam ser autorizadas, consulte Adicionar um servidor à lista de servidores permitidos.

  • Se a conta que está tentando se conectar ao conector RMS for do mesmo computador que o servidor conector RMS, instale o conector em um servidor separado. Para obter mais informações sobre os pré-requisitos do conector, consulte Pré-requisitos para o conector RMS.

Aviso 2002

A conexão do cliente listado abaixo está usando uma conexão não segura (HTTP).

Esse evento é registrado quando um servidor local faz uma conexão bem-sucedida com o conector RMS, mas a conexão usa HTTP (menos segura) em vez de HTTPS (mais segura). Um evento é registrado por conta e não por conexão. Esse evento será acionado novamente se a conta tiver alternado com êxito para o uso de HTTPS, mas reverter para HTTP.

A mensagem de evento contém o SID da conta, o nome da conta e o nome do computador que se conecta ao conector RMS.

Para obter informações sobre como configurar o conector RMS para conexões HTTPS, consulte Configurando o conector RMS para usar HTTPS.

Aviso 2003

A lista de autorizações está vazia. O serviço não poderá ser usado até que a lista de usuários e grupos autorizados para o conector seja preenchida.

Esse evento é registrado quando o conector RMS não tem uma lista de contas autorizadas, portanto, nenhum servidor local pode se conectar a ele. O conector RMS baixa a lista a cada 15 minutos do Azure RMS.

Para especificar as contas, use a ferramenta de administração do conector RMS. Para obter mais informações, confira Autorizando servidores para usar o conector RMS.

Erro 3000

Ocorreu uma exceção sem tratamento no conector Microsoft RMS.

Esse evento é registrado sempre que o conector RMS encontra um erro inesperado, com os detalhes do erro na mensagem de evento.

Uma possível causa pode ser identificada pelo texto A solicitação falhou com uma resposta vazia na mensagem do evento. Se você vir esse texto, pode ser porque você tem um dispositivo de rede que está fazendo inspeção SSL nos pacotes entre os servidores locais e o servidor do conector RMS. O serviço Azure Rights Management não tem suporte a essa configuração, que resulta em uma comunicação com falha e nessa mensagem de log de eventos.

Erro 3001

Ocorreu uma exceção durante o download das informações de autorização.

Esse evento será registrado se o conector RMS não puder baixar a lista mais recente de contas autorizadas a usar o conector RMS. Consulte detalhes do erro na mensagem do evento.

Contadores de desempenho

Quando você instala o conector RMS, ele cria automaticamente contadores de desempenho do conector do Microsoft Rights Management, que podem ser úteis para monitorar e melhorar o desempenho do uso do serviço Azure Rights Management.

Por exemplo, você enfrenta atrasos regularmente quando documentos ou emails estão protegidos. Ou ocorrem atrasos quando documentos ou emails protegidos são abertos. Para esses casos, os contadores de desempenho podem ajudá-lo a determinar se os atrasos são decorrentes do tempo de processamento no conector, do tempo de processamento do serviço Azure Rights Management ou de atrasos na rede.

Para ajudá-lo a identificar onde o atraso está ocorrendo, procure contadores que incluam contagens médias para tempo de processamento do conector, tempo de resposta do serviço e tempo de resposta do conector. Por exemplo: Licenciamento bem-sucedido do tempo médio de resposta do conector de solicitação em lote.

Se você adicionou recentemente novas contas de servidor para usar o conector, um bom contador para verificar é Tempo desde a última atualização da política de autorização para confirmar se o conector baixou a lista desde que você a atualizou ou se você precisa esperar um pouco mais (até 15 minutos).

Registrar em log

O registro de uso ajuda a identificar quando emails e documentos são protegidos e consumidos. Quando o conector RMS é usado para proteger e consumir conteúdo, o campo ID do usuário nos logs contém o nome da entidade de serviço Aadrm_S-1-7-0. Esse nome é criado automaticamente para o conector RMS.

Para obter mais informações sobre o log de uso, consulte Registrar em log e analisar o uso da Proteção de Informações do Azure.

Se você precisar de um log mais detalhado para fins de diagnóstico, use o DebugView do Windows Sysinternals para gerar a saída dos logs para um pipe de depuração.

  1. Inicie o DebugView como administrador e selecione Capture>Capture Global Win32.

  2. Habilite o rastreamento para o conector RMS modificando o arquivo web.config para o site padrão no IIS:

    1. Localize o arquivo web.config na pasta %programfiles%\Microsoft Rights Management connector\Web Service.

    2. Localize a seguinte linha:

      <trace enabled="false" requestLimit="10" pageOutput="false" traceMode="SortByTime" localOnly="true"/>

    3. Substitua essa linha pelo seguinte texto:

      <trace enabled="true" requestLimit="10" pageOutput="false" traceMode="SortByTime" localOnly="true"/>

  3. Pare e inicie o IIS para ativar o rastreamento.

  4. Quando você tiver capturado no DebugView os rastreamentos de que precisa, reverta a linha na etapa 3 e pare e inicie o IIS novamente.