Monitorar o conector do Microsoft Rights Management

  • Artigo

Depois de instalar e configurar o conector RMS, você pode usar os seguintes métodos e informações para ajudá-lo a monitorar o conector e o uso do serviço Azure Rights Management pela sua organização a partir da Proteção de Informações do Azure.

Entradas de registo de eventos da aplicação

O conector RMS usa o log de eventos do aplicativo para registrar entradas para o conector Microsoft RMS.

Por exemplo, eventos de informação como:

  • ID 1000 confirme que o serviço de conector foi iniciado

  • ID 1002 quando um servidor se conecta com êxito ao conector RMS

  • ID 1004 cada vez que a lista de contas autorizadas (cada conta é listada) é baixada para o conector

Se você não configurou o conector para usar HTTPS, espere ver uma ID de Aviso 2002 de que um cliente está usando uma conexão não segura (HTTP).

Se o conector não conseguir se conectar ao serviço Azure Rights Management, você provavelmente verá o Erro 3001. Por exemplo, essa falha de conexão pode ser resultado de um problema de DNS ou falta de acesso à Internet para um ou mais servidores que executam o conector RMS.

Gorjeta

Quando os servidores de conector RMS não conseguem se conectar ao serviço Azure Rights Management, as configurações de proxy da Web geralmente são o motivo.

Como acontece com todas as entradas do log de eventos, analise a mensagem para obter mais detalhes.

Além de verificar o log de eventos quando você implanta o conector pela primeira vez, verifique se há avisos e erros continuamente. O conector pode estar funcionando como esperado inicialmente, mas outros administradores podem alterar as configurações dependentes. Por exemplo, outro administrador altera a configuração do servidor proxy da Web para que os servidores do conector RMS não possam mais acessar a Internet (Erro 3001) ou remove uma conta de computador de um grupo especificado como autorizado a usar o conector (Aviso 2001).

IDs e descrições do log de eventos

Use as seções a seguir para identificar as possíveis IDs de evento, descrições e quaisquer informações adicionais.

Informação 1000

O serviço Web do conector Microsoft RMS foi iniciado.

Esse evento é registrado quando o conector RMS tenta iniciar pela primeira vez.

Informação 1001

O serviço Web do conector Microsoft RMS parou.

Esse evento é registrado quando o conector RMS para como resultado da operação normal. Por exemplo, o IIS é reiniciado ou o computador é desligado.

Informação 1002

O acesso ao conector Microsoft RMS foi permitido para um servidor autorizado.

Esse evento é registrado quando uma conta de um servidor local se conecta pela primeira vez ao conector RMS, depois que a conta foi autorizada pelo administrador do Azure RMS na ferramenta de administrador do conector RMS. O SID, o nome da conta e o nome do computador que faz a conexão estão contidos na mensagem do evento.

Informação 1003

A conexão do cliente listado abaixo mudou de uma conexão não segura (HTTP) para uma conexão segura (HTTPS).

Esse evento é registrado quando um servidor local altera sua conexão com o conector RMS de HTTP (menos seguro) para HTTPS (mais seguro). O SID, o nome da conta e o nome do computador que faz a conexão estão contidos na mensagem do evento.

Informação 1004

A lista de contas autorizadas foi atualizada.

Este evento é registado quando o conector RMS tiver transferido a lista mais recente de contas (contas existentes e quaisquer alterações) autorizadas a utilizar o conector RMS. Essa lista é baixada a cada 15 minutos, desde que o conector RMS possa se comunicar com o serviço Azure Rights Management.

Aviso 2000

A entidade de utilizador no contexto HTTP está em falta ou é inválida, verifique se o Web site do conector Microsoft RMS tem a Autenticação Anónima desativada no IIS e apenas a Autenticação do Windows está ativada.

Este evento é registado quando o conector RMS não consegue identificar exclusivamente a conta que está a tentar ligar ao conector RMS. Isso pode ser resultado de autenticação anônima configurada incorretamente para o IIS ou a conta é de uma floresta não confiável.

Advertência 2001

Tentativa de acesso não autorizado ao conector Microsoft RMS.

Esse evento é registrado quando uma conta tenta se conectar ao conector RMS, mas falha. O motivo mais comum para esse aviso é porque a conta que faz a conexão não está na lista baixada de contas autorizadas que o conector RMS baixa do serviço Azure Rights Management. Por exemplo, a lista mais recente ainda não foi baixada (esse evento acontece a cada 15 minutos) ou a conta está ausente da lista.

Outra razão pode ser se você instalou o conector RMS no mesmo servidor que está configurado para usar o conector. Por exemplo, você instala o conector RMS em um servidor que executa o Exchange Server e autoriza uma conta do Exchange a usar o conector. Esta configuração não é suportada porque o conector RMS não consegue identificar corretamente a conta quando tenta estabelecer ligação.

A mensagem de evento contém informações sobre a conta e o computador que estão a tentar ligar ao conector RMS:

  • Se a conta que está a tentar ligar ao conector RMS for uma conta válida, utilize a ferramenta de administrador do conector RMS para adicionar a conta à lista de contas autorizadas. Para obter mais informações sobre quais contas devem ser autorizadas, consulte Adicionar um servidor à lista de servidores permitidos.

  • Se a conta que está a tentar ligar ao conector RMS for do mesmo computador que o servidor do conector RMS, instale o conector num servidor separado. Para obter mais informações sobre os pré-requisitos para o conector, consulte Pré-requisitos para o conector RMS.

Advertência 2002

A conexão do cliente listado abaixo está usando uma conexão não segura (HTTP).

Esse evento é registrado quando um servidor local faz uma conexão bem-sucedida com o conector RMS, mas a conexão usa HTTP (menos seguro) em vez de HTTPS (mais seguro). Um evento é registrado por conta e não por conexão. Esse evento é acionado novamente se a conta mudou com êxito para usar HTTPS, mas reverte para HTTP.

A mensagem de evento contém o SID da conta, o nome da conta e o nome do computador que estabelece a ligação ao conector RMS.

Para obter informações sobre como configurar o conector RMS para conexões HTTPS, consulte Configurando o conector RMS para usar HTTPS.

Advertência 2003

A lista de autorizações está vazia. O serviço não será utilizável até que a lista de usuários e grupos autorizados para o conector seja preenchida.

Esse evento é registrado quando o conector RMS não tem uma lista de contas autorizadas, portanto, nenhum servidor local pode se conectar a ele. O conector RMS baixa a lista a cada 15 minutos do Azure RMS.

Para especificar as contas, use a ferramenta de administrador do conector RMS. Para obter mais informações, consulte Autorizando servidores a usar o conector RMS.

Erro 3000

Ocorreu uma exceção sem tratamento no conector do Microsoft RMS.

Este evento é registado sempre que o conector RMS encontra um erro inesperado, com os detalhes do erro na mensagem de evento.

Uma possível causa pode ser identificada pelo texto : a solicitação falhou com uma resposta vazia na mensagem do evento. Se você vir este texto, pode ser porque você tem um dispositivo de rede que está fazendo inspeção SSL nos pacotes entre os servidores locais e o servidor conector RMS. O serviço Azure Rights Management não dá suporte a essa configuração e resulta em uma comunicação com falha e nessa mensagem de log de eventos.

Erro 3001

Ocorreu uma exceção durante o download das informações de autorização.

Este evento é registado se o conector RMS não conseguir transferir a lista mais recente de contas autorizadas a utilizar o conector RMS. Os detalhes do erro estão na mensagem do evento.

Contadores de desempenho

Quando você instala o conector RMS, ele cria automaticamente contadores de desempenho do conector do Microsoft Rights Management que você pode achar úteis para ajudá-lo a monitorar e melhorar o desempenho do uso do serviço Azure Rights Management.

Por exemplo, você regularmente enfrenta atrasos quando documentos ou e-mails são protegidos. Ou você enfrenta atrasos quando documentos ou e-mails protegidos são abertos. Para esses casos, os contadores de desempenho podem ajudá-lo a determinar se os atrasos são devidos ao tempo de processamento no conector, ao tempo de processamento do serviço Azure Rights Management ou a atrasos de rede.

Para ajudá-lo a identificar onde o atraso está ocorrendo, procure contadores que incluam contagens médias para Tempo de Processamento do Conector, Tempo de Resposta do Serviço e Tempo de Resposta do Conector. Por exemplo: Licenciamento de solicitação em lote bem-sucedida Tempo médio de resposta do conector.

Se você adicionou recentemente novas contas de servidor para usar o conector, um bom contador para verificar é Tempo desde a última atualização da política de autorização para confirmar se o conector baixou a lista desde que você a atualizou, ou se você precisa esperar um pouco mais (até 15 minutos).

Registo

O registo de utilização ajuda-o a identificar quando os e-mails e documentos são protegidos e consumidos. Quando o conector RMS é usado para proteger e consumir conteúdo, o campo ID do usuário nos logs contém o nome da entidade de serviço Aadrm_S-1-7-0. Este nome é criado automaticamente para o conector RMS.

Para obter mais informações sobre o log de uso, consulte Registrando e analisando o uso de proteção da Proteção de Informações do Azure.

Se você precisar de um log mais detalhado para fins de diagnóstico, use DebugView do Windows Sysinternals para enviar os logs para um pipe de depuração.

  1. Inicie o DebugView como administrador e selecione Capture Capture>Global Win32.

  2. Habilite o rastreamento para o conector RMS modificando o arquivo web.config para o site padrão no IIS:

    1. Localize o arquivo web.config na pasta %programfiles%\Microsoft Rights Management connector\Web Service .

    2. Localize a seguinte linha:

      <trace enabled="false" requestLimit="10" pageOutput="false" traceMode="SortByTime" localOnly="true"/>

    3. Substitua essa linha pelo seguinte texto:

      <trace enabled="true" requestLimit="10" pageOutput="false" traceMode="SortByTime" localOnly="true"/>

  3. Pare e inicie o IIS para ativar o rastreamento.

  4. Quando você tiver capturado os rastreamentos em DebugView que você precisa, reverta a linha na etapa 3 e pare e inicie o IIS novamente.