Мониторинг соединителя Microsoft Rights Management

*Область применения: Azure Information Protection, Windows Server 2016, Windows Server 2012 R2, Windows Server 2012 *

К чему относится: клиент унифицированных меток и классический клиент AIP

Примечание

Для унификации и улучшения работы пользователей поддержка классического клиента Azure Information Protection и клиента управления метками на портале Azure прекращается с 31 марта 2021 г. Хотя классический клиент продолжит работать, дальнейшая поддержка предоставляться не будет и версии для обслуживания классического клиента больше не будут выпускаться.

Рекомендуется перейти на унифицированные метки и выполнить обновление до клиента унифицированных меток. Дополнительные сведения см. в недавней записи блога о прекращении использования.

После установки и настройки соединителя RMS можно использовать следующие инструкции, чтобы отслеживать использование соединителя и службы Azure Rights Management в вашей организации из Azure Information Protection.

Записи в журнале событий "Приложение"

Соединитель RMS использует журнал событий "Приложение" для фиксирования записей для соединителя Microsoft RMS.

Например, такие информационные события:

  • событие с кодом 1000 подтверждает, что служба соединителя запущена;

  • событие с кодом 1002 указывает на то, что сервер успешно подключился к соединителю RMS;

  • событие с кодом 1004 создается каждый раз, когда список авторизованных учетных записей (указана каждая учетная запись) скачивается в соединитель.

Если вы не настроили соединитель на использование протокола HTTPS, скорее всего, будет присутствовать событие с кодом предупреждения 2002 о том, что клиент использует незащищенное подключение (HTTP).

Если соединитель не сможет подключиться к службе Azure Rights Management, вы, скорее всего, увидите ошибку с кодом 3001. Например, эта ошибка подключения может быть следствием проблемы с DNS или отсутствием доступа к Интернету для одного или нескольких серверов, на которых работает соединитель RMS.

Совет

Если серверам с соединителем RMS не удается подключиться к службе Azure Rights Management, зачастую причиной являются конфигурации веб-прокси.

Как и при работе с любой записью журнала событий, изучите сообщение для получения дополнительных сведений.

Журнал событий следует изучить не только при первоначальном развертывании соединителя; его следует проверять на наличие предупреждений и ошибок регулярно. Сначала соединитель может работать правильно, но впоследствии другие администраторы могут изменить зависимые конфигурации. Например, другой администратор изменяет конфигурацию сервера веб-прокси, чтобы серверы соединителей RMS больше не могли получить доступ к Интернету (ошибка 3001) или удаляет учетную запись компьютера из группы, которой вы указали как разрешенные для использования соединителя (предупреждение 2001).

Идентификаторы и описания в журнале событий

Используйте следующие разделы для определения возможных идентификаторов событий, описаний и любых дополнительных сведений.


Информация 1000

Веб-служба соединителя Microsoft RMS запущена.

Это событие регистрируется при первой попытке запуска соединителя RMS.


Информация 1001

Веб-служба соединителя Microsoft RMS остановлена.

Это событие регистрируется при остановке соединителя RMS в результате нормальной работы. Например, служба IIS перезапущена или завершена работа компьютера.


Информация 1002

Авторизованному серверу разрешен доступ к соединителю Microsoft RMS.

Это событие регистрируется при первом подключении учетной записи с локального сервера к соединителю RMS после авторизации учетной записи администратором Azure RMS в средстве администрирования соединителя RMS. Идентификатор безопасности, имя учетной записи и имя компьютера, устанавливающего подключение, содержатся в сообщении о событии.


Информация 1003

Подключение от указанного ниже клиента изменилось с незащищенного подключения (HTTP) на защищенное подключение (HTTPS).

Это событие регистрируется, если локальный сервер изменяет подключение к соединителю RMS с HTTP (менее безопасный протокол) на HTTPS (более безопасный протокол). Идентификатор безопасности, имя учетной записи и имя компьютера, устанавливающего подключение, содержатся в сообщении о событии.


Информация 1004

Обновлен список авторизованных учетных записей.

Это событие регистрируется после того, как соединитель RMS скачал самый последний список учетных записей (существующих учетных записей и изменений), которым разрешено использовать соединитель RMS. Этот список скачивается каждые 15 минут, только если соединитель RMS может обмениваться данными со службой Azure Rights Management.


Предупреждение 2000

Субъект-пользователь в контексте HTTP отсутствует или является недопустимым. Убедитесь, что на веб-сайте соединителя Microsoft RMS отключена анонимная проверка подлинности в IIS и включена только проверка подлинности Windows.

Это событие регистрируется, когда соединитель RMS не может однозначно идентифицировать учетную запись, которая пытается подключиться к соединителю RMS. Это может быть результатом неправильно настроенной анонимной проверки подлинности для IIS либо учетная запись получена из леса без доверия.


Предупреждение 2001

Попытка несанкционированного доступа к соединителю Microsoft RMS.

Это событие регистрируется, когда учетная запись безуспешно пытается подключиться к соединителю RMS. Чаще всего это предупреждение появляется, если учетная запись, которая используется для подключения, отсутствует в списке авторизованных учетных записей, скачиваемых соединителем RMS из службы Azure Rights Management. Например, обновленный список еще не скачан (это происходит каждые 15 минут) или учетная запись отсутствует в списке.

Другой причиной может быть наличие соединителя RMS на том же сервере, который настроен для использования соединителя. Например, соединитель RMS установлен на сервере, где запущен Exchange Server, и учетная запись Exchange авторизована для использования соединителя. Эта конфигурация не поддерживается, так как при попытке подключения соединитель RMS не может правильно идентифицировать учетную запись.

Сообщение об ошибке содержит сведения об учетной записи и компьютере, которые пытаются подключиться к соединителю RMS:

  • Если учетная запись, пытающаяся подключиться к соединителю RMS, является допустимой, используйте средство администрирования соединителя RMS для добавления учетной записи в список авторизованных. Дополнительные сведения о том, какие учетные записи должны быть авторизованы, см. в разделе Добавление сервера в список разрешенных серверов.

  • Если учетная запись, пытающаяся подключиться к соединителю RMS, находится на том же компьютере, что и сервер соединителя RMS, установите соединитель на отдельном сервере. Дополнительные сведения об условиях, необходимых для соединителя, см. в статье Необходимые условия для соединителя Rights Management Service.


Предупреждение 2002

Подключение от указанного ниже клиента использует незащищенное подключение (HTTP).

Это событие регистрируется, когда локальный сервер успешно подключается к соединителю RMS, но соединение вместо HTTPS (более безопасный протокол) использует HTTP (менее безопасный протокол). Одно событие регистрируется для каждой учетной записи, а не для каждого подключения. Это событие запускается снова, если учетная запись успешно переключается на использование HTTPS, но возвращается к HTTP.

Сообщение о событии содержит ИД безопасности учетной записи, имя учетной записи и имя компьютера, который устанавливает подключение к соединителю RMS.

Сведения о настройке соединителя RMS для подключений по протоколу HTTPS см. в разделе Настройка соединителя Rights Management Service для использования протокола HTTPS.


Предупреждение 2003

Список авторизаций пуст. Служба не будет доступна для использования до заполнения списка полномочных пользователей и групп для соединителя.

Это событие регистрируется, если у соединителя RMS отсутствует список авторизованных учетных записей, и поэтому к нему не могут подключиться локальные серверы. Соединитель RMS скачивает список из Azure RMS каждые 15 минут.

Чтобы указать учетные записи, используйте средство администрирования соединителя RMS. Дополнительные сведения см. в разделе Авторизация серверов для применения соединителя Rights Management Service.


Ошибка 3000

В соединителе Microsoft RMS возникло необработанное исключение.

Это событие регистрируется каждый раз при возникновении неожиданной ошибки в соединителе RMS с описанием ошибки в сообщении о событии.

Одну из возможных причин можно выявить в тексте события: Сбой запроса с пустым ответом. Если вы видите это сообщение, возможно, ваше сетевое устройство выполняет проверку SSL в пакетах между локальными серверами и сервером соединителя RMS. Служба Azure Rights Management не поддерживает эту конфигурацию, что приводит к сбою в обмене данными и появлению этого сообщения в журнале событий.


Ошибка 3001

Произошло исключение при скачивании данных авторизации.

Это событие регистрируется, если соединителю RMS не удается скачать последний список учетных записей, которым разрешено использовать соединитель RMS. Сведения об ошибке можно найти в сообщении о событии.


Счетчики производительности

Устанавливаемый соединитель RMS автоматически создает счетчики производительности для соединителя Microsoft Rights Management. Эти счетчики помогают отслеживать и повышать производительность при использовании службы Azure Rights Management.

Например, у вас регулярно возникают задержки, когда вы включаете защиту для документов и сообщений электронной почты или открываете защищенные материалы. В таких ситуациях счетчики производительности помогут вам определить причину задержки. Это могут быть задержки из-за обработки в соединителе или службе Azure Rights Management либо задержки в сети.

Чтобы быстрее установить причину задержки, найдите счетчики, которые включают в себя среднее число для времени обработки данных соединителем, времени ответа службы и времени ответа соединителя. Например: Licensing Successful Batched Request Average Connector Response Time (Среднее время ответа соединителя на успешные пакетные запросы о лицензировании).

Если вы недавно добавили новые учетные записи серверов, которые должны использовать соединитель, рекомендуется проверить счетчик Time since last authorization policy update (Время с момента последнего обновления политики авторизации), чтобы выяснить, скачал ли соединитель список после его обновления или необходимо подождать (до 15 минут).

Ведение журнала

Фиксирование использования помогает определить, когда электронные письма и документы защищены и использованы. Если соединитель RMS используется для защиты и использования содержимого, в полях идентификатора пользователя в журналах будет указано имя субъекта-службы Aadrm_S-1-7-0. Это имя автоматически создается для соединителя RMS.

Дополнительные сведения о ведении журнала использования см. в разделе Ведение журнала и анализ использования защиты из Azure Information Protection.

Если требуется более подробное ведение журнала в целях диагностики, используйте DebugView из Windows Sysinternals для вывода журналов в канал отладки.

  1. Запустите DebugView от имени администратора, а затем выберите захват захвата > глобальный Win32.

  2. Включите трассировку для соединителя RMS, изменив файл web.config для сайта по умолчанию в службах IIS:

    1. Откройте файл web.config в папке %ProgramFiles%\Microsoft Rights Management коннектор\веб Service .

    2. Найдите следующую строку:

      <trace enabled="false" requestLimit="10" pageOutput="false" traceMode="SortByTime" localOnly="true"/>
      
    3. Замените эту строку следующей:

      <trace enabled="true" requestLimit="10" pageOutput="false" traceMode="SortByTime" localOnly="true"/>
      
  3. Остановите и снова запустите IIS, чтобы включить трассировку.

  4. После записи трассировок в DebugView необходимо вернуть строку в шаге 3, а затем снова запустить службы IIS.