监视 Microsoft Rights Management 连接器


信息 1000

Microsoft RMS 连接器 Web 服务已启动。

当 RMS 连接器首次尝试启动时,将记录此事件。


信息 1001

Microsoft RMS 连接器 Web 服务已停止。

当 RMS 连接器因正常操作而停止时,将记录此事件。 例如,IIS 重新启动或计算机关闭。


信息 1002

已授权服务器允许访问 Microsoft RMS 连接器。

当本地服务器中的帐户在 RMS 连接器管理员工具中经 Azure RMS 管理员授权后首次连接到 RMS 连接器时,将记录此事件。 建立连接的计算机的 SID、帐户名称和名称包含在事件消息中。


信息 1003

下面列出的客户端的连接已从不安全 HTTP (HTTP) 切换到安全 (HTTPS) 连接。

当本地服务器将连接从 HTTP 更改到 RMS 连接器的连接时 (会记录此事件) HTTPS (更安全) 。 建立连接的计算机的 SID、帐户名称和名称包含在事件消息中。


信息 1004

已更新授权帐户列表。

当 RMS 连接器下载现有帐户的最新帐户列表 (以及有权使用 RMS 连接器) 更改时,将记录此事件。 如果 RMS 连接器可以与 Azure Rights Management 服务通信,则此列表每 15 分钟下载一次。


警告 2000

HTTP 上下文中的用户主体缺失或无效,请验证 Microsoft RMS 连接器网站在 IIS 中是否禁用了匿名身份验证,并且仅Windows身份验证。

当 RMS 连接器无法唯一标识尝试连接到 RMS 连接器的帐户时,将记录此事件。 这可能是由于为 IIS 不正确地配置了匿名身份验证,或者帐户来自不受信任的林。


警告 2001

对 Microsoft RMS 连接器进行未经授权的访问尝试。

当帐户尝试连接到 RMS 连接器但失败时,将记录此事件。 出现此警告的最典型原因是,建立连接的帐户不在 RMS 连接器从 Azure Rights Management 服务下载的授权帐户的下载列表中。 例如,由于此事件每隔 15 分钟 (下载最新列表,或者) 列表中缺少帐户。

另一个原因可能是:在配置为使用连接器的同一台服务器上安装 RMS 连接器。 例如,在运行 Exchange Server 的服务器上安装 RMS 连接器,Exchange帐户使用该连接器。 不支持此配置,因为 RMS 连接器在尝试连接时无法正确标识帐户。

事件消息包含有关尝试连接到 RMS 连接器的帐户和计算机的信息:

  • 如果尝试连接到 RMS 连接器的帐户是有效的帐户,请使用 RMS 连接器管理员工具将该帐户添加到已授权帐户列表。 有关必须授权哪些帐户的信息,请参阅 将服务器添加到允许的服务器列表

  • 如果尝试连接到 RMS 连接器的帐户与 RMS 连接器服务器位于同一计算机上,请将连接器安装在单独的服务器上。 有关连接器先决条件的信息,请参阅 RMS 连接器的先决条件


警告 2002

下面列出的客户端连接使用非安全的 HTTP (连接) 连接。

当本地服务器成功连接到 RMS 连接器,但连接使用 HTTP (安全性较低) 而不是 HTTPS (更安全时,将记录此事件) 。 每个帐户(而不是每个连接)记录一个事件。 如果帐户已成功切换到使用 HTTPS,但还原为 HTTP,则再次触发此事件。

事件消息包含帐户 SID、帐户名称和与 RMS 连接器建立连接的计算机的名称。

若要了解如何为 HTTPS 连接配置 RMS 连接器,请参阅将 RMS 连接器配置为使用 HTTPS。


警告 2003

授权列表为空。 在填充连接器的授权用户和组列表之前,服务将不可使用。

当 RMS 连接器没有授权帐户列表时,将记录此事件,因此没有本地服务器可以连接到它。 RMS 连接器每隔 15 分钟从 Azure RMS 下载一次列表。

若要指定帐户,请使用 RMS 连接器管理员工具。 有关详细信息,请参阅 授权服务器使用 RMS 连接器


错误 3000

Microsoft RMS 连接器中发生未经处理异常。

每次 RMS 连接器遇到意外错误时,将记录此事件,并记录事件消息中错误的详细信息。

一个可能的原因可以通过事件消息中的文本"请求 失败, 响应为空"来识别。 如果看到此文本,原因可能是网络设备正在对本地服务器与 RMS 连接器服务器之间的数据包执行 SSL 检查。 Azure Rights Management 服务不支持此配置,导致通信失败并出现此事件日志消息。


错误 3001

下载授权信息时发生异常。

如果 RMS 连接器无法下载有权使用 RMS 连接器的帐户的最新列表,则记录此事件。 错误的详细信息在事件消息中。


性能计数器

安装 RMS 连接器时,它会自动创建 Microsoft Rights Management 连接器性能计数器,这些计数器可能很有用,可帮助你监视和提高使用 Azure Rights Management 服务的性能。

例如,文档或电子邮件受到保护时,会经常遇到延迟。 或者,打开受保护的文档或电子邮件时遇到延迟。 在这些情况下,性能计数器可帮助确定延迟是由于连接器上的处理时间、来自 Azure Rights Management 服务的处理时间还是网络延迟。

为了帮助确定延迟发生的位置,请查找包含连接器处理时间、服务响应时间和连接器响应时间的平均计数的计数器 例如: 授权成功的批处理请求平均连接器响应时间

如果最近添加了新服务器帐户以使用连接器,则检查的一个有效计数器是自上次授权策略更新以来的时间,以确认连接器自更新列表以来已下载列表,或者是否需要等待较长的 (时间(最多 15 分钟) )。

日志记录

使用情况日志记录可帮助确定电子邮件和文档何时受到保护和使用。 使用 RMS 连接器保护和使用内容时,日志中的用户 ID 字段包含 Aadrm_S-1-7-0 的服务主体名称。 系统会自动为 RMS 连接器创建此名称。

有关使用情况日志记录详细信息,请参阅日志记录和分析 Azure 信息保护 的保护使用情况

如果需要更详细的日志记录进行诊断,请使用 Sysinternals Windows DebugView将日志输出到调试管道。

  1. 以管理员角色启动 DebugView,然后选择"捕获捕获全局 Win32"。

  2. 通过修改 IIS 中默认站点的web.config 文件, 为 RMS 连接器启用跟踪:

    1. %programfiles%\Microsoft Rights Management connector\Web Service文件夹中找到web.config文件。

    2. 找到以下行:

      <trace enabled="false" requestLimit="10" pageOutput="false" traceMode="SortByTime" localOnly="true"/>
      
    3. 将该行替换为以下文本:

      <trace enabled="true" requestLimit="10" pageOutput="false" traceMode="SortByTime" localOnly="true"/>
      
  3. 停止并启动 IIS 以激活跟踪。

  4. 在 DebugView 中捕获所需的跟踪后,请还原步骤 3 中的行,然后再次停止并启动 IIS。

适用于:Azure信息保护、Windows Server 2016、Windows Server 2012 R2、Windows Server 2012

相关:AIP 统一标签客户端和经典客户端

注意

为了提供统一且简化的客户体验,Azure 门户中的Azure信息保护经典客户端和标签管理在2021年 3 月 31 日已弃用。 不再提供对经典客户端的进一步支持,并且将不再发布维护版本。

经典客户端将于 2022 年 3 月 31 日正式停用并停止运行。

所有当前的 Azure 信息保护经典客户端客户必须迁移到统一Microsoft 信息保护平台,并升级到统一的标签客户端。 在迁移博客 中了解更多信息

安装和配置 RMS 连接器后,可以使用以下方法和信息来帮助从 Azure 信息保护监视连接器和组织对 Azure Rights Management 服务的使用。

应用程序事件日志条目

RMS 连接器使用应用程序事件日志来记录 Microsoft RMS 连接器 的条目

例如,信息事件,例如:

  • ID 1000 确认连接器服务已启动

  • 服务器成功连接到 RMS 连接器时 ID 1002

  • 每次列出每个帐户的授权帐户 (ID 1004,) 连接器

如果尚未将连接器配置为使用 HTTPS,预期会看到一个警告 ID 2002,指出客户端正在使用非安全 (HTTP) 连接。

如果连接器无法连接到 Azure Rights Management 服务,则很可能看到错误 3001。 例如,此连接失败可能是 DNS 问题或运行 RMS 连接器的一个或多个服务器无法访问 Internet 的结果。

提示

当 RMS 连接器服务器无法连接到 Azure Rights Management 服务时,Web 代理配置通常是原因。

与所有事件日志条目一样,钻取到消息了解更多详细信息。

除了在首次部署连接器时检查事件日志,请持续检查警告和错误。 连接器最初可能如期工作,但其他管理员可能会更改依赖的配置。 例如,另一个管理员更改 Web 代理服务器配置,使 RMS 连接器服务器无法再访问 Internet (错误 3001) 或者从指定为有权使用连接器的组中删除计算机帐户 (Warning 2001) 。

事件日志的 ID 和说明

使用以下部分确定可能的事件标识、说明和任何其他信息。