监视 Microsoft Rights Management 连接器

安装和配置 RMS 连接器后,可以使用以下方法和信息来帮助监视连接器以及组织使用 Azure 信息保护中的 Azure Rights Management 服务。

应用程序事件日志条目

RMS 连接器使用应用程序事件日志来记录 Microsoft RMS 连接器的条目。

例如,信息事件,例如:

  • ID 1000 确认连接器服务已启动

  • 服务器成功连接到 RMS 连接器时 ID 1002

  • 每次将授权帐户列表(每个帐户列出)下载到连接器时 ID 1004

如果尚未将连接器配置为使用 HTTPS,预期会看到客户端正在使用非安全(HTTP)连接的警告 ID 2002。

如果连接器无法连接到 Azure Rights Management 服务,则很可能看到错误 3001。 例如,此连接失败可能是由于 DNS 问题或运行 RMS 连接器的一个或多个服务器缺少 Internet 访问。

小窍门

当 RMS 连接器服务器无法连接到 Azure Rights Management 服务时,Web 代理配置通常是原因。

与所有事件日志条目一样,请深入到消息中了解更多详细信息。

除了在首次部署连接器时检查事件日志之外,还需持续检查警告和错误。 连接器最初可能按预期工作,但其他管理员可能会更改依赖配置。 例如,另一位管理员更改 Web 代理服务器配置,以便 RMS 连接器服务器无法再访问 Internet(错误 3001),或者从你指定为有权使用该连接器的组中删除计算机帐户(警告 2001)。

事件日志 ID 和说明

使用以下部分来标识可能的事件 ID、说明和任何其他信息。


信息 1000

MICROSOFT RMS 连接器 Web 服务已启动。

当 RMS 连接器首次尝试启动时,将记录此事件。


信息 1001

MICROSOFT RMS 连接器 Web 服务已停止。

当 RMS 连接器因正常作而停止时,将记录此事件。 例如,IIS 已重启或计算机关闭。


信息 1002

已允许对已授权服务器访问 Microsoft RMS 连接器。

当本地服务器中的帐户首次连接到 RMS 连接器后,在 RMS 连接器管理员工具中由 Azure RMS 管理员授权后,将记录此事件。 建立连接的计算机的 SID、帐户名称和名称包含在事件消息中。


信息 1003

下面列出的客户端的连接已从非安全(HTTP)连接切换到安全(HTTPS)连接。

当本地服务器将其与 RMS 连接器的连接从 HTTP(安全性较低)更改为 HTTPS(更安全)时,将记录此事件。 建立连接的计算机的 SID、帐户名称和名称包含在事件消息中。


信息 1004

已更新授权帐户列表。

当 RMS 连接器下载有权使用 RMS 连接器的最新帐户列表(现有帐户和任何更改)时,将记录此事件。 此列表每 15 分钟下载一次,前提是 RMS 连接器可以与 Azure Rights Management 服务通信。


警告 2000

HTTP 上下文中的用户主体缺失或无效,请验证 MICROSOFT RMS 连接器网站在 IIS 中是否禁用了匿名身份验证,并且仅启用 Windows 身份验证。

当 RMS 连接器无法唯一标识尝试连接到 RMS 连接器的帐户时,将记录此事件。 这可能是为 IIS 错误配置匿名身份验证的结果,或者帐户来自不受信任的林。


警告 2001

未经授权的访问尝试Microsoft RMS 连接器。

当帐户尝试连接到 RMS 连接器但失败时,将记录此事件。 此警告的最典型原因是,建立连接的帐户不在 RMS 连接器从 Azure Rights Management 服务下载的已授权帐户的下载列表中。 例如,尚未下载最新列表(此事件每 15 分钟发生一次),或者列表中缺少帐户。

另一个原因可能是,如果在配置为使用连接器的同一服务器上安装了 RMS 连接器。 例如,在运行 Exchange Server 的服务器上安装 RMS 连接器,并授权 Exchange 帐户使用该连接器。 不支持此配置,因为 RMS 连接器在尝试连接时无法正确识别帐户。

事件消息包含有关尝试连接到 RMS 连接器的帐户和计算机的信息:

  • 如果尝试连接到 RMS 连接器的帐户是有效的帐户,请使用 RMS 连接器管理员工具将帐户添加到授权帐户列表中。 有关必须授权哪些帐户的详细信息,请参阅 将服务器添加到允许的服务器列表中

  • 如果尝试连接到 RMS 连接器的帐户与 RMS 连接器服务器的计算机相同,请在单独的服务器上安装连接器。 有关连接器先决条件的详细信息,请参阅 RMS 连接器的先决条件


警告 2002

下面列出的客户端的连接使用不安全的 (HTTP) 连接。

当本地服务器成功连接到 RMS 连接器时,将记录此事件,但连接使用 HTTP(不安全)而不是 HTTPS(更安全)。 每个帐户而不是每个连接记录一个事件。 如果帐户已成功切换到使用 HTTPS 但还原为 HTTP,则会再次触发此事件。

事件消息包含帐户 SID、帐户名称和连接到 RMS 连接器的计算机的名称。

有关如何为 HTTPS 连接配置 RMS 连接器的信息,请参阅 配置 RMS 连接器以使用 HTTPS


警告 2003

授权列表为空。 在填充连接器的授权用户和组列表之前,服务将不可用。

当 RMS 连接器没有授权帐户列表时,将记录此事件,因此本地服务器无法连接到它。 RMS 连接器每隔 15 分钟从 Azure RMS 下载一次列表。

若要指定帐户,请使用 RMS 连接器管理员工具。 有关详细信息,请参阅 授权服务器使用 RMS 连接器


错误 3000

Microsoft RMS 连接器中发生未经处理的异常。

每次 RMS 连接器遇到意外错误时都会记录此事件,并在事件消息中记录错误的详细信息。

可以通过文本标识一个可能的原因 :请求在事件消息中失败并出现空响应 。 如果看到此文本,可能是因为你有一个网络设备正在对本地服务器和 RMS 连接器服务器之间的数据包执行 SSL 检查。 Azure Rights Management 服务不支持此配置,因此会导致通信失败,并显示此事件日志消息。


错误 3001

下载授权信息时发生异常。

如果 RMS 连接器无法下载有权使用 RMS 连接器的最新帐户列表,则会记录此事件。 错误的详细信息位于事件消息中。


性能计数器

安装 RMS 连接器时,它会自动创建 Microsoft Rights Management 连接器 性能计数器,这些计数器可能有助于监视和改进使用 Azure Rights Management 服务的性能。

例如,当文档或电子邮件受到保护时,你经常遇到延迟。 或者,打开受保护的文档或电子邮件时,可能会遇到延迟。 对于这些情况,性能计数器可帮助你确定延迟是由于连接器上的处理时间、Azure Rights Management 服务处理时间还是网络延迟。

为了帮助你确定延迟发生的位置,请查找包括 连接器处理时间服务响应时间连接器响应时间的平均计数的计数器。 例如: 授权成功批处理的请求平均连接器响应时间

如果最近添加了新的服务器帐户以使用连接器,则检查良好的计数器是 自上次授权策略更新以来的时间 ,以确认连接器自更新后已下载列表,或者是否需要等待更长的时间(最多 15 分钟)。

伐木业

使用情况日志记录可帮助你确定电子邮件和文档何时受到保护和使用。 当 RMS 连接器用于保护和使用内容时,日志中的用户 ID 字段包含 Aadrm_S-1-7-0 的服务主体名称。 将自动为 RMS 连接器创建此名称。

有关使用情况日志记录的详细信息,请参阅 Azure Rights Management 服务的使用情况日志记录

如果需要更详细的日志记录进行诊断,请使用 Windows Sysinternals 中的 DebugView 将日志输出到调试管道。

  1. 以管理员身份启动 DebugView,然后选择“ 捕获>捕获全局 Win32”。

  2. 通过修改 IIS 中默认站点 的web.config 文件,为 RMS 连接器启用跟踪:

    1. %programfiles%\Microsoft Rights Management 连接器\Web 服务文件夹中找到web.config文件。

    2. 找到以下行:

      <trace enabled="false" requestLimit="10" pageOutput="false" traceMode="SortByTime" localOnly="true"/>
      
    3. 将该行替换为以下文本:

      <trace enabled="true" requestLimit="10" pageOutput="false" traceMode="SortByTime" localOnly="true"/>
      
  3. 停止和启动 IIS 以激活跟踪。

  4. 在 DebugView 中捕获所需的跟踪后,还原步骤 3 中的行,然后再次停止和启动 IIS。