Monitorare il connettore Microsoft Rights Management
Dopo aver installato e configurato il connettore RMS, è possibile usare i metodi e le informazioni seguenti per monitorare il connettore e l'uso del servizio Azure Rights Management dell'organizzazione da Azure Information Protection.
Voci del log eventi dell'applicazione
Il connettore RMS usa il registro eventi dell'applicazione per registrare le voci per il connettore Microsoft RMS.
Ad esempio, eventi di informazioni come:
ID 1000 verificare che il servizio connettore sia stato avviato
ID 1002 quando un server si connette correttamente al connettore RMS
ID 1004 ogni volta che l'elenco degli account autorizzati (ogni account è elencato) viene scaricato nel connettore
Se il connettore non è stato configurato per l'uso di HTTPS, si prevede di visualizzare un ID avviso 2002 che un client usa una connessione HTTP (non sicura).
Se il connettore non riesce a connettersi al servizio Azure Rights Management, probabilmente verrà visualizzato l'errore 3001. Ad esempio, questo errore di connessione potrebbe essere dovuto a un problema DNS o alla mancanza di accesso a Internet per uno o più server che eseguono il connettore RMS.
Suggerimento
Quando i server del connettore RMS non possono connettersi al servizio Azure Rights Management, le configurazioni del proxy Web sono spesso il motivo.
Come per tutte le voci del registro eventi, esaminare il messaggio per altri dettagli.
Oltre a controllare il registro eventi quando si distribuisce per la prima volta il connettore, verificare la presenza di avvisi ed errori in modo continuativo. Il connettore potrebbe funzionare come previsto inizialmente, ma altri amministratori potrebbero modificare le configurazioni dipendenti. Ad esempio, un altro amministratore modifica la configurazione del server proxy Web in modo che i server del connettore RMS non possano più accedere a Internet (Errore 3001) o rimuove un account computer da un gruppo specificato come autorizzato a usare il connettore (avviso 2001).
ID e descrizioni del registro eventi
Usare le sezioni seguenti per identificare i possibili ID evento, descrizioni ed eventuali informazioni aggiuntive.
Informazioni 1000
Il servizio Web connettore Microsoft RMS è stato avviato.
Questo evento viene registrato al primo tentativo di avvio del connettore RMS.
Informazioni 1001
Il servizio Web connettore Microsoft RMS è stato arrestato.
Questo evento viene registrato quando il connettore RMS si arresta a seguito della normale operazione. Ad esempio, IIS viene riavviato o il computer viene arrestato.
Informazioni 1002
L'accesso al connettore Microsoft RMS è stato consentito per un server autorizzato.
Questo evento viene registrato quando un account da un server locale si connette per la prima volta al connettore RMS, dopo che l'account è stato autorizzato dall'amministratore di Azure RMS nello strumento di amministrazione del connettore RMS. Il SID, il nome dell'account e il nome del computer che effettua la connessione sono contenuti nel messaggio dell'evento.
Informazioni 1003
La connessione dal client elencata di seguito è passata da una connessione HTTP (non sicura) a una connessione sicura (HTTPS).
Questo evento viene registrato quando un server locale modifica la connessione al connettore RMS da HTTP (meno sicuro) a HTTPS (più sicuro). Il SID, il nome dell'account e il nome del computer che effettua la connessione sono contenuti nel messaggio dell'evento.
Informazioni 1004
L'elenco degli account autorizzati è stato aggiornato.
Questo evento viene registrato quando il connettore RMS ha scaricato l'elenco più recente di account (account esistenti e modifiche) autorizzati a usare il connettore RMS. Questo elenco viene scaricato ogni 15 minuti, fornendo al connettore RMS la possibilità di comunicare con il servizio Azure Rights Management.
Avviso 2000
L'entità utente nel contesto HTTP è mancante o non valida, verificare che il sito Web del connettore Microsoft RMS abbia disabilitato l'autenticazione anonima in IIS e che sia abilitata solo l'autenticazione di Windows.
Questo evento viene registrato quando il connettore RMS non riesce a identificare in modo univoco l'account che tenta di connettersi al connettore RMS. Questo potrebbe essere il risultato dell'autenticazione anonima configurata in modo non corretto per IIS o l'account proviene da una foresta non attendibile.
Avviso 2001
Tentativo di accesso non autorizzato al connettore Microsoft RMS.
Questo evento viene registrato quando un account tenta di connettersi al connettore RMS ma non riesce. Il motivo più tipico di questo avviso è dovuto al fatto che l'account che effettua la connessione non è incluso nell'elenco scaricato di account autorizzati scaricati dal connettore RMS dal servizio Azure Rights Management. Ad esempio, l'elenco più recente non è ancora scaricato (questo evento si verifica ogni 15 minuti) o l'account non è presente nell'elenco.
Un altro motivo può essere l'installazione del connettore RMS nello stesso server configurato per l'uso del connettore. Ad esempio, si installa il connettore RMS in un server che esegue Exchange Server e si autorizza un account di Exchange a usare il connettore. Questa configurazione non è supportata perché il connettore RMS non riesce a identificare correttamente l'account quando tenta di connettersi.
Il messaggio di evento contiene informazioni sull'account e sul computer che tenta di connettersi al connettore RMS:
Se l'account che tenta di connettersi al connettore RMS è un account valido, usare lo strumento di amministrazione del connettore RMS per aggiungere l'account all'elenco di account autorizzati. Per altre informazioni sugli account da autorizzare, vedere Aggiungere un server all'elenco dei server consentiti.
Se l'account che tenta di connettersi al connettore RMS proviene dallo stesso computer del server connettore RMS, installare il connettore in un server separato. Per altre informazioni sui prerequisiti per il connettore, vedere Prerequisiti per il connettore RMS.
Avviso 2002
La connessione dal client elencata di seguito usa una connessione HTTP non sicura.
Questo evento viene registrato quando un server locale effettua una connessione corretta al connettore RMS, ma la connessione usa HTTP (meno sicuro) anziché HTTPS (più sicuro). Un evento viene registrato per ogni account anziché per ogni connessione. Questo evento viene attivato di nuovo se l'account passa correttamente all'uso di HTTPS ma ripristina HTTP.
Il messaggio di evento contiene il SID dell'account, il nome dell'account e il nome del computer che effettua la connessione al connettore RMS.
Per informazioni su come configurare il connettore RMS per le connessioni HTTPS, vedere Configurazione del connettore RMS per l'uso di HTTPS.
Avviso 2003
L'elenco delle autorizzazioni è vuoto. Il servizio non sarà utilizzabile fino a quando non viene popolato l'elenco di utenti e gruppi autorizzati per il connettore.
Questo evento viene registrato quando il connettore RMS non dispone di un elenco di account autorizzati, quindi nessun server locale può connettersi. Il connettore RMS scarica l'elenco ogni 15 minuti da Azure RMS.
Per specificare gli account, usare lo strumento di amministrazione del connettore RMS. Per altre informazioni, vedere Autorizzazione dei server per l'uso del connettore RMS.
Errore 3000
Si è verificata un'eccezione non gestita nel connettore Microsoft RMS.
Questo evento viene registrato ogni volta che il connettore RMS rileva un errore imprevisto, con i dettagli dell'errore nel messaggio dell'evento.
Una possibile causa può essere identificata dal testo La richiesta non è riuscita con una risposta vuota nel messaggio dell'evento. Se viene visualizzato questo testo, potrebbe essere dovuto al fatto che si dispone di un dispositivo di rete che esegue l'ispezione SSL sui pacchetti tra i server locali e il server del connettore RMS. Il servizio Azure Rights Management non supporta questa configurazione e genera una comunicazione non riuscita e questo messaggio del registro eventi.
Errore 3001
Eccezione durante il download delle informazioni di autorizzazione.
Questo evento viene registrato se il connettore RMS non può scaricare l'elenco più recente di account autorizzati a usare il connettore RMS. I dettagli dell'errore si trovano nel messaggio dell'evento.
Contatori delle prestazioni
Quando si installa il connettore RMS, vengono creati automaticamente contatori delle prestazioni del connettore Microsoft Rights Management che potrebbero risultare utili per monitorare e migliorare le prestazioni dell'uso del servizio Azure Rights Management.
Ad esempio, si verificano regolarmente ritardi quando i documenti o i messaggi di posta elettronica sono protetti. In alternativa, si verificano ritardi quando vengono aperti documenti o messaggi di posta elettronica protetti. Per questi casi, i contatori delle prestazioni consentono di determinare se i ritardi sono dovuti al tempo di elaborazione nel connettore, al tempo di elaborazione del servizio Azure Rights Management o ai ritardi di rete.
Per identificare la posizione in cui si verifica il ritardo, cercare i contatori che includono i conteggi medi per il tempo di elaborazione Connessione or, il tempo di risposta del servizio e il tempo di risposta del Connessione or. Ad esempio: Licensing Successful Batched Request Average Connessione or Response Time.For example: Licensing Successful Batched Request Average Connessione or Response Time.For example: Licensing Successful Batched Request Average Connessione or Response Time.
Se sono stati aggiunti di recente nuovi account server per l'uso del connettore, un contatore valido da controllare è Ora dall'ultimo aggiornamento dei criteri di autorizzazione per verificare che il connettore abbia scaricato l'elenco dopo l'aggiornamento o se è necessario attendere un po ' più a lungo (fino a 15 minuti).
Registrazione
La registrazione dell'utilizzo consente di identificare quando i messaggi di posta elettronica e i documenti sono protetti e utilizzati. Quando il connettore RMS viene usato per proteggere e utilizzare il contenuto, il campo ID utente nei log contiene il nome dell'entità servizio di Aadrm_S-1-7-0. Questo nome viene creato automaticamente per il connettore RMS.
Per altre informazioni sulla registrazione dell'utilizzo, vedere Registrazione e analisi dell'utilizzo della protezione da Azure Information Protection.
Se è necessaria una registrazione più dettagliata a scopo di diagnosi, usare DebugView da Windows Sysinternals per restituire i log a una pipe di debug.
Avviare DebugView come amministratore e quindi selezionare Acquisisci acquisizione>globale Win32.
Abilitare la traccia per il connettore RMS modificando il file web.config per il sito predefinito in IIS:
Individuare il file web.config nella cartella %programfiles%\Microsoft Rights Management connector\Web Service .
Individuare la riga seguente:
<trace enabled="false" requestLimit="10" pageOutput="false" traceMode="SortByTime" localOnly="true"/>
Sostituire tale riga con il testo seguente:
<trace enabled="true" requestLimit="10" pageOutput="false" traceMode="SortByTime" localOnly="true"/>
Arrestare e avviare IIS per attivare la traccia.
Dopo aver acquisito le tracce in DebugView necessarie, ripristinare la riga nel passaggio 3 e arrestare e riavviare IIS.