Güvenlik olay günlüğü dolduğunda kullanıcılar Web sitelerine erişemez

Bu makale, güvenlik olay günlüğü dolu olduğunda kullanıcının Web sitelerine erişememe sorununu çözmenize yardımcı olur.

Özgün ürün sürümü: Internet Information Services
Özgün KB numarası: 832981

Özet

CrashOnAuditFail özelliği, tüm denetlenebilir olayların güvenlik olay günlüğüne kaydedildiğinden emin olmak için ayarlanabilen bir kayıt defteri anahtarıdır. Denetlenebilir bir olay güvenlik olay günlüğüne kaydedilemiyorsa bir durdurma hatası (STOP 0xC0000244) oluşur. Durdurma hatası genellikle güvenlik olay günlüğü dolu olduğundan oluşur. Durdurma hatası oluştuktan sonra, yönetici olmayan hesaplar Web sitelerine erişemez ve CrashOnAuditFail anahtarı sıfırlanıp güvenlik olay günlüğü temizlenene kadar Microsoft Internet Information Services (IIS) HTTP 500 hata iletilerini döndürür.

Belirtiler

Sunucudaki bir Web sitesine eriştiğiniz zaman aşağıdaki hata iletilerinden birini alırsınız.

• Hata iletisi 1

  HTTP 500 - İç Sunucu Hatası

• Hata iletisi 2

  HTTP Hatası 401.1 - Yetkisiz: Geçersiz kimlik bilgileri nedeniyle erişim reddedildi.

• Hata iletisi 3

  Yerel güvenlik yetkilisiyle bağlantı kurulamıyor.

• Tarayıcıda kolay hata iletileri kapatıldığında aşağıdaki hata iletisini de alabilirsiniz:

  Oturum açma hatası: Kullanıcının bu bilgisayarda oturum açmasına izin verilmiyor.

Neden

Bu sorun, güvenlik olay günlüğü günlük boyutu üst sınırına ulaştıysa ve Olay Günlüğü Sarmalama ayarı XDays'den Eski Olayların Üzerine Yaz veya Olayların Üzerine Yazma olarak ayarlandıysa oluşur. Güvenlik olay günlüğü dolu olduğundan ve CrashOnAuditFail kayıt defteri anahtarı ayarlandığından, Microsoft Windows yönetici hesabı olmayan hesapların oturum açmasına izin vermez. Anonim erişim yapılandırıldığında, Web sitesine yönelik istekler IUSR_bilgisayaradı ve IWAM_bilgisayaradı hesaplarını kullanarak kimlik doğrulamayı dener. Bu hesaplar yönetici hesabı değildir.

Çözüm

Bu sorunu çözmek için şu adımları izleyin:

1. Güvenlik olay günlüğünü kaydedin ve temizleyin.

2. Kayıt Defteri Düzenleyicisi'ni başlatın.

3. Aşağıdaki anahtarı bulun ve bu anahtarın değerini 1 olarak ayarlayın:

   HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\CrashOnAuditFail

4. Sunucuyu yeniden başlatın. Kayıt defteri değişiklikleri, sunucuyu yeniden başlatana kadar geçerli olmaz.

Daha fazla bilgi

CrashOnAuditFail kayıt defteri anahtarı, sistem yöneticilerinin tüm güvenlik olaylarını gözden geçirmek için kullanabileceği isteğe bağlı bir güvenlik özelliği sağlar. CrashOnAuditFail anahtarı için geçerli değerler 0, 1 ve 2'dir. Veri seçenekleri şunlardır:

• 0 - Herkes oturum açabilir. Bu, varsayılan değerdir.

• 1 - Sistem olayları denetleyebilir ve olayları güvenlik olay günlüğüne yazabiliyorsa herkes oturum açabilir. Güvenlik olay günlüğü doluysa CrashOnAuditFail anahtarının değeri 2 olarak değiştirilir ve sunucu kilitlenir.

• 2 - Yalnızca yöneticiler oturum açabilir.

Güvenlik olay günlüğü dolduğunda, sunucu denetlenebilir olayların kaçırılmaması için kendini kilitler. Aşağıdaki yöntemlerden birini kullanarak sunucu kilitlemesini önleyebilirsiniz. Ancak, sunucu kilitlemeyi engellemenin CrashOnAuditFail anahtarının amacını yendiğini unutmayın.

• Olay Günlüğü Kaydırma ayarını gerektiği gibi olayların üzerine yaz olarak ayarlayın.

• Denetlenen olay sayısını veya türlerini sınırlayın veya denetimi tamamen devre dışı bırakın.

• Aşağıdaki kayıt defteri anahtarının değerini 0 olarak ayarlayın:

  HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\CrashOnAuditFail