Gli utenti non possono accedere ai siti Web quando il registro eventi di sicurezza è pieno
Questo articolo consente di risolvere il problema per cui l'utente non può accedere ai siti Web quando il registro eventi di sicurezza è pieno.
Versione originale del prodotto: Internet Information Services
Numero KB originale: 832981
Riepilogo
La funzionalità CrashOnAuditFail è una chiave del Registro di sistema che può essere impostata per assicurarsi che tutti gli eventi controllabili vengano registrati nel registro eventi di sicurezza. Se non è possibile registrare un evento controllabile nel registro eventi di sicurezza, si verifica un errore di arresto (STOP 0xC0000244). L'errore di arresto si verifica in genere perché il registro eventi di sicurezza è pieno. Dopo l'errore di arresto, gli account non amministratori non possono accedere ai siti Web e Microsoft Internet Information Services (IIS) restituisce i messaggi di errore HTTP 500 finché la chiave CrashOnAuditFail non viene reimpostata e il registro eventi di sicurezza non viene cancellato.
Sintomi
Quando si accede a un sito Web nel server, viene visualizzato uno dei messaggi di errore seguenti.
Messaggio di errore 1
HTTP 500 - Errore interno del server
Messaggio di errore 2
Errore HTTP 401.1 - Non autorizzato: accesso negato a causa di credenziali non valide.
Messaggio di errore 3
Impossibile contattare l'autorità di sicurezza locale.
Quando i messaggi di errore descrittivi sono disattivati nel browser, è anche possibile che venga visualizzato il messaggio di errore seguente:
Errore di accesso: l'utente non è autorizzato ad accedere al computer.
Causa
Questo problema si verifica se il registro eventi di sicurezza ha raggiunto le dimensioni massime del log e l'impostazione Wrapping del log eventi è impostata su Sovrascrivi eventi precedenti a XDays o Non sovrascrivere gli eventi. Poiché il registro eventi di sicurezza è pieno e la chiave del Registro di sistema CrashOnAuditFail è impostata, Microsoft Windows non consente l'accesso agli account che non sono account amministratore. Quando viene configurato l'accesso anonimo, le richieste al sito Web tentano di eseguire l'autenticazione usando gli account IUSR_computername e IWAM_computername . Questi account non sono account amministratore.
Risoluzione
Importante
In questa sezione, metodo o attività viene illustrata la procedura per modificare il Registro di sistema. Poiché l'errata modifica del Registro di sistema può causare seri problemi, Di conseguenza, attenersi scrupolosamente alla procedura indicata. Per una maggiore protezione, eseguire il backup del Registro di sistema prima di modificarlo. In questo modo sarà possibile ripristinare il Registro di sistema se si verifica un problema. Per ulteriori informazioni su come eseguire backup e ripristino del Registro di sistema, vedere Backup e ripristino del Registro di sistema in Windows.
Per risolvere questo problema, attenersi alla seguente procedura:
Salvare e cancellare il registro eventi di sicurezza.
Avviare l'editor del Registro di sistema
Individuare la chiave seguente e quindi impostare il valore di questa chiave su 1:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\CrashOnAuditFailRiavviare il server. Le modifiche al Registro di sistema non diventano effettive fino a quando non si riavvia il server.
Ulteriori informazioni
La chiave del Registro di sistema CrashOnAuditFail offre una funzionalità di sicurezza facoltativa che gli amministratori di sistema possono usare per esaminare tutti gli eventi di sicurezza. I valori validi per la chiave CrashOnAuditFail sono 0, 1 e 2. Le opzioni per i dati sono:
0 - Chiunque può accedere. Questo è il valore predefinito.
1 - Chiunque può accedere se il sistema può controllare gli eventi e scrivere gli eventi nel registro eventi di sicurezza. Se il registro eventi di sicurezza è pieno, il valore della chiave CrashOnAuditFail viene modificato in 2 e il server si arresta in modo anomalo.
2 - Solo gli amministratori possono accedere.
Quando il registro eventi di sicurezza diventa pieno, il server si blocca in modo che non vengano persi eventi controllabili. È possibile impedire il blocco del server usando uno dei metodi seguenti. Si noti, tuttavia, che impedire il blocco del server annulla lo scopo della chiave CrashOnAuditFail .
Nota
Nessuno dei metodi seguenti risolve il problema da solo. Prima di usare uno di questi metodi, è necessario seguire i passaggi descritti nella sezione Risoluzione .
Impostare l'impostazione Wrapping del log eventi su Sovrascrivi eventi in base alle esigenze.
Limitare il numero o i tipi di eventi controllati o disabilitare completamente il controllo.
Impostare il valore per la chiave del Registro di sistema seguente su 0:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\CrashOnAuditFail
Commenti e suggerimenti
Presto disponibile: Nel corso del 2024 verranno gradualmente disattivati i problemi di GitHub come meccanismo di feedback per il contenuto e ciò verrà sostituito con un nuovo sistema di feedback. Per altre informazioni, vedere https://aka.ms/ContentUserFeedback.
Invia e visualizza il feedback per