보안 이벤트 로그가 가득 차면 사용자가 웹 사이트에 액세스할 수 없습니다.

이 문서는 보안 이벤트 로그가 가득 찼을 때 사용자가 웹 사이트에 액세스할 수 없는 문제를 resolve 데 도움이 됩니다.

원본 제품 버전: 인터넷 정보 서비스
원래 KB 번호: 832981

요약

CrashOnAuditFail 기능은 모든 감사 가능 이벤트가 보안 이벤트 로그에 기록되도록 설정할 수 있는 레지스트리 키입니다. 감사 가능한 이벤트를 보안 이벤트 로그에 기록할 수 없는 경우 중지 오류(STOP 0xC0000244)가 발생합니다. 보안 이벤트 로그가 가득 차서 일반적으로 중지 오류가 발생합니다. 중지 오류가 발생한 후 관리자가 아닌 계정은 웹 사이트에 액세스할 수 없으며, IIS(Microsoft 인터넷 정보 서비스)는 CrashOnAuditFail 키가 다시 설정되고 보안 이벤트 로그가 지워질 때까지 HTTP 500 오류 메시지를 반환합니다.

증상

서버의 웹 사이트에 액세스하면 다음 오류 메시지 중 하나가 표시됩니다.

• 오류 메시지 1

  HTTP 500 - 내부 서버 오류

• 오류 메시지 2

  HTTP 오류 401.1 - 권한 없음: 잘못된 자격 증명으로 인해 액세스가 거부되었습니다.

• 오류 메시지 3

  로컬 보안 기관에 연결할 수 없습니다.

• 브라우저에서 친숙한 오류 메시지가 꺼져 있으면 다음 오류 메시지가 표시될 수도 있습니다.

  로그온 실패: 사용자가 이 컴퓨터에 로그온할 수 없습니다.

원인

이 문제는 보안 이벤트 로그가 최대 로그 크기에 도달하고 이벤트 로그 래핑 설정이 덮어쓰기 이벤트 ThanXDays 또는 이벤트 덮 어쓰기 안 됨으로 설정된 경우에 발생합니다. 보안 이벤트 로그가 가득 찼고 CrashOnAuditFail 레지스트리 키가 설정되었기 때문에 Microsoft Windows는 관리자 계정이 아닌 계정이 로그온하는 것을 허용하지 않습니다. 익명 액세스가 구성되면 웹 사이트에 대한 요청은 IUSR_computername 및 IWAM_computername 계정을 사용하여 인증을 시도합니다. 이러한 계정은 관리자 계정이 아닙니다.

해결 방법

이 문제를 resolve 다음 단계를 수행합니다.

1. 보안 이벤트 로그를 저장하고 지웁합니다.

2. 레지스트리 편집기를 시작합니다.

3. 다음 키를 찾은 다음 이 키의 값을 1로 설정합니다.

   HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\CrashOnAuditFail

4. 서버를 다시 시작합니다. 레지스트리 변경 내용은 서버를 다시 시작할 때까지 적용되지 않습니다.

추가 정보

CrashOnAuditFail 레지스트리 키는 시스템 관리자가 모든 보안 이벤트를 검토하는 데 사용할 수 있는 선택적 보안 기능을 제공합니다. CrashOnAuditFail 키의 유효한 값은 0, 1 및 2입니다. 데이터 옵션은 다음과 같습니다.

• 0 - 누구나 로그온할 수 있습니다. 이 값은 기본값입니다.

• 1 - 시스템에서 이벤트를 감사하고 보안 이벤트 로그에 이벤트를 쓸 수 있는 경우 누구나 로그온할 수 있습니다. 보안 이벤트 로그가 가득 차면 CrashOnAuditFail 키의 값이 2로 변경되고 서버가 충돌합니다.

• 2 - 관리자만 로그온할 수 있습니다.

보안 이벤트 로그가 가득 차면 서버는 감사 가능한 이벤트를 놓치지 않도록 자체 잠금을 해제합니다. 다음 방법 중 하나를 사용하여 서버 잠금을 방지할 수 있습니다. 그러나 서버 잠금을 방지하면 CrashOnAuditFail 키의 목적이 무효화됩니다.

• 필요에 따라 이벤트 로그 래핑 설정을 덮어쓰기로 설정합니다.

• 감사되는 이벤트의 수 또는 유형을 제한하거나 감사를 완전히 사용하지 않도록 설정합니다.

• 다음 레지스트리 키의 값을 0으로 설정합니다.

  HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\CrashOnAuditFail