Os usuários não podem acessar sites da Web quando o log de eventos de segurança estiver cheio

Este artigo ajuda você a resolve o problema em que o usuário não pode acessar sites da Web quando o log de eventos de segurança estiver cheio.

Versão original do produto: Serviços de Informações da Internet
Número de KB original: 832981

Resumo

O recurso CrashOnAuditFail é uma chave de registro que pode ser definida para garantir que todos os eventos auditáveis sejam registrados no log de eventos de segurança. Se um evento auditável não puder ser registrado no log de eventos de segurança, ocorrerá um erro de parada (STOP 0xC0000244). O erro de parada normalmente ocorre porque o log de eventos de segurança está cheio. Depois que o erro de parada ocorre, as contas não administradoras não podem acessar os sites da Web e Serviços de Informações da Internet da Microsoft (IIS) retorna mensagens de erro HTTP 500 até que a chave CrashOnAuditFail seja redefinida e o log de eventos de segurança seja limpo.

Sintomas

Quando você acessa um site no servidor, recebe uma das seguintes mensagens de erro.

  • Mensagem de erro 1

    HTTP 500 – Erro interno do servidor

  • Mensagem de erro 2

    Erro HTTP 401.1 – Não autorizado: o acesso é negado devido a credenciais inválidas.

  • Mensagem de erro 3

    A autoridade de segurança local não pode ser contatada.

  • Quando mensagens de erro amigáveis são desativadas no navegador, você também pode receber a seguinte mensagem de erro:

    Falha de logon: o usuário não tem permissão para fazer logon neste computador.

Motivo

Esse problema ocorrerá se o log de eventos de segurança tiver atingido o tamanho máximo do log e a configuração de Encapsulamento de Log de Eventos estiver definida como Substituir Eventos Mais Antigos do QueXDays ou Não Substituir Eventos. Como o log de eventos de segurança está cheio e a chave do registro CrashOnAuditFail está definida, o Microsoft Windows não permite que contas que não são contas de administrador façam logon. Quando o acesso anônimo é configurado, as solicitações para o site tentam autenticar usando as contas IUSR_computername e IWAM_computername . Essas contas não são contas de administrador.

Resolução

Importante

Esta seção, método ou tarefa contém etapas que descrevem como modificar o Registro. Entretanto, sérios problemas poderão ocorrer caso você modifique o Registro incorretamente. Portanto, siga essas etapas cuidadosamente. Para mais proteção, faça o backup do registro antes de modificá-lo. Em seguida, você poderá restaurar o registro se ocorrer um problema. Para saber mais sobre como fazer o backup e restaurar o registro, consulte Como fazer o backup e restaurar o registro no Windows.

Para resolver esse problema, siga estas etapas:

  1. Salve e desmarque o log de eventos de segurança.

  2. Inicie o Editor do Registro.

  3. Localize a seguinte chave e defina o valor dessa chave como 1:

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\CrashOnAuditFail

  4. Reiniciar o servidor. As alterações do registro não entrarão em vigor até que você reinicie o servidor.

Mais informações

A chave de registro CrashOnAuditFail fornece um recurso de segurança opcional que os administradores do sistema podem usar para revisar todos os eventos de segurança. Os valores válidos para a chave CrashOnAuditFail são 0, 1 e 2. As opções de dados são:

  • 0 – Qualquer pessoa pode fazer logon. Esse é o valor padrão.

  • 1 – Qualquer pessoa pode fazer logon se o sistema puder auditar os eventos e gravar os eventos no log de eventos de segurança. Se o log de eventos de segurança estiver cheio, o valor da chave CrashOnAuditFail será alterado para 2 e o servidor falhará.

  • 2 – Somente os administradores podem fazer logon.

Quando o log de eventos de segurança fica cheio, o servidor se bloqueia para que nenhum evento auditável seja perdido. Você pode impedir o bloqueio do servidor usando um dos métodos a seguir. Observe, no entanto, que impedir o bloqueio do servidor derrota a finalidade da chave CrashOnAuditFail .

Observação

Nenhum dos métodos a seguir resolve o problema. Você deve seguir as etapas na seção Resolução antes de usar um desses métodos.

  • Defina a configuração de Encapsulamento de Log de Eventos como Substituir eventos conforme necessário.

  • Limite o número ou os tipos de eventos auditados ou desabilite completamente a auditoria.

  • Defina o valor da seguinte chave do registro como 0:

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\CrashOnAuditFail