보안 이벤트 로그가 꽉 차면 사용자가 웹 사이트에 액세스할 수 없습니다.


Microsoft Windows Server 2008에서 실행되는 인터넷 정보 서비스 (IIS) 버전 7.0으로 업그레이드 하실 것을 강력히 추천합니다. IIS 7.0는 웹 인프라 보안을 상당히 개선합니다. IIS 보안 관련 항목에 대한 자세한 내용은, 다음 Microsoft 웹 사이트를 방문하십시오.IIS 7.0에 대한 자세한 내용은, 다음 Microsoft 웹 사이트를 방문하십시오.

요약


기능은 CrashOnAuditFail 레지스트리 키를 모든 감사 가능한 이벤트를 보안 이벤트 로그에 기록 되도록 설정할 수 있습니다. 이벤트는 보안 이벤트 로그에 기록할 수 없습니다 (STOP 0xc0000244) 중지 오류가 발생 합니다. 중지 오류는 일반적으로 보안 이벤트 로그가 꽉 때문에 발생 합니다. 중지 후 오류가 발생 CrashOnAuditFail 키를 다시 설정 하 고 보안 이벤트 로그가 삭제 될 때까지 Microsoft 인터넷 정보 서비스 (IIS)에서 HTTP 500 오류 메시지를 반환 하 고 관리자가 아닌 계정을 웹 사이트에 액세스할 수 없습니다.

증상


서버에서 웹 사이트에 액세스 하면 다음 오류 메시지 중 하나가 나타납니다.
오류 메시지 1
HTTP 500-내부 서버 오류
오류 메시지 2
HTTP 오류 401.1-권한이 없음: 잘못 된 자격 증명 때문에 액세스가 거부 되었습니다.
오류 메시지 3
로컬 보안 기관에 연결할 수 없습니다.
오류 메시지에 브라우저 설정 되어, 다음과 같은 오류 메시지가 나타날 수 있습니다.
로그온 실패:이 컴퓨터에 로그온 할 수 없는 사용자입니다.

원인


보안 이벤트 로그의 최대 로그 크기에 도달 하면 X 일 보다 이벤트 이전 덮어쓰기 또는 이벤트 덮어쓰지 않음 이벤트 로그 배치 설정이 설정 되어 경우이 문제가 발생 합니다. 보안 이벤트 로그가 가득 차서 CrashOnAuditFail 레지스트리 키가 설정 되어 있기 때문에 Microsoft Windows 계정을 관리자 계정에 로그온 하지 않은 수 없습니다. 익명 액세스 구성 된 경우 웹 사이트에 대 한 요청 IUSR_computername 및 IWAM_computername 계정을 사용 하 여 인증 하려고 시도 합니다. 이러한 계정은 관리자 계정을 않습니다.

해결 방법


중요: 이 섹션, 방법 또는 작업은 레지스트리를 수정하는 방법을 설명하는 단계를 포함합니다. 그러나, 레지스트리를 잘못 수정하면 심각한 문제가 발생할 수 있습니다. 따라서 다음 단계를 주의 깊게 수행해야 합니다. 추가 보호 조치로, 해당 레지스트리를 수정하기 전에 미리 백업하세요. 그런 다음, 문제가 발생할 경우 레지스트리를 복원할 수 있습니다. 레지스트리를 백업 및 복원하는 방법에 대한 자세한 내용은, Microsoft 기술 자료의 다음 문서 번호를 클릭합니다.
322756 백업 및 Windows에서 레지스트리를 복원 하는 방법


이 문제를 해결하려면, 다음과 같이 하십시오.
  1. 저장 하 고 보안 이벤트 로그를 지웁니다.
  2. 레지스트리 편집기를 시작 합니다.
  3. 다음 키를 찾아이 키의 값을 1로 설정 합니다.
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\CrashOnAuditFail
  4. 서버를 다시 시작 합니다. 서버를 다시 시작 해야 레지스트리 변경 적용 되지 않습니다.

상태


이 동작은 의도된 것입니다.

자세한 내용


CrashOnAuditFail 레지스트리 키를 사용 하 여 모든 보안 이벤트를 검토 하는 선택적인 보안 기능을 제공 합니다. CrashOnAuditFail 키에 유효한 값은 0, 1 및 2 데이터 옵션은 같습니다.

  • 0-누구나 있습니다 로그온 합니다. 이것이 기본값입니다.
  • 1-사용자는 시스템 이벤트 감사 하 고 보안 이벤트 로그에 이벤트를 쓸 수 있으면 기록할 수 있습니다. 보안 이벤트 로그가 꽉 차면 CrashOnAuditFail 키 값을 2로 변경 되 고 서버 작동이 중단.
  • 2-만 관리자가 로그온 할 수 있습니다.
보안 이벤트 로그가 꽉 차면 감사 가능한 이벤트가 누락 되도록 서버 다운 자체를 잠급니다. 다음 방법 중 하나를 사용 하 여 서버 잠금을 방지할 수 있습니다. 단, 해당 서버 잠금 방지 CrashOnAuditFail 키의 목적이 있습니다.

참고: 만 다음 방법 중 문제 해. 다음이 방법 중 하나를 사용 하기 전에 "해결 방법" 절의 단계를 따라야 합니다.
  • 이벤트 로그 배치 설정을 필요한 경우 이벤트 덮어쓰기로설정 합니다.
  • 유형의 감사 하거나 감사를 완전히 비활성화 하는 이벤트의 수를 제한 합니다.
  • 다음 레지스트리 키의 값을 0으로 설정 합니다.
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\CrashOnAuditFail

참조


CrashOnAuditFail 보안 기능을 사용 하는 방법에 대 한 자세한 내용은 Microsoft 기술 자료의 다음 문서를 참조 하는 다음 문서 번호를 클릭 합니다.

140058 보안 로그가 가득 찼을 때 감사 가능한 작업이 방지 하는 방법

보안 로그가 꽉 232564 STOP 0 x c 0000244