Gebruikers geen toegang tot websites wanneer het beveiligingslogboek vol is


Het wordt aangeraden dat alle gebruikers een upgrade naar Microsoft Internet Information Services (IIS) versie 7.0 uitvoert op Microsoft Windows Server 2008 wordt uitgevoerd. IIS 7.0 aanzienlijk meer beveiliging van de webinfrastructuur. Ga naar de volgende Microsoft-website voor meer informatie over IIS-beveiliging onderwerpen:Voor meer informatie over IIS 7.0, gaat u naar de volgende Microsoft-website:

Samenvatting


De functie CrashOnAuditFail is een registersleutel die kan worden ingesteld om ervoor te zorgen dat alle controleerbare gebeurtenissen worden vastgelegd in het logboek voor beveiligingsgebeurtenissen. Als een controleerbare gebeurtenis niet worden geregistreerd in het logboek met beveiligingsgebeurtenissen, treedt er een stop-fout (STOP 0xC0000244) op. De stop-fout treedt meestal op omdat het beveiligingslogboek vol is. Na de stop fout optreedt, niet-administrator-accounts hebben geen toegang tot de websites, en Microsoft Internet Information Services (IIS) wordt HTTP 500 foutberichten totdat de sleutel CrashOnAuditFail wordt opnieuw ingesteld en het beveiligingslogboek is gewist.

Symptomen


Wanneer u een website op de server, ontvangt u een van de volgende foutberichten weergegeven.
Foutbericht 1
HTTP 500 - Interne serverfout
Foutbericht 2
HTTP-fout 401.1 - niet: De toegang is geweigerd vanwege ongeldige referenties.
Foutbericht 3
Kan geen contact maken met de lokale beveiligingsautoriteit.
Als beschrijvende foutberichten zijn uitgeschakeld in de browser, wordt u ook het volgende foutbericht weergegeven:
Aanmeldingsfout: gebruiker mag zich niet aanmelden bij deze computer.

Oorzaak


Dit probleem treedt op als het logboek met beveiligingsgebeurtenissen is de maximale logboekgrootte is bereikt en de Logboekgrootte ingesteld op Gebeurtenissen overschrijven na X dagen of Gebeurtenissen niet overschrijven. Omdat het beveiligingslogboek vol is en de registersleutel CrashOnAuditFail is ingesteld, heeft Microsoft Windows niet toe dat rekeningen die geen administrator-accounts aan te melden. Als anonieme toegang is geconfigureerd, worden aanvragen naar de website probeert te verifiëren met behulp van de account IUSR_computernaam en IWAM_computernaam accounts. Deze accounts zijn geen administrator-accounts.

Oplossing


Belangrijk Deze sectie, methode of taak bevat stappen voor het wijzigen van het register. Echter, er kunnen ernstige problemen optreden als u het register onjuist bewerkt. Daarom is het belangrijk de volgende stappen zorgvuldig te volgen. Als extra beveiliging maakt u een back-up van het register voordat u wijzigingen aanbrengt. Vervolgens kunt u het register herstellen als er een probleem optreedt. Voor meer informatie over hoe u een back-up van het register kunt maken en terugzetten, klikt u op het volgende artikel in de Microsoft Knowledge Base:
322756 het back-up maken en het register terugzetten in Windows


U kunt dit probleem oplossen door de volgende stappen uit te voeren:
  1. Opslaan en het beveiligingslogboek wissen.
  2. Start de Register-Editor.
  3. Zoek de volgende sleutel en de waarde van deze sleutel vervolgens ingesteld op 1:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\CrashOnAuditFail
  4. Start de server opnieuw. De wijzigingen in het register pas van kracht nadat u de server opnieuw start.

Status


Dit gedrag is inherent aan het ontwerp.

Meer informatie


De registersleutel CrashOnAuditFail biedt een optionele beveiligingsfunctie die systeembeheerders gebruiken kunnen om te controleren van beveiligingsgebeurtenissen. De geldige waarden voor de sleutel CrashOnAuditFail zijn 0, 1 en 2. Opties voor de gegevens zijn:

  • 0 - iedereen kan zich aanmelden. Dit is de standaardwaarde.
  • 1 - iedereen kan zich aanmelden als het systeem kan de gebeurtenissen controleren en de gebeurtenissen naar het beveiligingslogboek geschreven. Als het beveiligingslogboek vol is, wordt de waarde voor de sleutel CrashOnAuditFail is gewijzigd in 2 en de server vastloopt.
  • 2 - alleen beheerders kunnen aanmelden.
Wanneer het beveiligingslogboek vol raakt, vergrendeld de server zelf zodat er geen controleerbare gebeurtenissen worden gemist. Met behulp van een van de volgende methoden kunt u voorkomen dat het blokkeren van de server. Bedenk wel dat de server lockdown gebruikt waardoor het doel van de sleutel CrashOnAuditFail .

Opmerking Geen van de volgende methoden die alleen het probleem is opgelost. Voordat u een van deze methoden gebruikt, moet u de stappen in de sectie 'Oplossing' volgen.
  • Stel de Logboekgrootte instelling op Gebeurtenissen indien nodig overschrijven.
  • Beperk het aantal of de typen gebeurtenissen die worden gecontroleerd of de controle volledig uitschakelen.
  • Stel de waarde voor de volgende registersleutel op 0:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\CrashOnAuditFail

Referenties


Voor meer informatie over het gebruik van de functie CrashOnAuditFail, klikt u op de volgende artikelnummers om de artikelen in de Microsoft Knowledge Base:

140058 het voorkomen van controleerbare activiteiten wanneer het beveiligingslogboek vol is

232564 STOP 0xC0000244 wanneer het beveiligingslogboek vol