Os utilizadores não é possível aceder a Web sites, quando o registo de eventos de segurança estiver cheio


Recomendamos vivamente que todos os utilizadores actualizem para o Microsoft Internet Information Services (IIS) versão 7.0 em execução no Microsoft Windows Server 2008. O IIS 7.0 aumenta significativamente a segurança das infra-estruturas da Web. Para mais informações sobre tópicos relacionados com a segurança do IIS, visite o seguinte Web site da Microsoft:Para mais informações sobre o IIS 7.0, visite o seguinte Web site da Microsoft:

Sumário


A funcionalidade de CrashOnAuditFail é uma chave de registo que pode ser definida para se certificar de que a auditoria de todos os eventos é registado no registo de eventos de segurança. Se não pode ser registado um evento passíveis de auditoria no registo de eventos de segurança, ocorre um erro fatal (STOP 0xC0000244). O erro stop ocorre normalmente porque o registo de eventos de segurança está cheio. Após a paragem erro ocorre, não consegue aceder a contas de administrador não os Web sites e serviços de informação Internet (IIS) da Microsoft devolve mensagens de erro HTTP 500 até que a chave de CrashOnAuditFail é reposta e o registo de eventos de segurança está desmarcado.

Sintomas


Quando acede a um Web site no servidor, recebe uma das seguintes mensagens de erro.
Mensagem de erro 1
HTTP 500 - Erro interno do servidor
Mensagem de erro 2
Erro 401.1 de HTTP - não autorizado: Acesso negado devido a credenciais inválidas.
Mensagem de erro 3
A autoridade de segurança Local não pode ser contactada.
Quando as mensagens de erro amigáveis são desactivadas no browser, também poderá receber a seguinte mensagem de erro:
Início de sessão falhou: utilizador nao permitido a iniciar sessão neste computador.

Causa


Este problema ocorre se o registo de eventos de segurança atingiu o tamanho máximo do registo e a definição de Moldagem do registo de eventos está definida para Substituir eventos mais antigos que X dias ou Não substituir eventos. Uma vez que o registo de eventos de segurança está cheio e a chave de registo CrashOnAuditFail estiver definida, Microsoft Windows não permite a contas que não são contas de administrador para iniciar sessão. Quando o acesso anónimo estiver configurado, pedidos para o Web site tentar autenticar utilizando o IUSR _NomeComputador e contas do IWAM _NomeComputador . Estas contas não são contas de administrador.

Resolução


Importante Esta secção, método ou tarefa contém passos que explicam como modificar o registo. No entanto, poderão ocorrer problemas graves se modificar o registo incorrectamente. Por conseguinte, certifique-se de que segue estes passos cuidadosamente. Para uma maior protecção, efectue o backup do Registro antes de o modificar. Em seguida, pode restaurar o registo se ocorrer um problema. Para mais informações sobre como efectuar cópias de segurança e restaurar o registo, clique no número de artigo seguinte para visualizar o artigo na Microsoft Knowledge Base:
322756 como efectuar cópias de segurança e restaurar o registo no Windows


Para resolver este problema, siga estes passos:
  1. Guardar e limpar o registo de eventos de segurança.
  2. Inicie o Editor de Registo.
  3. Localize a seguinte chave e, em seguida, defina o valor desta chave como 1:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\CrashOnAuditFail
  4. Reinicie o servidor. As alterações ao registo terão efeito até reiniciar o servidor.

Estado


Este comportamento ocorre por predefinição.

Mais informações


A chave de registo CrashOnAuditFail fornece uma funcionalidade de segurança opcionais que os administradores de sistema podem utilizar para rever todos os eventos de segurança. Os valores válidos para a chave de CrashOnAuditFail são 0, 1 e 2. As opções de dados são:

  • 0 - qualquer pessoa pode iniciar sessão. Este é o valor predefinido.
  • 1 - qualquer pessoa pode iniciar sessão se o sistema pode auditar os eventos e escrever os eventos no registo de eventos de segurança. Se o registo de eventos de segurança estiver cheio, o valor da chave CrashOnAuditFail é alterado para 2 e o servidor falha.
  • 2 - apenas os administradores podem iniciar sessão.
Quando o registo de eventos de segurança ficar cheio, o servidor bloqueia próprio para que a auditoria de eventos é perdida. Pode impedir o bloqueio de servidor, utilizando um dos seguintes métodos. Nota, no entanto, que a impedir o bloqueio de servidor destrói o objectivo da chave CrashOnAuditFail .

Nota Nenhum dos seguintes métodos apenas resolve o problema. Tem de seguir os passos descritos na secção "Resolução" antes de utilizar um dos seguintes métodos.
  • Configure a definição de Moldagem do registo de eventos para Substituir eventos conforme necessário.
  • Limite o número ou tipos de eventos que são auditados ou desactivar a auditoria completamente.
  • Defina o valor da seguinte chave de registo como 0:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\CrashOnAuditFail

Referências


Para obter informações adicionais sobre como utilizar a funcionalidade de segurança CrashOnAuditFail, clique nos números de artigo que se segue para visualizar os artigos na Microsoft Knowledge Base:

140058 como impedir actividades passíveis de auditoria quando o registo de segurança estiver cheio

232564 parar 0xC0000244 quando o registo de segurança completo