Utilizatorii nu pot accesa site-uri Web atunci când Jurnalul de evenimente de securitate este completă


Recomandăm cu încredere ca toţi utilizatorii să facă actualizarea la Microsoft Internet Information Services (IIS) versiunea 7.0 care rulează pe Microsoft Windows Server 2008. IIS 7.0 sporește semnificativ securitatea infrastructurii Web. Pentru mai multe informaţii despre subiectele legate de securitatea IIS, vizitaţi următorul site Web Microsoft:Pentru mai multe informații despre IIS 7.0, vizitaţi următorul site Web Microsoft:

Rezumat


Caracteristica CrashOnAuditFail este o cheie de registry care pot fi setate pentru a vă asigura că toate se pot audita evenimente sunt înregistrate în Jurnalul de evenimente de securitate. Dacă un eveniment se pot audita nu poate fi înregistrat în Jurnalul de evenimente de securitate, se produce o eroare de tip stop (STOP 0xC0000244). Eroarea stop apare de obicei, deoarece Jurnalul de evenimente de securitate este plină. După stop apare eroarea, conturi non-administrator nu poate accesa site-urile Web și Microsoft Internet Information Services (IIS) returnează mesaje de eroare HTTP 500 până când se resetează cheia CrashOnAuditFail și Jurnalul de evenimente de securitate este eliminat.

Simptome


Când accesați un site Web de pe server, primiți unul dintre următoarele mesaje de eroare.
Mesaj de eroare 1
HTTP 500 - eroare internă de Server
Mesaj de eroare 2
HTTP Error 401.1 - Unauthorized: Acces refuzat din cauza acreditări nevalidă.
Mesaj de eroare 3
Autoritatea de securitate locală nu poate fi contactat.
Atunci când mesajele de eroare prietenoase sunt dezactivate în browser, de asemenea, primiți următorul mesaj de eroare:
Log on nereușit: utilizatorului nu este permisă pentru a face log on la acest computer.

Cauza


Această problemă apare dacă jurnalul de evenimente de securitate a atins dimensiunea maximă jurnal și Jurnalul de evenimente încadrarea setarea pentru a Suprascrie evenimente mai vechi de X zile sau Nu se suprascrie evenimente. Deoarece Jurnalul de evenimente de securitate este plin și este setată cheia de registry CrashOnAuditFail , Microsoft Windows nu permite conturile care nu sunt conturile de administrator pentru a face log on. Când este configurat acces anonim, solicitările de site-ul Web încercați să autentifica utilizând IUSR_numecomputer şi IWAM_numecomputer conturi. Aceste conturi nu sunt conturile de administrator.

Rezolvare


Important Această secţiune, metodă sau activitate conţine paşi care vă spun cum să modificaţi registry-ul. Țineți cont că pot apărea probleme grave dacă modificaţi incorect registry-ul. Prin urmare, asiguraţi-vă că urmaţi aceşti paşi cu atenţie. Pentru protecţie suplimentară, faceți backup pentru registry înainte de a-l modifica. Apoi, puteți restabili registry-ul dacă apare o problemă. Pentru mai multe informaţii despre cyum se face backup şi cum se restabilește registry-ul, faceţi clic pe următorul număr de articol pentru a vedea articolul în baza de cunoştinţe Microsoft:
322756 cum să creați copii de rezervă și restabilirea registry în Windows


Pentru a rezolva această problemă, urmați acești pași:
  1. Salvați și debifați Jurnalul de evenimente de securitate.
  2. Porniți Registry Editor.
  3. Găsiți următoarea cheie, iar apoi setați valoarea acestei chei la 1:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\CrashOnAuditFail
  4. Reporniți serverul. Modificările din registry se aplică după repornirea serverului.

Stare


Acest comportament este proiectat.

Mai multe informații


Cheia de registry CrashOnAuditFail furnizează o caracteristică opțională de securitate care administratorii de sistem pot utiliza pentru a examina toate evenimentele de securitate. Valorile valide pentru cheia CrashOnAuditFail sunt 0, 1 și 2. Opțiuni de date sunt:

  • 0 - oricine poate face log on. Aceasta este valoarea implicită.
  • 1 - oricine poate face log on, sistemul poate evenimentele de audit și scrie evenimente în Jurnalul de evenimente de securitate. Dacă jurnalul de evenimente de securitate este completă, valoarea pentru cheia CrashOnAuditFail se modifică la 2 și server se blochează.
  • 2 - numai administratorii pot face log on.
Când devine plin Jurnalul de evenimente de securitate, serverul blochează în jos, astfel încât să nu se pot audita evenimente sunt pierdute. Îl puteți împiedica lockdown server utilizând una dintre metodele următoare. Rețineți, totuși, care împiedică server lockdown infrangeri scopul cheia CrashOnAuditFail .

Notă Niciuna dintre metodele următoare singur rezolvă problema. Înainte de a utiliza una dintre aceste metode, trebuie să urmați pașii din secțiunea "Rezolvare".
  • Setarea Încadrarea Jurnalul de evenimente pentru evenimente de suprascriere după cum este necesar.
  • Limitați numărul sau tipuri de evenimente care sunt verificate sau să dezactivați audit complet.
  • Setați valoarea pentru următoarea cheie de registry la 0:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\CrashOnAuditFail

Referințe


Pentru informații suplimentare despre utilizarea caracteristicii de securitate CrashOnAuditFail, faceți clic pe următoarele numere de articol pentru a vedea articolele în baza de cunoștințe Microsoft:

140058 cum să împiedicați se pot audita activităţi atunci când este complet în Jurnalul de securitate

232564 STOP 0xC0000244 când security log completă