Пользователи не могут получить доступ к веб-сайтам при заполнении журнала событий безопасности

Эта статья поможет устранить проблему, из-за которой пользователь не может получить доступ к веб-сайтам при заполнении журнала событий безопасности.

Оригинальная версия продукта: службы IIS
Исходный номер базы знаний: 832981

Сводка

Функция CrashOnAuditFail — это раздел реестра, который можно настроить, чтобы убедиться, что все проверяемые события записываются в журнал событий безопасности. Если событие, допускающее аудит, не может быть зарегистрировано в журнале событий безопасности, возникает stop-ошибка (STOP 0xC0000244). Stop-ошибка обычно возникает из-за того, что журнал событий безопасности заполнен. После возникновения стоп-ошибки учетные записи, не являющиеся администраторами, не смогут получить доступ к веб-сайтам, и Microsoft IIS (IIS) возвращает сообщения об ошибках HTTP 500, пока ключ CrashOnAuditFail не будет сброшен и журнал событий безопасности не будет очищен.

Симптомы

При доступе к веб-сайту на сервере появляется одно из следующих сообщений об ошибке.

• Сообщение об ошибке 1

  HTTP 500 — внутренняя ошибка сервера

• Сообщение об ошибке 2

  Ошибка HTTP 401.1 — несанкционированный доступ: доступ запрещен из-за недопустимых учетных данных.

• Сообщение об ошибке 3

  Не удается связаться с локальным центром безопасности.

• Если в браузере отключены понятные сообщения об ошибках, вы также можете получить следующее сообщение об ошибке:

  Сбой входа: пользователю запрещено входить на этот компьютер.

Причина

Эта проблема возникает, если журнал событий безопасности достиг максимального размера журнала, а параметру Оболочка журнала событий задано значение Перезаписать события старшеXDays или Не перезаписывать события. Так как журнал событий безопасности заполнен, а раздел реестра CrashOnAuditFail задан, Microsoft Windows не разрешает вход учетным записям, которые не являются учетными записями администратора. Если настроен анонимный доступ, запросы на веб-сайт пытаются пройти проверку подлинности с помощью учетных записей IUSR_computername и IWAM_computername . Эти учетные записи не являются учетными записями администратора.

Разрешение

Чтобы устранить эту проблему, выполните следующие действия.

1. Сохраните и очистите журнал событий безопасности.

2. Откройте редактор реестра.

3. Найдите следующий ключ и задайте для этого ключа значение 1:

   HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\CrashOnAuditFail

4. Перезапустите сервер. Изменения реестра не вступают в силу до перезапуска сервера.

Дополнительная информация

Раздел реестра CrashOnAuditFail предоставляет необязательную функцию безопасности, которую системные администраторы могут использовать для проверки всех событий безопасности. Допустимые значения ключа CrashOnAuditFail : 0, 1 и 2. Ниже приведены параметры данных.

• 0 — любой пользователь может войти в систему. Это значение используется по умолчанию.

• 1. Любой пользователь может войти в систему, если система может провести аудит событий и записать их в журнал событий безопасности. Если журнал событий безопасности заполнен, значение ключа CrashOnAuditFail изменяется на 2, и сервер завершает работу.

• 2. Вход в систему могут выполнять только администраторы.

Когда журнал событий безопасности заполниется, сервер блокируется, чтобы не пропускать проверяемые события. Вы можете предотвратить блокировку сервера с помощью одного из следующих методов. Обратите внимание, однако, что предотвращение блокировки сервера не позволяет учесть цель ключа CrashOnAuditFail .

• При необходимости задайте для параметра Оболочка журнала событий значение Перезапись событий.

• Ограничьте количество или типы событий, которые проверяются, или полностью отключите аудит.

• Задайте для следующего раздела реестра значение 0:

  HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\CrashOnAuditFail