Användare kan inte komma åt webbplatser när säkerhetsloggen är full


Vi rekommenderar alla användare att uppgradera till Microsoft Internet Information Services (IIS) version 7.0 körs på Microsoft Windows Server 2008. IIS 7.0 ökar väsentligt säkerheten för webbinfrastrukturen. Mer information om IIS-säkerhet-relaterade ämnen finns på följande Microsoft-webbplats:Mer information om IIS 7.0 finns på följande Microsoft-webbplats:

Sammanfattning


Funktionen för CrashOnAuditFail är en registernyckel som kan ställas in för att se till att alla granskningsbara händelser som registreras i säkerhetsloggen. Om en granskningsbara händelse kan loggas i säkerhetsloggen, uppstår ett stop-fel (STOP 0xC0000244). Stop-felet inträffar vanligtvis eftersom säkerhetsloggen är full. Efter stopp uppstår fel, icke-administratörskonton kan inte komma åt webbplatser och Microsoft Internet Information Services (IIS) returnerar HTTP 500-felmeddelanden tills återställs nyckeln för CrashOnAuditFail och säkerhetsloggen är avmarkerad.

Symptom


När du besöker en webbplats på servern visas något av följande felmeddelanden.
Felmeddelande 1
HTTP 500 - Internt serverfel
Felmeddelande 2
HTTP-fel 401.1 - obehörig: Åtkomst nekas p.g.a. ogiltiga autentiseringsuppgifter.
Felmeddelande 3
Det går inte att kontakta den lokala säkerhetskontrollen.
När informativa felmeddelanden är inaktiverade i webbläsaren hända även följande felmeddelande:
Inloggningsfel: användaren har inte tillåtelse att logga in på den här datorn.

Orsak


Det här problemet uppstår om säkerhetshändelseloggen har uppnått den maximala loggstorleken och inställningen Loggperiod är inställd på Skriv över händelser äldre än X dagar eller Skriv aldrig över händelser. Eftersom säkerhetsloggen är full och CrashOnAuditFail registernyckeln anges, tillåter inte konton som inte är administratörskonton kan logga in i Microsoft Windows. När anonym åtkomst är konfigurerad försöker begäranden till webbplatsen autentisera med hjälp av IUSR_datornamn och IWAM_datornamn konton. Dessa konton är administratörskonton.

Lösning


Viktigt Avsnittet, metoden eller aktiviteten innehåller instruktioner om hur du ändrar registret. Allvarliga problem kan dock uppstå om du ändrar registret felaktigt. Se därför till att du följer instruktionerna noga. För extra skydd, säkerhetskopiera registret innan du ändrar det. Du kan sedan återställa registret om det uppstår problem. För mer information om hur du säkerhetskopierar och återställer registret klickar du på följande artikelnummer och läser artikeln i Microsoft Knowledge Base:
322756 hur du säkerhetskopierar och återställer registret i Windows


Lös problemet så här:
  1. Spara och rensa säkerhetsloggen.
  2. Starta Registereditorn.
  3. Leta upp följande nyckel och ange värdet för den här nyckeln till 1:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\CrashOnAuditFail
  4. Starta om servern. Registerändringar börjar inte gälla förrän du startar om servern.

Status


Detta är avsiktligt.

Mer Information


Registernyckeln CrashOnAuditFail innehåller en valfri säkerhetsfunktion som systemadministratörer kan använda för att granska alla säkerhetshändelser. Giltiga värden för nyckeln CrashOnAuditFail är 0, 1 och 2. Dataalternativ är:

  • 0 - alla kan logga in. Det här är standardvärdet.
  • 1 - alla kan logga in om systemet kan granska händelserna och skriva händelser till säkerhetshändelseloggen. Värdet för CrashOnAuditFail nyckel ändras till 2 och servern kraschar om säkerhetshändelseloggen är full.
  • 2 - endast administratörer kan logga in.
När säkerhetsloggen blir full, låser servern sig ned så att inga granskningsbara händelser har missat. Du kan förhindra att servern låsning med någon av följande metoder. Observera dock som förhindrar att servern låsning defeats syftet med CrashOnAuditFail nyckel.

Obs! Ingen av de följande metoderna enbart löser problemet. Innan du använder någon av dessa metoder måste du följa anvisningarna i avsnittet "Lösning".
  • Ange inställningen Loggperiod till Skriv över händelser om det behövs.
  • Begränsa antal eller andra typer av händelser som ska granskas eller inaktivera granskning helt.
  • Värdet för registernyckeln till 0:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\CrashOnAuditFail

Referenser


Mer information om hur du använder funktionen CrashOnAuditFail säkerhet klickar du på följande artikelnummer och läser artiklarna i Microsoft Knowledge Base:

140058 så att inte granskningsbara aktiviteter när säkerhetsloggen är full

232564 STOP 0xC0000244 när säkerhetsloggen är full