當安全性事件記錄檔已滿時,用戶無法存取網站

本文可協助您解決當安全性事件記錄檔已滿時,用戶無法存取網站的問題。

原始產品版本: Internet Information Services
原始 KB 編號: 832981

摘要

CrashOnAuditFail 功能是可設定的登錄機碼,可確保所有可稽核的事件都記錄在安全性事件記錄檔中。 如果無法在安全性事件記錄檔中記錄可稽核的事件,則會發生停止錯誤 (STOP 0xC0000244) 。 停止錯誤通常會發生,因為安全性事件記錄檔已滿。 發生停止錯誤之後,非系統管理員帳戶無法存取網站,Microsoft Internet Information Services (IIS) 傳回 HTTP 500 錯誤訊息,直到重設 CrashOnAuditFail 金鑰並清除安全性事件記錄檔為止。

徵狀

當您存取伺服器上的網站時,您會收到下列其中一個錯誤訊息。

  • 錯誤訊息 1

    HTTP 500 - 內部伺服器錯誤

  • 錯誤訊息 2

    HTTP 錯誤 401.1 - 未經授權:存取因認證無效而遭拒。

  • 錯誤訊息 3

    無法連絡本機安全性授權單位。

  • 當瀏覽器中的易記錯誤訊息關閉時,您可能也會收到下列錯誤訊息:

    登入失敗:用戶不允許登入這部計算機。

原因

如果安全性事件記錄檔已達到記錄檔大小上限,且 [事件記錄檔包裝 ] 設定設為 [覆寫比XDays 還舊的事件 ] 或 [ 不要覆寫事件],就會發生此問題。 由於安全性事件記錄檔已滿,且已設定 CrashOnAuditFail 登錄 機碼,因此 Microsoft Windows 不允許非系統管理員帳戶的帳戶登入。 設定匿名存取時,網站的要求會嘗試使用 IUSR_computername 和 IWAM_computername 帳戶進行 驗證。 這些帳戶不是系統管理員帳戶。

解決方案

重要事項

這個章節、方法或工作包含修改登錄的步驟。 然而,不當修改登錄可能會發生嚴重的問題。 因此,請務必謹慎地依照這些步驟執行。 為了有多一層保護,請先備份登錄再進行修改。 如此一來,您就可以在發生問題時還原登錄。 如需進一步了解如何備份及還原登錄的相關資訊,請參閱如何在 Windows 中備份及還原登錄

若要解決此問題,請遵循下列步驟:

  1. 儲存並清除安全性事件記錄檔。

  2. 啟動 [登錄編輯程式]。

  3. 找出下列索引鍵,然後將此索引鍵的值設定為 1

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\CrashOnAuditFail

  4. 重新啟動伺服器。 在您重新啟動伺服器之前,登錄變更不會生效。

其他相關資訊

CrashOnAuditFail 登錄機碼提供選擇性的安全性功能,供系統管理員用來檢閱所有安全性事件。 CrashOnAuditFail 索引鍵的有效值為 0、1 和 2。 資料選項包括:

  • 0 - 任何人都可以登入。 這是預設值。

  • 1 - 如果系統可以稽核事件並將事件寫入安全性事件記錄檔,任何人都可以登入。 如果安全性事件記錄檔已滿, CrashOnAuditFail 金鑰的值會變更為 2,而伺服器會損毀。

  • 2 - 只有系統管理員可以登入。

當安全性事件記錄檔已滿時,伺服器會自行鎖定,因此不會遺漏任何可稽核的事件。 您可以使用下列其中一種方法來防止伺服器鎖定。 不過請注意,防止伺服器鎖定會破壞 CrashOnAuditFail 密鑰的目的。

注意事項

下列任何方法都無法單獨解決問題。 您必須遵循解決 一節中的 步驟,才能使用這些方法之一。

  • 視需要將 [事件記錄檔包裝 ] 設定為 [覆寫事件]

  • 限制已稽核的事件數目或類型,或完全停用稽核。

  • 將下列登入機碼的值設定為 0

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\CrashOnAuditFail