Os usuários não podem acessar sites quando o log de eventos de segurança está cheio
Este artigo ajuda a resolver o problema em que o usuário não pode acessar sites quando o log de eventos de segurança está cheio.
Versão original do produto: Serviços de Informações da Internet
Número original do KB: 832981
Resumo
O recurso CrashOnAuditFail é uma chave do Registro que pode ser definida para garantir que todos os eventos auditáveis sejam registrados no log de eventos de segurança. Se um evento auditável não puder ser registrado no log de eventos de segurança, ocorrerá um erro de parada (STOP 0xC0000244). O erro de parada geralmente ocorre porque o log de eventos de segurança está cheio. Depois que o erro de parada ocorre, as contas que não são de administrador não podem acessar os sites e o IIS (Serviços de Informações da Internet) da Microsoft retorna mensagens de erro HTTP 500 até que a chave CrashOnAuditFail seja redefinida e o log de eventos de segurança seja limpo.
Sintomas
Ao acessar um site no servidor, você recebe uma das seguintes mensagens de erro.
Mensagem de erro 1
HTTP 500 - Erro interno do servidor
Mensagem de erro 2
Erro HTTP 401.1 - Não autorizado: o acesso é negado devido a credenciais inválidas.
Mensagem de erro 3
A autoridade de segurança local não pode ser contatada.
Quando as mensagens de erro amigáveis são desativadas no navegador, você também pode receber a seguinte mensagem de erro:
Falha de logon: o usuário não tem permissão para fazer logon neste computador.
Causa
Esse problema ocorrerá se o log de eventos de segurança tiver atingido o tamanho máximo do log e a configuração Encapsulamento do Log de Eventos estiver definida como Substituir Eventos Anteriores a XDays ou Não Substituir Eventos. Como o log de eventos de segurança está cheio e a chave do Registro CrashOnAuditFail está definida, o Microsoft Windows não permite que contas que não sejam contas de administrador façam logon. Quando o acesso anônimo é configurado, as solicitações para o site tentam ser autenticadas usando as contas IUSR_nomedocomputador e IWAM_nomedocomputador. Essas contas não são contas de administrador.
Solução
Importante
Esta seção, método ou tarefa contém etapas que descrevem como modificar o Registro. Entretanto, sérios problemas poderão ocorrer caso você modifique o Registro incorretamente. Portanto, certifique-se de seguir essas etapas com atenção. Para proteção acrescida, faça backup do Registro antes de modificá-lo. Em, é possível restaurar o Registro caso ocorra um problema. Para obter mais informações sobre como fazer backup e restaurar o Registro, consulte Como fazer backup e restaurar o Registro no Windows.
Para resolver esse problema, siga estas etapas:
Salve e limpe o log de eventos de segurança.
Abra o Editor do Registro.
Localize a seguinte chave e defina o valor dessa chave como 1:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\CrashOnAuditFail
Reinicie o servidor. As alterações do Registro não entram em vigor até que você reinicie o servidor.
Mais informações
A chave do Registro CrashOnAuditFail fornece um recurso de segurança opcional que os administradores do sistema podem usar para revisar todos os eventos de segurança. Os valores válidos para a chave CrashOnAuditFail são 0, 1 e 2. As opções de dados são:
0 - Qualquer pessoa pode fazer logon. Este é o valor padrão.
1 - Qualquer pessoa pode fazer logon se o sistema puder auditar os eventos e gravar os eventos no log de eventos de segurança. Se o log de eventos de segurança estiver cheio, o valor da chave CrashOnAuditFail será alterado para 2 e o servidor falhará.
2 - Somente administradores podem fazer logon.
Quando o log de eventos de segurança fica cheio, o servidor se bloqueia para que nenhum evento auditável seja perdido. Você pode impedir o bloqueio do servidor usando um dos métodos a seguir. Observe, no entanto, que impedir o bloqueio do servidor anula a finalidade da chave CrashOnAuditFail .
Observação
Nenhum dos métodos a seguir resolve o problema sozinho. Você deve seguir as etapas na seção Resolução antes de usar um desses métodos.
Defina a configuração Encapsulamento do Log de Eventos como Substituir eventos conforme necessário.
Limite o número ou os tipos de eventos auditados ou desabilite completamente a auditoria.
Defina o valor da seguinte chave do Registro como 0:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\CrashOnAuditFail