Поделиться через

Пользователи не могут получить доступ к веб-сайтам, когда журнал событий безопасности заполнен

  • Статья

Эта статья поможет устранить проблему, из-за которой пользователь не может получить доступ к веб-сайтам при заполнении журнала событий безопасности.

Исходная версия продукта: службы IIS
Исходный номер базы знаний: 832981

Итоги

Компонент CrashOnAuditFail — это раздел реестра, который можно задать, чтобы убедиться, что все события, доступные для аудита, записываются в журнал событий безопасности. Если событие, допускаемое для аудита, не может быть зарегистрировано в журнале событий безопасности, возникает ошибка остановки (STOP 0xC0000244). Ошибка остановки обычно возникает, так как журнал событий безопасности заполнен. После возникновения ошибки остановки учетные записи, не являющиеся администраторами, не могут получить доступ к веб-сайтам, а Microsoft IIS (IIS) возвращает сообщения об ошибках HTTP 500 до сброса ключа CrashOnAuditFail и очистки журнала событий безопасности.

Симптомы

При доступе к веб-сайту на сервере вы получите одно из следующих сообщений об ошибках.

  • Сообщение об ошибке 1

    HTTP 500 — внутренняя ошибка сервера

  • Сообщение об ошибке 2

    Ошибка HTTP 401.1 . Несанкционированный доступ запрещен из-за недопустимых учетных данных.

  • Сообщение об ошибке 3

    Не удается связаться с локальным центром безопасности.

  • Если в браузере отключены понятные сообщения об ошибках, вы также можете получить следующее сообщение об ошибке:

    Сбой входа: пользователь не может войти на этот компьютер.

Причина

Эта проблема возникает, если в журнале событий безопасности достигнут максимальный размер журнала, а параметру "Оболочка журнала событий" задано значение Overwrite Events Older thanXDays или Do Not Overwrite Events. Так как журнал событий безопасности заполнен, а раздел реестра CrashOnAuditFail задан, Microsoft Windows не разрешает учетным записям, которые не являются учетными записями администратора для входа. При настройке анонимного доступа запросы на веб-сайт пытаются пройти проверку подлинности с помощью учетных записей IUSR_computername и IWAM_computername . Эти учетные записи не являются учетными записями администратора.

Решение

Важно!

В этот раздел, описание метода или задачи включены действия, содержащие указания по изменению параметров реестра. Однако неправильное изменение параметров реестра может привести к возникновению серьезных проблем. Поэтому убедитесь, что вы внимательно выполните следующие действия. Для дополнительной защиты создайте резервную копию реестра перед его изменением. Так вы сможете восстановить реестр, если возникнет проблема. Для получения дополнительной информации о том, как создать резервную копию и восстановить реестр, см. статью Сведения о резервном копировании и восстановлении реестра Windows.

Проблему можно устранить следующим способом.

  1. Сохраните и снимите журнал событий безопасности.

  2. Откройте редактор реестра.

  3. Найдите следующий ключ и задайте для этого ключа значение 1:

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\CrashOnAuditFail

  4. Перезапустите сервер. Изменения реестра не вступают в силу до перезапуска сервера.

Дополнительная информация

Раздел реестра CrashOnAuditFail предоставляет необязательную функцию безопасности, которую системные администраторы могут использовать для просмотра всех событий безопасности. Допустимые значения ключа CrashOnAuditFail : 0, 1 и 2. Параметры данных:

  • 0 — любой пользователь может войти в систему. Это значение по умолчанию.

  • 1. Любой пользователь может войти в систему, если система может проверять события и записывать события в журнал событий безопасности. Если журнал событий безопасности заполнен, значение ключа CrashOnAuditFail изменяется на 2, а сервер завершает работу.

  • 2. В систему могут входить только администраторы.

Когда журнал событий безопасности становится полным, сервер блокирует себя так, чтобы не пропускались проверяемые события. Вы можете предотвратить блокировку сервера с помощью одного из следующих методов. Обратите внимание, что предотвращение блокировки сервера побеждает назначение ключа CrashOnAuditFail .

Примечание.

Ни один из следующих методов не устраняет проблему. Перед использованием одного из этих методов необходимо выполнить действия, описанные в разделе "Разрешение ".

  • При необходимости задайте параметр оболочки журнала событий для перезаписи событий.

  • Ограничить количество или типы событий, которые проверяются, или отключить аудит полностью.

  • Задайте для следующего раздела реестра значение 0:

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\CrashOnAuditFail