Användare kan inte komma åt webbplatser när säkerhetshändelseloggen är full
Den här artikeln hjälper dig att lösa problemet där användaren inte kan komma åt webbplatser när säkerhetshändelseloggen är full.
Ursprunglig produktversion: Internet Information Services
Ursprungligt KB-nummer: 832981
Sammanfattning
Funktionen CrashOnAuditFail är en registernyckel som kan anges för att se till att alla granskningsbara händelser registreras i säkerhetshändelseloggen. Om en granskningsbar händelse inte kan loggas i säkerhetshändelseloggen inträffar ett stoppfel (STOP 0xC0000244). Stoppfelet uppstår vanligtvis eftersom säkerhetshändelseloggen är full. När stoppfelet inträffar kan icke-administratörskonton inte komma åt webbplatserna, och Microsoft Internet Information Services (IIS) returnerar HTTP 500-felmeddelanden tills nyckeln CrashOnAuditFail har återställts och säkerhetshändelseloggen har rensats.
Symptom
När du kommer åt en webbplats på servern får du något av följande felmeddelanden.
Felmeddelande 1
HTTP 500 – Internt serverfel
Felmeddelande 2
HTTP-fel 401.1 – Obehörig: Åtkomst nekas på grund av ogiltiga autentiseringsuppgifter.
Felmeddelande 3
Det går inte att kontakta den lokala säkerhetsmyndigheten.
När egna felmeddelanden är inaktiverade i webbläsaren kan du också få följande felmeddelande:
Inloggningsfel: användaren får inte logga in på den här datorn.
Orsak
Det här problemet uppstår om säkerhetshändelseloggen har nått den maximala loggstorleken och inställningen Händelselogghantering är inställd på Skriv över händelser som är äldre änXDays eller Skriv inte över händelser. Eftersom säkerhetshändelseloggen är full och registernyckeln CrashOnAuditFail har angetts tillåter Inte Microsoft Windows konton som inte är administratörskonton att logga in på. När anonym åtkomst har konfigurerats försöker begäranden till webbplatsen autentisera med hjälp av kontona IUSR_datornamn och IWAM_datornamn . Dessa konton är inte administratörskonton.
Åtgärd
Viktigt!
Det här avsnittet, metoden eller uppgiften innehåller steg som beskriver hur du ändrar registret. Det kan uppstå allvarliga problem om du gör detta felaktigt. Följ därför noggrant dessa steg. För extra skydd, säkerhetskopiera registret innan du ändrar det. Då kan du återställa registret om det uppstår problem. Mer information om hur du säkerhetskopierar och återställer registret finns i Hur du säkerhetskopierar och återställer registret i Windows.
Följ dessa anvisningar för att lösa problemet:
Spara och rensa säkerhetshändelseloggen.
Öppna Registereditorn.
Leta upp följande nyckel och ange sedan värdet för den här nyckeln till 1:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\CrashOnAuditFailStarta om servern. Registerändringarna börjar inte gälla förrän du startar om servern.
Mer information
Registernyckeln CrashOnAuditFail innehåller en valfri säkerhetsfunktion som systemadministratörer kan använda för att granska alla säkerhetshändelser. Giltiga värden för Nyckeln CrashOnAuditFail är 0, 1 och 2. Dataalternativen är:
0 – Vem som helst kan logga in. Detta är standardvärdet.
1 – Vem som helst kan logga in om systemet kan granska händelserna och skriva händelserna till säkerhetshändelseloggen. Om säkerhetshändelseloggen är full ändras värdet för Nyckeln CrashOnAuditFail till 2 och servern kraschar.
2 – Endast administratörer kan logga in.
När säkerhetshändelseloggen blir full låser sig servern så att inga granskningsbara händelser missas. Du kan förhindra serverlåsningen med någon av följande metoder. Observera dock att förhindrande av serverlåsningen minskar syftet med Nyckeln CrashOnAuditFail .
Kommentar
Ingen av följande metoder löser problemet. Du måste följa stegen i avsnittet Lösning innan du använder någon av dessa metoder.
Ange inställningen Händelseloggomslutning till Skriv över händelser efter behov.
Begränsa antalet eller typerna av händelser som granskas eller inaktivera granskning helt.
Ange värdet för följande registernyckel till 0:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\CrashOnAuditFail