安全性事件記錄檔已滿時,用戶無法存取網站
本文可協助您解決安全性事件記錄檔已滿時無法存取網站的問題。
原始產品版本:網際網路資訊服務
原始 KB 編號: 832981
摘要
CrashOnAuditFail 功能是登錄機碼,可設定以確保所有可稽核的事件都會記錄在安全性事件記錄檔中。 如果無法記錄安全性事件記錄檔中的可稽核事件,就會發生停止錯誤(STOP 0xC0000244)。 停止錯誤通常是因為安全性事件記錄檔已滿而發生。 發生停止錯誤之後,非系統管理員帳戶無法存取網站,Microsoft 網際網路資訊服務 (IIS) 會傳回 HTTP 500 錯誤訊息,直到 CrashOnAuditFail 密鑰重設且清除安全性事件記錄檔為止。
徵兆
當您存取伺服器上的網站時,您會收到下列其中一個錯誤訊息。
錯誤訊息 1
HTTP 500 - 內部伺服器錯誤
錯誤訊息 2
HTTP 錯誤 401.1 - 未經授權:因為認證無效而拒絕存取。
錯誤訊息 3
無法連絡本機安全性授權單位。
在瀏覽器中關閉易記錯誤訊息時,您可能也會收到下列錯誤訊息:
登入失敗:用戶不允許登入此計算機。
原因
如果安全性事件記錄檔已達到記錄大小上限,且 [事件記錄檔換行] 設定設為 [覆寫早於XDays 的事件] 或 [不要覆寫事件],就會發生此問題。 因為安全性事件記錄檔已滿,而且 已設定 CrashOnAuditFail 登錄機碼,Microsoft Windows 不允許不是系統管理員帳戶的帳戶登入。 設定匿名存取時,網站的要求會嘗試使用 IUSR_computername 和 IWAM_computername 帳戶進行驗證。 這些帳戶不是系統管理員帳戶。
解決方法
重要
這個章節、方法或工作包含修改登錄的步驟。 然而,不當修改登錄可能會發生嚴重的問題。 因此,請務必小心執行下列步驟。 為增加保護起見,請先備份登錄,再進行修改。 然後,如果發生問題,您就可以還原登錄。 如需備份和還原登錄的詳細資訊,請參閱如何在 Windows 中備份及還原登錄。
若要解決此問題,請依照下列步驟執行︰
儲存並清除安全性事件記錄檔。
啟動 [登錄編輯程式]。
找出下列索引鍵,然後將此機碼的值設定為 1:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\CrashOnAuditFail重新啟動伺服器。 登錄變更在您重新啟動伺服器之前不會生效。
其他相關資訊
CrashOnAuditFail 登錄機碼提供選擇性的安全性功能,系統管理員可用來檢閱所有安全性事件。 CrashOnAuditFail 索引鍵的有效值為 0、1 和 2。 資料選項如下:
0 - 任何人都可以登入。 這是預設值。
1 - 如果系統可以稽核事件,並將事件寫入安全性事件記錄檔,任何人都可以登入。 如果安全性事件記錄檔已滿,CrashOnAuditFail 機碼的值會變更為 2,而伺服器會當機。
2 - 只有系統管理員才能登入。
當安全性事件記錄檔滿時,伺服器會自行鎖定,以免遺漏任何可稽核的事件。 您可以使用下列其中一種方法來防止伺服器鎖定。 不過,請注意,防止伺服器鎖定會失敗 CrashOnAuditFail 密鑰的目的。
注意
下列任何方法都無法單獨解決問題。 您必須先遵循 [解決] 區段中的步驟,才能使用這些方法之一。
將 [ 事件記錄包裝 ] 設定設為 [視需要覆寫事件]。
限制稽核的事件數目或類型,或完全停用稽核。
將下列登入機碼的值設定為 0:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\CrashOnAuditFail