Дата последнего изменения раздела: 2005-11-18

Чтобы определить, настроен ли параметр CrashOnAuditFail, средство анализатора приложения Microsoft® Exchange Server считывает следующую запись реестра:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA\CrashOnAuditFail

Если анализатор сервера Exchange обнаруживает, что значение параметра CrashOnAuditFail равно 2, на экран выводится сообщение об ошибке.

Назначением раздела CrashonAuditFail реестра является настройка сервера таким образом, чтобы конечным пользователям не был разрешен доступ к компьютеру в случае, когда журналы безопасности достигают заданного предельного размера. Запрет доступа в компьютер гарантирует, что данные аудита, которые в других обстоятельствах должны быть занесены в журнал, не будут потеряны.

При включении разделу CrashonAuditFail реестра присваивается значение, равное 1. Однако когда достигнут предельный размер журнала безопасности, сервер присваивает разделу реестра значение, равное 2, что, в свою очередь, останавливает обработку на сервере. Иногда этот процесс вызывает полный отказ или STOP 0xC0000244, также известный как ошибка останова. Как минимум, пользователи не смогут получить доступ к ресурсам сервера, и работа будет в значительной степени заторможена. Кроме того, когда сервер находится в этом состоянии, доступ к компьютеру возможен лишь для пользователей с разрешениями администратора.

Важно!
Эта статья содержит сведения о редактировании реестра. Перед редактированием реестра убедитесь, что вы знаете, как восстановить реестр в случае возникновения неисправности. Сведения о восстановлении реестра см. в разделе справки «Восстановление реестра» в Regedit.exe или Regedt32.exe.

Чтобы устранить эту ошибку

  1. Откройте редактор реестра, например, Regedit.exe или Regedt32.exe.

  2. Перейдите к следующему разделу реестра: HKLM\SYSTEM\currentcontrolset\Services

  3. Удалите вызванное значение CrashOnAuditFail (следует удалить значение полностью, а не только данные).

  4. Скопируйте журналы событий безопасности в отдельную папку. По умолчанию журналы событий безопасности (SecEvent.Evt) расположены в %SystemRoot%\System32\Config, где %SystemRoot% представляет собой путь для папки, где установлена операционная система Microsoft Windows®.

  5. Откройте средство просмотра событий, щелкните правой кнопкой мыши Безопасность и затем щелкните Свойства.

  6. На странице Безопасность — свойства щелкните Очистить журнал. После получения приглашения сохранить журнал щелкните Да и затем укажите папку, в которой следует сохранить файл журнала.

    Примечание   На странице Безопасность — свойства можно также увеличить размер журнала, изменив поле Наибольший размер журнала и затем щелкнув Применить.

  7. Перезапустите сервер.

  8. Войдя в почтовый ящик Exchange, проверьте, чтобы пользователи могли получить доступ к ресурсам сервера.

  9. Повторно создайте раздел CrashonAuditFail реестра и установите для него значение, равное 1.

  10. Перезапустите сервер, чтобы параметры CrashonAuditFail вступили в действие.

  11. Периодически очищайте и сохраняйте журналы безопасности сервера, следя за тем, чтобы наибольший размер журнала не был превышен. Дополнительные сведения см. в базе знаний Майкрософт, в статье 312571 "The event log stops logging events before reaching the maximum log size" (Журнал событий прекращает регистрацию событий в журнале перед достижением максимального размера журнала) (http://go.microsoft.com/fwlink/?LinkId=3052&kbid=312571).

Сведения, с которыми следует ознакомиться до редактирования реестра, а также сведения по редактированию реестра см. в базе знаний Майкрософт в статье 256986 "Description of the Microsoft Windows Registry" (Описание реестра Microsoft Windows) (http://go.microsoft.com/fwlink/?linkid=3052&kbid=256986).

Дополнительные сведения о восстановлении после неисправности CrashOnAuditFail см. в следующих статьях базы знаний: