Benutzer können nicht auf Websites zugreifen, wenn das Sicherheitsereignisprotokoll voll ist
Dieser Artikel hilft Ihnen bei der Behebung des Problems, dass Benutzer nicht auf Websites zugreifen können, wenn das Sicherheitsereignisprotokoll voll ist.
Ursprüngliche Produktversion: Internetinformationsdienste
Ursprüngliche KB-Nummer: 832981
Zusammenfassung
Das CrashOnAuditFail-Feature ist ein Registrierungsschlüssel, der festgelegt werden kann, um sicherzustellen, dass alle überprüfbaren Ereignisse im Sicherheitsereignisprotokoll aufgezeichnet werden. Wenn ein überprüfbares Ereignis nicht im Sicherheitsereignisprotokoll protokolliert werden kann, tritt ein Stoppfehler (STOP 0xC0000244) auf. Der Abbruchfehler tritt in der Regel auf, weil das Sicherheitsereignisprotokoll voll ist. Nachdem der Abbruchfehler aufgetreten ist, können Nicht-Administratorkonten nicht auf die Websites zugreifen, und Microsoft-Internetinformationsdienste (IIS) gibt HTTP 500-Fehlermeldungen zurück, bis der Schlüssel CrashOnAuditFail zurückgesetzt und das Sicherheitsereignisprotokoll gelöscht wird.
Symptome
Wenn Sie auf eine Website auf dem Server zugreifen, erhalten Sie eine der folgenden Fehlermeldungen.
Fehlermeldung 1
HTTP 500 : Interner Serverfehler
Fehlermeldung 2
HTTP-Fehler 401.1 – Nicht autorisiert: Der Zugriff wird aufgrund ungültiger Anmeldeinformationen verweigert.
Fehlermeldung 3
Die lokale Sicherheitsautorität kann nicht kontaktiert werden.
Wenn benutzerfreundliche Fehlermeldungen im Browser deaktiviert sind, erhalten Sie möglicherweise auch die folgende Fehlermeldung:
Anmeldefehler: Der Benutzer darf sich nicht bei diesem Computer anmelden.
Ursache
Dieses Problem tritt auf, wenn das Sicherheitsereignisprotokoll die maximale Protokollgröße erreicht hat und die Einstellung Ereignisprotokollumbruch auf Ereignisse überschreiben, die älter alsXDays sind, oder Ereignisse nicht überschreiben festgelegt ist. Da das Sicherheitsereignisprotokoll voll ist und der Registrierungsschlüssel CrashOnAuditFail festgelegt ist, lässt Microsoft Windows keine Anmeldung für Konten zu, bei denen es sich nicht um Administratorkonten handelt. Wenn der anonyme Zugriff konfiguriert ist, versuchen Anforderungen an die Website, sich mithilfe der Konten IUSR_Computername und IWAM_Computername zu authentifizieren. Diese Konten sind keine Administratorkonten.
Lösung
Wichtig
Dieser Abschnitt, diese Methode bzw. diese Aufgabe enthält eine Beschreibung der Schritte zum Bearbeiten der Registrierung. Durch die falsche Bearbeitung der Registrierung können schwerwiegende Probleme verursacht werden. Daher ist es wichtig, bei der Ausführung der folgenden Schritte sorgfältig vorzugehen. Für zusätzlichen Schutz sichern Sie die Registrierung, bevor Sie sie ändern. Sie können die Registrierung wiederherstellen, wenn ein Problem auftritt. Weitere Informationen zum Sichern und Wiederherstellen der Registrierung finden Sie unter Sichern und Wiederherstellen der Registrierung in Windows.
Gehen Sie folgendermaßen vor, um dieses Problem zu beheben:
Speichern und löschen Sie das Sicherheitsereignisprotokoll.
Starten Sie den Registrierungs-Editor.
Suchen Sie den folgenden Schlüssel, und legen Sie den Wert dieses Schlüssels auf 1 fest:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\CrashOnAuditFailStarten Sie den Server neu. Die Registrierungsänderungen werden erst wirksam, wenn Sie den Server neu starten.
Weitere Informationen
Der Registrierungsschlüssel CrashOnAuditFail bietet ein optionales Sicherheitsfeature, mit dem Systemadministratoren alle Sicherheitsereignisse überprüfen können. Die gültigen Werte für den Schlüssel CrashOnAuditFail sind 0, 1 und 2. Die Datenoptionen sind:
0 – Jeder kann sich anmelden. Dies ist der Standardwert.
1 – Jeder kann sich anmelden, wenn das System die Ereignisse überwachen und die Ereignisse in das Sicherheitsereignisprotokoll schreiben kann. Wenn das Sicherheitsereignisprotokoll voll ist, wird der Wert für den Schlüssel CrashOnAuditFail in 2 geändert, und der Server stürzt ab.
2 – Nur Administratoren können sich anmelden.
Wenn das Sicherheitsereignisprotokoll voll ist, sperrt sich der Server selbst, sodass keine überprüfbaren Ereignisse übersehen werden. Sie können die Serversperre mit einer der folgenden Methoden verhindern. Beachten Sie jedoch, dass das Verhindern der Serversperre den Zweck des Schlüssels CrashOnAuditFail verfehlt.
Hinweis
Keine der folgenden Methoden allein behebt das Problem. Sie müssen die Schritte im Abschnitt Lösung ausführen, bevor Sie eine dieser Methoden verwenden.
Legen Sie die Einstellung Ereignisprotokollumbruch auf Ereignisse nach Bedarf überschreiben fest.
Beschränken Sie die Anzahl oder Typen von Ereignissen, die überwacht werden, oder deaktivieren Sie die Überwachung vollständig.
Legen Sie den Wert für den folgenden Registrierungsschlüssel auf 0 fest:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\CrashOnAuditFail
Feedback
Bald verfügbar: Im Laufe des Jahres 2024 werden wir GitHub-Issues stufenweise als Feedbackmechanismus für Inhalte abbauen und durch ein neues Feedbacksystem ersetzen. Weitere Informationen finden Sie unter https://aka.ms/ContentUserFeedback.
Feedback senden und anzeigen für