Los usuarios no pueden acceder a sitios Web cuando el registro de sucesos de seguridad está lleno


Se recomienda encarecidamente a todos los usuarios que actualicen a la versión 7.0 de Microsoft Internet Information Services (IIS) que se ejecuta en Microsoft Windows Server 2008. IIS 7.0 aumenta considerablemente la seguridad de la infraestructura Web. Para obtener más información acerca de temas relacionados con la seguridad IIS, visite el siguiente sitio Web de Microsoft:Para obtener más información acerca de IIS 7.0, visite el siguiente sitio Web de Microsoft:

Resumen


La característica de CrashOnAuditFail es una clave del registro que se puede establecer para asegurarse de que todos los eventos auditables se registran en el registro de sucesos de seguridad. Si no se puede registrar un suceso auditable en el registro de sucesos de seguridad, se produce un error de detención (STOP 0xC0000244). El error stop se produce normalmente porque el registro de sucesos de seguridad está lleno. Después de la parada se produce error, cuentas sin privilegios de administrador no tiene acceso a los sitios Web y servicios de Microsoft Internet Information Services (IIS) devuelve mensajes de error HTTP 500 hasta que se restablezca la clave CrashOnAuditFail y se borra el registro de sucesos de seguridad.

Síntomas


Cuando tiene acceso a un sitio Web en el servidor, recibirá uno de los siguientes mensajes de error.
Mensaje de error 1
HTTP 500 - Error interno del servidor
Mensaje de error 2
HTTP Error 401.1 - no autorizado: Acceso denegado debido a credenciales no válidas.
Mensaje de error 3
No se puede contactar con la autoridad de seguridad Local.
Cuando los mensajes de error descriptivos están desactivados en el explorador, también puede recibir el siguiente mensaje de error:
Error de inicio de sesión: usuario no tiene permitida para iniciar sesión en este equipo.

Causa


Este problema se produce si el registro de sucesos de seguridad ha alcanzado el tamaño máximo del registro y la configuración de Ajuste del registro de eventos está establecida en Sobrescribir sucesos de hace más de X días o No sobrescribir sucesos. Puesto que el registro de sucesos de seguridad está lleno y la clave del registro CrashOnAuditFail se establece, Microsoft Windows no permite que las cuentas que no son cuentas de administrador para iniciar sesión. Cuando se configura el acceso anónimo, las solicitudes al sitio Web intenta autenticar mediante la cuenta IUSR_nombreDeEquipo y cuentas IWAM_nombreEquipo . Estas cuentas no son cuentas de administrador.

Solución


Importante: esta sección, el método o la tarea contiene pasos que indican cómo modificar el registro. Sin embargo, pueden producirse problemas graves si modifica incorrectamente el registro. Por lo tanto, asegúrese de que sigue estos pasos cuidadosamente. Para una mayor protección, haga una copia de seguridad del registro antes de modificarlo. Entonces, puede restaurar el registro si se produce un problema. Para obtener más información acerca de cómo hacer copia de seguridad y restaurar el registro, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:
322756 cómo hacer copia de seguridad y restaurar el registro en Windows


Para resolver este problema, siga estos pasos:
  1. Guardar y borrar el registro de sucesos de seguridad.
  2. Inicie el Editor del registro.
  3. Busque la clave siguiente y, a continuación, establezca el valor de esta clave en 1:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\CrashOnAuditFail
  4. Reinicie el servidor. Los cambios del registro no surten efecto hasta que reinicie el servidor.

Estado


Este comportamiento es por diseño.

Más información


La clave del registro CrashOnAuditFail proporciona una característica de seguridad opcional que los administradores del sistema pueden utilizar para consultar todos los eventos de seguridad. Los valores válidos para la clave CrashOnAuditFail son 0, 1 y 2. Las opciones de datos son:

  • 0 - cualquier usuario puede iniciar sesión. Este es el valor predeterminado.
  • 1 - cualquier usuario puede iniciar sesión si el sistema puede auditar los sucesos y escribir los eventos en el registro de sucesos de seguridad. Si el registro de sucesos de seguridad está lleno, se cambia el valor de la clave CrashOnAuditFail a 2 y el servidor se bloquea.
  • 2 - sólo los administradores pueden iniciar sesión.
Cuando se llena el registro de sucesos de seguridad, el servidor bloquea propio por lo que se pierden no hay eventos auditables. Puede evitar el bloqueo del servidor mediante uno de los métodos siguientes. No obstante, observe que evitar el bloqueo del servidor en contra del propósito de la clave CrashOnAuditFail .

Nota: Ninguno de los métodos siguientes sólo resuelve el problema. Debe seguir los pasos descritos en la sección "Resolución" antes de utilizar uno de estos métodos.
  • Establecer el Ajuste del registro de eventos en Sobrescribir sucesos cuando sea necesario.
  • Limitar el número o los tipos de sucesos que se auditan o deshabilitación la auditoría completamente.
  • Establezca el valor de la siguiente clave del registro en 0:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\CrashOnAuditFail

Referencias


Para obtener información adicional acerca de cómo utilizar la característica de seguridad CrashOnAuditFail, haga clic en los números de artículo siguientes para verlos en Microsoft Knowledge Base:

140058 cómo impedir las actividades de auditoría cuando el registro de seguridad está lleno

232564 STOP 0xC0000244 cuando completa del registro de seguridad