Les utilisateurs ne peuvent pas accéder aux sites Web lorsque le journal de sécurité est plein


Nous recommandons fortement que tous les utilisateurs se mettent à niveau vers la version 7.0 de Microsoft Internet Information Services (IIS) en cours d'exécution sur Microsoft Windows Server 2008. IIS 7.0 augmente considérablement la sécurité d’infrastructure Web. Pour plus d’informations sur les questions liées à la sécurité IIS, visitez le site Web de Microsoft à l’adresse suivante :Pour plus d’informations sur IIS 7.0, visitez le site Web de Microsoft à l’adresse suivante :

Résumé


La fonctionnalité de CrashOnAuditFail est une clé de Registre qui peut être définie afin de vous assurer que tous les événements pouvant être audités sont enregistrés dans le journal d’événements de sécurité. Si un événement d’audit ne peut pas être consigné dans le journal d’événements de sécurité, une erreur d’arrêt (STOP 0xC0000244) se produit. L’erreur d’arrêt se produit généralement parce que le journal de sécurité est plein. Après l’arrêt erreur se produit, les comptes non-administrateurs ne peuvent pas accéder aux sites Web, et Microsoft Internet Information Services (IIS) renvoie des messages d’erreur HTTP 500 jusqu'à ce que la clé de CrashOnAuditFail est réinitialisée et le journal de sécurité est désactivé.

Symptômes


Lorsque vous accédez à un site Web sur le serveur, vous recevez un des messages d’erreur suivants.
Message d'erreur 1
HTTP 500 - Erreur interne du serveur
Message d'erreur 2
Erreur HTTP 401.1 - non autorisé : Accès refusé en raison d’informations d’identification non valides.
Message d'erreur 3
L’autorité de sécurité locale ne peut pas être contactée.
Lorsque les messages d’erreur conviviaux sont désactivés dans le navigateur, le message d’erreur suivant peut également s’afficher :
Échec d’ouverture de session : utilisateur non autorisé à ouvrir une session sur cet ordinateur.

Cause


Ce problème se produit si le journal des événements sécurité a atteint la taille maximale du journal et le Bouclage du journal des événements est défini sur Remplacer les événements datant de plus de X jours ou de Ne pas remplacer les événements. Étant donné que le journal de sécurité est plein et que la clé de Registre CrashOnAuditFail est définie, Microsoft Windows n’autorise pas les comptes qui ne sont pas des comptes d’administrateur pour ouvrir une session. Lorsque l’accès anonyme est configuré, les demandes sur le site Web essaient de s’authentifier en utilisant le compte IUSR_NomOrdinateur et les comptes IWAM_nom_ordinateur . Ces comptes ne sont pas des comptes d’administrateur.

Résolution


Important Cette section, méthode ou tâche contient des étapes vous indiquant comment modifier le Registre. Toutefois, des problèmes graves peuvent survenir si vous modifiez le Registre de façon incorrecte. Par conséquent, veillez à suivre ces étapes scrupuleusement. Pour une meilleure protection, sauvegardez le Registre avant de le modifier. Vous pourriez alors restaurer le Registre si un problème survient. Pour plus d’informations sur la façon de sauvegarder et de restaurer le Registre, cliquez sur le numéro ci-dessous pour afficher l’article correspondant dans la Base de connaissances Microsoft :
322756 comment sauvegarder et restaurer le Registre dans Windows


Pour résoudre ce problème, procédez comme suit :
  1. Enregistrez et effacez le journal d’événements de sécurité.
  2. Démarrez l'Éditeur du Registre.
  3. Recherchez la clé suivante, puis définissez la valeur de cette clé sur 1 :
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\CrashOnAuditFail
  4. Redémarrez le serveur. Les modifications du Registre ne prendront effet qu’après le redémarrage du serveur.

État


Ce comportement est voulu par la conception.

Plus d'informations


La clé de Registre CrashOnAuditFail fournit une fonctionnalité de sécurité facultatif qui permet aux administrateurs système d’examiner tous les événements de sécurité. Les valeurs valides pour la clé CrashOnAuditFail sont 0, 1 et 2. Les options de données sont les suivantes :

  • 0 - n’importe qui peut ouvrir une session. Il s’agit de la valeur par défaut.
  • 1 - tout le monde peut ouvrir une session si le système peut auditer les événements et écrire les événements dans le journal des événements sécurité. Si le journal de sécurité est plein, la valeur de la clé CrashOnAuditFail est 2, et le serveur tombe en panne.
  • 2 - seuls les administrateurs peuvent ouvrir une session.
Lorsque le journal de sécurité est plein, le serveur bloque lui-même afin qu’aucun événement d’audit n’est ignorés. Vous pouvez empêcher le verrouillage du serveur en utilisant l’une des méthodes suivantes. Notez, toutefois, que le verrouillage du serveur empêchant nuit à l’utilité de la clé de la valeur CrashOnAuditFail .

Remarque Aucune des méthodes suivants seuls résout le problème. Vous devez suivre les étapes décrites dans la section « Résolution » avant d’utiliser une de ces méthodes.
  • Définissez le paramètre d’Enregistrement circulaire pour Remplacer les événements si nécessaire.
  • Limiter le nombre de types d’événements qui sont audités, ou désactiver l’audit complètement.
  • La valeur de la clé de Registre suivante sur 0 :
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\CrashOnAuditFail

Références


Pour plus d’informations sur l’utilisation de la fonctionnalité de sécurité CrashOnAuditFail, cliquez sur les numéros ci-dessous pour afficher les articles correspondants dans la Base de connaissances Microsoft :

140058 comment faire pour empêcher des activités d’audit lorsque le journal de sécurité est plein

232564 STOP 0xC0000244 lorsque le journal de sécurité