Les utilisateurs ne peuvent pas accéder aux sites Web lorsque le journal des événements de sécurité est plein

Cet article vous aide à résoudre le problème où l’utilisateur ne peut pas accéder aux sites Web lorsque le journal des événements de sécurité est plein.

Version du produit d’origine : Internet Information Services
Numéro de la base de connaissances d’origine : 832981

Résumé

La fonctionnalité CrashOnAuditFail est une clé de Registre qui peut être définie pour s’assurer que tous les événements auditables sont enregistrés dans le journal des événements de sécurité. Si un événement pouvant être audité ne peut pas être enregistré dans le journal des événements de sécurité, une erreur d’arrêt (STOP 0xC0000244) se produit. L’erreur d’arrêt se produit généralement parce que le journal des événements de sécurité est plein. Une fois l’erreur d’arrêt survenue, les comptes non administrateurs ne peuvent pas accéder aux sites Web et Microsoft Internet Information Services (IIS) retourne les messages d’erreur HTTP 500 jusqu’à ce que la clé CrashOnAuditFail soit réinitialisée et que le journal des événements de sécurité soit effacé.

Symptômes

Lorsque vous accédez à un site Web sur le serveur, vous recevez l’un des messages d’erreur suivants.

  • Message d’erreur 1

    HTTP 500 - Erreur interne du serveur

  • Message d’erreur 2

    Erreur HTTP 401.1 - Non autorisé : l’accès est refusé en raison d’informations d’identification non valides.

  • Message d’erreur 3

    Impossible de contacter l’autorité de sécurité locale.

  • Lorsque les messages d’erreur conviviaux sont désactivés dans le navigateur, vous pouvez également recevoir le message d’erreur suivant :

    Échec de connexion : l’utilisateur n’est pas autorisé à se connecter à cet ordinateur.

Cause

Ce problème se produit si le journal des événements de sécurité a atteint la taille maximale du journal et que le paramètre De wrapping du journal des événements est défini sur Remplacer les événements plus anciens que XDays ou Ne pas remplacer les événements. Étant donné que le journal des événements de sécurité est plein et que la clé de Registre CrashOnAuditFail est définie, Microsoft Windows n’autorise pas les comptes qui ne sont pas des comptes d’administrateur à se connecter. Lorsque l’accès anonyme est configuré, les demandes adressées au site Web tentent de s’authentifier à l’aide des comptes IUSR_nom_ordinateur et IWAM_nom_ordinateur . Ces comptes ne sont pas des comptes d’administrateur.

Résolution

Importante

Cette section, méthode ou tâche contient des étapes vous indiquant comment modifier le Registre. Toutefois, des problèmes graves peuvent se produire si vous modifiez le Registre de façon incorrecte. Par conséquent, veillez à suivre ces étapes scrupuleusement. Pour une meilleure protection, sauvegardez le registre avant de le modifier. Vous pouvez alors le restaurer en cas de problème. Pour plus d’informations sur la procédure de sauvegarde et de restauration du Registre, consultez l’article Comment sauvegarder et restaurer le Registre dans Windows.

Pour résoudre ce problème, procédez comme suit :

  1. Enregistrez et effacez le journal des événements de sécurité.

  2. Démarrez l’Éditeur du Registre.

  3. Recherchez la clé suivante, puis définissez la valeur de cette clé sur 1 :

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\CrashOnAuditFail

  4. Redémarrez le serveur. Les modifications apportées au Registre ne prennent pas effet tant que vous n’avez pas redémarré le serveur.

Plus d’informations

La clé de Registre CrashOnAuditFail fournit une fonctionnalité de sécurité facultative que les administrateurs système peuvent utiliser pour passer en revue tous les événements de sécurité. Les valeurs valides pour la clé CrashOnAuditFail sont 0, 1 et 2. Les options de données sont les suivantes :

  • 0 - Tout le monde peut se connecter. Il s’agit de la valeur par défaut.

  • 1 - Tout le monde peut se connecter si le système peut auditer les événements et écrire les événements dans le journal des événements de sécurité. Si le journal des événements de sécurité est plein, la valeur de la clé CrashOnAuditFail est remplacée par 2 et le serveur se bloque.

  • 2 - Seuls les administrateurs peuvent se connecter.

Lorsque le journal des événements de sécurité est plein, le serveur se verrouille lui-même afin qu’aucun événement pouvant être audité ne soit manqué. Vous pouvez empêcher le verrouillage du serveur en utilisant l’une des méthodes suivantes. Notez toutefois que la prévention du verrouillage du serveur est contraire à l’objectif de la clé CrashOnAuditFail .

Remarque

Aucune des méthodes suivantes ne résout à elle seule le problème. Vous devez suivre les étapes de la section Résolution avant d’utiliser l’une de ces méthodes.

  • Définissez le paramètre De wrapping du journal des événements sur Remplacer les événements en fonction des besoins.

  • Limitez le nombre ou les types d’événements audités, ou désactivez complètement l’audit.

  • Définissez la valeur de la clé de Registre suivante sur 0 :

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\CrashOnAuditFail