セキュリティ イベント ログがいっぱいになると、ユーザーは Web サイトにアクセスできません

  • [アーティクル]

この記事は、セキュリティ イベント ログがいっぱいになるとユーザーが Web サイトにアクセスできない問題を解決するのに役立ちます。

元の製品バージョン:インターネット インフォメーション サービス
元の KB 番号: 832981

概要

CrashOnAuditFail 機能は、すべての監査可能なイベントがセキュリティ イベント ログに記録されるように設定できるレジストリ キーです。 監査可能なイベントをセキュリティ イベント ログに記録できない場合は、停止エラー (STOP 0xC0000244) が発生します。 通常、停止エラーは、セキュリティ イベント ログがいっぱいであるために発生します。 停止エラーが発生した後、管理者以外のアカウントは Web サイトにアクセスできず、CrashOnAuditFail キーがリセットされ、セキュリティ イベント ログがクリアされるまで、Microsoft インターネット インフォメーション サービス (IIS) は HTTP 500 エラー メッセージを返します。

現象

サーバー上の Web サイトにアクセスすると、次のいずれかのエラー メッセージが表示されます。

  • エラー メッセージ 1

    HTTP 500 - 内部サーバー エラー

  • エラー メッセージ 2

    HTTP エラー 401.1 - 未承認: 無効な資格情報が原因でアクセスが拒否されました。

  • エラー メッセージ 3

    ローカル セキュリティ機関に問い合わせることはできません。

  • ブラウザーでわかりやすいエラー メッセージがオフになっていると、次のエラー メッセージが表示される場合もあります。

    ログオンエラー: ユーザーはこのコンピューターにログオンできません。

原因

この問題は、セキュリティ イベント ログが最大ログ サイズに達し、[ イベント ログ ラッピング ] 設定が [イベントの 上書き] [古いイベント ] または [ イベントを上書きしない] に設定されている場合に発生します。 セキュリティ イベント ログがいっぱいで、 CrashOnAuditFail レジストリ キーが設定されているため、Microsoft Windows では管理者アカウントではないアカウントのログオンは許可されません。 匿名アクセスが構成されている場合、Web サイトへの要求は、IUSR_computername アカウントと IWAM_computername アカウントを使用して認証を試みます。 これらのアカウントは管理者アカウントではありません。

解決方法

重要

このセクション、方法、またはタスクには、レジストリの編集方法が記載されています。 レジストリを誤って変更すると、深刻な問題が発生することがあります。 レジストリを変更する際には十分に注意してください。 保護を強化するため、レジストリを変更する前にレジストリをバックアップします。 こうしておけば、問題が発生した場合にレジストリを復元できます。 レジストリをバックアップおよび復元する方法の詳細については、「Windows でレジストリをバックアップおよび復元する方法」を参照してください。

この問題を解決するには、次の手順を実行します。

  1. セキュリティ イベント ログを保存してクリアします。

  2. レジストリ エディターを起動します。

  3. 次のキーを見つけて、このキーの値を 1 に設定します。

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\CrashOnAuditFail

  4. サーバーを再起動します。 レジストリの変更は、サーバーを再起動するまで有効になりません。

詳細

CrashOnAuditFail レジストリ キーには、システム管理者がすべてのセキュリティ イベントを確認するために使用できるオプションのセキュリティ機能が用意されています。 CrashOnAuditFail キーの有効な値は、0、1、および 2 です。 データ オプションは次のとおりです。

  • 0 - 誰でもログオンできます。 これが既定値です。

  • 1 - システムがイベントを監査し、イベントをセキュリティ イベント ログに書き込む場合、誰でもログオンできます。 セキュリティ イベント ログがいっぱいの場合、 CrashOnAuditFail キーの値が 2 に変更され、サーバーがクラッシュします。

  • 2 - 管理者のみがログオンできます。

セキュリティ イベント ログがいっぱいになると、サーバーはそれ自体をロックダウンして、監査可能なイベントが見つからないようにします。 次のいずれかの方法を使用して、サーバーのロックダウンを防ぐことができます。 ただし、サーバーのロックダウンを防ぐと CrashOnAuditFail キーの目的が無効になります。

注:

次の方法だけでは問題は解決しません。 これらの方法のいずれかを使用する前に、「 解決策 」セクションの手順に従う必要があります。

  • [イベント ログ ラッピング] 設定を [必要に応じてイベントを上書きする] に設定します。

  • 監査されるイベントの数または種類を制限するか、監査を完全に無効にします。

  • 次のレジストリ キーの値を 0 に設定します。

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\CrashOnAuditFail