Los usuarios no pueden acceder a sitios web cuando el registro de eventos de seguridad está lleno

Este artículo le ayuda a resolver el problema por el que el usuario no puede acceder a sitios web cuando el registro de eventos de seguridad está lleno.

Versión del producto original: Internet Information Services
Número de KB original: 832981

Resumen

La característica CrashOnAuditFail es una clave del Registro que se puede establecer para asegurarse de que todos los eventos auditables se registran en el registro de eventos de seguridad. Si no se puede registrar un evento auditable en el registro de eventos de seguridad, se produce un error de detención (STOP 0xC0000244). Normalmente, el error de detención se produce porque el registro de eventos de seguridad está lleno. Una vez que se produce el error de detención, las cuentas que no son de administrador no pueden acceder a los sitios web y Microsoft Internet Information Services (IIS) devuelve mensajes de error HTTP 500 hasta que se restablece la clave CrashOnAuditFail y se borra el registro de eventos de seguridad.

Síntomas

Al acceder a un sitio web en el servidor, recibe uno de los siguientes mensajes de error.

• Mensaje de error 1

  HTTP 500: error interno del servidor

• Mensaje de error 2

  Error HTTP 401.1: no autorizado: se deniega el acceso debido a credenciales no válidas.

• Mensaje de error 3

  No se puede ponerse en contacto con la autoridad de seguridad local.

• Cuando los mensajes de error descriptivos están desactivados en el explorador, también puede recibir el siguiente mensaje de error:

  Error de inicio de sesión: el usuario no puede iniciar sesión en este equipo.

Causa

Este problema se produce si el registro de eventos de seguridad ha alcanzado el tamaño máximo del registro y la configuración de ajuste del registro de eventos se establece en Sobrescribir eventos anteriores aXDays o No sobrescribir eventos. Dado que el registro de eventos de seguridad está lleno y la clave del Registro CrashOnAuditFail está establecida, Microsoft Windows no permite que las cuentas que no son cuentas de administrador inicien sesión. Cuando se configura el acceso anónimo, las solicitudes al sitio web intentan autenticarse mediante las cuentas IUSR_computername y IWAM_computername . Estas cuentas no son cuentas de administrador.

Solución

Para resolver este problema, siga estos pasos:

1. Guarde y borre el registro de eventos de seguridad.

2. Inicie el Editor del Registro.

3. Busque la clave siguiente y establezca el valor de esta clave en 1:

   HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\CrashOnAuditFail

4. Reinicie el servidor. Los cambios del Registro no surten efecto hasta que reinicie el servidor.

Más información

La clave del Registro CrashOnAuditFail proporciona una característica de seguridad opcional que los administradores del sistema pueden usar para revisar todos los eventos de seguridad. Los valores válidos para la clave CrashOnAuditFail son 0, 1 y 2. Las opciones de datos son:

• 0- Cualquier usuario puede iniciar sesión. Este es el valor predeterminado.

• 1- Cualquier usuario puede iniciar sesión si el sistema puede auditar los eventos y escribir los eventos en el registro de eventos de seguridad. Si el registro de eventos de seguridad está lleno, el valor de la clave CrashOnAuditFail se cambia a 2 y el servidor se bloquea.

• 2- Solo los administradores pueden iniciar sesión.

Cuando el registro de eventos de seguridad se llena, el servidor se bloquea para que no se pierda ningún evento auditable. Puede evitar el bloqueo del servidor mediante uno de los métodos siguientes. Tenga en cuenta, sin embargo, que evitar el bloqueo del servidor anula el propósito de la clave CrashOnAuditFail .

• Establezca la opción Ajuste del registro de eventos en Sobrescribir eventos según sea necesario.

• Limite el número o los tipos de eventos auditados o deshabilite completamente la auditoría.

• Establezca el valor de la siguiente clave del Registro en 0:

  HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\CrashOnAuditFail