Nota
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
Este artículo le ayuda a resolver el problema en el que el usuario no puede acceder a sitios web cuando el registro de eventos de seguridad está lleno.
Versión del producto original: Internet Information Services
Número de KB original: 832981
Resumen
La característica CrashOnAuditFail es una clave del Registro que se puede establecer para asegurarse de que todos los eventos auditables se registran en el registro de eventos de seguridad. Si no se puede registrar un evento auditable en el registro de eventos de seguridad, se produce un error de detención (STOP 0xC0000244). Normalmente, el error de detención se produce porque el registro de eventos de seguridad está lleno. Una vez que se produce el error de detención, las cuentas que no son de administrador no pueden acceder a los sitios web y Microsoft Internet Information Services (IIS) devuelve mensajes de error HTTP 500 hasta que se restablece la clave CrashOnAuditFail y se borra el registro de eventos de seguridad.
Síntomas
Al acceder a un sitio web en el servidor, recibirá uno de los siguientes mensajes de error.
Mensaje de error 1
HTTP 500: error interno del servidor
Mensaje de error 2
Error HTTP 401.1- No autorizado: se deniega el acceso debido a credenciales no válidas.
Mensaje de error 3
No se puede ponerse en contacto con la autoridad de seguridad local.
Cuando los mensajes de error descriptivos están desactivados en el explorador, también puede recibir el siguiente mensaje de error:
Error de inicio de sesión: el usuario no puede iniciar sesión en este equipo.
Causa
Este problema se produce si el registro de eventos de seguridad ha alcanzado el tamaño máximo del registro y la configuración de ajuste del registro de eventos se establece en Sobrescribir eventos anteriores aXDays o No sobrescribir eventos. Dado que el registro de eventos de seguridad está lleno y se establece la clave del Registro CrashOnAuditFail , Microsoft Windows no permite que las cuentas de administrador inicien sesión. Cuando se configura el acceso anónimo, las solicitudes al sitio web intentan autenticarse mediante las cuentas IUSR_computername y IWAM_computername . Estas cuentas no son cuentas de administrador.
Solución
Importante
Esta sección, método o tarea contiene pasos que le indican cómo modificar el Registro. No obstante, pueden producirse problemas graves si modifica el registro de manera incorrecta. Por lo tanto, asegúrese de que sigue estos pasos con atención. Para la protección añadida, realice una copia de seguridad del Registro antes de modificarlo. A continuación, puede restaurar el Registro si se produce un problema. Para obtener más información sobre cómo realizar copias de seguridad y restaurar el registro, vea Cómo hacer copia de seguridad y restaurar el registro en Windows.
Para resolver el problema, siga estos pasos:
Guarde y borre el registro de eventos de seguridad.
Inicia el Editor del Registro.
Busque la siguiente clave y, a continuación, establezca el valor de esta clave en 1:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\CrashOnAuditFailReinicie el servidor. Los cambios del Registro no surten efecto hasta que reinicie el servidor.
Más información
La clave del Registro CrashOnAuditFail proporciona una característica de seguridad opcional que los administradores del sistema pueden usar para revisar todos los eventos de seguridad. Los valores válidos para la clave CrashOnAuditFail son 0, 1 y 2. Las opciones de datos son:
0 - Cualquier persona puede iniciar sesión. Este es el valor predeterminado.
1 - Cualquier persona puede iniciar sesión si el sistema puede auditar los eventos y escribir los eventos en el registro de eventos de seguridad. Si el registro de eventos de seguridad está lleno, el valor de la clave CrashOnAuditFail se cambia a 2 y el servidor se bloquea.
2 - Solo los administradores pueden iniciar sesión.
Cuando el registro de eventos de seguridad se llena, el servidor se bloquea para que no se pierdan eventos auditables. Puede evitar el bloqueo del servidor mediante uno de los métodos siguientes. Sin embargo, tenga en cuenta que la prevención del bloqueo del servidor derrota el propósito de la clave CrashOnAuditFail .
Nota:
Ninguno de los métodos siguientes resuelve solo el problema. Debe seguir los pasos descritos en la sección Resolución antes de usar uno de estos métodos.
Establezca la opción Ajuste del registro de eventos en Sobrescribir eventos según sea necesario.
Limite el número o tipos de eventos que se auditan o deshabilite completamente la auditoría.
Establezca el valor de la siguiente clave del Registro en 0:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\CrashOnAuditFail