Benutzer können nicht auf Websites zugreifen, wenn das Sicherheitsereignisprotokoll voll ist

Dieser Artikel hilft Ihnen, das Problem zu beheben, bei dem Benutzer nicht auf Websites zugreifen können, wenn das Sicherheitsereignisprotokoll voll ist.

Ursprüngliche Produktversion:   Internetinformationsdienste
Ursprüngliche KB-Nummer:   832981

Zusammenfassung

Das CrashOnAuditFail-Feature ist ein Registrierungsschlüssel, der festgelegt werden kann, um sicherzustellen, dass alle überwachbaren Ereignisse im Sicherheitsereignisprotokoll aufgezeichnet werden. Wenn ein überwachbares Ereignis nicht im Sicherheitsereignisprotokoll protokolliert werden kann, tritt ein Stoppfehler (STOP 0xC0000244) auf. Der Stoppfehler tritt in der Regel auf, weil das Sicherheitsereignisprotokoll voll ist. Nachdem der Stoppfehler aufgetreten ist, können Nicht-Administratorkonten nicht auf die Websites zugreifen, und Microsoft-Internetinformationsdienste (IIS) gibt HTTP 500-Fehlermeldungen zurück, bis der CrashOnAuditFail-Schlüssel zurückgesetzt und das Sicherheitsereignisprotokoll gelöscht wird.

Problembeschreibung

Wenn Sie auf eine Website auf dem Server zugreifen, wird eine der folgenden Fehlermeldungen angezeigt.

  • Fehlermeldung 1

    HTTP 500 – Interner Serverfehler

  • Fehlermeldung 2

    HTTP-Fehler 401.1 – Nicht autorisiert: Der Zugriff wird aufgrund ungültiger Anmeldeinformationen verweigert.

  • Fehlermeldung 3

    Die lokale Sicherheitsautorität kann nicht kontaktiert werden.

  • Wenn anzeigefreundliche Fehlermeldungen im Browser deaktiviert sind, wird möglicherweise auch die folgende Fehlermeldung angezeigt:

    Anmeldefehler: Der Benutzer darf sich nicht bei diesem Computer anmelden.

Ursache

Dieses Problem tritt auf, wenn das Sicherheitsereignisprotokoll die maximale Protokollgröße erreicht hat und die Einstellung für den Ereignisprotokollumbruch auf "Ereignisse älter alsXDays" oder "Ereignisse nicht überschreiben" festgelegt ist. Da das Sicherheitsereignisprotokoll vollständig ist und der Registrierungsschlüssel CrashOnAuditFail festgelegt ist, lässt Microsoft Windows die Anmeldung von Konten, die keine Administratorkonten sind, nicht zu. Wenn anonymer Zugriff konfiguriert ist, versuchen Anforderungen an die Website, sich mithilfe des IUSR_ Computernamens und IWAM_ Computernamen-Konten zu authentifizieren. Diese Konten sind keine Administratorkonten.

Lösung

Wichtig

Dieser Abschnitt, diese Methode bzw. diese Aufgabe enthält eine Beschreibung der Schritte zum Bearbeiten der Registrierung. Durch die falsche Bearbeitung der Registrierung können schwerwiegende Probleme verursacht werden. Daher ist es wichtig, bei der Ausführung der folgenden Schritte sorgfältig vorzugehen. Für zusätzlichen Schutz sichern Sie die Registrierung, bevor Sie sie ändern. Sie können die Registrierung wiederherstellen, wenn ein Problem auftritt. Weitere Informationen zum Sichern und Wiederherstellen der Registrierung finden Sie unter Sichern und Wiederherstellen der Registrierung in Windows.

Gehen Sie folgendermaßen vor, um dieses Problem zu beheben:

  1. Speichern und löschen Sie das Sicherheitsereignisprotokoll.

  2. Starten Sie den Registrierungs-Editor.

  3. Suchen Sie den folgenden Schlüssel, und legen Sie den Wert dieses Schlüssels auf 1 fest:

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\CrashOnAuditFail

  4. Starten Sie den Server neu. Die Registrierungsänderungen werden erst wirksam, wenn Sie den Server neu starten.

Weitere Informationen

Der Registrierungsschlüssel CrashOnAuditFail bietet ein optionales Sicherheitsfeature, mit dem Systemadministratoren alle Sicherheitsereignisse überprüfen können. Die gültigen Werte für den CrashOnAuditFail-Schlüssel sind 0, 1 und 2. Die Datenoptionen sind:

  • 0 – Jeder kann sich anmelden. Dies ist der Standardwert.

  • 1 – Jeder kann sich anmelden, wenn das System die Ereignisse überwachen und die Ereignisse in das Sicherheitsereignisprotokoll schreiben kann. Wenn das Sicherheitsereignisprotokoll vollständig ist, wird der Wert für den CrashOnAuditFail-Schlüssel in 2 geändert, und der Server stürzt ab.

  • 2 – Nur Administratoren können sich anmelden.

Wenn das Sicherheitsereignisprotokoll voll wird, sperrt sich der Server selbst, sodass keine überwachbaren Ereignisse übersehen werden. Sie können die Sperrung des Servers mithilfe einer der folgenden Methoden verhindern. Beachten Sie jedoch, dass das Verhindern der Serversperre den Zweck des CrashOnAuditFail-Schlüssels zunichtet.

Hinweis

Keine der folgenden Methoden allein löst das Problem. Sie müssen die Schritte im Abschnitt "Auflösung" ausführen, bevor Sie eine dieser Methoden verwenden.

  • Legen Sie die Einstellung für den Ereignisprotokollumbruch nach Bedarf auf "Ereignisse überschreiben" fest.

  • Beschränken Sie die Anzahl oder typen von Ereignissen, die überwacht werden, oder deaktivieren Sie die Überwachung vollständig.

  • Legen Sie den Wert für den folgenden Registrierungsschlüssel auf 0 fest:

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\CrashOnAuditFail