Los usuarios no pueden tener acceso a sitios web cuando el registro de eventos de seguridad está lleno

Este artículo le ayuda a resolver el problema en el que el usuario no puede tener acceso a sitios web cuando el registro de eventos de seguridad está lleno.

Versión del producto original:   Servicios de Internet Information Server
Número de KB original:   832981

Resumen

La característica CrashOnAuditFail es una clave del registro que se puede establecer para asegurarse de que todos los eventos auditables se registran en el registro de eventos de seguridad. Si no se puede registrar un evento auditable en el registro de eventos de seguridad, se produce un error STOP (STOP 0xC0000244). El error STOP suele producirse porque el registro de eventos de seguridad está lleno. Cuando se produce el error STOP, las cuentas que no son de administrador no pueden tener acceso a los sitios web y Microsoft Internet Information Services (IIS) devuelve los mensajes de error HTTP 500 hasta que se restablezca la clave CrashOnAuditFail y se borre el registro de eventos de seguridad.

Síntomas

Cuando obtiene acceso a un sitio web en el servidor, recibe uno de los siguientes mensajes de error.

  • Mensaje de error 1

    HTTP 500-error interno del servidor

  • Mensaje de error 2

    Error HTTP 401,1-no autorizado: acceso denegado debido a credenciales no válidas.

  • Mensaje de error 3

    No se puede establecer contacto con la autoridad de seguridad local.

  • Si los mensajes de error descriptivos están desactivados en el explorador, es posible que también reciba el siguiente mensaje de error:

    Error de inicio de sesión: el usuario no tiene permiso para iniciar sesión en este equipo.

Causa

Este problema se produce si el registro de eventos de seguridad ha alcanzado el tamaño máximo del registro y la configuración de ajuste del registro de eventos está configurada para sobrescribir eventos anteriores thanXDays o no sobrescribir eventos. Como el registro de eventos de seguridad está lleno y la clave del registro CrashOnAuditFail está configurada, Microsoft Windows no permite que inicien sesión en cuentas que no sean administradores. Cuando se configura el acceso anónimo, las solicitudes al sitio web intentan autenticarse mediante las cuentas IUSR_ ComputerName y IWAM_ NombreDeEquipo . Estas cuentas no son cuentas de administrador.

Solución

Importante

Esta sección, método o tarea contiene pasos que le indican cómo modificar el Registro. No obstante, pueden producirse problemas graves si modifica el registro de manera incorrecta. En consecuencia, asegúrese de seguir estos pasos cuidadosamente. Para mayor protección, cree una copia de seguridad del registro antes de modificarlo. Después, puede restaurar el registro si se produce un problema. Para obtener más información acerca de cómo realizar una copia de seguridad y restaurar el registro, vea Cómo realizar una copia de seguridad y restaurar el registro en Windows.

Para resolver este problema, siga estos pasos:

  1. Guarde y borre el registro de eventos de seguridad.

  2. Inicie el Editor del Registro.

  3. Busque la siguiente clave y, a continuación, establezca el valor de esta clave en 1:

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\CrashOnAuditFail

  4. Reinicie el servidor. Los cambios del registro no surten efecto hasta que se reinicia el servidor.

Más información

La clave del registro CrashOnAuditFail proporciona una característica de seguridad opcional que los administradores del sistema pueden usar para revisar todos los eventos de seguridad. Los valores válidos para la clave CrashOnAuditFail son 0, 1 y 2. Las opciones de datos son:

  • 0: todos los usuarios pueden iniciar sesión. Este es el valor predeterminado.

  • 1: cualquiera puede iniciar sesión si el sistema puede auditar los eventos y escribir los eventos en el registro de eventos de seguridad. Si el registro de eventos de seguridad está lleno, el valor de la clave CrashOnAuditFail cambia a 2 y el servidor se bloquea.

  • 2-solo los administradores pueden iniciar sesión.

Cuando el registro de eventos de seguridad se llena, el servidor se bloquea de modo que no se pierdan eventos auditables. Puede evitar el bloqueo del servidor mediante uno de los métodos siguientes. Sin embargo, tenga en cuenta que si se impide el bloqueo del servidor, se anula el propósito de la clave CrashOnAuditFail .

Nota

Ninguno de los métodos siguientes resuelve el problema por sí solo. Debe seguir los pasos de la sección resolución antes de usar uno de estos métodos.

  • Establezca la configuración de ajuste del registro de eventos para sobrescribir los eventos según sea necesario.

  • Limite el número o los tipos de eventos que se auditan o deshabilite completamente la auditoría.

  • Establezca el valor de la siguiente clave del registro en 0:

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\CrashOnAuditFail