Los usuarios no pueden acceder a los sitios web cuando el registro de eventos de seguridad está lleno

  • Artículo
  • Tiempo de lectura: 3 minutos

Este artículo le ayuda a resolver el problema en el que el usuario no puede acceder a los sitios web cuando el registro de eventos de seguridad está lleno.

Versión del producto original:   Internet Information Services
Número KB original:   832981

Resumen

La característica CrashOnAuditFail es una clave del Registro que se puede establecer para asegurarse de que todos los eventos auditables se registren en el registro de eventos de seguridad. Si no se puede registrar un evento auditable en el registro de eventos de seguridad, se produce un error stop (STOP 0xC0000244). El error stop suele producirse porque el registro de eventos de seguridad está lleno. Una vez que se produce el error de detenerse, las cuentas que no son de administrador no pueden tener acceso a los sitios web y Microsoft Internet Information Services (IIS) devuelve mensajes de error HTTP 500 hasta que se restablece la clave CrashOnAuditFail y se borra el registro de eventos de seguridad.

Síntomas

Cuando tiene acceso a un sitio web en el servidor, recibe uno de los siguientes mensajes de error.

  • Mensaje de error 1

    HTTP 500: error interno del servidor

  • Mensaje de error 2

    Error HTTP 401.1: No autorizado: el acceso se deniega debido a credenciales no válidas.

  • Mensaje de error 3

    No se puede ponerse en contacto con la autoridad de seguridad local.

  • Cuando los mensajes de error descriptivos están desactivados en el explorador, también puede recibir el siguiente mensaje de error:

    Error de inicio de sesión: el usuario no puede iniciar sesión en este equipo.

Causa

Este problema se produce si el registro de eventos de seguridad ha alcanzado el tamaño máximo del registro y la configuración de ajuste del registro de eventos está establecida en Sobrescribir eventos anteriores aXDays o No sobrescribir eventos. Dado que el registro de eventos de seguridad está lleno y la clave del Registro CrashOnAuditFail está establecida, Microsoft Windows no permite que las cuentas que no son cuentas de administrador inicien sesión. Cuando se configura el acceso anónimo, las solicitudes al sitio web intentan autenticarse mediante el uso IUSR_ nombredeusuario y IWAM_ cuentas de nombredeusuario. Estas cuentas no son cuentas de administrador.

Solución

Importante

Esta sección, método o tarea contiene pasos que le indican cómo modificar el Registro. No obstante, pueden producirse problemas graves si modifica el registro de manera incorrecta. En consecuencia, asegúrese de seguir estos pasos cuidadosamente. Para mayor protección, cree una copia de seguridad del registro antes de modificarlo. Después, puede restaurar el registro si se produce un problema. Para obtener más información sobre cómo hacer una copia de seguridad del Registro y cómo restaurarlo, consulte Cómo realizar una copia de seguridad del Registro y restaurarlo en Windows.

Para resolver este problema, siga estos pasos:

  1. Guarde y desactive el registro de eventos de seguridad.

  2. Inicie el Editor del Registro.

  3. Busque la siguiente clave y, a continuación, establezca el valor de esta clave en 1:

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\CrashOnAuditFail

  4. Reinicie el servidor. Los cambios del Registro no tienen efecto hasta que reinicie el servidor.

Más información

La clave del Registro CrashOnAuditFail proporciona una característica de seguridad opcional que los administradores del sistema pueden usar para revisar todos los eventos de seguridad. Los valores válidos para la clave CrashOnAuditFail son 0, 1 y 2. Las opciones de datos son:

  • 0: cualquier persona puede iniciar sesión. Este es el valor predeterminado.

  • 1: cualquier persona puede iniciar sesión si el sistema puede auditar los eventos y escribir los eventos en el registro de eventos de seguridad. Si el registro de eventos de seguridad está lleno, el valor de la clave CrashOnAuditFail se cambia a 2 y el servidor se bloquea.

  • 2: Solo los administradores pueden iniciar sesión.

Cuando el registro de eventos de seguridad se llena, el servidor se bloquea para que no se falten eventos auditables. Puede evitar el bloqueo del servidor mediante uno de los métodos siguientes. Sin embargo, tenga en cuenta que impedir el bloqueo del servidor vence el propósito de la clave CrashOnAuditFail.

Nota

Ninguno de los métodos siguientes resuelve por sí solo el problema. Debe seguir los pasos de la sección Resolución antes de usar uno de estos métodos.

  • Establezca la configuración de ajuste del registro de eventos en Sobrescribir eventos según sea necesario.

  • Limite el número o los tipos de eventos que se auditan o deshabilite completamente la auditoría.

  • Establezca el valor de la siguiente clave del Registro en 0:

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\CrashOnAuditFail