Les utilisateurs ne peuvent pas accéder aux sites Web lorsque le journal des événements de sécurité est saturé

Cet article vous aide à résoudre le problème où l’utilisateur ne peut pas accéder aux sites Web lorsque le journal des événements de sécurité est saturé.

Version du produit d’origine :   Services Internet (IIS)
Numéro de la base de connaissances initiale :   832981

Résumé

La fonctionnalité CrashonAuditFail est une clé de Registre qui peut être définie pour garantir que tous les événements pouvant être audités sont enregistrés dans le journal des événements de sécurité. Si un événement pouvant être audité ne peut pas être enregistré dans le journal des événements de sécurité, une erreur Stop (STOP 0xC0000244) se produit. L’erreur STOP se produit en général, car le journal des événements de sécurité est plein. Après l’erreur Stop, les comptes non administrateur ne peuvent pas accéder aux sites Web et Microsoft Internet Information Services (IIS) renvoie les messages d’erreur HTTP 500 jusqu’à ce que la clé CrashonAuditFail soit réinitialisée et que le journal des événements de sécurité soit effacé.

Symptômes

Lorsque vous accédez à un site Web sur le serveur, vous recevez l’un des messages d’erreur suivants.

  • Message d’erreur 1

    HTTP 500-erreur de serveur interne

  • Message d’erreur 2

    Erreur HTTP 401,1-non autorisé : l’accès est refusé en raison d’informations d’identification non valides.

  • Message d’erreur 3

    L’autorité de sécurité locale ne peut pas être contactée.

  • Lorsque les messages d’erreur conviviaux sont désactivés dans le navigateur, vous pouvez également recevoir le message d’erreur suivant :

    Échec de l’ouverture de session : l’utilisateur n’est pas autorisé à se connecter à cet ordinateur.

Cause

Ce problème se produit si le journal des événements de sécurité a atteint la taille maximale du journal et que le paramètre d' habillage du journal des événements est défini sur remplacer les événements anciens ThanXDays ou sur ne pas remplacer les événements. Étant donné que le journal des événements de sécurité est complet et que la clé de Registre CrashonAuditFail est définie, Microsoft Windows n’autorise pas les comptes qui ne sont pas des comptes d’administrateur à se connecter. Lorsque l’accès anonyme est configuré, les demandes adressées au site Web essaient de s’authentifier à l’aide des comptes IUSR_ nomordinateur et IWAM_ nomordinateur . Ces comptes ne sont pas des comptes d’administrateur.

Résolution

Important

Cette section, méthode ou tâche contient des étapes vous indiquant comment modifier le Registre. Toutefois, des problèmes graves peuvent se produire si vous modifiez le Registre de façon incorrecte. Par conséquent, veillez à suivre ces étapes scrupuleusement. Pour une meilleure protection, sauvegardez le registre avant de le modifier. Vous pouvez alors le restaurer en cas de problème. Pour plus d’informations sur la sauvegarde et la restauration du Registre, reportez-vous à la rubrique How to back up and Restore the registry in Windows.

Pour résoudre ce problème, procédez comme suit :

  1. Enregistrez et effacez le journal des événements de sécurité.

  2. Démarrez l’Éditeur du Registre.

  3. Recherchez la clé suivante, puis définissez la valeur de cette clé sur 1:

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\CrashOnAuditFail

  4. Redémarrez le serveur. Les modifications apportées au registre ne prennent effet que lorsque vous redémarrez le serveur.

Informations supplémentaires

La clé de Registre CrashonAuditFail fournit une fonctionnalité de sécurité facultative que les administrateurs système peuvent utiliser pour examiner tous les événements de sécurité. Les valeurs valides pour la clé CrashonAuditFail sont 0, 1 et 2. Les options de données sont les suivantes :

  • 0-n’importe qui peut se connecter. Il s’agit de la valeur par défaut.

  • 1-n’importe qui peut se connecter si le système peut auditer les événements et écrire les événements dans le journal des événements de sécurité. Si le journal des événements de sécurité est saturé, la valeur de la clé CrashonAuditFail est remplacée par 2 et le serveur se bloque.

  • 2 seuls les administrateurs peuvent se connecter.

Lorsque le journal des événements de sécurité est saturé, le serveur se verrouille de sorte qu’aucun événement pouvant être audité n’est manqué. Vous pouvez empêcher le verrouillage de serveur à l’aide de l’une des méthodes suivantes. Notez cependant que l’empêcher le verrouillage de serveur ne réagit pas à l’objectif de la clé CrashonAuditFail .

Notes

Aucune des méthodes suivantes ne résout le problème. Vous devez suivre les étapes de la section résolution avant d’utiliser l’une de ces méthodes.

  • Définissez le paramètre d' habillage du journal des événements sur remplacer les événements si nécessaire.

  • Limitez le nombre ou les types d’événements audités, ou désactivez l’audit complètement.

  • Définissez la valeur de la clé de Registre suivante sur 0:

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\CrashOnAuditFail