Freigeben über

Benutzer können nicht auf Websites zugreifen, wenn das Sicherheitsereignisprotokoll voll ist

  • Artikel

Dieser Artikel hilft Ihnen, das Problem zu beheben, bei dem Der Benutzer nicht auf Websites zugreifen kann, wenn das Sicherheitsereignisprotokoll voll ist.

Ursprüngliche Produktversion: Internetinformationsdienste
Ursprüngliche KB-Nummer: 832981

Zusammenfassung

Das Feature CrashOnAuditFail ist ein Registrierungsschlüssel, der festgelegt werden kann, um sicherzustellen, dass alle auditierbaren Ereignisse im Sicherheitsereignisprotokoll aufgezeichnet werden. Wenn ein auditierbares Ereignis nicht im Sicherheitsereignisprotokoll protokolliert werden kann, tritt ein Stoppfehler (STOP 0xC0000244) auf. Der Stoppfehler tritt in der Regel auf, da das Sicherheitsereignisprotokoll voll ist. Nachdem der Stoppfehler auftritt, können Nicht-Administratorkonten nicht auf die Websites zugreifen, und Microsoft-Internetinformationsdienste (IIS) gibt HTTP 500-Fehlermeldungen zurück, bis der CrashOnAuditFail-Schlüssel zurückgesetzt wird und das Sicherheitsereignisprotokoll gelöscht wird.

Problembeschreibung

Wenn Sie auf eine Website auf dem Server zugreifen, erhalten Sie eine der folgenden Fehlermeldungen.

  • Fehlermeldung 1

    HTTP 500 – Interner Serverfehler

  • Fehlermeldung 2

    HTTP-Fehler 401.1 – Nicht autorisiert: Der Zugriff wird aufgrund ungültiger Anmeldeinformationen verweigert.

  • Fehlermeldung 3

    Die lokale Sicherheitsautorität kann nicht kontaktiert werden.

  • Wenn benutzerfreundliche Fehlermeldungen im Browser deaktiviert sind, erhalten Sie möglicherweise auch die folgende Fehlermeldung:

    Anmeldefehler: Der Benutzer darf sich nicht bei diesem Computer anmelden.

Ursache

Dieses Problem tritt auf, wenn das Sicherheitsereignisprotokoll die maximale Protokollgröße erreicht hat und die Einstellung für den Ereignisprotokollumbruch auf "Ereignisse überschreiben" festgelegt ist, die älter alsXDays- oder Do Not Overwrite-Ereignisse sind. Da das Sicherheitsereignisprotokoll voll ist und der CrashOnAuditFail-Registrierungsschlüssel festgelegt ist, lässt Microsoft Windows keine Konten zu, die keine Administratorkonten sind, sich anzumelden. Wenn der anonyme Zugriff konfiguriert ist, versuchen Anforderungen an die Website, sich mithilfe der Konten IUSR_computername und IWAM_computername zu authentifizieren. Diese Konten sind keine Administratorkonten.

Lösung

Wichtig

Dieser Abschnitt, diese Methode bzw. diese Aufgabe enthält eine Beschreibung der Schritte zum Bearbeiten der Registrierung. Durch die falsche Bearbeitung der Registrierung können schwerwiegende Probleme verursacht werden. Daher müssen Sie sicherstellen, dass Sie diese Schritte sorgfältig ausführen. Für weiteren Schutz sichern Sie die Registrierung, bevor Sie sie ändern. Anschließend können Sie die Registrierung wiederherstellen, wenn ein Problem auftritt. Weitere Informationen zum Sichern und Wiederherstellen der Registrierung finden Sie unter: Sichern und Wiederherstellen der Registrierung Windows.

Gehen Sie folgendermaßen vor, um das Problem zu beheben:

  1. Speichern und löschen Sie das Sicherheitsereignisprotokoll.

  2. Starten Sie den Registrierungs-Editor.

  3. Suchen Sie den folgenden Schlüssel, und legen Sie dann den Wert dieses Schlüssels auf 1 fest:

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\CrashOnAuditFail

  4. Starten Sie den Server neu. Die Registrierungsänderungen werden erst wirksam, wenn Sie den Server neu starten.

Weitere Informationen

Der Registrierungsschlüssel CrashOnAuditFail bietet ein optionales Sicherheitsfeature, mit dem Systemadministratoren alle Sicherheitsereignisse überprüfen können. Die gültigen Werte für den CrashOnAuditFail-Schlüssel sind 0, 1 und 2. Die Datenoptionen sind:

  • 0 – Jeder kann sich anmelden. Dies ist der Standardwert.

  • 1 – Jeder kann sich anmelden, wenn das System die Ereignisse überwachen und die Ereignisse in das Sicherheitsereignisprotokoll schreiben kann. Wenn das Sicherheitsereignisprotokoll voll ist, wird der Wert für den CrashOnAuditFail-Schlüssel in 2 geändert, und der Server stürzt ab.

  • 2 – Nur Administratoren können sich anmelden.

Wenn das Sicherheitsereignisprotokoll voll ist, sperrt sich der Server selbst, sodass keine überwachten Ereignisse verpasst werden. Sie können die Serversperre mithilfe einer der folgenden Methoden verhindern. Beachten Sie jedoch, dass das Verhindern der Serversperrung den Zweck des CrashOnAuditFail-Schlüssels besiegt.

Notiz

Keine der folgenden Methoden allein behebt das Problem. Sie müssen die Schritte im Abschnitt "Lösung " ausführen, bevor Sie eine dieser Methoden verwenden.

  • Legen Sie die Einstellung für den Ereignisprotokollumbruch bei Bedarf auf Überschreiben von Ereignissen fest.

  • Beschränken Sie die Anzahl oder Typen von Ereignissen, die überwacht werden, oder deaktivieren Sie die Überwachung vollständig.

  • Legen Sie den Wert für den folgenden Registrierungsschlüssel auf 0 fest:

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\CrashOnAuditFail