次の方法で共有

セキュリティ イベント ログがいっぱいになると、ユーザーは Web サイトにアクセスできません

  • [アーティクル]

この記事は、セキュリティ イベント ログがいっぱいになるとユーザーが Web サイトにアクセスできない問題を解決するのに役立ちます。

元の製品バージョン: インターネット インフォメーション サービス
元の KB 番号: 832981

まとめ

CrashOnAuditFail 機能は、すべての監査可能なイベントがセキュリティ イベント ログに記録されるように設定できるレジストリ キーです。 監査可能なイベントをセキュリティ イベント ログに記録できない場合は、停止エラー (STOP 0xC0000244) が発生します。 通常、停止エラーは、セキュリティ イベント ログがいっぱいであるために発生します。 停止エラーが発生した後、管理者以外のアカウントは Web サイトにアクセスできず、Microsoft インターネット インフォメーション サービス (IIS) は、CrashOnAuditFail キーがリセットされ、セキュリティ イベント ログがクリアされるまで HTTP 500 エラー メッセージを返します。

現象

サーバー上の Web サイトにアクセスすると、次のいずれかのエラー メッセージが表示されます。

  • エラー メッセージ 1

    HTTP 500 - 内部サーバー エラー

  • エラー メッセージ 2

    HTTP エラー 401.1 - 未承認: 無効な資格情報が原因でアクセスが拒否されました。

  • エラー メッセージ 3

    ローカル セキュリティ機関に接続できません。

  • ブラウザーでわかりやすいエラー メッセージがオフになっていると、次のエラー メッセージが表示される場合もあります。

    ログオンエラー: ユーザーはこのコンピューターにログオンできません。

原因

この問題は、セキュリティ イベント ログが最大ログ サイズに達し、 Event Log Wrapping 設定が Overwrite Events Older thanXDays または Do Not Overwrite Events に設定されている場合に発生します。 セキュリティ イベント ログがいっぱいで、 CrashOnAuditFail レジストリ キーが設定されているため、Microsoft Windows では、管理者アカウントではないアカウントのログオンは許可されません。 匿名アクセスが構成されている場合、Web サイトへの要求は、IUSR_computername および IWAM_computername アカウントを使用して認証を試みます。 これらのアカウントは管理者アカウントではありません。

解決方法

重要

このセクション、方法、またはタスクには、レジストリの編集方法が記載されています。 レジストリを誤って変更すると、深刻な問題が発生することがあります。 したがって、次の手順を注意深く実行してください。 保護のために、レジストリを変更する前に、バックアップします。 その後、問題が起こった場合は、レジストリを復元できます。 レジストリのバックアップと復元方法の詳細は、「Windows のレジストリのバックアップおよび復元の方法」を参照してください。

この問題を解決するには、次の手順に従ってください。

  1. セキュリティ イベント ログを保存してクリアします。

  2. レジストリ エディターを起動します。

  3. 次のキーを見つけて、このキーの値を 1 に設定

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\CrashOnAuditFail

  4. サーバーを再起動します。 レジストリの変更は、サーバーを再起動するまで有効になりません。

詳細

CrashOnAuditFail レジストリ キーは、システム管理者がすべてのセキュリティ イベントを確認するために使用できるオプションのセキュリティ機能を提供します。 CrashOnAuditFail キーの有効な値は、0、1、および 2 です。 データ オプションは次のとおりです。

  • 0 - 誰でもログオンできます。 これが既定値です。

  • 1 - システムがイベントを監査し、セキュリティ イベント ログにイベントを書き込むことができる場合、誰でもログオンできます。 セキュリティ イベント ログがいっぱいの場合、 CrashOnAuditFail キーの値が 2 に変更され、サーバーがクラッシュします。

  • 2 - 管理者のみがログオンできます。

セキュリティ イベント ログがいっぱいになると、サーバーはそれ自体をロックダウンして、監査可能なイベントが見つからないようにします。 サーバーのロックダウンを防ぐには、次のいずれかの方法を使用します。 ただし、サーバーのロックダウンを防ぐと、 CrashOnAuditFail キーの目的はなくなります。

Note

次の方法だけでは問題は解決されません。 これらのメソッドのいずれかを使用する前に、 Resolution セクションの手順に従う必要があります。

  • Event ログ ラッピング設定を必要に応じて Overwrite イベントに設定します

  • 監査されるイベントの数または種類を制限するか、監査を完全に無効にします。

  • 次のレジストリ キーの値を 0 に設定します。

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\CrashOnAuditFail