Remarque
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Cet article vous aide à résoudre le problème où l’utilisateur ne peut pas accéder aux sites Web lorsque le journal des événements de sécurité est plein.
Version du produit d’origine : Internet Information Services
Numéro de base de connaissances d’origine : 832981
Résumé
La fonctionnalité CrashOnAuditFail est une clé de Registre qui peut être définie pour vous assurer que tous les événements auditables sont enregistrés dans le journal des événements de sécurité. Si un événement auditable ne peut pas être journalisé dans le journal des événements de sécurité, une erreur d’arrêt (STOP 0xC0000244) se produit. L’erreur d’arrêt se produit généralement parce que le journal des événements de sécurité est plein. Une fois l’erreur d’arrêt effectuée, les comptes non-administrateurs ne peuvent pas accéder aux sites Web et microsoft Internet Information Services (IIS) retourne des messages d’erreur HTTP 500 jusqu’à ce que la clé CrashOnAuditFail soit réinitialisée et que le journal des événements de sécurité soit effacé.
Symptômes
Lorsque vous accédez à un site Web sur le serveur, vous recevez l’un des messages d’erreur suivants.
Message d’erreur 1
HTTP 500 - Erreur de serveur interne
Message d’erreur 2
Erreur HTTP 401.1 - Non autorisé : l’accès est refusé en raison d’informations d’identification non valides.
Message d’erreur 3
Impossible de contacter l’autorité de sécurité locale.
Lorsque les messages d’erreur conviviaux sont désactivés dans le navigateur, vous pouvez également recevoir le message d’erreur suivant :
Échec de connexion : l’utilisateur n’est pas autorisé à se connecter à cet ordinateur.
Cause
Ce problème se produit si le journal des événements de sécurité a atteint la taille maximale du journal et que le paramètre De wrapping du journal des événements est défini sur Remplacer les événements antérieurs àXDays ou Ne pas remplacer les événements. Étant donné que le journal des événements de sécurité est plein et que la clé de Registre CrashOnAuditFail est définie, Microsoft Windows n’autorise pas les comptes qui ne sont pas des comptes d’administrateur à se connecter. Lorsque l’accès anonyme est configuré, les demandes adressées au site Web essaient de s’authentifier à l’aide du IUSR_computername et des comptes IWAM_computername . Ces comptes ne sont pas des comptes d’administrateur.
Résolution
Important
Cette section, méthode ou tâche contient des étapes vous indiquant comment modifier le Registre. Toutefois, des problèmes graves peuvent se produire si vous modifiez le Registre de façon incorrecte. Par conséquent, vérifiez que vous suivez ces étapes attentivement. Pour une protection supplémentaire, sauvegardez le Registre avant de le modifier. Ensuite, vous pouvez restaurer le Registre si un problème se produit. Pour plus d’informations sur la sauvegarde et la restauration du registre, voir : Procédure de sauvegarde, de modification et de restauration du Registre dans Windows.
Pour résoudre ce problème, effectuez les étapes suivantes :
Enregistrez et effacez le journal des événements de sécurité.
Démarrez l'Éditeur du Registre.
Recherchez la clé suivante, puis définissez la valeur de cette clé sur 1 :
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\CrashOnAuditFailRedémarrez le serveur. Les modifications du Registre ne prennent pas effet tant que vous n’avez pas redémarré le serveur.
Plus d’informations
La clé de Registre CrashOnAuditFail fournit une fonctionnalité de sécurité facultative que les administrateurs système peuvent utiliser pour passer en revue tous les événements de sécurité. Les valeurs valides pour la clé CrashOnAuditFail sont 0, 1 et 2. Les options de données sont les suivantes :
0 - Tout le monde peut se connecter. Il s’agit de la valeur par défaut.
1 - Toute personne peut se connecter si le système peut auditer les événements et écrire les événements dans le journal des événements de sécurité. Si le journal des événements de sécurité est plein, la valeur de la clé CrashOnAuditFail est remplacée par 2 et le serveur se bloque.
2 - Seuls les administrateurs peuvent se connecter.
Lorsque le journal des événements de sécurité devient complet, le serveur se verrouille afin qu’aucun événement auditable ne soit manqué. Vous pouvez empêcher le verrouillage du serveur à l’aide de l’une des méthodes suivantes. Notez toutefois que la prévention du verrouillage du serveur empêche l’objectif de la clé CrashOnAuditFail .
Note
Aucune des méthodes suivantes ne résout le problème. Vous devez suivre les étapes de la section Résolution avant d’utiliser l’une de ces méthodes.
Définissez le paramètre d’habillage du journal des événements pour remplacer les événements en fonction des besoins.
Limitez le nombre ou les types d’événements audités ou désactivez complètement l’audit.
Définissez la valeur de la clé de Registre suivante sur 0 :
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\CrashOnAuditFail