In Windows wird die DCOM-Ereignis-ID 10016 protokolliert

  • Artikel

Dieser Artikel bietet eine Problemumgehung, um das Ereignis 10016 zu lösen, das in Windows beim Zugriff auf DCOM-Komponenten protokolliert wird.

Gilt für: Windows 10 (alle Editionen), Windows Server 2019, Windows Server 2016
Ursprüngliche KB-Nummer: 4022522

Symptome

Auf einem Computer unter Windows 10, Windows Server 2019 oder Windows Server 2016 wird das folgende Ereignis in den Systemereignisprotokollen protokolliert.

Source:        Microsoft-Windows-DistributedCOM  
Event ID:      10016  
Description: The application-specific permission settings do not grant Local Activation permission for the COM Server application with CLSID  
{D63B10C5-BB46-4990-A94F-E40B9D520160}  
and APPID  
{9CA88EE3-ACB7-47C8-AFC4-AB702511C276}  
to the user NT AUTHORITY\SYSTEM SID (S-1-5-18) from address LocalHost (using LRPC) running in the application container Unavailable SID (Unavailable). This security permission can be modified using the Component Services administrative tool.d

Source:        Microsoft-Windows-DistributedCOM  
Event ID:      10016  
Description: The application-specific permission settings do not grant Local Activation permission for the COM Server application with CLSID  
{260EB9DE-5CBE-4BFF-A99A-3710AF55BF1E}  
and APPID  
{260EB9DE-5CBE-4BFF-A99A-3710AF55BF1E}  
to the user machine\user SID (S-1-5-21-xxxxxxxxx-xxxxxxxxxx-xxxxxxxxxx-xxxx) from address LocalHost (using LRPC) running in the application container Microsoft.Windows.ShellExperienceHost_10.0.14393.726_neutral_neutral_cw5n1h2txyewy SID (S-1-15-2-xxxxxxxxx-xxxxxxxxxx-xxxxxxxxx-xxxxxxxxxx-xxxxxxxxxx-xxxxxxxxxx-xxxxxxxxxx). This security permission can be modified using the Component Services administrative tool.

Source:        Microsoft-Windows-DistributedCOM  
Event ID:      10016  
Description: The machine-default permission settings do not grant Local Activation permission for the COM Server application with CLSID  
{C2F03A33-21F5-47FA-B4BB-156362A2F239}  
and APPID  
{316CDED5-E4AE-4B15-9113-7055D84DCC97}  
to the user NT AUTHORITY\LOCAL SERVICE SID (S-1-5-19) from address LocalHost (using LRPC) running in the application container Unavailable SID (Unavailable). This security permission can be modified using the Component Services administrative tool.

Source:        Microsoft-Windows-DistributedCOM  
Event ID:      10016  
Description: The application-specific permission settings do not grant Local Activation permission for the COM Server application with CLSID  
{6B3B8D23-FA8D-40B9-8DBD-B950333E2C52}  
and APPID  
{4839DDB7-58C2-48F5-8283-E1D1807D0D7D}  
to the user NT AUTHORITY\LOCAL SERVICE SID (S-1-5-19) from address LocalHost (using LRPC) running in the application container Unavailable SID (Unavailable). This security permission can be modified using the Component Services administrative tool.

Ursache

Diese 10016-Ereignisse werden aufgezeichnet, wenn Microsoft-Komponenten versuchen, ohne die erforderlichen Berechtigungen auf DCOM-Komponenten zuzugreifen. In diesem Fall wird dieses Verhalten erwartet und ist beabsichtigt.

Es wurde ein Codierungsmuster implementiert, bei dem der Code zuerst versucht, mit einem Parametersatz auf die DCOM-Komponenten zuzugreifen. Wenn der erste Versuch nicht erfolgreich ist, wird es erneut mit einer anderen Gruppe von Parametern versucht. Der Grund, warum der erste Versuch nicht übersprungen wird, liegt darin, dass es Szenarien gibt, in denen er erfolgreich sein kann. In diesen Szenarien ist dies vorzuziehen.

Problemumgehung

Diese Ereignisse können ignoriert werden, da sie sich nicht negativ auf die Funktionalität auswirken und entwurfsbedingt sind. Dies ist die empfohlene Aktion für diese Ereignisse.

Bei Bedarf können fortgeschrittene Benutzer und IT-Experten diese Ereignisse in der Ereignisanzeige unterdrücken. Erstellen Sie dazu einen Filter, und bearbeiten Sie die XML-Abfrage des Filters manuell, ähnlich wie die folgende:

<QueryList>
  <Query Id="0" Path="System">
    <Select Path="System">*</Select>
    <Suppress Path="System">
      *[System[(EventID=10016)]]
      and
      *[EventData[
        (
          Data[@Name='param4'] and Data='{D63B10C5-BB46-4990-A94F-E40B9D520160}' and
          Data[@Name='param5'] and Data='{9CA88EE3-ACB7-47C8-AFC4-AB702511C276}' and
          Data[@Name='param8'] and Data='S-1-5-18'
        )
        or
        ( Data[@Name='param4'] and Data='{260EB9DE-5CBE-4BFF-A99A-3710AF55BF1E}' and
          Data[@Name='param5'] and Data='{260EB9DE-5CBE-4BFF-A99A-3710AF55BF1E}'
        )
        or
        (
          Data[@Name='param4'] and Data='{C2F03A33-21F5-47FA-B4BB-156362A2F239}' and
          Data[@Name='param5'] and Data='{316CDED5-E4AE-4B15-9113-7055D84DCC97}' and
          Data[@Name='param8'] and Data='S-1-5-19'
        )
        or
        (
          Data[@Name='param4'] and Data='{6B3B8D23-FA8D-40B9-8DBD-B950333E2C52}' and
          Data[@Name='param5'] and Data='{4839DDB7-58C2-48F5-8283-E1D1807D0D7D}' and
          Data[@Name='param8'] and Data='S-1-5-19'
        )
      ]]
    </Suppress>
  </Query>
</QueryList>

Parameter dieser Abfrage:

  • param4 entspricht der COM-Serveranwendung CLSID.
  • param5 entspricht der APPID.
  • Param8 entspricht der SID des Sicherheitskontexts.

Alle werden in den 10016-Ereignisprotokollen aufgezeichnet.

Weitere Informationen zum manuellen Erstellen von Ereignisanzeige-Abfragen finden Sie unter Verwenden von Ereignissen.

Sie können dieses Problem auch umgehen, indem Sie die Berechtigungen für DCOM-Komponenten ändern, um zu verhindern, dass dieser Fehler protokolliert wird. Diese Methode wird jedoch aus folgenden Gründen nicht empfohlen:

  • Diese Fehler wirken sich nicht negativ auf die Funktionalität aus.
  • Das Ändern der Berechtigungen kann unbeabsichtigte Nebeneffekte haben.