In Windows wird die DCOM-Ereignis-ID 10016 protokolliert

Gilt für: Windows 10, version 1903Windows Server, version 1903Windows 10, version 1809

Problembeschreibung


Sie werden feststellen, dass auf einem Computer, auf dem Windows 10, Windows Server 2016 oder Windows Server 2019 ausgeführt wird, das folgende Ereignis in den Systemereignisprotokollen protokolliert wird.

Ursache


Diese 10016-Ereignisse werden aufgezeichnet, wenn Microsoft-Komponenten versuchen, auf DCOM-Komponenten ohne die erforderlichen Berechtigungen zuzugreifen. In diesem Fall wird dies erwartet und ist beabsichtigt.

Es wurde ein Codierungsmuster implementiert, bei dem der Code zunächst versucht, mit einem Satz von Parametern auf die DCOM-Komponenten zuzugreifen. Wenn der erste Versuch nicht erfolgreich ist, versucht er es erneut mit einem anderen Satz von Parametern. Der Grund, warum der erste Versuch nicht übersprungen wird, liegt darin, dass es Szenarien gibt, in denen dies gelingen kann. In diesen Szenarien ist dies vorzuziehen.

Problemumgehung


Diese Ereignisse können gefahrlos ignoriert werden, da sie die Funktionalität nicht beeinträchtigen und beabsichtigt sind. Dies ist die empfohlene Aktion für diese Ereignisse.

Auf Wunsch können fortgeschrittene Benutzer und IT-Experten diese Ereignisse aus der Ereignisanzeige ausblenden, indem sie einen Filter erstellen und die XML-Abfrage des Filters wie folgt manuell bearbeiten:

<QueryList>  <Query Id="0" Path="System">    <Select Path="System">*</Select>    <Suppress Path="System">      *[System[(EventID=10016)]]      and      *[EventData[        (          Data[@Name='param4'] and Data='{D63B10C5-BB46-4990-A94F-E40B9D520160}' and          Data[@Name='param5'] and Data='{9CA88EE3-ACB7-47C8-AFC4-AB702511C276}' and          Data[@Name='param8'] and Data='S-1-5-18'        )         or        (          Data[@Name='param4'] and Data='{260EB9DE-5CBE-4BFF-A99A-3710AF55BF1E}' and          Data[@Name='param5'] and Data='{260EB9DE-5CBE-4BFF-A99A-3710AF55BF1E}'        )         or        (          Data[@Name='param4'] and Data='{C2F03A33-21F5-47FA-B4BB-156362A2F239}' and          Data[@Name='param5'] and Data='{316CDED5-E4AE-4B15-9113-7055D84DCC97}' and          Data[@Name='param8'] and Data='S-1-5-19'        )        or        (          Data[@Name='param4'] and Data='{6B3B8D23-FA8D-40B9-8DBD-B950333E2C52}' and          Data[@Name='param5'] and Data='{4839DDB7-58C2-48F5-8283-E1D1807D0D7D}' and          Data[@Name='param8'] and Data='S-1-5-19'        )       ]]    </Suppress>  </Query></QueryList>

In dieser Abfrage entspricht param4 der COM-Server-Anwendung CLSID, param5 der APPID und param8 dem SID-Sicherheitskontext, die alle in den 10016 Ereignisprotokollen erfasst werden.

Weitere Informationen zum manuellen Erstellen von Abfragen der Ereignisanzeige finden Sie unter Verwenden von Ereignissen.

Sie können dieses Problem auch umgehen, indem Sie die Berechtigungen für DCOM-Komponenten ändern, um zu verhindern, dass dieser Fehler protokolliert wird. Wir empfehlen diese Methode jedoch nicht, da diese Fehler die Funktionalität nicht negativ beeinträchtigen und das Ändern der Berechtigungen zu unbeabsichtigten Nebenwirkungen führen kann.