L’ID événement DCOM 10016 est donc consigné dans Windows

S’applique à : Windows 10, version 1903Windows Server, version 1903Windows 10, version 1809

Symptômes


Sur un ordinateur qui exécute Windows 10, Windows Server 2016 ou Windows Server 2019, vous remarquez que l’événement suivant est consigné dans les journaux d’événements système.

Cause


Ces événements 10016 sont enregistrés lorsque des composants Microsoft tentent d'accéder aux composants DCOM sans les autorisations requises. Dans ce cas, c'est prévu et conçu ainsi.

Un schéma de codage a été mis en place dans lequel le code tente d'abord d’accéder aux composants DCOM avec tout un ensemble de paramètres. Si la première tentative échoue, il essaie à nouveau avec un autre ensemble de paramètres. La raison pour laquelle la première tentative n'est pas ignorée est parce qu'elle peut dans certains cas fonctionner. Dans ces scénarios, c'est préférable.

Solution de contournement


Ces événements peuvent être ignorés en toute sécurité car ils n'affectent pas les fonctionnalités et sont conçus pour cela. Il s’agit de l’action recommandée pour ces événements.

S'ils le souhaitent, les utilisateurs avancés et les professionnels de l’informatique peuvent supprimer ces événements dans l’Observateur d’événements en créant un filtre et en modifiant manuellement la requête XML du filtre similaire à ce qui suit :

<QueryList>  <Query Id="0" Path="System">    <Select Path="System">*</Select>    <Suppress Path="System">      *[System[(EventID=10016)]]      and      *[EventData[        (          Data[@Name='param4'] and Data='{D63B10C5-BB46-4990-A94F-E40B9D520160}' and          Data[@Name='param5'] and Data='{9CA88EE3-ACB7-47C8-AFC4-AB702511C276}' and          Data[@Name='param8'] and Data='S-1-5-18'        )         or        (          Data[@Name='param4'] and Data='{260EB9DE-5CBE-4BFF-A99A-3710AF55BF1E}' and          Data[@Name='param5'] and Data='{260EB9DE-5CBE-4BFF-A99A-3710AF55BF1E}'        )         or        (          Data[@Name='param4'] and Data='{C2F03A33-21F5-47FA-B4BB-156362A2F239}' and          Data[@Name='param5'] and Data='{316CDED5-E4AE-4B15-9113-7055D84DCC97}' and          Data[@Name='param8'] and Data='S-1-5-19'        )        or        (          Data[@Name='param4'] and Data='{6B3B8D23-FA8D-40B9-8DBD-B950333E2C52}' and          Data[@Name='param5'] and Data='{4839DDB7-58C2-48F5-8283-E1D1807D0D7D}' and          Data[@Name='param8'] and Data='S-1-5-19'        )       ]]    </Suppress>  </Query></QueryList>

Dans cette requête, param4 correspond à l'application du serveur COM CLSID, param5 correspond à l'APPID, et param8, au contexte de sécurité SID qui sont enregistrés dans les journaux des événements 10016.

Pour plus d'informations sur la construction manuelle des requêtes Observateur d'événements, voir Consommation d'événements.

Vous pouvez également contourner ce problème en modifiant les autorisations sur les composants DCOM, pour éviter que cette erreur ne soit consignée. Toutefois, nous ne recommandons pas cette méthode, car ces erreurs n'affectent pas les fonctionnalités et la modification des autorisations peut avoir des effets secondaires imprévus.