In Windows viene registrato l'evento DCOM con ID 10016

  • Articolo

In questo articolo viene fornita una soluzione alternativa per risolvere l'evento 10016 registrato in Windows quando si accede ai componenti DCOM.

Si applica a: Windows 10: tutte le edizioni, Windows Server 2019, Windows Server 2016
Numero originale della Knowledge Base: 4022522

Sintomi

In un computer che esegue Windows 10, Windows Server 2019 o Windows Server 2016, viene registrato l'evento seguente nei log degli eventi di sistema.

Source:        Microsoft-Windows-DistributedCOM  
Event ID:      10016  
Description: The application-specific permission settings do not grant Local Activation permission for the COM Server application with CLSID  
{D63B10C5-BB46-4990-A94F-E40B9D520160}  
and APPID  
{9CA88EE3-ACB7-47C8-AFC4-AB702511C276}  
to the user NT AUTHORITY\SYSTEM SID (S-1-5-18) from address LocalHost (using LRPC) running in the application container Unavailable SID (Unavailable). This security permission can be modified using the Component Services administrative tool.d

Source:        Microsoft-Windows-DistributedCOM  
Event ID:      10016  
Description: The application-specific permission settings do not grant Local Activation permission for the COM Server application with CLSID  
{260EB9DE-5CBE-4BFF-A99A-3710AF55BF1E}  
and APPID  
{260EB9DE-5CBE-4BFF-A99A-3710AF55BF1E}  
to the user machine\user SID (S-1-5-21-xxxxxxxxx-xxxxxxxxxx-xxxxxxxxxx-xxxx) from address LocalHost (using LRPC) running in the application container Microsoft.Windows.ShellExperienceHost_10.0.14393.726_neutral_neutral_cw5n1h2txyewy SID (S-1-15-2-xxxxxxxxx-xxxxxxxxxx-xxxxxxxxx-xxxxxxxxxx-xxxxxxxxxx-xxxxxxxxxx-xxxxxxxxxx). This security permission can be modified using the Component Services administrative tool.

Source:        Microsoft-Windows-DistributedCOM  
Event ID:      10016  
Description: The machine-default permission settings do not grant Local Activation permission for the COM Server application with CLSID  
{C2F03A33-21F5-47FA-B4BB-156362A2F239}  
and APPID  
{316CDED5-E4AE-4B15-9113-7055D84DCC97}  
to the user NT AUTHORITY\LOCAL SERVICE SID (S-1-5-19) from address LocalHost (using LRPC) running in the application container Unavailable SID (Unavailable). This security permission can be modified using the Component Services administrative tool.

Source:        Microsoft-Windows-DistributedCOM  
Event ID:      10016  
Description: The application-specific permission settings do not grant Local Activation permission for the COM Server application with CLSID  
{6B3B8D23-FA8D-40B9-8DBD-B950333E2C52}  
and APPID  
{4839DDB7-58C2-48F5-8283-E1D1807D0D7D}  
to the user NT AUTHORITY\LOCAL SERVICE SID (S-1-5-19) from address LocalHost (using LRPC) running in the application container Unavailable SID (Unavailable). This security permission can be modified using the Component Services administrative tool.

Causa

Questi eventi 10016 vengono registrati quando i componenti Microsoft tentano di accedere ai componenti DCOM senza le autorizzazioni necessarie. In questo caso, si tratta di un comportamento previsto e così progettato.

È stato implementato un modello di codifica in cui il codice tenta innanzitutto di accedere ai componenti DCOM con un set di parametri. Se il primo tentativo non riesce, ne verrà eseguito un altro con un diverso set di parametri. Il motivo per cui il primo tentativo non viene ignorato è perché esistono scenari in cui può avere esito positivo. In questi scenari, è preferibile.

Soluzione alternativa

Questi eventi possono essere ignorati in modo sicuro perché non influiscono negativamente sulla funzionalità e sono così per progettazione. È l'azione consigliata per questi eventi.

Se lo si desidera, gli utenti esperti e i professionisti IT possono eliminare questi eventi dalla vista nel Visualizzatore eventi. A tale scopo, creare un filtro e modificare manualmente la query XML del filtro in modo simile alla seguente:

<QueryList>
  <Query Id="0" Path="System">
    <Select Path="System">*</Select>
    <Suppress Path="System">
      *[System[(EventID=10016)]]
      and
      *[EventData[
        (
          Data[@Name='param4'] and Data='{D63B10C5-BB46-4990-A94F-E40B9D520160}' and
          Data[@Name='param5'] and Data='{9CA88EE3-ACB7-47C8-AFC4-AB702511C276}' and
          Data[@Name='param8'] and Data='S-1-5-18'
        )
        or
        ( Data[@Name='param4'] and Data='{260EB9DE-5CBE-4BFF-A99A-3710AF55BF1E}' and
          Data[@Name='param5'] and Data='{260EB9DE-5CBE-4BFF-A99A-3710AF55BF1E}'
        )
        or
        (
          Data[@Name='param4'] and Data='{C2F03A33-21F5-47FA-B4BB-156362A2F239}' and
          Data[@Name='param5'] and Data='{316CDED5-E4AE-4B15-9113-7055D84DCC97}' and
          Data[@Name='param8'] and Data='S-1-5-19'
        )
        or
        (
          Data[@Name='param4'] and Data='{6B3B8D23-FA8D-40B9-8DBD-B950333E2C52}' and
          Data[@Name='param5'] and Data='{4839DDB7-58C2-48F5-8283-E1D1807D0D7D}' and
          Data[@Name='param8'] and Data='S-1-5-19'
        )
      ]]
    </Suppress>
  </Query>
</QueryList>

In questa query:

  • param4 corrisponde al CLSID dell'applicazione server COM.
  • param5 corrisponde all'APPID.
  • param8 corrisponde al SID del contesto di sicurezza.

Tutti questi vengono registrati nei registri eventi 10016.

Per ulteriori informazioni sulla creazione manuale di query del Visualizzatore eventi, vedere Utilizzo eventi.

È inoltre possibile risolvere questo problema modificando le autorizzazioni per i componenti DCOM per evitare che l'errore venga registrato. Tuttavia, non è consigliabile utilizzare questo metodo perché:

  • Questi errori non influiscono negativamente sulla funzionalità
  • La modifica delle autorizzazioni può avere effetti collaterali indesiderati.