Windows で DCOM のイベント ID 10016 がログに記録される

この記事では、DCOMコ ンポーネントにアクセスするときに Windows にログインするイベント 10016 を解決するための回避策について説明します。

適用対象: Windows 10 - すべてのエディション、Windows Server 2019、Windows Server 2016
元の KB 番号: 4022522

現象

Windows 10、Windows Server 2019、または Windows Server 2016 を実行しているコンピューターで、システム イベント ログに次のイベントがログに記録されます。

Source:        Microsoft-Windows-DistributedCOM  
Event ID:      10016  
Description: The application-specific permission settings do not grant Local Activation permission for the COM Server application with CLSID  
{D63B10C5-BB46-4990-A94F-E40B9D520160}  
and APPID  
{9CA88EE3-ACB7-47C8-AFC4-AB702511C276}  
to the user NT AUTHORITY\SYSTEM SID (S-1-5-18) from address LocalHost (using LRPC) running in the application container Unavailable SID (Unavailable). This security permission can be modified using the Component Services administrative tool.d

Source:        Microsoft-Windows-DistributedCOM  
Event ID:      10016  
Description: The application-specific permission settings do not grant Local Activation permission for the COM Server application with CLSID  
{260EB9DE-5CBE-4BFF-A99A-3710AF55BF1E}  
and APPID  
{260EB9DE-5CBE-4BFF-A99A-3710AF55BF1E}  
to the user machine\user SID (S-1-5-21-xxxxxxxxx-xxxxxxxxxx-xxxxxxxxxx-xxxx) from address LocalHost (using LRPC) running in the application container Microsoft.Windows.ShellExperienceHost_10.0.14393.726_neutral_neutral_cw5n1h2txyewy SID (S-1-15-2-xxxxxxxxx-xxxxxxxxxx-xxxxxxxxx-xxxxxxxxxx-xxxxxxxxxx-xxxxxxxxxx-xxxxxxxxxx). This security permission can be modified using the Component Services administrative tool.

Source:        Microsoft-Windows-DistributedCOM  
Event ID:      10016  
Description: The machine-default permission settings do not grant Local Activation permission for the COM Server application with CLSID  
{C2F03A33-21F5-47FA-B4BB-156362A2F239}  
and APPID  
{316CDED5-E4AE-4B15-9113-7055D84DCC97}  
to the user NT AUTHORITY\LOCAL SERVICE SID (S-1-5-19) from address LocalHost (using LRPC) running in the application container Unavailable SID (Unavailable). This security permission can be modified using the Component Services administrative tool.

Source:        Microsoft-Windows-DistributedCOM  
Event ID:      10016  
Description: The application-specific permission settings do not grant Local Activation permission for the COM Server application with CLSID  
{6B3B8D23-FA8D-40B9-8DBD-B950333E2C52}  
and APPID  
{4839DDB7-58C2-48F5-8283-E1D1807D0D7D}  
to the user NT AUTHORITY\LOCAL SERVICE SID (S-1-5-19) from address LocalHost (using LRPC) running in the application container Unavailable SID (Unavailable). This security permission can be modified using the Component Services administrative tool.

原因

これらの 10016 イベントは、Microsoft コンポーネントが必要なアクセス許可なしで DCOM コンポーネントにアクセスしようとしたときにログに記録されます。 このケースでは、この動作は仕様通りです。

コードが最初に 1 セットのパラメーターを使用して DCOM コンポーネントにアクセスしようとするコーディング パターンが実装されています。 最初の試行が失敗した場合は、別のパラメーターのセットを使用してもう一度試行します。 最初の試行をスキップしない理由は、成功する可能性のあるシナリオがあるためです。 これらのシナリオでは、その方が望ましいです。

回避策

これらのイベントは機能に悪影響を及ぼさず、仕様によるものであるため、無視しても問題ありません。 これは、これらのイベントに推奨されるアクションです。

必要に応じて、上級ユーザーおよび IT 担当者は、これらのイベントがイベント ビューアに表示されないようにすることができます。 これを行うには、フィルターを作成し、次のようにフィルターの XML クエリを手動で編集します。

<QueryList>
  <Query Id="0" Path="System">
    <Select Path="System">*</Select>
    <Suppress Path="System">
      *[System[(EventID=10016)]]
      and
      *[EventData[
        (
          Data[@Name='param4'] and Data='{D63B10C5-BB46-4990-A94F-E40B9D520160}' and
          Data[@Name='param5'] and Data='{9CA88EE3-ACB7-47C8-AFC4-AB702511C276}' and
          Data[@Name='param8'] and Data='S-1-5-18'
        )
        or
        ( Data[@Name='param4'] and Data='{260EB9DE-5CBE-4BFF-A99A-3710AF55BF1E}' and
          Data[@Name='param5'] and Data='{260EB9DE-5CBE-4BFF-A99A-3710AF55BF1E}'
        )
        or
        (
          Data[@Name='param4'] and Data='{C2F03A33-21F5-47FA-B4BB-156362A2F239}' and
          Data[@Name='param5'] and Data='{316CDED5-E4AE-4B15-9113-7055D84DCC97}' and
          Data[@Name='param8'] and Data='S-1-5-19'
        )
        or
        (
          Data[@Name='param4'] and Data='{6B3B8D23-FA8D-40B9-8DBD-B950333E2C52}' and
          Data[@Name='param5'] and Data='{4839DDB7-58C2-48F5-8283-E1D1807D0D7D}' and
          Data[@Name='param8'] and Data='S-1-5-19'
        )
      ]]
    </Suppress>
  </Query>
</QueryList>

このクエリの場合:

  • param4 は COM サーバー アプリケーション CLSID に対応します。
  • param5 は APPID に対応します。
  • param8 は、セキュリティ コンテキスト SID に対応します。

これらのすべてが 10016 イベント ログに記録されます。

イベント ビューアー クエリを手動で作成する方法の詳細については、「イベントの使用」を参照してください。

この問題を回避するには、DCOM コンポーネントのアクセス許可を変更して、このエラーがログに記録されないようにすることもできます。 ただし、次の理由から、この方法はお勧めしません。

  • これらのエラーは機能に悪影響を与えません
  • アクセス許可を変更すると、意図しない副作用が発生する可能性があります。