DCOM-gebeurtenis-id 10016 wordt geregistreerd in Windows

  • Artikel

Dit artikel biedt een tijdelijke oplossing voor het oplossen van de gebeurtenis 10016 die is aangemeld in Windows bij het openen van DCOM-onderdelen.

Van toepassing op: Windows 10 - alle edities, Windows Server 2019, Windows Server 2016
Origineel KB-nummer: 4022522

Symptomen

Op een computer waarop Windows 10, Windows Server 2019 of Windows Server 2016 wordt uitgevoerd, wordt de volgende gebeurtenis vastgelegd in de systeemgebeurtenislogboeken.

Source:        Microsoft-Windows-DistributedCOM  
Event ID:      10016  
Description: The application-specific permission settings do not grant Local Activation permission for the COM Server application with CLSID  
{D63B10C5-BB46-4990-A94F-E40B9D520160}  
and APPID  
{9CA88EE3-ACB7-47C8-AFC4-AB702511C276}  
to the user NT AUTHORITY\SYSTEM SID (S-1-5-18) from address LocalHost (using LRPC) running in the application container Unavailable SID (Unavailable). This security permission can be modified using the Component Services administrative tool.d

Source:        Microsoft-Windows-DistributedCOM  
Event ID:      10016  
Description: The application-specific permission settings do not grant Local Activation permission for the COM Server application with CLSID  
{260EB9DE-5CBE-4BFF-A99A-3710AF55BF1E}  
and APPID  
{260EB9DE-5CBE-4BFF-A99A-3710AF55BF1E}  
to the user machine\user SID (S-1-5-21-xxxxxxxxx-xxxxxxxxxx-xxxxxxxxxx-xxxx) from address LocalHost (using LRPC) running in the application container Microsoft.Windows.ShellExperienceHost_10.0.14393.726_neutral_neutral_cw5n1h2txyewy SID (S-1-15-2-xxxxxxxxx-xxxxxxxxxx-xxxxxxxxx-xxxxxxxxxx-xxxxxxxxxx-xxxxxxxxxx-xxxxxxxxxx). This security permission can be modified using the Component Services administrative tool.

Source:        Microsoft-Windows-DistributedCOM  
Event ID:      10016  
Description: The machine-default permission settings do not grant Local Activation permission for the COM Server application with CLSID  
{C2F03A33-21F5-47FA-B4BB-156362A2F239}  
and APPID  
{316CDED5-E4AE-4B15-9113-7055D84DCC97}  
to the user NT AUTHORITY\LOCAL SERVICE SID (S-1-5-19) from address LocalHost (using LRPC) running in the application container Unavailable SID (Unavailable). This security permission can be modified using the Component Services administrative tool.

Source:        Microsoft-Windows-DistributedCOM  
Event ID:      10016  
Description: The application-specific permission settings do not grant Local Activation permission for the COM Server application with CLSID  
{6B3B8D23-FA8D-40B9-8DBD-B950333E2C52}  
and APPID  
{4839DDB7-58C2-48F5-8283-E1D1807D0D7D}  
to the user NT AUTHORITY\LOCAL SERVICE SID (S-1-5-19) from address LocalHost (using LRPC) running in the application container Unavailable SID (Unavailable). This security permission can be modified using the Component Services administrative tool.

Oorzaak

Deze 10016-gebeurtenissen worden vastgelegd wanneer Microsoft-onderdelen zonder de vereiste machtigingen toegang proberen te krijgen tot DCOM-onderdelen. In dit geval wordt dit gedrag verwacht en volgens het ontwerp.

Er is een coderingspatroon geïmplementeerd waarbij de code eerst probeert toegang te krijgen tot de DCOM-onderdelen met één set parameters. Als de eerste poging is mislukt, wordt het opnieuw geprobeerd met een andere set parameters. De reden waarom de eerste poging niet wordt overgeslagen, is omdat er scenario's zijn waarin dit kan lukken. In die scenario's heeft dit de voorkeur.

Tijdelijke oplossing

Deze gebeurtenissen kunnen veilig worden genegeerd omdat ze geen nadelige invloed hebben op de functionaliteit en standaard zijn. Dit is de aanbevolen actie voor deze gebeurtenissen.

Indien gewenst kunnen ervaren gebruikers en IT-professionals deze gebeurtenissen onderdrukken in de Logboeken. U doet dit door een filter te maken en de XML-query van het filter handmatig te bewerken, vergelijkbaar met de volgende:

<QueryList>
  <Query Id="0" Path="System">
    <Select Path="System">*</Select>
    <Suppress Path="System">
      *[System[(EventID=10016)]]
      and
      *[EventData[
        (
          Data[@Name='param4'] and Data='{D63B10C5-BB46-4990-A94F-E40B9D520160}' and
          Data[@Name='param5'] and Data='{9CA88EE3-ACB7-47C8-AFC4-AB702511C276}' and
          Data[@Name='param8'] and Data='S-1-5-18'
        )
        or
        ( Data[@Name='param4'] and Data='{260EB9DE-5CBE-4BFF-A99A-3710AF55BF1E}' and
          Data[@Name='param5'] and Data='{260EB9DE-5CBE-4BFF-A99A-3710AF55BF1E}'
        )
        or
        (
          Data[@Name='param4'] and Data='{C2F03A33-21F5-47FA-B4BB-156362A2F239}' and
          Data[@Name='param5'] and Data='{316CDED5-E4AE-4B15-9113-7055D84DCC97}' and
          Data[@Name='param8'] and Data='S-1-5-19'
        )
        or
        (
          Data[@Name='param4'] and Data='{6B3B8D23-FA8D-40B9-8DBD-B950333E2C52}' and
          Data[@Name='param5'] and Data='{4839DDB7-58C2-48F5-8283-E1D1807D0D7D}' and
          Data[@Name='param8'] and Data='S-1-5-19'
        )
      ]]
    </Suppress>
  </Query>
</QueryList>

In deze query:

  • param4 komt overeen met de CLSID van de COM-servertoepassing.
  • param5 komt overeen met de APPID.
  • param8 komt overeen met de SID van de beveiligingscontext.

Ze worden allemaal vastgelegd in de gebeurtenislogboeken van 10016.

Zie Gebeurtenissen gebruiken voor meer informatie over het handmatig samenstellen van Logboeken query's.

U kunt dit probleem ook omzeilen door de machtigingen voor DCOM-onderdelen te wijzigen om te voorkomen dat deze fout wordt geregistreerd. We raden deze methode echter niet aan omdat:

  • Deze fouten hebben geen nadelige invloed op de functionaliteit
  • Het wijzigen van de machtigingen kan onbedoelde bijwerkingen hebben.