DCOM-gebeurtenis-ID 10016 wordt vastgelegd in Windows

Van toepassing: Windows 10, version 1903Windows Server, version 1903Windows 10, version 1809

Symptomen


Op een computer met Windows 10, Windows Server 2016 of Windows Server 2019 ziet u dat de volgende gebeurtenis is vastgelegd in de gebeurtenislogboeken van het systeem.

Oorzaak


Deze 10016-gebeurtenissen worden geregistreerd wanneer Microsoft-onderdelen toegang proberen te krijgen tot DCOM-onderdelen zonder de vereiste machtigingen. In dit scenario is dit gedrag verwacht en bedoeld.

Er is een coderingspatroon geïmplementeerd waarbij de code eerst probeert toegang te krijgen tot de DCOM-onderdelen met één set parameters. Als de eerste poging niet succesvol is, probeert het opnieuw met een andere reeks parameters. De reden waarom de eerste poging niet wordt overgeslagen, is dat er scenario's zijn waar het kan slagen. In die scenario's heeft dat de voorkeur.

Tijdelijke oplossing


Deze gebeurtenissen kunnen veilig worden genegeerd omdat ze de functionaliteit niet nadelig beïnvloeden en zo bedoeld zijn. Dit is de aanbevolen actie voor deze gebeurtenissen.

Desgewenst kunnen geavanceerde gebruikers en IT-professionals deze gebeurtenissen uit de weergave in de Logboeken verwijderen door een filter te maken en de XML-query van het filter handmatig ongeveer als volgt te bewerken:

<QueryList>  <Query Id="0" Path="System">    <Select Path="System">*</Select>    <Suppress Path="System">      *[System[(EventID=10016)]]      and      *[EventData[        (          Data[@Name='param4'] and Data='{D63B10C5-BB46-4990-A94F-E40B9D520160}' and          Data[@Name='param5'] and Data='{9CA88EE3-ACB7-47C8-AFC4-AB702511C276}' and          Data[@Name='param8'] and Data='S-1-5-18'        )         or        (          Data[@Name='param4'] and Data='{260EB9DE-5CBE-4BFF-A99A-3710AF55BF1E}' and          Data[@Name='param5'] and Data='{260EB9DE-5CBE-4BFF-A99A-3710AF55BF1E}'        )         or        (          Data[@Name='param4'] and Data='{C2F03A33-21F5-47FA-B4BB-156362A2F239}' and          Data[@Name='param5'] and Data='{316CDED5-E4AE-4B15-9113-7055D84DCC97}' and          Data[@Name='param8'] and Data='S-1-5-19'        )        or        (          Data[@Name='param4'] and Data='{6B3B8D23-FA8D-40B9-8DBD-B950333E2C52}' and          Data[@Name='param5'] and Data='{4839DDB7-58C2-48F5-8283-E1D1807D0D7D}' and          Data[@Name='param8'] and Data='S-1-5-19'        )       ]]    </Suppress>  </Query></QueryList>

In deze query correspondeert param4 met de COM-servertoepassing CLSID, correspondeert param5 met de APPID en correspondeert param8 met de beveiligingscontext-SID, die allemaal zijn vastgelegd in de 10016-gebeurtenislogboeken.

Zie Gebeurtenissen consumeren voor meer informatie over het handmatig samenstellen van Logboeken-query's.

U kunt dit probleem ook omzeilen door de machtigingen voor DCOM-onderdelen te wijzigen om te voorkomen dat deze fout wordt geregistreerd. Deze methode wordt echter niet aanbevolen omdat deze fouten geen nadelige invloed hebben op de functionaliteit en het wijzigen van de machtigingen onbedoelde neveneffecten kan hebben.