В журнал Windows записывается ИД события DCOM 10016

Применимо к: Windows 10, version 2004, all editionsWindows Server, version 2004, all editionsWindows 10, version 1909, all editions

Проблемы


На компьютере под управлением Windows 10, Windows Server 2016, Windows Server 2019, Windows Server версии 1903 или Windows Server версии 1909 в системном журнале обнаруживается следующее событие.

Причина


Эти события 10016 записываются, когда компоненты Microsoft пытаются получить доступ к компонентам DCOM без необходимых разрешений. В этом случае это предусмотрено конструкцией приложения.

Шаблон кодирования был реализован, когда код сначала пытается получить доступ к компонентам DCOM с одним набором параметров. Если первая попытка не удалась, повторите попытку с другим набором параметров. Причина того, что первая попытка не пропускается, состоит в том, что есть сценарии, в которых она может оказаться успешной. В этих сценариях это предпочтительно.

Обходной путь


Эти события можно безопасно игнорировать, поскольку они не влияют на функциональные возможности и предусмотрены конструкцией. Это рекомендуется для этих событий.

При необходимости опытные пользователи и ИТ-специалисты могут отключить эти события от просмотра в окне просмотра событий путем создания фильтра и ручного редактирования запросов XML фильтра следующим образом:

<QueryList>  <Query Id="0" Path="System">    <Select Path="System">*</Select>    <Suppress Path="System">      *[System[(EventID=10016)]]      and      *[EventData[        (          Data[@Name='param4'] and Data='{D63B10C5-BB46-4990-A94F-E40B9D520160}' and          Data[@Name='param5'] and Data='{9CA88EE3-ACB7-47C8-AFC4-AB702511C276}' and          Data[@Name='param8'] and Data='S-1-5-18'        )         or        (          Data[@Name='param4'] and Data='{260EB9DE-5CBE-4BFF-A99A-3710AF55BF1E}' and          Data[@Name='param5'] and Data='{260EB9DE-5CBE-4BFF-A99A-3710AF55BF1E}'        )         or        (          Data[@Name='param4'] and Data='{C2F03A33-21F5-47FA-B4BB-156362A2F239}' and          Data[@Name='param5'] and Data='{316CDED5-E4AE-4B15-9113-7055D84DCC97}' and          Data[@Name='param8'] and Data='S-1-5-19'        )        or        (          Data[@Name='param4'] and Data='{6B3B8D23-FA8D-40B9-8DBD-B950333E2C52}' and          Data[@Name='param5'] and Data='{4839DDB7-58C2-48F5-8283-E1D1807D0D7D}' and          Data[@Name='param8'] and Data='S-1-5-19'        )       ]]    </Suppress>  </Query></QueryList>

В этом запросе param4 соответствует CLSID приложения COM-сервера, param5 соответствует APPID, а param8 соответствует SID контекста безопасности; все из них записываются в журналы событий с кодом 10016.

Дополнительные сведения о создании запросов просмотра событий вручную см. в разделе Использование событий.

Также можно обойти эту проблему, изменив разрешения для компонентов DCOM, чтобы предотвратить вход в систему. Однако этот метод не рекомендуется, поскольку эти ошибки не влияют на функциональные возможности, а изменение разрешений может привести к побочным эффектам.