В журнал Windows записывается ИД события DCOM 10016

Применимо к: Windows 10, version 1903Windows Server, version 1903Windows 10, version 1809

Проблемы


На компьютере под управлением Windows 10, Windows Server 2016 или Windows Server версии 2019 в системном журнале обнаруживается следующее событие.

Причина


Эти события 10016 записываются, когда компоненты Microsoft пытаются получить доступ к компонентам DCOM без необходимых разрешений. В этом случае это предусмотрено конструкцией приложения.

Шаблон кодирования был реализован, когда код сначала пытается получить доступ к компонентам DCOM с одним набором параметров. Если первая попытка не удалась, повторите попытку с другим набором параметров. Причина того, что первая попытка не пропускается, состоит в том, что есть сценарии, в которых она может оказаться успешной. В этих сценариях это предпочтительно.

Обходной путь


Эти события можно безопасно игнорировать, поскольку они не влияют на функциональные возможности и предусмотрены конструкцией. Это рекомендуется для этих событий.

При необходимости опытные пользователи и ИТ-специалисты могут отключить эти события от просмотра в окне просмотра событий путем создания фильтра и ручного редактирования запросов XML фильтра следующим образом:

<QueryList>  <Query Id="0" Path="System">    <Select Path="System">*</Select>    <Suppress Path="System">      *[System[(EventID=10016)]]      and      *[EventData[        (          Data[@Name='param4'] and Data='{D63B10C5-BB46-4990-A94F-E40B9D520160}' and          Data[@Name='param5'] and Data='{9CA88EE3-ACB7-47C8-AFC4-AB702511C276}' and          Data[@Name='param8'] and Data='S-1-5-18'        )         or        (          Data[@Name='param4'] and Data='{260EB9DE-5CBE-4BFF-A99A-3710AF55BF1E}' and          Data[@Name='param5'] and Data='{260EB9DE-5CBE-4BFF-A99A-3710AF55BF1E}'        )         or        (          Data[@Name='param4'] and Data='{C2F03A33-21F5-47FA-B4BB-156362A2F239}' and          Data[@Name='param5'] and Data='{316CDED5-E4AE-4B15-9113-7055D84DCC97}' and          Data[@Name='param8'] and Data='S-1-5-19'        )        or        (          Data[@Name='param4'] and Data='{6B3B8D23-FA8D-40B9-8DBD-B950333E2C52}' and          Data[@Name='param5'] and Data='{4839DDB7-58C2-48F5-8283-E1D1807D0D7D}' and          Data[@Name='param8'] and Data='S-1-5-19'        )       ]]    </Suppress>  </Query></QueryList>

В этом запросе param4 соответствует CLSID приложения COM-сервера, param5 соответствует APPID, а param8 соответствует SID контекста безопасности; все из них записываются в журналы событий с кодом 10016.

Дополнительные сведения о создании запросов просмотра событий вручную см. в разделе Использование событий.

Также можно обойти эту проблему, изменив разрешения для компонентов DCOM, чтобы предотвратить вход в систему. Однако этот метод не рекомендуется, поскольку эти ошибки не влияют на функциональные возможности, а изменение разрешений может привести к побочным эффектам.