DCOM-händelse-ID 10016 loggas i Windows

Gäller för: Windows 10, version 1909Windows Server, version 1909 (Datacenter, Standard)Windows 10, version 1903

Symptom


På en dator som kör Windows 10, Windows Server 2016, Windows Server 2019, Windows Server, version 1903 eller Windows Server 1909, märker du följande händelse som är inloggad i systemhändelseloggarna.

Orsak


Dessa 10016 händelser registreras när Microsoft-komponenter försöker komma åt DCOM-komponenter utan nödvändiga behörigheter. I det här fallet är detta förväntat och avsiktligt.

Ett kodningsmönster har implementerats där koden först försöker få åtkomst till DCOM-komponenterna med en uppsättning parametrar. Om det första försöket misslyckas försöker det igen med en annan uppsättning parametrar. Anledningen till att det inte hoppar över det första försöket beror på att det finns scenarier där det kan lyckas. I dessa fall är detta att föredra.

Lösning


Dessa händelser kan ignoreras på ett säkert sätt eftersom de inte påverkar funktionaliteten negativt och är avsiktligt. Detta är den rekommenderade åtgärden för dessa händelser.

Om så önskas kan avancerade användare och IT-proffs utelämna dessa händelser från vyn i loggboken genom att skapa ett filter och manuellt redigera filtrets XML-fråga enligt följande:

<QueryList>  <Query Id="0" Path="System">    <Select Path="System">*</Select>    <Suppress Path="System">      *[System[(EventID=10016)]]      and      *[EventData[        (          Data[@Name='param4'] and Data='{D63B10C5-BB46-4990-A94F-E40B9D520160}' and          Data[@Name='param5'] and Data='{9CA88EE3-ACB7-47C8-AFC4-AB702511C276}' and          Data[@Name='param8'] and Data='S-1-5-18'        )         or        (          Data[@Name='param4'] and Data='{260EB9DE-5CBE-4BFF-A99A-3710AF55BF1E}' and          Data[@Name='param5'] and Data='{260EB9DE-5CBE-4BFF-A99A-3710AF55BF1E}'        )         or        (          Data[@Name='param4'] and Data='{C2F03A33-21F5-47FA-B4BB-156362A2F239}' and          Data[@Name='param5'] and Data='{316CDED5-E4AE-4B15-9113-7055D84DCC97}' and          Data[@Name='param8'] and Data='S-1-5-19'        )        or        (          Data[@Name='param4'] and Data='{6B3B8D23-FA8D-40B9-8DBD-B950333E2C52}' and          Data[@Name='param5'] and Data='{4839DDB7-58C2-48F5-8283-E1D1807D0D7D}' and          Data[@Name='param8'] and Data='S-1-5-19'        )       ]]    </Suppress>  </Query></QueryList>

I den här frågan motsvarar param4 till COM-serverns program-CLSID, param5 motsvarar APPID och param8 motsvarar säkerhetskontexten SID, som alla är registrerade i händelseloggarna 10016.

Mer information om manuell konstruktion av frågor i loggboken finns i Förbrukarhändelser.

Du kan också kringgå problemet genom att ändra behörigheterna för DCOM-komponenter för att förhindra att det här felet loggas. Vi rekommenderar dock inte den här metoden eftersom dessa fel inte påverkar funktionaliteten negativt och ändra behörigheterna kan ha oavsiktliga bieffekter.