DCOM-händelse-ID 10016 loggas i Windows

Gäller för: Windows 10, version 1903Windows Server, version 1903Windows 10, version 1809

Symptom


På en dator som kör Windows 10, Windows Server 2016 eller Windows Server 2019, märker du att följande händelse loggas i system händelse loggarna.

Orsak


Dessa 10016 händelser registreras när Microsoft-komponenter försöker komma åt DCOM-komponenter utan nödvändiga behörigheter. I det här fallet är detta förväntat och avsiktligt.

Ett kodningsmönster har implementerats där koden först försöker få åtkomst till DCOM-komponenterna med en uppsättning parametrar. Om det första försöket misslyckas försöker det igen med en annan uppsättning parametrar. Anledningen till att det inte hoppar över det första försöket beror på att det finns scenarier där det kan lyckas. I dessa fall är detta att föredra.

Lösning


Dessa händelser kan ignoreras på ett säkert sätt eftersom de inte påverkar funktionaliteten negativt och är avsiktligt. Detta är den rekommenderade åtgärden för dessa händelser.

Om så önskas kan avancerade användare och IT-proffs utelämna dessa händelser från vyn i loggboken genom att skapa ett filter och manuellt redigera filtrets XML-fråga enligt följande:

<QueryList>  <Query Id="0" Path="System">    <Select Path="System">*</Select>    <Suppress Path="System">      *[System[(EventID=10016)]]      and      *[EventData[        (          Data[@Name='param4'] and Data='{D63B10C5-BB46-4990-A94F-E40B9D520160}' and          Data[@Name='param5'] and Data='{9CA88EE3-ACB7-47C8-AFC4-AB702511C276}' and          Data[@Name='param8'] and Data='S-1-5-18'        )         or        (          Data[@Name='param4'] and Data='{260EB9DE-5CBE-4BFF-A99A-3710AF55BF1E}' and          Data[@Name='param5'] and Data='{260EB9DE-5CBE-4BFF-A99A-3710AF55BF1E}'        )         or        (          Data[@Name='param4'] and Data='{C2F03A33-21F5-47FA-B4BB-156362A2F239}' and          Data[@Name='param5'] and Data='{316CDED5-E4AE-4B15-9113-7055D84DCC97}' and          Data[@Name='param8'] and Data='S-1-5-19'        )        or        (          Data[@Name='param4'] and Data='{6B3B8D23-FA8D-40B9-8DBD-B950333E2C52}' and          Data[@Name='param5'] and Data='{4839DDB7-58C2-48F5-8283-E1D1807D0D7D}' and          Data[@Name='param8'] and Data='S-1-5-19'        )       ]]    </Suppress>  </Query></QueryList>

I den här frågan motsvarar PARAM4 till COM-serverns program-CLSID, PARAM5 motsvarar APPID och param8motsvarar säkerhetskontexten SID, som alla är registrerade i händelseloggarna 10016.

Mer information om manuell konstruktion av frågor i loggboken finns i Förbrukarhändelser.

Du kan också kringgå problemet genom att ändra behörigheterna för DCOM-komponenter för att förhindra att det här felet loggas. Vi rekommenderar dock inte den här metoden eftersom dessa fel inte påverkar funktionaliteten negativt och ändra behörigheterna kan ha oavsiktliga bieffekter.