DCOM-händelse-ID 10016 loggas i Windows

  • Artikel

Den här artikeln innehåller en lösning för att lösa händelse 10016 som loggas i Windows vid åtkomst till DCOM-komponenter.

Gäller för: Windows 10 – alla utgåvor, Windows Server 2019 Windows Server 2016
Ursprungligt KB-nummer: 4022522

Symptom

På en dator som kör Windows 10, Windows Server 2019 eller Windows Server 2016 loggas följande händelse i systemhändelseloggarna.

Source:        Microsoft-Windows-DistributedCOM  
Event ID:      10016  
Description: The application-specific permission settings do not grant Local Activation permission for the COM Server application with CLSID  
{D63B10C5-BB46-4990-A94F-E40B9D520160}  
and APPID  
{9CA88EE3-ACB7-47C8-AFC4-AB702511C276}  
to the user NT AUTHORITY\SYSTEM SID (S-1-5-18) from address LocalHost (using LRPC) running in the application container Unavailable SID (Unavailable). This security permission can be modified using the Component Services administrative tool.d

Source:        Microsoft-Windows-DistributedCOM  
Event ID:      10016  
Description: The application-specific permission settings do not grant Local Activation permission for the COM Server application with CLSID  
{260EB9DE-5CBE-4BFF-A99A-3710AF55BF1E}  
and APPID  
{260EB9DE-5CBE-4BFF-A99A-3710AF55BF1E}  
to the user machine\user SID (S-1-5-21-xxxxxxxxx-xxxxxxxxxx-xxxxxxxxxx-xxxx) from address LocalHost (using LRPC) running in the application container Microsoft.Windows.ShellExperienceHost_10.0.14393.726_neutral_neutral_cw5n1h2txyewy SID (S-1-15-2-xxxxxxxxx-xxxxxxxxxx-xxxxxxxxx-xxxxxxxxxx-xxxxxxxxxx-xxxxxxxxxx-xxxxxxxxxx). This security permission can be modified using the Component Services administrative tool.

Source:        Microsoft-Windows-DistributedCOM  
Event ID:      10016  
Description: The machine-default permission settings do not grant Local Activation permission for the COM Server application with CLSID  
{C2F03A33-21F5-47FA-B4BB-156362A2F239}  
and APPID  
{316CDED5-E4AE-4B15-9113-7055D84DCC97}  
to the user NT AUTHORITY\LOCAL SERVICE SID (S-1-5-19) from address LocalHost (using LRPC) running in the application container Unavailable SID (Unavailable). This security permission can be modified using the Component Services administrative tool.

Source:        Microsoft-Windows-DistributedCOM  
Event ID:      10016  
Description: The application-specific permission settings do not grant Local Activation permission for the COM Server application with CLSID  
{6B3B8D23-FA8D-40B9-8DBD-B950333E2C52}  
and APPID  
{4839DDB7-58C2-48F5-8283-E1D1807D0D7D}  
to the user NT AUTHORITY\LOCAL SERVICE SID (S-1-5-19) from address LocalHost (using LRPC) running in the application container Unavailable SID (Unavailable). This security permission can be modified using the Component Services administrative tool.

Orsak

Dessa 10016-händelser registreras när Microsoft-komponenter försöker komma åt DCOM-komponenter utan nödvändiga behörigheter. I det här fallet är det här beteendet förväntat och avsiktligt.

Ett kodningsmönster har implementerats där koden först försöker komma åt DCOM-komponenterna med en uppsättning parametrar. Om det första försöket misslyckas försöker det igen med en annan uppsättning parametrar. Anledningen till att det inte hoppar över det första försöket är att det finns scenarier där det kan lyckas. I dessa scenarier är det att föredra.

Lösning

Dessa händelser kan ignoreras på ett säkert sätt eftersom de inte påverkar funktionaliteten negativt och är avsiktligt. Det är den rekommenderade åtgärden för dessa händelser.

Om så önskas kan avancerade användare och IT-proffs förhindra dessa händelser från att visas i Loggboken. Om du vill göra det skapar du ett filter och redigerar filtrets XML-fråga manuellt som liknar följande:

<QueryList>
  <Query Id="0" Path="System">
    <Select Path="System">*</Select>
    <Suppress Path="System">
      *[System[(EventID=10016)]]
      and
      *[EventData[
        (
          Data[@Name='param4'] and Data='{D63B10C5-BB46-4990-A94F-E40B9D520160}' and
          Data[@Name='param5'] and Data='{9CA88EE3-ACB7-47C8-AFC4-AB702511C276}' and
          Data[@Name='param8'] and Data='S-1-5-18'
        )
        or
        ( Data[@Name='param4'] and Data='{260EB9DE-5CBE-4BFF-A99A-3710AF55BF1E}' and
          Data[@Name='param5'] and Data='{260EB9DE-5CBE-4BFF-A99A-3710AF55BF1E}'
        )
        or
        (
          Data[@Name='param4'] and Data='{C2F03A33-21F5-47FA-B4BB-156362A2F239}' and
          Data[@Name='param5'] and Data='{316CDED5-E4AE-4B15-9113-7055D84DCC97}' and
          Data[@Name='param8'] and Data='S-1-5-19'
        )
        or
        (
          Data[@Name='param4'] and Data='{6B3B8D23-FA8D-40B9-8DBD-B950333E2C52}' and
          Data[@Name='param5'] and Data='{4839DDB7-58C2-48F5-8283-E1D1807D0D7D}' and
          Data[@Name='param8'] and Data='S-1-5-19'
        )
      ]]
    </Suppress>
  </Query>
</QueryList>

I den här frågan:

  • param4 motsvarar COM Server-programmet CLSID.
  • param5 motsvarar APPID.
  • param8 motsvarar säkerhetskontexten SID.

Alla registreras i händelseloggarna för 10016.

Mer information om hur du konstruerar Loggboken frågor manuellt finns i Använda händelser.

Du kan också kringgå det här problemet genom att ändra behörigheterna för DCOM-komponenter för att förhindra att det här felet loggas. Vi rekommenderar dock inte den här metoden eftersom:

  • De här felen påverkar inte funktionaliteten negativt
  • Att ändra behörigheterna kan ha oönskade biverkningar.