DCOM 事件 ID 10016 已记录在Windows
09/08/
本文内容
本文提供了解决访问 DCOM 组件时登录Windows 10016 的解决方法。
适用于: Windows 10 - 所有版本,Windows Server ,Windows Server
原始 KB 编号: 4022522
症状
在运行 Windows 10、Windows Server 或 Windows Server 的计算机上,系统事件日志中会记录以下事件。
Source: Microsoft-Windows-DistributedCOM
Event ID: 10016
Description: The application-specific permission settings do not grant Local Activation permission for the COM Server application with CLSID
{D63B10C5-BB46-4990-A94F-E40B9D50}
and APPID
{9CA88EE3-ACB7-47C8-AFC4-AB702511C276}
to the user NT AUTHORITY\SYSTEM SID (S-1-5-18) from address LocalHost (using LRPC) running in the application container Unavailable SID (Unavailable). This security permission can be modified using the Component Services administrative tool.d
Source: Microsoft-Windows-DistributedCOM
Event ID: 10016
Description: The application-specific permission settings do not grant Local Activation permission for the COM Server application with CLSID
{260EB9DE-5CBE-4BFF-A99A-3710AF55BF1E}
and APPID
{260EB9DE-5CBE-4BFF-A99A-3710AF55BF1E}
to the user machine\user SID (S-1-5-21-xxxxxxxxx-xxxxxxxxxx-xxxxxxxxxx-xxxx) from address LocalHost (using LRPC) running in the application container Microsoft.Windows.ShellExperienceHost_10.0.14393.726_neutral_neutral_cw5n1h2txyewy SID (S-1-15-2-xxxxxxxxx-xxxxxxxxxx-xxxxxxxxx-xxxxxxxxxx-xxxxxxxxxx-xxxxxxxxxx-xxxxxxxxxx). This security permission can be modified using the Component Services administrative tool.
Source: Microsoft-Windows-DistributedCOM
Event ID: 10016
Description: The machine-default permission settings do not grant Local Activation permission for the COM Server application with CLSID
{C2F03A33-21F5-47FA-B4BB-156362A2F239}
and APPID
{316CDED5-E4AE-4B15-9113-7055D84DCC97}
to the user NT AUTHORITY\LOCAL SERVICE SID (S-1-5-19) from address LocalHost (using LRPC) running in the application container Unavailable SID (Unavailable). This security permission can be modified using the Component Services administrative tool.
Source: Microsoft-Windows-DistributedCOM
Event ID: 10016
Description: The application-specific permission settings do not grant Local Activation permission for the COM Server application with CLSID
{6B3B8D23-FA8D-40B9-8DBD-B950333E2C52}
and APPID
{4839DDB7-58C2-48F5-8283-E1D1807D0D7D}
to the user NT AUTHORITY\LOCAL SERVICE SID (S-1-5-19) from address LocalHost (using LRPC) running in the application container Unavailable SID (Unavailable). This security permission can be modified using the Component Services administrative tool.
原因
当 Microsoft 组件尝试在没有所需权限的情况下访问 DCOM 组件时,将记录这些 10016 事件。 在这种情况下,此行为是预期行为,且是设计使的。
已实现编码模式,其中代码首先尝试使用一组参数访问 DCOM 组件。 如果第一次尝试失败,它将使用另一组参数重试。 它不会跳过第一次尝试的原因是,有一些方案可以成功。 在这些方案中,最好使用 。
解决方法
可以安全地忽略这些事件,因为它们不会对功能产生不利影响,并且是设计使的。 建议对这些事件执行该操作。
如果需要,高级用户和 IT 专业人员可以在事件查看器中禁止从视图中查看这些事件。 为此,请创建筛选器并手动编辑筛选器的 XML 查询,如下所示:
*
*[System[(EventID=10016)]]
and
*[EventData[
(
Data[@Name='param4'] and Data='{D63B10C5-BB46-4990-A94F-E40B9D50}' and
Data[@Name='param5'] and Data='{9CA88EE3-ACB7-47C8-AFC4-AB702511C276}' and
Data[@Name='param8'] and Data='S-1-5-18'
)
or
( Data[@Name='param4'] and Data='{260EB9DE-5CBE-4BFF-A99A-3710AF55BF1E}' and
Data[@Name='param5'] and Data='{260EB9DE-5CBE-4BFF-A99A-3710AF55BF1E}'
)
or
(
Data[@Name='param4'] and Data='{C2F03A33-21F5-47FA-B4BB-156362A2F239}' and
Data[@Name='param5'] and Data='{316CDED5-E4AE-4B15-9113-7055D84DCC97}' and
Data[@Name='param8'] and Data='S-1-5-19'
)
or
(
Data[@Name='param4'] and Data='{6B3B8D23-FA8D-40B9-8DBD-B950333E2C52}' and
Data[@Name='param5'] and Data='{4839DDB7-58C2-48F5-8283-E1D1807D0D7D}' and
Data[@Name='param8'] and Data='S-1-5-19'
)
]]
在此查询中:
param4 对应于 COM 服务器应用程序 CLSID。
param5 对应于 APPID。
param8 对应于安全上下文 SID。
所有这些日志都记录在 10016 事件日志中。
有关手动构造事件查看器查询的信息,请参阅 使用事件。
您还可以通过修改 DCOM 组件的权限来解决此问题,以防止记录此错误。 但是,我们不建议使用此方法,因为:
这些错误不会对功能产生不利影响
修改权限可能会产生意外的负面影响。
