Windows 中记录 DCOM 事件 ID 10016


https://docs.microsoft.com/zh-CN/troubleshoot/windows-client/application-management/event-10016-logged-when-accessing-dcom

本文提供了一种解决方法,用于解决访问 DCOM 组件时 Windows 中记录的事件 10016。

适用于: Windows 10 – 所有版本、Windows Server 2019、Windows Server 2016
原始 KB 编号:  4022522

症状

在运行 Windows10、Windows Server 2019 或 Windows Server 2016 的计算机上,系统事件日志中记录了以下事件。

输出

Source:        Microsoft-Windows-DistributedCOM  
Event ID:      10016  
Description: The application-specific permission settings do not grant Local Activation permission for the COM Server application with CLSID  
{D63B10C5-BB46-4990-A94F-E40B9D520160}  
and APPID  
{9CA88EE3-ACB7-47C8-AFC4-AB702511C276}  
to the user NT AUTHORITY/SYSTEM SID (S-1-5-18) from address LocalHost (using LRPC) running in the application container Unavailable SID (Unavailable). This security permission can be modified using the Component Services administrative tool.d

Source:        Microsoft-Windows-DistributedCOM  
Event ID:      10016  
Description: The application-specific permission settings do not grant Local Activation permission for the COM Server application with CLSID  
{260EB9DE-5CBE-4BFF-A99A-3710AF55BF1E}  
and APPID  
{260EB9DE-5CBE-4BFF-A99A-3710AF55BF1E}  
to the user machine/user SID (S-1-5-21-xxxxxxxxx-xxxxxxxxxx-xxxxxxxxxx-xxxx) from address LocalHost (using LRPC) running in the application container Microsoft.Windows.ShellExperienceHost_10.0.14393.726_neutral_neutral_cw5n1h2txyewy SID (S-1-15-2-xxxxxxxxx-xxxxxxxxxx-xxxxxxxxx-xxxxxxxxxx-xxxxxxxxxx-xxxxxxxxxx-xxxxxxxxxx). This security permission can be modified using the Component Services administrative tool.

Source:        Microsoft-Windows-DistributedCOM  
Event ID:      10016  
Description: The machine-default permission settings do not grant Local Activation permission for the COM Server application with CLSID  
{C2F03A33-21F5-47FA-B4BB-156362A2F239}  
and APPID  
{316CDED5-E4AE-4B15-9113-7055D84DCC97}  
to the user NT AUTHORITY/LOCAL SERVICE SID (S-1-5-19) from address LocalHost (using LRPC) running in the application container Unavailable SID (Unavailable). This security permission can be modified using the Component Services administrative tool.

Source:        Microsoft-Windows-DistributedCOM  
Event ID:      10016  
Description: The application-specific permission settings do not grant Local Activation permission for the COM Server application with CLSID  
{6B3B8D23-FA8D-40B9-8DBD-B950333E2C52}  
and APPID  
{4839DDB7-58C2-48F5-8283-E1D1807D0D7D}  
to the user NT AUTHORITY/LOCAL SERVICE SID (S-1-5-19) from address LocalHost (using LRPC) running in the application container Unavailable SID (Unavailable). This security permission can be modified using the Component Services administrative tool.

原因

如果 Microsoft 组件在没有所需权限的情况下尝试访问 DCOM 组件,就会记录这些 10016 事件。 此时,这种行为是按预期设计的。

在代码首次尝试用一组参数访问 DCOM 组件时,便已经实现了编码模式。 如果首次尝试不成功,它将使用另一组参数再次尝试。 它不跳过首次尝试的原因是,有某些场景下可以成功。 在这些场景下,这是更好的选择。

解决方法

这些事件可以被安全地忽略,因为它们不会对功能造成不良影响,而且是设计需要。 这是对这些事件的建议操作。

如果需要,高级用户和 IT 专业人员可以在事件查看器中禁止视图中显示这些事件。 为此,请创建筛选器并手动编辑筛选器的 XML 查询,如下所示:

XML

<QueryList>
  <Query Id="0" Path="System">
    <Select Path="System">*</Select>
    <Suppress Path="System">
      *[System[(EventID=10016)]]
      and
      *[EventData[
        (
          Data[@Name='param4'] and Data='{D63B10C5-BB46-4990-A94F-E40B9D520160}' and
          Data[@Name='param5'] and Data='{9CA88EE3-ACB7-47C8-AFC4-AB702511C276}' and
          Data[@Name='param8'] and Data='S-1-5-18'
        )
        or
        ( Data[@Name='param4'] and Data='{260EB9DE-5CBE-4BFF-A99A-3710AF55BF1E}' and
          Data[@Name='param5'] and Data='{260EB9DE-5CBE-4BFF-A99A-3710AF55BF1E}'
        )
        or
        (
          Data[@Name='param4'] and Data='{C2F03A33-21F5-47FA-B4BB-156362A2F239}' and
          Data[@Name='param5'] and Data='{316CDED5-E4AE-4B15-9113-7055D84DCC97}' and
          Data[@Name='param8'] and Data='S-1-5-19'
        )
        or
        (
          Data[@Name='param4'] and Data='{6B3B8D23-FA8D-40B9-8DBD-B950333E2C52}' and
          Data[@Name='param5'] and Data='{4839DDB7-58C2-48F5-8283-E1D1807D0D7D}' and
          Data[@Name='param8'] and Data='S-1-5-19'
        )
      ]]
    </Suppress>
  </Query>
</QueryList>

在本查询中:

  • param4 对应于 COM 服务器应用程序 CLSID。
  • param5 对应于 APPID。
  • param8 对应于安全上下文 SID。

所有这些都记录在 10016 事件日志中。

有关手动构造事件查看器查询的信息,请参阅使用事件

还可以通过修改 DCOM 组件上的权限来解决此问题,以防止记录该错误。 但是,我们不建议使用此方法,因为:

  • 这些错误不会对功能产生不利影响
  • 修改权限可能会产生意外的负面影响。

原创文章,作者:wure,如若转载,请注明出处:https://blog.ytso.com/270727.html

(0)
上一篇 2022年6月29日
下一篇 2022年6月29日

相关推荐

发表回复

登录后才能评论