A ID de evento DCOM 10016 é registrada no Windows

  • Artigo

Este artigo fornece uma solução alternativa para resolver o evento 10016 que está registrado no Windows ao acessar componentes DCOM.

Aplica-se a: Windows 10 — todas as edições, Windows Server 2019, Windows Server 2016
Número original do KB: 4022522

Sintomas

Em um computador que esteja executando o Windows 10, o Windows Server 2019 ou o Windows Server 2016, o seguinte evento é registrado nos logs de eventos do sistema.

Source:        Microsoft-Windows-DistributedCOM  
Event ID:      10016  
Description: The application-specific permission settings do not grant Local Activation permission for the COM Server application with CLSID  
{D63B10C5-BB46-4990-A94F-E40B9D520160}  
and APPID  
{9CA88EE3-ACB7-47C8-AFC4-AB702511C276}  
to the user NT AUTHORITY\SYSTEM SID (S-1-5-18) from address LocalHost (using LRPC) running in the application container Unavailable SID (Unavailable). This security permission can be modified using the Component Services administrative tool.d

Source:        Microsoft-Windows-DistributedCOM  
Event ID:      10016  
Description: The application-specific permission settings do not grant Local Activation permission for the COM Server application with CLSID  
{260EB9DE-5CBE-4BFF-A99A-3710AF55BF1E}  
and APPID  
{260EB9DE-5CBE-4BFF-A99A-3710AF55BF1E}  
to the user machine\user SID (S-1-5-21-xxxxxxxxx-xxxxxxxxxx-xxxxxxxxxx-xxxx) from address LocalHost (using LRPC) running in the application container Microsoft.Windows.ShellExperienceHost_10.0.14393.726_neutral_neutral_cw5n1h2txyewy SID (S-1-15-2-xxxxxxxxx-xxxxxxxxxx-xxxxxxxxx-xxxxxxxxxx-xxxxxxxxxx-xxxxxxxxxx-xxxxxxxxxx). This security permission can be modified using the Component Services administrative tool.

Source:        Microsoft-Windows-DistributedCOM  
Event ID:      10016  
Description: The machine-default permission settings do not grant Local Activation permission for the COM Server application with CLSID  
{C2F03A33-21F5-47FA-B4BB-156362A2F239}  
and APPID  
{316CDED5-E4AE-4B15-9113-7055D84DCC97}  
to the user NT AUTHORITY\LOCAL SERVICE SID (S-1-5-19) from address LocalHost (using LRPC) running in the application container Unavailable SID (Unavailable). This security permission can be modified using the Component Services administrative tool.

Source:        Microsoft-Windows-DistributedCOM  
Event ID:      10016  
Description: The application-specific permission settings do not grant Local Activation permission for the COM Server application with CLSID  
{6B3B8D23-FA8D-40B9-8DBD-B950333E2C52}  
and APPID  
{4839DDB7-58C2-48F5-8283-E1D1807D0D7D}  
to the user NT AUTHORITY\LOCAL SERVICE SID (S-1-5-19) from address LocalHost (using LRPC) running in the application container Unavailable SID (Unavailable). This security permission can be modified using the Component Services administrative tool.

Motivo

Esses eventos 10016 são gravados quando os componentes da Microsoft tentam acessar os componentes DCOM sem as permissões necessárias. Nesse caso, esse comportamento é esperado e por design.

Foi implementado um padrão de codificação em que o código primeiro tenta acessar os componentes DCOM com um conjunto de parâmetros. Se a primeira tentativa não for bem sucedida, tentará novamente com outro conjunto de parâmetros. A razão pela qual ele não pula a primeira tentativa é porque existem cenários em que ele pode ter êxito. Nesses cenários, isso é preferível.

Solução alternativa

Esses eventos podem ser ignorados com segurança porque não afetam a funcionalidade e são por design. Essa é a ação recomendada para esses eventos.

Se desejado, usuários avançados e profissionais de TI podem suprimir esses eventos no Visualizador de Eventos. Para fazer isso, crie um filtro e edite manualmente a consulta XML do filtro semelhante à seguinte:

<QueryList>
  <Query Id="0" Path="System">
    <Select Path="System">*</Select>
    <Suppress Path="System">
      *[System[(EventID=10016)]]
      and
      *[EventData[
        (
          Data[@Name='param4'] and Data='{D63B10C5-BB46-4990-A94F-E40B9D520160}' and
          Data[@Name='param5'] and Data='{9CA88EE3-ACB7-47C8-AFC4-AB702511C276}' and
          Data[@Name='param8'] and Data='S-1-5-18'
        )
        or
        ( Data[@Name='param4'] and Data='{260EB9DE-5CBE-4BFF-A99A-3710AF55BF1E}' and
          Data[@Name='param5'] and Data='{260EB9DE-5CBE-4BFF-A99A-3710AF55BF1E}'
        )
        or
        (
          Data[@Name='param4'] and Data='{C2F03A33-21F5-47FA-B4BB-156362A2F239}' and
          Data[@Name='param5'] and Data='{316CDED5-E4AE-4B15-9113-7055D84DCC97}' and
          Data[@Name='param8'] and Data='S-1-5-19'
        )
        or
        (
          Data[@Name='param4'] and Data='{6B3B8D23-FA8D-40B9-8DBD-B950333E2C52}' and
          Data[@Name='param5'] and Data='{4839DDB7-58C2-48F5-8283-E1D1807D0D7D}' and
          Data[@Name='param8'] and Data='S-1-5-19'
        )
      ]]
    </Suppress>
  </Query>
</QueryList>

Nesta consulta:

  • param4 corresponde ao aplicativo do Servidor COM CLSID.
  • param5 corresponde ao APPID.
  • param8 corresponde ao SID de contexto de segurança.

Todos eles são gravados nos logs de eventos 10016.

Para obter mais informações sobre a construção manual de consultas do Visualizador de Eventos, consulte Consumo de Eventos.

Você também pode contornar esse problema modificando as permissões nos componentes DCOM para evitar que esse erro seja registrado. No entanto, não recomendamos esse método porque:

  • Esses erros não afetam adversamente a funcionalidade
  • Modificar as permissões pode ter efeitos colaterais não intencionais.