Windows 出現 DCOM 事件 ID 10016 記錄

  • 發行項

本文提供解決在存取 DCOM 元件時 Windows 出現 DCOM 事件 ID 10016 記錄的解決方法。

適用於:Windows 10 - 所有版本、Windows Server 2019 Windows Server 2016
原始 KB 編號: 4022522

徵狀

在作業系統為 Windows 10、Windows Server 2019 或 Windows Server 2016 的電腦中,您發現系統事件記錄中出現下列事件的記錄。

Source:        Microsoft-Windows-DistributedCOM  
Event ID:      10016  
Description: The application-specific permission settings do not grant Local Activation permission for the COM Server application with CLSID  
{D63B10C5-BB46-4990-A94F-E40B9D520160}  
and APPID  
{9CA88EE3-ACB7-47C8-AFC4-AB702511C276}  
to the user NT AUTHORITY\SYSTEM SID (S-1-5-18) from address LocalHost (using LRPC) running in the application container Unavailable SID (Unavailable). This security permission can be modified using the Component Services administrative tool.d

Source:        Microsoft-Windows-DistributedCOM  
Event ID:      10016  
Description: The application-specific permission settings do not grant Local Activation permission for the COM Server application with CLSID  
{260EB9DE-5CBE-4BFF-A99A-3710AF55BF1E}  
and APPID  
{260EB9DE-5CBE-4BFF-A99A-3710AF55BF1E}  
to the user machine\user SID (S-1-5-21-xxxxxxxxx-xxxxxxxxxx-xxxxxxxxxx-xxxx) from address LocalHost (using LRPC) running in the application container Microsoft.Windows.ShellExperienceHost_10.0.14393.726_neutral_neutral_cw5n1h2txyewy SID (S-1-15-2-xxxxxxxxx-xxxxxxxxxx-xxxxxxxxx-xxxxxxxxxx-xxxxxxxxxx-xxxxxxxxxx-xxxxxxxxxx). This security permission can be modified using the Component Services administrative tool.

Source:        Microsoft-Windows-DistributedCOM  
Event ID:      10016  
Description: The machine-default permission settings do not grant Local Activation permission for the COM Server application with CLSID  
{C2F03A33-21F5-47FA-B4BB-156362A2F239}  
and APPID  
{316CDED5-E4AE-4B15-9113-7055D84DCC97}  
to the user NT AUTHORITY\LOCAL SERVICE SID (S-1-5-19) from address LocalHost (using LRPC) running in the application container Unavailable SID (Unavailable). This security permission can be modified using the Component Services administrative tool.

Source:        Microsoft-Windows-DistributedCOM  
Event ID:      10016  
Description: The application-specific permission settings do not grant Local Activation permission for the COM Server application with CLSID  
{6B3B8D23-FA8D-40B9-8DBD-B950333E2C52}  
and APPID  
{4839DDB7-58C2-48F5-8283-E1D1807D0D7D}  
to the user NT AUTHORITY\LOCAL SERVICE SID (S-1-5-19) from address LocalHost (using LRPC) running in the application container Unavailable SID (Unavailable). This security permission can be modified using the Component Services administrative tool.

原因

當 Microsoft 元件嘗試存取不具備必要權限的 DCOM 元件時,就會記錄這些 10016 事件。 在這種情況下,這種行為是預期中的,並且是設計使然。

已實施編碼模式,程式碼會先嘗試使用一組參數來存取 DCOM 元件。 如果第一次嘗試失敗,它會使用另一組參數再次嘗試。 不會略過第一次嘗試的原因是由於在某些案例中可能會成功。 在這些案例中,這是最好的方法。

因應措施

您可以放心地忽略這些事件,因為這些事件不會對功能造成不良影響,且是設計使然。 這是針對這些事件的建議動作。

如有需要,進階使用者和 IT 專業人員可以在事件檢視器中隱藏這些事件。 若要這麼做,請建立篩選,並手動編輯篩選器的 XML 查詢,如下所示:

<QueryList>
  <Query Id="0" Path="System">
    <Select Path="System">*</Select>
    <Suppress Path="System">
      *[System[(EventID=10016)]]
      and
      *[EventData[
        (
          Data[@Name='param4'] and Data='{D63B10C5-BB46-4990-A94F-E40B9D520160}' and
          Data[@Name='param5'] and Data='{9CA88EE3-ACB7-47C8-AFC4-AB702511C276}' and
          Data[@Name='param8'] and Data='S-1-5-18'
        )
        or
        ( Data[@Name='param4'] and Data='{260EB9DE-5CBE-4BFF-A99A-3710AF55BF1E}' and
          Data[@Name='param5'] and Data='{260EB9DE-5CBE-4BFF-A99A-3710AF55BF1E}'
        )
        or
        (
          Data[@Name='param4'] and Data='{C2F03A33-21F5-47FA-B4BB-156362A2F239}' and
          Data[@Name='param5'] and Data='{316CDED5-E4AE-4B15-9113-7055D84DCC97}' and
          Data[@Name='param8'] and Data='S-1-5-19'
        )
        or
        (
          Data[@Name='param4'] and Data='{6B3B8D23-FA8D-40B9-8DBD-B950333E2C52}' and
          Data[@Name='param5'] and Data='{4839DDB7-58C2-48F5-8283-E1D1807D0D7D}' and
          Data[@Name='param8'] and Data='S-1-5-19'
        )
      ]]
    </Suppress>
  </Query>
</QueryList>

在此查詢中:

  • param4 會對應至 COM 伺服器應用程式 CLSID。
  • param5 會對應至 APPID。
  • param8 會對應至安全性內容 SID。

所有這些記錄都會記錄在 10016 事件記錄中。

如需手動建構事件檢視器查詢的詳細資訊,請參閱 使用事件

您也可以修改 DCOM 元件的權限以避免記錄此錯誤,從而解決此問題。 不過,我們不建議此方法,因為:

  • 這些錯誤不會對功能造成不良影響
  • 修改權限可能會產生非預期的副作用。