El identificador de evento DCOM 10016 ha iniciado sesión Windows

En este artículo se proporciona una solución alternativa para resolver el evento 10016 que ha iniciado sesión Windows al obtener acceso a componentes de DCOM.

Se aplica a:   Windows 10: todas las ediciones, Windows Server 2019, Windows Server 2016
Número KB original:   4022522

Síntomas

En un equipo que ejecuta Windows 10, Windows Server 2019 o Windows Server 2016, el siguiente evento se registra en los registros de eventos del sistema.

Source:        Microsoft-Windows-DistributedCOM  
Event ID:      10016  
Description: The application-specific permission settings do not grant Local Activation permission for the COM Server application with CLSID  
{D63B10C5-BB46-4990-A94F-E40B9D520160}  
and APPID  
{9CA88EE3-ACB7-47C8-AFC4-AB702511C276}  
to the user NT AUTHORITY\SYSTEM SID (S-1-5-18) from address LocalHost (using LRPC) running in the application container Unavailable SID (Unavailable). This security permission can be modified using the Component Services administrative tool.d

Source:        Microsoft-Windows-DistributedCOM  
Event ID:      10016  
Description: The application-specific permission settings do not grant Local Activation permission for the COM Server application with CLSID  
{260EB9DE-5CBE-4BFF-A99A-3710AF55BF1E}  
and APPID  
{260EB9DE-5CBE-4BFF-A99A-3710AF55BF1E}  
to the user machine\user SID (S-1-5-21-xxxxxxxxx-xxxxxxxxxx-xxxxxxxxxx-xxxx) from address LocalHost (using LRPC) running in the application container Microsoft.Windows.ShellExperienceHost_10.0.14393.726_neutral_neutral_cw5n1h2txyewy SID (S-1-15-2-xxxxxxxxx-xxxxxxxxxx-xxxxxxxxx-xxxxxxxxxx-xxxxxxxxxx-xxxxxxxxxx-xxxxxxxxxx). This security permission can be modified using the Component Services administrative tool.

Source:        Microsoft-Windows-DistributedCOM  
Event ID:      10016  
Description: The machine-default permission settings do not grant Local Activation permission for the COM Server application with CLSID  
{C2F03A33-21F5-47FA-B4BB-156362A2F239}  
and APPID  
{316CDED5-E4AE-4B15-9113-7055D84DCC97}  
to the user NT AUTHORITY\LOCAL SERVICE SID (S-1-5-19) from address LocalHost (using LRPC) running in the application container Unavailable SID (Unavailable). This security permission can be modified using the Component Services administrative tool.

Source:        Microsoft-Windows-DistributedCOM  
Event ID:      10016  
Description: The application-specific permission settings do not grant Local Activation permission for the COM Server application with CLSID  
{6B3B8D23-FA8D-40B9-8DBD-B950333E2C52}  
and APPID  
{4839DDB7-58C2-48F5-8283-E1D1807D0D7D}  
to the user NT AUTHORITY\LOCAL SERVICE SID (S-1-5-19) from address LocalHost (using LRPC) running in the application container Unavailable SID (Unavailable). This security permission can be modified using the Component Services administrative tool.

Causa

Estos eventos 10016 se registran cuando los componentes de Microsoft intentan obtener acceso a los componentes de DCOM sin los permisos necesarios. En este caso, este comportamiento se espera y por diseño.

Se ha implementado un patrón de codificación en el que el código primero intenta tener acceso a los componentes de DCOM con un conjunto de parámetros. Si el primer intento no se realiza correctamente, vuelve a intentarlo con otro conjunto de parámetros. La razón por la que no omite el primer intento es porque hay escenarios en los que se puede realizar correctamente. En esos escenarios, es preferible.

Solución alternativa

Estos eventos se pueden omitir de forma segura porque no afectan negativamente a la funcionalidad y son por diseño. Es la acción recomendada para estos eventos.

Si lo desea, los usuarios avanzados y los profesionales de IT pueden suprimir estos eventos de la vista en el Visor de eventos. Para ello, cree un filtro y edite manualmente la consulta XML del filtro similar a la siguiente:

<QueryList>
  <Query Id="0" Path="System">
    <Select Path="System">*</Select>
    <Suppress Path="System">
      *[System[(EventID=10016)]]
      and
      *[EventData[
        (
          Data[@Name='param4'] and Data='{D63B10C5-BB46-4990-A94F-E40B9D520160}' and
          Data[@Name='param5'] and Data='{9CA88EE3-ACB7-47C8-AFC4-AB702511C276}' and
          Data[@Name='param8'] and Data='S-1-5-18'
        )
        or
        ( Data[@Name='param4'] and Data='{260EB9DE-5CBE-4BFF-A99A-3710AF55BF1E}' and
          Data[@Name='param5'] and Data='{260EB9DE-5CBE-4BFF-A99A-3710AF55BF1E}'
        )
        or
        (
          Data[@Name='param4'] and Data='{C2F03A33-21F5-47FA-B4BB-156362A2F239}' and
          Data[@Name='param5'] and Data='{316CDED5-E4AE-4B15-9113-7055D84DCC97}' and
          Data[@Name='param8'] and Data='S-1-5-19'
        )
        or
        (
          Data[@Name='param4'] and Data='{6B3B8D23-FA8D-40B9-8DBD-B950333E2C52}' and
          Data[@Name='param5'] and Data='{4839DDB7-58C2-48F5-8283-E1D1807D0D7D}' and
          Data[@Name='param8'] and Data='S-1-5-19'
        )
      ]]
    </Suppress>
  </Query>
</QueryList>

En esta consulta:

  • param4 corresponde a la aplicación de servidor COM CLSID.
  • param5 corresponde al APPID.
  • param8 corresponde al SID del contexto de seguridad.

Todos ellos se registran en los registros de eventos de 10016.

Para obtener más información acerca de cómo crear manualmente consultas del Visor de eventos, vea Consuming Events.

También puede evitar este problema modificando los permisos de los componentes de DCOM para evitar que se inicie sesión en este error. Sin embargo, no recomendamos este método porque:

  • Estos errores no afectan negativamente a la funcionalidad
  • La modificación de los permisos puede tener efectos secundarios no deseados.