L’ID événement DCOM 10016 est donc consigné dans Windows

  • Article

Cet article fournit une solution de contournement pour résoudre l’événement 10016 qui est consigné dans Windows lors de l’accès aux composants DCOM.

Produits concernés : Windows 10 (toutes les éditions), Windows Server 2019, Windows Server 2016
Numéro de l’article d’origine dans la base de connaissances : 4022522

Symptômes

Sur un ordinateur qui exécute Windows 10, Windows Server 2019 ou Windows Server 2016, l’événement suivant est consigné dans les journaux d’événements système.

Source:        Microsoft-Windows-DistributedCOM  
Event ID:      10016  
Description: The application-specific permission settings do not grant Local Activation permission for the COM Server application with CLSID  
{D63B10C5-BB46-4990-A94F-E40B9D520160}  
and APPID  
{9CA88EE3-ACB7-47C8-AFC4-AB702511C276}  
to the user NT AUTHORITY\SYSTEM SID (S-1-5-18) from address LocalHost (using LRPC) running in the application container Unavailable SID (Unavailable). This security permission can be modified using the Component Services administrative tool.d

Source:        Microsoft-Windows-DistributedCOM  
Event ID:      10016  
Description: The application-specific permission settings do not grant Local Activation permission for the COM Server application with CLSID  
{260EB9DE-5CBE-4BFF-A99A-3710AF55BF1E}  
and APPID  
{260EB9DE-5CBE-4BFF-A99A-3710AF55BF1E}  
to the user machine\user SID (S-1-5-21-xxxxxxxxx-xxxxxxxxxx-xxxxxxxxxx-xxxx) from address LocalHost (using LRPC) running in the application container Microsoft.Windows.ShellExperienceHost_10.0.14393.726_neutral_neutral_cw5n1h2txyewy SID (S-1-15-2-xxxxxxxxx-xxxxxxxxxx-xxxxxxxxx-xxxxxxxxxx-xxxxxxxxxx-xxxxxxxxxx-xxxxxxxxxx). This security permission can be modified using the Component Services administrative tool.

Source:        Microsoft-Windows-DistributedCOM  
Event ID:      10016  
Description: The machine-default permission settings do not grant Local Activation permission for the COM Server application with CLSID  
{C2F03A33-21F5-47FA-B4BB-156362A2F239}  
and APPID  
{316CDED5-E4AE-4B15-9113-7055D84DCC97}  
to the user NT AUTHORITY\LOCAL SERVICE SID (S-1-5-19) from address LocalHost (using LRPC) running in the application container Unavailable SID (Unavailable). This security permission can be modified using the Component Services administrative tool.

Source:        Microsoft-Windows-DistributedCOM  
Event ID:      10016  
Description: The application-specific permission settings do not grant Local Activation permission for the COM Server application with CLSID  
{6B3B8D23-FA8D-40B9-8DBD-B950333E2C52}  
and APPID  
{4839DDB7-58C2-48F5-8283-E1D1807D0D7D}  
to the user NT AUTHORITY\LOCAL SERVICE SID (S-1-5-19) from address LocalHost (using LRPC) running in the application container Unavailable SID (Unavailable). This security permission can be modified using the Component Services administrative tool.

Cause

Ces événements 10016 sont enregistrés lorsque les composants Microsoft tentent d’accéder aux composants DCOM sans les autorisations requises. Dans ce cas, ce comportement est attendu et volontaire.

Un modèle de codage a été implémenté lorsque le code tente pour la première fois d’accéder aux composants DCOM avec un ensemble de paramètres. Si la première tentative échoue, une nouvelle tentative est effectuée avec un autre ensemble de paramètres. La raison pour laquelle la première tentative n’est pas ignorée est qu’il existe des scénarios dans lesquels cela peut réussir. Dans ces scénarios, cette option est alors préférable.

Solution de contournement

Ces événements peuvent être ignorés en toute sécurité, car ils n’affectent pas la fonctionnalité et sont volontaires. Cette action est celle recommandée pour ces événements.

Les utilisateurs avancés et les professionnels de l’informatique peuvent s’ils le souhaitent supprimer ces événements de l’affichage dans l’Observateur d’événements. Pour ce faire, créez un filtre et modifiez manuellement la requête XML du filtre comme suit :

<QueryList>
  <Query Id="0" Path="System">
    <Select Path="System">*</Select>
    <Suppress Path="System">
      *[System[(EventID=10016)]]
      and
      *[EventData[
        (
          Data[@Name='param4'] and Data='{D63B10C5-BB46-4990-A94F-E40B9D520160}' and
          Data[@Name='param5'] and Data='{9CA88EE3-ACB7-47C8-AFC4-AB702511C276}' and
          Data[@Name='param8'] and Data='S-1-5-18'
        )
        or
        ( Data[@Name='param4'] and Data='{260EB9DE-5CBE-4BFF-A99A-3710AF55BF1E}' and
          Data[@Name='param5'] and Data='{260EB9DE-5CBE-4BFF-A99A-3710AF55BF1E}'
        )
        or
        (
          Data[@Name='param4'] and Data='{C2F03A33-21F5-47FA-B4BB-156362A2F239}' and
          Data[@Name='param5'] and Data='{316CDED5-E4AE-4B15-9113-7055D84DCC97}' and
          Data[@Name='param8'] and Data='S-1-5-19'
        )
        or
        (
          Data[@Name='param4'] and Data='{6B3B8D23-FA8D-40B9-8DBD-B950333E2C52}' and
          Data[@Name='param5'] and Data='{4839DDB7-58C2-48F5-8283-E1D1807D0D7D}' and
          Data[@Name='param8'] and Data='S-1-5-19'
        )
      ]]
    </Suppress>
  </Query>
</QueryList>

Dans cette requête :

  • param4 correspond au CLSID de l’application du serveur COM.
  • param5 correspond à l’APPID.
  • param8 correspond au SID de contexte de sécurité.

Tous sont enregistrés dans les journaux des événements 10016.

Pour plus d’informations sur la construction manuelle des requêtes de l’Observateur d’événements, consultez l’article Consommation d’événements.

Vous pouvez également résoudre ce problème en modifiant les autorisations sur les composants DCOM pour éviter que cette erreur ne soit consignée. Toutefois, cette méthode n’est pas recommandée car :

  • Ces erreurs n’affectent pas la fonctionnalité
  • La modification des autorisations peut avoir des effets secondaires inattendus.