DCOM イベント ID 10016 が Windows に記録される

この記事では、DCOM コンポーネントにアクセスするときに Windows に記録されるイベント 10016 を解決するための回避策を示します。

元の製品バージョン:   Windows 10 - すべてのエディション、Windows Server 2019、Windows Server 2016
元の KB 番号:   4022522

現象

Windows 10、Windows Server 2019、または Windows Server 2016 を実行しているコンピューターでは、次のイベントがシステム イベント ログに記録されます。

ソース: Microsoft-Windows-DistributedCOM
イベント ID: 10016
説明 : アプリケーション固有のアクセス許可の設定では、CLSID を使用する COM サーバー アプリケーションに対するローカル ライセンス認証のアクセス許可が付与されません。
{D63B10C5-BB46-4990-A94F-E40B9D520160}
および APPID
{9CA88EE3-ACB7-47C8-AFC4-AB702511C276}
アプリケーション コンテナーで実行されている LocalHost アドレス (LRPC を使用) からユーザー NT AUTHORITY\SYSTEM SID (S-1-5-18) に移動します (使用できません)。 このセキュリティ権限は、コンポーネント サービス管理ツールを使用して変更できます。

ソース: Microsoft-Windows-DistributedCOM
イベント ID: 10016
説明 : アプリケーション固有のアクセス許可の設定では、CLSID を使用する COM サーバー アプリケーションに対するローカル ライセンス認証のアクセス許可が付与されません。
{260EB9DE-5CBE-4BFF-A99A-3710AF55BF1E}
および APPID
{260EB9DE-5CBE-4BFF-A99A-3710AF55BF1E}
アプリケーション コンテナー Microsoft.Windows.ShellExperienceHost_10.0.14393.0 で実行されている LocalHost アドレス (LRPC を使用) からユーザー コンピューター\ユーザー SID (S-1-5-21-xxxxxxxxx-xxxxxxxxxx-xxxxxxxxxx-xxxxxxx-xxxx) に移動します。726_neutral_neutral_cw5n1h2txyewy SID (S-1-15-2-xxxxxxxxx-xxxxxxxxxx-xxx-xxxxxxxxxx-xxxxxxxxxx-xxxxxxxxxx-xxxxxxxxxx) このセキュリティ権限は、コンポーネント サービス管理ツールを使用して変更できます。

ソース: Microsoft-Windows-DistributedCOM
イベント ID: 10016
説明 : コンピューターの既定のアクセス許可設定では、CLSID を持つ COM サーバー アプリケーションに対するローカル ライセンス認証のアクセス許可が付与されません。
{C2F03A33-21F5-47FA-B4BB-156362A2F239}
および APPID
{316CDED5-E4AE-4B15-9113-7055D84DCC97}
アプリケーション コンテナーで実行されている LocalHost アドレス (LRPC を使用) からユーザー NT AUTHORITY\LOCAL SERVICE SID (S-1-5-19) に移動します (使用できません)。 このセキュリティ権限は、コンポーネント サービス管理ツールを使用して変更できます。

ソース: Microsoft-Windows-DistributedCOM
イベント ID: 10016
説明 : アプリケーション固有のアクセス許可の設定では、CLSID を使用する COM サーバー アプリケーションに対するローカル ライセンス認証のアクセス許可が付与されません。
{6B3B8D23-FA8D-40B9-8DBD-B950333E2C52}
および APPID
{4839DDB7-58C2-48F5-8283-E1D1807D0D7D}
アプリケーション コンテナーで実行されている LocalHost アドレス (LRPC を使用) からユーザー NT AUTHORITY\LOCAL SERVICE SID (S-1-5-19) に移動します (使用できません)。 このセキュリティ権限は、コンポーネント サービス管理ツールを使用して変更できます。

原因

これらの 10016 イベントは、Microsoft コンポーネントが必要なアクセス許可なしで DCOM コンポーネントにアクセスしようとするときに記録されます。 この場合、この動作は想定され、設計されています。

コードは、最初に 1 セットのパラメーターを使用して DCOM コンポーネントにアクセスしようとするコード パターンが実装されています。 最初の試行が失敗した場合は、別のパラメーター セットを使用してもう一度試行します。 最初の試行をスキップしない理由は、成功するシナリオが存在するからです。 このようなシナリオでは、より望ましいシナリオです。

回避策

これらのイベントは、機能に悪影響を及ぼしないので、安全に無視できます。 これらのイベントに対して推奨されるアクションです。

必要に応じて、上級ユーザーと IT 担当者は、イベント ビューアーでこれらのイベントを非表示にできます。 これを行うには、フィルターを作成し、次のようなフィルターの XML クエリを手動で編集します。

<QueryList>
  <Query Id="0" Path="System">
    <Select Path="System">*</Select>
    <Suppress Path="System">
      *[System[(EventID=10016)]]
      and
      *[EventData[
        (
          Data[@Name='param4'] and Data='{D63B10C5-BB46-4990-A94F-E40B9D520160}' and
          Data[@Name='param5'] and Data='{9CA88EE3-ACB7-47C8-AFC4-AB702511C276}' and
          Data[@Name='param8'] and Data='S-1-5-18'
        )
        or
        ( Data[@Name='param4'] and Data='{260EB9DE-5CBE-4BFF-A99A-3710AF55BF1E}' and
          Data[@Name='param5'] and Data='{260EB9DE-5CBE-4BFF-A99A-3710AF55BF1E}'
        )
        or
        (
          Data[@Name='param4'] and Data='{C2F03A33-21F5-47FA-B4BB-156362A2F239}' and
          Data[@Name='param5'] and Data='{316CDED5-E4AE-4B15-9113-7055D84DCC97}' and
          Data[@Name='param8'] and Data='S-1-5-19'
        )
        or
        (
          Data[@Name='param4'] and Data='{6B3B8D23-FA8D-40B9-8DBD-B950333E2C52}' and
          Data[@Name='param5'] and Data='{4839DDB7-58C2-48F5-8283-E1D1807D0D7D}' and
          Data[@Name='param8'] and Data='S-1-5-19'
        )
      ]]
    </Suppress>
  </Query>
</QueryList>

このクエリでは、次の処理を行います。

  • param4 は、COM サーバー アプリケーション CLSID に対応します。
  • param5 は APPID に対応します。
  • param8 は、セキュリティ コンテキスト SID に対応します。

これらのすべてが 10016 イベント ログに記録されます。

イベント ビューアーのクエリを手動で作成する方法の詳細については、「イベントの使用」 を参照してください

この問題を回避するには、DCOM コンポーネントのアクセス許可を変更して、このエラーがログに記録されるのを防ぐ方法があります。 ただし、次の理由から、この方法はお勧めしません。

  • これらのエラーは機能に悪影響を及ぼしません
  • アクセス許可を変更すると、意図しない副作用が生じます。