A ID do evento DCOM 10016 está registrada Windows

Este artigo fornece uma solução alternativa para resolver o evento 10016 que está conectado Windows ao acessar componentes DCOM.

Aplica-se a:   Windows 10 - todas as edições, Windows Server 2019, Windows Server 2016
Número KB original:   4022522

Sintomas

Em um computador que está executando Windows 10, Windows Server 2019 ou Windows Server 2016, o evento a seguir é registrado nos logs de eventos do sistema.

Source:        Microsoft-Windows-DistributedCOM  
Event ID:      10016  
Description: The application-specific permission settings do not grant Local Activation permission for the COM Server application with CLSID  
{D63B10C5-BB46-4990-A94F-E40B9D520160}  
and APPID  
{9CA88EE3-ACB7-47C8-AFC4-AB702511C276}  
to the user NT AUTHORITY\SYSTEM SID (S-1-5-18) from address LocalHost (using LRPC) running in the application container Unavailable SID (Unavailable). This security permission can be modified using the Component Services administrative tool.d

Source:        Microsoft-Windows-DistributedCOM  
Event ID:      10016  
Description: The application-specific permission settings do not grant Local Activation permission for the COM Server application with CLSID  
{260EB9DE-5CBE-4BFF-A99A-3710AF55BF1E}  
and APPID  
{260EB9DE-5CBE-4BFF-A99A-3710AF55BF1E}  
to the user machine\user SID (S-1-5-21-xxxxxxxxx-xxxxxxxxxx-xxxxxxxxxx-xxxx) from address LocalHost (using LRPC) running in the application container Microsoft.Windows.ShellExperienceHost_10.0.14393.726_neutral_neutral_cw5n1h2txyewy SID (S-1-15-2-xxxxxxxxx-xxxxxxxxxx-xxxxxxxxx-xxxxxxxxxx-xxxxxxxxxx-xxxxxxxxxx-xxxxxxxxxx). This security permission can be modified using the Component Services administrative tool.

Source:        Microsoft-Windows-DistributedCOM  
Event ID:      10016  
Description: The machine-default permission settings do not grant Local Activation permission for the COM Server application with CLSID  
{C2F03A33-21F5-47FA-B4BB-156362A2F239}  
and APPID  
{316CDED5-E4AE-4B15-9113-7055D84DCC97}  
to the user NT AUTHORITY\LOCAL SERVICE SID (S-1-5-19) from address LocalHost (using LRPC) running in the application container Unavailable SID (Unavailable). This security permission can be modified using the Component Services administrative tool.

Source:        Microsoft-Windows-DistributedCOM  
Event ID:      10016  
Description: The application-specific permission settings do not grant Local Activation permission for the COM Server application with CLSID  
{6B3B8D23-FA8D-40B9-8DBD-B950333E2C52}  
and APPID  
{4839DDB7-58C2-48F5-8283-E1D1807D0D7D}  
to the user NT AUTHORITY\LOCAL SERVICE SID (S-1-5-19) from address LocalHost (using LRPC) running in the application container Unavailable SID (Unavailable). This security permission can be modified using the Component Services administrative tool.

Motivo

Esses eventos 10016 são gravados quando os componentes da Microsoft tentam acessar componentes DCOM sem as permissões necessárias. Nesse caso, esse comportamento é esperado e por design.

Um padrão de codificação foi implementado onde o código tenta primeiro acessar os componentes DCOM com um conjunto de parâmetros. Se a primeira tentativa não tiver êxito, ela tentará novamente com outro conjunto de parâmetros. O motivo pelo qual ele não ignora a primeira tentativa é porque há cenários em que ela pode ter êxito. Nesses cenários, é preferível.

Solução alternativa

Esses eventos podem ser ignorados com segurança porque eles não afetam adversamente a funcionalidade e são por design. É a ação recomendável para esses eventos.

Se desejado, usuários avançados e profissionais de TI podem suprimir esses eventos no Visualizador de Eventos. Para fazer isso, crie um filtro e edite manualmente a consulta XML do filtro semelhante à seguinte:

<QueryList>
  <Query Id="0" Path="System">
    <Select Path="System">*</Select>
    <Suppress Path="System">
      *[System[(EventID=10016)]]
      and
      *[EventData[
        (
          Data[@Name='param4'] and Data='{D63B10C5-BB46-4990-A94F-E40B9D520160}' and
          Data[@Name='param5'] and Data='{9CA88EE3-ACB7-47C8-AFC4-AB702511C276}' and
          Data[@Name='param8'] and Data='S-1-5-18'
        )
        or
        ( Data[@Name='param4'] and Data='{260EB9DE-5CBE-4BFF-A99A-3710AF55BF1E}' and
          Data[@Name='param5'] and Data='{260EB9DE-5CBE-4BFF-A99A-3710AF55BF1E}'
        )
        or
        (
          Data[@Name='param4'] and Data='{C2F03A33-21F5-47FA-B4BB-156362A2F239}' and
          Data[@Name='param5'] and Data='{316CDED5-E4AE-4B15-9113-7055D84DCC97}' and
          Data[@Name='param8'] and Data='S-1-5-19'
        )
        or
        (
          Data[@Name='param4'] and Data='{6B3B8D23-FA8D-40B9-8DBD-B950333E2C52}' and
          Data[@Name='param5'] and Data='{4839DDB7-58C2-48F5-8283-E1D1807D0D7D}' and
          Data[@Name='param8'] and Data='S-1-5-19'
        )
      ]]
    </Suppress>
  </Query>
</QueryList>

Nesta consulta:

  • param4 corresponde ao APLICATIVO DO SERVIDOR COM CLSID.
  • param5 corresponde ao APPID.
  • param8 corresponde ao SID de contexto de segurança.

Todos eles são gravados nos logs de eventos 10016.

Para obter mais informações sobre a construção manual de consultas do Visualizador de Eventos, consulte Consuming Events.

Você também pode resolver esse problema modificando as permissões em componentes DCOM para evitar que esse erro seja registrado. No entanto, não recomendamos esse método porque:

  • Esses erros não afetam adversamente a funcionalidade
  • Modificar as permissões pode ter efeitos colaterais não intencionais.