Як виправити помилку DCOM Event ID 10016 у Windows 10

У сьогоднішній публікації ми визначимо причину, а потім надамо можливі способи вирішення проблеми помилки з ідентифікатором події DCOM (DistributedCOM) 10016, яка може відображатися у засобі перегляду подій Windows під час звичайної роботи Windows 10.

Модель розподілених компонентних об'єктів (DCOM) є невід'ємним аспектом мережевого зв'язку на комп'ютерах Windows. Це запатентована технологія Microsoft, яка запускається в дію кожного разу, коли програма встановлює з’єднання з Інтернетом. Традиційний COM може отримувати доступ до інформації лише на тій самій машині, тоді як DCOM - до даних на віддалених серверах.

Наприклад, багато веб-сайтів та служб використовують сценарії для доступу до віддаленого сервера. Коли ваша система робить запит за допомогою сценарію або іншим чином, DCOM пересилає запит до конкретного об'єкта сценарію. З огляду на те, як часто сучасні програми використовують мережеве підключення та наше загальне використання комп’ютерів, ви можете бачити, як часто DCOM вживається.

Помилка ідентифікатора події DCOM 10016

Помилка ідентифікатора події DCOM 10016

Ви можете помітити наведену нижче подію 10016, зареєстровану в системних журналах подій на комп'ютері під керуванням Windows 10, Windows Server 2016, Windows Server 2019, Windows Server, версія 1903 або Windows Server 1909:

Джерело: Microsoft-Windows-DistributedCOM

Ідентифікатор події: 10016

Опис: Налаштування дозволу для конкретної програми не надають дозволу на локальну активацію для програми COM-сервера з CLSID

{D63B10C5-BB46-4990-A94F-E40B9D520160}

та APPID

{9CA88EE3-ACB7-47C8-AFC4-AB702511C276}

користувачеві NT AUTHORITY \ SYSTEM SID (S-1-5-18) з адреси LocalHost (за допомогою LRPC), що працює в контейнері програми Недоступний SID (Недоступний). Цей дозвіл безпеки можна змінити за допомогою адміністративного інструмента Component Services.

Як правило, вищезазначена помилка трапляється під час перегляду подій. Однак варто зазначити, що існують варіанти помилки з ідентифікатором події 10016. Проте процедура пом'якшення помилки по суті однакова.

Помилка DCOM зазвичай виникає, коли програма або служба намагається використовувати DCOM, але не має належних дозволів. Найчастіше помилки DCOM не впливають на вашу систему, крім засмічення засобу перегляду подій. Ці 10016 події реєструються, коли компоненти Microsoft намагаються отримати доступ до компонентів DCOM без необхідних дозволів. У цьому випадку це передбачається і за задумом.

Помилки DCOM не мають про що турбуватися - ви можете сміливо ігнорувати їх. Однак існують процедури, за якими можна усунути помилку з ідентифікатором події 10016 щоразу, коли вона виникає.

Як виправити помилку DCOM події 10016 помилки

Щоб вирішити цю проблему, Microsoft пропонує створити XML-фільтр для придушення помилки DCOM події 10016.

Ось як:

  • Відкрийте програму перегляду подій (натисніть клавішу Windows + R. У діалоговому вікні Виконати введіть eventvwr і натисніть Enter).
  • Ckick Журнали Windows > Система .
  • Клацніть Фільтрувати поточний журнал на панелі Дія .
  • Виберіть вкладку XML і встановіть прапорець Редагувати запит вручну .
  • Скопіюйте та вставте наступний XML-текст у діалогове вікно фільтра.
  * * [Система [(EventID = 10016)]] і * [EventData [(Дані [@ Name = ' param4 '] і Дані = "{D63B10C5-BB46-4990-A94F-E40B9D520160}" та Дані [@ Name = ' param5 '] і Дані = "{9CA88EE3-ACB7-47C8-AFC4-AB702511C276}" та Дані [@ Name =' param8 '] і Дані = "S-1-5-18") або (Дані [@ Name =' param4 '] і Дані = "{260EB9DE-5CBE-4BFF-A99A-3710AF55BF1E}" і Дані [@ Name =' param5 '] і Дані = "{260EB9DE-5CBE-4BFF-A99A-3710AF55BF1E}") або (Дані [ @ Name = ' param4 '] і Data = "{C2F03A33-21F5-47FA-B4BB-156362A2F239}" і Data [@ Name = ' param5 '] and Data = "{316CDED5-E4AE-4B15-9113-7055D84DCC97}" і Дані [@ Name = 'param8 '] і Data = "S-1-5-19") або (Data [@ Name =' param4'] і Дані = "{6B3B8D23-FA8D-40B9-8DBD-B950333E2C52}" і Дані [@ Name =' param5 '] і Дані = "{4839DDB7-58C2-48F5-8283-E1D1807D0D7D}" та Дані [@ Name = ' param8 '] і Дані = "S-1-5-19")]]]   

У цьому запиті param4 відповідає додатку COM-сервера CLSID, param5 відповідає APPID, а param8 відповідає контексту безпеки SID, усі вони записані в журналах подій 10016.

  • Клацніть OK .

Записи помилки DCOM із ідентифікатором події 10016 тепер приховані від очей.

Крім того, ви можете вирішити проблему дозволів DCOM за допомогою редактора реєстру та інструменту DCom Config.

Ось як:

Виправлення передбачає налаштування реєстру - тому для запобіжних заходів рекомендується створити резервну копію реєстру або створити точку відновлення системи.

Щоб запобігти реєстрації подій, виконайте ці дії, щоб надати дозвіл компонентам DCOM, які мають певні CLSID та APPID.

По-перше, вам потрібно буде з’ясувати, який процес або послуга пов’язані з ІДЕНТИФІКАЦІЄЮ КЛАСУ, вказаною в помилці. Для цього скопіюйте CLSID, зазначений в описі події. У цьому випадку це {D63B10C5-BB46-4990-A94F-E40B9D520160} . Обов’язково скопіюйте обидві фігурні дужки.

Тепер запустіть редактор реєстру. Після відкриття редактора реєстру натисніть Редагувати, а потім Знайти . Вперед і вставте CLSID у поле пошуку та натисніть Enter.

Тепер реєстр ініціює пошук. Через деякий час ви повинні отримати результат під клавішею HK_CLASSES_ROOT \ CLSID . Праворуч у нього повинно бути два ключі, а за замовчуванням - назва послуги. У цьому випадку це має бути RuntimeBroker .

Тепер, коли ви визначили процес, ви можете виправити помилку наступним чином.

  • Тим не менш, у редакторі реєстру перейдіть до такого ключа AppID, пов’язаного з RuntimeBroker:

HKEY_CLASSES_ROOT \ AppID \ {9CA88EE3-ACB7-47C8-AFC4-AB702511C276}

За замовчуванням TrustedInstaller володіє цим ключем реєстру та його підрозділами. Встановіть адміністратора власником ключа та його підрозділів. Докладніше про те, як отримати право власності на ключі реєстру.

  • Після встановлення адміністраторів як власника, призначте адміністраторам групу та обліковий запис СИСТЕМИ повний контроль над ключами та підрозділами.
  • Вийдіть із редактора реєстру.

Далі запустіть інструмент конфігурації DCOM (натисніть клавішу Windows + R. У діалоговому вікні Виконати введіть dcomcnfg.ex e і натисніть Enter.

  • Натисніть Component Services > Комп'ютери > Мій вичі ер> DCOM Config .
  • Клацніть правою кнопкою миші програму, яка відповідає ідентифікатору AppID, записаному в журналі подій, а потім виберіть Властивості.

The application name in this example is RuntimeBroker which we identified earlier. If the DCom Config tool lists two RuntimeBroker entries. To find the right one, right-click on an item and click Properties and match the App ID with the one in the registry.

  • Select the Security tab.
  • Under Launch and Activation Permissions, select Customize, and click Edit.

If the Edit button is grayed out in RuntimeBroker application Properties page in DCOM Config, you’ll need to verify the AppID registry key permissions.

  • Under Group or user names, select Add.
  • Введіть ім'я групи або користувача, яке записано в журналі подій. Наприклад, обліковим записом, записаним в журналі, може бути NT AUTHORITY \ NETWORK SERVICE , NT AUTHORITY \ SYSTEM або якась інша група чи обліковий запис.
  • Клацніть OK .
  • Призначте дозвіл на локальну активацію для цього користувача чи групи, яку ви додали, і завершіть процес.

Ця процедура запобігає помилкам журналу подій Ідентифікатор події: 10016, що стосується дозволів DCOM.

Примітка . Корпорація Майкрософт не рекомендує метод модифікації дозволів на компоненти DCOM, щоб запобігти реєстрації цієї помилки, оскільки ці помилки не впливають негативно на функціональність, а зміна дозволів може мати небажані побічні ефекти.

Сподіваюся, це допомагає!