Fix: Event ID 10016 DistributionCOM-fel inspelade i händelseloggen

Även i en ny Windows 10-installation kan du se några DistributionCOM (DCOM) -fel Händelse-ID: 10016 i systemhändelseloggen. Här är några exempel på händelser:

 Loggnamn: Systemkälla: Microsoft-Windows-DistribueradCOM-datum: Händelse-ID: 10016 Uppgiftskategori: Ingen Nivå: Fel Nyckelord: Klassisk användare: DESKTOP-JKJ4G5Q \ ramesh Dator: DESKTOP-JKJ4G5Q Beskrivning: Maskinens standardtillstånd ger inte tillstånd Lokal aktiveringstillstånd för COM Server-applikationen med CLSID {C2F03A33-21F5-47FA-B4BB-156362A2F239} och APPID {316CDED5-E4AE-4B15-9113-7055D84DCC97} till användaren DESKTOP-JKJ4G5Q \ ramesh SID ( 21 - ***) från adress LocalHost (med hjälp av LRPC) som körs i applikationsbehållaren Microsoft.Windows.Cortana_1.9.6.16299_neutral_neutral_cw5n1h2txyewy SID (S-1-15-2-1861897761-1695161497-2927542615-642690995-3278312727665 ). Denna säkerhetstillstånd kan ändras med hjälp av administrationsverktyget Component Services. 

 Loggnamn: Systemkälla: Microsoft-Windows-DistribueradCOM-datum: Händelse-ID: 10016 Uppgiftskategori: Inget Nivå: Fel Nyckelord: Klassisk användare: DESKTOP-JKJ4G5Q \ ramesh Dator: DESKTOP-JKJ4G5Q Beskrivning: De applikationsspecifika behörighetsinställningarna ger inte Lokal aktiveringstillstånd för COM Server-applikationen med CLSID {D63B10C5-BB46-4990-A94F-E40B9D520160} och APPID {9CA88EE3-ACB7-47C8-AFC4-AB702511C276} till användaren DESKTOP-JKJ4G5Q \ ramesh SID (S-1-5- 21 - ***) från adressen LocalHost (med hjälp av LRPC) som körs i applikationsbehållaren Ej tillgängligt SID (Ej tillgängligt). Denna säkerhetstillstånd kan ändras med hjälp av administrationsverktyget Component Services. 

 De applikationsspecifika behörighetsinställningarna ger inte lokal aktiveringstillstånd för COM Server-applikationen med CLSID {D63B10C5-BB46-4990-A94F-E40B9D520160} och APPID {9CA88EE3-ACB7-47C8-AFC4-AB702511C276} till användaren NT AUTHORITY \ NETWORK SERVICE SID (S-1-5-20) från adressen LocalHost (med hjälp av LRPC) som körs i applikationsbehållaren Ej tillgänglig SID (Ej tillgänglig). Denna säkerhetstillstånd kan ändras med hjälp av administrationsverktyget Component Services. 

Det vanligaste evenemangs-ID: 10016-fel som rapporterats av användare är:

 Immersive Shell GUID: {C2F03A33-21F5-47FA-B4BB-156362A2F239} APPID: {316CDED5-E4AE-4B15-9113-7055D84DCC97} RuntimeBroker GUID: {D63B10C5-BB46-4990-A9D-A950 -AFC4-AB702511C276} 

Dessa händelselogfelposter visas om vissa processer inte har behörigheter för DCOM-komponenterna som nämns i händelseloggarna. Trots dessa fel kan systemet fungera bra utan några större problem, och i så fall kan felen ignoreras säkert. Som de säger " Om det inte går sönder, fixa inte det ", om systemet fungerar bra ändå, ignorera helt enkelt DCOM-fel.

Lösning för Windows.SecurityCenter DCOM Event ID 10016

 Loggnamn: Systemkälla: Microsoft-Windows-Distribuerad Datum: Händelse-ID: 10016 Uppgiftskategori: Ingen Nivå: Varning Nyckelord: Klassisk användare: SYSTEM Dator: DESKTOP-JKJ4G5Q Beskrivning: De applikationsspecifika behörighetsinställningarna ger inte lokalt starttillstånd för COM Server-applikationen med CLSID Windows.SecurityCenter.WscBrokerManager och APPID Ej tillgängligt för användaren NT AUTHORITY \ SYSTEM SID (S-1-5-18) från adressen LocalHost (med hjälp av LRPC) som körs i applikationsbehållaren Otillgänglig SID (Ej tillgänglig). Denna säkerhetstillstånd kan ändras med hjälp av administrationsverktyget Component Services. Loggnamn: Systemkälla: Microsoft-Windows-Distribuerad Datum: Händelse-ID: 10016 Uppgiftskategori: Ingen Nivå: Varning Nyckelord: Klassisk användare: SYSTEM Dator: DESKTOP-JKJ4G5Q Beskrivning: De applikationsspecifika behörighetsinställningarna ger inte lokalt starttillstånd för COM Server-applikationen med CLSID Windows.SecurityCenter.SecurityAppBroker och APPID Ej tillgängligt för användaren NT AUTHORITY \ SYSTEM SID (S-1-5-18) från adressen LocalHost (med LRPC) som körs i applikationsbehållaren Otillgänglig SID (Ej tillgänglig). Denna säkerhetstillstånd kan ändras med hjälp av administrationsverktyget Component Services. Loggnamn: Systemkälla: Microsoft-Windows-DistribueradCOM Datum: Händelse-ID: 10016 Uppgiftskategori: Ingen Nivå: Varning Nyckelord: Klassisk användare: SYSTEM Dator: DESKTOP-JKJ4G5Q Beskrivning: De applikationsspecifika behörighetsinställningarna ger inte lokalt starttillstånd för COM Server-applikationen med CLSID Windows.SecurityCenter.WscDataProtection och APPID Ej tillgängligt för användaren NT AUTHORITY \ SYSTEM SID (S-1-5-18) från adressen LocalHost (använder LRPC) som körs i applikationsbehållaren Otillgänglig SID (Ej tillgänglig). Denna säkerhetstillstånd kan ändras med hjälp av administrationsverktyget Component Services. 

För ovanstående Windows.SecurityCenter-relaterade fel tycks inställning av Security Center-tjänsten ( wscsvc ) till Automatisk start istället för Automatisk (försenad start) förhindra DCOM-fel. För att ställa in Security Center-tjänsten ( wscsvc ) till automatisk start, ställer du in DelayedAutoStart DWORD-värde till 0 i följande registernyckel:

 HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Services \ wscsvc 

Ignorera helt enkelt DCOM-fel

Enligt Microsoft:

Ett kodningsmönster har implementerats där koden först försöker komma åt DCOM-komponenterna med en uppsättning parametrar. Om det första försöket inte lyckas försöker det igen med en annan uppsättning parametrar. Anledningen till att det inte hoppar över det första försöket är att det finns scenarier där det kan lyckas. I dessa scenarier är det att föredra.

Mer information finns i Microsoft-artikeln DCOM-händelse-ID 10016 är inloggad i Windows 10, Windows Server 2016 och Windows Server 2019. Microsoft föreslår att du skapar ett filter (XML-källa som finns i artikeln) för att dölja DCOM 10016-händelserna.

Undertryck DCOM 10016-händelser med detta filter

 * * [System [(EventID = 10016)]] och * [EventData [(Data [@ Name = ' param4 '] och Data = "{D63B10C5-BB46-4990-A94F-E40B9D520160}" och Data [@ Name = ' param5 '] och Data = "{9CA88EE3-ACB7-47C8-AFC4-AB702511C276}" och Data [@ Name =' param8 '] och Data = "S-1-5-18") eller (Data [@ Name =' param4 '] och Data = "{260EB9DE-5CBE-4BFF-A99A-3710AF55BF1E}" och Data [@ Name =' param5 '] och Data = "{260EB9DE-5CBE-4BFF-A99A-3710AF55BF1E}") eller (Data [ @ Name = ' param4 '] och Data = "{C2F03A33-21F5-47FA-B4BB-156362A2F239}" och Data [@ Name = ' param5 '] och Data = "{316CDED5-E4AE-4B15-9113-7055D84DCC97}" och Data [@ Name = ' param8 '] och Data = "S-1-5-19") eller (Data [@ Name = ' param4 '] och Data = "{6B3B8D23-FA8D-40B9-8DBD-B950333E2C52}" och Data [@ Name = ' param5 '] och Data = "{4839DDB7-58C2-48F5-8283-E1D1807D0D7D}" och Data [@ Name = ' param8 '] och Data = "S-1-5-19")]] 

1. Öppna Event Viewer. Expandera Windows-loggar → System.
2. Klicka på Filtrera aktuell logg ...
3. Välj fliken XML och aktivera Redigera frågan manuellt
4. Kopiera / klistra in ovanstående XML i filterdialogen och klicka på OK.

DCOM-felposterna med händelse-ID 10016 är nu dolda från vyn.

Om å andra sidan någon app eller funktion (t.ex. Cortana) inte fungerar korrekt på grund av felaktiga DCOM-behörigheter, är här hur du fixar det.

Fixa DCOM-behörigheter med hjälp av registerredigeraren och DCom-konfig

För att förhindra att händelserna loggas, följ dessa steg för att ge tillstånd till DCOM-komponenter som har specifika CLSID och APPID. Låt oss ta upp RuntimeBroker, vars CLSID som rapporterats i händelseloggen är {D63B10C5-BB46-4990-A94F-E40B9D520160} APPID är {9CA88EE3-ACB7-47C8-AFC4-AB702511C276}

Viktigt: Innan du fortsätter ska du skapa en systemåterställningspunkt eftersom felaktig konfigurering av DCOM-behörigheter kan bryta Windows. Det är lämpligt att ta en komplett bildbackup om det är möjligt.

1. Starta registerredigeraren ( regedit.exe ).
2. Gå till följande nyckel:

    HKEY_CLASSES_ROOT \ CLSID \ {D63B10C5-BB46-4990-A94F-E40B9D520160} 

   

3. Notera (standard) värdedata i ovanstående nyckel, som i detta fall är RuntimeBroker
4. Gå till följande AppID-nyckel nu:

    HKEY_CLASSES_ROOT \ AppID \ {9CA88EE3-ACB7-47C8-AFC4-AB702511C276} 

5. Som standard äger TrustedInstaller den här registernyckeln och dess undernycklar. Ställ in administratör som ägare till nyckeln och dess undernycklar. Se hur du tar äganderätt till registernycklar och tilldela fullständiga behörigheter för mer information.
6. Efter att ha ställt in administratörer som ägare, tilldela administratörsgrupp och SYSTEM- konto har full kontroll behörighet för nycklar och undernycklar.
7. Avsluta registerredigeraren.
8. Starta DCOM-konfigurationsverktyget dcomcnfg.exe
9. Expandera komponenttjänster | Datorer | Min dator | DCOM Config.
10. Högerklicka på applikationen som motsvarar AppID som spelas in i händelseloggen och välj sedan Egenskaper. Programnamnet i det här exemplet är RuntimeBroker som du hittade i steg 3 ovan. DCom Config-verktyget visar två RuntimeBroker-poster. För att hitta den rätta, högerklicka på ett objekt och klicka på Egenskaper och matcha App-ID med det i registret (figur 1).
    

11. Välj fliken Säkerhet.
12. Under Starta och aktivera behörigheter väljer du Anpassa och klickar på Redigera.
    

    Observera att om redigeringsknappen är nedtonad på sidan RuntimeBroker-applikationsegenskaper i DCOM Config, måste du verifiera behörigheterna för AppID-registernyckeln (gör om steg 4-6 ovan).

13. Välj Lägg till under Grupp- eller användarnamn.
14. Ange gruppen eller användarnamnet som spelas in i händelseloggen. Exempelvis kan kontot som är registrerat i loggen vara NT AUTHORITY\NETWORK SERVICE, NT AUTHORITY\SYSTEM eller någon annan grupp eller konto.
15. Klicka på OK.
16. Tilldela lokal aktiveringstillstånd för den användare eller grupp som du har lagt till och slutför processen.

Detta förhindrar händelseloggen fel Event ID: 10016 avser DCOM-behörigheter.