Correctif: ID d'événement 10016 Erreurs DistributedCOM enregistrées dans le journal des événements

Même dans une nouvelle installation de Windows 10, vous pouvez voir des erreurs DistributedCOM (DCOM) ID d'événement: 10016 dans le journal des événements système. Voici quelques exemples d'événements:

 Nom du journal: Source système: Microsoft-Windows-DistributedCOM Date: ID d'événement: 10016 Catégorie de tâche: Aucun Niveau: Erreur Mots-clés: Utilisateur classique: DESKTOP-JKJ4G5Q \ ramesh Ordinateur: DESKTOP-JKJ4G5Q Description: Les paramètres d'autorisation par défaut de la machine n'accordent pas Autorisation d'activation locale pour l'application COM Server avec CLSID {C2F03A33-21F5-47FA-B4BB-156362A2F239} et APPID {316CDED5-E4AE-4B15-9113-7055D84DCC97} à l'utilisateur DESKTOP-JKJ4G5Q \ ramesh SID (S-S-S-S-1-) 21 - ***) à partir de l'adresse LocalHost (à l'aide de LRPC) s'exécutant dans le conteneur d'application Microsoft.Windows.Cortana_1.9.6.16299_neutral_neutral_cw5n1h2txyewy SID (S-1-15-2-1861897761-1695161497-2927542615-642690995-327840285-265974512521242 ). Cette autorisation de sécurité peut être modifiée à l'aide de l'outil d'administration des services de composants. 
 Nom du journal: Source système: Microsoft-Windows-DistributedCOM Date: ID d'événement: 10016 Catégorie de tâche: Aucun Niveau: Erreur Mots-clés: Utilisateur classique: DESKTOP-JKJ4G5Q \ ramesh Ordinateur: DESKTOP-JKJ4G5Q Description: Les paramètres d'autorisation spécifiques à l'application n'accordent pas Autorisation d'activation locale pour l'application COM Server avec CLSID {D63B10C5-BB46-4990-A94F-E40B9D520160} et APPID {9CA88EE3-ACB7-47C8-AFC4-AB702511C276} à l'utilisateur DESKTOP-JKJ4G5Q \ ramesh SID (S-1-5- 21 - ***) à partir de l'adresse LocalHost (utilisant LRPC) s'exécutant dans le conteneur d'application SID non disponible (non disponible). Cette autorisation de sécurité peut être modifiée à l'aide de l'outil d'administration des services de composants. 
 Les paramètres d'autorisation spécifiques à l'application n'accordent pas l'autorisation d'activation locale pour l'application COM Server avec CLSID {D63B10C5-BB46-4990-A94F-E40B9D520160} et APPID {9CA88EE3-ACB7-47C8-AFC4-AB702511C276} à l'utilisateur NT AUTHORITY \ NETWORK SERVICE SID (S-1-5-20) à partir de l'adresse LocalHost (à l'aide de LRPC) s'exécutant dans le conteneur d'application SID non disponible (non disponible). Cette autorisation de sécurité peut être modifiée à l'aide de l'outil d'administration des services de composants. 

Les erreurs d'ID d'événement les plus courantes: 10016 signalées par les utilisateurs sont:

 Immersive Shell GUID: {C2F03A33-21F5-47FA-B4BB-156362A2F239} APPID: {316CDED5-E4AE-4B15-9113-7055D84DCC97} RuntimeBroker GUID: {D63B10C5-BB46-4990-A94F-E608-A40B -AFC4-AB702511C276} 

Ces entrées d'erreur du journal des événements apparaissent si certains processus ne disposent pas des autorisations sur les composants DCOM mentionnés dans les journaux des événements. Malgré ces erreurs, le système peut bien fonctionner sans problème majeur et, dans ce cas, les erreurs peuvent être ignorées en toute sécurité. Comme ils disent " Si ce n'est pas cassé, ne le réparez pas ", si le système fonctionne bien de toute façon, ignorez simplement les erreurs DCOM.

Solution de contournement pour Windows.SecurityCenter DCOM ID d'événement 10016

 Nom du journal: Source système: Microsoft-Windows-DistributedCOM Date: ID d'événement: 10016 Catégorie de tâche: Aucun Niveau: Avertissement Mots clés: Utilisateur classique: SYSTÈME Ordinateur: DESKTOP-JKJ4G5Q Description: Les paramètres d'autorisation spécifiques à l'application n'accordent pas d'autorisation de lancement local pour l'application COM Server avec CLSID Windows.SecurityCenter.WscBrokerManager et APPID non disponible pour l'utilisateur NT AUTHORITY \ SYSTEM SID (S-1-5-18) à partir de l'adresse LocalHost (à l'aide de LRPC) s'exécutant dans le conteneur d'application SID non disponible (non disponible). Cette autorisation de sécurité peut être modifiée à l'aide de l'outil d'administration des services de composants. Nom du journal: Source système: Microsoft-Windows-DistributedCOM Date: ID d'événement: 10016 Catégorie de tâche: Aucun Niveau: Avertissement Mots clés: Utilisateur classique: SYSTÈME Ordinateur: DESKTOP-JKJ4G5Q Description: Les paramètres d'autorisation spécifiques à l'application n'accordent pas d'autorisation de lancement local pour l'application COM Server avec CLSID Windows.SecurityCenter.SecurityAppBroker et APPID non disponible pour l'utilisateur NT AUTHORITY \ SYSTEM SID (S-1-5-18) à partir de l'adresse LocalHost (à l'aide de LRPC) s'exécutant dans le conteneur d'application SID non disponible (non disponible). Cette autorisation de sécurité peut être modifiée à l'aide de l'outil d'administration des services de composants. Nom du journal: Source système: Microsoft-Windows-DistributedCOM Date: ID d'événement: 10016 Catégorie de tâche: Aucun Niveau: Avertissement Mots clés: Utilisateur classique: SYSTÈME Ordinateur: DESKTOP-JKJ4G5Q Description: Les paramètres d'autorisation spécifiques à l'application n'accordent pas d'autorisation de lancement local pour l'application COM Server avec CLSID Windows.SecurityCenter.WscDataProtection et APPID non disponible pour l'utilisateur NT AUTHORITY \ SYSTEM SID (S-1-5-18) à partir de l'adresse LocalHost (à l'aide de LRPC) s'exécutant dans le conteneur d'application SID non disponible (non disponible). Cette autorisation de sécurité peut être modifiée à l'aide de l'outil d'administration des services de composants. 

Pour les erreurs liées à Windows.SecurityCenter ci-dessus, la définition du service Security Center ( wscsvc ) sur Démarrage automatique au lieu d'Automatique (démarrage différé) semble empêcher les erreurs DCOM. Pour définir le service Security Center ( wscsvc ) sur Démarrage automatique, définissez la valeur DWORD DelayedAutoStart sur 0 dans la clé de registre suivante:

$config[ads_text6] not found
 HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Services \ wscsvc 

Ignorez simplement les erreurs DCOM

Selon Microsoft:

Ces événements 10016 sont enregistrés lorsque les composants Microsoft tentent d'accéder aux composants DCOM sans les autorisations requises. Dans ce cas, cela est prévu et par conception .

Un modèle de codage a été implémenté où le code essaie d'abord d'accéder aux composants DCOM avec un ensemble de paramètres. Si la première tentative échoue, il essaie à nouveau avec un autre ensemble de paramètres. La raison pour laquelle il ne saute pas la première tentative est qu'il existe des scénarios où il peut réussir. Dans ces scénarios, c'est préférable.

Pour plus d'informations, consultez l'article Microsoft L'ID d'événement DCOM 10016 est enregistré dans Windows 10, Windows Server 2016 et Windows Server 2019. Microsoft suggère de créer un filtre (source XML fournie dans l'article) pour masquer les événements DCOM 10016.

Supprimer les événements DCOM 10016 à l'aide de ce filtre

 * * [Système [(EventID = 10016)]] et * [EventData [(Data [@ Name = ' param4 '] and Data = "{D63B10C5-BB46-4990-A94F-E40B9D520160}" and Data [@ Name = ' param5 '] et Data = "{9CA88EE3-ACB7-47C8-AFC4-AB702511C276}" et Data [@ Name =' param8 '] and Data = "S-1-5-18") ou (Data [@ Name =' param4 '] et Data = "{260EB9DE-5CBE-4BFF-A99A-3710AF55BF1E}" et Data [@ Name =' param5 '] and Data = "{260EB9DE-5CBE-4BFF-A99A-3710AF55BF1E}") ou (Data [ @ Name = ' param4 '] and Data = "{C2F03A33-21F5-47FA-B4BB-156362A2F239}" "and Data [@ Name = ' param5 '] and Data =" {316CDED5-E4AE-4B15-9113-7055D84DCC97} "et Données [@ Name = ' param8 '] et Data = "S-1-5-19") ou (Data [@ Name = ' param4 '] and Data = "{6B3B8D23-FA8D-40B9-8DBD-B950333E2C52}" et Données [@ Name = ' param5 '] et Données = "{4839DDB7-58C2-48F5-8283-E1D1807D0D7D}" et Données [@ Name = ' param8 '] et Données = "S-1-5-19")]] 
  1. Ouvrez l'Observateur d'événements. Développez Journaux Windows → Système.
  2. Cliquez sur Filtrer le journal actuel…
  3. Sélectionnez l'onglet XML et activez Modifier la requête manuellement
  4. Copiez / collez le code XML ci-dessus dans la boîte de dialogue du filtre, puis cliquez sur OK.

Les entrées d'erreur DCOM avec l'ID d'événement 10016 sont désormais masquées.

Si, d'autre part, une application ou une fonctionnalité (par exemple, Cortana) ne fonctionne pas correctement en raison d'autorisations DCOM incorrectes, voici comment y remédier.

Correction des autorisations DCOM à l'aide de l'Éditeur du Registre et de la configuration DCom

Pour empêcher la journalisation des événements, procédez comme suit pour accorder l'autorisation aux composants DCOM qui ont des CLSID et APPID spécifiques. Prenons le cas de RuntimeBroker, dont le CLSID tel que rapporté dans le journal des événements est {D63B10C5-BB46-4990-A94F-E40B9D520160} APPID est {9CA88EE3-ACB7-47C8-AFC4-AB702511C276}

Important: avant de continuer, créez un point de restauration système car une configuration incorrecte des autorisations DCOM peut endommager Windows. Il est conseillé d'effectuer une sauvegarde d'image complète si cela est possible.

  1. Démarrez l'Éditeur du Registre ( regedit.exe ).
  2. Accédez à la clé suivante:
     HKEY_CLASSES_ROOT \ CLSID \ {D63B10C5-BB46-4990-A94F-E40B9D520160} 

  3. Notez les données de valeur (par défaut) dans la clé ci-dessus, qui dans ce cas est RuntimeBroker
  4. Accédez maintenant à la clé AppID suivante:
     HKEY_CLASSES_ROOT \ AppID \ {9CA88EE3-ACB7-47C8-AFC4-AB702511C276} 
  5. Par défaut, TrustedInstaller possède cette clé de registre et ses sous-clés. Définissez Administrateur comme propriétaire de la clé et de ses sous-clés. Découvrez comment s'approprier les clés de registre et attribuer des autorisations complètes pour plus d'informations.
  6. Après avoir défini les administrateurs en tant que propriétaire, affectez le groupe Administrateurs et le compte SYSTEM à l' autorisation Contrôle total pour la clé et les sous-clés.
  7. Quittez l'Éditeur du Registre.
  8. Démarrez l'outil de configuration DCOM dcomcnfg.exe
  9. Développez Services de composants | Ordinateurs | Mon ordinateur | DCOM Config.
  10. Cliquez avec le bouton droit sur l'application qui correspond à l'AppID enregistré dans le journal des événements, puis sélectionnez Propriétés. Le nom de l'application dans cet exemple est RuntimeBroker que vous avez trouvé à l'étape 3 ci-dessus. L'outil DCom Config répertorie deux entrées RuntimeBroker. Pour trouver le bon, cliquez avec le bouton droit sur un élément et cliquez sur Propriétés et faites correspondre l'ID d'application avec celui du registre (figure 1).

    $config[ads_text6] not found

  11. Sélectionnez l'onglet Sécurité.
  12. Sous Autorisations de lancement et d'activation, sélectionnez Personnaliser, puis cliquez sur Modifier.

    Notez que si le bouton Modifier est grisé dans la page Propriétés de l'application RuntimeBroker dans DCOM Config, vous devrez vérifier les autorisations de la clé de registre AppID (refaire les étapes 4 à 6 ci-dessus).

  13. Sous Noms de groupe ou d'utilisateur, sélectionnez Ajouter.
  14. Saisissez le nom du groupe ou de l'utilisateur enregistré dans le journal des événements. Par exemple, le compte enregistré dans le journal peut être NT AUTHORITY\NETWORK SERVICE, NT AUTHORITY\SYSTEM ou un autre groupe ou compte.
  15. Cliquez sur OK.
  16. Attribuez l' autorisation d' activation locale à l'utilisateur ou au groupe que vous avez ajouté et terminez le processus.

Cela empêche les erreurs du journal des Event ID: 10016 concernant les autorisations DCOM.

Articles Connexes