I dagens indlæg vil vi identificere årsagen og derefter give de mulige løsninger på problemet med DCOM (DistributedCOM) Event ID 10016 -fejl, der kan dukke op i Windows - hændelsesfremviseren i løbet af normal drift af Windows 10 .

Distributed Component Object Model (  DCOM)^{(Distributed Component Object Model (DCOM))} er et integreret aspekt af netværkskommunikation på Windows -computere. Det er en proprietær Microsoft -teknologi, der svirrer til handling, hver gang en applikation opretter forbindelse til internettet. En traditionel COM kan kun få adgang til information på den samme maskine, hvorimod DCOM kan få adgang til data på fjernservere.

For eksempel bruger mange websteder og tjenester scripts, der får adgang til en ekstern server. Når dit system laver en anmodning ved hjælp af et script eller på anden måde, videresender DCOM anmodningen til det specifikke scriptobjekt. I betragtning af hvor ofte moderne applikationer bruger en netværksforbindelse og vores generelle brug af computere, kan du se, hvor ofte DCOM kommer i brug.

DCOM Event ID 10016 fejl

Du bemærker muligvis nedenstående hændelse 10016 logget i systemets hændelseslogfiler på en computer, der kører Windows 10 , Windows Server 2016 , Windows Server 2019, Windows Server , version 1903 eller Windows Server 1909 :

Source: Microsoft-Windows-DistributedCOM
Event ID: 10016
Description: The application-specific permission settings do not grant Local Activation permission for the COM Server application with CLSID
{D63B10C5-BB46-4990-A94F-E40B9D520160}
and APPID
{9CA88EE3-ACB7-47C8-AFC4-AB702511C276}
to the user NT AUTHORITY\SYSTEM SID (S-1-5-18) from address LocalHost (using LRPC) running in the application container Unavailable SID (Unavailable). This security permission can be modified using the Component Services administrative tool.

Typisk vil du støde på ovenstående fejl logget i begivenhedsfremviseren. Det er dog bemærkelsesværdigt, at der er variationer af hændelses-id 10016^{(Event ID 10016)} - fejlen. Ikke desto mindre^{(Nevertheless)} er proceduren for at afhjælpe fejlen stort set den samme.

En DCOM -fejl opstår normalt, når et program eller en tjeneste forsøger at bruge DCOM , men ikke har de korrekte tilladelser. Det meste af tiden vil DCOM -fejl ikke påvirke dit system, bortset fra at tilstoppe din Event Viewer . Disse 10016 hændelser registreres, når Microsoft - komponenter forsøger at få adgang til DCOM- komponenter uden de nødvendige tilladelser. I dette tilfælde er dette forventet og ved design.

DCOM-fejl er ikke noget at bekymre sig om - du kan roligt ignorere dem. Der er dog procedurer, du kan følge for at løse fejlen med hændelses -id 10016 , når den opstår.

Sådan løses fejl i DCOM- hændelses -id 10016

For at løse dette problem foreslår Microsoft at oprette et XML-filter for at undertrykke fejlen DCOM- hændelses -id 10016 .

Sådan gør du:

• Åbn Event Viewer ( Tryk på Windows^{(Press Windows)} - tasten + R. Skriv eventvwr i dialogboksen Kør^(Run) og tryk på Enter).
• Klik på Windows-logfiler^{(Windows Logs)} > System .
• Klik  på Filtrer aktuel log ^{(Filter current log )} under handlingsruden^(Action) .
• Vælg fanen XML, og marker indstillingen Rediger forespørgsel manuelt^{(Edit query manually)} .
• Kopier og indsæt følgende XML-tekst i filterdialogen.

<QueryList>
  <Query Id="0" Path="System">
    <Select Path="System">*</Select>
    <Suppress Path="System">
      *[System[(EventID=10016)]]
      and
      *[EventData[
        (
          Data[@Name='param4'] and Data='{D63B10C5-BB46-4990-A94F-E40B9D520160}' and
          Data[@Name='param5'] and Data='{9CA88EE3-ACB7-47C8-AFC4-AB702511C276}' and
          Data[@Name='param8'] and Data='S-1-5-18'
        ) 
        or
        (
          Data[@Name='param4'] and Data='{260EB9DE-5CBE-4BFF-A99A-3710AF55BF1E}' and
          Data[@Name='param5'] and Data='{260EB9DE-5CBE-4BFF-A99A-3710AF55BF1E}'
        ) 
        or
        (
          Data[@Name='param4'] and Data='{C2F03A33-21F5-47FA-B4BB-156362A2F239}' and
          Data[@Name='param5'] and Data='{316CDED5-E4AE-4B15-9113-7055D84DCC97}' and
          Data[@Name='param8'] and Data='S-1-5-19'
        )
        or
        (
          Data[@Name='param4'] and Data='{6B3B8D23-FA8D-40B9-8DBD-B950333E2C52}' and
          Data[@Name='param5'] and Data='{4839DDB7-58C2-48F5-8283-E1D1807D0D7D}' and
          Data[@Name='param8'] and Data='S-1-5-19'
        ) 
      ]]
    </Suppress>
  </Query>
</QueryList>

I denne forespørgsel  svarer param4  til COM Server - applikationen CLSID ,  param5  svarer til APPID, og  ​​param8  svarer til sikkerhedskonteksten SID , som alle er registreret i 10016 hændelsesloggene.

• Klik på OK^(OK) .

DCOM-fejlposterne^(DCOM) med hændelses -id'et 10016^{(Event ID 10016)} er nu skjult.

Alternativt kan du løse problemet med DCOM-tilladelser^{(DCOM Permissions)} ved hjælp af Registreringseditor^{(Registry Editor)} og DCom Config- værktøj.

Sådan gør du:

Rettelsen involverer en tweak i registreringsdatabasen - så som en sikkerhedsforanstaltning anbefales det, at du sikkerhedskopierer registreringsdatabasen^{(back up the registry)} eller opretter et systemgendannelsespunkt .

For at forhindre hændelser i at blive logget, skal du følge disse trin for at give tilladelse til DCOM - komponenter, der har specifikke CLSID'er^(CLSIDs) og APPID'er^(APPIDs) .

Først skal du finde ud af, hvilken proces eller tjeneste der er knyttet til det KLASSE-ID^{(CLASS ID)} , der er angivet i fejlen. For at gøre dette skal du gå videre og kopiere det CLSID , der er angivet i begivenhedsbeskrivelsen. I dette tilfælde er det {D63B10C5-BB46-4990-A94F-E40B9D520160} . Sørg også for at kopiere begge de krøllede seler.

Start nu Registreringseditor . Når du har åbnet registreringseditoren, skal du klikke på  Rediger^(Edit)  og derefter  Find . Gå videre og indsæt CLSID'et^(CLSID) i søgefeltet og tryk på Enter .

Registret vil nu starte en søgning. Efter nogen tid skulle du få et resultat under nøglen HK_CLASSES_ROOT\CLSID  . På højre side skal den have to nøgler, og  standarden^(Default) skal angive navnet på tjenesten. I dette tilfælde skal det være RuntimeBroker .

Nu hvor du har identificeret processen, kan du nu fortsætte som følger for at rette fejlen.

• I registreringseditoren skal du stadig navigere til følgende AppID -nøgle, der er knyttet til RuntimeBroker:

HKEY_CLASSES_ROOT\AppID\{9CA88EE3-ACB7-47C8-AFC4-AB702511C276}

Som standard ejer TrustedInstaller denne registreringsdatabasenøgle og dens undernøgler. Indstil Administrator^{(Set Administrator)} som ejer af nøglen og dens undernøgler. Se  , hvordan du tager ejerskab af registreringsdatabasenøgler^{(how to take ownership of registry keys)}  for at få flere oplysninger.

• Efter at have indstillet administratorer^{(Administrators)}  som ejer, tildel  administratorgruppen^{(Administrators)}  og  SYSTEM -  kontoen har fuld kontroltilladelse^{(Full Control)} til nøglen og undernøglerne.
• Afslut registreringseditoren.

Start derefter DCOM-konfigurationsværktøjet^{(DCOM Configuration)} (tryk på Windows - tasten + R. I dialogboksen Kør^(Run) skal du skrive dcomcnfg.exe  og trykke på Enter.

• Klik på Component Services^{(Component Services)} > Computers > My^{(My Comput)} Computer > DCOM Config .
• Højreklik på^{(Right-click)} det program, der svarer til det AppID , der er registreret i hændelsesloggen, og vælg derefter Egenskaber^(Properties) .

Applikationsnavnet i dette eksempel er RuntimeBroker , som vi identificerede tidligere. Hvis DCom Config- værktøjet viser to RuntimeBroker- poster. For at finde den rigtige skal du højreklikke på et element og klikke på Egenskaber og matche app-id'et^{(App ID)} med det i registreringsdatabasen.

• Vælg fanen Sikkerhed^(Security) .
• Under Start- og aktiveringstilladelser^{(Launch and Activation Permissions)} skal du vælge Tilpas^(Customize) og klikke på Rediger^(Edit) .

Hvis knappen Rediger^(Edit) er nedtonet på siden med egenskaber for ^(Properties)RuntimeBroker- applikationen i DCOM Config , skal du bekræfte AppID - registreringsnøgletilladelserne.

• Vælg Tilføj^(Add) under Gruppe- eller brugernavne^{(Group or user names)} .
• Indtast^(Enter) gruppen eller brugernavnet, der er registreret i hændelsesloggen. For eksempel kan den konto, der er registreret i loggen, være NT AUTHORITY\NETWORK SERVICE , NT AUTHORITY\SYSTEM eller en anden gruppe eller konto.
• Klik på OK^(OK) .
• Tildel lokal aktiveringstilladelse^{(Assign Local Activation)} til den bruger eller gruppe, du tilføjede, og fuldfør processen.

Denne procedure forhindrer hændelseslogfejlene Hændelses-id^{(Event ID)} : 10016, der vedrører DCOM- tilladelser.

Bemærk^(Note) : Microsoft anbefaler ikke metoden til at ændre tilladelserne på DCOM- komponenter for at forhindre denne fejl i at blive logget, fordi disse fejl ikke påvirker funktionaliteten negativt, og ændring af tilladelserne kan have utilsigtede bivirkninger.

Hope this helps!

How to fix DCOM Event ID 10016 error on Windows 10

Іn today’s post, we will identify the сause and then provide the possible solutions to the issue of DCOM (DistributedCOM) Event ID 10016 error that might show up in the Windows event viewer in the course of normal operations of Windows 10.

The Distributed Component Object Model (DCOM) is an integral aspect of networked communication on Windows computers. It is a proprietary Microsoft technology that whirs into action every time an application makes a connection to the internet. A traditional COM can only access information on the same machine, whereas DCOM can access data on remote servers.

For example, many websites and services use scripts that access a remote server. When your system makes a request using a script or otherwise, DCOM forwards the request to the specific script object. Given how frequently modern applications use a network connection and our general use of computers, you can see how frequently DCOM comes into use.

DCOM Event ID 10016 error

You may notice the below event 10016 logged in the system event logs on a computer that is running Windows 10, Windows Server 2016, Windows Server 2019, Windows Server, version 1903 or Windows Server 1909:

Source: Microsoft-Windows-DistributedCOM
Event ID: 10016
Description: The application-specific permission settings do not grant Local Activation permission for the COM Server application with CLSID
{D63B10C5-BB46-4990-A94F-E40B9D520160}
and APPID
{9CA88EE3-ACB7-47C8-AFC4-AB702511C276}
to the user NT AUTHORITY\SYSTEM SID (S-1-5-18) from address LocalHost (using LRPC) running in the application container Unavailable SID (Unavailable). This security permission can be modified using the Component Services administrative tool.

Typically, you’ll encounter the above error logged in the event viewer. However, it’s noteworthy that there are variations of the Event ID 10016 error. Nevertheless, the procedure to mitigate the error is essentially the same.

A DCOM error usually occurs when an application or service attempts to use DCOM but does not have the proper permissions. Most of the time, DCOM errors won’t affect your system, other than clogging up your Event Viewer. These 10016 events are recorded when Microsoft components try to access DCOM components without the required permissions. In this case, this is expected and by design.

DCOM errors are nothing to worry about – you can safely ignore them. However, there are procedures you can follow to resolve the event ID 10016 error whenever it occurs.

How to resolve DCOM event ID 10016 error

To resolve this issue, Microsoft suggests creating an XML filter to suppress the DCOM event ID 10016 error.

Here’s how:

• Open Event Viewer (Press Windows key + R. In the Run dialog box, type eventvwr and hit Enter).
• Ckick Windows Logs > System.
• Click Filter current log under the Action pane.
• Select the XML tab and check Edit query manually option.
• Copy and paste the following XML text to the filter dialog.

<QueryList>
  <Query Id="0" Path="System">
    <Select Path="System">*</Select>
    <Suppress Path="System">
      *[System[(EventID=10016)]]
      and
      *[EventData[
        (
          Data[@Name='param4'] and Data='{D63B10C5-BB46-4990-A94F-E40B9D520160}' and
          Data[@Name='param5'] and Data='{9CA88EE3-ACB7-47C8-AFC4-AB702511C276}' and
          Data[@Name='param8'] and Data='S-1-5-18'
        ) 
        or
        (
          Data[@Name='param4'] and Data='{260EB9DE-5CBE-4BFF-A99A-3710AF55BF1E}' and
          Data[@Name='param5'] and Data='{260EB9DE-5CBE-4BFF-A99A-3710AF55BF1E}'
        ) 
        or
        (
          Data[@Name='param4'] and Data='{C2F03A33-21F5-47FA-B4BB-156362A2F239}' and
          Data[@Name='param5'] and Data='{316CDED5-E4AE-4B15-9113-7055D84DCC97}' and
          Data[@Name='param8'] and Data='S-1-5-19'
        )
        or
        (
          Data[@Name='param4'] and Data='{6B3B8D23-FA8D-40B9-8DBD-B950333E2C52}' and
          Data[@Name='param5'] and Data='{4839DDB7-58C2-48F5-8283-E1D1807D0D7D}' and
          Data[@Name='param8'] and Data='S-1-5-19'
        ) 
      ]]
    </Suppress>
  </Query>
</QueryList>

In this query, param4 corresponds to the COM Server application CLSID, param5 corresponds to the APPID, and param8 corresponds to the security context SID, all of which are recorded in the 10016 event logs.

• Click OK.

The DCOM error entries with the Event ID 10016 are now hidden from view.

Alternatively, you can fix DCOM Permissions issue using Registry Editor & DCom Config tool.

Here’s how:

The fix involves a registry tweak – so as a precautionary measure, it’s recommended that you back up the registry or create a system restore point.

To prevent the events from being logged, follow these steps to grant permission to the DCOM components that have specific CLSIDs and APPIDs.

First, you’ll need to figure out which process or service is associated with the CLASS ID listed in the error. To do this, go ahead and copy the CLSID listed in the event description. In this case, it is {D63B10C5-BB46-4990-A94F-E40B9D520160}. Make sure to copy both the curly braces also.

Now, launch Registry Editor. When you have the registry editor opened, click on Edit and then Find. Go ahead and paste the CLSID into the search box and hit Enter.

The registry will now initiate a search. After some time, you should get a result under the HK_CLASSES_ROOT\CLSID key. On the right-hand side, it should have two keys and the Default one should list out the name of the service. In this case, it should be RuntimeBroker.

Now that you have identified the process, you can now proceed as follows to fix the error.

• Still, in the registry editor, navigate to the following AppID key associated with the RuntimeBroker:

HKEY_CLASSES_ROOT\AppID\{9CA88EE3-ACB7-47C8-AFC4-AB702511C276}

By default, TrustedInstaller owns this registry key and its subkeys. Set Administrator as the owner of the key and its subkeys. See how to take ownership of registry keys for more information.

• After setting Administrators as the owner, assign Administrators group and SYSTEM account have Full Control permission for the key and subkeys.
• Exit the Registry Editor.

Next, start the DCOM Configuration tool (press Windows key + R. In the Run dialog box, type dcomcnfg.exe and hit Enter.

• Click Component Services > Computers > My Computer > DCOM Config.
• Right-click the application that corresponds to the AppID that’s recorded in the event log, and then select Properties.

The application name in this example is RuntimeBroker which we identified earlier. If the DCom Config tool lists two RuntimeBroker entries. To find the right one, right-click on an item and click Properties and match the App ID with the one in the registry.

• Select the Security tab.
• Under Launch and Activation Permissions, select Customize, and click Edit.

If the Edit button is grayed out in RuntimeBroker application Properties page in DCOM Config, you’ll need to verify the AppID registry key permissions.

• Under Group or user names, select Add.
• Enter the group or user name that’s recorded in the event log. For example, the account recorded in the log may be NT AUTHORITY\NETWORK SERVICE, NT AUTHORITY\SYSTEM, or some other group or account.
• Click OK.
• Assign Local Activation permission for that user or group you added, and complete the process.

This procedure prevents the event log errors Event ID: 10016 relating to DCOM permissions.

Note: Microsoft does not recommend the method of modifying the permissions on DCOM components to prevent this error from being logged because these errors do not adversely affect the functionality and modifying the permissions can have unintended side effects.

Hope this helps!

Related posts

• Hændelses-id 158-fejl - Tildeling af identiske disk-GUID'er i Windows 10

• Ret Event ID 7031 eller 7034 fejl, når bruger logger af Windows 10 computer

• Sådan rettes Event ID 642 ESENT-fejl på Windows 11/10

• Ret Service Control Manager Event ID 7001 på Windows 11/10

• Hændelses-id 307 og 304 med fejlkode 0x801c001d på Windows 11/10

• Driveren registrerede en intern driverfejl på DeviceVBoxNetLwf

• Ret Microsoft Store-fejl 0x87AF0001

• Spilletjenestefejl 0x80073D26, 0x8007139F eller 0x00000001

• Ret fejl 10016 i Windows Event Viewer

• Løs problemhændelsesnavn BEX64 i Windows 10

• Applikationen kan ikke finde scanner - WIA_ERROR_OFFLINE, 0x80210005

• Operativsystemet kan ikke startes på grund af systemdriverfejl

• Fix ShellExecuteEx mislykkedes; kodefejl 8235 på Windows10

• Ret fejl 0xC00D3E8E, egenskaben er skrivebeskyttet på Windows 11/10

• Hændelses-ID 219, når en enhed er tilsluttet; Driver WUDFRD kunne ikke indlæses

• Windows kan ikke bekræfte den digitale signatur (kode 52)

• Installer Realtek HD Audio Driver Failure, Error OxC0000374 på Windows 10

• Ret Bdeunlock.exe Dårligt billede, systemfejl eller ikke-svarende fejl

• Systemfejl 6118, listen over servere for denne arbejdsgruppe er ikke tilgængelig

• Hændelses-id 1098: Fejl 0xCAA5001C, tokenmægleroperation mislykkedes