ID d'événement Windows 10016 – Microsoft-Windows-DistributedCOM : Erreur de permission DCOM refusée

Commencez par examiner le CLSID et l'APPID spécifiques mentionnés dans l'événement pour déterminer si une action est requise.

1. Ouvrez Observateur d'événements → Journaux Windows → Système
2. Filtrez pour l'ID d'événement 10016 en utilisant PowerShell :

Get-WinEvent -FilterHashtable @{LogName='System'; Id=10016} -MaxEvents 20 | Format-Table TimeCreated, Id, LevelDisplayName, Message -Wrap

3. Notez le CLSID et l'APPID à partir de la description de l'événement
4. Vérifiez si le CLSID correspond à des composants Microsoft connus :

# CLSIDs Microsoft courants qui génèrent des événements 10016 bénins
$BenignCLSIDs = @(
    '{D63B10C5-BB46-4990-A94F-E40B9D520160}', # Recherche Windows
    '{260EB9DE-5CBE-4BFF-A99A-3710AF55BF1E}', # Hôte d'expérience Shell
    '{C2F03A33-21F5-47FA-B4BB-156362A2F239}', # Santé de la sécurité Windows
    '{6B3B8D23-FA8D-40B9-8DBD-B950333E2C52}'  # Cortana
)

# Vérifiez si votre CLSID est dans la liste bénigne
$YourCLSID = '{PASTE-YOUR-CLSID-HERE}'
if ($BenignCLSIDs -contains $YourCLSID) {
    Write-Host "Ce CLSID est connu pour générer des événements 10016 bénins" -ForegroundColor Green
} else {
    Write-Host "Ce CLSID peut nécessiter une enquête" -ForegroundColor Yellow
}

Modifiez les paramètres de sécurité DCOM pour accorder les autorisations appropriées à l'utilisateur ou au service demandeur.

1. Appuyez sur Win + R, tapez dcomcnfg.exe, et appuyez sur Entrée
2. Accédez à Services de composants → Ordinateurs → Mon ordinateur → Configuration DCOM
3. Localisez l'application en utilisant l'APPID de l'événement (recherche par GUID)
4. Cliquez avec le bouton droit sur l'application → Propriétés → onglet Sécurité
5. Sous Autorisations de lancement et d'activation, cliquez sur Modifier
6. Ajoutez l'utilisateur ou le compte de service mentionné dans l'événement :

# Pour trouver le nom d'utilisateur à partir du SID dans l'événement
$SID = 'S-1-5-18'  # Remplacez par le SID de votre événement
$User = (New-Object System.Security.Principal.SecurityIdentifier($SID)).Translate([System.Security.Principal.NTAccount])
Write-Host "SID $SID correspond à : $($User.Value)"

7. Accordez les autorisations Lancement local et Activation locale
8. Cliquez sur OK et redémarrez le service affecté ou redémarrez

Pour les événements bénins confirmés provenant des composants Microsoft, vous pouvez supprimer la journalisation pour réduire le bruit du journal des événements.

1. Identifiez le composant DCOM spécifique générant des événements bénins
2. Créez une sauvegarde du registre avant de faire des modifications :

# Sauvegarde des paramètres du registre DCOM
reg export "HKLM\SOFTWARE\Classes\AppID" "C:\Temp\DCOM_AppID_Backup.reg" /y
reg export "HKLM\SOFTWARE\Microsoft\Ole" "C:\Temp\DCOM_Ole_Backup.reg" /y

3. Accédez à la clé de registre de l'application DCOM :

# Trouver le chemin du registre de l'application DCOM
$APPID = '{YOUR-APPID-HERE}'  # Remplacez par l'APPID de l'événement
$RegPath = "HKLM:\SOFTWARE\Classes\AppID\$APPID"
if (Test-Path $RegPath) {
    Get-ItemProperty -Path $RegPath
} else {
    Write-Host "APPID non trouvé dans le registre" -ForegroundColor Red
}

4. Pour les composants Microsoft uniquement, vous pouvez désactiver la journalisation DCOM en modifiant la valeur EnableDCOMHTTP
5. Approche alternative - filtrer les événements au niveau du journal des événements :

# Créer une vue personnalisée du journal des événements pour exclure les événements bénins 10016
$FilterXML = @'

  
    
      *[System[Provider[@Name='Microsoft-Windows-DistributedCOM'] and EventID=10016]]
      and
      *[EventData[Data[@Name='param1'] != '{D63B10C5-BB46-4990-A94F-E40B9D520160}']]
    
  

'@

Get-WinEvent -FilterXml $FilterXML -MaxEvents 10

Pour les applications non-Microsoft générant des événements 10016, effectuez une enquête détaillée et une résolution.

1. Identifiez l'application associée au CLSID :

# Interroger le registre pour les informations CLSID
$CLSID = '{YOUR-CLSID-HERE}'  # Remplacez par le CLSID de l'événement
$CLSIDPath = "HKLM:\SOFTWARE\Classes\CLSID\$CLSID"

if (Test-Path $CLSIDPath) {
    $CLSIDInfo = Get-ItemProperty -Path $CLSIDPath -ErrorAction SilentlyContinue
    Write-Host "Application : $($CLSIDInfo.'(default)')" -ForegroundColor Green
    
    # Vérifiez InprocServer32 ou LocalServer32
    $InprocPath = "$CLSIDPath\InprocServer32"
    $LocalPath = "$CLSIDPath\LocalServer32"
    
    if (Test-Path $InprocPath) {
        $ServerInfo = Get-ItemProperty -Path $InprocPath
        Write-Host "Chemin du serveur : $($ServerInfo.'(default)')" -ForegroundColor Cyan
    }
    
    if (Test-Path $LocalPath) {
        $ServerInfo = Get-ItemProperty -Path $LocalPath
        Write-Host "Serveur local : $($ServerInfo.'(default)')" -ForegroundColor Cyan
    }
} else {
    Write-Host "CLSID non trouvé dans le registre" -ForegroundColor Red
}

2. Vérifiez si le service de l'application fonctionne correctement :

# Vérifiez les services associés
Get-Service | Where-Object {$_.DisplayName -like '*YourApp*' -or $_.ServiceName -like '*YourApp*'} | Format-Table Name, Status, StartType

3. Vérifiez que l'utilisateur demandeur dispose des autorisations appropriées
4. Vérifiez le journal des événements de l'application pour les erreurs associées :

Get-WinEvent -FilterHashtable @{LogName='Application'; Level=2,3} -MaxEvents 50 | Where-Object {$_.TimeCreated -gt (Get-Date).AddHours(-2)} | Format-Table TimeCreated, Id, LevelDisplayName, ProviderName, Message -Wrap

5. Si l'application est critique, contactez le fournisseur pour obtenir des conseils sur la configuration DCOM

Utilisez des outils avancés pour tracer les tentatives d'activation DCOM et identifier les causes profondes.

1. Activez la journalisation détaillée de DCOM dans le registre :

# Activer la journalisation des erreurs DCOM (à utiliser avec précaution)
$DCOMLogPath = "HKLM:\SOFTWARE\Microsoft\Ole"
Set-ItemProperty -Path $DCOMLogPath -Name "EnableDCOMHTTP" -Value 1 -Type DWord
Set-ItemProperty -Path $DCOMLogPath -Name "CallFailureLoggingLevel" -Value 1 -Type DWord

# Redémarrer le service DCOM pour appliquer les modifications
Restart-Service -Name "DcomLaunch" -Force

2. Téléchargez et exécutez Process Monitor (ProcMon) de Microsoft Sysinternals
3. Définissez des filtres pour capturer l'activité liée à DCOM :

# Script PowerShell pour analyser les événements DCOM récents avec chronométrage
$Events = Get-WinEvent -FilterHashtable @{LogName='System'; Id=10016} -MaxEvents 100

$EventAnalysis = $Events | Group-Object {$_.TimeCreated.ToString('yyyy-MM-dd HH:mm')} | ForEach-Object {
    [PSCustomObject]@{
        TimeWindow = $_.Name
        EventCount = $_.Count
        UniqueUsers = ($_.Group | ForEach-Object {($_.Message -split 'SID \(')[1] -split '\)')[0]} | Sort-Object -Unique).Count
        UniqueCLSIDs = ($_.Group | ForEach-Object {($_.Message -split 'CLSID ')[1] -split ' and')[0]} | Sort-Object -Unique).Count
    }
}

$EventAnalysis | Format-Table -AutoSize

4. Utilisez Windows Performance Toolkit (WPT) pour une traçabilité COM détaillée si disponible
5. Vérifiez les motifs dans le chronométrage des événements qui correspondent aux lancements d'applications ou aux événements système
6. Documentez les résultats et créez des alertes de surveillance pour les motifs non bénins :

# Créer une tâche planifiée pour surveiller les motifs inhabituels 10016
$TaskAction = New-ScheduledTaskAction -Execute "PowerShell.exe" -Argument "-WindowStyle Hidden -Command 'Get-WinEvent -FilterHashtable @{LogName=\"System\"; Id=10016} -MaxEvents 50 | Where-Object {$_.TimeCreated -gt (Get-Date).AddMinutes(-15)} | Export-Csv C:\Logs\DCOM_10016_$(Get-Date -Format yyyyMMdd_HHmm).csv -NoTypeInformation'"

$TaskTrigger = New-ScheduledTaskTrigger -Once -At (Get-Date) -RepetitionInterval (New-TimeSpan -Minutes 15)

Register-ScheduledTask -TaskName "DCOM_10016_Monitor" -Action $TaskAction -Trigger $TaskTrigger -Description "Monitor DCOM 10016 events for analysis"