• Active Directory
    • AD Consulting
    • AD Design
      • Domain Name festlegen
      • Domain Struktur einrichten
      • Forest Struktur definieren
    • AD Management
    • AD Automation
      • Dynamic Access Control (DAC)
    • AD Federation Services
      • ADFS Betrieb
      • ADFS und Office365
      • ADFS und Cisco Unified Communications Manager
      • SAML und ADFS 2.0
  • Azure / M365
    • Azure AD
    • Microsoft 365 (O365)
  • Migration
    • Active Directory Migration
    • Exchange Migration
    • File Server Migration
    • Lotus Notes Migration
    • Novell Migration
  • Wissen
    • Alle Beiträge
    • Administration
    • PowerShell
    • Migration
    • Exchange
    • Tools
  • Kontakt
    • Wir über uns
    • Kontakt
  • EN
info@firstattribute.com
by FirstAttribute
Active Directory FAQActive Directory FAQ
  • Active Directory
    • AD Consulting
    • AD Design
      • Domain Name festlegen
      • Domain Struktur einrichten
      • Forest Struktur definieren
    • AD Management
    • AD Automation
      • Dynamic Access Control (DAC)
    • AD Federation Services
      • ADFS Betrieb
      • ADFS und Office365
      • ADFS und Cisco Unified Communications Manager
      • SAML und ADFS 2.0
  • Azure / M365
    • Azure AD
    • Microsoft 365 (O365)
  • Migration
    • Active Directory Migration
    • Exchange Migration
    • File Server Migration
    • Lotus Notes Migration
    • Novell Migration
  • Wissen
    • Alle Beiträge
    • Administration
    • PowerShell
    • Migration
    • Exchange
    • Tools
  • Kontakt
    • Wir über uns
    • Kontakt
  • EN

SharePoint 2010: EventID 10016 DCOM Security Policy

Nov 11, 2013 (Letztes Update) | Posted by Jens Künzler Administration, KnowHow, SharePoint |

 

EventID 10016 – Lösungsweg zur Behebung der DCOM Security Policy Meldung in SharePoint 2010.

Im vergangenen Halbjahr haben wir eine 3-stufige SharePoint 2010 Landschaft bei einem großen Kunden konzipiert und aufgebaut. Auf Wunsch des Kunden wurde ein SPRaaS (SharePoint RAP as a Service) von Microsoft durchgeführt. Die Findings finden sich danach wie gewöhnlich in einer Excel Tabelle wieder, welche dann unter Beobachtung abgearbeitet werden müssen.

Ich hatte mich dem Finding „Event ID 10016: DCOM Security Policy Configuration“ angenommen. Auf allen SharePoint Servern wird der Event 10016 im System Log als „Error“ protokolliert.

1
2
3
4
5
6
The application-specific permission settings do not grant Local Activation permission for the COM Server application with CLSID
{61738644-F196-11D0-9953-00C04FD919C1}
and APPID
{61738644-F196-11D0-9953-00C04FD919C1}
to the user XXX\XXX SID (XXX) from address LocalHost (Using LRPC).
This security permission can be modified using the Component Services administrative tool.

1
<a href="https://www.active-directory-faq.de/wp-content/uploads/2013/07/23-07-2013-16-02-00.jpg"><img class="alignleft size-full wp-image-1648" title="23-07-2013 16-02-00" alt="" src="https://www.active-directory-faq.de/wp-content/uploads/2013/07/23-07-2013-16-02-00.jpg" width="628" height="449" /></a>

 

Der Lösungvorschlag von Microsoft wird in KB920783 beschrieben.

Kurz zusammengefasst: der Farm-Service Account benötigt „local launch“ und „local activation“ Berechtigungen auf dem dem DCOM Objekt „IIS WAMREG admin Service„.

Als ich die DCOM Berechtigungen setzen wollte, sah ich zunächst folgendes Bild:
Die Konfiguration ist ausgegraut….

 

 

 

 

 

 

 

 

 

 

Eine Google Befragung später wurde mir klar, dass mit Windows Server 2008R2 die Berechtigungen für DCOM Änderungen für den lokalen Administrator weggenommen wurden. Eine Änderungen der Registry Berechtigungen (full control für die lokalen Adminitratoren) auf dem Key HKEY_CLASSES_ROOT\AppID\{61738644-F196-11D0-9953-00C04FD919C1} aktiviert die DCOM Konfiguration wieder.

 

 

 

 

 

 

 

 

 

 

 

 

Leider blieb mir die Eventlog Meldung 10016 erhalten.

Glücklicherweise hatte ich noch Kontakt zu einem Microsoft PFE. Gemeinsam haben wir noch einige Schritte zur endgültigen Lösung gesucht und durchgeführt, welche ich hier zusammengefasst aufliste:

Änderung der Registry Berechtigungen:

  • HKEY_CLASSES_ROOT\AppID\{61738644-F196-11D0-9953-00C04FD919C1}
  • HKEY_CLASSES_ROOT\CLSID\{61738644-F196-11D0-9953-00C04FD919C1}
  • HKEY_CLASSES_ROOT\AppID\{000C101C-0000-0000-C000-000000000046}
  • HKEY_CLASSES_ROOT\CLSID\{000C101C-0000-0000-C000-000000000046}

Ownership für lokale Administratoren übernehmen.
Lokale Gruppe der Aministratoren + SharePoint Farm Service Account: full controll.

 

 

 

 

 

 

 

 

 

 

 

 

DCOM Berechtigungen für die beiden Objekte setzen:

  • IIS WAMREG admin Service
  • {000C101C-0000-0000-C000-000000000046}

Berechtigung: „Local Launch“ und „Local Activation“

 

 

 

 

 

 

 

 

 

 

 

Somit war es geschafft, die Eventlog Meldung 10016 verstummte und ich konnte einen Punkt in der SPRaaS Findings Liste schliessen 🙂

Artikel weiterempfehlen:
  • teilen
  • tweeten
  • sharen
  • xingen
  • mailen
Artikel erstellt am: 23.07.2013
Tags: {000C101C-0000-0000-C000-000000000046}{61738644-F196-11D0-9953-00C04FD919C1}100162010DCOMEvent ID 10016IIS WAMREG admin ServiceKB920783local activationlocal launchRegistry
0

Leave a Reply

<p>Danke für Ihre Anregungen, Fragen und Hinweise.<br/>Infos zum <a href="https://www.active-directory-faq.dekontakt/">Datenschutz</a></p>
Cancel Reply

Wer schreibt ?

Consultants und Entwickler der FirstAttribute arbeiten seit mehr als 20 Jahren in IAM- und Cloud-Transition-Projekten.
Zusammen verfügen Sie über einen umfangreichen, wertvollen Erfahrungsschatz im Bereich Active Directory und Azure AD und teilen diesen auf Active Directory FAQ.

Neueste Artikel

  • Dateiberechtigungen in MS Teams und SharePoint Online verwalten – So funktioniert es
  • AD-Gruppen in Microsoft Teams verwenden – Dynamische Gruppen in der Praxis
  • Verbindung zwischen Microsoft 365 und SharePoint Online zu Azure AD
  • Microsoft Teams und Teams-Apps mit SSO über Azure AD konfigurieren
  • Authentifizierung für MS Teams in hybriden Netzwerken


FirstAttribute

Identity Management | Jobs

Kontakt aufnehmen

Sie haben eine Frage oder Anmerkung? Schicken Sie uns schnell eine Nachricht.

Nachricht senden
Jetzt AD Tasks vereinfachen und delegieren: FirstWare IDM-Portal

Folgen Sie uns

Kontakt

  • FirstAttribute AG
  • Am Büchele 18, 86928 Hofstetten, Germany
  • +49 89 215 442 400
  • https://www.firstattribute.com

Schlagwörter

.Net ACL Active Directory AD LDS AD Objekt Azure AD Berechtigung Cloud cmdlets Delegation Domain Controller dynamicgroup dynamische Gruppen Exchange Exchange-Ordner Exchange-Postfach Exchange Migration Federation FirstWare Get-Mailbox Global Catalog Group Policy Gruppen Gruppenmitgliedschaft IDM-Portal LDAP m365 Microsoft Azure Migration New-ADUser Novell NTFS Office 365 PowerShell QMM QMM AD QMM Exchange Quest Migration Manager Schema Set-ADUser SID SID History Update Windows 10 Windows Server 2012 R2

Neueste Kommentare

  • Domäne Letzte Anmeldung - ObenGesichert.com bei LastLogon vs. LastLogonTimestamp
  • Teams Code Zur Anmeldung - ObenGesichert.com bei Authentifizierung für MS Teams in hybriden Netzwerken
  • Microsoft Teams Code Zur Anmeldung - ObenGesichert.com bei Authentifizierung für MS Teams in hybriden Netzwerken
Login
Impressum
Datenschutzerklärung

© 2022 · Active-Directory-FAQ by firstattribute.com

Prev Next