• administration
  • migration
  • powershell
  • kontakt
  • EN
info@firstattribute.com
by FirstAttribute
Active Directory FAQActive Directory FAQ
  • administration
  • migration
  • powershell
  • kontakt
  • EN

SharePoint 2010: EventID 10016 DCOM Security Policy

Nov 11, 2013 (Letztes Update) | Posted by Jens Künzler Administration, KnowHow, SharePoint |

 

EventID 10016 – Lösungsweg zur Behebung der DCOM Security Policy Meldung in SharePoint 2010.

Im vergangenen Halbjahr haben wir eine 3-stufige SharePoint 2010 Landschaft bei einem großen Kunden konzipiert und aufgebaut. Auf Wunsch des Kunden wurde ein SPRaaS (SharePoint RAP as a Service) von Microsoft durchgeführt. Die Findings finden sich danach wie gewöhnlich in einer Excel Tabelle wieder, welche dann unter Beobachtung abgearbeitet werden müssen.

Ich hatte mich dem Finding “Event ID 10016: DCOM Security Policy Configuration” angenommen. Auf allen SharePoint Servern wird der Event 10016 im System Log als “Error” protokolliert.

1
2
3
4
5
6
The application-specific permission settings do not grant Local Activation permission for the COM Server application with CLSID
{61738644-F196-11D0-9953-00C04FD919C1}
and APPID
{61738644-F196-11D0-9953-00C04FD919C1}
to the user XXX\XXX SID (XXX) from address LocalHost (Using LRPC).
This security permission can be modified using the Component Services administrative tool.

1
<a href="https://www.active-directory-faq.de/wp-content/uploads/2013/07/23-07-2013-16-02-00.jpg"><img class="alignleft size-full wp-image-1648" title="23-07-2013 16-02-00" alt="" src="https://www.active-directory-faq.de/wp-content/uploads/2013/07/23-07-2013-16-02-00.jpg" width="628" height="449" /></a>

 

Der Lösungvorschlag von Microsoft wird in KB920783 beschrieben.

Kurz zusammengefasst: der Farm-Service Account benötigt “local launch” und “local activation” Berechtigungen auf dem dem DCOM Objekt “IIS WAMREG admin Service“.

Als ich die DCOM Berechtigungen setzen wollte, sah ich zunächst folgendes Bild:
Die Konfiguration ist ausgegraut….

 

 

 

 

 

 

 

 

 

 

Eine Google Befragung später wurde mir klar, dass mit Windows Server 2008R2 die Berechtigungen für DCOM Änderungen für den lokalen Administrator weggenommen wurden. Eine Änderungen der Registry Berechtigungen (full control für die lokalen Adminitratoren) auf dem Key HKEY_CLASSES_ROOT\AppID\{61738644-F196-11D0-9953-00C04FD919C1} aktiviert die DCOM Konfiguration wieder.

 

 

 

 

 

 

 

 

 

 

 

 

Leider blieb mir die Eventlog Meldung 10016 erhalten.

Glücklicherweise hatte ich noch Kontakt zu einem Microsoft PFE. Gemeinsam haben wir noch einige Schritte zur endgültigen Lösung gesucht und durchgeführt, welche ich hier zusammengefasst aufliste:

Änderung der Registry Berechtigungen:

  • HKEY_CLASSES_ROOT\AppID\{61738644-F196-11D0-9953-00C04FD919C1}
  • HKEY_CLASSES_ROOT\CLSID\{61738644-F196-11D0-9953-00C04FD919C1}
  • HKEY_CLASSES_ROOT\AppID\{000C101C-0000-0000-C000-000000000046}
  • HKEY_CLASSES_ROOT\CLSID\{000C101C-0000-0000-C000-000000000046}

Ownership für lokale Administratoren übernehmen.
Lokale Gruppe der Aministratoren + SharePoint Farm Service Account: full controll.

 

 

 

 

 

 

 

 

 

 

 

 

DCOM Berechtigungen für die beiden Objekte setzen:

  • IIS WAMREG admin Service
  • {000C101C-0000-0000-C000-000000000046}

Berechtigung: “Local Launch” und “Local Activation”

 

 

 

 

 

 

 

 

 

 

 

Somit war es geschafft, die Eventlog Meldung 10016 verstummte und ich konnte einen Punkt in der SPRaaS Findings Liste schliessen 🙂

Artikel weiterempfehlen:
  • teilen
  • tweeten
  • sharen
  • xingen
  • mailen
Artikel erstellt am: 23.07.2013
Tags: {000C101C-0000-0000-C000-000000000046}{61738644-F196-11D0-9953-00C04FD919C1}100162010DCOMEvent ID 10016IIS WAMREG admin ServiceKB920783local activationlocal launchRegistry
0

Leave a Reply

Danke für Ihre Anregungen, Fragen und Hinweise.
Infos zum Datenschutz

Cancel Reply

Wer schreibt ?

Consultants und Entwickler der FirstAttribute arbeiten seit mehr als 20 Jahren in IAM-, Migrations- und Cloud-Transition-Projekten.
Zusammen verfügen Sie über einen umfangreichen, wertvollen Erfahrungsschatz im Bereich Active Directory und Azure AD und teilen diesen auf Active Directory FAQ.

Neueste Artikel

  • Neuen Exchange-Ordner im Postfach automatisch anlegen
  • AD Gruppenverwaltung delegieren
  • Mailversand über O365 automatisieren
  • AD LDS Installation und Backup mit Powershell
  • E-Mail-Adresse mit PowerShell prüfen


FirstAttribute

AD Identity Management | Jobs

Kontakt aufnehmen

Sie haben eine Frage oder Anmerkung? Schicken Sie uns schnell eine Nachricht.

Nachricht senden
Jetzt AD Tasks vereinfachen und delegieren: FirstWare IDM-Portal

Folgen Sie uns

Kontakt

  • FirstAttribute AG
  • Am Büchele 18, 86928 Hofstetten, Germany
  • +49 89 215 442 400
  • https://www.firstattribute.com

Schlagwörter

.Net ACL Active Directory AD LDS AD Objekt Berechtigung Berechtigungen Cloud cmdlets Delegation Domain Controller dynamicgroup dynamische Gruppen Exchange Exchange 2016 Exchange Migration Federation FirstWare Global Catalog Group Policy Gruppen Gruppenmitgliedschaft IDM-Portal LDAP lokale Gruppen Microsoft Azure Migration New-ADUser Novell NTFS O365 Office 365 PowerShell QMM QMM AD QMM Exchange Quest Migration Manager Schema Set-ADUser SID SID History Update Windows Windows 10 Windows Server 2012 R2

Neueste Kommentare

  • Sebastian Goras bei IsMember – Gruppenmitgliedschaft des Benutzers prüfen
  • Paul bei Powershell – Home Directory anlegen und Berechtigungen vergeben
  • Steve König bei AD PowerShell Basics 1: New-ADUser
Login
Impressum
Datenschutzerklärung

© 2020 · Active-Directory-FAQ by firstattribute.com

Prev Next