SharePoint 2010: EventID 10016 DCOM Security Policy
EventID 10016 – Lösungsweg zur Behebung der DCOM Security Policy Meldung in SharePoint 2010.
Im vergangenen Halbjahr haben wir eine 3-stufige SharePoint 2010 Landschaft bei einem großen Kunden konzipiert und aufgebaut. Auf Wunsch des Kunden wurde ein SPRaaS (SharePoint RAP as a Service) von Microsoft durchgeführt. Die Findings finden sich danach wie gewöhnlich in einer Excel Tabelle wieder, welche dann unter Beobachtung abgearbeitet werden müssen.
Ich hatte mich dem Finding „Event ID 10016: DCOM Security Policy Configuration“ angenommen. Auf allen SharePoint Servern wird der Event 10016 im System Log als „Error“ protokolliert.
|
1 2 3 4 5 6 |
The application-specific permission settings do not grant Local Activation permission for the COM Server application with CLSID {61738644-F196-11D0-9953-00C04FD919C1} and APPID {61738644-F196-11D0-9953-00C04FD919C1} to the user XXX\XXX SID (XXX) from address LocalHost (Using LRPC). This security permission can be modified using the Component Services administrative tool. |
|
1 |
<a href="https://www.active-directory-faq.de/wp-content/uploads/2013/07/23-07-2013-16-02-00.jpg"><img class="alignleft size-full wp-image-1648" title="23-07-2013 16-02-00" alt="" src="https://www.active-directory-faq.de/wp-content/uploads/2013/07/23-07-2013-16-02-00.jpg" width="628" height="449" /></a> |
Der Lösungvorschlag von Microsoft wird in KB920783 beschrieben.
Kurz zusammengefasst: der Farm-Service Account benötigt „local launch“ und „local activation“ Berechtigungen auf dem dem DCOM Objekt „IIS WAMREG admin Service„.
Als ich die DCOM Berechtigungen setzen wollte, sah ich zunächst folgendes Bild:
Die Konfiguration ist ausgegraut….
Eine Google Befragung später wurde mir klar, dass mit Windows Server 2008R2 die Berechtigungen für DCOM Änderungen für den lokalen Administrator weggenommen wurden. Eine Änderungen der Registry Berechtigungen (full control für die lokalen Adminitratoren) auf dem Key HKEY_CLASSES_ROOT\AppID\{61738644-F196-11D0-9953-00C04FD919C1} aktiviert die DCOM Konfiguration wieder.
Leider blieb mir die Eventlog Meldung 10016 erhalten.
Glücklicherweise hatte ich noch Kontakt zu einem Microsoft PFE. Gemeinsam haben wir noch einige Schritte zur endgültigen Lösung gesucht und durchgeführt, welche ich hier zusammengefasst aufliste:
Änderung der Registry Berechtigungen:
- HKEY_CLASSES_ROOT\AppID\{61738644-F196-11D0-9953-00C04FD919C1}
- HKEY_CLASSES_ROOT\CLSID\{61738644-F196-11D0-9953-00C04FD919C1}
- HKEY_CLASSES_ROOT\AppID\{000C101C-0000-0000-C000-000000000046}
- HKEY_CLASSES_ROOT\CLSID\{000C101C-0000-0000-C000-000000000046}
Ownership für lokale Administratoren übernehmen.
Lokale Gruppe der Aministratoren + SharePoint Farm Service Account: full controll.
DCOM Berechtigungen für die beiden Objekte setzen:
- IIS WAMREG admin Service
- {000C101C-0000-0000-C000-000000000046}
Berechtigung: „Local Launch“ und „Local Activation“
Somit war es geschafft, die Eventlog Meldung 10016 verstummte und ich konnte einen Punkt in der SPRaaS Findings Liste schliessen 🙂
Leave a Reply
<p>Danke für Ihre Anregungen, Fragen und Hinweise.<br/>Infos zum <a href="https://www.active-directory-faq.dekontakt/">Datenschutz</a></p>