이벤트 ID 10016

[문제]

컴퓨터가 이유없이 그냥 꺼짐.

---

 

[확인]

 

이벤트 오류를 확인해 보니 이벤트 ID 10016 "2개" 경고가 나타났다.

 

구글링 열심히 ~

 

아래 로그는 2~3개 정도 발생되며 윈도우즈 보안 센터 구성 요소로 윈도우가 시작될 때 구성 요소가

 

너무 일찍 로드되어 실패하면 발생되는 로그라고 한다.

 

그렇다고, 윈도우가 종료 된다는 것은 다른 이유도 있지 않을까 하는 주관적인 생각이다.

 

너무 일찍 로드되지 않게 조치를 해 보려 한다.

 

해결되지 않으면  다른 방법을 찾아 봐야 할 거 같다.

 

Windows.SecurityCenter.WscBrokerManager

 

Windows.SecurityCenter.SecurityAppBroker

 

---

[테스트1]

 

윈도우 키 + R -> regedit

경로 : HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wscsvc 에서

 

DelayedAutoStart 값을 0 으로 변경 한다.

 

재부팅 하였다. 동일하게 윈도우가 다시 종료 되었다...

 

아래 설정 0은 문제 해결 도움 되지 않는다.

 

 

wscsvc 우클릭 -> 사용 권한 

 

아래 Users 그룹을 보면 현재 윈도우에 로그인 되어 있는 계정으로 확인 된다.

 

 

Users 그룹 속성을 확인해 보니 , 현재 로그인 계정은 로그인 계정에 포함되어 있지 않았다.

 

 

그렇다면 wscsvc 실행하는 계정이라 생각 되었다.

여기서 wscsvc는 Windows Security Center Service 이다.

 

Administrators 그룹은 모든권한 이였으며 ,

Users 권한은 읽기만 허용되어 있었다.

Users 에서 "모든 권한"  허용 한다.

 

그리고 고급 -> 변경 클릭 한다.

 

 

현재 소유자 SYSTEM 되어 있다.

윈도우의 SYSTEM 계정은 시스템 에서 최고 권한을 가진 계정이다.

로컬 관리자 보다 상위 권한 이므로, 시스템이 로그인 되면 다른 프로세스 보다

wscsvc 프로그램 프로세스가 먼저 실행될 수 있다고 생각할 수 있다.

테스트로 소유자를 로컬계정으로 바꿔서, 우선순위 프로세스가 먼저 실행되지 않게 설정하여,

시스템 다운이 해결 되는지 적용 후 확인해야 하는 부분 같다.

 

현재 로그인 계정을 다시 확인 했다.

cmd -> whoami

 

소유자를 로컬계정 으로 변경했다.

 

 

 

위 설정을 최종 적용 한다.

 

 

위 문제가 해결되지 않았다. 다시 알아보자...

다음날 컴퓨터 다운이 한번 더 나타났다.

로그를 살펴보니 전과는 달라졌다.

 

이벤트 ID 10016 , DistributedCOM 오류도 COM 구성요소 권한 부족으로

컴퓨터가 재시작 되거나 다운 렉이 발생된다고 한다.

CLSID : {6B3B8D23-FA8D-40B9-8DBD-B950333E2C52}

APPID : {4839DDB7-58C2-48F5-8283-E1D1807D0D7D}

 

 

먼저 CLSID 문제를 확인해 보자.

 

regedit 실행 한다.

 

HKEY_CLASSES_ROOT -> CLSID -> 우클릭 -> 찾기 -> 이벤트 로그에서 나타난 CLSID값을 복붙 한다.

 

사용 권한 클릭

 

고급 클릭

 

 

소유자가 Trustedlnstaller 되어 있다.

이 계정은 Windows10 이상부터는 Administrator 보다 더 높은 권한을 가진 계정 이다.

로그정보에 있는거 같이 LocalHost 계정으로 설정 해 본다.

 

 

변경을 클릭해 현재 로컬 계정으로 설정 한다.

 

 

로컬 계정은 Administrators 그룹에 포함되어 있다.

소유자를 로컬 계정으로 변경한다.

Administrators 그룹도 모든 권한으로 적용 한다.

 

다음 APPID 설정 한다.

동일하게 regedit 실행.

 

HKEY_CLASSES_ROOT -> APPID -> 우클릭 -> 찾기 -> 이벤트 로그에 나타난 APPID값을 복붙 한다.

 

사용권한

 

고급

 

 

위 설정과 같이 소유자를 로컬 계정으로 변경한다.

Administrators 그룹도 모든 권한으로 적용 한다.

 

 

위 CLSID , APPID 소유자를 로컬 계정으로 변경하였고, 액세스에 대한 권한도 모든 권한으로 설정하였다.

 

다음 로컬 서비스를 활성화 한다.

 

구성 요소 서비스 -> DCOM 구성 -> APPID 값  프로그램을 찾아 수동으로 찾기 -> 속성 -> 보안 -> 편집

 

 

LOCAL_SERVICE 의 로컬 활성화 허용 한다.

 

 

다른 이벤트 로그도 확인

아래 이벤트 로그는 드라이버 관련 로그이며, 이 로그도 재부팅 이슈가 있다고 한다.

최근에 인텔 자동 업데이트를 했는데, 최신버전 이슈도 있을 수 있을 것 같다는 주관적인 생각이다.

최신버전이 안정성 문제가 된다면, 드라이버를 예전 것으로 롤백해야 할 수도 있다... 

 

아직까지 전 조치로 컴퓨터 다운현상이 없어졌다...

문제 재발시 내용을 다시 추가 작성 하려고 함...