{"id":261833,"date":"2022-01-21T07:34:34","date_gmt":"2022-01-21T06:34:34","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=261833"},"modified":"2022-02-26T00:34:30","modified_gmt":"2022-02-25T23:34:30","slug":"windows-10-20h2-zerschiet-das-jan-2022-update-den-agpm-server","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2022\/01\/21\/windows-10-20h2-zerschiet-das-jan-2022-update-den-agpm-server\/","title":{"rendered":"Windows 10 20H2: Zerschießt das Jan. 2022-Update den AGPM-Server?"},"content":{"rendered":"

\"Windows\"[English<\/a>]Kurze Frage in die Runde der Windows-Administratoren, die Microsofts Advanced Group Policy Management<\/em> (AGPM<\/em>) einsetzen. Gibt es seit dem Update vom 11. Januar 2022 Probleme, den AGPM-Server zu erreichen? Mir liegt eine entsprechende Nutzermeldung vor, die ich hier im Blog mal zur Information einstelle. Bei einer Suche habe ich derzeit nicht gefunden – und es k\u00f6nnte sein, dass die Korrekturupdates vom 17.1.2022 das gefixt haben. Erg\u00e4nzung:<\/strong> Es gibt eine L\u00f6sung, und Microsoft hat das dokumentiert.<\/p>\n

<\/p>\n

Eine Nutzermeldung f\u00fcr Windows 10 20H2<\/h2>\n

\"\"Blog-Leser Markus K. verwendet AGPM in einer gr\u00f6\u00dferen Netzwerkumgebung im universit\u00e4ren Umfeld und hat mich bereits zum 13.1.2022 per Mail \u00fcber ein Problem informiert, welches er auf der patchmanagement.org<\/em> Mailing-Liste unter dem Titel AGPM client fails to connect with 2022-01 CU<\/a><\/em> eingestellt hat. Dort schrieb er:<\/p>\n

Dear all,<\/p>\n

just a heads up cause it might concern you.<\/p>\n

We have a 20H2 machine with an AGPM client installed.
\nAfter installing 2022-01 CU the connection to the AGPM server failed.
\nAfter uninstalling the patch the connection to the server works again.
\nThe 2019 server has the 2022-01 CU installed though.<\/p>\n

The error on the clients log:
\n2022-01-13 10:21:23:1869726 [pid=8016,tid=3] [Error] Error in AgpmClient.Reconnect() System.ServiceModel.Security.SecurityNegotiationException: Either the target name is incorrect or the server has rejected the client credentials. —> System.Security.Authentication.InvalidCredentialException: Either the target name is incorrect or the server has rejected the client credentials. —> System.ComponentModel.Win32Exception: The logon attempt failed
\n— End of inner exception stack trace —
\nat System.Net.Security.NegoState.ProcessAuthentication(LazyAsyncResult lazyResult)
\nat System.Net.Security.NegotiateStream.AuthenticateAsClient(NetworkCredential credential, String targetName, ProtectionLevel requiredProtectionLevel, TokenImpersonationLevel allowedImpersonationLevel)
\nat System.ServiceModel.Channels.WindowsStreamSecurityUpgradeProvider.WindowsStreamSecurityUpgradeInitiator.OnInitiateUpgrade(Stream stream, SecurityMessageProperty& remoteSecurity)
\n— End of inner exception stack trace —<\/p>\n

Seems the patch breaks the auth process. Not much we can do except waiting for a fix I guess.<\/p><\/blockquote>\n

In der Diskussion stellte sich aber heraus, dass auf der Liste kaum jemand AGPM nutzt und andere auch nicht betroffen sind. Einen Troubleshooting-Artikel zu AGPM gibt es hier<\/a>. Wie ich obige Diskussion aber verstehe, hat Markus K. bei seiner Meldung nichts gefunden, was das Problem der fehlenden Server-Verbindung behoben hat. Bleibt die Frage, ob zuf\u00e4llig jemand diesen Fehler festgestellt hat? Oder ist der Bug durch die Sonderupdates vom 17.1.2022 behoben worden?<\/p>\n

Erg\u00e4nzung:<\/strong> Markus K. hat mir inzwischen folgendes geantwortet:<\/p>\n

Guten Morgen,
\nwir \u00f6ffnen ein Ticket bei MS.<\/p>\n

Habe eine VM erstellt Build 19042.508, via gpedit.msc \"Specify settings for optional component installation and component repair\" mit Option \"Download repair content and optional featuresdirectly from Windows Update instead of Windows Server Update Service (WSUS)\" gesetzt,
\n\"Windows Communication Foundation Non-HTTP Activation installiert (feature), RSAT.GPMC installiert, agpm_403_client.exe installiert.<\/p>\n

19042.508 + AGPM funktioniert.
\n19042.1415 und danach auch noch 2022-01 .NET Framework patch installiert => AGPM funktioniert.<\/p>\n

Da gibts sonst nichts das irgendwie fancy w\u00e4re auf der Maschine.<\/p>\n

2022-01 KB5010793 CU installiert und man bekommt folgenden Fehler in der MMC:<\/p><\/blockquote>\n

\"AGPM-Fehler\"<\/a>

AGPM-Fehler<\/p><\/div>\n

Alle Schritte wurden mit einem frisch installierten 20H2 in einer VM mit Snapshots abgebildet.
\nMan kann also vor und zur\u00fcck steigen und zuschauen wie das ganze kaputt wird.
\nAus dem Log das generiert wird lese ich ein Auth Problem heraus. Events etc., oder andere Hinweise habe ich bislang keine gefunden.
\nDer AGPM-Server ist ein Server 2019 und ist aktuell auch mit dem letzten gefixten J\u00e4nner CU ausgestattet.
\nDas Problem begann jedenfalls mit dem originalen J\u00e4nner Patchday CU.
\nIch kann nur vermuten, dass da am irgendwas scharf wird was Auth betrifft und sobald beide am selben Patchlevel sind greift und AGPM abschie\u00dft.
\nAuf der NTSysadmin Liste habe ich jemanden gefunden, der zwar den Client auf das 2022-01 CU gepatcht aber den Server noch nicht, das dauert noch meinte er, bei dem funktioniert AGPM noch.<\/p>\n

Manchmal frage ich mich schon, ob wir immer die einzigen oder ersten sind :).
\nKostet halt immer Zeit, Nerven schlaflose N\u00e4chte.
\nIst ja nicht so, dass AGPM um ~1000 GPOs zu verwalten nutzlos w\u00e4re…<\/p><\/blockquote>\n

Dem ist wenig hinzuzuf\u00fcgen.<\/p>\n

Was ist AGPM?<\/h2>\n

Kurz f\u00fcr die Leute (wie mir), denen AGPM nichts sagt. Das K\u00fcrzel AGPM steht f\u00fcr Microsofts Advanced Group Policy Management. <\/em>Laut diesem\u00a0 Microsoft-Dokument<\/a> erweitert das Microsoft Advanced Group Policy Management (AGPM) die Funktionen der Gruppenrichtlinien-Verwaltungskonsole (Group Policy Management Console, GPMC). Es wird eine umfassende \u00c4nderungssteuerung und verbesserte Verwaltung f\u00fcr Gruppenrichtlinienobjekte (Group Policy Objects, GPOs) bereitgestellt. AGPM steht im Rahmen des Microsoft Desktop Optimization Pack (MDOP) f\u00fcr Software Assurance zur Verf\u00fcgung. Dabei gibt es mehrere Versionen:<\/p>\n