Aktivieren von Hotpatch für Azure Arc-fähige Server

Wichtig

Azure Arc-fähiges Hotpatch für Windows Server 2025 ist jetzt für eine monatliche Abonnementgebühr verfügbar. Weitere Informationen zu Preisen finden Sie unter "Müde von allen Neustarts"? Abrufen von Hotpatching für Windows Server.

Hotpatch ermöglicht es Ihnen, Ihre Windows Server-Installation zu aktualisieren, ohne dass Ihre Benutzer nach der Installation neu gestartet werden müssen. Dieses Feature minimiert Ausfallzeiten, die für Updates aufgewendet wurden, und sorgt dafür, dass Ihre Benutzer ihre Arbeitsauslastungen unterbrechungsfrei ausführen. Weitere Informationen zur Funktionsweise von Hotpatch finden Sie unter Hotpatch für Windows Server.

Windows Server 2025 bietet die Möglichkeit, Hotpatch für Azure Arc-fähige Server zu aktivieren. Um Hotpatch auf Azure Arc-fähigen Servern zu verwenden, müssen Sie nur den Verbundenen Computer-Agent bereitstellen und Windows Server Hotpatch aktivieren. In diesem Artikel wird beschrieben, wie Sie Hotpatch aktivieren.

Voraussetzungen

Bevor Sie Hotpatch auf Arc-fähigen Servern für Windows Server 2025 aktivieren können, müssen Sie die folgenden Anforderungen erfüllen.

• Ein Server muss Windows Server 2025 (Build 26100.1742 oder höher) ausführen. Vorschauversionen oder Windows Server-Insider-Builds werden nicht unterstützt, da Hotpatches nicht für Vorabversionen von Betriebssystemen erstellt werden.

• Auf dem Computer sollte eine der folgenden Editionen von Windows Server ausgeführt werden.

  • Windows Server 2025 Standard
  • Windows Server 2025 Rechenzentrum
  • Windows Server 2025 Datacenter: Azure Edition. Diese Edition muss nicht azure Arc-aktiviert sein, Hotpatch ist bereits standardmäßig aktiviert. Die übrigen technischen Voraussetzungen gelten noch.

• Sowohl Server mit Desktopdarstellung als auch Server Core-Installationsoptionen werden unterstützt.

• Der physische oder virtuelle Computer, auf dem Sie Hotpatch aktivieren möchten, muss die Anforderungen für virtualisierungsbasierte Sicherheit (VIRTUALSecure Mode , VSM) erfüllen. Mindestens muss der Computer unified extensible Firmware Interface (UEFI) mit aktiviertem sicheren Start verwenden. Daher muss es sich bei einem virtuellen Computer (VM) auf Hyper-V um einen virtuellen Computer der Generation 2 handelt.

• Ein Azure-Abonnement. Wenn Sie noch nicht über ein Abonnement verfügen, erstellen Sie ein kostenloses Konto, bevor Sie beginnen.

• Ihr Server und Ihre Infrastruktur sollten die Voraussetzungen für den verbundenen Computer-Agent erfüllen, um Azure Arc auf einem Server zu aktivieren.

• Der Computer sollte mit Azure Arc verbunden sein (Arc-fähig). Weitere Informationen zum Onboarding Ihres Computers in Azure Arc finden Sie unter Bereitstellungsoptionen für azure Connected Machine Agent.

Überprüfen und Aktivieren des virtuellen sicheren Modus bei Bedarf

Wenn Sie Hotpatch über das Azure-Portal aktivieren, wird überprüft, ob der virtuelle sichere Modus (Virtual Secure Mode , VSM) auf dem Computer ausgeführt wird. Wenn VSM nicht ausgeführt wird, schlägt das Aktivieren von Hotpatch fehl, und Sie müssen VSM aktivieren.

Alternativ können Sie den VSM-Status manuell überprüfen, bevor Sie Hotpatch aktivieren. VSM ist möglicherweise bereits aktiviert, wenn Sie zuvor andere Features konfiguriert haben, die (z. B. Hotpatch) von VSM abhängen. Häufige Beispiele für solche Features sind Credential Guard oder virtualisierungsbasierten Schutz der Codeintegrität, auch als Hypervisor-geschützte Codeintegrität (HVCI) bezeichnet.

Tipp

Sie können Gruppenrichtlinien oder ein anderes zentrales Verwaltungstool verwenden, um mindestens eins der folgenden Features zu aktivieren.

• Credential Guard
• Credential Guard-geschützte Computerkonten
• Virtualisierungsbasierter Schutz der Codeintegrität
• System Guard Secure Launch und SMM-Schutz
• Vom Kernelmodus erzwungener Stapelschutz
• Gesicherter Kernserver

Das Konfigurieren dieser Features ermöglicht auch VSM.

Um zu überprüfen, ob VSM konfiguriert und ausgeführt wird, wählen Sie Ihre bevorzugte Methode aus, und überprüfen Sie die Ausgabe.

PowerShell

Get-CimInstance -Namespace 'root/Microsoft/Windows/DeviceGuard' -ClassName 'win32_deviceGuard' | Select-Object -ExpandProperty 'VirtualizationBasedSecurityStatus'

Eingabeaufforderung

for /f "tokens=2 delims==" %a in ('wmic.exe /namespace:\\root\Microsoft\Windows\DeviceGuard path win32_deviceGuard GET VirtualizationBasedSecurityStatus /value ^| find "="') do @echo %a

Wenn die Befehlsausgabe lautet 2, wird VSM konfiguriert und ausgeführt. Fahren Sie in diesem Fall direkt mit " Hotpatch aktivieren" unter Windows Server 2025 fort.

Wenn die Ausgabe nicht 2erfolgt, müssen Sie VSM aktivieren.

Um VSM zu aktivieren, erweitern Sie diesen Abschnitt.

Aktivieren Sie VSM mithilfe eines der folgenden Befehle.

PowerShell

New-ItemProperty -Path 'HKLM:\System\CurrentControlSet\Control\DeviceGuard' -Name 'EnableVirtualizationBasedSecurity' -PropertyType 'Dword' -Value 1 -Force

Eingabeaufforderung

reg.exe add "HKLM\System\CurrentControlSet\Control\DeviceGuard" /v "EnableVirtualizationBasedSecurity" /t REG_DWORD /d 1 /f

Tipp

Nachdem Sie VSM aktiviert haben, müssen Sie den Server neu starten.

Führen Sie nach dem Neustart einen der folgenden Befehle erneut aus, um sicherzustellen, dass die Ausgabe jetzt 2 ausgeführt wird.

PowerShell

Get-CimInstance -Namespace 'root/Microsoft/Windows/DeviceGuard' -ClassName 'win32_deviceGuard' | Select-Object -ExpandProperty 'VirtualizationBasedSecurityStatus'

Eingabeaufforderung

for /f "tokens=2 delims==" %a in ('wmic.exe /namespace:\\root\Microsoft\Windows\DeviceGuard path win32_deviceGuard GET VirtualizationBasedSecurityStatus /value ^| find "="') do @echo %a

Wenn die Ausgabe immer noch nicht 2erfolgt, benötigt VSM auf Ihrem Computer Problembehandlung. Der wahrscheinlichste Grund dafür ist, dass die physischen oder virtuellen Hardwareanforderungen nicht erfüllt sind. Weitere Informationen finden Sie in der Dokumentation des Herstellers Ihrer Hardware- oder Virtualisierungsplattform. Dies ist beispielsweise eine Dokumentation für VMware vSphere, Activate Virtualization-based Security auf einem vorhandenen virtuellen Computer.

Nachdem Sie VSM erfolgreich aktiviert und sichergestellt haben, dass es ausgeführt wird, fahren Sie mit dem nächsten Abschnitt fort.

Aktivieren von Hotpatch unter Windows Server 2025

1. Verbinden Sie den Computer mit Azure Arc, wenn er zuvor nicht arcfähig war.

2. Nachdem Sie den Computer mit Azure Arc verbunden haben, melden Sie sich beim Azure Arc-Portal an, und wechseln Sie zu Azure Arc → Machines.

3. Wählen Sie den Namen Ihres Rechners.

4. Wählen Sie "Hotpatch" und dann " Bestätigen" aus.

5. Warten Sie ungefähr 10 Minuten, bis die Änderungen angewendet werden. Wenn das Update im Status "Ausstehend " bleibt, fahren Sie mit der Problembehandlung des Azure Arc-Agents fort.

Verwenden von Hotpatch unter Windows Server 2025

Wenn ein Hotpatch über Windows Update verfügbar ist, sollten Sie eine Aufforderung zur Installation erhalten. Da diese Updates nicht jeden Monat veröffentlicht werden, müssen Sie möglicherweise warten, bis das nächste Hotpatch veröffentlicht wird.

Optional können Sie die Hotpatch-Installation mithilfe von Updateverwaltungstools wie Azure Update Manager (AUM ) automatisieren.

Bekannte Probleme

Mehrere Updates, die im Oktober 2025 veröffentlicht wurden

Im Oktober 2025 veröffentlichte Microsoft mehrere Updates, die einigen Windows Server-Kunden angeboten wurden. Wenn Sie sich bei Hotpatch registriert oder die Registrierung planen und planen, Hotpatch-Updates im November und Dezember 2025 zu installieren, stellen Sie sicher, dass Ihre Windows Server-Computer auf genau einer der folgenden Updateebenen ausgeführt werden.

• 14. Oktober 2025 – KB5066835 (Betriebssystembuild 26100.6899)
• 24. Oktober 2025 – KB5070893 (Os Build 26100.6905) Sicherheitsupdate für Windows Server Update Services

Wenn Sie eines der anderen Oktober-Updates installiert haben, führt dies zu regelmäßigen Nicht-Hotpatch-Updates bis einschließlich des nächsten geplanten Basismonats für Januar 2026. Für diese Updates ist jeder Monat ein Neustart erforderlich. Insbesondere macht das folgende Update, falls installiert, den Computer mit bevorstehenden Hotpatches inkompatibel: 23. Oktober 2025 – KB5070881 (OS Build 26100.6905) Out-of-Band, und so werden alle anderen Updates nicht explizit in diesem Abschnitt aufgeführt.

Lizenzierungsproblem für Funktion in den Updates vom Oktober 2025

Ein Problem wurde mit den Sicherheitsupdates vom Oktober 2025 für Windows Server 2025 identifiziert. Dies kann sich auf Kunden auswirken , die das Update vom 14. Oktober 2025 – KB5066835 (Os Build 26100.6899) oder höher ausführen. Aufgrund dieses Problems kann das folgende unerwartete Verhalten beobachtet werden.

• Das Aktivieren von Windows Server-Hotpatching über Azure Arc auf neuen Computern schlägt möglicherweise fehl oder ist nicht wie erwartet abgeschlossen. Stattdessen verbleibt die Featureaktivierung im Status "In Bearbeitung", bis das Problem behoben ist.
• Auf Computern, die zuvor für windows Server Hotpatching aktiviert wurden, läuft die Featurelizenz möglicherweise ab, und dadurch wird verhindert, dass der nächste Hotpatch installiert wird. Stattdessen verursacht das nächste Update einen Neustart, wenn keine Aktion ausgeführt wird.

Hotpatching unter Windows Server 2025 Datacenter: Azure Edition ist von diesem Problem nicht betroffen.

Um dieses Problem zu beheben, wird eine Reihe manueller Schritte empfohlen. Wenn keine der beiden Workarounds angewendet wird, werden weiterhin regelmäßige Updates ohne Hotpatch bis zum nächsten geplanten Basismonat im Januar 2026 erfolgen. Für diese Updates ist jeder Monat ein Neustart erforderlich.

Es gibt zwei Möglichkeiten, die manuelle Problemumgehung auf betroffenen Computern anzuwenden. Jede der bereitgestellten Optionen bietet eine komplette Lösung. Sie müssen die Problemumgehung auf jedem der betroffenen Computer anwenden, bevor das nächste Update angeboten wird, das am nächsten "Patch-Dienstag" vom 11. November 2025 erwartet wird. Für die Anwendung der Problemumgehung ist ein Neustart erforderlich. Planen Sie daher entsprechend.

Sobald Sie eine der Problemumgehungen angewendet haben, werden Hotpatch-Updates, die im November und Dezember 2025 veröffentlicht wurden, installiert, ohne dass ein Neustart erforderlich ist.

Option 1: Verwenden Sie die lokale oder Gruppenrichtlinie, um die Korrektur zu aktivieren.

1. Laden Sie das FeatureVorschaupaket für Windows 11 24H2, Windows 11 25H2 und Windows Server 2025 KB5062660 251028_18301 herunter, und installieren Sie es. Dadurch wird die Vorlage für lokale oder Gruppenrichtlinien (ADMX Datei) für diese spezifische Korrektur installiert.

2. Wählen Sie "Start" aus, geben Sie "gpedit" ein, und wählen Sie dann "Gruppenrichtlinie bearbeiten" aus. Navigieren Sie zu Computerkonfiguration\Administrative Vorlagen\KB5062660 251028_18301 Feature Preview\Windows 11, Version 24H2, 25H2\KB5062660 251028_18301 Feature Preview.

   Weitere Informationen zum Bereitstellen und Konfigurieren dieser speziellen Gruppenrichtlinie finden Sie unter Verwenden von Gruppenrichtlinien zum Aktivieren eines standardmäßig deaktivierten Updates.

3. Öffnen Sie im rechten Fensterbereich KB5062660 251028_18301 Featurevorschau, wählen Sie "Aktiviert" und dann "OK" aus.

4. Starten Sie den betroffenen Computer neu.

5. Führen Sie den folgenden Befehl aus, um den DeviceLicensingServiceCommandMutex-Eintrag aus der Registrierung zu entfernen. Wenn dieser Eintrag auf dem betroffenen Gerät nicht vorhanden ist, wird das Entfernen ignoriert.

   try {
   Remove-ItemProperty -Path 'HKLM:\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Subscriptions' -Name 'DeviceLicensingServiceCommandMutex' -ErrorAction Stop
   } catch {
   Write-Host "DeviceLicensingServiceCommandMutex entry not present, skipping removal."
   }
   

   Alternativ können Sie ihr bevorzugtes Registrierungsbearbeitungstool oder ihre Automatisierungslösung verwenden, um denselben Wert zu löschen. Löschen Sie nicht den gesamten Registrierungsschlüssel.

Option 2: Verwenden eines Skripts zum Aktivieren der Korrektur

Öffnen Sie ein PowerShell-Fenster mit erhöhten Rechten auf jedem der betroffenen Computer, und führen Sie die folgenden Befehle aus. Die letzte Eingabeaufforderung fordert Sie auf, Ihr Gerät neu zu starten. Die Entschärfung ist erst abgeschlossen, wenn der Computer neu gestartet wird, und es wird empfohlen, unmittelbar nach dem Ausführen dieses Skripts neu zu starten.

Stop-Service -Name 'HIMDS'
New-Item -Path 'HKLM:\SYSTEM\CurrentControlSet\Policies\Microsoft\FeatureManagement\Overrides' -Force
New-ItemProperty -Path 'HKLM:\SYSTEM\CurrentControlSet\Policies\Microsoft\FeatureManagement\Overrides' -PropertyType 'dword' -Name '4264695439' -Value 1 -Force
try {
  Remove-ItemProperty -Path 'HKLM:\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Subscriptions' -Name 'DeviceLicensingServiceCommandMutex' -ErrorAction Stop
} catch {
  Write-Host "DeviceLicensingServiceCommandMutex entry not present, skipping removal."
}
Restart-Computer -Confirm

Nächste Schritte

Nachdem Hotpatch aktiviert ist, sind hier einige Artikel, die Ihnen beim Aktualisieren Ihres Computers helfen können.

• Hotpatch für Windows Server
• Patchen einer Server Core-Installation
• Automatische VM-Gast-Patches
• Azure Update Manager