Hotpatch für neue virtuelle Computer

Wichtig

Hotpatch wird unter Windows Server 2022 Datacenter: Azure Edition (Server Core) unterstützt.

Hotpatching ist eine neue Methode zur Installation von Updates auf unterstützten virtuellen Computern (VMs) der Windows Server Azure Edition, die keinen Neustart nach der Installation erfordert. Dieser Artikel enthält Informationen über Hotpatches für unterstützte Windows Server Azure Edition-VMs, die folgende Vorteile bieten:

• Geringere Auswirkungen auf die Workload mit weniger Neustarts
• Schnellere Bereitstellung von Updates, da die Pakete kleiner sind, schneller installiert werden und eine einfachere Patchorchestrierung mit Azure Update Manager möglich ist
• Besserer Schutz, da die Hotpatch-Updatepakete auf Windows-Sicherheitsupdates beschränkt sind, die schneller und ohne Neustart installiert werden

Funktionsweise von Hotpatches

Hotpatch funktioniert, indem zuerst eine Baseline mit einem aktuellen kumulativen Update von Windows Update festgelegt wird. Es werden regelmäßig Hotpatches freigegeben (z. B. am zweiten Dienstag des Monats), die auf dieser Baseline aufsetzen. Hotpatches enthalten Updates, für die kein Neustart erforderlich ist. Die Baseline wird in regelmäßigen Abständen (beginnend mit „alle drei Monate“) mit einem neuen aktuellen kumulativen Update aktualisiert.

Es gibt zwei Arten von Baselines: Geplante Baselines und Nicht geplante Baselines.

• Geplante Baselines werden in einem regelmäßigen Rhythmus veröffentlicht, wobei zwischendurch Hotpatch-Releases veröffentlicht werden. Geplante Baselines enthalten alle Updates in einem vergleichbaren letzten kumulativen Update für diesen Monat und erfordern einen Neustart.
  • Der obige Beispielplan zeigt vier geplante Baselinereleases in einem Kalenderjahr (insgesamt fünf im Diagramm) und acht Hotpatch-Releases.
• Nicht geplante Baselines werden freigegeben, wenn ein wichtiges Update (z. B. ein Zero-Day-Fix) veröffentlicht wird und dieses spezielle Update nicht als Hotpatch freigegeben werden kann. Wenn nicht geplante Baselines veröffentlicht werden, wird ein Hotpatch-Release in diesem Monat durch eine nicht geplante Baseline ersetzt. Nicht geplante Baselines umfassen auch alle Updates in einem vergleichbaren letzten kumulativen Update für diesen Monat und erfordern ebenfalls einen Neustart.
  • Der obige Beispielzeitplan zeigt zwei nicht geplante Baselines, die die Hotpatch-Releases für diese Monate ersetzen würden (die tatsächliche Anzahl nicht geplanter Baselines in einem Jahr ist im Voraus nicht bekannt).

Regionale Verfügbarkeit

Hotpatch ist in allen globalen Azure-Regionen verfügbar.

Erste Schritte

Hinweis

Sie können eine Vorschau bewährter Methoden für das Onboarding des Automanage-Computers beim Erstellen der VM im Azure-Portal über diesen Link anzeigen.

Gehen Sie folgendermaßen vor, um Hotpatch auf einer neuen VM zu verwenden:

1. Beginnen Sie mit dem Erstellen eines neuen virtuellen Computers über Azure-Portal

   • Sie können eine Vorschau bewährter Methoden für das Onboarding der automatischen Verwaltung (Automanage) von Computern beim Erstellen der VM im Azure-Portal über diesen Link anzeigen.

2. Details während der VM-Erstellung

   • Stellen Sie sicher, dass ein unterstütztes Windows Server 2019 Datacenter: Azure EditionBild in der Dropdownliste für Bilder ausgewählt ist. Verwenden Sie diesen Leitfaden, um zu bestimmen, welche Bilder unterstützt werden.
   • Auf der Registerkarte „Verwaltung“ im Abschnitt „Gastbetriebssystemupdates“ ist das Kontrollkästchen „Hotpatch aktivieren“ aktiviert. Die Optionen für die Patch-Instrumentierung werden auf "Azure-orchestriert" festgelegt.
   • Wenn Sie über diesen Link eine VM erstellt haben, wählen Sie auf der Registerkarte „Verwaltung“ im Abschnitt „Azure Automanage“ für „Azure Automanage-Umgebung“ die Option „Dev/Test“ oder „Produktion“ aus, um die bewährten Methoden für die automatische Verwaltung (Automanage) von Computern in der Vorschauversion zu bewerten.

3. Erstellen einer neuen VM

Patchinstallation

Automatische VM-Gastpatches sind automatisch für alle mit einem unterstützten Windows Server Azure Edition-Image erstellten VMs aktiviert. Mit aktivierten automatischen VM-Gastpatches:

• Patches, die als Kritisch oder Sicherheit klassifiziert werden, werden automatisch heruntergeladen und auf die VM angewendet.
• Patches werden außerhalb der Spitzenzeiten in der Zeitzone der VM angewendet.
• Die Patchorchestrierung wird von Azure verwaltet, und Patches werden nach den verfügbarkeitsbasierten Prinzipien angewendet.
• Die Integrität des virtuellen Computers wird anhand von Integritätssignalen der Plattform ermittelt und überwacht, um Patchfehler zu erkennen.

Wie funktioniert automatisches VM-Gastpatchen?

Wenn die Option für Automatische VM-Gastpatches auf einer VM aktiviert ist, werden die verfügbaren kritischen und Sicherheitspatches heruntergeladen und automatisch angewendet. Dieser Prozess wird jeden Monat automatisch gestartet, wenn neue Patches freigegeben werden. Die Patchbewertung und -installation erfolgt automatisch, und der Vorgang umfasst einen Neustart der VM bei Bedarf.

Wenn die Hotpatchfunktion auf unterstützten Windows Server Azure Edition-VMs aktiviert ist, werden die meisten monatlichen Sicherheitsupdates als Hotpatches bereitgestellt, die keinen Neustart erfordern. Aktuelle kumulative Updates, die an Monaten mit geplanten oder nicht geplanten Baselines gesendet werden, erfordern einen Neustart des virtuellen Computers. Zusätzliche kritische oder sicherheitsrelevante Patches können ebenfalls in regelmäßigen Abständen verfügbar sein, was einen Neustart des virtuellen Computers erforderlich machen kann.

Der virtuelle Computer wird automatisch alle paar Tage und mehrmals innerhalb eines 30-Tage-Zeitraums überprüft, um die anwendbaren Patches für diese VM zu ermitteln. Diese automatische Bewertung stellt sicher, dass alle fehlenden Patches zum frühestmöglichen Zeitpunkt erkannt werden.

Patches werden innerhalb von 30 Tagen nach den monatlichen Patchreleases installiert, wobei die verfügbarkeitsbasierten Prinzipien gelten. Patches werden nur außerhalb der Spitzenzeiten für die VM installiert, abhängig von der Zeitzone der VM. Die VM muss außerhalb der Spitzenzeiten ausgeführt werden, damit Patches automatisch installiert werden können. Wenn eine VM während einer periodischen Bewertung ausgeschaltet wird, wird die VM bewertet, und die anwendbaren Patches werden bei der nächsten periodischen Bewertung automatisch installiert, wenn die VM eingeschaltet wird. Die nächste regelmäßige Bewertung erfolgt normalerweise innerhalb weniger Tage.

Definitionsupdates und andere Patches, die nicht als „Kritisch“ oder „Sicherheit“ eingestuft sind, werden nicht über automatische VM-Gastpatches installiert.

Grundlegendes zum Patchstatus für Ihre VM

Um den Patchstatus für Ihre VM anzuzeigen, navigieren Sie im Azure-Portal zum Abschnitt Gast- und Hostupdates für Ihre VM. Klicken Sie unter dem Abschnitt Updates für das Gastbetriebssystem auf „Zu Hotpatch wechseln (Vorschau)“, um den neuesten Patchstatus für Ihre VM anzuzeigen.

Auf diesem Bildschirm wird der Hotpatch-Status für Ihre VM angezeigt. Sie können auch überprüfen, ob es verfügbare Patches für Ihre VM gibt, die noch nicht installiert wurden. Wie im obigen Abschnitt zur Patchinstallation beschrieben, werden alle sicherheitsbezogenen und kritischen Updates mithilfe automatischer VM-Gastpatches automatisch auf Ihrer VM installiert, ohne dass zusätzliche Aktionen erforderlich sind. Patches mit anderen Updateklassifizierungen werden nicht automatisch installiert. Stattdessen werden sie in der Liste der verfügbaren Patches auf der Registerkarte „Updatekonformität“ angezeigt. Sie können auch den Verlauf der Bereitstellung von Updates auf Ihrer VM über den „Updateverlauf“ anzeigen. Der Updateverlauf der letzten 30 Tage wird zusammen mit den Details zur Patchinstallation angezeigt.

Mit den automatischen VM-Gastpatches wird Ihre VM regelmäßig und automatisch auf verfügbare Updates geprüft. Diese regelmäßigen Bewertungen stellen sicher, dass verfügbare Patches erkannt werden. Sie können die Ergebnisse der Bewertung auf dem Bildschirm „Updates“ oben anzeigen, einschließlich des Zeitpunkts der letzten Bewertung. Sie können auch jederzeit eine bedarfsgesteuerte Patchbewertung für Ihre VM mithilfe der Option „Jetzt bewerten“ auslösen und die Ergebnisse nach Abschluss der Bewertung überprüfen.

Ähnlich wie bei der bedarfsgesteuerten Patchbewertung können Sie auch Patches bedarfsgesteuert für Ihre VM installieren, indem Sie die Option „Updates jetzt installieren“ verwenden. Hier können Sie auswählen, ob alle Updates unter bestimmten Patchklassifizierungen installiert werden sollen. Sie können auch angeben, welche Updates ein- oder ausgeschlossen werden sollen, indem Sie eine Liste mit einzelnen Artikeln der Wissensdatenbank bereitstellen. Patches, die bedarfsgesteuert installiert werden, werden nicht mithilfe von verfügbarkeitsbasierten Prinzipien installiert und erfordern möglicherweise mehr Neustarts und Downtime der VM für die Installation des Updates.

Unterstützte Updates

Hotpatch deckt Windows-Sicherheitsupdates ab und hält die Parität mit dem Inhalt von Sicherheitsupdates aufrecht, die über den regulären (Nicht-Hotpatch) Windows-Updatekanal ausgegeben werden.

Beim Betrieb einer unterstützten Windows Server Azure Edition-VM mit aktivierter Hotpatchfunktion sind einige wichtige Überlegungen zu berücksichtigen. Neustarts sind weiterhin erforderlich, um Updates zu installieren, die nicht im Hotpatch-Programm enthalten sind. Neustarts sind auch regelmäßig erforderlich, nachdem eine neue Baseline installiert wurde. Diese Neustarts halten die VM auf dem neuesten Stand der nicht sicherheitsrelevanten Patches, die im letzten kumulativen Update enthalten sind.

• Zu den Patches, die derzeit nicht im Hotpatch-Programm enthalten sind, gehören nicht sicherheitsrelevante Updates, die für Windows veröffentlicht werden, und Nicht-Windows-Updates (z. B. .NET-Patches). Diese Arten von Patches müssen während eines Baselinemonats installiert werden und erfordern einen Neustart.

Häufig gestellte Fragen

Was ist Hotpatching?

• Hotpatching ist eine neue Methode zur Installation von Updates auf einer unterstützten Windows Server Azure Edition-VM, die keinen Neustart nach der Installation erfordert. Es funktioniert, indem es den Code im Arbeitsspeicher von aktiven Prozessen patcht, ohne dass ein Neustart des Prozesses erforderlich ist.

Wie funktioniert das Hotpatching?

• Das Hotpatching funktioniert, indem eine Baseline mit einem aktuellen kumulativen Windows Update erstellt wird und dann anhand dieser Baseline entsprechende Updates erstellt werden, die keinen Neustart erfordern, um wirksam zu werden. Die Baseline wird in regelmäßigen Abständen mit einem neuen kumulativen Update aktualisiert. Das kumulative Update enthält alle Sicherheits- und Qualitätsupdates und erfordert einen Neustart.

Warum sollte ich Hotpatch verwenden?

• Wenn Sie Hotpatch auf einem unterstützten Windows Server Azure Edition-Image verwenden, profitiert Ihre VM von einer höheren Verfügbarkeit (weniger Neustarts) und schnelleren Updates (kleinere Pakete, die schneller installiert werden, ohne dass Prozesse neu gestartet werden müssen). Das Ergebnis dieses Prozesses ist eine VM, die immer auf dem neuesten Stand und sicher ist.

Welche Arten von Updates werden von Hotpatch abgedeckt?

• Hotpatch deckt derzeit Windows-Sicherheitsupdates ab.

Wann werde ich das erste Hotpatch-Update erhalten?

• Hotpatch-Updates werden in der Regel am zweiten Dienstag eines jeden Monats veröffentlicht. Weitere Informationen finden Sie unten.

Wie wird der Hotpatch-Zeitplan aussehen?

• Das Hotpatching funktioniert, indem eine Baseline mit einem aktuellen kumulativen Windows Update erstellt wird und dann anhand dieser Baseline Hotpatch-Updates mit monatlicher Veröffentlichung erstellt werden. Baselines werden zunächst alle drei Monate veröffentlicht. In der Abbildung unten sehen Sie ein Beispiel für einen jährlichen Dreimonatsplan (einschließlich nicht geplanter Baselines aufgrund von Zero-Day-Fixes).

  

Sind für einen in Hotpatch registrierten virtuellen Computer noch Neustarts erforderlich?

• Neustarts sind weiterhin erforderlich, um Updates zu installieren, die nicht im Hotpatch-Programm enthalten sind, und sind regelmäßig erforderlich, nachdem eine Baseline (letztes kumulatives Update von Windows Update) installiert wurde. Durch diesen Neustart wird Ihre VM mit allen Patches, die im kumulativen Update enthalten sind, auf dem neuesten Stand gehalten. Die Baselines (die einen Neustart erfordern) beginnen mit einem dreimonatigen Rhythmus, der mit der Zeit verlängert wird.

Sind meine Anwendungen betroffen, wenn ein Hotpatch-Update installiert wird?

• Da Hotpatch den Code im Arbeitsspeicher von aktiven Prozessen patcht, ohne dass ein Neustart des Prozesses erforderlich ist, sind Ihre Anwendungen durch das Patching nicht beeinträchtigt. Beachten Sie, dass dies unabhängig von möglichen Auswirkungen auf die Leistung und Funktionalität des Patches selbst ist.

Kann ich Hotpatch auf meiner VM deaktivieren?

• Sie können Hotpatch auf einer VM über das Azure-Portal deaktivieren. Durch das Deaktivieren von Hotpatch wird die Registrierung der VM bei Hotpatch aufgehoben, wodurch die VM zum typischen Updateverhalten für Windows Server zurückkehrt. Sobald Sie die Registrierung bei Hotpatch auf einer VM aufheben, können Sie diese VM erneut registrieren, wenn die nächste Hotpatch-Baseline veröffentlicht wird.

Kann ich ein Upgrade von meinem bestehenden Windows Server-Betriebssystem durchführen?

• Ja, ein Upgrade von vorhandenen Versionen von Windows Server (d. h. Windows Server 2016 oder Windows Server 2019) auf Windows Server 2022 Datacenter: Azure Edition wird unterstützt.

Wie erhalte ich Unterstützung bei der Problembehandlung für Hotpatching?

• Sie können ein Ticket für den technischen Support einreichen. Für die Option „Service“ suchen Sie unter „Compute“ nach Virtueller Computer mit Windows und wählen ihn aus. Wählen Sie Azure-Features für den Problemtyp und Automatische VM-Gastpatches für den Untertyp des Problems aus.

Nächste Schritte

• Weitere Informationen zur Azure-Updateverwaltung finden Sie hier
• Weitere Informationen zu automatischen VM-Gastpatches finden Sie hier
• Weitere Informationen zu Automanage für Windows Server