Aktivieren von Hotpatch für Azure Arc-fähige Server (Vorschau)

Wichtig

Die Azure Arc-fähige Hotpatch-Funktion befindet sich derzeit in der Vorschauphase. Die zusätzlichen Nutzungsbestimmungen für Microsoft Azure-Vorschauen enthalten rechtliche Bedingungen. Sie gelten für diejenigen Azure-Features, die sich in der Beta- oder Vorschauversion befinden oder aber anderweitig noch nicht zur allgemeinen Verfügbarkeit freigegeben sind.

Hotpatch ermöglicht es Ihnen, Ihre Windows Server-Installation zu aktualisieren, ohne dass Ihre Benutzer nach der Installation neu gestartet werden müssen. Dieses Feature minimiert Ausfallzeiten, die für Updates aufgewendet wurden, und sorgt dafür, dass Ihre Benutzer ihre Arbeitsauslastungen unterbrechungsfrei ausführen. Weitere Informationen zur Funktionsweise von Hotpatch finden Sie unter Hotpatch für Windows Server.

Windows Server 2025 bietet die Möglichkeit, Hotpatch für Azure Arc-fähige Server zu aktivieren. Um Hotpatch auf Azure Arc-fähigen Servern zu verwenden, müssen Sie nur den Verbundenen Computer-Agent bereitstellen und Windows Server Hotpatch aktivieren. In diesem Artikel wird beschrieben, wie Sie Hotpatch aktivieren.

Voraussetzungen

Bevor Sie Hotpatch auf Arc-fähigen Servern für Windows Server 2025 aktivieren können, müssen Sie die folgenden Anforderungen erfüllen.

• Ein Server muss eine veröffentliche Version von Windows Server 2025 (Build 26100.1742 oder höher) ausführen. Vorschauversionen oder Windows Server-Insider Builds werden nicht unterstützt, da Hotpatches nicht für Vorabversionen von Betriebssystemen erstellt werden.

• Auf dem Computer sollte eine der folgenden Editionen von Windows Server ausgeführt werden.

  • Windows Server 2025 Standard
  • Windows Server 2025 Datacenter
  • Windows Server 2025 Datacenter: Azure Edition. Diese Edition muss nicht Azure Arc-fähig sein, Hotpatching ist bereits standardmäßig aktiviert. Die übrigen technischen Voraussetzungen gelten noch.

• Sowohl Server mit Desktopdarstellung als auch Server Core-Installationsoptionen werden unterstützt.

• Der physische oder virtuelle Computer, für den Sie Hotpatch aktivieren möchten, muss die Anforderungen für virtualisierungsbasierten Sicherheits- (VBS) erfüllen, die auch als virtual Secure Mode (VSM) bezeichnet werden. Mindestens muss der Computer unified extensible Firmware Interface (UEFI) mit aktiviertem sicheren Start verwenden. Daher muss es sich bei einem virtuellen Computer (VM) auf Hyper-V um einen virtuellen Computer der Generation 2 handeln.

• Ein Azure-Abonnement. Wenn Sie noch nicht über ein Abonnement verfügen, erstellen Sie ein kostenloses Konto, bevor Sie beginnen.

• Ihr Server und die Infrastruktur sollten die Voraussetzungen für den Connected Machine-Agent erfüllen, um Azure Arc auf einem Server zu aktivieren.

• Der Computer sollte mit Azure Arc verbunden sein (Arc-fähig). Weitere Informationen zum Onboarding Ihres Computers in Azure Arc finden Sie unter Bereitstellungsoptionen des Azure Connected Machine-Agents.

Überprüfen und Aktivieren des virtuellen sicheren Modus bei Bedarf

Wenn Sie Hotpatch über das Azure-Portal aktivieren, wird überprüft, ob Virtual Secure Mode (VSM) auf der Maschine ausgeführt wird. Wenn VSM nicht ausgeführt wird, schlägt die Aktivierung von Hotpatch fehl, und Sie müssen VSM aktivieren.

Alternativ können Sie den VSM-Status manuell überprüfen, bevor Sie Hotpatch aktivieren. VSM ist möglicherweise bereits aktiviert, wenn Sie zuvor andere Features konfiguriert haben, die (z. B. Hotpatch) von VSM abhängen. Typische Beispiele für solche Funktionen sind Credential Guard oder Virtualisierungsbasierter Schutz der Codeintegrität, auch als hypervisorgeschützte Codeintegrität (HVCI) bezeichnet.

Tipp

Sie können Gruppenrichtlinien oder ein anderes zentrales Verwaltungstool verwenden, um mindestens eins der folgenden Features zu aktivieren.

• Credential Guard
• Mit Credential Guard geschützte Konten der Maschine
• Virtualisierungsbasierter Schutz der Codeintegrität
• System Guard Sicherer Start und SMM-Schutz
• Kernel-Modus Hardware-verstärkter Stack-Schutz
• Gesicherter Core-Server

Das Konfigurieren dieser Funktionen ermöglicht auch VSM.

Um zu überprüfen, ob VSM konfiguriert und ausgeführt wird, wählen Sie Ihre bevorzugte Methode aus, und überprüfen Sie die Ausgabe.

PowerShell

Get-CimInstance -Namespace 'root/Microsoft/Windows/DeviceGuard' -ClassName 'win32_deviceGuard' | Select-Object -ExpandProperty 'VirtualizationBasedSecurityStatus'

Eingabeaufforderung

for /f "tokens=2 delims==" %a in ('wmic.exe /namespace:\\root\Microsoft\Windows\DeviceGuard path win32_deviceGuard GET VirtualizationBasedSecurityStatus /value ^| find "="') do @echo %a

Wenn die Befehlsausgabe 2ist, wird VSM konfiguriert und ausgeführt. Fahren Sie in diesem Fall direkt mit dem Schritt Aktivieren der Hotpatch-Vorschau unter Windows Server 2025 fort.

Wenn die Ausgabe nicht 2 ist, müssen Sie VSM aktivieren.

Erweitern Sie diesen Abschnitt, um VSM zu aktivieren.

Aktivieren Sie VSM mithilfe eines der folgenden Befehle.

PowerShell

New-ItemProperty -Path 'HKLM:\System\CurrentControlSet\Control\DeviceGuard' -Name 'EnableVirtualizationBasedSecurity' -PropertyType 'Dword' -Value 1 -Force

Eingabeaufforderung

reg.exe add "HKLM\System\CurrentControlSet\Control\DeviceGuard" /v "EnableVirtualizationBasedSecurity" /t REG_DWORD /d 1 /f

Tipp

Nachdem Sie VSM aktiviert haben, müssen Sie den Server neu starten.

Führen Sie nach dem Neustart einen der folgenden Befehle erneut aus, um sicherzustellen, dass die Ausgabe jetzt 2 ist, um sicherzustellen, dass VSM jetzt ausgeführt wird.

PowerShell

Get-CimInstance -Namespace 'root/Microsoft/Windows/DeviceGuard' -ClassName 'win32_deviceGuard' | Select-Object -ExpandProperty 'VirtualizationBasedSecurityStatus'

Eingabeaufforderung

for /f "tokens=2 delims==" %a in ('wmic.exe /namespace:\\root\Microsoft\Windows\DeviceGuard path win32_deviceGuard GET VirtualizationBasedSecurityStatus /value ^| find "="') do @echo %a

Wenn die Ausgabe immer noch nicht 2 ist, muss VSM auf Ihrer Maschine einer Fehlerbehebung unterzogen werden. Der wahrscheinlichste Grund ist, dass die physischen oder virtuellen Hardwareanforderungen nicht erfüllt sind. Weitere Informationen finden Sie in der Dokumentation des Herstellers Ihrer Hardware- oder Virtualisierungsplattform. Hier finden Sie beispielsweise die Dokumentation für VMware vSphere, Aktivieren der virtualisierungsbasierten Sicherheit auf einer existierenden virtuellen Maschine.

Nachdem Sie VSM erfolgreich aktiviert und sichergestellt haben, dass es ausgeführt wird, fahren Sie mit dem nächsten Abschnitt fort.

Aktivieren der Hotpatch-Vorschau unter Windows Server 2025

1. Verbinden Sie den Computer mit Azure Arc, wenn er zuvor nicht arcfähig war.

2. Nachdem Sie den Computer mit Azure Arc verbunden haben, melden Sie sich beim Azure Arc-Portal an, und wechseln Sie zu Azure Arc → Machines.

3. Wählen Sie den Namen Ihres Rechners.

4. Wählen Sie Hotpatch (Vorschau) und dann "Bestätigen" aus.

5. Warten Sie ungefähr 10 Minuten, bis die Änderungen angewendet werden. Wenn das Update im Status Ausstehend bleibt, fahren Sie mit der Problembehandlung des Azure Arc-Agenten fort.

Verwenden der Hotpatch-Vorschau unter Windows Server 2025

Wenn ein Hotpatch über Windows Update verfügbar ist, sollten Sie eine Aufforderung zur Installation erhalten. Da diese Updates nicht jeden Monat veröffentlicht werden, müssen Sie möglicherweise warten, bis das nächste Hotpatch veröffentlicht wird.

Optional können Sie die Hotpatch-Installation mithilfe von Updateverwaltungstools wie Azure Update Manager (AUM) automatisieren.

Nächste Schritte

Nachdem Hotpatch aktiviert ist, sind hier einige Artikel, die Ihnen beim Aktualisieren Ihres Computers helfen können:

• Hotpatch für Windows Server
• Patchen einer Server Core-Installation
• Automatische VM-Gast-Patches
• Azure Update Manager