Notitie
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen u aan te melden of de directory te wijzigen.
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen de mappen te wijzigen.
Important
Hotpatch met Azure Arc voor Windows Server 2025 is nu beschikbaar voor een maandelijks abonnement. Zie voor meer informatie over prijzen Moe van al die herstarts? Haal hotpatching voor Windows Server op.
Met Hotpatch kunt u uw Windows Server-installatie bijwerken zonder dat uw gebruikers na de installatie opnieuw hoeven op te starten. Deze functie minimaliseert downtime die wordt besteed aan updates en zorgt ervoor dat uw gebruikers hun workloads ononderbroken uitvoeren. Zie Hotpatch voor Windows Servervoor meer informatie over hoe Hotpatch werkt.
Windows Server 2025 biedt de mogelijkheid hotpatch in te schakelen voor servers met Azure Arc. Als u Hotpatch wilt gebruiken op servers met Azure Arc, hoeft u alleen de Connected Machine-agent te implementeren en Windows Server Hotpatch in te schakelen. In dit artikel wordt beschreven hoe u Hotpatch inschakelt.
Prerequisites
Voordat u Hotpatch kunt inschakelen op servers met Arc voor Windows Server 2025, moet u aan de volgende vereisten voldoen.
Op een server moet Windows Server 2025 (build 26100.1742 of hoger) worden uitgevoerd. Preview-versies of Windows Server Insiders-builds worden niet ondersteund omdat hotpatches niet worden gemaakt voor prerelease-besturingssystemen.
Op de computer moet een van de volgende edities van Windows Server worden uitgevoerd.
- Windows Server 2025 Standard
- Windows Server 2025 Datacenter
- Windows Server 2025 Datacenter: Azure Edition. Deze editie hoeft niet te zijn ingeschakeld voor Azure Arc. Hotpatch is standaard al ingeschakeld. De resterende technische vereisten zijn nog steeds van toepassing.
Zowel de installatieopties Server met Desktopervaring als Server Core worden ondersteund.
De fysieke of virtuele machine waarvoor u Hotpatch wilt inschakelen, moet voldoen aan de vereisten voor beveiliging op basis van virtualisatie (VBS), ook wel bekend als Virtual Secure Mode (VSM). Minimaal moet de machine Unified Extensible Firmware Interface (UEFI) gebruiken waarvoor Beveiligd opstarten is ingeschakeld. Daarom moet het voor een virtuele machine (VM) op Hyper-V een virtuele machine van de tweede generatie zijn.
Een Azure-abonnement. Als u nog geen account hebt, maakt u een gratis account voordat u begint.
Uw server en infrastructuur moeten voldoen aan de vereisten voor de Connected Machine-agent voor het inschakelen van Azure Arc op een server.
De machine moet zijn verbonden met Azure Arc (ingeschakeld voor Arc). Zie de implementatieopties van de Azure Connected Machine-agent voor meer informatie over het onboarden van uw machine naar Azure Arc.
De virtuele beveiligde modus controleren en inschakelen indien nodig
Wanneer u Hotpatch inschakelt met behulp van De Azure-portal, wordt gecontroleerd of de virtuele beveiligde modus (VSM) op de machine wordt uitgevoerd. Als VSM niet wordt uitgevoerd, mislukt het inschakelen van hotpatch, en zult u VSM moeten inschakelen.
U kunt de VSM-status ook handmatig controleren voordat u Hotpatch inschakelt. VSM is mogelijk al ingeschakeld als u eerder andere functies hebt geconfigureerd die (zoals Hotpatch) afhankelijk zijn van VSM. Veelvoorkomende voorbeelden van dergelijke functies zijn Credential Guard of Virtualization-gebaseerde beveiliging van code-integriteit, ook wel bekend als HvCI (Hypervisor-beveiligde code-integriteit).
Tip
U kunt groepsbeleid of een ander gecentraliseerd beheerprogramma gebruiken om een of meer van de volgende functies in te schakelen.
- Credential Guard
- Met Credential Guard beveiligde computeraccounts
- Beveiliging op basis van virtualisatie van code-integriteit
- System Guard Secure Launch en SMM-beveiliging
- Hardware-afgedwongen beveiliging van de stack in de kernelmodus
- Beveiligde kernserver
Als u een van deze functies configureert, wordt VSM ook ingeschakeld.
Als u wilt controleren of VSM is geconfigureerd en wordt uitgevoerd, selecteert u de gewenste methode en bekijkt u de uitvoer.
Get-CimInstance -Namespace 'root/Microsoft/Windows/DeviceGuard' -ClassName 'win32_deviceGuard' | Select-Object -ExpandProperty 'VirtualizationBasedSecurityStatus'
Als de uitvoer van de opdracht is 2, wordt VSM geconfigureerd en uitgevoerd. In dit geval gaat u rechtstreeks naar Hotpatch inschakelen op Windows Server 2025.
Als de uitvoer niet 2is, moet u VSM inschakelen.
Als u VSM wilt inschakelen, vouwt u deze sectie uit.
Schakel VSM in met behulp van een van de volgende opdrachten.
New-ItemProperty -Path 'HKLM:\System\CurrentControlSet\Control\DeviceGuard' -Name 'EnableVirtualizationBasedSecurity' -PropertyType 'Dword' -Value 1 -Force
Tip
Nadat u VSM hebt ingeschakeld, moet u de server opnieuw opstarten.
Nadat u opnieuw hebt opgestart, voert u een van de volgende opdrachten opnieuw uit of de uitvoer nu 2 is om te controleren of VSM nu wordt uitgevoerd.
Get-CimInstance -Namespace 'root/Microsoft/Windows/DeviceGuard' -ClassName 'win32_deviceGuard' | Select-Object -ExpandProperty 'VirtualizationBasedSecurityStatus'
Als de uitvoer nog steeds niet 2is, moet VSM op uw computer problemen oplossen. De meest waarschijnlijke reden is dat aan de fysieke of virtuele hardwarevereisten niet wordt voldaan. Raadpleeg de documentatie van de leverancier van uw hardware- of virtualisatieplatform. Hier volgt bijvoorbeeld documentatie voor VMware vSphere, Activering van virtualisatiegebaseerde beveiliging op een bestaande virtuele machine.
Zodra u VSM hebt ingeschakeld en ervoor hebt gezorgd dat deze wordt uitgevoerd, gaat u verder met de volgende sectie.
Hotpatch inschakelen op Windows Server 2025
Verbind de machine met Azure Arc als deze nog niet is ingeschakeld voor Arc.
Nadat u de machine hebt verbonden met Azure Arc, meldt u zich aan bij Azure Arc Portal en gaat u naar Azure Arc → Machines.
Selecteer de naam van uw computer.
Selecteer Hotpatch en selecteer Bevestigen.
Wacht ongeveer 10 minuten totdat de wijzigingen zijn toegepast. Als de update blijft hangen in de status In behandeling, gaat u verder met het oplossen van problemen met de Azure Arc-agent.
Hotpatch gebruiken in Windows Server 2025
Wanneer een Hotpatch beschikbaar is via Windows Update, ontvangt u een prompt om deze te installeren. Omdat deze updates niet elke maand worden uitgebracht, moet u mogelijk wachten totdat de volgende Hotpatch is gepubliceerd.
U kunt de installatie van hotpatchs desgewenst automatiseren met behulp van hulpprogramma's voor updatebeheer, zoals Azure Update Manager (AUM).
Bekende problemen
Meerdere updates uitgebracht in oktober 2025
In oktober 2025 heeft Microsoft verschillende updates uitgebracht die aan sommige Windows Server-klanten werden aangeboden. Als u bent ingeschreven bij hotpatch of van plan bent om in te schrijven en in november en december 2025 hotpatch-updates wilt installeren, moet u ervoor zorgen dat uw Windows Server-computers worden uitgevoerd op precies een van de volgende updateniveaus.
- 14 oktober 2025 - KB5066835 (os build 26100.6899)
- 24 oktober 2025 - KB5070893 (besturingssysteem build 26100.6905) Beveiligingsupdate voor Windows Server Update Services
Als u een van de andere oktober-updates hebt geïnstalleerd, resulteert dit in regelmatige niet-hotpatch-updates tot en met de volgende basislijnmaand die momenteel is gepland voor januari 2026. Voor deze updates moet elke maand opnieuw worden opgestart. Met name de volgende update, indien geïnstalleerd, maakt de machine incompatibel met toekomstige hotpatches: 23 oktober 2025 - KB5070881 (OS Build 26100.6905) Out-of-band, en dus elke andere update die niet expliciet wordt vermeld in deze sectie.
Probleem met functielicenties in updates van oktober 2025
Er is een probleem vastgesteld met de beveiligingsupdates van oktober 2025 voor Windows Server 2025. Dit kan van invloed zijn op klanten met een update van 14 oktober 2025 - KB5066835 (os build 26100.6899) of hoger. Vanwege dit probleem kan het volgende onverwachte gedrag worden waargenomen.
- Het inschakelen van Windows Server-hotpatching via Azure Arc op nieuwe machines kan mislukken of niet worden voltooid zoals verwacht. In plaats daarvan blijft het inschakelen van functies in de status 'Wordt uitgevoerd' totdat het probleem is opgelost.
- Op computers die eerder zijn ingeschakeld voor Windows Server-hotpatching, kan de functielicentie verlopen en wordt voorkomen dat de volgende Hotpatch wordt geïnstalleerd. In plaats daarvan wordt de volgende update opnieuw opgestart als er geen actie wordt ondernomen.
Hotpatching in Windows Server 2025 Datacenter: Azure Edition wordt niet beïnvloed door dit probleem.
Om dit probleem op te lossen, wordt een reeks handmatige stappen aanbevolen. Als u geen van beide tijdelijke oplossingen toepast, zal dit leiden tot regelmatige updates van niet-hotpatch updates tot en met de volgende basismaand, die momenteel is gepland voor januari 2026. Voor deze updates moet elke maand opnieuw worden opgestart.
Er zijn twee manieren om de handmatige tijdelijke oplossing toe te passen op betrokken computers. Elk van de beschikbare opties biedt een volledige oplossing. U moet de tijdelijke oplossing toepassen op elk van de betrokken machines voordat de volgende update wordt aangeboden. Deze wordt verwacht op de volgende 'patch dinsdag' van 11 november 2025. Het toepassen van de tijdelijke oplossing vereist opnieuw opstarten, dus plan dienovereenkomstig.
Nadat u een van beide tijdelijke oplossingen hebt toegepast, worden hotpatch-updates die in november en december 2025 zijn uitgebracht, geïnstalleerd zonder dat u opnieuw hoeft op te starten.
Optie 1: Lokaal of groepsbeleid gebruiken om het herstel in te schakelen
Download en installeer het pakket Windows 11 24H2, Windows 11 25H2 en Windows Server 2025 KB5062660 251028_18301 Feature Preview . Hiermee installeert u de sjabloon Lokaal of Groepsbeleid (
ADMXbestand) voor dit specifieke herstel.Selecteer Start, typ gpedit en selecteer vervolgens Groepsbeleid bewerken. Navigeer naar Computerconfiguratie\Beheersjablonen\KB5062660 251028_18301 Feature Preview\Windows 11, versie 24H2, 25H2\KB5062660 251028_18301 Feature Preview.
Zie Groepsbeleid gebruiken om een update in te schakelen die standaard is uitgeschakeld voor meer informatie over het implementeren en configureren van dit speciale groepsbeleid.
Open in het rechtervenster KB5062660 251028_18301 Functievoorbeeld, selecteer Ingeschakeld en selecteer vervolgens OK.
Start de betreffende computer opnieuw op.
Voer de volgende opdracht uit om de vermelding DeviceLicensingServiceCommandMutex uit het register te verwijderen. Als deze vermelding niet aanwezig is op het betreffende apparaat, wordt het verwijderen genegeerd.
try { Remove-ItemProperty -Path 'HKLM:\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Subscriptions' -Name 'DeviceLicensingServiceCommandMutex' -ErrorAction Stop } catch { Write-Host "DeviceLicensingServiceCommandMutex entry not present, skipping removal." }U kunt ook uw favoriete hulpprogramma voor registerbewerking of automatiseringsoplossing gebruiken om dezelfde waarde te verwijderen. Verwijder de hele registersleutel niet.
Optie 2: Een script gebruiken om het herstel in te schakelen
Open een PowerShell-venster met verhoogde bevoegdheid op elk van de betrokken computers en voer de volgende opdrachten uit. Met de laatste opdracht wordt u gevraagd uw apparaat opnieuw op te starten. De beperking is pas voltooid nadat de computer opnieuw is opgestart. Het is raadzaam om onmiddellijk na het uitvoeren van dit script opnieuw op te starten.
Stop-Service -Name 'HIMDS'
New-Item -Path 'HKLM:\SYSTEM\CurrentControlSet\Policies\Microsoft\FeatureManagement\Overrides' -Force
New-ItemProperty -Path 'HKLM:\SYSTEM\CurrentControlSet\Policies\Microsoft\FeatureManagement\Overrides' -PropertyType 'dword' -Name '4264695439' -Value 1 -Force
try {
Remove-ItemProperty -Path 'HKLM:\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Subscriptions' -Name 'DeviceLicensingServiceCommandMutex' -ErrorAction Stop
} catch {
Write-Host "DeviceLicensingServiceCommandMutex entry not present, skipping removal."
}
Restart-Computer -Confirm
Volgende stappen
Nu Hotpatch is ingeschakeld, vindt u hier enkele artikelen die u kunnen helpen bij het bijwerken van uw computer.