Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Important
Hotpatch с поддержкой Azure Arc для Windows Server 2025 теперь доступен для ежемесячной платы за подписку. Чтобы узнать больше о ценообразовании, см. Устали от всех перезапусков? Используйте технологию хотпатчинга для Windows Server.
Hotpatch позволяет обновить установку Windows Server без необходимости перезапускать пользователей после установки. Эта функция сводит к минимуму время простоя, потраченное на обновления, и позволяет пользователям работать с рабочими нагрузками без прерывания. Дополнительные сведения о том, как работает Hotpatch, см. в разделе Hotpatch для Windows Server.
Windows Server 2025 обеспечивает возможность включения hotpatch для серверов с поддержкой Azure Arc. Чтобы использовать Hotpatch на серверах с поддержкой Azure Arc, необходимо развернуть агент для подключенных машин и включить Hotpatch для Windows Server. В этой статье описывается, как включить Hotpatch.
Prerequisites
Прежде чем включить Hotpatch на серверах с поддержкой Arc для Windows Server 2025, необходимо выполнить следующие требования.
Сервер должен работать под управлением Windows Server 2025 (сборка 26100.1742 или более поздняя версия). Предварительные версии или сборки предварительной оценки Windows Server не поддерживаются, так как хотпатчи не создаются для предварительных версий операционных систем.
Компьютер должен работать под управлением одного из следующих выпусков Windows Server.
- Windows Server 2025 Standard
- Центр обработки данных Windows Server 2025
- Windows Server 2025 Datacenter: Azure Edition. Этот выпуск не должен быть включен Azure Arc, Hotpatch уже включен по умолчанию. Остальные технические предварительные требования по-прежнему применяются.
Поддерживаются варианты установки Server с графическим интерфейсом и Server Core.
Физическая или виртуальная машина, на которой вы планируете включение Hotpatch, должна соответствовать требованиям для безопасности на основе виртуализации (VBS), иначе называемых Виртуальный защищённый режим (VSM). Как минимум, компьютер должен использовать единый расширяемый интерфейс встроенного ПО (UEFI) с включенной безопасной загрузкой. Таким образом, для виртуальной машины (VM) на Hyper-V она должна быть виртуальной машиной поколения 2 .
Подписка Azure. Если у вас еще нет учетной записи, создайте бесплатную, прежде чем начать.
Сервер и инфраструктура должны соответствовать требованиям агента подключенной машины для включения Azure Arc на сервере.
Компьютер должен быть подключен к Azure Arc (с поддержкой Arc). Дополнительные сведения о подключении машины к Azure Arc см. в разделе варианты развертывания агента для подключенной машины Azure.
Проверка и включение виртуального безопасного режима при необходимости
Когда вы включаете Hotpatch с помощью портала Azure, он проверяет, запущен ли на компьютере виртуальный режим безопасности (VSM). Если VSM не запущен, включение горячих обновлений завершается ошибкой, и вам потребуется включить VSM.
Кроме того, можно вручную проверить состояние VSM перед включением Hotpatch. VSM может быть уже включен, если вы ранее настроили другие функции, которые (например, Hotpatch) зависят от VSM. Распространенные примеры таких функций включают Credential guard или защиту целостности кода на основе виртуализации, также называемую целостностью кода, защищенной гипервизором (HVCI).
Tip
Групповую политику или другое централизованное средство управления можно использовать для включения одной или нескольких следующих функций.
- Защита учетных данных
- учетные записи компьютера, защищенные Credential Guard,
- защита целостности кода на основе Виртуализации
- защита System Guard Secure Launch и защита от SMM
- Аппаратно обеспеченная защита стека в режиме ядра
- сервер с защищённой основой
Настройка любого из этих функций также включает VSM.
Чтобы проверить настройку и запуск VSM, выберите предпочитаемый метод и проверьте выходные данные.
Get-CimInstance -Namespace 'root/Microsoft/Windows/DeviceGuard' -ClassName 'win32_deviceGuard' | Select-Object -ExpandProperty 'VirtualizationBasedSecurityStatus'
Если вывод команды 2, то VSM настроен и запущен. В этом случае перейдите непосредственно к включению Hotpatch в Windows Server 2025.
Если выходные данные не 2, необходимо включить VSM.
Чтобы включить VSM, разверните этот раздел.
Включите VSM с помощью одной из следующих команд.
New-ItemProperty -Path 'HKLM:\System\CurrentControlSet\Control\DeviceGuard' -Name 'EnableVirtualizationBasedSecurity' -PropertyType 'Dword' -Value 1 -Force
Tip
После включения VSM необходимо перезапустить сервер.
После перезагрузки выполните одну из следующих команд и проверьте, что выходные данные теперь 2, чтобы убедиться, что VSM работает.
Get-CimInstance -Namespace 'root/Microsoft/Windows/DeviceGuard' -ClassName 'win32_deviceGuard' | Select-Object -ExpandProperty 'VirtualizationBasedSecurityStatus'
Если выходные данные по-прежнему не 2, VSM на вашем компьютере нуждается в устранении неполадок. Наиболее вероятной причиной является то, что физические или виртуальные требования к оборудованию не выполнены. См. документацию от поставщика оборудования или платформы виртуализации. Например, вот документация по VMware vSphere: Активировать безопасность на основе виртуализации для существующей виртуальной машины.
После успешного включения VSM и убедитесь, что он запущен, перейдите к следующему разделу.
Включение Hotpatch в Windows Server 2025
Подключите машину к Azure Arc, если она ранее не была подключена к Azure Arc.
После подключения компьютера к Azure Arc войдите на портал Azure Arc и перейдите к Azure Arc → Машины.
Выберите имя компьютера.
Выберите Hotpatch, а затем нажмите кнопку "Подтвердить".
Подождите около 10 минут, пока изменения будут применены. Если обновление остается в состоянии ожидания, перейдите к устранению неполадок агента Azure Arc .
Использование hotpatch в Windows Server 2025
Каждый раз, когда hotpatch доступен из Центра обновления Windows, вы должны получить запрос на его установку. Так как эти обновления не выпускаются каждый месяц, может потребоваться ждать, пока будет опубликовано следующее исправление.
При необходимости можно автоматизировать установку с помощью средств управления обновлениями, таких как Azure Update Manager (AUM).
Известные проблемы
Несколько обновлений, выпущенных в октябре 2025 г.
В октябре 2025 года корпорация Майкрософт выпустила несколько обновлений, которые были предложены некоторым клиентам Windows Server. Если вы зарегистрировались в hotpatch или планируете в него зарегистрироваться и собираетесь установить обновления hotpatch в ноябре и декабре 2025 года, убедитесь, что ваши компьютеры Windows Server находятся на одном из следующих уровней обновления.
- 14 октября 2025 г. — KB5066835 (сборка ОС 26100.6899)
- 24 октября 2025 г. — KB5070893 (сборка ОС 26100.6905) — обновление системы безопасности для служб Windows Server Update Services
Если вы установили одно из других октябрьских обновлений, это приведет к регулярным обновлениям вплоть до следующего базового релиза, запланированного на январь 2026 года. Эти обновления требуют перезагрузки каждый месяц. В частности, следующее обновление, если установлено, делает компьютер несовместим с предстоящими исправлениями: 23 октября 2025 г. — KB5070881 (сборка ОС 26100.6905) вне диапазона и поэтому любое другое обновление не указано явно в этом разделе.
Проблема с лицензированием компонентов в обновлениях за октябрь 2025 г.
Проблема была обнаружена с обновлениями системы безопасности за октябрь 2025 г. для Windows Server 2025. Это может повлиять на клиентов, использующих обновление 14 октября 2025 г. KB5066835 (сборка ОС 26100.6899) или более позднюю версию. Из-за этой проблемы можно наблюдать следующее непредвиденное поведение.
- Включение горячего обновления Windows Server через Azure Arc на новых машинах может завершиться неудачей или не выполниться так, как ожидалось. Вместо этого активация функции остается в состоянии "В процессе" до тех пор, пока проблема не будет решена.
- На компьютерах, которые ранее были настроены для хотпатчинга Windows Server, срок действия лицензии на компонент может истечь, что предотвратит установку следующего хотпатча. Вместо этого следующее обновление приведет к перезагрузке, если никаких действий не выполняется.
Горячая установка исправлений на Windows Server 2025 Datacenter: Azure Edition не затрагивается этой проблемой.
Чтобы устранить эту проблему, рекомендуется выполнить ряд действий вручную. Если не применить ни одно из обходных решений, это приведет к регулярным обновлениям, не являющимся горячими исправлениями, до следующего базового месяца, который в настоящее время запланирован на январь 2026 года. Эти обновления требуют перезагрузки каждый месяц.
Существует два способа применения обходного решения вручную на затронутых компьютерах. Каждый из указанных вариантов предлагает полное решение. Вам потребуется применить обходное решение на каждом из затронутых компьютеров до того, как будет предложено следующее обновление, которое ожидается в следующей дате исправления во вторник 11 ноября 2025 года. Применение обходного решения требует перезагрузки, поэтому планируйте соответствующим образом.
После применения любого обходного решения обновления горячих исправлений, выпущенных в ноябре и декабре 2025 года, будут устанавливаться без необходимости перезагрузки.
Вариант 1. Использование локальной или групповой политики для включения исправления
Скачайте и установите пакет предварительного просмотра функций Windows 11 24H2, Windows 11 25H2 и Windows Server 2025 KB5062660 251028_18301. При этом устанавливается шаблон локальной или групповой политики (
ADMXфайл) для этого конкретного исправления.Нажмите кнопку "Пуск", введите gpedit, а затем выберите "Изменить групповую политику". Перейдите в раздел "Конфигурация компьютера\Административные шаблоны\KB5062660 251028_18301 Предварительная версия компонентов\Windows 11, версия 24H2, 25H2\KB5062660 251028_18301. Предварительная версия компонентов.
Дополнительные сведения о развертывании и настройке этой специальной групповой политики см. в разделе "Использование групповой политики", чтобы включить обновление, отключаемое по умолчанию.
В правой области окна откройте предварительную версию компонентов KB5062660 251028_18301, нажмите кнопку "Включено", а затем нажмите кнопку "ОК".
Перезагрузите затронутый компьютер.
Выполните следующую команду, чтобы удалить запись DeviceLicensingServiceCommandMutex из реестра. Если эта запись отсутствует на затронутом устройстве, удаление игнорируется.
try { Remove-ItemProperty -Path 'HKLM:\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Subscriptions' -Name 'DeviceLicensingServiceCommandMutex' -ErrorAction Stop } catch { Write-Host "DeviceLicensingServiceCommandMutex entry not present, skipping removal." }Кроме того, используйте предпочитаемое средство редактирования реестра или решение службы автоматизации для удаления того же значения. Не удаляйте весь раздел реестра.
Вариант 2. Использование скрипта для включения исправления
Откройте окно PowerShell с повышенными привилегиями на каждом из затронутых компьютеров и выполните следующие команды. Последняя команда предложит вам перезагрузить устройство. Устранение рисков не будет завершено до перезагрузки компьютера, и рекомендуется перезапустить его сразу после выполнения этого скрипта.
Stop-Service -Name 'HIMDS'
New-Item -Path 'HKLM:\SYSTEM\CurrentControlSet\Policies\Microsoft\FeatureManagement\Overrides' -Force
New-ItemProperty -Path 'HKLM:\SYSTEM\CurrentControlSet\Policies\Microsoft\FeatureManagement\Overrides' -PropertyType 'dword' -Name '4264695439' -Value 1 -Force
try {
Remove-ItemProperty -Path 'HKLM:\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Subscriptions' -Name 'DeviceLicensingServiceCommandMutex' -ErrorAction Stop
} catch {
Write-Host "DeviceLicensingServiceCommandMutex entry not present, skipping removal."
}
Restart-Computer -Confirm
Дальнейшие шаги
Теперь, когда hotpatch включен, ниже приведены некоторые статьи, которые помогут вам обновить компьютер.