Important
Azure Arc 啟用的 Windows Server 2025 Hotpatch 現已提供每月訂閱服務。 若要深入瞭解定價,請參閱 厭倦了頻繁的重新啟動?使用 Windows Server 的熱修補功能。
Hotpatch 可讓您更新 Windows Server 安裝,而不需要使用者在安裝之後重新啟動。 此功能可將更新所花費的停機時間降到最低,並讓您的使用者持續執行其工作負載。 如需 Hotpatch 運作方式的詳細資訊,請參閱 適用於 Windows Server 的 Hotpatch。
Windows Server 2025 的功能可讓您在 Azure Arc 已啟用的伺服器上啟用 Hotpatch。 若要在已啟用 Azure Arc 的伺服器上使用 Hotpatch,您只需要部署連線的電腦代理程式並啟用 Windows Server Hotpatch。 本文說明如何啟用 Hotpatch。
Prerequisites
您必須先滿足下列需求,才能在已啟用Arc的 Windows Server 2025 伺服器上啟用 Hotpatch。
伺服器必須執行 Windows Server 2025(組建 26100.1742 或更新版本)。 不支援預覽版本或 Windows Server Insiders 組建,因為不會針對發行前的操作系統建立熱修補。
計算機應該執行下列其中一個 Windows Server 版本。
- Windows Server 2025 標準版
- Windows Server 2025 資料中心
- Windows Server 2025 Datacenter:Azure Edition。 此版本 不需要啟用 Azure Arc,預設會啟用 Hotpatch。 其餘的技術必要條件仍適用。
同時支援具有桌面體驗的 Server 和 Server Core 安裝選項。
您想要啟用 Hotpatch 的實體或虛擬機需要滿足 虛擬化型安全性 (VBS)的需求,也稱為 虛擬安全模式 (VSM)。 計算機至少必須使用已啟用安全開機的整合可延伸韌體介面 (UEFI)。 因此,對於 Hyper-V 上的虛擬機(VM),它必須是第 2 代虛擬機 。
Azure 訂用帳戶。 如果您沒有 Azure 訂用帳戶,請在開始前建立免費帳戶。
您的伺服器和基礎架構應滿足 Azure Arc 伺服器啟用所需的 連結設備代理程式的必要條件。
機器應該連線到 Azure Arc(已啟用 Arc)。 若要深入瞭解如何將機器上線至 Azure Arc,請參閱 Azure Connected Machine 代理程式部署選項。
視需要檢查並啟用虛擬安全模式
當您 使用 Azure 入口網站啟用 Hotpatch 時,它會檢查電腦上是否正在執行 虛擬安全模式 (VSM)。 如果虛擬安全模組 (VSM) 未執行,啟用熱修補功能會失敗,而您必須啟用 VSM。
或者,您可以先手動檢查 VSM 狀態,再啟用 Hotpatch。 如果您先前設定的其他功能(例如 Hotpatch)依賴 VSM,則 VSM 可能已經啟用。 這類功能的常見範例包括 Credential guard 或 虛擬化型程式代碼完整性保護,也稱為 Hypervisor 保護的程式代碼完整性(HVCI)。
Tip
您可以使用組策略或其他集中式管理工具來啟用下列一或多個功能。
設定任何這些功能也會啟用 VSM。
若要確認 VSM 已設定並執行,請選取您慣用的方法並檢查輸出。
Get-CimInstance -Namespace 'root/Microsoft/Windows/DeviceGuard' -ClassName 'win32_deviceGuard' | Select-Object -ExpandProperty 'VirtualizationBasedSecurityStatus'
如果命令輸出 2,則會設定並執行 VSM。 在此情況下,請直接移至在 Windows Server 2025 上啟用 Hotpatch。
如果輸出不是 2,您必須啟用 VSM。
若要啟用 VSM,請展開本節。
使用下列其中一個命令啟用 VSM。
New-ItemProperty -Path 'HKLM:\System\CurrentControlSet\Control\DeviceGuard' -Name 'EnableVirtualizationBasedSecurity' -PropertyType 'Dword' -Value 1 -Force
Tip
啟用 VSM 之後,您必須重新啟動伺服器。
重新啟動之後,請再次執行下列其中一個命令,確認輸出現在已 2 確定 VSM 正在執行。
Get-CimInstance -Namespace 'root/Microsoft/Windows/DeviceGuard' -ClassName 'win32_deviceGuard' | Select-Object -ExpandProperty 'VirtualizationBasedSecurityStatus'
如果輸出仍然無法符合 2,則您的電腦上的 VSM 需要進行故障排除。 最可能的原因是不符合實體或虛擬 硬體需求。 請參閱您硬體或虛擬化平臺供應商的文件。 例如,以下是 VMware vSphere 的文件,於現有虛擬機器上啟用基於虛擬化的安全性。
成功啟用 VSM 並確認其正在執行後,請繼續進行下一節。
在 Windows Server 2025 上啟用 Hotpatch 熱修補功能
如果機器先前未啟用Arc,請將電腦連線到 Azure Arc。
將機器連線至 Azure Arc 之後,請登入 Azure Arc 入口網站,然後移至 Azure Arc → Machine。
選取您的電腦名稱。
選取 熱修補,然後選取 確認。
等候大約 10 分鐘,以便變更生效。 如果更新停留在 擱置中 狀態,請繼續對 Azure Arc 代理程式進行疑難解答。
在 Windows Server 2025 上使用 Hotpatch
每當 Windows Update 提供 Hotpatch 時,您應該會收到安裝它的提示。 由於這些更新不會每個月發行,您可能需要等到下一個 Hotpatch 發佈。
您可以選擇性地使用更新管理工具,例如 Azure Update Manager(AUM),將熱修補安裝自動化。
已知問題
2025 年 10 月發布的多項更新
2025 年 10 月,Microsoft 發布了向一些 Windows Server 客戶提供的多項更新。 如果您已註冊熱修補程式或計劃註冊,並計劃在 2025 年 11 月和 12 月安裝熱修補程式更新,請確保您的 Windows Server 電腦 正以 下列其中一個更新層級執行。
- 2025 年 10 月 14 日 - KB5066835 (作業系統組建 26100.6899)
- 2025 年 10 月 24 日 - Windows Server Update Services 的 KB5070893 (OS 組建 26100.6905) 安全性更新
如果您安裝了其他 10 月更新之一,這將導致定期非熱修補更新,直到目前排定為 2026 年 1 月的下一個基準月份為止。 這些更新需要每月重新啟動。 特別是,如果安裝了以下更新,則會使機器與即將推出的熱修補程式不相容: 2025 年 10 月 23 日 - KB5070881 (作業系統內部版本 26100.6905)頻外,本節中未明確列出的任何其他更新也是如此。
2025 年 10 月更新中的功能特性授權問題
Windows Server 2025 的 2025 年 10 月安全性更新發現了一個問題。 這可能會影響執行 2025 年 10 月 14 日 - KB5066835(OS 組建 26100.6899) 更新或後續版本的客戶。 由於此問題,可以觀察到以下非預期行為。
- 在新電腦上透過 Azure Arc 啟用 Windows Server 熱修補可能會失敗或未如預期完成。 相反地,功能啟用會保持「進行中」狀態,直到問題解決為止。
- 在先前啟用 Windows Server 熱修補的電腦上,功能授權可能會過期,這會阻止安裝下一個熱修補程式。 相反地,如果不採取任何動作,下一次更新將導致重新啟動。
Windows Server 2025 Datacenter: Azure 版上的熱修補不會受到此問題的影響。
若要解決此問題,建議執行一系列手動步驟。 如果無法套用任一因應措施,將導致定期進行非熱修補更新,直到目前排定為 2026 年 1 月的下一個基準月份為止。 這些更新需要每月重新啟動。
有兩種方法可以在受影響的電腦上套用手動因應措施。 提供的每個選項都提供了完整的解決方案。 在下一次更新提供 之前,您需要在每台受影響的機器上應用替代方案,下一個「補丁星期二」預計在 2025 年 11 月 11 日。 套用因應措施需要重新啟動,因此請相應地進行規劃。
套用任一因應措施後,2025 年 11 月和 12 月發行的熱修補程式更新將安裝,而不需要重新開機。
選項 1:使用本機或群組原則來啟用修正
下載並安裝 Windows 11 24H2、Windows 11 25H2 和 Windows Server 2025 KB5062660 251028_18301 功能預覽 套件。 這會安裝此特定修復的本機或組策略模板(
ADMX檔案)。選取 [開始],輸入 gpedit,然後選取 [編輯群組原則]。 流覽至 [電腦設定\系統管理範本\KB5062660 251028_18301 功能預覽\Windows 11 版本 24H2、25H2\KB5062660 251028_18301 功能預覽。
如需部署和設定此特殊群組原則的詳細資訊,請參閱 使用群組原則來啟用預設停用的更新。
在右側窗格中,開啟 KB5062660 251028_18301 功能預覽,選取 [已啟用],然後選取 [ 確定]。
重新啟動受影響的電腦。
執行下列命令,從登錄中移除 DeviceLicensingServiceCommandMutex 專案。 如果受影響的裝置上沒有此項目,則會忽略移除。
try { Remove-ItemProperty -Path 'HKLM:\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Subscriptions' -Name 'DeviceLicensingServiceCommandMutex' -ErrorAction Stop } catch { Write-Host "DeviceLicensingServiceCommandMutex entry not present, skipping removal." }或者,使用您偏好的登錄編輯工具或自動化解決方案來刪除相同的值。 請勿刪除整個登錄機碼。
選項 2:使用指令碼啟用補救
在每部受影響的電腦上開啟提升許可權的 PowerShell 視窗,然後執行下列命令。 最後一個命令會提示您重新啟動裝置。 在執行此腳本後,建議您立即重新啟動機器,因為在重新啟動之前,緩解措施尚未完成。
Stop-Service -Name 'HIMDS'
New-Item -Path 'HKLM:\SYSTEM\CurrentControlSet\Policies\Microsoft\FeatureManagement\Overrides' -Force
New-ItemProperty -Path 'HKLM:\SYSTEM\CurrentControlSet\Policies\Microsoft\FeatureManagement\Overrides' -PropertyType 'dword' -Name '4264695439' -Value 1 -Force
try {
Remove-ItemProperty -Path 'HKLM:\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Subscriptions' -Name 'DeviceLicensingServiceCommandMutex' -ErrorAction Stop
} catch {
Write-Host "DeviceLicensingServiceCommandMutex entry not present, skipping removal."
}
Restart-Computer -Confirm
後續步驟
現在已啟用熱修補程式,這裡有一些文章可以幫助您更新電腦。
- 適用於 Windows Server 的 Hotpatch
- 修補 Server Core (伺服器核心) 安裝
- 自動 VM 客體修補
- Azure 更新管理員