Włączanie funkcji Hotpatch dla serwerów z obsługą usługi Azure Arc

Hotpatch umożliwia aktualizowanie instalacji systemu Windows Server bez konieczności ponownego uruchamiania użytkowników po instalacji. Ta funkcja minimalizuje przestoje dotyczące aktualizacji i zapewnia użytkownikom nieprzerwane uruchamianie obciążeń. Aby uzyskać więcej informacji na temat działania funkcji Hotpatch, zobacz Hotpatch for Windows Server.

System Windows Server 2025 oferuje możliwość włączania funkcji Hotpatch dla serwerów z obsługą usługi Azure Arc. Aby użyć funkcji Hotpatch na serwerach z włączoną usługą Azure Arc, wystarczy wdrożyć agenta połączonej maszyny i włączyć funkcję Hotpatch systemu Windows Server. W tym artykule opisano sposób włączania funkcji Hotpatch.

Prerequisites

Przed włączeniem funkcji Hotpatch na serwerach z obsługą usługi Arc dla systemu Windows Server 2025 należy spełnić następujące wymagania.

• Na serwerze musi być uruchomiony system Windows Server 2025 (kompilacja 26100.1742 lub nowsza). Wersje wstępne lub kompilacje Windows Server Insider Preview nie są obsługiwane, ponieważ poprawki nie są tworzone dla systemów operacyjnych w fazie przedpremierowej.

• Na maszynie powinien działać jedna z następujących wersji systemu Windows Server.

  • Windows Server 2025 Standard
  • Windows Server 2025 Datacenter
  • Windows Server 2025 Datacenter: Azure Edition. Ta wersja nie musi być włączona w usłudze Azure Arc, funkcja Hotpatch jest już domyślnie włączona. Pozostałe wymagania techniczne nadal mają zastosowanie.

• Obsługiwane są opcje instalacji Server ze środowiskiem pulpitu i Server Core.

• Maszyna fizyczna lub wirtualna, na której chcesz włączyć funkcję Hotpatch, musi spełniać wymagania dotyczące zabezpieczeń opartych na wirtualizacji (VBS), znanej również jako wirtualny tryb bezpieczny (VSM). Co najmniej maszyna musi używać interfejsu UEFI (Unified extensible firmware interface) z włączonym bezpiecznym rozruchem. W związku z tym, dla maszyny wirtualnej na Hyper-V, powinna to być maszyna wirtualna generacji 2.

• Subskrypcja platformy Azure. Jeśli jeszcze go nie masz, przed rozpoczęciem utwórz bezpłatne konto .

• Serwer i infrastruktura powinny spełniać wymagania wstępne agenta połączonej maszyny na potrzeby włączania usługi Azure Arc na serwerze.

• Maszyna powinna być połączona z usługą Azure Arc (włączony Arc). Aby dowiedzieć się więcej na temat dołączania maszyny do usługi Azure Arc, zobacz opcje wdrożenia agenta Azure Connected Machine.

Sprawdzanie i włączanie wirtualnego trybu bezpiecznego w razie potrzeby

Po włączeniu funkcji Hotpatch przy użyciu portalu Azure, program sprawdza, czy Wirtualny Tryb Bezpieczny (VSM) jest uruchomiony na maszynie. Jeśli program VSM nie jest uruchomiony, włączenie funkcji hotpatch zakończy się niepowodzeniem i konieczne będzie włączenie programu VSM.

Możesz też ręcznie sprawdzić stan programu VSM przed włączeniem funkcji Hotpatch. Program VSM może być już włączony, jeśli wcześniej skonfigurowano inne funkcje, które (takie jak Hotpatch) zależą od programu VSM. Typowe przykłady takich funkcji obejmują Credential Guard lub ochronę opartą na wirtualizacji kodu, znaną również jako integralność kodu chroniona przez funkcję Hypervisor (HVCI).

Aby sprawdzić, czy program VSM jest skonfigurowany i uruchomiony, wybierz preferowaną metodę i sprawdź dane wyjściowe.

Get-CimInstance -Namespace 'root/Microsoft/Windows/DeviceGuard' -ClassName 'win32_deviceGuard' | Select-Object -ExpandProperty 'VirtualizationBasedSecurityStatus'

for /f "tokens=2 delims==" %a in ('wmic.exe /namespace:\\root\Microsoft\Windows\DeviceGuard path win32_deviceGuard GET VirtualizationBasedSecurityStatus /value ^| find "="') do @echo %a

Jeśli dane wyjściowe polecenia są 2, program VSM jest skonfigurowany i uruchomiony. W takim przypadku przejdź bezpośrednio do Włącz Hotpatch na Windows Server 2025.

Jeśli dane wyjściowe nie są 2, musisz włączyć program VSM.

New-ItemProperty -Path 'HKLM:\System\CurrentControlSet\Control\DeviceGuard' -Name 'EnableVirtualizationBasedSecurity' -PropertyType 'Dword' -Value 1 -Force

reg.exe add "HKLM\System\CurrentControlSet\Control\DeviceGuard" /v "EnableVirtualizationBasedSecurity" /t REG_DWORD /d 1 /f

Get-CimInstance -Namespace 'root/Microsoft/Windows/DeviceGuard' -ClassName 'win32_deviceGuard' | Select-Object -ExpandProperty 'VirtualizationBasedSecurityStatus'

for /f "tokens=2 delims==" %a in ('wmic.exe /namespace:\\root\Microsoft\Windows\DeviceGuard path win32_deviceGuard GET VirtualizationBasedSecurityStatus /value ^| find "="') do @echo %a

Włącz Hotpatch w systemie Windows Server 2025

1. Podłącz maszynę do usługi Azure Arc, jeśli wcześniej nie była zintegrowana z Azure Arc.

2. Po połączeniu maszyny z usługą Azure Arc zaloguj się do portalu usługi Azure Arc i przejdź do witryny Azure Arc → Machines.

3. Wybierz nazwę maszyny.

4. Wybierz pozycję Hotpatch, a następnie wybierz pozycję Potwierdź.

5. Poczekaj około 10 minut na zastosowanie zmian. Jeśli aktualizacja pozostaje zablokowana na statusie Oczekiwanie na, przejdź do rozwiązywania problemów z agentem usługi Azure Arc.

Używanie funkcji Hotpatch w systemie Windows Server 2025

Zawsze, gdy funkcja Hotpatch jest dostępna w usłudze Windows Update, powinien zostać wyświetlony monit o jego zainstalowanie. Ponieważ te aktualizacje nie są wydawane co miesiąc, może być konieczne poczekanie na opublikowanie następnej aktualizacji Hotpatch.

Można automatycznie zautomatyzować instalację hotpatch przy użyciu narzędzi do zarządzania aktualizacjami, takich jak Azure Update Manager (AUM).

Znane problemy

Wiele aktualizacji wydanych w październiku 2025 r.

W październiku 2025 r. firma Microsoft wydała kilka aktualizacji oferowanych niektórym klientom systemu Windows Server. Jeśli zarejestrowałeś się w programie hotpatch lub planujesz to zrobić i planujesz instalować aktualizacje hotpatch w listopadzie i grudniu 2025 roku, upewnij się, że maszyny z systemem Windows Server działają dokładnie na jednym z następujących poziomów aktualizacji.

• 14 października 2025 r. — KB5066835 (kompilacja systemu operacyjnego 26100.6899)
• 24 października 2025 r. — KB5070893 (kompilacja systemu operacyjnego 26100.6905) Aktualizacja zabezpieczeń dla usług Windows Server Update Services

Jeśli masz zainstalowaną jedną z pozostałych aktualizacji z października, spowoduje to regularne aktualizacje bez hotpatchy do momentu, w tym do następnego miesiąca bazowego, zaplanowanego obecnie na styczeń 2026 r. Te aktualizacje wymagają ponownego uruchomienia każdego miesiąca. W szczególności następująca aktualizacja, jeśli zostanie zainstalowana, powoduje, że maszyna jest niezgodna z nadchodzącymi poprawkami: 23 października 2025 r. — KB5070881 (kompilacja systemu operacyjnego 26100.6905) poza pasmem, a także każda inna aktualizacja, która nie została explicite wymieniona w tej sekcji.

Problem z licencjonowaniem funkcji w aktualizacjach z października 2025 r.

Zidentyfikowano problem z aktualizacjami zabezpieczeń systemu Windows Server 2025 z października 2025 r. Może to mieć wpływ na klientów z 14 października 2025 r. — KB5066835 (kompilacja systemu operacyjnego 26100.6899) lub nowsza. Z powodu tego problemu można zaobserwować następujące nieoczekiwane zachowanie.

• Proces włączania funkcji hotpatching systemu Windows Server za pośrednictwem usługi Azure Arc na nowych maszynach może się nie udać lub nie zakończyć się zgodnie z oczekiwaniami. Zamiast tego włączenie funkcji pozostaje w stanie "W toku", dopóki problem nie zostanie rozwiązany.
• Na maszynach z włączonym hotpatchingiem programu Windows Server, licencja funkcji może wygasnąć, co uniemożliwi zainstalowanie następnej aktualizacji Hotpatch. Zamiast tego następna aktualizacja spowoduje ponowne uruchomienie, jeśli nie zostanie podjęta żadna akcja.

Hotpatching w Windows Server 2025 Datacenter: Azure Edition nie jest dotknięte tym problemem.

Aby rozwiązać ten problem, zalecana jest seria ręcznych kroków. Niepowodzenie zastosowania dowolnego obejścia spowoduje regularne aktualizacje wymagające ponownego uruchomienia aż do i włącznie z następnym miesiącem odniesienia, który jest obecnie zaplanowany na styczeń 2026 r. Te aktualizacje wymagają ponownego uruchomienia każdego miesiąca.

Istnieją dwa sposoby zastosowania ręcznego obejścia na maszynach dotkniętych problemem. Każda z dostępnych opcji oferuje kompletne rozwiązanie. Należy zastosować obejście na każdej z dotkniętych problemem maszyn zanim oferowana będzie następna aktualizacja, przewidywana na nadchodzący "wtorek poprawek", 11 listopada 2025. Zastosowanie obejścia wymaga ponownego uruchomienia, więc odpowiednio zaplanuj.

Po zastosowaniu dowolnego obejścia aktualizacje na gorąco wydane w listopadzie i grudniu 2025 r. zostaną zainstalowane bez konieczności ponownego uruchamiania.

Opcja 1: Użyj Zasad lokalnych lub grupowych, aby włączyć remediację

1. Pobierz i zainstaluj pakiet Windows 11 24H2, Windows 11 25H2 i Windows Server 2025 KB5062660 251028_18301 Feature Preview . Spowoduje to zainstalowanie szablonu Zasad lokalnych lub grupowych (ADMX pliku) dla tego konkretnego działania naprawczego.

2. Wybierz pozycję Start, wpisz gpedit, a następnie wybierz pozycję Edytuj zasady grupy. Przejdź do obszaru Konfiguracja komputera\Szablony administracyjne\KB5062660 251028_18301 Feature Preview\Windows 11, wersja 24H2, 25H2\KB5062660 251028_18301 Feature Preview.

   Aby uzyskać więcej informacji na temat wdrażania i konfigurowania tych specjalnych zasad grupy, zobacz Używanie zasad grupy do włączania aktualizacji, która jest domyślnie wyłączona.

3. W okienku po prawej stronie otwórz KB5062660 251028_18301 Feature Preview, wybierz pozycję Włączone, a następnie wybierz przycisk OK.

4. Uruchom ponownie maszynę, której dotyczy problem.

5. Uruchom następujące polecenie, aby usunąć wpis DeviceLicensingServiceCommandMutex z rejestru. Jeśli ten wpis nie jest obecny na urządzeniu, którego dotyczy problem, usunięcie zostanie zignorowane.

   try {
   Remove-ItemProperty -Path 'HKLM:\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Subscriptions' -Name 'DeviceLicensingServiceCommandMutex' -ErrorAction Stop
   } catch {
   Write-Host "DeviceLicensingServiceCommandMutex entry not present, skipping removal."
   }
   

   Alternatywnie użyj preferowanego narzędzia do edycji rejestru lub rozwiązania automatyzacji, aby usunąć tę samą wartość. Nie usuwaj całego klucza rejestru.

Opcja 2. Użycie skryptu w celu włączenia korygowania

Otwórz okno programu PowerShell z podwyższonym poziomem uprawnień na każdym z maszyn, których dotyczy problem, i uruchom następujące polecenia. Ostatnie polecenie wyświetla monit o ponowne uruchomienie urządzenia. Ograniczenie ryzyka nie zostanie ukończone do momentu ponownego uruchomienia maszyny i zaleca się ponowne uruchomienie natychmiast po uruchomieniu tego skryptu.

Stop-Service -Name 'HIMDS'
New-Item -Path 'HKLM:\SYSTEM\CurrentControlSet\Policies\Microsoft\FeatureManagement\Overrides' -Force
New-ItemProperty -Path 'HKLM:\SYSTEM\CurrentControlSet\Policies\Microsoft\FeatureManagement\Overrides' -PropertyType 'dword' -Name '4264695439' -Value 1 -Force
try {
  Remove-ItemProperty -Path 'HKLM:\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Subscriptions' -Name 'DeviceLicensingServiceCommandMutex' -ErrorAction Stop
} catch {
  Write-Host "DeviceLicensingServiceCommandMutex entry not present, skipping removal."
}
Restart-Computer -Confirm

Dalsze kroki

Teraz, gdy funkcja Hotpatch jest włączona, poniżej przedstawiono niektóre artykuły, które mogą pomóc w aktualizowaniu komputera.

• Hotpatch dla systemu Windows Server
• Zainstaluj poprawki na instalacji Server Core
• Automatyczne aktualizowanie systemów operacyjnych na maszynach wirtualnych
• Azure Update Manager