为已启用 Azure Arc 的服务器启用热补丁

热修补允许对 Windows Server 系统进行更新，而无需用户在安装后重启。 此功能可最大程度地减少更新花费的停机时间，并使用户能够不间断地运行其工作负荷。 有关 Hotpatch 的工作原理的详细信息，请参阅适用于 Windows Server 的Hotpatch。

Windows Server 2025 提供为已启用 Azure Arc 的服务器启用 Hotpatch 的功能。 若要在已启用 Azure Arc 的服务器上使用 Hotpatch，只需部署 Connected Machine 代理并启用 Windows Server Hotpatch。 本文介绍如何启用热补丁。

Prerequisites

在已启用 Arc 的服务器上为 Windows Server 2025 启用 Hotpatch 之前，需要满足以下要求。

• 服务器必须运行 Windows Server 2025（内部版本 26100.1742 或更高版本）。 预览版本或 Windows Server 预览体验成员内部版本不受支持，因为不会为预发行作系统创建热补丁。

• 计算机应运行以下版本的 Windows Server 之一。

  • Windows Server 2025 标准
  • Windows Server 2025 数据中心
  • Windows Server 2025 Datacenter：Azure Edition。 此版本 不需要 启用 Azure Arc，默认情况下已启用 Hotpatch。 剩余的技术先决条件仍适用。

• 支持带桌面体验的 Server 和 Server Core 安装选项。

• 要启用 Hotpatch 的物理或虚拟机需要满足 基于虚拟化的安全性 （VBS），也称为 虚拟安全模式 （VSM）。 至少，计算机必须使用启用了安全启动的统一可扩展固件接口 （UEFI）。 因此，对于 Hyper-V 上的虚拟机（VM），它必须是 第 2 代虚拟机。

• 一个 Azure 订阅。 如果还没有帐户，请在开始之前创建 一个免费帐户 。

• 服务器和基础结构应满足 Connected Machine 代理的先决条件，以便在服务器上启用 Azure Arc。

• 计算机应连接到 Azure Arc（已启用 Arc）。 若要详细了解如何将计算机加入 Azure Arc，请参阅 Azure Connected Machine 代理部署选项。

必要时检查并启用虚拟安全模式

使用 Azure 门户启用热补丁时，会检查是否正在计算机上运行虚拟安全模式 (VSM)。 如果 VSM 未运行，启用热补丁将失败，此时您需要启用 VSM。

或者，也可以在启用热补丁之前手动检查 VSM 状态。 如果以前配置了其他依赖于 VSM 的功能（如热补丁），则可能已启用 VSM。 此类功能的常见示例包括 凭据防护 或 基于虚拟化的代码完整性保护，也称为虚拟机监控程序保护的代码完整性（HVCI）。

若要验证 VSM 是否已配置并正在运行，请选择首选方法并检查输出。

Get-CimInstance -Namespace 'root/Microsoft/Windows/DeviceGuard' -ClassName 'win32_deviceGuard' | Select-Object -ExpandProperty 'VirtualizationBasedSecurityStatus'

for /f "tokens=2 delims==" %a in ('wmic.exe /namespace:\\root\Microsoft\Windows\DeviceGuard path win32_deviceGuard GET VirtualizationBasedSecurityStatus /value ^| find "="') do @echo %a

如果命令输出 2，则会配置并运行 VSM。 在这种情况下，直接转到 Windows Server 2025 上的“启用热修补”。

如果输出不是 2，则需要启用 VSM。

New-ItemProperty -Path 'HKLM:\System\CurrentControlSet\Control\DeviceGuard' -Name 'EnableVirtualizationBasedSecurity' -PropertyType 'Dword' -Value 1 -Force

reg.exe add "HKLM\System\CurrentControlSet\Control\DeviceGuard" /v "EnableVirtualizationBasedSecurity" /t REG_DWORD /d 1 /f

Get-CimInstance -Namespace 'root/Microsoft/Windows/DeviceGuard' -ClassName 'win32_deviceGuard' | Select-Object -ExpandProperty 'VirtualizationBasedSecurityStatus'

for /f "tokens=2 delims==" %a in ('wmic.exe /namespace:\\root\Microsoft\Windows\DeviceGuard path win32_deviceGuard GET VirtualizationBasedSecurityStatus /value ^| find "="') do @echo %a

在 Windows Server 2025 上启用热修补

1. 如果以前未启用 Arc，请将计算机连接到 Azure Arc。

2. 将计算机连接到 Azure Arc 后，登录到 Azure Arc 门户，并转到 Azure Arc → 计算机。

3. 选择您的计算机的名称。

4. 选择 “热修补”，然后选择“ 确认”。

5. 等待约 10 分钟，等待更改生效。 如果更新停滞在 挂起 状态上，请继续 对 Azure Arc 代理进行故障排除。

在 Windows Server 2025 上使用热修补

每当 Windows 更新提供 Hotpatch 时，你都会收到安装提示。 这些更新不每月发布，可能需要等到下一个热补丁发布时。

可以选择使用更新管理工具（如 Azure 更新管理器（AUM））来自动执行热修补安装。

已知问题

2025 年 10 月发布的多个更新

2025 年 10 月，Microsoft发布了向某些 Windows Server 客户提供的多个更新。 如果你加入了热修补或计划加入，并计划在 2025 年 11 月和 2025 年 12 月安装热修补更新，请确保你的 Windows Server 计算机 正好 在以下更新级别之一上运行。

• 2025 年 10 月 14 日 - KB5066835 （OS 内部版本 26100.6899）
• 2025 年 10 月 24 日 - KB5070893 （OS 内部版本 26100.6905） Windows Server 更新服务的安全更新

如果安装了其他 10 月更新之一，这将导致周期性非热补丁更新，直至下一个当前计划于 2026 年 1 月的基线月份。 这些更新每月需要重新启动。 具体而言，如果安装了以下更新，则使计算机与即将推出的热补丁不兼容：2025 年 10 月 23 日 - KB5070881（OS 内部版本 26100.6905）带外，任何未在此部分中显式列出的其他更新也是如此。

2025 年 10 月更新中的功能许可问题

Windows Server 2025 的 2025 年 10 月安全更新中发现了一个问题。 这可能会影响 运行 2025 年 10 月 14 日 - KB5066835（OS 内部版本 26100.6899） 更新或更高版本的客户。 由于此问题，可以观察到以下意外行为。

• 在新计算机上通过 Azure Arc 启用 Windows Server 热修补可能会失败或未按预期完成。 相反，功能启用将保持“正在进行”状态，直到问题得到解决。
• 在以前为 Windows Server 热修补启用的计算机上，功能许可证可能会过期，这将阻止安装下一个热修补。 相反，如果未执行任何作，则下一次更新将导致重新启动。

Windows Server 2025 Datacenter: Azure Edition 的热修补不受此问题的影响。

若要解决此问题，建议执行一系列手动步骤。 应用任一解决方法失败将导致常规的非热修补更新，直到（包括当前计划于 2026 年 1 月）的下一个基线月。 这些更新每月需要重新启动。

可通过两种方法在受影响的计算机上应用手动解决方法。 提供的每个选项都提供了完整的解决方案。 预计在 2025 年 11 月 11 日 的下一个“修补程序星期二”日期前，会提供下一次更新。您需要在此之前对每台受影响的计算机应用解决方法。 应用解决方法需要重新启动，因此请相应地进行计划。

应用任一解决方法后，2025 年 11 月和 2025 年 12 月发布的热修补更新将安装，无需重新启动。

选项 1：使用本地策略或组策略启用修复

1. 下载并安装 Windows 11 24H2、Windows 11 25H2 和 Windows Server 2025 KB5062660 251028_18301 功能预览 版包。 这将安装本地或组策略模板（ADMX 文件），以便进行此特定修正。

2. 选择 “开始”，键入 gpedit，然后选择“ 编辑组策略”。 导航到 计算机配置\管理模板\KB5062660 251028_18301 功能预览版\Windows 11 版本 24H2、25H2\KB5062660 251028_18301 功能预览。

   有关部署和配置此特殊组策略的详细信息，请参阅 使用组策略启用默认禁用的更新。

3. 在右窗口窗格中，打开 KB5062660 251028_18301 功能预览，选择“ 已启用”，然后选择“ 确定”。

4. 重新启动受影响的计算机。

5. 运行以下命令，从注册表中删除 DeviceLicensingServiceCommandMutex 条目。 如果受影响设备上不存在此条目，则忽略删除。

   try {
   Remove-ItemProperty -Path 'HKLM:\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Subscriptions' -Name 'DeviceLicensingServiceCommandMutex' -ErrorAction Stop
   } catch {
   Write-Host "DeviceLicensingServiceCommandMutex entry not present, skipping removal."
   }
   

   或者，使用首选注册表编辑工具或自动化解决方案删除相同的值。 请勿删除整个注册表项。

选项 2：使用脚本启用修正

在每个受影响的计算机上打开提升的 PowerShell 窗口，并运行以下命令。 最后一个命令会提示重启设备。 在重启计算机之前，缓解措施尚未完成，建议在运行此脚本后立即重启。

Stop-Service -Name 'HIMDS'
New-Item -Path 'HKLM:\SYSTEM\CurrentControlSet\Policies\Microsoft\FeatureManagement\Overrides' -Force
New-ItemProperty -Path 'HKLM:\SYSTEM\CurrentControlSet\Policies\Microsoft\FeatureManagement\Overrides' -PropertyType 'dword' -Name '4264695439' -Value 1 -Force
try {
  Remove-ItemProperty -Path 'HKLM:\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Subscriptions' -Name 'DeviceLicensingServiceCommandMutex' -ErrorAction Stop
} catch {
  Write-Host "DeviceLicensingServiceCommandMutex entry not present, skipping removal."
}
Restart-Computer -Confirm

后续步骤

启用 Hotpatch 后，下面是一些可能有助于更新计算机的文章。

• 适用于 Windows Server 的热补丁
• 修补 Server Core 安装
• 自动 VM 来宾修补
• Azure 更新管理器