Anteckning
Åtkomst till den här sidan kräver auktorisering. Du kan prova att logga in eller ändra kataloger.
Åtkomst till den här sidan kräver auktorisering. Du kan prova att ändra kataloger.
Important
Azure Arc-aktiverad Hotpatch för Windows Server 2025 är nu tillgängligt för en månatlig prenumerationsavgift. Mer information om priser finns i Trött på alla omstarter? Hämta hotpatching för Windows Server.
Med Hotpatch kan du uppdatera Windows Server-installationen utan att kräva att användarna startar om efter installationen. Den här funktionen minimerar stilleståndstiden för uppdateringar och håller användarna igång sina arbetsbelastningar utan avbrott. Mer information om hur Hotpatch fungerar finns i Hotpatch för Windows Server.
Windows Server 2025 har möjlighet att aktivera Hotpatch för Azure Arc-aktiverade servrar. För att kunna använda Hotpatch på Azure Arc-aktiverade servrar behöver du bara distribuera connected machine-agenten och aktivera Windows Server Hotpatch. I den här artikeln beskrivs hur du aktiverar Hotpatch.
Prerequisites
Innan du kan aktivera Hotpatch på Arc-aktiverade servrar för Windows Server 2025 måste du uppfylla följande krav.
En server måste köra Windows Server 2025 (version 26100.1742 eller senare). Förhandsversioner eller Windows Server Insiders versioner stöds inte eftersom snabbkorrigeringar inte skapas för förhandsversioner av operativsystem.
Datorn ska köra någon av följande utgåvor av Windows Server.
- Windows Server 2025 Standard
- Windows Server 2025 Datacenter
- Windows Server 2025 Datacenter: Azure Edition. Den här utgåvan inte behöver vara Azure Arc-aktiverad, Hotpatch är redan aktiverat som standard. De återstående tekniska förutsättningarna gäller fortfarande.
Installationsalternativ för både Server med Skrivbordsmiljö och Server Core stöds.
Den fysiska eller virtuella dator som du tänker aktivera Hotpatch på måste uppfylla kraven för Virtualiseringsbaserad säkerhet (VBS), även kallat Virtual Secure Mode (VSM). Minst måste datorn använda UEFI (Unified Extensible Firmware Interface) med säker start aktiverad. För en virtuell dator (VM) på Hyper-V måste det därför vara en virtuell dator i generation 2.
En prenumeration på Azure. Om du inte redan har ett skapar du ett kostnadsfritt konto innan du börjar.
Servern och infrastrukturen bör uppfylla kraven för connected machine-agenten för att aktivera Azure Arc på en server.
Datorn ska vara ansluten till Azure Arc (Arc-aktiverad). Mer information om hur du registrerar datorn i Azure Arc finns i distributionsalternativ för Azure Connected Machine-agenten.
Kontrollera och aktivera virtuellt säkert läge om det behövs
När du aktiverar Hotpatch med hjälp av Azure-portalenkontrollerar den om Virtual Secure Mode (VSM) körs på datorn. Om VSM inte körs misslyckas aktiveringen av hotpatch och du måste aktivera VSM.
Du kan också kontrollera VSM-statusen manuellt innan du aktiverar Hotpatch. VSM kan redan vara aktiverat om du tidigare har konfigurerat andra funktioner som (till exempel Hotpatch) är beroende av VSM. Vanliga exempel på sådana funktioner är Credential Guard eller Virtualiseringsbaserat skydd av kodintegritet, även kallat Hypervisor-skyddad kodintegritet (HVCI).
Tip
Du kan använda grupprincip eller något annat centraliserat hanteringsverktyg för att aktivera en eller flera av följande funktioner.
- Referensskydd
- Credential Guard-skyddade datorkonton
- Virtualiseringsbaserat skydd av kodintegritet
- System Guard Säker Start och SMM-skydd
- Maskinvarubaserat stapelskydd i kernelläge
- Säkerhetsoptimerad kärnserver
Om du konfigurerar någon av dessa funktioner kan du även använda VSM.
Om du vill kontrollera att VSM har konfigurerats och körts väljer du önskad metod och undersöker utdata.
Get-CimInstance -Namespace 'root/Microsoft/Windows/DeviceGuard' -ClassName 'win32_deviceGuard' | Select-Object -ExpandProperty 'VirtualizationBasedSecurityStatus'
Om kommandoutdata är 2, är VSM konfigurerad och körs. I det här fallet fortsätter du direkt till Aktivera Hotpatch på Windows Server 2025.
Om utdata inte är 2måste du aktivera VSM.
Om du vill aktivera VSM expanderar du det här avsnittet.
Aktivera VSM med något av följande kommandon.
New-ItemProperty -Path 'HKLM:\System\CurrentControlSet\Control\DeviceGuard' -Name 'EnableVirtualizationBasedSecurity' -PropertyType 'Dword' -Value 1 -Force
Tip
När du har aktiverat VSM måste du starta om servern.
När du har startat om kör du följande kommandon igen och kontrollerar att utdata nu är 2 för att kontrollera att VSM nu körs.
Get-CimInstance -Namespace 'root/Microsoft/Windows/DeviceGuard' -ClassName 'win32_deviceGuard' | Select-Object -ExpandProperty 'VirtualizationBasedSecurityStatus'
Om utdata fortfarande inte är 2måste VSM på datorn felsökas. Den mest sannolika orsaken är att de fysiska eller virtuella maskinvarukrav inte uppfylls. Se dokumentationen från leverantören av din maskinvaru- eller virtualiseringsplattform. Här är till exempel dokumentationen för VMware vSphere, Aktivera virtualiseringsbaserad säkerhet på en befintlig virtuell dator.
När du har aktiverat VSM och kontrollerat att den körs fortsätter du till nästa avsnitt.
Aktivera Hotpatch på Windows Server 2025
Anslut datorn till Azure Arc, om den inte var Arc-aktiverad tidigare.
När du har anslutit datorn till Azure Arc loggar du in på Azure Arc-portalen och går till Azure Arc → Machines.
Välj namnet på datorn.
Välj Hotpatch och välj sedan Bekräfta.
Vänta ungefär 10 minuter tills ändringarna har tillämpats. Om uppdateringen fastnar på statusen Väntar på fortsätter du till att felsöka Azure Arc-agenten.
Använda Hotpatch på Windows Server 2025
När en Hotpatch är tillgänglig från Windows Update bör du få en uppmaning om att installera den. Eftersom dessa uppdateringar inte släpps varje månad kan du behöva vänta tills nästa Hotpatch har publicerats.
Du kan också automatisera installationen av hotpatch med hjälp av verktyg för uppdateringshantering, till exempel Azure Update Manager (AUM).
Kända problemområden
Flera uppdateringar släpptes i oktober 2025
I oktober 2025 släppte Microsoft flera uppdateringar som erbjöds till vissa Windows Server-kunder. Om du har registrerat dig i hotpatch eller planerar att registrera dig och planerar att installera hotpatch-uppdateringar i november och december 2025 kontrollerar du att Windows Server-datorerna körs på exakt en av följande uppdateringsnivåer.
- 14 oktober 2025 – KB5066835 (OS Build 26100.6899)
- 24 oktober 2025 – KB5070893 (OS Build 26100.6905) Säkerhetsuppdatering för Windows Server Update Services
Om du har en av de andra oktoberuppdateringarna installerade kommer detta att leda till regelbundna uppdateringar utan hotpatchar fram till och med nästa baslinjemånad, som för närvarande är planerad till januari 2026. Dessa uppdateringar kräver en omstart varje månad. I synnerhet gör följande uppdatering, om den installeras, datorn inte kompatibel med kommande snabbpatchar: 23 oktober 2025 – KB5070881 (OS Build 26100.6905) out-of-band, och likadant för alla andra uppdateringar som inte uttryckligen anges i det här avsnittet.
Problem med funktionslicensiering för uppdateringar i oktober 2025
Ett problem identifierades med säkerhetsuppdateringarna oktober 2025 för Windows Server 2025. Detta kan påverka kunder som kör uppdateringen 14 oktober 2025 – KB5066835 (OS Build 26100.6899) eller senare. På grund av det här problemet kan följande oväntade beteende observeras.
- Aktivering av hotpatching för Windows Server via Azure Arc på nya maskiner kan misslyckas eller inte slutföras som förväntat. I stället förblir funktionsaktiveringen i tillståndet "Pågår" tills problemet har lösts.
- På datorer som tidigare har aktiverats för Hotpatching i Windows Server kan funktionslicensen upphöra att gälla, vilket förhindrar att nästa Hotpatch installeras. I stället orsakar nästa uppdatering en omstart om ingen åtgärd vidtas.
Hotpatching på Windows Server 2025 Datacenter: Azure Edition påverkas inte av det här problemet.
För att lösa det här problemet rekommenderas en serie manuella steg. Om du inte lyckas tillämpa någon av lösningarna kommer det att resultera i regelbundna icke-hotpatch-uppdateringar fram till och med nästa baslinjemånad, som för närvarande är schemalagd till januari 2026. Dessa uppdateringar kräver en omstart varje månad.
Det finns två sätt att tillämpa den manuella lösningen på berörda datorer. Vart och ett av de angivna alternativen erbjuder en komplett lösning. Du måste tillämpa lösningen på var och en av de berörda datorerna innan nästa uppdatering erbjuds, vilket förväntas vid nästa "korrigeringsdag" den 11 november 2025. Att tillämpa lösningen kräver en omstart, så planera därefter.
När du har tillämpat någon av lösningarna installeras hotpatch-uppdateringar som släpptes i november och december 2025 utan att en omstart krävs.
Alternativ 1: Använd lokal princip eller grupprincip för att aktivera reparationen
Ladda ned och installera Windows 11 24H2, Windows 11 25H2 och Windows Server 2025 KB5062660 251028_18301 Feature Preview-paketet . Då installeras mallen Lokal eller Grupprincip (
ADMXfil) för den här specifika reparationen.Välj Start, skriv gpedit och välj sedan Redigera grupprincip. Gå till Datorkonfiguration\Administrativa mallar\KB5062660 251028_18301 Funktionsförhandsgranskning\Windows 11, version 24H2, 25H2\KB5062660 251028_18301 Funktionsförhandsgranskning.
Mer information om hur du distribuerar och konfigurerar den här särskilda grupprincipen finns i Använda grupprincip för att aktivera en uppdatering som är inaktiverad som standard.
I det högra fönstret öppnar du KB5062660 251028_18301 Funktionsförhandsgranskning, väljer Aktiverad och väljer sedan OK.
Starta om den berörda datorn.
Kör följande kommando för att ta bort posten DeviceLicensingServiceCommandMutex från registret. Om den här posten inte finns på den berörda enheten ignoreras borttagningen.
try { Remove-ItemProperty -Path 'HKLM:\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Subscriptions' -Name 'DeviceLicensingServiceCommandMutex' -ErrorAction Stop } catch { Write-Host "DeviceLicensingServiceCommandMutex entry not present, skipping removal." }Du kan också använda det registerredigeringsverktyg eller den automatiseringslösning som du föredrar för att ta bort samma värde. Ta inte bort hela registernyckeln.
Alternativ 2: Använd ett skript för att aktivera reparationen
Öppna ett upphöjt PowerShell-fönster på var och en av de berörda datorerna och kör följande kommandon. Det senaste kommandot uppmanar dig att starta om enheten. Åtgärden är inte klar förrän datorn har startats om och vi rekommenderar att du startar om omedelbart efter att du har kört det här skriptet.
Stop-Service -Name 'HIMDS'
New-Item -Path 'HKLM:\SYSTEM\CurrentControlSet\Policies\Microsoft\FeatureManagement\Overrides' -Force
New-ItemProperty -Path 'HKLM:\SYSTEM\CurrentControlSet\Policies\Microsoft\FeatureManagement\Overrides' -PropertyType 'dword' -Name '4264695439' -Value 1 -Force
try {
Remove-ItemProperty -Path 'HKLM:\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Subscriptions' -Name 'DeviceLicensingServiceCommandMutex' -ErrorAction Stop
} catch {
Write-Host "DeviceLicensingServiceCommandMutex entry not present, skipping removal."
}
Restart-Computer -Confirm
Nästa steg
Nu när Hotpatch är aktiverat finns här några artiklar som kan hjälpa dig att uppdatera datorn.