为已启用 Azure Arc 的服务器启用热补丁

2025-08-16
适用于: ✅ Windows Server 2025

Important

适用于 Windows Server 2025 的 Azure Arc 连接的热修补现在可按月收取订阅费用。若要了解有关定价的详细信息，请参阅 “厌倦了所有重启” ？获取 Windows Server 的热修补。

热修补允许对 Windows Server 系统进行更新，而无需用户在安装后重启。此功能可最大程度地减少更新花费的停机时间，并使用户能够不间断地运行其工作负荷。有关 Hotpatch 的工作原理的详细信息，请参阅适用于 Windows Server 的Hotpatch。

Windows Server 2025 提供为已启用 Azure Arc 的服务器启用 Hotpatch 的功能。若要在已启用 Azure Arc 的服务器上使用 Hotpatch，只需部署 Connected Machine 代理并启用 Windows Server Hotpatch。本文介绍如何启用热补丁。

Prerequisites

在已启用 Arc 的服务器上为 Windows Server 2025 启用 Hotpatch 之前，需要满足以下要求。

服务器必须运行 Windows Server 2025（内部版本 26100.1742 或更高版本）。预览版本或 Windows Server 预览体验成员内部版本不受支持，因为不会为预发行作系统创建热补丁。
计算机应运行以下版本的 Windows Server 之一。
- Windows Server 2025 标准
- Windows Server 2025 数据中心
- Windows Server 2025 Datacenter：Azure Edition。此版本 不需要 启用 Azure Arc，默认情况下已启用 Hotpatch。剩余的技术先决条件仍适用。
支持带桌面体验的 Server 和 Server Core 安装选项。
要启用 Hotpatch 的物理或虚拟机需要满足基于虚拟化的安全性（VBS），也称为虚拟安全模式（VSM）。至少，计算机必须使用启用了安全启动的统一可扩展固件接口（UEFI）。因此，对于 Hyper-V 上的虚拟机（VM），它必须是第 2 代虚拟机。
一个 Azure 订阅。如果还没有帐户，请在开始之前创建一个免费帐户。
服务器和基础结构应满足 Connected Machine 代理的先决条件，以便在服务器上启用 Azure Arc。
计算机应连接到 Azure Arc（已启用 Arc）。若要详细了解如何将计算机加入 Azure Arc，请参阅 Azure Connected Machine 代理部署选项。

必要时检查并启用虚拟安全模式

使用 Azure 门户启用热补丁时，会检查是否正在计算机上运行虚拟安全模式 (VSM)。如果 VSM 未运行，启用热补丁将失败，此时您需要启用 VSM。

或者，也可以在启用热补丁之前手动检查 VSM 状态。如果以前配置了其他依赖于 VSM 的功能（如热补丁），则可能已启用 VSM。此类功能的常见示例包括凭据防护或基于虚拟化的代码完整性保护，也称为虚拟机监控程序保护的代码完整性（HVCI）。

Tip

若要启用以下一个或多个功能，可以使用组策略或其他集中式管理工具。

若配置其中任一功能，也会启用 VSM。

若要验证 VSM 是否已配置并正在运行，请选择首选方法并检查输出。

PowerShell
命令提示符

Get-CimInstance -Namespace 'root/Microsoft/Windows/DeviceGuard' -ClassName 'win32_deviceGuard' | Select-Object -ExpandProperty 'VirtualizationBasedSecurityStatus'

for /f "tokens=2 delims==" %a in ('wmic.exe /namespace:\\root\Microsoft\Windows\DeviceGuard path win32_deviceGuard GET VirtualizationBasedSecurityStatus /value ^| find "="') do @echo %a

如果命令输出 2，则会配置并运行 VSM。在这种情况下，直接转到 Windows Server 2025 上的“启用热修补”。

如果输出不是 2，则需要启用 VSM。

若要启用 VSM，请展开此部分。

使用以下一个命令启用 VSM。

PowerShell
命令提示符

New-ItemProperty -Path 'HKLM:\System\CurrentControlSet\Control\DeviceGuard' -Name 'EnableVirtualizationBasedSecurity' -PropertyType 'Dword' -Value 1 -Force

reg.exe add "HKLM\System\CurrentControlSet\Control\DeviceGuard" /v "EnableVirtualizationBasedSecurity" /t REG_DWORD /d 1 /f

Tip

启用 VSM 后，需要重启服务器。

重启后，再次运行以下一个命令，验证输出现在是否为 2，以确保 VSM 现在正在运行。

PowerShell
命令提示符

Get-CimInstance -Namespace 'root/Microsoft/Windows/DeviceGuard' -ClassName 'win32_deviceGuard' | Select-Object -ExpandProperty 'VirtualizationBasedSecurityStatus'

for /f "tokens=2 delims==" %a in ('wmic.exe /namespace:\\root\Microsoft\Windows\DeviceGuard path win32_deviceGuard GET VirtualizationBasedSecurityStatus /value ^| find "="') do @echo %a

如果输出仍不是 2，则计算机上的 VSM 需要故障排除。最可能的原因是不符合物理或虚拟硬件要求。请参阅硬件或虚拟化平台供应商的文档。例如，下面是有关 VMware vSphere 的文档，即在现有虚拟机上激活基于虚拟化的安全性。

成功启用 VSM 并确保其正在运行后，请转到下一部分。

在 Windows Server 2025 上启用热修补

如果以前未启用 Arc，请将计算机连接到 Azure Arc。
将计算机连接到 Azure Arc 后，登录到 Azure Arc 门户，并转到 Azure Arc → 计算机。
选择您的计算机的名称。
选择 “热修补”，然后选择“ 确认”。
等待约 10 分钟，等待更改生效。如果更新停滞在挂起状态上，请继续对 Azure Arc 代理进行故障排除。

在 Windows Server 2025 上使用热修补

每当 Windows 更新提供 Hotpatch 时，你都会收到安装提示。这些更新不每月发布，可能需要等到下一个热补丁发布时。

可以选择使用更新管理工具（如 Azure 更新管理器（AUM））来自动执行热修补安装。

后续步骤

启用 Hotpatch 后，下面是一些可能有助于更新计算机的文章：

反馈

此页面是否有帮助？