Włącz Hotpatch dla maszyn wirtualnych wersji Azure w środowisku Azure Local

• Dotyczy:

  ✅ Windows Server 2022 Datacenter: Azure Edition hosted on Azure Local

Hotpatch for Windows Server 2022 Datacenter: Maszyny wirtualne (VM) platformy Azure hostowane na platformie Azure Local umożliwiają instalowanie aktualizacji zabezpieczeń na maszynie wdrożonej iso na platformie Azure Lokalnie bez konieczności ponownego uruchamiania po instalacji. Możesz użyć funkcji Hotpatch z opcjami Desktop Experience i Server Core. W tym artykule nauczysz się, jak skonfigurować hotpatch po zainstalowaniu lub uaktualnieniu systemu operacyjnego przy użyciu iso.

Notatka

Jeśli używasz witryny Azure Marketplace, nie wykonaj kroków opisanych w tym artykule. Zamiast tego użyj następujących obrazów z Azure Marketplace, które są gotowe do funkcji Hotpatching.

• Windows Server 2022 Datacenter: Edycja Azure Hotpatch — Gen2
• Windows Server 2022 Datacenter: Azure Edition Core — Gen2

W przypadku korzystania z funkcji Hotpatch dla wdrożonej maszyny ISO na platformie Azure Lokalnie istnieje kilka ważnych różnic w porównaniu z używaniem funkcji Hotpatch w ramach funkcji Automatycznego zarządzania platformą Azure dla maszyn wirtualnych platformy Azure.

Różnice obejmują:

• Konfiguracja Hotpatch nie jest dostępna przez Azure Update Manager.
• Hotpatch nie można wyłączyć.
• Automatyczna ordynacja aktualizacji nie jest dostępna.
• Orkiestracja musi być wykonywana ręcznie (na przykład przy użyciu usługi Windows Update za pośrednictwem narzędzia SConfig).

Warunki wstępne

Aby włączyć funkcję Hotpatch, przed rozpoczęciem należy przygotować następujące wymagania wstępne:

• Windows Server 2022 Datacenter: Wersja platformy Azure hostowana na obsługiwanej platformie, takiej jak platforma Azure lub platforma Azure Lokalna z włączonymi korzyściami platformy Azure.
  • Usługa Azure Local musi być w wersji 21H2 lub nowszej.
• Zapoznaj się z sekcją Jak działa Hotpatch w artykule Hotpatch dla nowych maszyn wirtualnych.
• Dostęp do sieci wychodzącej lub reguła portu wychodzącego zezwalająca na ruch HTTPS (TCP/443) do następujących punktów końcowych:
  • go.microsoft.com
  • software-static.download.prss.microsoft.com

Przygotowywanie komputera

Przed włączeniem funkcji Hotpatch dla maszyny wirtualnej należy przygotować komputer, wykonując następujące kroki:

1. Zaloguj się do maszyny. Jeśli korzystasz z podstawowego serwera, w menu SConfig wprowadź opcję 15, a następnie naciśnij Enter, aby otworzyć sesję programu PowerShell. Jeśli korzystasz z trybu pulpitu, połącz się zdalnie z maszyną wirtualną i uruchom PowerShell.

2. Włącz zabezpieczenia oparte na wirtualizacji, uruchamiając następujące polecenie programu PowerShell, aby skonfigurować prawidłowe ustawienia rejestru:

   $registryPath = "HKLM:\SYSTEM\CurrentControlSet\Control\DeviceGuard"
   $parameters = $parameters = @{
       Path = $registryPath
       Name = "EnableVirtualizationBasedSecurity"
       Value = "0x1"
       Force = $True
       PropertyType = "DWORD" 
   }
   New-ItemProperty @parameters
   

3. Uruchom ponownie komputer.

4. Skonfiguruj rozmiar tabeli Hotpatch w rejestrze, uruchamiając następujące polecenie programu PowerShell:

   $registryPath = "HKLM:\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management"
   $parameters = $parameters = @{
       Path = $registryPath
       Name = "HotPatchTableSize"
       Value = "0x1000"
       Force = $True
       PropertyType = "DWORD"
   }
   New-ItemProperty @parameters
   

5. Skonfiguruj punkt końcowy usługi Windows Update dla programu Hotpatch w rejestrze, uruchamiając następujące polecenie programu PowerShell:

   $registryPath = "HKLM:\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Update\TargetingInfo\DynamicInstalled\Hotpatch.amd64"
   $nameParameters = $parameters = @{
       Path = $registryPath
       Name = "Name"
       Value = "Hotpatch Enrollment Package"
       Force = $True
   }
   $versionParameters = $parameters = @{
       Path = $registryPath
       Name = "Version"
       Value = "10.0.20348.1129"
       Force = $True
   }
   New-Item $registryPath -Force
   New-ItemProperty @nameParameters
   New-ItemProperty @versionParameters
   

Teraz gdy masz już przygotowany komputer, możesz zainstalować pakiet serwisowy Hotpatch.

Zainstalować pakiet serwisowy Hotpatch

Notatka

Baza wiedzy dotycząca wymagań wstępnych dla Hotpatch nie jest obecnie opublikowana w katalogu Microsoft Update.

Aby móc otrzymywać aktualizacje Hotpatch, należy pobrać i zainstalować pakiet serwisowy Hotpatch. W sesji programu PowerShell wykonaj następujące kroki:

1. Pobierz pakiet autonomiczny usługi Microsoft Update (KB5003508) z katalogu usługi Microsoft Update i skopiuj go na komputer przy użyciu następującego polecenia programu PowerShell:

   $parameters = @{
        Source = "https://go.microsoft.com/fwlink/?linkid=2211714"
        Destination = ".\KB5003508.msu"
   }
   Start-BitsTransfer @parameters
   

2. Aby zainstalować pakiet autonomiczny, uruchom następujące polecenie:

   wusa.exe .\KB5003508.msu
   

3. Postępuj zgodnie z monitami. Po zakończeniu wybierz pozycję Zakończ.

4. Aby zweryfikować instalację, uruchom następujące polecenie:

   Get-HotFix | Where-Object {$_.HotFixID -eq "KB5003508"}
   

Notatka

W przypadku korzystania z serwera Server Core aktualizacje są domyślnie instalowane ręcznie. To ustawienie można zmienić przy użyciu narzędzia SConfig.

Następne kroki

Teraz skonfigurowaliśmy komputer na potrzeby funkcji Hotpatch, oto kilka artykułów, które mogą pomóc w aktualizowaniu komputera:

• Zaktualizuj instalację Server Core.
• Dowiedz się więcej o Windows Server Update Services (WSUS).