かつて山市良と呼ばれたおじさんのブログ

セイテクエンジニアのブログ  かつて山市良と呼ばれたおじさんのブログ  vol.71 Azureだけだったホットパッチ機能、オンプレやAzure以外でも利用可能に(体感ビデオ付)|Windows Server 2025大特集(8)

 

 

vol.71 Azureだけだったホットパッチ機能、オンプレやAzure以外でも利用可能に(体感ビデオ付)|Windows Server 2025大特集(8)

2024年12月23日配信
2025年05月01日更新
執筆者:山内 和朗

 Windows Server 2025では、これまでAzureおよびAzure Local(旧称、Azure Stack HCI)*1を含む)上で実行される「Windows Server Datacenter: Azure Edition」にのみ提供されてきた「ホットパッチ(Hotpatch)」機能が、Azure Arcを通じてAzure以外で実行される物理サーバーや仮想マシン(VM)の通常のエディションでも利用可能になりました。ホットパッチの概要や仕組み、Windows Server 2025 Standard/Datacenterでホットパッチを利用する方法、およびその更新エクスペリエンスを紹介します。

*1 Microsoftは2024年11月、Azure Stack HCIの名称を「Azure Local」に変更しました。→ Azure Stack HCI の新しい名前|Azure Local(Microsoft Learn)

 

最新情報:

Windows Server 2025 Datacenter/Standardのホットパッチが2025年7月1日より一般提供されることが発表されました。

Tired of all the restarts? Get hotpatching for Windows Server|Microsoft Windows Server Blog(Microsoft)


 

Azure VMのホットパッチとは

 

 Azure仮想マシン(VM)およびAzure Local(旧称、Azure Stack HCI)*1上で実行されるVMの「Windows Server Datacenter: Azure Edition」で利用可能な、再起動を必要としないセキュリティ更新プログラムのインストール方法のことです。

仮想マシンのホットパッチ|Azure(Microsoft Learn)

 ホットパッチが有効なVMでは、3か月ごとに再起動が必要なベースラインの更新プログラム(その月の通常のWindows Server向けの更新プログラムと同等)で更新されると、その後、次の2か月はホットパッチを使用して再起動なしで更新することができます。つまり、最大3か月間、OSのセキュリティを最新の状態に維持しながらの連続稼働を実現します。

 ホットパッチの更新プログラムはサイズが小さく、瞬時にダウンロードされ、少ないリソース(ディスク、CPU)で高速にインストールされます。ホットパッチは、OSのバイナリに対する更新ではなく、メモリにロードされるコードに対してパッチを適用することで、OSのセキュリティ問題を解決します。そのため、OSの再起動が必要ないだけでなく、実行中のプロセスの再起動も不要です。ホットパッチのリリース月にはOSの再起動を気にせず更新できるため、パッチのオーケストレーション(スケジューリング)が容易になります。

 AzureおよびAzure Local(旧称、Azure Stack HCI)*1では、次のOSを実行するイメージ([smalldisk]を含む)からデプロイしたVMでホットパッチを追加コストなしで利用することができます。ホットパッチはAzure VMの作成時に「管理」タブで簡単に有効化することができ(サポートするイメージのみ)、「Azure Update Manager」で集中的に管理できるほか(オーケストレーションはAzureにより調整されます)、Azure VMの「操作|更新プログラム」から個別に管理することもできます(画面1、画面2)。また、ホットパッチはゲストOSのWindows Updateを通じて提供されるため、Windows Updateの通常の方法でインストールすることもできます。

 

  • Windows Server 2022 Datacenter: Azure Edition Hotpatch
  • [smalldisk] Windows Server 2022 Datacenter: Azure Edition Hotpatch
  •  Windows Server 2022 Datacenter: Azure Edition Core Hotpatch
  • [smalldisk] Windows Server 2022 Datacenter: Azure Edition Core Hotpatc
  • Windows Server 2022 Datacenter: Azure Edition Core
  • [smalldisk] Windows Server 2022 Datacenter: Azure Edition Core
  • Windows Server 2025 Datacenter: Azure Edition[New]
  • [smalldisk] Windows Server 2025 Datacenter: Azure Edition[New]
  • Windows Server 2025 Datacenter: Azure Edition Core[New]
  • [smalldisk] Windows Server 2025 Datacenter: Azure Edition Core[New]


画面1 Azure VMのホットパッチ機能は、サポートされるイメージ(Azure Edition)で作成時に有効化できる(画面右)
画面1 Azure VMのホットパッチ機能は、サポートされるイメージ(Azure Edition)で作成時に有効化できる(画面右)

 

画面2 ホットパッチを含むAzure VMの更新プログラム管理には、Azure VMの「操作|更新プログラム」やAzure Update Managerを使用する
画面2 ホットパッチを含むAzure VMの更新プログラム管理には、Azure VMの「操作|更新プログラム」やAzure Update Managerを使用する

新機能、Windows Server 2025 Standard/Datacenterのホットパッチ(プレビュー)

 

 Windows Server 2025では、Azure Arc対応サーバーでAzure Arcに接続された、Azure以外の物理サーバーやVM(他社クラウド上のVMを含む)で実行される以下のエディションでホットパッチを利用できるようになりました。私が確認した限り、180日評価版のStandard Evaluation/Datacenterでも利用可能です。注意: Azure Arc対応サーバーのホットパッチは、現在、プレビュー段階であり、運用環境ではまだ利用するべきではありません。

 

  • Windows Server 2025 Datacenter Edition[New]
  • Windows Server 2025 Standard Edition[New]


 ホットパッチはAzure Arcを通じて提供されるため、サーバーにエージェント(Azure Connected Machine Agent)をインストールし、Azure Arcに接続する必要があります。前回の以下の記事で紹介したように、その作業は「Azure Arc Setup」を使用することで簡単に行えます。なお、前回説明したように、Azure Arcはサーバーごとに課金(オンラインの場合に課金)される有料のサービスであり、ホットパッチについてはプレビュー期間中は無料で評価できます。

vol.70 Azure Arc/WAC/sshdセットアップの簡素化|Windows Server 2025大特集(7)

Azure Arc対応サーバーでホットパッチ(プレビュー)を有効にする

 

 ホットパッチは、Azureポータルの「Azure Arc|マシン」から設定、管理することができます。「Azure Update Manager」を使用して複数台のAzure VM、Azure Arc対応サーバーなどを一元的に管理することもできますが、ここでは省略します。

 ホットパッチを利用するには、「Azure Arc|マシン」で接続済みのサーバーのページを開き、「概要」ページにある「ホットパッチ(プレビュー)」から「毎月のホットパッチを受け取るためにこのWindows Serverのライセンスを取得したい」をチェックして「確認」をクリックすることで、有効にすることができます(画面3)。Azure Arcのホットパッチを有効化するためには、サーバーで「仮想化ベースのセキュリティ(VBS)」が有効になっている必要があります。VBSの有効化には、VBS対応のハードウェア(64ビットCPU、SLAT、IOMMUまたはSMMU《Intel VT-d、AMD-Vi、Arm64 SMMU》、TPM 2.0、セキュアブートなど)が必要です。

 

 VBSが有効になっているかどうか、およびVBSの有効化は、Windows Admin Center(WAC)の「セキュリティ|Secured-core)から確認、設定することができます(画面4)。VBSの有効化方法としては、WACを利用するのが最も簡単だと思います。なお、「システム情報」(msinfo32.exe)でVBSが「実行中」となっていても、ホットパッチが要求するVBS: オンの状態ではない場合があることに注意してください。*3 

仮想化ベースのセキュリティ (VBS)|Windows ハードウェア開発(Microsoft Learn)

画面3 Azure Arcに接続したサーバーで「ホットパッチ(プレビュー)」を有効化する
画面3 Azure Arcに接続したサーバーで「ホットパッチ(プレビュー)」を有効化する

 

画面4 ホットパッチを有効にするには、仮想化ベースのセキュリティ(VBS)がオンになっている必要がある
画面4 ホットパッチを有効にするには、仮想化ベースのセキュリティ(VBS)がオンになっている必要がある

*3 これは製品の不具合なのか仕様なのか現時点ではわかりませんが、Windows Server 2025ではHyper-VとVBSは同時に利用できない場合があるようです。詳しくは、「メモ. 仮想化ベースのセキュリティ(VBS)の有効化方法(最新版)と最近気づいた疑問、疑わしい犯人」をご覧ください。


 ホットパッチの有効化が成功すると、「Enrollment succeeded」という通知が表示され、「概要」の「ホットパッチ(プレビュー)」の表示は「有効」(有効化ページでは「Enable hotpatching: オン」)に切り替わります。この後は、更新プログラムのオーケストレーションを設定します。Azure VM向けのホットパッチとは異なり、Azure Arcのホットパッチでは、Azureによる調整は行われません。

 

 「概要」ページの「更新」をクリックするか「操作|更新(プログラム)」の「設定の更新」をクリックして、「定期評価」を有効化します(画面5)。定期評価は、対象の物理サーバー/VMで利用可能な最新の更新プログラムを確認し、更新状態を確認するための重要なタスクです。また、「操作|更新(プログラム)」の「スケジュールの更新」をクリックして、更新プログラムのインストールと再起動(必要に応じて)を自動化するための「メンテナンス構成」を作成し、スケジュールを設定します(画面6)。ホットパッチは通常、再起動が不要であるため、シンプルな繰り返しスケジュールを使用して、最大3か月の連続稼働を実現することができます。

 

画面5 Azure Arcに接続したサーバーの更新プログラムの「定期評価」を有効にする
画面5 Azure Arcに接続したサーバーの更新プログラムの「定期評価」を有効にする

 

画面6 更新プログラムのインストールと再起動(必要に応じて)を自動化するスケジュールを作成する
画面6 更新プログラムのインストールと再起動(必要に応じて)を自動化するスケジュールを作成する

2024年11、12月はホットパッチ、次のベースライン更新(要再起動)は2025年1月

 

 ホットパッチとベースラインの更新プログラムのリリーススケジュールと、リリース済み更新プログラムの情報については、以下のサイトで確認することができます。

Release notes for Hotpatch on Windows Server 2025 Datacenter Azure Edition|Microsoft Support(Microsoft)

 製品のリリース前月ですが、2024年10月の更新プログラム「KB5044284」(OSビルド26100.2033)がベースラインの更新プログラムに相当します。そのため、2024年10月12日(日本時間)までにホットパッチを有効にした物理サーバー、Azure以外のVMでOSビルド「26100.2033」まで更新済みであれば、11月13日(日本時間)が初めてのホットパッチ提供となりました。

 

 「メンテナンス構成」でスケジュールを作成してあれば、スケジュールに従って自動的に更新プログラムの検索、ダウンロード、インストールが行われます。すぐに更新プログラムのダウンロードとインストールを開始したいのであれば、「操作|更新(プログラム)」の「更新プログラムの確認」をクリックして、手動で検索し、「1回限りの更新」をクリックします(画面7)。このとき、インストール対象の更新プログラムの選択と、再起動オプション(「必要に応じて再起動」「再起動しない」など)を選択することができます。

 

画面7 「設定|更新(プログラム)」の「更新プログラムの確認」と「1回限りの更新」を使用しすると、再起動の有無を選択し、すぐに選択した更新プログラムのダウンロードとインストールを開始できる
画面7 「設定|更新(プログラム)」の「更新プログラムの確認」と「1回限りの更新」を使用しすると、再起動の有無を選択し、すぐに選択した更新プログラムのダウンロードとインストールを開始できる

 メンテナンス構成のスケジュールに任せる場合は、「操作|更新(プログラム)」の「履歴」から、その結果を確認することができます(画面8)。こちらが、Azure Arcによる更新プログラム管理の標準的な方法(ホットパッチに関係なく)です。

 

画面8 メンテナンス構成のスケジュールによるインストールの結果
画面8 メンテナンス構成のスケジュールによるインストールの結果

 なお、2024年11月の品質更新プログラムによって、通常のWindows Server 2025はOSビルドは「26100.2314」(KB4056617)に更新されますが、ホットパッチではOSビルド「26100.2240」(KB5046696)に更新されました。12月もホットパッチで更新され、2025年1月はベースラインの更新プログラムであるため再起動が必要になります。

 

ホットパッチの高速なダウンロードとインストールを体感してみよう


 ホットパッチやベースラインの更新プログラムは、ホットパッチが有効なWindows Serverに対してWindows Update経由で提供されます。そのため、「設定」アプリの「Windows Update」や「Sconfig」ユーティリティの「6) 更新プログラムのインストール」を使用して手動で更新プログラムをインストールすることもできます。以下のビデオは、月例のセキュリティ更新日である2024年11月13日(日本時間)に、Windows Updateを使用してホットパッチをインストールした様子です。編集なしの2分35秒のビデオですが、「更新プログラムのチェック」をクリックしてから2分以内にダウンロードとインストールが完了するのを体感できるでしょう。ビデオの最後には更新プログラムのファイルサイズも確認することができます。Windows Updateによる毎月の更新プログラムのダウンロードとインストール、そして再起動にどれだけ時間がかかるのかを思い出してください。

 

ビデオ Windows Updateによるホットパッチのインストール

 

最新情報

 Microsoftは2024年11月に開催された年次イベント「Microsoft Ignite 2024」において、「Hotpatch for Windows(client)」を発表し、パブリックプレビュー提供を開始しました。Hotpatch for Windows(client)は、ホットパッチ機能を企業のクライアントOSに対して提供するもので、Microsoft Intuneの「Windows Autopatch」を通じて、Windows 11 Enterpriseサブスクリプション(E3/E5)のデバイスおよびWindows 365 EnterpriseサブスクリプションのクラウドPCで実行される、Windows 11バージョン24H2に対して提供されます。

Hotpatch for client comes to Windows 11 Enterprise|Windows IT Pro Blog(Microsoft Community Hub)

Release notes for hotpatch public preview on Windows 11, version 24H2 Enterprise clients|Microsoft Support(Microsoft)

 

Windows Server 2025大特集(1)|...|(8)

 

blog_yamanxworld_subscribe

blog_yamanxworld_comment

blog_yamanxworld_WP_ws2025

戻る  
  次へ

最新記事