Ein typisches Patch-Fenster für Windows-Server scheitert selten am Download. Häufig wird der Neustart zum Engpass: Applikationsteam, Datenbankteam, Loadbalancer-Konfiguration und Bereitschaftsdienst müssen denselben Zeitraum freigeben. Windows Server 2025 Hotpatching kann diesen monatlichen Reboot-Druck senken, wenn der Server die technischen Voraussetzungen erfüllt und über Azure Arc sowie Azure Update Manager verwaltet wird. Der Suchbegriff Windows Server updates without reboot ist dabei nur eingeschränkt zutreffend: In Hotpatching-Monaten entfällt der Betriebssystem-Neustart für qualifizierte Sicherheitsupdates, in Baseline-Monaten bleibt er erforderlich.
Was Hotpatching in Windows Server 2025 wirklich bedeutet
Hotpatching installiert sicherheitsrelevante Änderungen in ausgewählten laufenden Windows-Komponenten. Der Server muss nach einem Hotpatching-Update nicht neu gestartet werden, sofern keine andere Änderung einen Reboot auslöst. Für den Serverbetrieb reduziert das geplante Failover-Vorgänge und Abstimmungen mit Fachverfahren, etwa bei IIS-Anwendungen, Dateidiensten oder Middleware-Servern.
Hotpatching ersetzt keine Wartungsfenster. Treiber-, Firmware-, Anwendungs- und Konfigurationsänderungen folgen weiterhin eigenen Neustartregeln. Auch Microsofts Hotpatch-Zyklus enthält fest eingeplante Baseline-Monate mit kumulativen Sicherheitsupdates und Reboot. Der Unterschied zum klassischen Patch-Modell liegt im Jahresrhythmus: Statt zwölf monatliche Neustarts für Betriebssystem-Sicherheitsupdates einzuplanen, planst du bei qualifizierten Windows Server 2025-Systemen vier Baseline-Monate und bis zu acht Hotpatching-Monate.
Eine vertiefende Einordnung zu Windows Server 2025, Windows Admin Center, PowerShell, Azure Arc und Patch-Management findest du im Windows Server 2025 Administration Training.
Verfügbarkeit, Lizenz und Kosten vor dem Rollout prüfen
Microsoft hat Hotpatching für Windows Server 2025 über Azure Arc auf Server außerhalb von Azure ausgeweitet. Ob ein System berechtigt ist, hängt aber nicht nur vom Betriebssystem ab. Prüfe vor dem Rollout die aktuelle Microsoft-Verfügbarkeitsmatrix, die Lizenzbedingungen und die Einstellungen in deiner Azure-Subscription, statt Annahmen aus einem Pilot-Tenant auf die gesamte Umgebung zu übertragen.
Für Windows Server 2025 Standard und Datacenter in lokalen Rechenzentren oder anderen Clouds ist Azure Arc der zentrale Verwaltungspfad. Plane deshalb Azure-Arc-Onboarding, Update-Richtlinien, RBAC-Berechtigungen, Ressourcengruppen, Tags und Reporting bereits im Migrationsdesign. Dokumentiere außerdem, ob Azure Update Manager, Azure Arc und verbundene Azure-Dienste in deinem Tenant Kosten verursachen. So scheitert eine technische Hotpatching-Freigabe später nicht an Governance- oder Budgetfragen.
Windows Server 2025 Hotpatching requirements: Welche Server sich qualifizieren
Microsoft nennt für Windows Server 2025 Hotpatching requirements mehrere harte Kriterien. Die Prüfung gehört vor den ersten Pilot-Rollout, weil ein späterer Wechsel von Legacy-BIOS auf UEFI oder von Hyper-V Generation 1 auf Generation 2 meist eine neue VM-Bereitstellung oder eine Migrationsplanung erfordert.
| Prüfpunkt | Anforderung | Admin-Hinweis |
|---|---|---|
| Edition | Windows Server 2025 Standard, Datacenter oder Datacenter: Azure Edition | Für Standard- und Datacenter-Installationen außerhalb von Azure ist Azure Arc der relevante Verwaltungspfad. |
| Build | Windows Server 2025 Build 26100.1742 oder höher beziehungsweise der aktuell von Microsoft dokumentierte Mindeststand | Prüfe CurrentBuild und UBR; Build 26100.1742 bedeutet CurrentBuild 26100 und UBR 1742. |
| Installation | Server Core oder Desktop Experience | Beide Installationsvarianten sind zulässig. |
| Sicherheitsbasis | Virtualization-based Security, UEFI und Secure Boot | Die Formulierung Windows Server 2025 VBS Secure Boot Hotpatch meint in der Praxis: VBS muss laufen und Secure Boot muss aktiv sein. |
| Azure-Anbindung | Azure Arc-enabled Server mit funktionsfähigem Azure Connected Machine Agent | azcmagent show sollte einen verbundenen Status und einen aktuellen Agent-Health-Status liefern. |
| Hyper-V-VMs | Generation 2 VM | Generation 1 nutzt Legacy-BIOS und erfüllt die UEFI- und Secure-Boot-Anforderungen nicht. |
Diese PowerShell-Befehle liefern eine reproduzierbare Vorprüfung. Führe sie mit administrativen Rechten aus und dokumentiere die Ergebnisse im CMDB- oder Change-System.
$cv = Get-ItemProperty 'HKLM:\SOFTWARE\Microsoft\Windows NT\CurrentVersion'
'{0}.{1}' -f $cv.CurrentBuild, $cv.UBR
Get-ComputerInfo | Select-Object WindowsProductName, OsName, OsVersion, OsBuildNumber
Confirm-SecureBootUEFI
Get-CimInstance -ClassName Win32_DeviceGuard | Select-Object VirtualizationBasedSecurityStatus, RequiredSecurityProperties, AvailableSecurityProperties
azcmagent show
# Auf dem Hyper-V-Host prüfen:
Get-VM -Name APP01 | Select-Object Name, GenerationBei Win32_DeviceGuard steht der Wert 2 bei VirtualizationBasedSecurityStatus für aktivierte und laufende VBS. Confirm-SecureBootUEFI liefert bei UEFI mit Secure Boot den Wert True; auf Legacy-BIOS-Systemen schlägt der Befehl fehl. Wenn der Server nicht sauber über Azure Arc verbunden ist, zeigt azcmagent show keinen nutzbaren Connected-Status.
Patch-Kalender: Warum Reboots weiterhin existieren
Der reguläre Hotpatch-Kalender hat vier Baseline-Monate: Januar, April, Juli und Oktober. In diesen Monaten installiert der Server ein kumulatives Baseline-Sicherheitsupdate. Dieses Update erfordert einen Neustart, weil es den Referenzstand für die folgenden Hotpatching-Updates setzt.
Quartalsmodell
Januar, April, Juli und Oktober sind Reboot-Monate für Baseline-Updates. Plane dafür reguläre Wartungsfenster, Failover-Tests und Applikationsfreigaben.
Hotpatching-Monate
In den jeweils zwei Folgemonaten erhalten qualifizierte Systeme Hotpatching-Updates ohne Reboot. Microsoft beschreibt damit bis zu acht Hotpatching-Updates pro Kalenderjahr.
Für die Jahresplanung bedeutet das: Du definierst vier verbindliche Wartungsfenster für Betriebssystem-Baselines und ergänzt acht monatliche Kontrollpunkte für Update-Status, Compliance-Bericht und Applikationsmonitoring. Gegenüber Stakeholdern solltest du deshalb nicht den Satz keine Server-Neustarts mehr verwenden. Korrekt ist: weniger Neustarts für Betriebssystem-Sicherheitsupdates, aber weiterhin quartalsweise Baseline-Reboots.
Wie Azure Arc und Azure Update Manager zusammenarbeiten
Bei Azure Arc Hotpatching Windows Server 2025 ist der Azure Connected Machine Agent der Einstiegspunkt. Der Agent verbindet einen lokalen oder in einer anderen Cloud betriebenen Server mit Azure Arc und stellt ihn als Azure-Ressource bereit. Erst danach können Azure Policy, Ressourcengruppen, Tags, RBAC-Berechtigungen und die zentrale Verwaltung über Azure Update Manager greifen.
Ein Server kann Hotpatching nutzen, wenn Edition, Build, Secure Boot, VBS und Azure-Arc-Status passen. Azure Update Manager übernimmt anschließend Updatebewertung, Wartungskonfigurationen, Bereitstellungszeitpläne und Statusberichte für Azure-VMs und Azure Arc-enabled Server. Wenn du nach Azure Update Manager Windows Server 2025 suchst, geht es in der Praxis deshalb nicht nur um Serverrechte: Du brauchst eine Azure-Subscription, ein Ressourcengruppenmodell, definierte Berechtigungen für Wartungskonfigurationen und ein Monitoring für Agent-Health.
Wenn dein Team Subscriptions, RBAC, Azure Policy und Update Manager erst einordnet, bieten die Azure Schulungen für Administratoren einen passenden Einstieg in die Betriebsgrundlagen.
Pilot-Rollout: 5 Schritte vor Produktion
- Kleine, risikoarme Servergruppe wählen: Starte mit internen Applikationsservern, Web-Frontends hinter einem Loadbalancer oder zustandsarmen Worker-Systemen. Vermeide in der ersten Welle einzelne Domain Controller, alleinstehende Datenbankserver und Cluster ohne getesteten Failover.
- Voraussetzungen standardisiert prüfen: Erfasse Edition, CurrentBuild, UBR, Secure Boot, VBS, VM-Generation und Azure-Arc-Status per Skript. Wenn dein Team solche Prüfungen versionieren und wiederholbar ausführen will, ist ein PowerShell Training eine passende Vertiefung.
- Baseline-Monate im Change-Kalender blocken: Reserviere Januar, April, Juli und Oktober als Neustartmonate. Plane pro Anwendung Startreihenfolge, Health-Checks und Rückfallplan.
- Update-Ringe und Reporting konfigurieren: Lege in Azure Update Manager getrennte Wartungskonfigurationen oder dynamische Bereiche für Pilot, Standard und Kritisch an. Erstelle Berichte für fehlgeschlagene Installationen, ausstehende Reboots, nicht bewertete Maschinen und nicht verbundene Azure-Arc-Agents.
- Ownership dokumentieren: Lege fest, welches Team Azure-Arc-Onboarding, Windows-Server-Betrieb, Security-Freigabe, Applikationstest und Incident-Behandlung verantwortet. Dokumentiere außerdem Ausnahmen, Rollback-Pfade und den Prozess für Server, die Hotpatching-Anforderungen nicht erfüllen.
Typische Fallstricke bei Secure Boot, Gen-2-VMs und Monitoring
- Alte VM-Templates: Viele ältere Hyper-V-Templates basieren auf Generation 1. Diese Maschinen erfüllen die UEFI- und Secure-Boot-Anforderungen nicht.
- Secure Boot deaktiviert: Manche Administratoren deaktivieren Secure Boot bei Troubleshooting oder älteren Treibern. Für Hotpatching muss Secure Boot wieder aktiv sein und der Startpfad muss UEFI nutzen.
- VBS nicht aktiv: Ein gesetzter Registry-Wert reicht nicht. Entscheidend ist, dass VirtualizationBasedSecurityStatus den laufenden Zustand bestätigt.
- Falsche Erwartung an Reboots: Baseline-Monate erfordern weiterhin Neustarts. Ein SLA, das gar keine Betriebssystem-Reboots vorsieht, passt nicht zum Microsoft-Hotpatch-Zyklus.
- Unvollständiges Azure-Arc-Onboarding: Ein installierter Agent reicht nicht, wenn die Maschine nicht als Azure-Ressource erscheint, keinen aktuellen Agent-Health-Status liefert oder in Azure Update Manager nicht bewertet wird.
- Parallele Tool-Ketten: Wenn Microsoft Configuration Manager, WSUS, manuelle Windows-Update-Einstellungen und Azure Update Manager ohne dokumentierte Zuständigkeit parallel arbeiten, entstehen widersprüchliche Wartungszeiten und unklare Compliance-Berichte.
Standardisiere die Vorprüfung deshalb als PowerShell-Skript, speichere die Ergebnisse pro Server und verknüpfe sie mit dem Change-Ticket. So erkennst du vor dem Pilot, ob die Blocker in der Plattform, im Betriebssystem oder im Azure-Onboarding liegen.
Fazit: Mit welchen Servern du starten solltest
Beginne mit Windows Server 2025-Systemen, die häufig gepatcht werden und bei denen monatliche Reboots operativ stören: Webserver hinter Loadbalancern, interne Applikationsserver, Managementserver oder zustandsarme Hintergrunddienste. Verschiebe hochkritische Workloads ohne getesteten Failover, ohne Applikations-Health-Check oder ohne Rollback-Pfad in eine spätere Welle.
Hotpatching gehört außerdem in die Windows Server 2025-Migrationsplanung. Prüfe für Windows Server 2012 R2, 2016, 2019 und 2022 den jeweils unterstützten Upgradepfad auf Windows Server 2025 und beachte zusätzliche Sicherheitsänderungen wie Credential Guard, das auf geeigneten Systemen standardmäßig aktiv sein kann. Wenn du von Windows Server 2019 oder 2022 umsteigst, hilft das Windows Server 2025 Umsteiger-Training dabei, neue Betriebsfunktionen, Anforderungen und typische Migrationsfehler strukturiert zu bewerten.