[English]Die Sicherheitsupdates zum Juli 2025-Patchday führen zu Problemen in virtuellen Maschinen. Virtualisierte Instanzen von Windows Server 2025 sowie Windows 11 24H2 starten unter Hyper-V oder VMware ESXi u.U. nicht mehr. Das Gleiche gilt für Windows 11 24H bzw. Windows Server 2025 auf Azure VMs – wo es inzwischen ein Out-of-Band-Update KB5064489 gibt. Ich ziehe mal einige Informationen zu diesen Problemen zusammen.
Hyper-V: Windows Server 2025 VMs starten nicht mehr
Hier im Blog gab es im Umfeld des Juli 2025 Patchday (8. Juli 2025) Meldungen über Probleme mit Windows Server 2025 in virtuellen Maschinen, die unter Hyper-V nicht mehr starteten.
Leserberichte über die VM-Probleme
Bereits kurz nach Freigabe der Sicherheitsupdates für Juli 2025 gab es zum Blog-Beitrag Patchday: Windows Server-Updates (8. Juli 2025) erste Rückmeldungen, dass Windows Server 2025 nicht mehr als VM unter Hyper-V booten könne.
Carsten hat in diesem Kommentar auf einen Thread Windows Server 2025 VM startet nicht nach Patchday CU20250 verwiesen, wo ein Nutzer beklagt, dass eine virtuelle Maschine mit Windows Server 2025 nach Installation der Juli 2025-Sicherheitsupdates nicht mehr booten kann. Dort wird mutmaßlich Hyper-V unter Windows Server 2016 verwendet.
Ein zweiter, von Carsten verlinkter, Forenthread befindet sich auf reddit.com. Dort melden mehrere Nutzer, dass die virtuellen Maschinen mit Windows Server 2025 unter Hyper-V im Anschluss an die Installation des Juli 2025-Update nach dem Reboot nicht mehr hoch kommen.
Auch Blog-Leser Thomas meldet sich in diesem Kommentar, weil die VM mit Windows Server nicht mehr bootet. Blog-Leser it_hamburg beschreibt in diesem Kommentar hier im Blog das Fehlerbild so: "Eine Windows Server 2025 VM ist nach dem Start hängen geblieben" und er musste diese aus der Wiederherstellungskonsole mit dem Befehl:
dism.exe /image:C:\ /cleanup-image /revertpendingactions
wiederherstellen (dabei wurde das Juli 2025-Update entfernt). Hintergrund für das Verhalten ist die Virtualization-Based Security (VBS), die bei manchen VMs zu Startproblemen führt.
Workaround für das VM Boot-Problem bei Server 2025
Blog-Leser it_hamburg liefert in diesem Kommentar die Erklärung: Seine VMs liegen noch in der Hyper-V-Konfiguration 8.0 vor, da sie unter Windows Server 2016 aufgesetzt und dann auf Windows Server 2025 aktualisiert wurden. Mit einer aktuellen Version von 12.0 läuft das 2025-07 Update mit der gleichen VHDX durch und fährt wieder hoch.
Microsoft beschreibt in diesem Support-Beitrag die verschiedenen Hyper-V-Konfigurationsversionen.
Windows Server 2025 hängt auf ESXi 7.0
Die Tage bin ich bei Microsoft Answers auf den Beitrag Windows Server 2025 Standard VM Freezing on ESXi 7 with Consistent 21% CPU Usage After Updates [KB5062553] on 10 July 2025 [Temporary FIX] gestoßen, wo ein ähnliches Verhalten beschrieben wird. Bei einer virtuellen Maschine (VM) mit Windows Server 2025 Standard Edition auf VMware ESXi 7 friert die VM häufig ein und reagiert überhaupt nicht mehr, sobald die Windows-Updates am 10. Juli 2025 installiert wurden.
Fix durch Out-of-Band-Update KB5064489
Microsoft hat das Problem inzwischen sowohl für Windows 11 24H2 als auch für Windows Server 2025 eingestanden und zum 13. Juli 2025 ein Out-of-Band-Update KB5064489 bereitgestellt (Bolko hat es hier erwähnt). In der Beschreibung des Fix heißt es:
- [Fix for Azure Virtual Machines with Trusted Launch disabled] This update addresses an issue that prevented some virtual machines (VMs) from starting when Virtualization-Based Security (VBS) was enabled. It affected VMs using version 8.0 (a non-default version) where VBS was offered by the host. In Azure, this applies to standard (non–Trusted Launch) General Enterprise (GE) VMs running on older VM SKUs. The problem was caused by a secure kernel initialization issue.
Microsoft ist aufgefallen, dass mit den Juli 2025-Updates virtuelle Maschinen in Azure nicht mehr booten, wenn Virtualization-Based Security (VBS) aktiviert (bzw. Trusted Launch deaktiviert) ist und die Maschine mit der Hyper-V-Konfiguration 8.0 genutzt wird. Die Beschreibung bezieht sich zwar auf Azure VMs, das Fehlerbild entspricht aber dem was ich oben für Hyper-V skizziert habe. Das Problem kommt durch eine Änderung bei der sicheren Kernel-Initialisierung. Der betreffende Supportbeitrag bzw. das Out-of-Band-Update wurde für Windows 11 24H2 sowie für Windows Server 2025 (24H2) veröffentlicht.
Zum Beheben dieser Startprobleme hat Microsoft das Out-of-Band-Update KB5064489 sowohl für Windows 11 24H2 (Clients) als auch für Windows Server 2025 veröffentlicht. Das Update steht bisher nur im Microsoft Update Catalog für die betreffenden Windows-Versionen bereit und muss von Administratoren manuell heruntergeladen und dann auf den betroffenen VMs installiert werden.
Ähnliche Artikel:
Microsoft Security Update Summary (8. Juli 2025)
Patchday: Windows 10/11 Updates (8. Juli 2025)
Patchday: Windows Server-Updates (8. Juli 2025)
Patchday: Microsoft Office Updates (8. Juli 2025)
Windows 10/11: Preview Updates 24. /26. Juni 2025
Windows 11 24H2: Azure Virtual Desktop (AVD) App-Attach scheitert
Windows 11 24H2 Juni 2025-Update-Probleme: KB5060842 mit falschem Zeitstempel und Print to PDF
Update KB5060829 triggert Firewall-Events
WSUS hat Synchronisationsprobleme (9. Juli 2025)
MVP: 2013 – 2016
Ich hatte teilweise keine Berechtigungen mehr für die VHDX Dateien und musste Sie mit:
icacls Pfad_der_.vhd_oder_.avhd_file /grant "NT VIRTUAL MACHINE\ID_der virtuellen_Maschine":(F)
neu setzten. Danach ließen sich die VM's wieder sauber starten.
Bei einem anderen Kunden haben wir mit TrendMicro Worry Free Business ein Problem seit dem Update. RDS Sitzungen lassen sich zwar aufbauen, jedoch funktioniert die Anmeldung am Benutzerprofil nach ein paar Minuten nicht mehr.
In den Ereignislogs sieht man, dass TrendMicro crashed und danach andere Dienste und Programme. Beendet man TrendMicro einmal und öffnet es wieder, hören die App Crashes auf und die RDS Sitzungen können auch weiterhin aufgebaut werden.
Zumindest ein Problem ist hausgemacht durch die Administratoren:
Windows Server 2025 als VM benötigt mindestens einen Hyper-V Host mit Windows Server 2022. Ältere Versionen sind nicht supported und waren es auch nie.
Das wird gerne bei Updates von Hyper-V Hosts und VMs vergessen, gilt dabei aber natürlich genauso und schlägt tückischerweise als Fehler in diesem Fall erst mit einem späteren Windows Update auf.
https://learn.microsoft.com/en-us/windows-server/virtualization/hyper-v/supported-windows-guest-operating-systems-for-hyper-v-on-windows
Du spülst irgendwie eine unfreiwillige Komik mit deinem Kommentar in den Blog. Blame the victims nennt sich das – da sind die Administratoren schuld, die ihre Hyper-V-Hosts und VMs nicht "richtig" upgedated haben. Ist formal zwar richtig – aber was sagst Du denn den Leuten, die bei Azure VMs in den gleichen Strudel geraten sind? Musste da der Kunde auch eine Aktualisierung vornehmen – oder wäre das Aufgabe von Microsoft gewesen? Und warum hat Microsoft ein Out-of-Band-Update veröffentlicht, was die Problematik beheben soll? Fragen über Fragen …
Unfreiwillige Komik, ja… durchaus irgendwie :)
Zu Azure VMs kann ich leider nichts beitragen.
"It affected VMs using version 8.0 (a non-default version) where VBS was offered by the host." >> non-default version klingt zwar etwas nach "der Nutzer hat da etwas manuell angepasst", doch wer Schuld ist? Unklar.
Unter Hyper-V gehört für ein "richtiges" und vollständiges Update durchaus dazu: Kompatibilität / Freigabe prüfen bevor man überhaupt aktualisiert und eben im Updateprozess die Konfigurationsversionen zu erhöhen.
Schön wäre, wenn die Software einen auf solche Fallstricke hinweist / den Updateprozess besser begleitet. Diese Kritik geht dann an Microsoft.
Genauso wie ein Windows Update sinnigerweise empfindliche Dinge vor Installation prüfen und ansprechen sollte!
Da kann ich mitgehen – weshalb ich auch die "unfreiwillige Komik" ins Spiel gebracht habe.
Bin ich zu dumm oder kann man das Update für den Server 2025 noch nicht aus dem Update Katalog herunterladen?
sieht soaus, dass MS die falschen Updates verlinkt hat
Das Update wird gefunden.
Suchstring im Katalog:
server 2025 KB5064489
1 Treffer vom 13.07.2025
Bei einem Klick auf "Herunterladen" stehen im Popup-Fenster dann 2 Updates:
windows11.0-kb5043080-x64_953449672073f8fb99badb4cc6d5d7849b9c83e8.msu
windows11.0-kb5064489-x64_6640d1a7a2a393bd2db6f97b7eb4fe3907806902.msu
Das zweite ist das gesuchte Update.
catalog. update. microsoft.com/Search.aspx?q=server%202025%20KB5064489
Hallo Bolko,
das Update lässt sich bei mir leider nicht installieren.
Welche Fehlermeldung gab es denn?
Alternative Möglichkeit zur Installation:
1.
cab aus dem msu auspacken:
expand -F:* c:\update\windows11.0-kb5064489-x64_6640d1a7a2a393bd2db6f97b7eb4fe3907806902.msu c:\update
2.
cab installieren:
Dism.exe /online /add-package /PackagePath:c:\update\Windows11.0-kb5064489-x64.cab
eventuelle Fehlermeldungen stehen in:
c:\Windows\Logs\Dism\dism.log
Sorry Bolko, aber ich bekomme die Datei leider nicht entpackt. Hab es mit Powershell und CMD, jeweils mit und ohne Adminrechte auf zwei Rechnern probiert und erhalte jedesmal die folgende Meldung:
Fehler beim Öffnen der Eingabedatei: c:\update\windows11.0-kb5064489-x64_6640d1a7a2a393bd2db6f97b7eb4fe3907806902.
Du musst den Pfad anpassen, damit er die Datei findet.
Außerdem fehlt bei dir die Dateierweiterung, denn da steht ein Punkt am Ende statt msu.
Hier trat Fehler 2148468792 auf. Warum wird das alte kb5043080 ebenfalls mitgeliefert?
verrückt, mittlerweile ist es schwere einen Monat zu finden, in dem man ohne größere Probleme alles updaten kann.
So langsam etablieren sich zwei Patchday/Jahr, muss man leider sagen!
gilt dieses auch für die KVM Maschinen?
das Problem auf On-Prem HV Hosts mit rein lokalen W25-VM tritt also nicht generell, sondern bei einigen (teils nicht supporteten) Kombinationen aus Win11/S25 24H2 im Gast, Host-OS zu alt oder älter als Gast-OS, wenn dann noch die VM Konfigurationsversion veraltet ist – und lässt sich durch das simple anheben auch beheben? azure nutze ich nicht und interessiert mich nicht.