なかなかヤバそうな KB が…
Virtual Machine with Windows Server 2022 KB5022842 (OS Build 20348.1547) configured with secure boot enabled not booting up (90947)
kb.vmware.com
どういうことだってばよ?
以下の条件全てに合致してしまった場合、OS boot に失敗します。
MS の KB5022842 詳細サイト。
こちらにも Known issues として記載されていますね。
support.microsoft.com
OS boot に失敗ですが、具体的にはこうなる。
Security Violation...
もうチョイ詳しく
即アウトというわけでもない。パッチを適用する。
適用後 Reboot、初回はログイン画面が上がってくる。
パッチのインストールも成功しているし問題ないように思えるが…
再び Reboot をかけると…
OS は Boot しないまま最終的には BIOS 画面に落ちてしまいます…
どうしよう…
vSphere 側でとれる対応策として
- ESXi 8.0 へのアップデート
- インパクトでかすぎ…
- ESXi 7.0 U3k へのアップデート
- VMware ESXi 7.0 Update 3k Release Notes
- これでもインパクト大きいが、まだ許容できる…か?
- セキュアブートを無効化
- セキュリティ要件が許せば vSphere 的には楽。
Secure Boot の無効化は仮想マシンの設定にて。
グレーアウトされているが、上の「仮想化ベースのセキュリティ(VBS)」を外せばセキュアブートのチェックも外れる。
この状態であれば Boot する。
ただ、KB5022842 をアンインストールしたとしてもダメらしく、この後セキュアブートを戻したとしても OS Boot に失敗するので、当面はセキュアブート無効化運用が必須に…
なかなかヤバい
この件、初回再起動では OS Boot するというのが曲者っぽく、今月の Windows Update では問題ないが、直前に作業を行ってなかったとしてもどこかのタイミングで再起動した際に上がらなくなり、原因特定が困難になるというような時限爆弾が多発しそうな。
対応策も一応あるが、ESXi アップデート or Secure Boot 無効化と影響度合いやセキュリティ要件といった話になっていき、おいそれと進められるものでもなく厄介。
ひとまず現時点では KB5022842 の適用は保留し、MS 側で何らかの対応がとられることを注視しておくのがベターなのではなかろうか。。。
適用しても次回再起動までに OS の修正がふってきて、翌月には何もなかったかのように Windows Update やれるんじゃないかといのもワンチャン…
2023/3/21 追記
3月の Windows Update で Windows Server での対応がとられたっぽい。
当初の投稿でも貼り付けましたが KB 再載。
kb.vmware.com
This issue is resolved in the latest update released by Microsoft March 14, 2023 - KB5023705
Microsoft 側の KB 情報は…何も書いてないな…
support.microsoft.com
実機で試してみたいがもう仮想マシン消しちゃったんだよなぁ…
機会があればまた試してみます。
試してみました。