vHoge

VMwareのアレコレ備忘録。CLIでがんばるネタ多め。

Windows Server 2022 の仮想マシンに KB5022842 を適用すると起動しなくなる

なかなかヤバそうな KB が…
Virtual Machine with Windows Server 2022 KB5022842 (OS Build 20348.1547) configured with secure boot enabled not booting up (90947) kb.vmware.com

どういうことだってばよ?

以下の条件全てに合致してしまった場合、OS boot に失敗します。

  • ESXi 6.7 U2/U3 or 7.0
  • Windows Server 2022
  • セキュアブート有効
  • 2023/2/14 公開の Windows パッチ KB5022842 を適用

MS の KB5022842 詳細サイト。
こちらにも Known issues として記載されていますね。
support.microsoft.com

OS boot に失敗ですが、具体的にはこうなる。

Security Violation...

もうチョイ詳しく

即アウトというわけでもない。パッチを適用する。
適用後 Reboot、初回はログイン画面が上がってくる。
パッチのインストールも成功しているし問題ないように思えるが…
再び Reboot をかけると… OS は Boot しないまま最終的には BIOS 画面に落ちてしまいます…

どうしよう…

vSphere 側でとれる対応策として

Secure Boot の無効化は仮想マシンの設定にて。
グレーアウトされているが、上の「仮想化ベースのセキュリティ(VBS)」を外せばセキュアブートのチェックも外れる。
この状態であれば Boot する。
ただ、KB5022842 をアンインストールしたとしてもダメらしく、この後セキュアブートを戻したとしても OS Boot に失敗するので、当面はセキュアブート無効化運用が必須に…

なかなかヤバい

この件、初回再起動では OS Boot するというのが曲者っぽく、今月の Windows Update では問題ないが、直前に作業を行ってなかったとしてもどこかのタイミングで再起動した際に上がらなくなり、原因特定が困難になるというような時限爆弾が多発しそうな。
対応策も一応あるが、ESXi アップデート or Secure Boot 無効化と影響度合いやセキュリティ要件といった話になっていき、おいそれと進められるものでもなく厄介。

ひとまず現時点では KB5022842 の適用は保留し、MS 側で何らかの対応がとられることを注視しておくのがベターなのではなかろうか。。。
適用しても次回再起動までに OS の修正がふってきて、翌月には何もなかったかのように Windows Update やれるんじゃないかといのもワンチャン…

2023/3/21 追記

3月の Windows UpdateWindows Server での対応がとられたっぽい。
当初の投稿でも貼り付けましたが KB 再載。
kb.vmware.com

This issue is resolved in the latest update released by Microsoft March 14, 2023 - KB5023705

Microsoft 側の KB 情報は…何も書いてないな… support.microsoft.com 実機で試してみたいがもう仮想マシン消しちゃったんだよなぁ…
機会があればまた試してみます。
試してみました。

vhoge.hateblo.jp