Vent de panique chez les administrateurs de systèmes informatiques. La mise à jour KB5022842 de février 2023 fait planter les machines virtuelles Windows Server 2022 au format VMware ESXi. Ces machines virtuelles ne démarrent tout simplement plus correctement.
D’après les retours, cela concerne les environnements suivants :
- Serveur de virtualisation VMware ESXi 6.7 U2, ESXi 6.7 U3 et ESXi 7.0.x (toutes sous-versions)
- Système d’exploitation de la VM : Windows Server 2022 (Standard et Datacenter)
- Secure Boot activé dans la VM
Cela ne semble pas affecter les VM sous Hyper-V, ni les autres versions de Windows Server (2019, 2016), ni si le Secure Boot n’est pas activé dans le Bios de la VM WS22.
Un problème commun entre VMware et Microsoft
Chez VMware :
After installing Windows Server 2022 update KB5022842 (OS Build 20348.1547), guest OS can not boot up when virtual machine(s) configured with secure boot enabled running on vSphere ESXi 6.7 U2/U3 or vSphere ESXi 7.0.x.
Currently there is no resolution for virtual machines running on vSphere ESXi 6.7 U2/U3 and vSphere ESXi 7.0.x. However the issue doesn’t exist with virtual machines running on vSphere ESXi 8.0.x.
Chez Microsoft :
After installing this update on guest virtual machines (VMs) running Windows Server 2022 on some versions of VMware ESXi, Windows Server 2022 might not start up. Only Windows Server 2022 VMs with Secure Boot enabled are affected by this issue. Affected versions of VMware ESXi are versions vSphere ESXi 7.0.x and below.
Solutions au KB5022842 et Windows Server 2022
S’il n’y a pour l’instant aucun correctif à cet update, VMware et Microsoft recommandent l’une des actions suivantes.
1. Désactiver le Secure Boot sur les VM en question.
2. Migrer sur VMware ESXi 8.0 (encore faut-il que votre hardware soit compatible et avoir une licence).
3. Restaurer le système d’exploitation / désinstaller le KB5022842 / ne pas installer KB5022842. Malheureusement, cela ne semble pas suffisant si l’update a déjà été installée.
Ce n’est pas non plus le moment de faire la mise à niveau de Windows Server 2019 ou 2016 vers 2022 à la vue des problèmes actuels sur l’OS serveur le plus récent de Microsoft.
Patch VMware
L’éditeur de la solution de virtualisation a publié un patch pour son hyperviseur ESXi 7.0. Cette « Update 3k » doit corriger le souci rencontré avec le fix de Microsoft.
The Windows update package delivers a new form of digital signature on the EFI bootloader, which UEFI Secure Boot incorrectly rejects. As a result, virtual machines might fail to locate a bootable operating system and not boot.
La solution proposée par VMware est la suivante :
- Patcher l’hôte en VMware ESXi 7.0 Update 3k ESXi70U3k-21313628 (ou migrer en 8.0).
- Installer KB5022842.
Les VM Windows Server 2022 doivent correctement démarrer sans aucune modification au niveau du Bios UEFI et du Secure Boot.
Il n’y a toujours pas de correctif pour ESXi 6.7 qui n’en recevront sûrement jamais puisque leur cycle de vie est terminé.
Désactiver Secure Boot sur une VM ESXi
1. Ouvrir la console VMware et éteindre la machine virtuelle en question.
2. Faire un clic droit sur la VM, « Modifier les paramètres » / « Edit Settings » :
3. Aller sur l’onglet « Options VM » / « VM Options » :
4. Dans « Boot Option« , décocher « Secure Boot enabled » et valider par « OK« .