月例更新プログラムでさらにトラブル。VMwareのセキュアブートが壊れて起動不可能になる問題が報告

先日公開された2月の月例更新プログラムKB5022842を、特定の環境で実行している仮想Windows Server 2022に適用すると、仮想マシンが起動しなくなるという問題が発生している事がわかりました(Neowin)。

更新プログラムのサポートページには以下のような情報が掲載されています。vSphere ESXi 7.0以下のバージョンで実行しているSecure Boot が有効な Windows Server 2022のVM にのみ影響するそうです。

After installing this update on guest virtual machines (VMs) running Windows Server 2022 on some versions of VMware ESXi, Windows Server 2022 might not start up. Only Windows Server 2022 VMs with Secure Boot enabled are affected by this issue. Affected versions of VMware ESXi are versions vSphere ESXi 7.0.x and below.

この更新プログラムを VMware ESXiの一部のバージョンで Windows Server 2022 を実行しているゲスト仮想マシン(VM)にインストールすると、Windows Server 2022 が起動しなくなることがあります。この問題は、Secure Boot が有効な Windows Server 2022のVM にのみ影響します。VMware ESXiの影響を受けるバージョンは、vSphere ESXi 7.0.xおよびそれ以下のバージョンです。

VMwareはアドバイザリで、この問題の症状や特定方法を詳しく説明しています。

Symptoms

After installing Windows Server 2022 update KB5022842 (OS Build 20348.1547), guest OS can not boot up when virtual machine(s) configured with secure boot enabled running on vSphere ESXi 6.7 U2/U3 or vSphere ESXi 7.0.x.

In VM vmware.log, there is ‘Image DENIED’ info like the below:

2023-02-15T05:34:31.379Z In(05) vcpu-0 - SECUREBOOT: Signature: 0 in db, 0 in dbx, 1 unrecognized, 0 unsupported alg.
2023-02-15T05:34:31.379Z In(05) vcpu-0 - Hash: 0 in db, 0 in dbx.
2023-02-15T05:34:31.379Z In(05) vcpu-0 - SECUREBOOT: Image DENIED.

To identify the location of vmware.log files:

1. Establish an SSH session to your host. For ESXi hosts
2. Log in to the ESXi Host CLI using root account.
3. To list the locations of the configuration files for the virtual machines registered on the host, run the below command:

   #vim-cmd vmsvc/getallvms | grep -i "VM_Name"

4. The vmware.log file is located in virtual machine folder along with the vmx file.
5. Record the location of the .vmx configuration file for the virtual machine you are troubleshooting. For example:

   /vmfs/volumes/xxxxxxxx-xxxxxxx-c1d2-111122223333/vm1/vm1.vmx
   /vmfs/volumes/xxxxxxxx-xxxxxxx-c1d2-111122223333/vm1/vmware.log

残念ながら、この問題は現時点では修正されていませんが、vSphere ESXiをバージョン8.0にアップグレードすることで回避することが可能です。

Resolution

Currently there is no resolution for virtual machines running on vSphere ESXi 6.7 U2/U3 and vSphere ESXi 7.0.x. However the issue doesn't exist with virtual machines running on vSphere ESXi 8.0.x.

Workaround

There are three methods to avoid this issue

1. Upgrade the ESXi Host where the virtual machine in question is running to vSphere ESXi 8.0
2. Disable "Secure Boot" on the VMs.
3. Do not install the KB5022842 patch on any Windows 2022 Server virtual machine until the issue is resolved.

問題の詳細はこちらで確認可能です。