HILFE! Laptops starten nach Windows-Update nicht mehr offline

Hallo zusammen und v.a. Holger @baumhof und @WildXI,

ich bin am Verzweifeln!!!

Wir hatten bereits am Anfang Probleme mit unseren Lenovo Laptops, die nicht offline starten wollten (und das ist wichtig, da die Kollegen sie auch mit nach Hause nehmen sollen). Hier brachte ein Tipp von Holger Abhilfe:
die EFI-Partition hatte erst (ausschließlich) folgenden Inhalt:

/EFI/grub/grubx64.efi

Nachdem wir einen weiteren Ordner mit Namen redhat angelegt, die grubx64.efi dorthin kopiert und nach grub.efi umbenannt hatten, also

/EFI/redhat/grub.efi

booteten die Laptops endlich auch offline.
So weit so gut. Müsste man das eben einmalig auf jedem Laptop manuell machen und es würde laufen.

Als sich im Rahmen der Imageerstellung jetzt aber ein kumulatives Windows-Update installiert hat:

hat dieses den Windows-Start zerschossen und es kam (beim Offline-Boot) diese Fehlermeldung:

Eine Startreparatur von Windows-CD brachte nichts. [Edit]: Mit dem richtigen Windows-Stick konnte ich’s nun doch reparieren aber jetzt startet halt Windows und kein Linbo mehr.[/Edit]
Also Linbo vom Netz gebootet und in die EFI-Partition geschaut. Dort liegen jetzt neben den grub und redhat Ordnern plötzlich noch zwei weitere, so dass das Ganze so aussieht:

/EFI/Boot/bootx64.efi
/EFI/Microsoft/Boot/bootmgfw.efi
/EFI/Microsoft/Recovery
/EFI/grub/grux64.efi
/EF/redhat/grub.efi

Nach langem Ausprobieren führte es zum Erfolg, die grub.efi in den Microsoft-Ordner zu kopieren und dort die Datei bootmgfw.efi zu überschreiben:

cp /EFI/redhat/grub.efi /EFI/Microsoft/Boot/
mv /EFI/Microsoft/Boot/grub.efi /EFI/Microsoft/Boot/bootmgfw.efi

Die Laptops starten nun wieder offline!

So weit,so gut. Dann kam aber gleich das nächste kumulative Update:

und anschließend dasselbe: Laptops starten nicht mehr!!!

Auch das ließ sich mit der o.g. Methode beheben aber das ist ja keine Lösung, denn man müsste das nach jedem Windows-Update, das in die EFI-Partition schreibt an jedem einzelnen Laptop machen!!!

Langer Rede kurzer Sinn: HILFE!!!
Wenn ich das nicht gelöst bekomme, haben wir 60 Laptops umsonst gekauft und ich hab ein Riesenproblem!

Habt Ihr irgendeine Idee?
So lange kann man die Updates wohl nicht zurückstellen, dass die nicht irgendwann die Installation kaputt machen!?
Reicht es, den Windows Update Dienst zu stoppen? Bleibt der gestoppt?
Könnte man irgendwas scripten, das beim Herunterfahren die korrekten Einträge setzt? Aber dazu müsste man ja auf die EFI-Partition zugreifen?
BIOS-Passwort setzen, wie irgendwo gelesen, hilft auch nichts.
Cache-Partition ist nicht die letzte, danach kommt noch Daten und diese hat eine feste Größe.

Verzweifelte Grüße,
Jochen

Lieber Jochen,

nicht verzweifeln: es gibt hier gleich mehrere Lösungsansätze.

1. Ich würde den Windows-Update-Dienst stoppen. Dazu steht bei heise ausführlich, welche Risiken man sich dabei einhandelt, guckst Du hier:
   https://www.heise.de/ratgeber/Windows-Updates-steuern-4295947.html
   (Artikel ist kostenpflichtig, c’t-Abonennten können ihn frei downloaden).

2. Mit einem Postsync-hook kann man die EFI-Partition nach jedem Sync mounten und Deine Scripte v. oben ausführen:

cp /EFI/redhat/grub.efi /EFI/Microsoft/Boot/
mv /EFI/Microsoft/Boot/grub.efi /EFI/Microsoft/Boot/bootmgfw.efi

Das habe ich noch nie gemacht, hier könnte vielleicht ein Kollege das Ganze mal schnell ausprobieren und Dir ein entsprechendes Script zukommen lassen. Es muss natürlich einmal nach einem Neustart von Windows bei physisch verbundenem grünem Netz in der Schule und STart über PXE ausgeführt werden - der zerstörte GRUB auf der Platte darf da nicht aktiv sein. Also dürfen Updates nur kontrolliert in der Schule ablaufen.

Wenn das NICHT funktionieren sollte - ich wüsste allerdings nicht, weshalb es nicht funktionieren sollte - kannst Du einen Ubuntu-Stick herstellen, der einfach das originale Ubuntu, z.B. 19.10 enthält und Dein Script von oben.
Ein Benutzer müsste in dem Fall, dass der Laptop nicht startet, Deinen stick einstecken, davon booten und den Befehl (z.B. „sudo repariermich“) ausführen. Pro Laptop ein Reparaturstick - und die Sache wäre geritzt.

Hier steht, wie Du einen so genannten „persistenten“ USB-Stick mit Live-Linux erstellst:
https://wiki.ubuntuusers.de/Persistenten_USB-Live-Stick_im_BIOS-Modus_erstellen/

Diese Variante hätte den Vorteil, dass Du zulassen kannst, dass Updates immer eingespielt werden (was ich nicht machen würde).

Soweit mal,
L.G.
Christoph G.

Lieber Christoph,

vielen Dank für Deine Antwort! Bin grade schon ziemlich durch, denn der Gedanke, dass ich 60 falsche Laptops bestellt haben könnte, bringt mich ziemlich in Stress! Zurückgeben is nicht mehr…

Ich hab auf die Schnelle nix zum kompletten Abwürgen der Updates gefunden, indem der Update-Dienst komplett gestoppt wird (kann ich im Stress aber auch überlesen haben), bin mir aber bewusst, dass das riskant ist. Aber Du meinst, das würde funktionieren und Windows schaltet den nicht irgendwie wieder von selbst an?
Trotzdem scheint es mir, wenn sich das Problem nicht anders lösen ließe, die favorisierte Alternative zu sein, denn da die Laptops standardmäßig unsynchronisiert starten sollen, damit die KollegInnen sich daheim Durcker etc installieren können, entfallen die Post-Sync-Scripte.
Oder könnte man das auch beim Herunterfahren von Windows aus irgendwie triggern?

Und den Stick würde ich ungern einsetzen wollen, denn das macht auch kein gutes Bild, wenn ich sage „Euer Laptop geht halt ca. einmal pro Monat kaputt und damit könnt/müsst Ihr ihn dann wieder reparieren“…

Hab auch schon überlegt, ob ich auf Win7 gehen sollte, da dort die Updates ja nicht automatisch installiert werden. Aber das wird ja in Kürze abgekündigt, ist auch nicht ideal…

Liebe Grüße,
Jochen

P.S.: konnte mit nem anderen Stick jetzt doch die Startreparatur machen aber jetzt startet natürlich nicht mehr Linbo sondern gleich Windows.

Hallo Jochen,

mal ein anderer Ansatz.
So wie ich das sehe sollen die Laptops ja von den Kollegen „ungesynct“
verwendet werden.
Du verwendest linbo also eigentlich nur, um es initial auf die Laptops
zu bringen.

Mein Vorschlag:
versuch doch mal linbo aus der NUmmer raus zu nehmen.
Ein UEFI BIOS kennt den Inhalt der EFI Partition: man kann dort als „zu
booten“ also auch den „Microsoft Boot Manager“ (oder so) auswählen.
Wenn du das nach dem initialen syncen machst, dann kann Windows updaten
wie es will.

Natürlich kann ich dir auch sagen, wie man Updates nachhaltig
ausschaltet: aber bei ungesyncten Geräten sollte amn das wirklich nciht
machen: nicht nur wegen der Gefahr sondern auch wegen des Datenschutzes:
da gibt es nämlich die Anlage 1 zur Verwaltungsvorschrift Bla die sagt,
dass neben Virenprüfer auch automatische Updates an sein müssen …

LG

Holger

Hallo Holger,

Ja, richtig.

Und um ca. halbjährlich ein Imageupdate mit zusätzlicher und aktualisierter Software auszurollen bzw. wenn jemand seine Installation zerschossen haben sollte.
Eigene Anpassungen sind dann natürlich futsch bzw. müssen nachgezogen werden.

Verstehe ich das richtig, dann starte ich ab dann immer direkt Windows, ohne Linbo? Wäre für die Kollegen natürlich noch komfortabler, weil schneller.
Wie würde dann der Prozess aussehen, wenn es ein neues Image gibt?

• in der Schule kabelgebunden temporär vom Netz Linbo booten
• Synchronisierter bzw. Neu+Start zieht das neue Image und installiert es

Aber dann starten die Laptops wieder in Linbo (bis zum nächsten Crash),oder?

Wie komme ich dann wieder auf den direkten Windows-Start?

Autsch, da war noch was… Ok, keine gute Idee!

Vielen Dank und liebe Grüße,
Jochen

P.S.: Ihr seid der Hammer! Vielleicht kann ich ja heute Nacht doch schlafen

Hallo Jochen,

Du verwendest linbo also eigentlich nur, um es initial auf die Laptops
zu bringen.

Und um ca. halbjährlich ein Imageupdate mit zusätzlicher und
aktualisierter Software auszurollen bzw. wenn jemand seine Installation
zerschossen haben sollte.

… so einfach ist das nicht mit einem neuen Image.
Die Leute haben ja selber noch Software installiert und Daten
erschaffen: nicht nur die in der Extrapartition, sondern auch Bookmarks
und Mails …

Verstehe ich das richtig, dann starte ich ab dann immer direkt Windows,
ohne Linbo? Wäre für die Kollegen natürlich noch komfortabler, weil
schneller.

ja

Wie würde dann der Prozess aussehen, wenn es ein neues Image gibt?

• in der Schule kabelgebunden temporär vom Netz Linbo booten
• Synchronisierter bzw. Neu+Start zieht das neue Image und installiert es

ja: aber das wirst du sowiso nur für die Desasterrecovery machen.

Aber dann starten die Laptops wieder in Linbo (bis zum nächsten Crash),oder?

nein: dann stellst du im BIOS wieder auf Windwos Bootmanager.

Ich weiß nicht, ob das klappt: aber ich könnte es mir vorstellen.

Wie komme ich dann wieder auf den direkten Windows-Start?

du stellst das wieder ein: im BIOS.

LG

Holger

Hallo, Jochen,

da fällt mir ein, dass ich immer nach dem letzten
import_workstations
meine
/var/linbo/boot/grub/[hardwareklasse].cfg
anfasse und da einstelle:

set default=1
set timeout=5
set fallback=0

Das bewirkt, dass nicht LINBO, sondern das erste BS auf der Platte vorausgewählt ist und vermeidet Wartezeiten. (Diese Änderung muss natürlich einmal auf Deine Laptops gesynct werden).

Und noch eine weitere Möglichkeit:

Windows kann beim Runterfahren Scripte ausführen:
Solch ein Script:

bcdedit /set {bootmgr} path \EFI\Microsoft\Boot\grub.efi (oder vielleicht bootmgfw.efi ?)

„restauriert“ Dir den entsprechenden Bootloader von Windows beim Herunterfahren aus.

Hier steht, wie man Windows-Scripte beim Herunterfahren automatisch ausführen lässt. Vielleicht kannst Du das in Dein Image übernehmen:

L.G.
Christoph G.

Hallo Jochen,

da ich viel mit Lenovo-Laptops arbeite noch ein Ratschlag „ins Blaue“: Bei einem Lenovo-Laptop hatte ich immer Schwierigkeiten mit dem Ubuntu-Start (ohne Linbo), bis ich einen baugleichen bekam, der problemlos funktionierte. Die Lösung war ein aktuelleres Bios. Jetzt gehen beide.

Viele Grüße (hoffe, du hast gut geschlafen)

Wilfried

Hallo Wilfried, Christoph und Holger,

ja, dank Euch! Es ist echt immer wieder super zu erfahren, wie schnell hier reagiert wird! Technischen Support inklusive Balsam für die Seele mitten in der Nacht, wo bekommt man das sonst!?

Ich werde Eure Vorschläge nächste Woche alle mal in Ruhe im Netz durchspielen und schauen, was (am besten) funktioniert.

Das hatten wir bereits upgedatet, es ist aktuell vom September.

Ja, das ist mir klar. Ich hab da auch noch nicht den Königsweg gefunden. Einerseits möchte ich den KollegInnen die Möglichkeit geben, eigene Sachen zu installieren (z.B. Drucker), andererseits sollen sie die Möglichkeit haben, im Desasterfall oder weil sie sich nicht zutrauen, das System selbst immer aktuell zu halten, sich ein neues, sauberes Image ziehen zu können. Ich stelle mir das so vor, dass die Poweruser, die wissen, was sie machen und wohl auch am meisten installieren/anpassen, ihre Installation selbst pflegen. Die brauchen dann auch (fast) nie ein neues Image. Und die anderen werden vermutlich eher weniger selbst installieren und sind evtl. froh, wenn sie immer mal wieder eine Aktualisierung bereitgestellt bekommen.
Hm, könnte OPSI hier hilfreich sein? Also kein neues Image aber Ausrollen zusätzlicher und Aktualisierung einzelner Software über OPSI!?
So oder so muss das Ziel sein, dass möglichst alle Daten, Mails etc. auf D: umgebogen werden.

Das klingt auch sehr interessant! Muss ich ausprobieren, um auch zu testen, ob im Fall eines Windowsupdates zuerst dieses oder mein Script zuschlägt.

VIELEN Dank Euch und liebe Grüße,
Jochen

Hallo zusammen,

also mit UEFI klappte das absolut nicht bzw. man hätte ganz üble Würgarounds machen müssen.
Jetzt haben wir es doch mal mit einer legacy BIOS Installation versucht, obwohl überall zu lesen ist, dass es dabei Probleme mit den meisten NVMe SSDs geben soll und …: es funktioniert!!!
Mir fällt ein riesen Stein vom

Vielen Dank für Eure Unterstützung und liebe Grüße,
Jochen

verschoben