Hat soweit alles geklappt. Fehlen halt noch zwei Zertifikate in der Default DB. Ob die wirklich wichtig sind, kann ich nicht sagen. Aber das muss vom Hersteller über ein UEFI-Update kommen. Auf die Variable hat Windows keinen Zugriff. Das sind praktisch die Werkseinstellungen für das UEFI, wenn man alles zurücksetzt.

Die Current DB und Current DBX passen so weit. SVN passt auch.

Ist halt nur doof, dass Du schon das "Microsoft Windows Production PCA 2011" zurückgezogen hast. Das verhindert jetzt natürlich, dass alle ISOs/Stick mit dem alten Bootmanager mit dem CA2011 Zertifikat nicht mehr booten werden.

[b]Edit:[/b] Hatte da gerade Current und Default übersehen. Jetzt passt das. Current ist bei Dir aktuell.

Hallo Danke an alle für die infos und erklärungen aber ich bekomme das erlichgesagt nicht so hin das alles grün wird o sollte o müsste , hier nochmal ein Bild von Check UEFI PK, KEK, DB and DBX.cmd
Ich hoff das es soweit passt das ich kein stress bekomme in Juni

Dism /Get-ImageInfo /ImageFile:\\?\GLOBALROOT\device\harddisk0\partition3\Recovery\WindowsRE\winre.wim /index:1

Ob es installiert ist, lässt sich am Screenshot nicht sagen. Aber gehe mal davon aus, dass es installiert ist und versucht wurde, dass Update in das laufende Windows zu installieren. Die WinRE.wim sollte Abbildversion 26100.7701 habe, 26100.7705 ist das installierte Windows. Was sagt denn folgendes:

[code]Dism /Get-ImageInfo /ImageFile:\\?\GLOBALROOT\device\harddisk0\partition3\Recovery\WindowsRE\winre.wim /index:1[/code]

[i]\harddisk0\partition4\[/i] musst Du ggf. an Deine Partitionierung anpassen. Standard ist Disk 0, Partition 4.

Aber wie gesagt, mit den Zertifikaten im UEFI hat das keinen Einfluss. Das wäre nur relevant, wenn ein Tool einen mittels der WinRE.wim einen bootfähigen Stick erstellt, erkennt, dass das neue Zertifikat vorhanden ist und daraufhin den neuen Bootmanager zur Erstellung des Sticks oder ISO verwendet.

[quote=moinmoin post_id=454754 time=1770124175 user_id=188]
Wurde mit Fehler abgebrochen. Dann ist es wie DK2000 geschrieben hat, wohl schon installiert mit dem letzten Update.
[/quote]
Ohh habs garnicht gesehen Danke für den hinweiß hmmm
heist jetzt für mich abwarten?

ReAgentC.exe /mountre /path c:\mount
Dism /Image:c:\mount /Add-Package /PackagePath:"<SSU>"
Dism /Image:c:\mount /Add-Package /PackagePath:"<SafeOS>"  
Dism /Image:c:\mount /CleanUp-Image /StartComponentCleanup /ResetBase
ReAgentC.exe /unmountre /path c:\mount /commit

Ne, Du versuchts wohl das SaveOS Du in das laufende Windows zu integrieren. Dafür ist es nicht gedacht. Es ist ausschließlich für die [i]WinRE.wim[/i] gedacht. Die offizielle Vorgehensweise bei aktivierter Recoveryumgebung (ist im Prinzi das, was auch Pentagon geschrieben hat:
)
[code]ReAgentC.exe /mountre /path c:\mount
Dism /Image:c:\mount /Add-Package /PackagePath:"<SSU>"
Dism /Image:c:\mount /Add-Package /PackagePath:"<SafeOS>"
Dism /Image:c:\mount /CleanUp-Image /StartComponentCleanup /ResetBase
ReAgentC.exe /unmountre /path c:\mount /commit[/code]

[i]c:\mount[/i] muss dabei vorher erstellt werden und kann danach wieder gelöscht werden. Schwierig ist nur, an das SSU ranzukommen, weil das im Paket für das SSU enthalten ist. Einzeln habe ich das nicht mehr gefunden. Müsst man also aus dem SSU extrahieren. Ob man es weglassen kann, ist immer schwer zu sagen, da das neue Update u.U. auch das neue SSU benötigt, damit es richtig integriert wird. Über Windows Update sollte das alles automatisch geschehen, sofern die Recoverypartition groß genug ist.

Aber wie auch immer, das neue WinRE.wim würde das Problem mit dem bootbaren Stick nicht in jedem Fall lösen.

Wurde mit Fehler abgebrochen. Dann ist es wie DK2000 geschrieben hat, wohl schon installiert mit dem letzten Update.

[quote=Pentagon post_id=454700 time=1769956827]
Lade dir Im Update Katalog die [i]windows11.0-kb5074111-x64.cab[/i] herunter.
Damit kommst du auf [b]10.0.26100.7701 [/b]

ReAgentC.exe /MountRE /path C:\mount
DISM /image:C:\mount /Add-Package /Packagepath:E:\UPDATE\Update_24H2\windows11.0-kb5074111-x64.cab
ReAgentC.exe /UnmountRE /path C:\mount /commit

In der 2. Zeile deinen Packagepath anpassen.
[/quote]
Hallo
habs jetzt glaube ich hinbekommen siehe bitte das Bild

Moin,
danke für eure Mühe, aber ich kann mit mein Problem leben. Ich warte bis Microsoft eine neue ISO raus bringt, wo das Zertifikat 2023 enthalten ist. Danach erstelle ich mir ein neues Rettungsmedium.
Trotzdem Danke, und bleibt gesund.
Gruß Grobi847

Dann kann es sein, dass das Tool zur Erstellung des AOMEI Recovery Sticks den neuen Bootamanger berücksichtig und diesen auch verwendet, wenn Secureboot aktiviert ist und das Zertifikat "Microsoft UEFI CA 2023" installiert ist. Ist das Tool noch nicht so weit angepasst worden, wird es auch weiterhin den alten Bootmanager verwenden und man wird Probleme bekommen, wenn das Zertifikat "Microsoft Windows Production PCA 2011" zurückgezogen wurde.

Und das wohl auch das Problem von Grobi847. Wenn man jetzt wüsste, welche Revision das WinPE in der Boot.wim hat, könnte man das eventuell leicht lösen.

Sind beide Zertifikate installiert und wurde das CA2011 nicht zurückgezogen, ist das egal. Beide Bootmanager wären dann noch gültig. Ist nur das CA2011 Zertifikat installiert, muss hier dann auch der alte Bootmanager verwendet werden. Der neue Bootmanager wäre nutzlos.

Aber wie gesagt, das Verhalten liegt an dem Tool, mit welchem man das Bootmedium erstellt.

Hab es doch mit dem [i]AOMEI [/i]Recovery-Stick selbst erlebt. Der bootet jetzt auf meinem [i]HP-ZBook[/i] auch mit Secure Boot. Das ist doch nur eine modifizierte WinRe.wim.

Aber auch wenn es für "Grobi847" gedacht war, wird das sein Problem mit dem Rettungsmedium nicht lösen. Außer das Tool, welches er zur Erstellung des Rettungsmediums verwendet, berücksichtig die Problematik.

Oh, sehe gerade: Das mit dem Rettungsmedium war ja "[i]Grobi847[/i]" und nicht "[i]Anime On[/i]"
Sorry for the confusion.

Sollte im Normalfall schon installiert sein, sofern die Recoverypartition groß genug ist.

Aber ich sehe da gerade nicht dem Zusammenhang.

[quote=Pentagon post_id=454700 time=1769956827]
Lade dir Im Update Katalog die [i]windows11.0-kb5074111-x64.cab[/i] herunter.
Damit kommst du auf [b]10.0.26100.7701 [/b]

ReAgentC.exe /MountRE /path C:\mount
DISM /image:C:\mount /Add-Package /Packagepath:E:\UPDATE\Update_24H2\windows11.0-kb5074111-x64.cab
ReAgentC.exe /UnmountRE /path C:\mount /commit

In der 2. Zeile deinen Packagepath anpassen.
[/quote]
Danke werd ich ausprobieren

Lade dir Im Update Katalog die [i]windows11.0-kb5074111-x64.cab[/i] herunter.
Damit kommst du auf [b]10.0.26100.7701 [/b]

ReAgentC.exe /MountRE /path C:\mount
DISM /image:C:\mount /Add-Package /Packagepath:E:\UPDATE\Update_24H2\windows11.0-kb5074111-x64.cab
ReAgentC.exe /UnmountRE /path C:\mount /commit

In der 2. Zeile deinen Packagepath anpassen.