Das hängt jetzt wohl irgendwie mit der boot.sdl zusammen. Aber wieso und warum, da bin ich noch nicht ganz durchgestiegen, wie Microsoft das genau meint;

If you deploy dynamic updates such as this update to an existing Windows image, ensure the boot.stl file is included as part of the installation ...

Die komplette ISO muss neu erstellt werden. Die efisys.bin ist der Bootsektor für die ISO. Und hier muss die bootx64.efi mit CA 2023/SVN 3.0 enthalten sein. Die bootx64.efi in EFI-Order auf der ISO wird für das Booten hier nicht verwendet. Die ist nur für HDD/SDD/Stick gedacht. Wie gesagt, verwende ...

Das Austauschen der bootx64.efi geht aber nur bei USB Stick. Für ISO muss die efisys.bin ausgetauscht werden und die ISO neu erstellt werden.

Der Converter Skript schein hier ein Problem zu haben. Selbst wenn man eine ISO mit CA 2023/SVN 9.0 erstellt, wird die efisys.bin mit CA 2011/SVN 1.0 ...

Ja, das kann sein. Bereinigung geht nicht an jeder Stelle, da nicht alle integrierbaren Updates zu 100% offlinefähig sind. Integriert man z.B. nach dem LCU das NetFx3, kann nicht mehr bereiniget werden, weil die Installation des NetFx3 noch nicht abgeschlossen ist. Das geschieht erst nach dem Booten ...

In den VMs ist das CA 2023 im UEFI vorhanden? Falls nicht, dann bootet die ISO mit dem Zertifikat nicht.

OK, scheint ein Problem mit der efisys.bin zu sein. Die passt nicht. Dadurch wird der falsche Bootsektor geschrieben und das Booten der ISO endet entweder wegen widerrufenem CA 2011 oder wegen ...

Ja, das geht. Sollte aber eine aktuelles Bootmedium sein, das bereits SVN 9.0 verwendet. Sonst knallt es da wieder, wenn SVN 9.0 bereits im UEFI steht. Hier ist Booten und Installieren nicht mehr möglich, solange Secureboot aktiv ist.

Ansonsten, wenn es ein Stick ist und die 25H2 mind. 26200.8653 ...

Welche SecureBoot-Zertifikate sind in Deinen ISO's injiziert?
Einfach mal in den Eigenschaften von ~\EFI\boot\bootx64.efi die Signatur abfragen. Daran erkennt man,

Screenshot 2026-06-13 173314.png

Wenn da CA 2011 steht, ist es noch das alte Zertifikat. Wenn da CA 2023 steht, ist es das neue ...

Wenn Microsoft so weiter macht, wie bisher, sollte zum. eine MVS ISO passend für SVN 9.0 erscheinen. Das MCT sollte dann zeitnah auch aktualisiert werden. Sollte, wegen SVN 9.0. Ist halt Murks mit dieser SVN. Sobald die wieder erhöht wird, brauch man wieder angepasste Bootmedien. Macht mehr Arbeit.

Keine Ahnung. Halt wohl irgendwas bewirkt. Aber wenn es jetzt läuft, dann passt das ja.

Kann auch sein, dass die ISO ist alt ist. Das ist auch noch ein Problem. Die eine VM, die ich hier verwende, da funktioniert seit Dienstag wirklich nur noch eine ISO mit integriertem KB5094126 (26200.8655) für eine Neuinstallation.

Das Problem ist halt, dass man sich über ein BIOS-Update alle ...

Kannst Du Secureboot deaktivieren? Klingt stark danach, dass mit dem BIOS-Update die Zertifikate aktualisiert wurden und der Stick mit dem MCT-Image passt jetzt einfach nicht mehr. Microsoft hat die Images soweit noch nicht aktualisiert. Da muss man eingreifen. Mit Rufus z.B. die Option aktivieren ...

Das funktioniert bedingt. Rufus richtet nur das Booten der ISO mit den neuen Zertifikaten ein, beeinflusst aber nicht die Installation. Hier ist es wichtig, dass das Image aktuell ist. Bedeutet, wenn man heute mit so einem Stick installieren will, benötigt man zwingend ein Image mit dem Windows ...

Aktuelle ISOs hier im Blog oder über das Media Creation Tool (MCT). Solange das CA 2011 nicht widerrufen wird, booten sie alle. Erst wenn das widerrufen wird, braucht man dann eine entsprechende ISO mit dem CA 2023 Bootmanger. Da jetzt SVN 9 eingetragen ist, benötigt man vermutlich auch eine ISO ...

Interessant. Nach dem heutigen Sicherheitsupdate hat der mir alles auf dem Tablet aktualisiert, außer KEK. Aber da werde ich wohl auch nichts mehr bekommen. Aber der ganze Rest ist jetzt aktuell, auch DBX und SVN. Hätte ich nicht gedacht.

@Nanobot

Was Du mit 0x17 bezweckst, ist mit klar. Das habe ich früher auch gemacht, um die verschiedenen Windows Installationen voneinander abzuschotten.

Das ging auch mal mit GPT. Allerdings habe ich ds gerade mal getestet und ATTRIBUTE_HIDDEN hat dieselbe Wirkung wie ATTRIBUTE_NO_DRIVE_LETTER ...