Windows bootet nicht nach Linux Installation

BlaBla · September 24, 2022, 6:19pm

Falls das jemanden interessiert oder jemandem hilft:

Rechner CPU i5-11400, RAM 8GB; Mainboard ASUS Prime H510M-A mit UEFI BIOS 1601; mit vorinstalliertem Win11 Home allein auf SSD 500 GB

Installation von Leap 15.4 (von USB, openSUSE-Leap-15.4-DVD-x86_64-Build243.2-Media.iso) verlief ohne Probleme, alle Vorschläge vom Installer angenommen (wg. Partitionieren etc.) . Linux bootete,
windows Partitionen waren da und Dateien lesbar, Eintrag in Grub “Windows Boot Manager (on /dev/nvme0n1p1)” war vorhanden, aber … windows ließ sich nicht starten, nach 2-3 s. war ich wieder im Grub Bootmenü.

Partitionierung vom SSD nach der Installation:

fdisk -l             
**Festplatte /dev/nvme0n1: 465,76 GiB, 500107862016 Bytes, 976773168 Sektoren**
Festplattenmodell: KINGSTON SNVS500G                        
Einheiten: Sektoren von 1 * 512 = 512 Bytes 
Sektorgröße (logisch/physikalisch): 512 Bytes / 512 Bytes 
E/A-Größe (minimal/optimal): 512 Bytes / 512 Bytes 
Festplattenbezeichnungstyp: gpt 
Festplattenbezeichner: 2A9B76AB-1962-4149-81B0-A2A130C569F1 

**Gerät         ****   Anfang****     Ende**** Sektoren**** Größe****Typ**
/dev/nvme0n1p1      2048    206847    204800   100M EFI-System 
/dev/nvme0n1p2    206848    239615     32768    16M Microsoft reserviert 
/dev/nvme0n1p3    239616 901529599 901289984 429,8G Microsoft Basisdaten 
/dev/nvme0n1p4 974929920 976773119   1843200   900M Windows-Wiederherstellungsumgebung 
/dev/nvme0n1p5 901529600 974929919  73400320    35G Linux-Dateisystem 

Partitionstabelleneinträge sind nicht in Festplatten-Reihenfolge. 


**Festplatte /dev/sda: 931,51 GiB, 1000204886016 Bytes, 1953525168 Sektoren**
Festplattenmodell: SAMSUNG HD103SI  
Einheiten: Sektoren von 1 * 512 = 512 Bytes
.......

Lösung durch Zufall: Im BIOS → Advanced Mode > Boot > Secure Boot > OS Type → Other OS ausgewählt (statt “Windows UEFI mode”), danach ließ sich win ohne Probleme aus dem Grub-Bootmenü starten.
Vlt kann jemand bitte kommentieren. Ich weiss nicht, ob es irgendwie mein Unwissen war bei der Installation oder was schiefgelaufen ist, falsch erkannt etc…

dcurtisfra · September 26, 2022, 11:33am

@BlaBla:

In YaST Systemadministration → System → Bootloader:

Reiter „Bootloader-Optionen” –
Häkchen bei „Fremdes OS testen” gesetzt?

ASUS Prime Mutterplatine –

In BIOS/UEFI → Erweiterte Einstellung (F7) → Reiter „Booten” –
KEK Datenbank –
*=2]Mindestens 3 Schlüsseln sollte defaultmäßig vorhanden sein –
*=3][key 1] – „ASUSTeK MotherBoard KEK Certificate”
*=3][key 2] – „Microsoft Corporation KEK CA 2011”
*=3][key 3] – „Canonical Ltd. Master Certificate Authority”

*=2]Optional – händisch geladen vom ‚/boot/efi/EFI’ – die openSUSE/SUSE Zertifikaten vom ‚/etc/uefi/certs/’ herein kopieren –
*=3][key 4] – „SUSE Linux Enterprise Secure Boot CA” → „BCA4E38E-shim.crt” …

[INDENT=4]Aber, Ich weiß nicht ob, ein Dual-Boot System kann mit so was umgehen …[/INDENT]

DB Datenbank –
*=2]Nur ASUS, Microsoft und, Canonical (Ubuntu) Schlüssen sollte vorhanden sein plus, ein Platzhalter –
*=3][key 1] – „ASUSTeK MotherBoard SW Key Certificate”
*=3][key 2] – „ASUSTeK Notebook SW Key Certificate”
*=3][key 3] – „Microsoft Corporation UEFI CA 2011”
*=3][key 4] – „Microsoft Windows Production PCA 2011”
*=3][key 5] – „Canonical Ltd. Master Certificate Authority”
*=3][key 6] – [SHA-256] Platzhalter

Die übrigen openSUSE/SUSE Schlüsseln sollte nur in die „MokListRT” Datenbank sein –

 > mokutil --list-enrolled

BlaBla · September 26, 2022, 8:57pm

Häckchen bei “Fremdes OS testen” war von Anfang an gesetzt.

Im UEFI Bios unter Key management sehe ich nur folgendes:

                                           Size    Keys   Key Source

PK Management 886 1 Default
KEK Management 3573 3 Default
DB Management 6322 10 Default
DEX Management 12900 267 Mixed

Mehr sehe ich nicht oder weiss nicht wie ich das auslesen kann.


mokutil --list-enrolled 
[key 1] 
SHA1 Fingerprint: bc:a4:e3:8e:d1:84:2b:c8:6f:f7:6d:4d:a7:49:51:f1:62:88:59:f8 
Certificate: 
    Data: 
        Version: 3 (0x2) 
        Serial Number: 1 (0x1) 
        Signature Algorithm: sha256WithRSAEncryption 
        Issuer: CN=SUSE Linux Enterprise Secure Boot CA, C=DE, L=Nuremberg, O=SUSE Linux Products GmbH, OU=Build Team/emailAddress=build@suse.de 
        Validity 
            Not Before: Apr 18 14:33:41 2013 GMT 
            Not After : Mar 14 14:33:41 2035 GMT 
        Subject: CN=SUSE Linux Enterprise Secure Boot CA, C=DE, L=Nuremberg, O=SUSE Linux Products GmbH, OU=Build Team/emailAddress=build@suse.de 
        Subject Public Key Info: 
            Public Key Algorithm: rsaEncryption 
                RSA Public-Key: (2048 bit) 
                Modulus: 
                    00:cd:fd:ab:d7:2a:84:f8:81:c3:36:35:50:35:2c: 
                    c7:ec:04:f1:f4:d6:cc:60:4b:c8:13:b3:74:9b:bd: 
                    f6:c4:3f:63:3e:66:51:f2:7e:3f:6e:7c:76:7b:71: 
                    9d:69:21:2a:15:9b:aa:a5:e5:56:c8:79:98:12:35: 
                    cd:7b:63:8c:b8:37:29:ee:77:50:bc:b7:64:8f:fe: 
                    26:4a:e5:83:18:1c:6c:5d:b4:87:ef:d7:33:c4:f8: 
                    1a:3f:29:9a:84:5a:01:e0:d9:81:6d:31:77:62:29: 
                    f5:c1:65:14:df:4a:1d:fb:b7:4a:46:3b:f3:90:8b: 
                    a2:b8:26:2a:0a:c3:9e:54:b5:03:60:81:e3:d9:58: 
                    35:ed:b0:0b:e2:4f:6b:ef:69:ba:8b:47:df:a4:c5: 
                    da:d0:d2:25:aa:85:63:3e:2f:05:db:4c:69:02:a6: 
                    0e:35:b3:c2:ae:70:b0:ff:25:80:31:c7:0d:39:74: 
                    a3:c0:a4:50:cd:9f:3f:85:b7:62:fb:7b:92:6d:c8: 
                    1e:12:d2:ee:0f:96:f4:01:30:d1:ed:e2:10:ec:d2: 
                    b2:b8:a1:e1:c5:2d:b3:b1:1e:f8:c5:fa:79:68:9d: 
                    e5:a1:92:0f:5e:4f:45:42:7e:90:18:55:8c:fe:c2: 
                    13:31:b8:21:de:ac:30:9d:99:e1:6b:44:61:0c:43: 
                    3d:75 
                Exponent: 65537 (0x10001) 
        X509v3 extensions: 
            X509v3 Basic Constraints: critical 
                CA:TRUE 
            X509v3 Subject Key Identifier:  
                EC:AB:0D:42:C4:56:CF:77:04:36:B9:73:99:38:62:96:5E:87:26:2F 
            X509v3 Authority Key Identifier:  
                keyid:EC:AB:0D:42:C4:56:CF:77:04:36:B9:73:99:38:62:96:5E:87:26:2F 
                DirName:/CN=SUSE Linux Enterprise Secure Boot CA/C=DE/L=Nuremberg/O=SUSE Linux Products GmbH/OU=Build Team/emailAddress=build@suse.de 
                serial:01 

            X509v3 Key Usage: critical 
                Digital Signature, Certificate Sign, CRL Sign 
    Signature Algorithm: sha256WithRSAEncryption 
         12:be:2c:85:85:5a:94:59:cd:49:51:08:17:c1:d9:63:27:29: 
         d3:9e:9d:3f:15:03:99:24:14:9e:ed:77:41:18:f9:b2:f7:5f: 
         b7:21:3a:ab:5e:0c:aa:a3:fd:b5:f0:a2:12:89:09:79:dd:09: 
         70:a6:af:9c:22:21:91:02:26:b5:0f:ba:7b:c1:b8:3b:c2:c8: 
         3e:4e:bb:74:cd:91:57:7a:cd:f4:c1:f6:2a:e6:98:df:59:a7: 
         44:04:08:0d:09:f7:e4:07:3d:74:4d:28:cb:8d:0a:d5:c1:6e: 
         4d:fb:25:09:32:8a:be:af:ce:37:4f:35:79:e8:7b:b2:e8:b0: 
         4e:56:12:39:c9:3c:fb:5f:b8:b6:ad:22:58:7f:24:16:33:ca: 
         1e:1c:b8:fc:62:5e:4c:ac:e0:7d:83:24:ee:9b:10:78:98:e2: 
         e6:4a:ac:0a:cc:98:94:07:4a:69:18:fa:21:74:b5:12:48:42: 
         83:76:8e:8a:48:7f:c6:8d:1e:cc:ee:e0:62:73:09:f3:c0:90: 
         f7:49:57:d3:f6:7c:7d:1c:a1:76:9d:76:65:1e:fb:39:56:24: 
         10:ae:ed:ea:3f:5b:5c:ea:2d:1e:5c:49:cf:4d:85:b6:fb:39: 
         19:70:dd:1e:e6:21:f2:a3:31:19:1e:c3:b4:ae:f7:35:a7:a1: 
         b4:61:6b:4e

[FONT=monospace][FONT=monospace]
[/FONT] 
[/FONT]

dcurtisfra · September 27, 2022, 11:33am

@BlaBla:

Das Windows 11 Problem –

In das ASUS UEFI/BIOS, Reiter „Booten” – Ist der „Boot Option #1” so eingestellt dass, das openSUSE boot, beziehungsweise das UEFI boot selektiert worden ist?
Ist Windows 11 „Fast Boot” aktiviert?
Scheinbar, hat Windows 11 vielen „alterer” Schlüsseln in die DBX Datenbank verschoben – prüfen ob, der Windows 2011 KEK Schlüssel ist dahin verschoben worden.

Übrigens, die Schlüsseln in ‚/etc/uefi/certs/’ muss alle in MokListRT eingeladen werden –

Bitte, prüfen ob, ‚/etc/uefi/certs/40905999.crt’ in MokListRT geladen ist – „mokutil --import” kann prüfen ob, es schon geladen ist oder, nicht.

BlaBla · September 27, 2022, 10:34pm

Option #1 ist momentan openSuse 15.4
Fast Boot (Windows Schnellstart) war aktiviert. Ich habe es jetzt deaktiviert, aber Win startet immer noch nicht, wenn “Windows UEFI…” im BIOS ausgewählt ist, nur wenn “Other OS” ausgewählt ist.
Habe es geschafft, die PK, KEK, DB, DBX aus dem BIOS auf USB zu kopieren, weiss aber nicht, wie ich die 4 Dateien lesen kann. Kann momentan leider nicht sagen, welche Schlüssel im DBX sind.


mokutil --import /etc/uefi/certs/40905999.crt      
Failed to get file status, /etc/uefi/certs/40905999.crt

[FONT=monospace]ls -l  /etc/uefi/certs            
insgesamt 12 
-rw-r--r-- 1 root root 1288 12. Mai 02:29 4AAA0B54.crt 
-rw-r--r-- 1 root root 1257 16. Jul 2021  BCA4E38E-shim.crt 
-rw-r--r-- 1 root root 1177 30. Aug 2021  BDD31A9E-kmp.crt

[FONT=monospace]rpm -q --whatprovides /etc/uefi/certs/40905999.crt 
error: file /etc/uefi/certs/40905999.crt: Datei oder Verzeichnis nicht gefunden
rpm -q --whatprovides /etc/uefi/certs/4AAA0B54.crt 
kernel-default-5.14.21-150400.22.1.x86_64

[/FONT][/FONT][FONT=monospace][FONT=monospace][FONT=monospace][FONT=monospace][FONT=monospace]
[/FONT][/FONT][/FONT][/FONT] 
[/FONT]

[FONT=monospace]Die [/FONT][FONT=monospace][FONT=monospace][FONT=monospace]4AAA0B54.crt [/FONT][/FONT][/FONT][FONT=monospace][FONT=monospace][FONT=monospace][FONT=monospace][FONT=monospace]BCA4E38E-shim.crt waren schon geladen, die letzte Datei nicht.[/FONT][/FONT][/FONT][/FONT][/FONT]

dcurtisfra · September 28, 2022, 11:45am

Scheinbar, in deine System sind ein Paar openSUSE Linux Kernel Patches noch nicht installiert worden –


 > rpm --query --whatprovides /etc/uefi/certs/40905999.crt
kernel-default-5.14.21-150400.24.11.1.x86_64
kernel-default-5.14.21-150400.24.18.1.x86_64
kernel-default-5.14.21-150400.24.21.2.x86_64
 >

Und, was ‚4AAA0B54.crt’ betrifft – ein Auszug aus meine Notizen –


#
# 2022-08-15 → openSUSE-SLE-15.4-2022-2803 → kernel-default-5.14.21-150400.24.18.1.x86_64
#
# 4AAA0B54.crt          * kernel-default-5.14.21-150400.22.1.x86_64 *
# Sep 17 18:33          * erase kernel-devel-5.14.21-150400.22.1    *

BlaBla · September 29, 2022, 9:43pm

Hi,

habe die neuen Patches installiert, die Dateien in /etc/uefi/certs/… sind alle geladen aber es hat sich nichts geändert.

Aber ich glaube ich habe jetzt die Ursache gefunden. Vor der Installation von openSuse hatte ich eine alte SATA Festplatte vom alten Rechner angeschlossen (aber danach win nicht gestartet, sondern die Linux-Installation durchgeführt)
Ich dachte die ganze Zeit, es lag am Linux/Installation, aber es scheint irgendwas mit der HDD zu sein.
Wenn ich die HDD entferne, startet der Win11 auch im SecureBoot aus dem Grub Menü.
Scheint irgensowas zu sein wie hier:
https://www.computerbase.de/forum/threads/windows-10-startet-nicht-nach-einbau-einer-weiteren-festplatte-hdd-sshd.1947989/

Danke trotzdem!

dcurtisfra · September 30, 2022, 6:09pm

Ah so!
Redmond kann mit mehrere Festplatten nicht so Gut zu Recht kommen – einen Arbeitsplatz bedeutet nur eine Festplatte … >:)

Vielleicht nur ein Leistungsmerkmal und, bestimmt, keinen Fehler …