Website-Icon Frankys Web

Tipp: Windows Server von BIOS zu UEFI Boot und Secure Boot umstellen

Ich hatte heute die Anforderung einen Windows Server von Legacy BIOS zu UEFI mit Secure Boot umzustellen. Es handelte sich dabei um einen virtuelle Maschine auf einem ESXi 8 Server. Der beschriebene Weg sollte aber auch mit anderen Hypervisorn und auch mit physikalisch installierten Windows Server funktionieren.

Wenn im BIOS des Servers oder in den Einstellungen der VM der Boot Modus von Legacy BIOS zu UEFI mit Secure Boot umgestellt wird, dann starten normalerweise Windows Server nicht mehr. Mit einem Rettungssystem lässt sich dies zwar beheben, bei produktiven Servern verursacht dies aber eine etwas längere Downtime. Ganz ohne Downtime geht es auch mit dieser Methode nicht, aber es dauert immerhin nicht viel länger als ein Neustart.

Damit Windows nach Änderung des Boot Modus von BIOS zu UEFI startet, muss die Disk von der Windows startet, in einen GPT Datenträger konvertiert werden. Ab Windows Version 1703, also Windows Server 2016 und Windows 10, ist dazu das Tool MBR2GPT vorhanden. Mit dem Tool kann zunächst der MBR Datenträger in einen GPT Datenträger konvertiert werden.

Die Konvertierung von MBR zu GPT kann allerdings nicht rückgängig gemacht werden, daher sollte unbedingt sichergestellt werden, dass ein aktuelles Backup vorliegt.

Die Vorgehensweise ist wie folgt:

MBR Datenträger zu GPT Datenträger konvertieren

Mit dem folgenden Befehl lässt sich ein MBR Datenträger zu einem GPT Datenträger konvertieren. Der Befehl ist seit Windows 10 / Windows Server 2016 vorhanden. Der folgende Befehl kann in einer PowerShell im Administrator Modus ausgeführt werden:

.\MBR2GPT.EXE /convert /allowfullos

Boot Modus zu UEFI ändern und SecureBoot aktivieren

Nach dem Konvertieren des Datenträgers kann der Boot Modus von Legacy BIOS zu UEFI geändert und Secure Boot aktiviert werden. Bei physikalischen Servern muss dazu der Server neugestartet werden und die entsprechenden Einstellungen im Setup des Servers vorgenommen werden. Wie und wo dies genau funktioniert ist abhängig vom Hersteller der Hardware.

In meinem Fall handelt es sich um eine VM auf ESXi8. Damit der Boot Modus geändert werden kann, muss die VM abgeschaltet werden. In den Einstellungen der VM lässt sich dann der Boot Modus auf UEFI festlegen und Secure Boot aktivieren:

Server starten und kontrollieren

Die VM kann jetzt wieder eingeschaltet, bzw. der Server gestartet werden. Nach dem Starten von Windows kann mit dem folgenden Befehl kontrolliert werden, ob Secure Boot aktiv ist:

Confirm-SecureBootUEFI

Wenn dieser Befehl den Wert „True“ liefert, ist Secure Boot aktiv.

Der Befehl muss ebenfalls in einer administrativen PowerShell ausgeführt werden.

Die mobile Version verlassen