Wie viele andere in der vergangenen Woche, habe ich auf meinen Windows 10 Geräten das von Microsoft umworbene Anniversary Update (intern Redstone, Version 1607) installiert. Während auf meinen privaten Systemen das Update nahezu* reibungsfrei installiert wurde, verlief die Installation auf meinem Arbeits-Laptop alles andere als erwartet. Beruflich nutze ich ein HP Elitebook 850 G2 mit Windows 10 Enterprise und Bitlocker-Verschlüsselung. Die Installation erfolgte über das von Microsoft pünktlich am 2. August 2016 bereitgestellte ISO. Die Installation selbst verlief ohne Probleme, 3 Neustarts während der Installation – nach 100 % folgte die erste Anmeldung. Bis zu diesem Zeitpunkt verhielt sich das Betriebssystem ohne Probleme – bis zum ersten selbst-initiierten Neustart.
Problem
Nachdem ich mein Gerät neu gestartet hatte, empfing mich der folgende Bluescreen:
Beim Drücken der Eingabetaste wurde ich um Eingabe meines Bitlocker-Schlüssels gebeten. Leider meldete das System daraufhin die folgende Meldung:
Der Versuch, das Betriebssystem mit Hilfe eines USB-Sticks (mit der 1607er Windows Version) zu reparieren, führte zu keiner Besserung. Am Ende der Reparatur meldete der Assistent, dass das System nich repariert werden konnte.
Ursache
Es gibt inzwischen diverse Meldungen anderer Benutzer, die das gleiche Problem erfahren haben. Weitere Tests haben gezeigt, es liegt an der Verwendung von BitLocker in Verbindung mit dem integrierten Trusted Plattform Module (TPM). Deaktiviert man BitLocker vor der Aktualisierung durch das Update, verläuft die Installtion fehlerfrei. Meine Kollegen mit anderen HP-Modellen, aber ebenfalls aktiviertem Bitlocker auf Basis des TPM, machten die selben Erfahrungen.
Lösung
Meine Lösung bestand in der Durchführung eines Firmware-Updates für das HP Elitebook 850 G2 von Version 1.13 auf Version 1.15. Da ich ohnehin UEFI mit SecureBoot aktivieren wollte (und durch die Änderung des Festplattenlayouts auf GPT zu einer Neuinstallation gezwungen wurde), installierte ich Windows 10 Version 1607 kurzerhand neu. Durch die Software-Verteilung innerhalb unseres Unternehmens war mein Notebook in relativ kurzer Zeit wieder einsatzbereit. Die restlichen, kleineren Details stellte ich über die (in diesem Blog vorgestellte) Datensicherungslösung Veeam Endpoint Backup wieder her.
*Bei der Installation meiner privaten Geräte nutzte ich das von Microsoft erhältlich Update-Tool. Leider erhielt ich nach dem Download und dem Start der Installation bei 2 Prozent die Fehlermeldung 0x80070057. Bei mir half hier der Trick mit dem Trennen der Verbindung zum Internet während der Installation (es handelte sich daher vermutlich um das Problem, dass sich Installer und Update-Dienst in die Quere kamen). Nach der Installation des Updates liefen aber meine privaten Geräte allesamt reibungsfrei.
Update vom 16. August 2016
Inzwischen hat Darell Gorter (Microsoft) im Microsoft Technet Forum unter folgendem Thread einen Workaround präsentiert:
When does a user hit the bitlocker recovery issue?
- User has upgraded from Th1 to Th2 and then now upgrading to RS1
- User either has Hyper-V ON or want to turn it on in RS1 after OS upgrade
- First reboot after Hyper-V is enabled in RS1 will hit bit locker recovery – this can be soon after OS upgrade if Hyper-V was already enabled downlevel
- Due to separate Bitlocker issue even after entering the Bitlocker key we fail to recover. Still under investigation.
Workaround – here are the 4 workaround that customers can choose from to avoid getting into this situation:
- Keep Hyper-V disabled during OS upgrade and keep it disabled till servicing update on 8/23 comes through
- Reset the Device guard RegKeys (delete the DG regkey node) and then enabled Hyper-V in RS1
- Reset the Device guard RegKeys (delete the DG regkey node) and then upgrade to RS1 while keeping Hyper-V however customers want (ON or OFF is both fine)
- Disable Bitlocker till 8/23
Fazit
Microsoft hat sich meiner Meinung nach mit dem kurzen Release-Zyklus, den geplanten Änderungen und der einfach zu wenig getesteten Version etwas weit aus dem Fenster gelehnt. Die Windows-Insider-Idee mag die Qualitätssicherung in punkto Fehlersuche und -bereinigung auf einen deutlich größeren Personenkreis ausweiten – allerdings aber eher im Home- als im Enterprise-Umfeld. Microsoft warb in den vergangenen Wochen immer wieder mit der höheren Sicherheit durch neue Funktionen des Updates. Wenn das Update aber zum Ausfall eines produktiven Arbeitsmittels im Enterprise-Segment führt, so wirft das nicht das beste Licht auf die Produktentwicklung von Microsoft und schafft zudem nur wenig Vertrauen. Habt ihr – auf das beschriebene Problem bezogen – ähnliche bzw. die gleichen Erfahrungen gemacht?
Wie bei allen meinen Beiträgen gilt: Bei Tipps, Vorschlägen sowie Fragen oder Kritiken hinterlasst bitte einen Kommentar.