Es dauert nicht mehr lange und wir haben Juni und die Zertifikate für den Windows-Secure-Boot laufen aus.

Das eigentliche Problem ist …

Secure Boot ist der Schutzwall beim Systemstart. Er stellt sicher, dass nur signierte und vertrauenswürdige Bootloader geladen werden. Diese Vertrauenskette basiert auf Zertifikaten, die im UEFI (dem BIOS-Nachfolger) hinterlegt sind.

Die Krux: Die aktuell weit verbreiteten Zertifikate (wie die „Windows Production CA 2011“) laufen im Jahr 2026 aus. Da Hardware oft viele Jahre im Einsatz ist, müssen die neuen Zertifikate („Windows UEFI CA 2023“) jetzt auf die Rechner verteilt werden, damit der Übergang nahtlos funktioniert.

Sollte der Rechner keinen SecureBoot verwenden (ich kenne da einige alte Systeme mit Windows Server 2019) dann könnt ihr jetzt mit dem Lesen aufhören. Gibt es aber weitere Windows Systeme, dann vielleicht doch nicht 🙂

Glücklicherweise hat Microsoft diesmal einen klaren Plan

Microsoft geht bei diesem kritischen Update vorsichtig vor, um „Bricks“ (unbrauchbare Hardware) zu vermeiden. Der Rollout erfolgt in Phasen:

1. Vorbereitungsphase: Die neuen Zertifikate werden per Windows Update bereitgestellt, aber noch nicht aktiv erzwungen.
2. Testphase: Administratoren können die neuen Zertifikate manuell aktivieren (siehe PowerShell-Teil unten).
3. Erzwingungsphase: Ab 2026 wird das neue Zertifikat zur Pflicht.

Besonders für Windows Server hat Microsoft ein „Playbook“ veröffentlicht, da hier die Ausfallrisiken bei Boot-Fehlern besonders kritisch sind.

Windows Server Secure Boot playbook for certificates expiring in 2026 | Microsoft Community Hub

Mit PowerShell kann man eine grundlegende Prüfung durchführen

Neuere Windows-Versionen zeigen den Status der Secure-Boot-Zertifikate mittlerweile direkt in der Windows-Sicherheit-App an. Doch für Administratoren, die hunderte Systeme verwalten oder eine Automatisierung benötigen, ist die PowerShell das Werkzeug der Wahl.

Ermitteln des Status

PowerShell muss für die Tests mit administrativen Rechten gestartet werden! Und bitte, den Code Zeile für Zeile ausführen und nicht als Skript betrachten. Vielleicht seit ihr ja nach Zeile 6 schon fertig.

Details zum Bootloader auslesen

Um sicherzugehen, welche Version des Bootmanagers aktuell verwendet wird, hilft dieser Befehl.

Zum Schluss (falls notwendig) kann man das Update manuell triggern

Wenn ihr nicht auf den automatischen Rollout warten möchtest (z.B. in einer Testumgebung), kannst das Update der UEFI-Variablen über die Registry und eine geplante Aufgabe erzwungen werden.

Achtung: Das Update schreibt in das UEFI des Mainboards.

Wie sieht das in der Praxis aus …

Das Windows Notebook hatte durch die Installation aller Updates die Zertifikate schon an board.

Der Fehler 0xC0000100 kommt daher, dass nicht jede Hardware das Auslesen der Detault-Datenbank des Herstellers zuläßt.

Fazit

Der Wechsel der Secure-Boot-Zertifikate ist eine Operation am offenen Herzen und bedeutet vor allem in „Altumgebungen“ einiges an Arbeit, muss doch jeder PC geprüft werden. Insofern ist jetzt ein gutes Zeitpunkt damit zu beginnen.

Enjoy it, b!

Nach dem April‑Update 2026 für Windows 11 berichten viele Nutzer und ich auch 🙂 über Probleme mit der Microsoft Bluetooth Mobile Mouse 3600. Typisch ist folgendes Verhalten:

• Mauszeiger bewegt sich
• Linke/rechte Maustaste reagieren nicht mehr
• Maus bleibt als verbunden angezeigt
• Problem tritt besonders nach Neustart oder Standby auf

Das Problem konnte ich inzwischen auch mit einer Logitech MX35 nachvollziehen.

Ursache

Die Mouse 3600 ist eine reine Bluetooth‑LE‑Maus ohne USB‑Dongle. Nach dem April‑Update greift Windows offenbar aggressiver auf Bluetooth‑Energiesparmechanismen zurück. Dabei werden Klick‑Events nicht mehr zuverlässig verarbeitet – obwohl die Maus verbunden bleibt.

Ein Firmware‑Update für die Mouse 3600 existiert nicht, das Problem liegt auf Windows‑Seite.

Bewährter Workaround

Der bislang zuverlässigste Fix:

1. Geräte-Manager
2. Bluetooth → Bluetooth‑Adapter (z. B. Intel / Qualcomm)
3. Register Energieverwaltung
4. Haken entfernen bei
   „Computer kann das Gerät ausschalten, um Energie zu sparen“
5. Neustart

Zusätzlich empfohlen:
Über Windows Update → Erweiterte Optionen → Optionale Updates verfügbare Bluetooth‑Treiber installieren.

Was nicht hilft

• Maus neu koppeln
• Bluetooth‑Troubleshooter
• Maus neu installieren
• sfc /scannow

Enjoy it, b!

Man möchte nur schnell die externe SSD abziehen, klickt auf Hardware sicher entfernen / Eject portable device und bekommt die folgende Fehlermeldung angezeigt:

Windows behauptet, dass noch ein Programm auf das Laufwerk zugreift.

Die üblichen Verdächtigen

Häufig, aber halt nicht immer, spielen die folgenden Programme oder Prozesse eine Rolle:

• Ein Explorer-Fenster ist noch im Verzeichnis der SSD offen
• Die PowerShell oder Eingabeaufforderung stehen noch auf der SSD
• Von Anwendungen geöffnete Dateien
• Ein Virenscanner oder die Windows-Indizierung arbeitet im Hintergrund
• Ein Kopiervorgang ist noch nicht ganz abgeschlossen

Wenn angeblich alles geschlossen ist

Ich hatte neulich den Fall, dass keiner dieser Punkte zutraf. Selbst die Einstellung auf „Schnelles Entfernen“ in den Richtlinien (ein wichtiges Thema, das ich bereits hier in einem anderen Kontext gestreift habe) war korrekt gesetzt. Eigentlich sollte das System den Schreibcache so verwalten, dass ein Auswerfen jederzeit möglich ist – theoretisch.

In der Praxis blieb die Fehlermeldung hartnäckig. Wenn also alle Anwendungen geschlossen sind und auch der Explorer keine offenen Zugriffe mehr zeigt, gibt es noch einen ganz speziellen Übeltäter der bei häufig geöffnet ist.

Der Windows Task-Manager blockiert die SSD

Es klingt fast ironisch:
Man öffnet den Task-Manager, um herauszufinden, welcher Prozess das Laufwerk blockiert – und genau dadurch verhindert man das Auswerfen.

Der Task-Manager greift zur Überwachung der Performance (Datenträgerauslastung, Antwortzeiten etc.) aktiv auf die Hardware-Informationen zu. Solange das Fenster des Task-Managers offen ist und die SSD in der Liste der Ressourcen überwacht wird, hält Windows oft ein Handle auf das Gerät offen. Schließt man den Task-Manager, kann die SSD ohne Probleme entfernt werden.

In den meisten Fällen lässt sich die SSD danach sofort und ohne Murren entfernen. Manchmal sind es eben die Werkzeuge zur Fehlersuche selbst, die der Lösung im Weg stehen.

Enjoy it, b!

Ich halte gerade das zweite Schreiben in den Händen, das mir mitteilt: „Kein Ausbau durch Deutsche Glasfaser“. Die Begründung? „Wirtschaftliche Gründe“ und eine erneute „Wirtschaftlichkeitsprüfung“ aufgrund der aktuellen Rahmenbedingungen.
In der Sprache der Konzerne bedeutet das schlicht: „An meiner Adresse lohnt sich Fortschritt gerade nicht“.

Digitale Autobahnen vs. Feldwege

Das ist ein Armutszeugnis für einen Technologiestandort, für das (ehemalige) Land der Dichter und Denker und Ingenieure. Schnelles Internet ist kein Luxusgut, sondern die elementare Grundlage für vieles, was unsere Zukunft bestimmen wird. Ohne Breitband fehlt die Basis für KI-Entwicklungen, für Forschung und Softwareunternehmen und auch die Nutzung von Cloud-Lösungen (ob man das nun gut oder schlecht findet) ist abhängig von einem schnellen Internetanschluss.
Solange wir den Ausbau in Deutschland privatwirtschaftlich dem Markt überlassen, zementieren wir die digitale Zweiklassengesellschaft. Glasfaser gibt es dann nur dort, wo der Profit kurzfristig realisiert werden kann. Was wir brauchen, sind digitale Autobahnen – was wir bekommen, sind digitale Feldwege.

Ein Blick zurück – als Deutschland einmal mutiger war

Spannend – und gleichzeitig bitter – ist der historische Vergleich. In den Koalitionsverträgen der 70er Jahre zwischen SPD und FDP tauchte der Glasfaserausbau noch nicht als konkretes Ziel auf. Die Technologie befand sich damals schlicht noch in der Erprobungsphase, und niemand konnte absehen, wie grundlegend sie einmal werden würde.
Doch am Ende dieser politischen Ära geschah etwas Bemerkenswertes: Am 8. April 1981 beschloss das Bundeskabinett unter Helmut Schmidt (SPD) den zügigen Aufbau eines flächendeckenden Breitbandglasfasernetzes. Ein visionärer Schritt – Jahrzehnte bevor „Digitalisierung“ zum politischen Modewort wurde.
Dieser Beschluss war ein seltener Moment, in dem Politik langfristig dachte. Ein Moment, in dem man verstanden hatte, dass Infrastruktur nicht nur Kosten verursacht, sondern Zukunft schafft. Dass man nicht warten darf, bis der Markt „von selbst“ aktiv wird. Und dass staatliche Verantwortung bedeutet, Grundlagen zu legen, auf denen Innovation überhaupt erst entstehen kann.
Dass dieses Projekt später unter der folgenden Regierung wieder ausgebremst wurde, ist eine der großen verpassten Chancen der deutschen Technologiegeschichte.

Ein Plädoyer für den Staat und mehr Mut

Wir leben in einer sozialen Marktwirtschaft. Das bedeutet auch, dass der Staat die Pflicht und die Möglichkeit hat, steuernd einzugreifen. Meiner Meinung nach gehören wichtige und kritische Bereiche deutlich stärker von der staatlichen Seite reguliert:

• Forschung
• Das Gesundheitswesen
• Energiewirtschaft
• Infrastrukturen (die Bahn und Straßen sowie digitale Netze)

Der Staat muss den Ausbau nicht nur forcieren, sondern verordnen.

Return-on-Invest neu denken

Das Hauptproblem der Privatwirtschaft ist der Blick auf das nächste Quartal. Echte Infrastrukturprojekte brauchen aber einen langen Atem. Ein Return on Invest kann nicht immer sofort monetär messbar sein. Die Rendite eines flächendeckenden Glasfasernetzes liegt in der Innovationskraft und Wettbewerbsfähigkeit des gesamten Landes über Jahrzehnte hinweg.
Wenn wir weiterhin nur auf Sicht fahren und Infrastruktur als reines Profit-Center betrachten, wird das „Hurra Deutschland“ in Sachen Digitalisierung ein sarkastischer Dauerzustand bleiben.

Enjoy it, b!
(auch wenn es manchmal schwer fällt)

Gerade gibt es im Bereich der Virtualisierung recht viel zu tun. Ein zentrales Thema ist dabei die Konvertierung von virtuellen Disks (VHD). Da Broadcom VMware freiwillig aufs Abstellgleis geschoben hat, spielen OpenSource und Hyper-V immer mehr eine wichtige Rolle.

Ich bin schon lange ein Freund von Hyper-V, da damit auch in kleinen Umgebungen virtualisiert werden kann, wenn ohnehin schon eine Windows Server-Lizenz vorliegt. Spätestens seit QNAP und Synology ihre NAS-Systeme mit Prozessoren von AMD und Intel ausstatten und zudem Hauptspeicher von 32 GB und mehr vorhanden ist, spricht nichts dagegen, auch auf einem NAS einen Anwendungsserver zu virtualisieren.

QEMU, hin und zurück

Während sich VHDs von Hyper-V (auch VHDX genannt) unter dem Synology Virtual Machine Manager importieren lassen und dabei zu einer VMDK konvertiert werden, ist bei der Migration einer VM von einer Synology auf einen Hyper-V-Server Handarbeit erforderlich.

Wird eine VM auf einem Synology-NAS exportiert, liegt am Ende des Vorgangs eine OVA-Datei in einem Verzeichnis/Share vor.

Die OVA-Datei ist ein Container, der neben allen Festplatten der VM auch deren Konfiguration in Form einer XML-Datei beinhaltet. Letztere wurde jedoch aus „Sicherheitsgründen” mit der Endung OVF versehen.

Der Importvorgang unter Hyper-V, der im Grunde keiner ist, läuft dabei wie folgt ab:

1. Erstellen einer VM in Hyper-V mit den passenden Parametern. Hat man sich die Konfiguration nicht gemerkt, kann man ja in der OVF-Datei nachschauen
2. Kopieren der VHDX in den Ordner “Virtual Hard Disks”
3. Anhängen der virtuellen Disk (VHDX ) an die VM
4. Start der VM

Wie kommt man nun aber von der OVA zu einer VHDX -Datei?

Dazu sind die folgenden Schritte notwendig:

• Download von qemu-img für Windows vom folgenden Link:
  https://cloudbase.it/downloads/qemu-img-win-x64-2_3_0.zip
• Entpacken der OVA-Datei mit 7-zip
• Konvertieren der VMDK in eine VHDX -Datei

Hier die einzelnen Befehle und bitte die Namen der Disks anpassen:

::  Entpacken der OVA-Datei mit 7z
7z.exe e w11-test-02.ova

::  Konvertieren der ersten Disk aus der OVA-Datei (welche das Betriebssystem enthaelt) in das vhdx-Format
qemu-img.exe convert w11-test-02-disk1.vmdk -O vhdx -o subformat=dynamic w11-test-02.vhdx

Nachdem Microsoft den Virtual Machine Converter (MVMC) aus unerfindlichen Gründen beerdigt hat, verwende ich neben dem QEMU disk image utility noch Disk2vhd, wenn ich mich nur in der Microsoft-Welt bewege.

Update 18.06.2025
Muss eine Hyper-V VHDX für QEMU, KVM oder libvirt (zum Beispiel GNOME Boxes) konvertiert werden, erfolgt das mit folgendem Aufruf (auch hier bitte die Pfade und Namen anpassen:

::  Konvertieren einer Hyper-V VHDX für die Verwendung mit QEMU
qemu-img.exe convert -f vhdx -O qcow2 ..\Win11_24H2_English_x64-rufus.vhdx ..\..\Win11_24H2_English_x64-rufus.qcow2 -p

Enjoy it, b!

Windows bietet die Möglichkeit mehrere Microsoft-Accounts zu verwenden. Diese werden unter Settings / Accounts / Email & accounts wie unten angezeigt.

Allerdings fehlt hier die Möglichkeit diese wieder zu entfernen, sollte man sie nicht mehr benötigen.

Dazu muss man in den Settings (Einstellungen) in den Bereich Access work or school wechseln und kann dort die nicht mehr benötigten Accounts (Konten) entfernen.

Nur dort ist ein Disconnect möglich und danach sieht es unter Email & accounts wieder sehr aufgeräumt aus

Enjoy it, b!