(GELÖST) Neues Mac-Sicherheitsupdate bitte nicht auf externen RAID-Boot-Laufwerken einspielen

Question

Sehr geehrte Kunden,

 

dieser Hinweis gilt nur für Sie, wenn Ihr Server-Betriebssystem auf einem externen RAID installiert ist, von dem Sie booten: Wir haben heute Abend drei Supportfälle gehabt, in denen Praxen das neu verfügbare Mac-Sicherheitsupdate auf ihrem RAID-Server eingespielt haben und das RAID sich danach nicht mehr booten ließ (stattdessen war nur noch das Booten vom internen Mac möglich, an dem das RAID hing). Als Notlösung konnten wir in allen drei Fällen das RAID an einen anderen Rechner anstecken; dort ließ es sich dann wieder booten und als Server benutzen. Der ursprüngliche Server-Mac verweigert jedoch auch danach weiterhin das Booten vom RAID. Wir haben diesen dann als Arbeitsplatz-Rechner umfunktioniert. 

 

Bitte deaktivieren Sie auf dem RAID-Server automatische Betriebssystem-Updates (das tun Sie unter Apfel->Systemeinstellungen->App Store) und führen Sie keine Betriebssytem-Updates durch, bis Apple einen Bugfix für dieses Problem gefunden hat oder wir einen Workaround finden. Wir werden Sie im tomedo-Nutzer-Forum darüber informieren. Nicht-RAID-Server sowie alle Arbeitsplätze können weiterhin Betriebssystem-Updates durchführen.

 

 

Mit freundlichen Grüßen, 

Andreas Zollmann

 

Answer 1

Das Problem lässt sich folgendermaßen lösen: Booten des Rechners von internen Platte und im Terminal das hier eingeben:
    sudo nvram enable-legacy-orom-behavior=1

danach hab ich die RAID platte bei start (mit alt Taste) wieder gesehen...

Bei Problemen bitte unsere Support-Hotline anrufen.

Quelle:

https://support.apple.com/en-au/HT202796

Comments

Ich habe das Problem privat mit einem R6 und einem R4 in der Praxis mit Tomedo. Dank Ersatz-Mac lief es gestern morgen.
Den "kontaminierten" Mac Mini (End 2012, Hybrid-Drive) habe ich nach diversen Versuchen gestern abend per Target-Volume-Anschluss über Thunderbolt2 gelöscht und ein Time-Machine-Backup von vor einer Woche ausfgespielt. Damit war der Systemsprung tatsächlich rückgängig.

Der Terminal-Befehl von Herrn Thierfelder "sudo nvram enable-legacy-orom-behavior=1" machte dann genau das was oben beschrieben ist. Die R4 ist gerade vom Mac Mini gestartet und Tomedo Server läuft damit.

Ob die Methode zu Hause auf zwei MacBook Air funktioniert kann ich nicht absehen.

Apple ist gerade an dem Thema, hatte gestern eine halbe Stunde mit dem Support telefoniert.

Beste Grüße aus Ladenburg,

Stefan Bültmann

---

Vielen Dank für die Info... das irritiert mich jetzt. Ich habe wirklich gedacht, das der Bootloader sich niemals downgraded. Scheinbar ist der Bootloader doch nicht auf der Platine...

---

Bei uns funktioniert der Thierfelder'sche workaround auch! Danke für Ihre Arbeit.

---

Funktioniert auch wie oben beschrieben bei uns mit dem sudo Befehl, Mac mini und Pegasus RAID, Danke

---

Hallo Herr Thierfleder , ist das Problem des Sicherheitsupdates jetzt gelöst?

Wir verwenden noch  10.10.5 auf dem Server und ich traue mich jetzt eigentlich gar nicht mehr an Updates.

Unter Yosemite haben wir einen Bondrucker laufen, für den es unter Sierra aber keine Treiber gibt.

Läuft der HZV-Stick  jetzt unter dem neuesten Apple Update. Klappt es mit Sierra jetzt wieder mit dem automatischen Mounten der Festplatten ?

Was würden Sie empfehlen?

Gruß Ralf Kampmann

---

Durch Eingabe des obigen Terminal-Befehls ließen sich die externen Platten bisher in allen durch uns behandelten Fällen wieder booten, d.h. Sie können die automatischen OS-Sicherheitsupdates ruhig wieder aktivieren.

Das HzV-Prüfmodul für Q1/2017 funktioniert jetzt auch unter macOS 10.12 Sierra (das Prüfmodul für Q4 scheint die HZV-Dongles nicht zu erkennen). Auch das automatische Mounten von Netzwerkverzeichnissen ist inzwischen möglich unter Sierra. Dennoch würde ich raten, zumindest auf dem Serverrechner auf OS 10.10 Yosemite zu bleiben, wenn alles gut funktioniert. Wir werden 10.10 noch lange unterstützen.

---

Wir haben den Server auf Yosemite 10.10.5 und werden ihn entsprechend Ihrer Empfehlung auch da lassen. Das Sicherheitsupdate vom Dezember steht immer noch aus, wir haben die Updates bisher immer manuell durchgeführt.

Können wir das jetzt riskieren ? Sollen wir es nach Praxisschluß und vorheriger Kontaktaufnahme mit Ihnen machen, damit Sie ggf. per Fernwartung eingreifen können, falls es schief geht ?

---

Der Trick mit dem obigen Terminal-Befehl hat bisher bei allen Kunden funktioniert.

---

Sehr geehrter Herr Zollmann, leider ist mir nicht ganz klar ob der von Ihnen beschriebene Workaround auch bei uns funktioniert. Folge Situation:

Server Mac mini (interne Platte beinhaltet nur Timemachine Backups) der Rechner startet das Betriebssystem inkl. Tomedo usw. vom Promise Raid. Somit kann ich nicht von der internen Platte booten.

Alle anderen Macs in unserer Praxis haben bereits alle neuen Sicherheitsupdates (Stand Jan2017) aktiviert.

Funktioniert folgender Ablauf?

- Anschluss Promise Raid (Betriebssystemstand Nov2016) an einem Client iMac mit neuesten Sicherheitsupdates

- booten von interner Client iMac Festplatte

- Auswahl unter Systemeinstellungen/Startvolume des Promise Raids

- booten von Promise Raid am iMac

- Durchführung der aktuellen Sicherheitsupdates (dannach vermutlich Raid nicht mehr bootfähig?!?)

- booten wieder von der internen Client iMac Fesplatte

- Auswahl unter Systemeinstellungen/Startvolume des Promise Raids (wird dieses dann bei einem bereits upgedateten Rechner angezeigt?!?)

- booten von Promise Raid am iMac

- Eingabe des Sudo Befehls auf Upgedateten Promise Raid Betriebssystem

- Anschluss des Raid wieder am ursprünglichem macMini (Bootloader vermutlich noch ohne Update?!?)

bitte um Rückinfo. Vielen Dank

---

Der sudo-Befehl modifiziert eine Einstellung auf dem NVRAM des Rechners (nicht des angeschlossenen RAIDs), daher muss der Befehl auf dem Rechner eingegeben werden, an dem das RAID dauerhaft läuft. Ihr interner MacMini sollte eigentlich ein OS drauf haben und bootbar sein, auch wenn Sie ihn nur als TimeMachine-Backup nutzen. Falls er wirklich nicht alleine bootet, die TimeMachine-Backups sicherheitshalber extern sichern und dann auf den Mac Mini im Target Disk Mode (mit Thunderbolt-Kabel an anderen Mac anschließen) ein OS drauf installieren.

Answer 2

Bitte auch beachten für die  Praxen, die im Moment noch nicht betroffen sind:

Bitte deaktivieren Sie auf dem RAID-Server automatische Betriebssystem-Updates (das tun Sie unter Apfel->Systemeinstellungen->App Store)!

Comments

Hallo Frau Eberitzsch,
ich habe beim Apple Enterprise Support das Problem geschildert. Sie wussten wohl bisher nichts davon... Sie melden sich dann.
Ich freue mich auf einen Rückruf von Ihnen morgen, wenn die Padsy Profis eine Möglichkeit sehen, damit ich die USB Dongle umstecken kann, da momentan die Medizintechnik definitiv nicht läuft über das MacBookPro.
Danke für die schnelle Hilfe heute früh.
Herzliche Grüsse,
Alexander Dagge.

Answer 3

Nach einem Tag Arbeit haben sehr wahrscheinlich den Fehler gefunden. In den letzten Sicherheits-Updates von Apple wird gelegentlich der Bootloader aktualisiert. Ab einer gewissen Version wir das RAID dann beim booten nicht mehr anerkannt. Dieser Bootloader ist unabhängig von der OS Version. Ist der einmal installiert, so kann man nicht mehr zurück. Es hilft also auch keine OS Update auf Sierra oder ein Neueinspielen eines alten OSX. Die problematische Bootloader Version ist noch nichtmal von Apple als neuste gelistet. Evtl ist es ein Versehen von Apple.

Wir werden versuchen die Angelegenheit mit Promise zu regeln. Evtl haben die Zeitnah eine Lösung parat.

Answer 4

Das letzte Sicherheitsupdate von Apple (hier noch MacOSX 10.11) in Kombination mit der Serversoftware hatte es auch ohne Raid in sich: Mein MacPro6,1 bootete erst von der internen SSD bis ins System (vorher Abbruch mit schwarz-weißer Fehlermeldung, dass nach Tastendruck ein Neustart durchgeführt werde), nachdem ich den Rechner isoliert hatte (Ethernetkabel gezogen). Das gabs vorher noch nie. Jetzt läuft alles wieder normal.

Answer 5

Uns ist unklar - können die automatischen Betriebssystem-Updates auf dem Serverrechner mit externem Pegasus-RAID nun wieder eingeschaltet werden? Oder noch immer nicht?

Ist unten genannte Problemlösung (sudo...) nötig?

Bislang läuft unser System mit ext. RAID, nach gestrigem Supporteinsatz mit unklarer Genese auch nach zwischenzeitlichem Ausfall (Absturz und plötzlicher Neustart des Rechners) wieder. Der Support hat aber das autom. OSX-Update (wieder) ausgeschaltet...

Dankbar für eine Nachricht, ob und wann wieder Normalbetrieb mit autom. Updates möglich ist - denn die sind im Grunde doch empfohlen?

Comments

Unser Support hat bei Ihnen obigen sudo-Befehl eingegeben, so dass ab jetzt alle Betriebssystem-Updates wieder unproblematisch seien sollten. Die automatischen Updates haben sie wahrscheinlich deaktiviert um Ihnen mehr Kontrolle zu geben, wann Sie das Update vornehmen (wenn Sie nicht aufpassen am Server, spielt sich das OS-Update nach einigen Hinweisen sonst von allein ein und unterbricht Ihren Praxisbetrieb).

Wir halten intern nochmal Rücksprache, damit dies in Zukunft besser an die Kunden kommuniziert wird. Apples Sicherheitsupdates sind natürlich sehr wichtig.

---

Lieber Herr Zollmann,

danke für die prompte und erschöpfende Antwort!

---

Sehr geehrter Herr Zollmann,  

auf Empfehlung eines Ihrer Mitarbeiter hatten wir 2016 das Betriebssystem der internen MacMini Festplatte gelöscht. 

Ihre Lösung beinhaltet das Booten aus dieser Festplatte. Hätten Sie eine andere Lösung für das RAID Problem ?

Führt das aktuelle update auch zu dem Pegasus RAID Problem?

Mit freundlichem Gruß

Roberto Hurtado

 

Answer 6

Liebe Kollegen, liebes Zollsoft-Team,

leider ist dieses Thema immer noch aktuell und bedarf einer langfristigen Lösung. Bei den Boot-Schwierigkeiten von externen RAIDs handelt es sich nicht um einen inzwischen behobenen Bug, sondern das bleibt so und wird tendentiell noch schlimmer werden. Heute hat es mich erwischt, als ich den Server auf Siera 10.12.5 updatete: Das RAID war plötzlich nicht mehr als Bootmedium gelistet, und zwar bei einem Zwischen-Reboot bei noch unvollständigem Update. Erst nach langem Probieren und Fummeln (an diesen Thread habe ich nicht mehr gedacht) bekam ich den Server wieder gestartet.

Wenn man sich die mittlerweile auf Deutsch verfügbare Apple-Veröffentlichung https://support.apple.com/de-de/HT202796 ansieht, weiß man: Das ist von Apple beabsichtigt und wird nicht mehr geändert. Die technischen Hintergründe hat der Blogger Markus Möller hier http://www.macmark.de/blog/osx_blog_2016-12-a.php erläutert: Apple möchte nicht, daß ein Mac über eine manipulierte Option ROM Firmware noch vor dem eigentlichen Bootvorgang angegriffen wird. Und über eine (natürlich nicht manipulierte) Firmware dieser Art verfügen die Thunderbolt-RAIDs von Promise.

Wer einen vor 2015 produzierten Mac als Server betreibt, kann das automatische Booten vom RAID mit dem von Herrn Thierfelder beschriebenen Terminal-Hack (sudo nvram enable-legacy-orom-behavior=1) wieder aktivieren. So habe ich es auch gemacht.

Laut Apple funktioniert das aber für nach 2015 produzierte Macs nicht mehr. Konsequenz: Bei jedem Booten (auch beim wöchentlichen Server-Neustart) die Auswahltaste drücken, dann per Umschalt-Auswahl-Befehlstaste-Punkt das Raid sichtbar machen und dann von diesem starten. Nur dieses eine Mal. Beim nächsten Start die ganze Prozedur von Neuem. Gerade wenn man wie wir den Server in einem Nebenraum stehen hat und normalerweise per Bildschirmfreigabe administriert, eine Katastrophe.

Welche Strategie also ist langfristig zu empfehlen?

tomedo-Datenbank und andere wichtige Daten aufs RAID, aber Booten von der internen Festplatte?

Wechsel auf ein RAID, das ohne Option ROM Firmware auskommt? Aber welche sind das, im Internet habe ich nichts Klares gefunden. Sind USB-3-RAIDs hier die Lösung?

Ich würde mich über jeden Expertenrat sehr freuen.

Viele Grüße an alle,

Mike Prater

Comments

Lieber Kollege Prater,

ich hatte beim Update auf 10.12.5 das gleiche Problem. Allerdings hatte ich zur Sicherheit schon einen alten Monitor und eine kabelgebundene Tastatur/Maus auf dem Serverschrank stehen, die am MacMini angeschlossen sind und genau in einem solchen Fall unabdingbar sind. Denn leider funktioniert die Bildschirmfreigabe meist genau dann nicht, wenn man sie mal dringend bräuchte...

Bei uns läuft Tomedo nun seit 6 Wochen, ich habe den Server seither nur einmal zum Zwecke des macOS-Updates neu gestartet. Trotzdem konnte ich keine Fehlfunktion oder Verlangsamung bemerken. Vielleicht ist ein wöchentlicher Serverneustart auch nicht unbedingt nötig und der Aufwand hält sich so im Rahmen.

Einen schönen Abend!

---

Ja, das Trio Tastatur + Maus + alter Bildschirm steht bei mir auch dort, weil der Mac mini schon früher die Macke hatte, bei jedem Update erst mal von der internen Platte zu booten. Aber daß man das Raid überhaupt nicht mehr als Bootoption angeboten bekommt, ist schon erst mal erschreckend. Und ich denke, eine Lösung muß her, mit der auch weniger technik-affine Kollegen zurecht kommen.

Ganz großartig finde ich, daß die Leute von Apple die Sache nicht vorher kommuniziert haben und einfach eine Menge Profi-Benutzer ins Chaos gestürzt haben.

Einen schönen Abend auch Ihnen!

---

Wenn Apple dies nicht will, können wir da recht wenig machen. Wir schauen uns das mal mit dem neusten Update an. Evtl kann man noch etwas machen.

Solange kann ich nur zwei Sachen empfehlen: vorerst nicht Updaten. Und viel wichtiger: kein Auto-Update am Server, sonst gibt es evtl Montag morgen einen stressigen Wochenstart.

---

Hallo Kollege Prater,

USB3 RAID sind leider nicht die Lösung; zumindest nicht in der Konstellation, die ich seit Monaten (!) in meiner Praxis teste. Dank SSD und Hardware-Beschleunigung rattenschnell, aber leider nicht ausreichend stabil, um sie einfach weiter zu empfehlen. Ob das nur am bekannten Sicherheitsupdate liegt, kann ich immer noch nicht sicher sagen. Ich habe lange und oft mit meinem Techniker telefoniert, ohne zu einer wirklich dauerhaften Lösung zu kommen. Und die freundlichen Damen und Herren von Zollsoft mußten schon mehrfach Backups einspielen und eine UUID erneut freigeben, da ich wegen RAID-Störungen auf ein Sicherheitsbackup  zurückgreifen mußte...

Werde meine Erfahrungen und Beobachtungen gerafft im entsprechenden Thread einstellen...

Macianer Gruß

Wolfgang Krause

---

Freundlichen Dank nach Göppingen. Schön klingt es ja nicht.

Unser Promise-RAID ist auf jeden Fall zuverlässig, abgesehen davon, daß wir uns nun vermutlich auf einen komfortablen Reboot über den VNC-Zugriff nicht mehr sicher verlassen können.

Umso wichtiger finde ich, daß langfristig die Strategie der tomedo-Installation überdacht wird. Bei Hardware >= 2015 bei JEDEM Reboot in den Serverraum gehen, Auswahltaste drücken und das RAID mit diesem Affengriff sichtbar machen, ist für weniger technikaffine Kollegen oder gar Mitarbeiter/innen sicher nicht die Lösung.

---

Wenn das Laufwerk verschlüsselt ist, was es ja sein sollte,  müssen Sie nach jedem Reboot sowieso das Passwort direkt am Server eingeben. Ich kann nur nochmals auf das interne Laufwerk mit ausreichenden Backups verweisen. Sehr stabil, keine Angst vor Updates und schneller geht’s auch nicht.

---

Wir konnten das bei uns nicht nachstellen, hatten aber auf unserem TestRAID schon ein Firmware-Update gemacht. Das Firmware-Update hat wahrscheinlich dieses Problem bei einer Praxis behoben, leider sind wir uns nicht ganz sicher. Könnten Sie mal ein Firmwareupdate probieren? (also von der internen Platte booten, den Treiber von der Promise Seite laden und installieren) Evtl hilft das.

---

Oh, Dankeschön. Das ist eine gute Idee. Werde es probleren, sobald ich Zeit habe (wohl am Wochenende). Wenn ich dann noch den Terminal-Hack abschalte wie in der Anleitung beschrieben, müßte man den Unterschied im Verhalten sehen oder auch nicht.

Wenn das Firmware-Update Abhilfe schafft, würde ich das an möglichst prominenter Stelle im Forum posten, interessiert sicher etliche Tomedianer.

Bis dahin viele Grüße nach Jena und nach Blitz und Donner einen hoffentlich mehr ganz so heißen Abend.