# WinRE Deep Dive: Rettung & Reparatur des Windows-Boots
TL;DR / Management Summary Die Windows Recovery Environment (WinRE) ist ein dediziertes Mini-Betriebssystem (basiert auf WinPE), das in einer separaten Partition liegt. Es wird automatisch gestartet, wenn Windows zweimal hintereinander nicht korrekt bootet. Für Senior Admins ist es das Werkzeug, um den BCD (Boot Configuration Data) zu reparieren, Treiber zu entfernen, die einen Bluescreen verursachen, oder das System auf ein Image zurückzurollen.
# 1. Einführung & Architektur
Die Partition hinter dem Vorhang.
Standardmäßig erstellt Windows am Ende der Disk eine ca. 500-800 MB große Partition für WinRE. Hier liegt die Datei winre.wim.
# Wann wird WinRE aktiv?
- Zwei fehlgeschlagene Startversuche.
- Zwei unerwartete Shutdowns kurz nach dem Boot.
- Secure Boot Fehler.
- Manuelle Auswahl:
Umschalt + Neustart.
# Architektur-Übersicht (Mermaid)
graph TD
UEFI[UEFI / BIOS] -->|Load| BOOTMGR[Windows Boot Manager]
BOOTMGR -->|Success| OS[Windows Kernel]
BOOTMGR -->|Failure| WINRE_TRIG[Trigger WinRE]
WINRE_TRIG -->|Mount| WIM[winre.wim from Recovery Partition]
WIM -->|Start| UI[Recovery GUI]
UI -->|Fix| BCD[BCD Repair]
UI -->|Rollback| DISM[Uninstall Updates]# 2. Verwaltung in der Praxis
WinRE bändigen.
# Status prüfen (reagentc)
Mit reagentc.exe steuern Sie die Recovery-Umgebung.
# Zeigt den aktuellen Status und den Ort der winre.wim
reagentc /info
# WinRE deaktivieren (z.B. vor Partitionierungs-Änderungen)
reagentc /disable
# WinRE aktivieren
reagentc /enable# 3. Deep Dive: Boot-Probleme lösen (BCD)
Wenn der PC sagt: ‘No bootable device found’.
Oft ist nur der BCD (Boot Configuration Data) korrupt. In der WinRE-Eingabeaufforderung helfen diese Befehle:
# BCD-Reparatur Workflow
# Sucht nach Windows-Installationen auf allen Disks
bootrec /rebuildbcd
# Schreibt einen neuen Master Boot Record (nur MBR/Legacy)
bootrec /fixmbr
# Schreibt einen neuen Boot-Sektor
bootrec /fixbootPro-Tipp: Bei UEFI-Systemen hilft oft nur das Neuschreiben der EFI-Partition:
bcdboot C:\Windows /l de-de /s S: /f UEFI (wobei S: die gemountete EFI-Partition ist).
# 4. Day-2 Operations: Remote-Rettung
WinRE via Netzwerk.
In einer Proxmox-Umgebung können Sie eine ISO-Datei mit WinPE/WinRE in das virtuelle Laufwerk einlegen, um hängende VMs zu retten.
- Vorteil: Sie haben vollen Zugriff auf das Dateisystem der VM via CMD.
- Aktion:
dism /image:C:\ /get-packageszeigt installierte Updates. Mit/remove-packagekönnen Sie das Update löschen, das den Bluescreen verursacht hat.
# 5. Troubleshooting & “War Stories”
Wenn die Rettung selbst Hilfe braucht.
# Top 3 Fehlerbilder
-
Symptom: “WinRE konnte nicht gefunden werden” beim Aktivieren.
- Ursache: Die Recovery-Partition wurde gelöscht oder ist zu klein für ein neues Update.
- Lösung: Partition via DiskPart vergrößern (Artikel 439) und
winre.wimmanuell aus einer ISO nachC:\Windows\System32\Recoverykopieren.
-
Symptom: Tastatur/Maus gehen in WinRE nicht.
- Ursache: Fehlende USB-3.0/Chipset-Treiber im
winre.wim. - Lösung: Treiber via DISM in die
winre.wiminjizieren (ähnlich wie in Artikel 422).
- Ursache: Fehlende USB-3.0/Chipset-Treiber im
-
Symptom: BitLocker Recovery Key wird verlangt, ist aber nicht bekannt.
- Lösung: Key aus AD/Entra ID auslesen. Wenn kein Key vorhanden -> Datenverlust (Security by Design).
# “War Story”: Der “Patch-Tuesday” Teufelskreis
Nach einem fehlerhaften Sicherheitsupdate steckten 200 PCs in einer Endlosschleife: Boot -> Bluescreen -> WinRE -> “Automatische Reparatur konnte Ihren PC nicht reparieren” -> Reboot.
Die Lösung: Wir nutzten ein PXE-gebootetes WinPE Script, das automatisiert via DISM das letzte “Pending” Update auf dem Offline-Image löschte (dism /image:D:\ /cleanup-image /revertpendingactions). Innerhalb einer Stunde waren alle PCs wieder online.
# 6. Monitoring & Sicherheit
WinRE absichern.
# Das Risiko: Unbefugter Zugriff
Wer physischen Zugriff auf WinRE hat, kann via CMD das lokale Admin-Passwort zurücksetzen (Utilman-Hack).
- Hardening: Aktivieren Sie ein BIOS/UEFI Passwort, um das Booten von fremden Medien zu verhindern, und erzwingen Sie BitLocker. Ohne den BitLocker-Key kann WinRE die Daten auf C: nicht lesen.
# 7. Fazit & Empfehlung
WinRE ist die letzte Bastion vor einer Neuinstallation.
- Empfehlung: Halten Sie immer ein aktuelles WinRE-Image bereit, das Ihre Firmen-Treiber enthält.
- Check: Prüfen Sie nach jedem Major Update (z.B. von Win 10 auf 11), ob
reagentc /infonochEnabledanzeigt.
# Anhang: Cheatsheet
| Aufgabe | Befehl |
|---|---|
| WinRE Status | reagentc /info |
| In WinRE booten (nächster Start) | reagentc /boottore |
| BCD Editieren | bcdedit /v |
| Partitionstyp ändern | set id=de94bba4-06d1-4d40-a16a-bfd50179d6ac (GPT Recovery) |