Die Tage bin ich beim Zurücksetzen eines MacBook Pro (2018) in eine Endlosschleife gefallen.

Vorgeschichte

Das Exhibit A ist ein Macbook Pro von 2018, d.h. es ist mit einem SoC T2 Security Chip ausgestattet (in diesem Kontext vergleichbar mit TPM). Das Gerät war mit allen Sicherheitsmerkmalen eingerichtet, also iCloud mit Wo ist? / Find My, FileVault und die T2-Boot-Einstellungen. Ersteres heißt, dass das Gerät fest auf meinem Account locked ist, FileVault ist die Verschlüsselung und letztere bedeuten, dass u.a. von keinen externen Medien wie USB-Sticks gestartet werden kann. Es ist ein derzeit aktuelles macOS Ventura (v13) installiert.

Die Security-Boot-Einstellung kann man jederzeit ändern: Dafür startet man den Mac in die Wiederherstellungskonsole, legitimiert sich mit einem lokalen Administratorbenutzer und ändert die Einstellung wie gewünscht. Bei dem nächsten Restart ist dann die neue Einstellung aktiv.

So weit, so gut.

Die Situation erforderte nun also, dass der Mac zurückgesetzt werden sollte. Nun kann man entweder die Sicherheitsnetze alle einzeln ausschalten, oder man nutzt einfach die vorhandene Funktion in macOS: Systemeinstellungen > Allgemein > Übertragen oder zurücksetzen > Einstellungen und Inhalte löschen. Diesen Schritt muss man mehrmals bestätigen und erfordert selbstredend sowohl den das Benutzerkennwort als auch verlinkten iCloud-Benutzer. Der Mac startet nach einiger Zeit neu und man landet in der Wiederherstellungskonsole.

Rückblickend bin ich nicht sicher, ob ich hier den kapitalen Fehler gemacht habe: Normalerweise startet man nach dem Zurücksetzen neu und startet dann eine Neuinstallation von macOS. Dies bereitet das System wieder vor und wird anschließend wieder neu starten.

Allerdings erinnere ich mich, dass ich in der Wiederherstellungskonsole erneut auf Reset Mac geklickt habe… doppelt hält besser, was soll schon schiefgehen?

Tja.

Problem 1

Nach dem erneuten Neustart meldet der Mac kein startfähiges Volume mehr, d.h. die interne SSD ist nun komplett leer. Gut, dafür gibt es ja das die Online-Wiederherstellungskonsole Internet-Recovery. Hier der Tipp: Mit einem guten alten Ethernet-Kabel (mit Adapter) geht es nicht nur schneller, sondern man muss auch kein WLAN-Kennwort eintippen.

Die Wiederherstellungskonsole lädt was, aber nach ein paar Minuten ist sie da. Prima… aber Moment! Es beinhaltet den Installer von macOS High Sierra (v10.13). Unklar, ob hier nun diese alte Version nicht mehr installiert werden kann, oder ob hier bereits Problem 2 vorgriff, aber:

The recovery server could not be contacted (discussion.apple.com)

Nun ja, eigentlich habe ich eh wenig Lust, so ein altes OS zu installieren. Dann halt mit einem USB-Stick einen aktuelleren Installer starten.

Einen macOS-Installer als bootfähigen USB-Stick zu erstellen, ist glücklicherweise mittlerweile kein Hexenwerk mehr. Man lädt sich den Installer aus dem AppStore (oder alternativen Quellen), steckt einen USB-Stick (aktuell 16GB) und führt nur einen Befehl im Terminal aus. Anschließend ist es ein startfähiger USB-Stick für macOS der gewählten Version.

Problem 2

Der Boot-Vorgang mit dem Ventura-Installer per USB läuft zunächst erstmal unverdächtig, aber endet schließlich mit der Meldung, dass das Starten über ein externes Medium nicht erlaubt ist. Ja, klingt etwas unlogisch, aber ich denke, hier ist eigentlich eher gemeint, dass die interne SSD nicht unlocked wird. Das ist nicht selbe, aber effektiv kommt das Gleiche hinaus:

External Boot is not allowed

Die Meldung selber ist nicht überraschend, denn das Starten von externen Medien ist per Standard nicht erlaubt.

Problem 3

Gut, also die Sicherheitseinstellungen des T2-Chips sind das Problem. Die kann man ja ändern, man erinnert sich? Also wieder den Mac neu starten, diesmal wieder in die reguläre Internet-Recovery und dort dann die Startup Security Utility öffnen. Eigentlich weniger überraschend muss man nun ein Administrator-Kennwort eingeben… und die interne SSD ist leer, wir erinnern uns? Möglicherweise ist noch ein Hash im T2, also versuche ich das vorherige Kennwort. Leider ohne Erfolg, denn es ist kein lokaler Administrator mehr verfügbar, weil die SSD ja leer ist:

no administrator was found

No shit, sherlock.

Probleme in Kürze

Nochmal zusammenfassen:

  1. Der Mac startet nicht mehr, weil die interne SSD komplett leer ist.
  2. Die Internet-Recovery möchte (nur) macOS High Sierra installieren, dies scheitert aber an Fehlern (möglicherweise zu alt).
  3. External Boot is not allowed: Das Starten eines Installers über USB (also extern) scheitert am T2-Chip, weil das Starten von externen Medien derzeit nicht erlaubt ist (Standardeinstellung).
  4. No administrator was found: Das Ändern dieses Verhaltens über das Startup Security Utility (Bestandteil der Wiederherstellungskonsole, also auch Internet-Recovery) scheitert an einem fehlenden Administrator auf der SSD.
  5. Gehe wieder Punkt 1.

An dieser Stelle kam mir dieses Meme in den Sinn. Selten war es passender.

Lösung

Ab hier beginnt das übliche Spiel der Suche und das Greifen nach Strohhalmen. Nicht selten hat dabei überhaupt nicht geholfen, dass natürlich die einzelnen Probleme auch aus einer Vielzahl anderer Gründe auftreten können und es dafür auch sinnvolle Lösungen gibt.

In dieser Kombination gibt es aber anscheinend nur eine einzige Lösung, über die ich bei der Recherche schlussendlich bei apple.stackexchange.com gestolpert bin: Mithilfe eines zweiten Macs eine SSD mit dem Preinstall-Zustand eines macOS bespielen (Welcome-Screen), diesen Zustand dann auf die interne SSD kopieren und dann damit booten. Offenbar wird das interne Laufwerk nur in diesem ersten Start speziell unlocked (in der Situation, wo kein anderweitiger Lock mehr existiert).

Die Schritte:

  1. Grundsätzlich benötigt man
    1. einen zweiten Behelfs-Mac: welch Glück, wenn man noch einen alten Intel-Mac im Schrank liegen hat;
    2. ein freies externes Medium: idealerweise eine SSD mit ausreichend Platz für eine Minimal-Installation von macOS.
  2. Den Behelfs-Mac startet man mit angeschlossener SSD.
    1. Entweder man startet mit der lokalen Wiederherstellungskonsole (in meinem Falle ausreichend, weil hier macOS Big Sur (v11) zur Verfügung stand);
    2. oder man nutzt noch einen weiteren USB-Stick mit einem passenden Installer der Wahl.
  3. Mit dem jeweiligen Installer installiert man ein frisches macOS auf die externe SSD. Sobald der Mac neu startet und der Welcome-Screen kommt, das System sofort ausschalten. Nicht weiter klicken, ansonsten zurück zu Schritt 2.
  4. Am Behelfs-Mac die SSD abklemmen.
  5. Die SSD wird nun am ersten Mac angeschlossen und dieser wird in mit der Internet-Recovery gestartet.
    1. Sobald das Menü sichtbar ist, öffnet man die Disk Utilities.
    2. Man braucht’s selten, aber jetzt: Erst wählt man das Ziel (i.d.R. also Macintosh HD) und dann Restore und dort dann die externe SSD.
    3. Das ganze bestätigt man, und dann legt er los. Hinweis: Sollte hier ein Fehler passieren, dann ab Schritt 3 wiederholen und sicherstellen, dass wirklich die Internet-Recovery gestartet ist.
    4. Sobald der Kopiervorgang abgeschlossen ist, kann der Mac sofort neu gestartet werden. In meinem Fall war das Big Sur und ich war sofort im Preinstall-/Welcome-Screen.
    5. Sollte das Booten nicht funktionieren, kann man nochmal die lokale Wiederherstellungskonsole und deren Installer versucht werden.

Da ich am Ende ein Big Sur installiert hatte, den Mac aber gerne auf Ventura setzen wollte, habe ich das zum Anreiz genommen, und das Spielchen nochmal wiederholt. Nachdem also Big Sur installiert und das Update auf Ventura eingespielt war, setze ich das System abermals zurück. Dieses Mal aber passte ich aber auf: Zunächst startet der Mac in die Wiederherstellungskonsole neu, aber erfordert die Aktivierung des Macs. Danach, und das geschieht durch einen Knopfdruck, ist der Mac wieder im regulären Setup-Mode.