"Probleme" mit CCC Klonen der Systemplatte

[Mitglied 115348]

Hallo Zusammen,
neben TM habe ich heute mal versucht mittels CCC ein Backup/Klone des Systems auf eine externe HDD zu machen.
Nach dem Erstellen des Backupplan kam dieser Hinweis:

Der Hinweis 2 sagte, dass es die Formatierung der externen Platte nicht passt. ich solle zu Mac Extended wechseln. .Daraufhin habe ich die Details zu der Platte kontrolliert:

Jetzt weiss ich nicht weiter...

Gruss
ts

 

[Marcel Bresink]

Der erste Hinweis deutet an, dass Du einen Mac mit T2-Sicherheitschip verwendest. Der kann von einer externen Platte nicht booten, falls Du das nicht vorher in der Hardware freischaltest.

Was mit "Hinweis 2" gemeint ist, kann man ohne weitere Informationen über System und Mac nicht genau sagen. Es könnte z.B. sein, dass Du die Zielpartition an FileVault vorbei verschlüsselt hast. Ohne die Benutzerdatenbank von FileVault kann der Mac den Klon der Platte dann möglicherweise zum Boot-Zeitpunkt nicht entschlüsseln, weil er keine Möglichkeit hat, an den Schlüssel zu kommen.

In Zukunft wird Apple außerdem damit beginnen, für das System-Volume Funktionen von APFS zu verwenden, die es in "Mac OS Extended" nicht gibt. Eine Systemplatte mit APFS auf eine Zielplatte mit HFS+ zu klonen, wird deshalb bald nicht mehr machbar sein.

 

[dg2rbf]

Hi,
ich würde zuerst die Verschlüsselung aufheben, dann noch mal mit CCC ein Backup erstellen.

Franz

 

[Wuchtbrumme]

Es könnte z.B. sein, dass Du die Zielpartition an FileVault vorbei verschlüsselt hast. Ohne die Benutzerdatenbank von FileVault kann der Mac den Klon der Platte dann möglicherweise zum Boot-Zeitpunkt nicht entschlüsseln, weil er keine Möglichkeit hat, an den Schlüssel zu kommen.

das ist eigentlich unproblematisch. Man bekommt schon eine Aufforderung zur Entsperrung, die Durchreiche des Logins funktioniert dann aber nicht (so jedenfalls meine Erfahrungen mit HFS+).

 

[Mitglied 115348]

Hallo zusammen,
ok, wenn ich alles korrekt erinnere, bin ich bei der Einrichtung vor ein paar Monaten so vorgegangen:

- die interne SSD sowie die externe HDD habe ich über FileVault verschlüsselt, die wiederkehrende PW-Abfrage bei Zugriff auf die externe HDD habe ich irgendwann "abgeschaltet" bzw. das PW in den "Schlüsselbund" aufgenommen. Genauso bin ich mit der zweiten externen HDD für das TM-Backup vorgegangen.

Bzgl. des Hinweis 1: das kann ich also in den Systemeinstellungen umschalten/generell zulassen oder macht man das nur in dem konkreten Fall, wenn man per CMR-R auf das Backup zugreifen muss?

 

[Wuchtbrumme]

klingt erstmal ok.

Ich würde das Sicherheitsfeature grundsätzlich ausgeschaltet lassen.

 

[Marcel Bresink]

Bzgl. des Hinweis 1: das kann ich also in den Systemeinstellungen umschalten/generell zulassen

Dazu braucht man das spezielle Programm für den T2-Prozessor, das es nur im Recovery-System gibt. Dort unter dem Namen "Startsicherheitsdienstprogramm".

Ob man das im Vorhinein umschalten sollte, hängt natürlich von den Sicherheitsanforderungen ab. Man sollte halt daran denken, dass man später irgendwie an das Dienstprogramm kommen muss, falls man im Notfall vom Klon starten will.

 

[Mitglied 115348]

Ich würde das Sicherheitsfeature grundsätzlich ausgeschaltet lassen.

Welches meinst Du?
FileVault?

 

[Mitglied 115348]

Dazu braucht man das spezielle Programm für den T2-Prozessor, das es nur im Recovery-System gibt. Dort unter dem Namen "Startsicherheitsdienstprogramm".

Ob man das im Vorhinein umschalten sollte, hängt natürlich von den Sicherheitsanforderungen ab.

Und dieses spezielle Programm erreiche ich, im Falle eines Falles, wenn ich das Recovery-System (CMD-R) starte?
Dann wäre doch alles ok wenn ich es ausgeschaltet lasse.

Es geht mir ja nur darum, zusätzlich zu TM noch ein Backup des Systems über CCC zu haben. Wenn/falls ich das dann bei einem Ausfall doch nicht nutzen/darauf zugreifen kann, dann kann ich mir das ja auch irgendwie sparen, hilft mir dann ja nicht weiter.

 

[Marcel Bresink]

Und dieses spezielle Programm erreiche ich, im Falle eines Falles, wenn ich das Recovery-System (CMD-R) starte?

Nein, wenn die interne Platte kaputtgeht und Du zu dem Zeitpunkt zufällig auch keinen Internet-Zugriff hast, ist das Recovery-System nicht mehr startbar.

 

[Wuchtbrumme]

Nein, wenn die interne Platte kaputtgeht und Du zu dem Zeitpunkt zufällig auch keinen Internet-Zugriff hast, ist das Recovery-System nicht mehr startbar.

deswegen würde ich es per se eher abgeschaltet lassen. Aber es ist ein Sicherheitsfeature und man überlegt sich, ob man das braucht und die Tradeoffs.

 

[Mitglied 115348]

Ok, erstmal vielen Dank @Wuchtbrumme @Marcel Bresink .
Ich bräuchte wohl mal eine "Map" der vorhandenen Sicherheitsfeatures und deren Abhängigkeiten usw. zueinander..., um das rundum zu verstehen.

Ich habe es jetzt mal wie folgt gemacht:
- andere externe SSD genommen (MacOS extended journaled), ohne Verschlüsselung und ohne FileVault
- CCC hat das Backup gemacht (der Hinweis mit dem T2-Chip und nicht-bootfähig kommt immer noch)
- mit CCC ein Apple Recovery Volume erstellt
- mit CCC die Apple Recovery HDD geklont

Ich werde das jetzt gleich mal testen. Also was passiert wenn ich versuche davon zu starten.

Wenn ich es aber richtig verstehe, habe ich jetzt einen Klone meiner Systemplatte, mit dem jeder der sie in die Finger bekommt, mein System an seinem Mac starten könnte...?

 

[dg2rbf]

Hi,
tja, bei Paranoja, hilft nur diesen CCC-Klone zu verschlüsseln.

Franz

 

[Mitglied 115348]

Paranoja

Du hast doch bestimmt schonmal von "verlorenen" externen Medien, Diebstahl oder Einbrüchen gehört??

 

[dg2rbf]

Hi,
natürlich, Abhilfe schaft da nur ein stabiler Wandtresor, und eine Alarmanlage.

Franz

 

[Wuchtbrumme]

Daten können wegkommen, deswegen nutzt man ja Verschlüsselung.

Hier ist die Info von Bombich zu dem Thema Verschlüsselung, CCC und T2: https://bombich.com/de/kb/ccc5/help-my-clone-wont-boot
Da bitte besonders „APFS notwendig“ und Sicherheitseinstellung beachten.

 

[Mitglied 115348]

Vielen Dank! Werde das mal durchlesen.