遇到生产环境里这种转UEFI后卡Secure Boot的问题确实闹心，尤其是还得兼顾系统安全性要求，我给你梳理几个针对性的排查和解决步骤，应该能帮你搞定：

先定位问题根源 #

出现驱动签名错误，大概率是你的磁盘控制器驱动（比如SATA/NVMe驱动）没有通过微软WHQL认证，或者在MBR转UEFI的过程中驱动签名状态异常，导致Secure Boot启动时拦截了未被信任的驱动。

具体解决步骤 #

1. 离线排查有问题的驱动（WinPE环境下操作）

先挂载好你的系统盘（假设是C:\），执行以下命令列出所有已安装驱动：

dism /image:C:\ /get-drivers

重点看磁盘控制器相关的驱动，找到对应条目中的Signer Name：如果签名者不是Microsoft Windows Hardware Compatibility Publisher，那这个就是被Secure Boot拦截的目标驱动。

2. 替换为WHQL认证的UEFI驱动

• 去服务器厂商官网（比如戴尔、惠普、联想）下载对应服务器型号的UEFI模式专用、且经过WHQL认证的磁盘控制器驱动，一定要匹配Windows Server 2019版本。
• 在WinPE里把新驱动注入系统镜像，替换旧驱动：

pnputil /add-driver C:\path\to\your\driver.inf /install /image:C:\

注入完成后再用dism /image:C:\ /get-drivers确认新驱动的签名是WHQL认证的。

3. 修复系统签名数据库与核心文件

有时候系统的信任签名数据库可能损坏，在WinPE里执行离线修复：

• 离线SFC修复：

sfc /scannow /offbootdir=C:\ /offwindir=C:\Windows

• 用官方镜像作为源修复DISM组件：

dism /image:C:\ /cleanup-image /restorehealth /source:WIM:D:\sources\install.wim:1 /limitaccess

（注：D:\替换为你WinPE环境中Windows安装介质的盘符，install.wim:1对应Server 2019的标准版，如果你用的是数据中心版，可能需要改成:2，可以用dism /get-wiminfo /wimfile:D:\sources\install.wim确认索引）

4. 重新配置UEFI启动并验证Secure Boot

• 修复驱动和系统后，重新执行BCD重建命令：

bcdboot C:\Windows /s H: /f UEFI

（H:替换为你的ESP分区盘符）

• 先在BIOS中禁用Secure Boot，正常启动系统一次，让系统完成新驱动的注册和配置；之后再重启进入BIOS开启Secure Boot，大概率就能正常启动了。

5. 极端情况：重置驱动存储（谨慎操作）

如果上面的方法都无效，可以尝试重置系统的驱动存储（会移除所有第三方驱动，之后需要重新安装）：

• 在WinPE里，删除系统盘驱动存储中对应问题驱动的文件夹，比如从dism查到的驱动前缀是iaStorA，就删除C:\Windows\System32\DriverStore\FileRepository\iaStorA*文件夹。
• 然后重新注入WHQL驱动，再重复步骤3和4的修复与BCD重建操作。

额外注意点 #

• 转换前务必把服务器的BIOS/UEFI固件更新到最新版本，很多旧固件在处理UEFI模式下的Secure Boot签名时存在兼容性bug。
• 执行MBR2GPT /convert /AllowFullOS前，确保系统没有 pending 更新、没有未完成的驱动安装，避免转换过程中驱动状态异常。

备注：内容来源于stack exchange，提问作者yesitsmedoug