PowerEdge: Odstraňování problémů s čipem Trusted Platform Module (TPM), zabezpečeným spouštěním a systémem ESXi

Summary: Tento článek znalostní databáze obsahuje podrobného průvodce odstraňováním problémů souvisejících s čipem TPM (Trusted Platform Module) 2.0, zabezpečeným spouštěním a systémem ESXi na serverech Dell. Poskytuje podrobné pokyny k řešení běžných problémů a zajištění správného fungování a zabezpečení vašeho serveru. ...

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Symptoms

  • Stav hostitele ve sloupci Attestation se zobrazuje jako „Host Secure Boot was disabled“.
  • Bylo zjištěno zařízení Trusted Platform Module (TPM) 2.0, ale nelze navázat připojení.
  • Stav hostitele ve sloupci Attestation se zobrazuje jako „N/A“
  • Při použití zařízení TPM 2.0 (Trusted Platform Module) v hostiteli ESXi hostitel neprojde fází atestu
  • Chybová zpráva „Unable to provisioning Endorsement Key on TPM 2.0 device: Endorsement Key creation failed on the device“

Cause

Mezi příčiny problémů se zabezpečeným spouštěním a čipem TPM patří zakázané zabezpečené spouštění, nesprávně nakonfigurovaný systém BIOS, kompatibilita hardwaru, vadný modul TPM 2.0 a nastavení čipu TPM.

Resolution

Odstraňování problémů s čipem TPM a zabezpečeným spouštěním na serverech Dell

Obsah:

Úvod
Požadavky
Odstraňování problémů s čipem TPM a zabezpečeným spouštěním
Odstraňování problémů s atestem
Povolení hierarchie čipu TPM

Úvod

Tento článek znalostní databáze obsahuje podrobné pokyny k odstraňování a řešení běžných problémů s čipem TPM (Trusted Platform Module) a zabezpečeným spouštěním na serverech Dell. Tyto problémy mohou bránit správnému atestu a funkčnosti systému. Postupujte podle pokynů uvedených v tomto dokumentu, abyste zajistili optimální výkon serveru Dell.

Požadavky

  • Přesvědčte se, že řadič iDRAC rozpoznal zařízení TPM 2.0 a je v dobrém stavu.
  • Zkontrolujte, zda je povoleno rozhraní UEFI, čip TPM a zabezpečené spouštění.
  • Použijte algoritmus TPM 2.0 „SHA256“, povolte možnost Intel TXT 

Podrobné informace a pokyny k odstraňování problémů s problémem „TPM 2.0 device detected but a connection cannot be established“ naleznete v článku 000193231:

PowerEdge: Chyba v systému ESXi 7.0: TPM 2.0 device detected but a connection cannot be established
 

Odstraňování problémů s čipem TPM a zabezpečeným spouštěním

Povolení zabezpečeného spouštění

  1. Podívejte se na stav alarmu hostitele ESXi a doprovodnou chybovou zprávu.
  2. Připojte se k nástroji vCenter Server pomocí klienta vSphere.
  3. Vyberte datové centrum a klikněte na kartu Monitor.
  4. Klikněte na položku Zabezpečení.
  5. Zkontrolujte stav hostitele ve sloupci Attestation a přečtěte si doprovodnou zprávu ve sloupci Message.
  6. Pokud se zobrazí chybová zpráva „Host secure boot was disabled“, pro vyřešení problému postupujte následovně:
    • Ověřte, zda lze povolit zabezpečené spouštění. Pokud se vám jej nedaří nalézt, obraťte se na technickou podporu společnosti Dell.
    • Chcete-li povolit zabezpečené spouštění, postupujte následovně:
      • Z klienta VMware vCenter vSphere přesuňte jeden uzel do režimu údržby.
      • Přihlaste se k řadiči iDRAC za účelem konfigurace zabezpečeného spouštění a vyberte kartu Configure > BIOS Settings > System Security > TPM Advanced Settings.
      • U možnosti Secure Boot vyberte hodnotu „enable“ a klikněte na možnost Apply > OK > Apply and Reboot.
      • Klikněte na položku Job queue. Počkejte, až se všechny úlohy dokončí na 100 %.
      • Přihlaste se do klienta VMware vCenter vSphere a ukončete režim údržby daného uzlu.
    • Proveďte krok 6 na každém uzlu, dokud nebudou mít všechny uzly povolené zabezpečené spouštění z řadiče iDRAC.
    • Přihlaste se do klienta VMware vCenter vSphere a zvolte datové centrum.
    • Klikněte na kartu Monitor > Security a ověřte, zda je u nejnovějšího stavu Attestation uvedena zpráva „Passed“.
    • Pokud se zobrazí výstraha s červenou ikonou, vyberte ji a klikněte na možnost RESET TO GREEN.

Povolení čipu TPM a zabezpečeného spouštění

  1. Podívejte se na stav alarmu hostitele ESXi a doprovodnou chybovou zprávu.
  2. Připojte se k nástroji VMware vCenter Server pomocí klienta VMware vSphere.
  3. Vyberte datové centrum a klikněte na kartu Monitor.
  4. Klikněte na položku Zabezpečení.
  5. Zkontrolujte stav hostitele ve sloupci Attestation a přečtěte si doprovodnou zprávu ve sloupci Message.
  6. Pokud se zobrazuje chybová zpráva „N/A“, je nutné k vyřešení problému povolit čip TPM a zabezpečené spouštění.
    • Ověřte, zda lze povolit zabezpečené spouštění. Pokud se vám jej nedaří nalézt, obraťte se na technickou podporu společnosti Dell.
    • Chcete-li povolit čip TPM a zabezpečené spouštění, postupujte následovně:
      • Z klienta VMware vCenter vSphere přesuňte jeden uzel do režimu údržby.
      • Přihlaste se k řadiči iDRAC za účelem konfigurace zabezpečeného spouštění a vyberte kartu Configure > BIOS Settings > System Security > TPM Security „On“ > TPM Advanced Settings.
      • U možnosti Secure Boot vyberte hodnotu „enable“ a klikněte na možnost Apply > OK > Apply and Reboot.
      • Klikněte na položku Job queue. Počkejte, až se všechny úlohy dokončí na 100 %.
      • Přejděte na řídicí panel > Virtual Console a zjistěte, zda se v konzoli zobrazuje zpráva „Successfully Competed“. Pokud tomu tak je, pokračujte.
      • Přihlaste se do klienta VMware vCenter vSphere a odpojte uzel.
      • Opět se připojte k uzlu a vyberte možnost Exit Maintenance Mode.
    • Proveďte krok 6 na každém uzlu, dokud nebudou mít všechny uzly povolené čip TPM a zabezpečené spouštění z řadiče iDRAC.
    • Přihlaste se do klienta VMware vCenter vSphere a přejděte do datového centra.
    • Klikněte na kartu Monitor > Security a ověřte, zda je u nejnovějšího stavu Attestation uvedena zpráva „Passed“.
    • Pokud se zobrazí výstraha s červenou ikonou, vyberte konkrétní výstrahu a klikněte na možnost RESET TO GREEN.

Problémy s atestem hostitele

Při použití zařízení TPM 2.0 v hostiteli ESXi může selhat atest bez podrobných informací o klientovi vSphere. Problém vyřešíte následujícím postupem:

  1. Přejděte do datového centra a klikněte na kartu Monitor.
  2. Klikněte na položku Zabezpečení.
  3. Zkontrolujte stav hostitele ve sloupci Attestation a přečtěte si doprovodnou zprávu ve sloupci Message.

Nyní můžete v závislosti na chybové zprávě, na kterou narazíte, identifikovat řešení:

  • Pokud se zobrazuje chybová zpráva Host Secure Boot was disabled, vyřešte problém podle informací v části Povolení zabezpečeného spouštění. Nejprve se ujistěte, že zabezpečené spouštění funguje.
  • Pokud je stav atestu hostitele failed, zkontrolujte protokol vCenter Server, zda se zobrazí následující zpráva: „No cached identity key, loading from DB“. Tato zpráva informuje o tom, že přidáváte čip TPM 2.0 do hostitele ESXi, který již spravuje nástroj vCenter Server. Nejprve je třeba odpojit hostitele a poté jej znovu připojit.

Jak povolit hierarchii

Pokud se zobrazí chybová zpráva „Unable to provision Endorsement Key on TPM 2.0 device: Endorsement Key creation failed on the device,“ je potřeba problém vyřešit povolením hierarchie čipu TPM. Povolte hierarchii čipu TPM podle následujících kroků:

  1. Podívejte se na stav alarmu hostitele ESXi a doprovodnou chybovou zprávu.
  2. Připojte se k nástroji VMware vCenter Server pomocí klienta VMware vSphere.
  3. Vyberte datové centrum a klikněte na kartu Monitor.
  4. Klikněte na položku Zabezpečení.
  5. Zkontrolujte stav hostitele ve sloupci Attestation a přečtěte si doprovodnou zprávu ve sloupci Message.
  6. Pokud se zobrazí chybová zpráva „Unable to provision Endorsement Key on TPM 2.0 device: Endorsement Key creation failed on the device,“ je potřeba problém vyřešit povolením hierarchie čipu TPM.
  7. Pokud se zobrazí výstraha s červenou ikonou, vyberte konkrétní výstrahu a klikněte na možnost RESET TO GREEN.
  8. Chcete-li povolit hierarchii čipu TPM, postupujte následovně:
    • Z klienta VMware vCenter vSphere přesuňte jeden uzel do režimu údržby.
    • Přihlaste se k řadiči iDRAC za účelem konfigurace zabezpečeného spouštění a vyberte kartu Configure > BIOS Settings > System Security > TPM.
    • U možnosti TPM Hierarchy vyberte hodnotu „Enable“ a klikněte na možnost Apply > OK > ApplyReboot.
    • Klikněte na položku Job queue. Počkejte, až se všechny úlohy dokončí na 100 %.
    • Přejděte na řídicí panel > Virtual Console a zjistěte, zda se v konzoli zobrazuje zpráva „Successfully Competed“. Pokud tomu tak je, pokračujte.
    • Přihlaste se do klienta VMware vCenter vSphere a vyberte možnost Exit Maintenance Mode.
  9. Proveďte kroky 7 a 8 na každém uzlu, dokud nebudou mít všechny uzly povolenou hierarchii čipu TPM z řadiče iDRAC.
  10. Přihlaste se ke klientovi VMware vCenter vSphere a vyberte datové centrum.
  11. Klikněte na kartu Monitor > Security a ověřte, zda je u nejnovějšího stavu Attestation uvedena zpráva „Passed“.
Poznámka: Pokud je povoleno zabezpečené spouštění, funkce VMware QuickBoot není podporována.

Pokud kroky pro odstraňování problémů problém nevyřešily, kontaktujte nás

Affected Products

Dell EMC vSAN Ready Nodes, PowerFlex appliance R650, PowerFlex appliance R6525, PowerFlex appliance R660, PowerFlex appliance R6625, Powerflex appliance R750, PowerFlex appliance R760, PowerFlex appliance R7625, VxFlex Ready Node , VxFlex Ready Node R640, VxFlex Ready Node R740xd, VMware ESXi 7.x, VMware ESXi 8.x, VMware ESXi 9.x, PowerFlex appliance R640, PowerFlex appliance R740XD, PowerFlex appliance R7525, PowerFlex appliance R840, VxFlex Ready Node R840 ...
Article Properties
Article Number: 000218542
Article Type: Solution
Last Modified: 05 فبراير 2026
Version:  4
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.