PowerEdge：故障診斷可信賴平台模組 (TPM)、安全開機與 ESXi

• 「證明」欄中的主機狀態顯示「主機安全開機已停用」
• 偵測到可信賴平台模組 (TPM) 2.0 裝置，但無法建立連線
• 「證明」欄中的主機狀態顯示「N/A」
• 在 ESXi 主機上使用 TPM 2.0 (可信賴平台模組) 裝置時，主機無法通過證明階段
• 錯誤訊息為「無法在 TPM 2.0 裝置上佈建背書金鑰：在裝置上建立背書金鑰失敗」

故障診斷 Dell 伺服器上的 TPM 與安全開機問題

目錄：

介绍
事前準備作業
故障診斷 TPM 與安全開機問題
故障診斷證明問題
啟用 TPM 階層

簡介

本知識文章提供故障診斷及解決 Dell 伺服器上的可信賴平台模組 (TPM) 和安全開機相關常見問題的逐步指示。這些問題可能會妨礙正確執行證明和系統功能。請遵循本文件中概述的指示，以確保 Dell 伺服器發揮最佳效能。

先決條件

• 確定已從 iDRAC 偵測到 TPM 2.0 裝置且其狀況良好。
• 確定已啟用 UEFI、TPM 與安全開機。
• 使用 TPM 2.0 演算法「SHA256」，啟用 Intel TXT 

如需有關「偵測到 TPM 2.0 裝置，但無法建立連線」問題的詳細資訊和故障診斷指南，請參閱此處提供的文章 000193231：

PowerEdge：偵測到 ESXi 7.0 TPM 2.0 裝置上的錯誤，但無法建立連線
 

故障診斷 TPM 與安全開機問題

如何啟用安全開機

1. 檢視 ESXi 主機警報狀態，以及對應的錯誤訊息。
2. 使用 vSphere Client 連線至 vCenter Server。
3. 選取資料中心，然後按一下「監控」標籤。
4. 按一下安全性。
5. 在「證明」欄中檢閱主機狀態，並在「訊息」欄中閱讀對應的訊息。
6. 如果錯誤訊息為「已停用主機安全開機」，請遵循以下步驟來解決問題：
   • 確認是否可以啟用「安全開機」。如果無法啟用，請聯絡 Dell 技術支援。
   • 若要啟用「安全開機」，請遵循以下步驟：
     • 從 VMware vCenter vSphere Client 移動一個節點，使其進入「維護模式」。
     • 登入 iDRAC 以設定「安全開機」，然後選取「設定」標籤 >「BIOS 設定」>「系統安全性」>「TPM 進階設定」。
     • 選取安全開機「啟用」，然後按一下套用 > 確定 > 套用與重新開機。
     • 按一下工作佇列。等待所有工作 100% 完成。
     • 登入 VMware vCenter vSphere Client，並將節點設為「結束維護模式」。
   • 針對每個節點執行步驟 6，直到所有節點都從 iDRAC 啟用「安全開機」為止。
   • 登入 VMware vCenter vSphere Client，然後選取資料中心。
   • 按一下監控標籤 > 安全性以確認最新的證明狀態是否顯示「已通過」。
   • 如果您看到顯示紅色圖示的警報，請選取該警報，然後按一下重設為綠色。

如何啟用 TPM 與安全開機

1. 檢視 ESXi 主機警報狀態，以及對應的錯誤訊息。
2. 使用 VMware vSphere Client 連線至 VMware vCenter Server。
3. 選取資料中心，然後按一下監控標籤。
4. 按一下安全性。
5. 在「證明」欄中檢閱主機狀態，並在「訊息」欄中閱讀對應的訊息。
6. 如果錯誤訊息為「N/A」，您必須啟用「TPM 與安全開機」才能解決問題。
   • 確認是否可以啟用「安全開機」。如果無法啟用，請聯絡 Dell 技術支援。
   • 若要啟用「TPM 與安全開機」，請遵循以下步驟：
     • 從 VMware vCenter vSphere Client 移動一個節點，使其進入「維護模式」。
     • 登入 iDRAC 以設定「安全開機」，然後選取「設定」標籤 >「BIOS 設定」>「系統安全性」> TPM 安全性「開啟」>「TPM 進階設定」。
     • 選取安全開機「啟用」，然後按一下套用 > 確定 > 套用與重新開機。
     • 按一下工作佇列。等待所有工作 100% 完成。
     • 前往「儀表板」>「虛擬主控台」，查看主控台是否顯示「成功完成」。如果是，請繼續。
     • 登入 VMware vCenter vSphere Client，然後中斷節點的連線。
     • 重新連線節點，然後「結束維護模式」。
   • 針對每個節點執行步驟 6，直到所有節點都從 iDRAC 啟用「TPM 與安全開機」為止。
   • 登入 VMware vCenter vSphere Client，然後前往資料中心。
   • 按一下監控標籤 > 安全性以確認最新的證明訊息為「已通過」。
   • 如果您看到顯示紅色圖示的警報，請選取特定「觸發的警報」，然後按一下重設為綠色。

主機證明問題

在 ESXi 主機上使用 TPM 2.0 裝置時，如果沒有詳細的 vSphere Client 資訊，其證明可能會失敗。若要針對此問題進行故障診斷，請遵循以下步驟：

1. 瀏覽至資料中心，然後按一下監控標籤。
2. 按一下安全性。
3. 在「證明」欄中檢閱主機的狀態，並在「訊息」欄中閱讀對應的訊息。

現在，您可以根據您所遇到的錯誤訊息找出解決方案：

• 如果錯誤訊息為主機安全開機已停用，請參閱如何啟用安全開機一節以解決此問題。先確定「安全開機」正常運作。
• 如果主機的證明狀態失敗，請檢查 vCenter Server 記錄是否有下列訊息：「沒有快取的身分金鑰，正在從 DB 載入。」此訊息表示您正在將 TPM 2.0 晶片新增至 vCenter Server 已管理的 ESXi 主機。您必須先中斷主機連線，然後再重新連接。

如何啟用階層

如果錯誤訊息為「無法在 TPM 2.0 裝置上佈建背書金鑰：在裝置上建立背書金鑰失敗」，您必須啟用 TPM 階層才能解決此問題。請遵循這些步驟來啟用 TPM 階層：

1. 檢視 ESXi 主機警報狀態，以及對應的錯誤訊息。
2. 使用 VMware vSphere Client 連線至 VMware vCenter Server。
3. 選取資料中心，然後按一下「監控」標籤。
4. 按一下安全性。
5. 在「證明」欄中檢閱主機的狀態，並在「訊息」欄中閱讀對應的訊息。
6. 如果錯誤訊息為「無法在 TPM 2.0 裝置上佈建背書金鑰：在裝置上建立背書金鑰失敗」，您必須啟用「TPM 階層」才能解決此問題。
7. 如果您看到顯示紅色圖示的警報，請選取特定「觸發的警報」，然後按一下重設為綠色。
8. 若要啟用「TPM 階層」，請遵循以下步驟：
   • 從 VMware vCenter vSphere Client 移動一個節點，使其進入「維護模式」。
   • 登入 iDRAC 以設定「安全開機」，然後選取「設定」標籤 >「BIOS 設定」>「系統安全性」>「TPM」。
   • 選取 TPM 階層「啟用」，然後按一下套用 > 確定 > 套用與重新開機。
   • 按一下工作佇列。等待所有工作 100% 完成。
   • 前往「儀表板」>「虛擬主控台」，查看主控台是否顯示「成功完成」。如果是，請繼續。
   • 登入 VMware vCenter vSphere Client，並選取「結束維護模式」。
9. 針對每個節點執行步驟 7 與 8，直到所有節點都從 iDRAC 啟用「TPM 階層」為止。
10. 登入 VMware vCenter vSphere Client，然後選取資料中心。
11. 按一下監控標籤 > 安全性以確認最新的證明訊息為「已通過」。

如果故障診斷步驟未能解決問題，請與我們聯絡。