PowerEdge: Усунення несправностей з Trusted Platform Module (TPM), Secure Boot та ESXi

• Статус хоста у колонці Атестація показує «Host Secure Boot було вимкнено»
• Виявлено пристрій Trusted Platform Module (TPM) 2.0, але встановлення з'єднання не вдається
• Статус хоста у стовпці Атестація показує «N/A»
• При використанні пристрою TPM 2.0 (Trusted Platform Module) на ESXi-хості хост не проходить фазу атестації
• Повідомлення про помилку звучить так: «Неможливо забезпечити ключ схвалення на пристрої TPM 2.0: Створення ключів для підтвердження на пристрої не вдалося»

Усунення проблем з TPM та безпечним завантаженням на серверах Dell

Зміст:

Вступ
Передумови
Усунення проблем з TPM та питаннями безпечного завантаження
Усунення проблем
із атестацієюУвімкнення ієрархії TPM

Вступ

Ця стаття з бази знань містить покрокові інструкції для усунення та усунення поширених проблем, пов'язаних із Trusted Platform Module (TPM) та Secure Boot на серверах Dell. Ці проблеми можуть ускладнювати належну атестацію та функціональність системи. Дотримуйтесь інструкцій, викладених у цьому документі, щоб забезпечити оптимальну продуктивність вашого сервера Dell.

Передумови

• Переконайтеся, що пристрій TPM 2.0 виявлений і здоровий за допомогою iDRAC.
• Переконайтеся, що UEFI, TPM та Secure Boot увімкнені.
• Використовуйте алгоритм TPM 2.0 "SHA256", увімкніть Intel TXT 

Детальна інформація та рекомендації щодо усунення несправностей щодо проблеми «пристрій TPM 2.0 виявлено, але з'єднання не встановлено» дивіться статтю 000193231, доступну тут:

PowerEdge: Виявлено помилку на пристрої ESXi 7.0 TPM 2.0, але з'єднання не вдається встановити
 

Усунення проблем з TPM та питаннями безпечного завантаження

Як увімкнути безпечне завантаження

1. Перегляньте статус сигналізації хоста ESXi та супровідне повідомлення про помилку.
2. Підключіться до vCenter Server через vSphere Client.
3. Виберіть дата-центр і натисніть вкладку Monitor.
4. Натисніть «Безпека».
5. Перегляньте статус хоста у стовпці Атестація та прочитайте супровідне повідомлення у стовпці Повідомлення.
6. Якщо повідомлення про помилку — «Host Secure Boot було вимкнено», виконайте ці кроки для вирішення проблеми:
   • Перевірте, чи можна увімкнути Secure Boot. Якщо його не можна увімкнути, зверніться до технічної підтримки Dell.
   • Щоб увімкнути Secure Boot, виконайте наступні кроки:
     • З клієнта VMware vCenter vSphere перемістіть один вузол у режим Enter Maintenance Mode.
     • Увійдіть в iDRAC, щоб налаштувати Secure Boot, і виберіть вкладку > Налаштування BIOS > System > Security TPM Розширені налаштування.
     • Виберіть Secure Boot "enable" і натисніть Apply>OK>Apply and Reboot.
     • Натисніть «Черга завдань». Чекайте, поки всі завдання виконаються на 100%.
     • Увійдіть у VMware vCenter vSphere Client і встановіть вузол у режим виходу з технічного обслуговування.
   • Виконайте Крок 6 на кожному вузлі, доки всі вузли не увімкнуть Secure Boot від iDRAC.
   • Увійдіть у VMware vCenter vSphere Client і виберіть дата-центр.
   • Натисніть вкладку > «Моніторинг безпеки», щоб переконатися, що останній статус атестації показує «Пройдено».
   • Якщо ви бачите будильник із червоною іконкою, виберіть його і натисніть СКИНУТИ ДО ЗЕЛЕНОГО.

Як увімкнути TPM та безпечне завантаження

1. Перегляньте статус сигналізації хоста ESXi та супровідне повідомлення про помилку.
2. Підключіться до VMware vCenter Server через клієнт VMware vSphere.
3. Виберіть дата-центр і натисніть вкладку Monitor .
4. Натисніть «Безпека».
5. Перегляньте статус хоста у стовпці Атестація та прочитайте супровідне повідомлення у стовпці Повідомлення.
6. Якщо повідомлення про помилку — «N/A», потрібно увімкнути TPM і Secure Boot, щоб вирішити проблему.
   • Перевірте, чи можна увімкнути Secure Boot. Якщо його не можна увімкнути, зверніться до технічної підтримки Dell.
   • Щоб увімкнути TPM і Secure Boot, виконайте такі кроки:
     • З клієнта VMware vCenter vSphere перемістіть один вузол у режим Enter Maintenance Mode.
     • Увійдіть в iDRAC, щоб налаштувати Secure Boot, і виберіть вкладку > Налаштування BIOS System >> Security TPM Security "On" > TPM Advanced Settings.
     • Виберіть Secure Boot "enable" і натисніть Apply>OK>Apply and Reboot.
     • Натисніть «Черга завдань». Чекайте, поки всі завдання виконаються на 100%.
     • Перейдіть на Virtual Console Dashboard > , щоб перевірити, чи показує консоль «успішно виконано». Якщо так, продовжуйте.
     • Увійдіть у VMware vCenter vSphere Client і від'єднайте вузол.
     • Підключіть вузол знову, а потім вийдіть з режиму обслуговування.
   • Виконайте Кроки 6 на кожному вузлі, доки всі вузли не матимуть увімкнено TPM і Secure Boot від iDRAC.
   • Увійдіть у VMware vCenter vSphere Client і перейдіть до дата-центру.
   • Натисніть вкладку> « Моніторинг», щоб підтвердити останнє повідомлення про атестацію як «Пройдено».
   • Якщо ви бачите тривогу з червоною іконкою, виберіть конкретний тригер і натисніть СКИНУТИ ДО ЗЕЛЕНОГО.

Проблеми з атестацією хоста

При використанні пристрою TPM 2.0 на ESXi-хості він може не пройти атестацію без детальної інформації про клієнта vSphere. Щоб усунути цю проблему, дотримуйтесь наступних кроків:

1. Перейдіть до дата-центру та натисніть вкладку «Монітор».
2. Натисніть «Безпека».
3. Перегляньте статус хоста у стовпці «Підтвердження» та прочитайте супровідне повідомлення у стовпці «Повідомлення».

Тепер, залежно від повідомлення про помилку, з яким ви стикаєтеся, ви можете знайти рішення:

• Якщо повідомлення про помилку — Host Secure Boot було вимкнено, дивіться розділ «Як увімкнути безпечне завантаження», щоб вирішити цю проблему. Спочатку переконайтеся, що Secure Boot працює.
• Якщо статус атестації хоста не виконано, перевірте журнал сервера vCenter на наявність наступного повідомлення: "Немає кешованого ідентифікаційного ключа, завантаження з бази даних." Це повідомлення означає, що ви додаєте чип TPM 2.0 до ESXi-хоста, яким вже керує vCenter Server. Спочатку потрібно відключити хост, а потім знову підключити його.

Як увімкнути ієрархію

Якщо повідомлення про помилку: «Неможливо забезпечити ключ схвалення на пристрої TPM 2.0: Створення ключа схвалення на пристрої не вдалося», ви повинні увімкнути ієрархію TPM для вирішення проблеми. Дотримуйтесь цих кроків, щоб увімкнути ієрархію TPM:

1. Перегляньте статус сигналізації хоста ESXi та супровідне повідомлення про помилку.
2. Підключіться до VMware vCenter Server через клієнт VMware vSphere.
3. Виберіть дата-центр і натисніть вкладку Monitor.
4. Натисніть «Безпека».
5. Перегляньте статус хоста у стовпці «Підтвердження» та прочитайте супровідне повідомлення у стовпці «Повідомлення».
6. Якщо повідомлення про помилку: «Неможливо забезпечити ключ схвалення на пристрої TPM 2.0: Створення ключа схвалення на пристрої не вдалося», ви повинні увімкнути ієрархію TPM для вирішення проблеми.
7. Якщо ви бачите тривогу з червоною іконкою, виберіть конкретний тригер і натисніть СКИНУТИ ДО ЗЕЛЕНОГО.
8. Щоб увімкнути ієрархію TPM, виконайте такі кроки:
   • З клієнта VMware vCenter vSphere перемістіть один вузол у режим Enter Maintenance Mode.
   • Увійдіть в iDRAC, щоб налаштувати Secure Boot, і виберіть вкладку > Налаштування BIOS > System > Security TPM.
   • Виберіть ієрархію TPM «Активувати» і натисніть Apply>OK>Apply and Reboot.
   • Натисніть «Черга завдань». Чекайте, поки всі завдання виконаються на 100%.
   • Перейдіть на Virtual Console Dashboard > , щоб перевірити, чи показує консоль «успішно виконано». Якщо так, продовжуйте.
   • Увійдіть у клієнт VMware vCenter vSphere і виберіть режим виходу з технічного обслуговування.
9. Виконайте кроки 7 і 8 на кожному вузлі, доки всі вузли не увімкнуть ієрархію TPM від iDRAC.
10. Увійдіть у VMware vCenter vSphere Client і виберіть дата-центр.
11. Натисніть вкладку> « Моніторинг», щоб підтвердити останнє повідомлення про атестацію як «Пройдено».

Зв'яжіться з нами, якщо кроки усунення несправності не вирішили проблему.