PowerEdge: Odstraňování problémů s čipem Trusted Platform Module (TPM), zabezpečeným spouštěním a systémem ESXi

Summary: Tento článek znalostní databáze obsahuje podrobného průvodce odstraňováním problémů souvisejících s čipem TPM (Trusted Platform Module) 2.0, zabezpečeným spouštěním a systémem ESXi na serverech Dell. Poskytuje podrobné pokyny k řešení běžných problémů a zajištění správného fungování a zabezpečení vašeho serveru. ...

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Symptoms

  • Stav hostitele ve sloupci Attestation se zobrazuje jako „Host Secure Boot was disabled“.
  • Bylo zjištěno zařízení Trusted Platform Module (TPM) 2.0, ale nelze navázat připojení.
  • Stav hostitele ve sloupci Attestation se zobrazuje jako „N/A“
  • Při použití zařízení TPM 2.0 (Trusted Platform Module) v hostiteli ESXi hostitel neprojde fází atestu
  • Chybová zpráva „Unable to provisioning Endorsement Key on TPM 2.0 device: Endorsement Key creation failed on the device“

Cause

Mezi příčiny problémů se zabezpečeným spouštěním a čipem TPM patří zakázané zabezpečené spouštění, nesprávně nakonfigurovaný systém BIOS, kompatibilita hardwaru, vadný modul TPM 2.0 a nastavení čipu TPM.

Resolution

Odstraňování problémů s modulem TPM a zabezpečeným spouštěním na serverech Dell.

Obsah:

Úvod
Požadavky
Odstraňování problémů s čipem TPM a zabezpečeným spouštěním
Odstraňování problémů s atestem
Povolení hierarchie čipu TPM

Úvod

Tento článek znalostní databáze obsahuje podrobné pokyny k odstraňování a řešení běžných problémů s čipem TPM (Trusted Platform Module) a zabezpečeným spouštěním na serverech Dell. Tyto problémy mohou bránit správnému atestu a funkčnosti systému. Postupujte podle pokynů uvedených v tomto dokumentu, abyste zajistili optimální výkon serveru Dell.

Požadavky

  • Ujistěte se, že řadič iDRAC rozpozná zařízení TPM 2.0 a je v dobrém stavu.
  • Zkontrolujte, zda je povoleno rozhraní UEFI, čip TPM a zabezpečené spouštění.
  • Použijte algoritmus TPM 2.0 „SHA256“, povolte možnost Intel TXT 

Podrobné informace a pokyny k odstraňování problémů s problémem „TPM 2.0 device detected but a connection cannot be established“ naleznete v článku 000193231:

PowerEdge: Chyba v systému ESXi 7.0: TPM 2.0 device detected but a connection cannot be established 

Odstraňování problémů s čipem TPM a zabezpečeným spouštěním

Jak povolit bezpečné spouštění.

  1. Podívejte se na stav alarmu hostitele ESXi a doprovodnou chybovou zprávu.
  2. Připojte se k nástroji vCenter Server pomocí klienta vSphere.
  3. Vyberte datové centrum a klikněte na kartu Monitor .
  4. Klikněte na položku Zabezpečení.
  5. Zkontrolujte stav hostitele ve sloupci Attestation a přečtěte si doprovodnou zprávu ve sloupci Message.
  6. Pokud se zobrazí chybová zpráva „Host secure boot was disabled“, pro vyřešení problému postupujte následovně:
    • Ověřte, zda lze povolit zabezpečené spouštění. Pokud se vám jej nedaří nalézt, obraťte se na technickou podporu společnosti Dell.
    • Chcete-li povolit zabezpečené spouštění, postupujte následovně:
      • Z klienta VMware vCenter vSphere Client přesuňte jeden uzel do režimu údržby.
      • Přihlaste se do řadiče iDRAC, nakonfigurujte funkci Secure Boot a vyberte kartu >Configure, nastavení> systému BIOS, zabezpečení>TPM, pokročilá nastavení.
      • U možnosti Secure Boot vyberte hodnotu „enable“ a klikněte na možnost Apply > OK > Apply and Reboot.
      • Klikněte na položku Job queue. Počkejte, až se všechny úlohy dokončí na 100 %.
      • Přihlaste se do klienta VMware vCenter vSphere Client a nastavte uzel na ukončení režimu údržby.
    • Proveďte krok 6 na každém uzlu, dokud nebudou mít všechny uzly povolené zabezpečené spouštění z řadiče iDRAC.
    • Přihlaste se do klienta VMware vCenter vSphere a vyberte datové centrum.
    • Klikněte na kartu >Monitorování zabezpečení a ověřte, zda je u nejnovějšího stavu ověření identity uvedeno "Passed".
    • Pokud se zobrazí výstraha s červenou ikonou, vyberte ji a klikněte na možnost RESET TO GREEN.

Jak povolit TPM a Secure Boot.

  1. Podívejte se na stav alarmu hostitele ESXi a doprovodnou chybovou zprávu.
  2. Připojte se k serveru VMware vCenter pomocí klienta VMware vSphere.
  3. Vyberte datové centrum a klikněte na kartu Monitor .
  4. Klikněte na položku Zabezpečení.
  5. Zkontrolujte stav hostitele ve sloupci Attestation a přečtěte si doprovodnou zprávu ve sloupci Message.
  6. Pokud se zobrazuje chybová zpráva „N/A“, je nutné k vyřešení problému povolit čip TPM a zabezpečené spouštění.
    • Ověřte, zda lze povolit zabezpečené spouštění. Pokud ji nelze povolit, obraťte se na podporu společnosti Dell.
    • Chcete-li povolit čip TPM a zabezpečené spouštění, postupujte následovně:
      • Z klienta VMware vCenter vSphere Client přesuňte jeden uzel do režimu údržby.
      • Přihlaste se do řadiče iDRAC, nakonfigurujte funkci Secure Boot a vyberte kartu >Configure. Zabezpečení>systému BIOS, zabezpečení >TPM, "zapnuto">Pokročilá nastavení TPM.
      • U možnosti Secure Boot vyberte hodnotu „enable“ a klikněte na možnost Apply > OK > Apply and Reboot.
      • Klikněte na položku Job queue. Počkejte, až se všechny úlohy dokončí na 100 %.
      • Přejděte do virtuální konzoleřídicího panelu > a zjistěte, zda se v konzoli zobrazuje zpráva "Úspěšně dokončeno". Pokud tomu tak je, pokračujte.
      • Přihlaste se do klienta VMware vCenter vSphere a odpojte uzel.
      • Znovu připojte uzel a ukončete režim údržby.
    • Proveďte krok 6 na každém uzlu, dokud nebudou mít všechny uzly povolené čip TPM a zabezpečené spouštění z řadiče iDRAC.
    • Přihlaste se do klienta VMware vCenter vSphere a přejděte do datového centra.
    • Klikněte na kartu >Monitorovánízabezpečení a ověřte, zda je poslední zpráva o ověření identity "Passed".
    • Pokud se zobrazí výstraha s červenou ikonou, vyberte konkrétní výstrahu a klikněte na možnost RESET TO GREEN.

Problémy s atestem hostitele

Při použití zařízení TPM 2.0 v hostiteli ESXi může selhat atest bez podrobných informací o klientovi vSphere. Problém vyřešíte následujícím postupem:

  1. Přejděte do datového centra a klikněte na kartu Monitor .
  2. Klikněte na položku Zabezpečení.
  3. Zkontrolujte stav hostitele ve sloupci Attestation a přečtěte si doprovodnou zprávu ve sloupci Message.

Nyní můžete v závislosti na chybové zprávě, na kterou narazíte, identifikovat řešení:

  • Pokud se zobrazuje chybová zpráva, že funkce Host Secure Boot byla zakázána, vyřešte problém v části Jak povolit zabezpečené spouštění . Nejprve se ujistěte, že funguje zabezpečené spouštění.
  • Pokud je stav atestu hostitele failed, zkontrolujte protokol vCenter Server, zda se zobrazí následující zpráva: „No cached identity key, loading from DB“. Tato zpráva informuje o tom, že přidáváte čip TPM 2.0 do hostitele ESXi, který již spravuje nástroj vCenter Server. Nejprve je třeba odpojit hostitele a poté jej znovu připojit.

Jak povolit hierarchii

Pokud se zobrazí chybová zpráva „Unable to provision Endorsement Key on TPM 2.0 device: Endorsement Key creation failed on the device,“ je potřeba problém vyřešit povolením hierarchie čipu TPM. Povolte hierarchii čipu TPM podle následujících kroků:

  1. Podívejte se na stav alarmu hostitele ESXi a doprovodnou chybovou zprávu.
  2. Připojte se k serveru VMware vCenter pomocí klienta VMware vSphere.
  3. Vyberte a otevřetecentrum a klikněte na kartu Monitor .
  4. Klikněte na položku Zabezpečení.
  5. Zkontrolujte stav hostitele ve sloupci Attestation a přečtěte si doprovodnou zprávu ve sloupci Message.
  6. Pokud se zobrazí chybová zpráva „Unable to provision Endorsement Key on TPM 2.0 device: Endorsement Key creation failed on the device,“ je potřeba problém vyřešit povolením hierarchie čipu TPM.
  7. Pokud se zobrazí výstraha s červenou ikonou, vyberte konkrétní výstrahu a klikněte na možnost RESET TO GREEN.
  8. Chcete-li povolit hierarchii čipu TPM, postupujte následovně:
    • Z klienta VMware vCenter vSphere Client přesuňte jeden uzel do režimu údržby.
    • Přihlaste se k řadiči iDRAC, nakonfigurujte funkci Secure Boot a vyberte kartu >Configure, nastavení> systému BIOS, zabezpečení>TPM.
    • Vyberte možnost "Enable" Hierarchie TPM a klikněte na možnost Apply>, OK>, Apply and Reboot.
    • Klikněte na položku Job queue. Počkejte, až se všechny úlohy dokončí na 100 %.
    • Přejděte do virtuální konzoleřídicího panelu > a zjistěte, zda se v konzoli zobrazuje zpráva "Úspěšně dokončeno". Pokud tomu tak je, pokračujte.
    • Přihlaste se do klienta VMware vCenter vSphere a vyberte možnost Exit Maintenance Mode.
  9. Proveďte kroky 7 a 8 na každém uzlu, dokud nebudou mít všechny uzly povolenou hierarchii čipu TPM z řadiče iDRAC.
  10. Přihlaste se do klienta VMware vCenter vSphere a vyberte datové centrum.
  11. Klikněte na kartu >Monitorovánízabezpečení a ověřte, zda je poslední zpráva o ověření identity "Passed".
Poznámka: Pokud je povoleno zabezpečené spouštění, funkce VMware QuickBoot není podporována.

Pokud kroky pro odstraňování problémů nevedly k vyřešení problému, obraťte se na podporu společnosti Dell

Affected Products

Dell EMC vSAN Ready Nodes, PowerFlex appliance R650, PowerFlex appliance R6525, PowerFlex appliance R660, PowerFlex appliance R6625, Powerflex appliance R750, PowerFlex appliance R760, PowerFlex appliance R7625, VxFlex Ready Node , VxFlex Ready Node R640, VxFlex Ready Node R740xd, VMware ESXi 7.x, VMware ESXi 8.x, VMware ESXi 9.x, PowerFlex appliance R640, PowerFlex appliance R740XD, PowerFlex appliance R7525, PowerFlex appliance R840, VxFlex Ready Node R840 ...
Article Properties
Article Number: 000218542
Article Type: Solution
Last Modified: 10 رمضان 1447
Version:  5
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.