PowerEdge. Поиск и устранение неисправностей безопасной загрузки доверенного платформенного модуля (TPM) и ESXi

Summary: В этой статье базы знаний содержится подробное руководство по поиску и устранению неисправностей доверенного платформенного модуля (TPM) 2.0 и безопасной загрузки и проблем, связанных с ESXi, на серверах Dell. В нем содержатся пошаговые инструкции по устранению распространенных проблем, обеспечивающие надлежащую работу и безопасность сервера. ...

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Symptoms

  • В столбце «Attestation» отображается состояние хоста «Host Secure Boot was disabled».
  • Устройство доверенного платформенного модуля (TPM) 2.0 обнаруживается, но установить подключение невозможно
  • В столбце «Attestation» отображается состояние хоста «N/A».
  • При использовании устройства TPM 2.0 (Trusted Platform Module) на хосте ESXi хосту не удается пройти этап аттестации
  • Сообщение об ошибке «Unable to provision Endorsement Key on TPM 2.0 device: Endorsement Key creation failed on the device»

Cause

Причины проблем с безопасной загрузкой и TPM включают отключенную безопасную загрузку, неправильную настройку BIOS, совместимость оборудования, неисправный модуль TPM 2.0 и настройки TPM.

Resolution

Поиск и устранение неисправностей TPM и безопасной загрузки на серверах Dell.

Содержание

Введение
Предварительные условия
Поиск и устранение неисправностей TPM и безопасной загрузки на серверах Dell
Поиск и устранение неисправностей аттестации
Включение иерархии TPM

Введение

В этой статье базы знаний приведены пошаговые инструкции по поиску и устранению распространенных проблем, связанных с доверенным платформенным модулем (TPM) и безопасной загрузкой на серверах Dell. Эти проблемы могут препятствовать правильной аттестации и работе системы. Следуйте инструкциям, приведенным в этом документе, чтобы обеспечить оптимальную производительность сервера Dell.

Предварительные условия

  • Убедитесь, что устройство TPM 2.0 обнаружено и работоспособно в iDRAC.
  • Убедитесь, что включены UEFI, TPM и Secure Boot.
  • Используйте алгоритм TPM 2.0 «SHA256», включите Intel TXT 

Для получения подробной информации и руководства по устранению проблемы «TPM 2.0 device detected but a connection cannot be established» см. статью 000193231, доступную по ссылке ниже:

PowerEdge. Ошибка в ESXi 7.0, при которой устройство TPM 2.0 обнаруживается, но установить подключение невозможно 

Поиск и устранение неисправностей TPM и безопасной загрузки

Включение функции безопасной загрузки.

  1. Просмотрите оповещение о состоянии хоста ESXi и сопутствующее сообщение об ошибке.
  2. Подключитесь к серверу vCenter Server с помощью клиента vSphere Client.
  3. Выберите центр обработки данных и перейдите на вкладку Monitor .
  4. Нажмите Security.
  5. Проверьте состояние хоста в столбце «Attestation» и прочитайте сопроводительное сообщение в столбце «Message».
  6. Если отображается сообщение об ошибке «Host Secure Boot was disabled», выполните следующие действия для устранения проблемы:
    • Проверьте, можно ли включить безопасную загрузку. Если включить ее невозможно, обратитесь в службу технической поддержки Dell.
    • Чтобы включить безопасную загрузку, выполните следующие действия:
      • В клиенте VMware vCenter vSphere Client переместите один узел в состояние Enter Maintenance Mode.
      • Войдите в iDRAC, чтобы настроить безопасную загрузку, и перейдите на вкладку >НастроитьПараметры BIOS Безопасность>>системыДополнительные параметры TPM.
      • В разделе «Secure Boot» выберите «Enable» и нажмите Apply > OK > Apply и Reboot.
      • Нажмите Job queue. Дождитесь, пока все задания будут выполнены на 100%.
      • Войдите в клиент VMware vCenter vSphere Client и переведите узел в режим выхода из режима обслуживания.
    • Выполните шаг 6 на каждом узле, пока на всех узлах не будет включена безопасная загрузка из iDRAC.
    • Войдите в VMware vCenter vSphere Client и выберите центр обработки данных.
    • Перейдите на вкладку >Безопасность монитора, чтобы убедиться, что для последнего состояния аттестации указано «Пройдено».
    • Если отображается оповещение с красным значком, выберите его и нажмите RESET TO GREEN.

Включение TPM и безопасной загрузки.

  1. Просмотрите оповещение о состоянии хоста ESXi и сопутствующее сообщение об ошибке.
  2. Подключитесь к VMware vCenter Server с помощью клиента VMware vSphere.
  3. Выберите центр обработки данных и перейдите на вкладку Monitor .
  4. Нажмите Security.
  5. Проверьте состояние хоста в столбце «Attestation» и прочитайте сопроводительное сообщение в столбце «Message».
  6. Если отображается сообщение об ошибке «N/A», для устранения проблемы необходимо включить TPM и безопасную загрузку.
    • Проверьте, можно ли включить безопасную загрузку. Если его не удается включить, обратитесь в службу поддержки Dell.
    • Чтобы включить TPM и безопасную загрузку, выполните следующие действия.
      • В клиенте VMware vCenter vSphere Client переместите один узел в состояние Enter Maintenance Mode.
      • Войдите в iDRAC, чтобы настроить безопасную загрузку, и выберите вкладку >Настроить Параметры BIOS Безопасность>системы Безопасность>TPM «Вкл.»>Дополнительные параметры TPM.
      • В разделе «Secure Boot» выберите «Enable» и нажмите Apply > OK > Apply и Reboot.
      • Нажмите Job queue. Дождитесь, пока все задания будут выполнены на 100%.
      • Перейдите в виртуальную консольпанели управления>, чтобы проверить, отображается ли на консоли сообщение «успешно завершено». Если да, продолжайте.
      • Войдите в клиент VMware vCenter vSphere и отключите узел.
      • Повторно подключите узел, а затем выйдите из режима обслуживания.
    • Выполните шаг 6 на каждом узле, пока на всех узлах не будут включены TPM и безопасная загрузка из iDRAC.
    • Войдите в клиент VMware vCenter vSphere и перейдите на страницу центра обработки данных.
    • Перейдите на вкладку >Безопасность монитора, чтобы убедиться, что последнее сообщение аттестации имеет статус «Пройдено».
    • Если отображается оповещение с красным значком, выберите это сработавшее оповещение и нажмите RESET TO GREEN.

Проблемы с аттестацией хоста

Когда вы используете устройство с TPM 2.0 на хосте ESXi, оно может не пройти процедуру аттестации из-за отсутствия детализированной информации в vSphere Client. Для поиска и устранения этой проблемы выполните следующие действия:

  1. Перейдите в центр обработки данных и нажмите на вкладку Monitor .
  2. Нажмите Security.
  3. Проверьте состояние хоста в столбце «Attestation» и прочитайте сопроводительное сообщение в столбце «Message».

Теперь, в зависимости от сообщения об ошибке, с которым вы столкнулись, можно определить решение.

  • Если отображается сообщение об ошибке «Host Secure Boot was disabled», см. раздел Как включить безопасную загрузку для устранения этой проблемы. Сначала убедитесь, что работает безопасная загрузка.
  • Если состояние аттестации хоста имеет значение «Failed», проверьте журнал vCenter Server на наличие следующего сообщения: «No cached identity key, loading from DB». Это сообщение указывает на то, что чип TPM 2.0 добавляется на хост ESXi, которым vCenter Server уже управляет. Необходимо сначала отключить хост, а затем повторно подключить его.

Как включить иерархию

Если вы увидите сообщение об ошибке «Unable to provision Endorsement Key on TPM 2.0 device: Endorsement Key creation failed on the device», для устранения проблемы необходимо включить иерархию TPM. Чтобы включить иерархию TPM, выполните следующие действия:

  1. Просмотрите оповещение о состоянии хоста ESXi и сопутствующее сообщение об ошибке.
  2. Подключитесь к VMware vCenter Server с помощью клиента VMware vSphere.
  3. Выберитецентр и перейдите на вкладку Монитор .
  4. Нажмите Security.
  5. Проверьте состояние хоста в столбце «Attestation» и прочитайте сопроводительное сообщение в столбце «Message».
  6. Если вы увидите сообщение об ошибке «Unable to provision Endorsement Key on TPM 2.0 device: Endorsement Key creation failed on the device», для устранения проблемы необходимо включить иерархию TPM.
  7. Если отображается оповещение с красным значком, выберите это сработавшее оповещение и нажмите RESET TO GREEN.
  8. Чтобы включить иерархию TPM, выполните следующие действия:
    • В клиенте VMware vCenter vSphere Client переместите один узел в состояние Enter Maintenance Mode.
    • Войдите в iDRAC, чтобы настроить безопасную загрузку, и выберите вкладку >Configure BIOS Settings>System Security>TPM.
    • Выберите Иерархия TPM «Включить» и нажмите Применить>, ОК>, Применить и перезагрузить.
    • Нажмите Job queue. Дождитесь, пока все задания будут выполнены на 100%.
    • Перейдите в виртуальную консольпанели управления>, чтобы проверить, отображается ли на консоли сообщение «успешно завершено». Если да, продолжайте.
    • Войдите в клиент VMware vCenter vSphere и выберите Exit Maintenance Mode.
  9. Выполняйте шаги 7 и 8 на каждом узле, пока не включите иерархию TPM в iDRAC на всех узлах.
  10. Войдите в клиент VMware vCenter vSphere и выберите центр обработки данных.
  11. Перейдите на вкладку >Безопасность монитора, чтобы убедиться, что последнее сообщение аттестации имеет статус «Пройдено».
Примечание. VMware QuickBoot не поддерживается, если включена безопасная загрузка.

Обратитесь в службу поддержки Dell , если действия по устранению неполадок не помогли устранить проблему. 

Affected Products

Dell EMC vSAN Ready Nodes, PowerFlex appliance R650, PowerFlex appliance R6525, PowerFlex appliance R660, PowerFlex appliance R6625, Powerflex appliance R750, PowerFlex appliance R760, PowerFlex appliance R7625, VxFlex Ready Node , VxFlex Ready Node R640, VxFlex Ready Node R740xd, VMware ESXi 7.x, VMware ESXi 8.x, VMware ESXi 9.x, PowerFlex appliance R640, PowerFlex appliance R740XD, PowerFlex appliance R7525, PowerFlex appliance R840, VxFlex Ready Node R840 ...
Article Properties
Article Number: 000218542
Article Type: Solution
Last Modified: 10 رمضان 1447
Version:  5
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.