VxRail. Хосты отображают оповещение в vCenter, в котором указывается: Устройство TPM 2.0 обнаружено, но подключение не может быть установлено (исправляется пользователем)

На хостах ESXi в кластере есть оповещение: «TPM 2.0 device detected but a connection cannot be established».

 

BIOS хоста ESXi необходимо настроить на использование алгоритма хэширования SHA256 для поддержки TPM. Оповещение может возникать из-за того, что для расширенных настроек BIOS хоста ESXi не установлено значение SHA1 по умолчанию или другие параметры BIOS. 

 

Убедитесь, что эти изменения BIOS, описанные в этой статье, подходят для вашей среды***.

Приведенные ниже действия необходимо выполнить на каждом затронутом узле по очереди. Перед переводом узлов в режим обслуживания убедитесь, что кластер исправен. Убедитесь в отсутствии активной повторной синхронизации vSAN и в наличии достаточных ресурсов для переноса виртуальной машины (ВМ). Убедитесь, что свободного места vSAN достаточно для отказоустойчивости.

1. Переведите хост в режим обслуживания в vCenter с помощью команды «Ensure Accessibility».
2. Используйте iDRAC или BMC, чтобы открыть консоль для хоста. Перезагрузите хост и войдите в настройки BIOS, если они доступны, нажав F2 дляперехода в программу настройки> системы BIOS. 
3. Перейдите в настройки загрузки и сделайте снимок экрана для последовательности загрузки UEFI.
4. Чтобы сбросить настройки BIOS до значений по умолчанию, нажмите кнопку «Default». (Примечание. Сброс настроек BIOS по умолчанию может изменить порядок загрузки BIOS.)

 
 
5. Откройте раздел Безопасность системы.
   a. Для параметра «Безопасность TPM» должно быть установлено значение «Вкл.».
   b. 'TxT' должен быть 'Вкл'.

 
 

Если в поле «Intel TXT» есть только параметр «Off», сначала включите параметр безопасной загрузки, используя действия, описанные в статье базы знаний № 000158364 и установите SHA-256 (шаг 6 этой статьи), затем включите «Intel(R) TXT».
Статья 000158364 требует внесения других изменений, отправьте сервисную заявку в Dell Technologies.

 

6. Введите «TPM Advanced Settings».
   a. Для параметров PPI TPM должно быть установлено значение «Отключить».
   b. «Выбор алгоритма TPM2» должен быть «SHA256».
 
7. Убедитесь, что для параметра Secure Boot установлено значение «Enabled».
 
8. Проверьте правильность настроек BIOS. 
9. Перейдите в раздел Boot settings -->UEFI Boot Sequence и измените порядок загрузки еще раз, как показано на снимке экрана. (Как правило, контроллер AHCI в Первой загрузкой является операционная система ESXi)
10. Выйдите из настроек BIOS, после чего узел будет перезагружен. Дождитесь полной загрузки узла.
11. Если в vCenter хост отображается как отключенный, нажмите правой кнопкой мыши значок хоста , выберите «Подключение» и перед выходом из режима обслуживания снова подключите хост.
12. Удалите все оповещения, повторите проверку, еще раз проверьте общее состояние кластера, ресинхронизацию vSAN, наличие достаточного количества ресурсов и перейдите к следующему хосту. 

Если невозможно изменить алгоритм TPM на SHA256, попробуйте сделать это с отключенным Intel(R) TXT.
Если оповещение по-прежнему подается даже после перезагрузки, отключите и снова подключите хост от vCenter.