症状
将 VxRail 群集升级到 4.7.x 版本系列,其中包括 vCenter 版本 6.7。
升级到 VxRail 代码 4.7.x 后,群集中的 ESXi 主机会发出警报,指出:检测到 TPM 2.0 设备,但无法建立连接。
升级到 VxRail 代码 4.7.x 后,群集中的 ESXi 主机会发出警报,指出:检测到 TPM 2.0 设备,但无法建立连接。
原因
有关 vCenter 6.7 环境中的可信平台模块 (TPM) 版本 2.0 的更多信息,请参阅 vmware.com/en/VMware-vSphere/6.7/com.vmware.vsphere.security.doc/GUID-10F7022C-DBE1-47A2-BD86-3840C6955057.html" target="_blank" style="background-color: transparent; color: rgb(6, 114, 203); text-size-adjust: 100%; box-sizing: border-box !important;">vMware 文档,网址为 https://docs.vmware.com/en/VMware-vSphere/6.7/com.vmware.vsphere.security.doc/GUID-10F7022C-DBE1-47A2-BD86-3840C6955057.html 。
ESXi 主机的 BIOS 必须配置为使用 SHA256 哈希算法才能支持 TPM。该警报可能来自 ESXi 主机的高级 BIOS 设置,而不是设置为 SHA1 或其他 BIOS 设置的默认值。
ESXi 主机的 BIOS 必须配置为使用 SHA256 哈希算法才能支持 TPM。该警报可能来自 ESXi 主机的高级 BIOS 设置,而不是设置为 SHA1 或其他 BIOS 设置的默认值。
解决方案
检查本文中概述的这些 BIOS 更改是否适合您的特定环境。
以下步骤将在每个受影响的节点上执行,一次一个。在将节点置于维护模式之前,请确保群集运行状况良好。确保没有活动的 VSAN 重新同步,并且有足够的资源可用于虚拟机迁移。确保有足够的可用 VSAN 空间可用于容错。
5.输入 System Security
a 。“TPM Security”应为“On”。
b.“TxT”应为“On”。
6.输入“TPM Advanced Settings”
a。TPM PPI 设置应为“Disable”。
b.“ TPM2 算法选择”应为“SHA256”。
7.验证 Secure Boot 是否设置为“Enabled”。
8.验证 BIOS 设置是否正确。
9.转至 Boot settings -->UEFI Boot Sequence 并根据您拍摄的屏幕截图再次更改引导顺序。(通常情况下,AHCI 控制器位于...:ESXI 操作系统将是第一次引导)
10。退出 BIOS 设置,这将重新启动节点。等待节点完全启动。
11.在 vCenter 中,如果主机显示已断开连接,请右键单击主机图标,选择“Connection”并重新连接主机,然后退出维护模式。
12.清除任何警报,重新测试,再次检查总体群集运行状况、VSAN 重新同步、有足够的可用资源,然后转到下一个主机。
以下步骤将在每个受影响的节点上执行,一次一个。在将节点置于维护模式之前,请确保群集运行状况良好。确保没有活动的 VSAN 重新同步,并且有足够的资源可用于虚拟机迁移。确保有足够的可用 VSAN 空间可用于容错。
使用“确保可访问性”将主机置于 vCenter 中的维护模式。
使用 IDRAC 或 BMC 向主机打开控制台。重新启动主机并进入 BIOS 设置(如果可用),方法是按 F2 键进行系统设置>系统 BIOS。
转至引导设置并获取 UEFI 引导顺序的屏幕截图。
通过单击“Default”按钮,将 BIOS 设置重置为默认值。(提醒:将 BIOS 设置重置为默认值可能会更改 BIOS 引导顺序。)
5.输入 System Security
a 。“TPM Security”应为“On”。
b.“TxT”应为“On”。
!!!! 注意!!!!
如果 Intel TXT 字段中只有 关闭 选项,请使用 KB#000158364 设置安全引导,然后先设置 SHA-256(此 KB 的步骤 6),然后打开 Intel(R) TXT。
文章000158364需要其他更改,请向 Dell Technologies 记录服务请求。
文章000158364需要其他更改,请向 Dell Technologies 记录服务请求。
6.输入“TPM Advanced Settings”
a。TPM PPI 设置应为“Disable”。
b.“ TPM2 算法选择”应为“SHA256”。
7.验证 Secure Boot 是否设置为“Enabled”。
8.验证 BIOS 设置是否正确。
9.转至 Boot settings -->UEFI Boot Sequence 并根据您拍摄的屏幕截图再次更改引导顺序。(通常情况下,AHCI 控制器位于...:ESXI 操作系统将是第一次引导)
10。退出 BIOS 设置,这将重新启动节点。等待节点完全启动。
11.在 vCenter 中,如果主机显示已断开连接,请右键单击主机图标,选择“Connection”并重新连接主机,然后退出维护模式。
12.清除任何警报,重新测试,再次检查总体群集运行状况、VSAN 重新同步、有足够的可用资源,然后转到下一个主机。
其他信息
如果无法将 TPM 算法更改为 SHA256,请在禁用 Intel(R) TXT 的情况下进行尝试。
如果在重新启动后仍有警报,请断开连接,然后从 vCenter 重新连接主机。
提醒: 有指示 vCenter 版本 @ 6.7u3F 或更低版本存在缺陷,导致 TPM 证明显示“内部错误”
修复: 升级到 vCenter 6.7U3G 或更高版本。
然后断开并重新连接每个 ESXi 主机。
如果在重新启动后仍有警报,请断开连接,然后从 vCenter 重新连接主机。
从 vCenter 断开主机连接时,无需将主机置于维护模式。
提醒: 有指示 vCenter 版本 @ 6.7u3F 或更低版本存在缺陷,导致 TPM 证明显示“内部错误”
修复: 升级到 vCenter 6.7U3G 或更高版本。
然后断开并重新连接每个 ESXi 主机。
推荐本站淘宝优惠价购买喜欢的宝贝:
本文链接:https://hqyman.cn/post/4193.html 非本站原创文章欢迎转载,原创文章需保留本站地址!
微信支付宝扫一扫,打赏作者吧~休息一下~~
官码2024000195号
萌ICP备20248119号
