症状
更换系统板后或 TPM 处于 DA 锁定模式时,ESXi 会遇到安全违规 PSOD。
安全违规 PSOD 的根本原因:
从 7.0u2 开始,每当安装(或升级到)带有活动 TPM 2.0 芯片的 ESXi 时,ESXi *无条件*地使用 TPM 通过“TPM 密封”来保护系统配置。只能使用最初使用的相同 TPM 来解封配置。
场景#1:更换系统板时,很可能物理 TPM 也被更换,这意味着 ESXi 无法在重启后解封其受保护的配置,因此会遇到 PSOD。
场景#2:根据 TCG 规范,TPM 因反复无礼的断电而进入 DA(字典攻击)“锁定”模式。一旦 TPM 进入锁定模式,将无法访问任何机密,因此 ESXi 会遇到安全违规 PSOD。
TPM_PT_MAX_AUTH_FAIL:0x0000001f 31 TPM_PT_LOCKOUT_INTERVAL:0x00000258 600 秒 TPM_PT_LOCKOUT_RECOVERY:0x00015180 86400 秒
笔记:
当 failedTries 等于 maxTries 时,TPM 处于锁定模式。在锁定模式下,对受 DA 保护的 authValue 的任何使用都将返回 TPM_RC_LOCKOUT。
TPM 检查它是否在有序关闭后启动。如果不是,并且 failedTries 尚未等于 maxTries,则 TPM 会将 failedTries 递增 1。
FailedTries 计数器也会随着时间自动递减(在 TPM_PT_LOCKOUT_INTERVAL 中定义)。
场景#3:清除 TPM 或 TPM 故障也会触发此安全违规 PSOD。
参考 VMware 知识库:
vmware.com/s/article/81446" style="box-sizing: border-box; background-color: rgba(0, 0, 0, 0); color: rgb(13, 92, 145); text-decoration-line: none; cursor: pointer;">https://kb.vmware.com/s/article/81446
(其中 PSOD = 紫屏死机)
受影响的配置
系统至少配置了以下一项:
ESXi 7.0,任何不适用
ESXi 8.0,任何
此提示不是特定于系统的。
此提示不是特定于选项的。
系统出现上述症状。
注意:这并不意味着网络操作系统可以在所有硬件和软件组合下运行。
有关详细信息,请参阅兼容性页面: http:// www 。 lenovo .com/us/en/serverproven/
解决方法
如何从 ESXi PSOD 中恢复:
选项#1:使用备份的加密恢复密钥从 PSOD 中恢复。(推荐 VMware)
https://docs.vmware.com/en/VMware-vSphere/8.0/vsphere-security/GUID-30DA8CC1-5D9F-4025-B5DB-6D592B6BD9B4.html
注意: NationZ (NTZ) 与此 TPM 安全功能不兼容,因此加密恢复密钥不适用于 NationZ (NTZ) TPM。
知识库:
https://kb.vmware.com/s/article/81446
选项#2:重新安装 ESXi。
选项#3:如果安全违规 PSOD 是由 TPM 进入锁定模式引起的,ESXi 可以在 TPM 从锁定模式恢复后从 PSOD 恢复。
笔记:
NTC(Nuvoton) TPM 可以在等待超过 TPM_PT_LOCKOUT_RECOVERY(24 小时)后从锁定模式中恢复
NTZ (NationZ) TPM 在等待超过 TPM_PT_LOCKOUT_RECOVERY(24 小时)后无法从锁定模式中恢复。
推荐本站淘宝优惠价购买喜欢的宝贝:
本文链接:https://hqyman.cn/post/4601.html 非本站原创文章欢迎转载,原创文章需保留本站地址!
微信支付宝扫一扫,打赏作者吧~休息一下~~
官码2024000195号
萌ICP备20248119号
