Skip to main content

ตั้งค่านโยบาย TPM

ตามค่าเริ่มต้น แผงระบบสำหรับการเปลี่ยนทดแทนจะส่งมาพร้อมกับตั้งค่านโยบาย TPM เป็น ไม่ได้กำหนด คุณต้องแก้ไขการตั้งค่าให้ตรงกับการตั้งค่าที่ใช้แทนที่ในแผงระบบซึ่งกำลังจะถูกเปลี่ยนทดแทน

มีวิธีการที่ใช้ได้สองวิธีในการตั้งค่านโยบาย TPM
 • จาก Lenovo XClarity Provisioning Manager

  วิธีตั้งค่านโยบายจาก Lenovo XClarity Provisioning Manager:
  1. เริ่มเซิร์ฟเวอร์และกดปุ่มที่ระบุในคำแนะนำบนหน้าจอเพื่อแสดงอินเทอร์เฟซ Lenovo XClarity Provisioning Manager (ดูข้อมูลเพิ่มเติมได้ที่ส่วน เริ่มต้นระบบ ใน LXPM เอกสารที่เข้ากันได้กับเซิร์ฟเวอร์ของคุณที่ หน้าพอร์ทัล Lenovo XClarity Provisioning Manager)

  2. หากจำเป็นต้องใช้รหัสผ่านผู้ดูแลระบบในการเปิดเครื่อง ให้ป้อนรหัสผ่าน

  3. จากหน้าข้อมูลสรุปของระบบ ให้คลิก Update VPD

  4. เลือกการตั้งค่านโยบายอย่างใดอย่างหนึ่งจากตัวเลือกต่อไปนี้:
   • เปิดใช้งาน NationZ TPM 2.0 - สำหรับประเทศจีนเท่านั้น ลูกค้าที่อยู่ในจีนแผ่นดินใหญ่ควรเลือกการตั้งค่านี้หากติดตั้งอะแดปเตอร์ NationZ TPM 2.0

   • TPM enabled - ROW ลูกค้านอกจีนแผ่นดินใหญ่ควรเลือกการตั้งค่านี้

   • ปิดใช้งานถาวร ลูกค้าที่อยู่ในจีนแผ่นดินใหญ่ควรใช้การตั้งค่านี้หากไม่ได้ติดตั้งอะแดปเตอร์ TPM

   หมายเหตุ

   แม้ว่าจะมีการตั้งค่าแบบ ไม่ได้กำหนด ไว้สำหรับกำหนดนโยบาย แต่ไม่ควรใช้งาน

 • จาก Lenovo XClarity Essentials OneCLI

  หมายเหตุ
  โปรดทราบว่าต้องตั้งค่ารหัสผ่านและผู้ใช้ของ IPMI ในเครื่องใน Lenovo XClarity Controller เพื่อให้สามารถเข้าถึงระบบเป้าหมายได้จากระยะไกล
  วิธีตั้งค่านโยบายจาก Lenovo XClarity Essentials OneCLI:
  1. อ่าน TpmTcmPolicyLock เพื่อตรวจสอบว่า TPM_TCM_POLICY ถูกล็อคไว้หรือไม่:
   OneCli.exe config show imm.TpmTcmPolicyLock --override --imm <userid>:<password>@<ip_address>
   หมายเหตุ

   ค่า imm.TpmTcmPolicyLock ต้องมีสถานะเป็น 'Disabled' ซึ่งหมายความว่า TPM_TCM_POLICY จะไม่ถูกล็อคและสามารถเปลี่ยนเป็น TPM_TCM_POLICY ได้ หากรหัสที่ได้รับกลับมาคือ ‘Enabled’ มีความหมายว่าระบบไม่อนุญาตให้มีการเปลี่ยนแปลงนโยบาย อาจมีการใช้ Planar อยู่หากการตั้งค่าที่ต้องการเข้ากันได้กับระบบที่มีการเปลี่ยนทดแทน

  2. กำหนดค่า TPM_TCM_POLICY เป็น XCC:

   • สำหรับลูกค้าในจีนแผ่นดินใหญ่ที่ไม่มี TPM หรือลูกค้าที่ต้องการปิดใช้งาน TPM:

    OneCli.exe config set imm.TpmTcmPolicy "NeitherTpmNorTcm" --override --imm <userid>:<password>@<ip_address>
   • สำหรับลูกค้าในจีนแผ่นดินใหญ่ที่ต้องการเปิดใช้งาน TPM:

    OneCli.exe config set imm.TpmTcmPolicy "NationZTPM20Only" --override --imm <userid>:<password>@<ip_address>
   • สำหรับลูกค้านอกจีนแผ่นดินใหญ่ที่ต้องการเปิดใช้งาน TPM:

    OneCli.exe config set imm.TpmTcmPolicy "TpmOnly" b --imm <userid>:<password>@<ip_address>
  3. ออกคำสั่งรีเซ็ตเพื่อรีเซ็ตระบบ:

   OneCli.exe misc ospower reboot --imm <userid>:<password>@<ip_address>
  4. อ่านค่าเพื่อตรวจสอบว่าระบบยอมรับการเปลี่ยนแปลงหรือไม่

   OneCli.exe config show imm.TpmTcmPolicy --override --imm <userid>:<password>@<ip_address>
   หมายเหตุ
   • หากค่าที่อ่านตรงกัน แสดงว่า TPM_TCM_POLICY ได้รับการตั้งค่าอย่างถูกต้องแล้ว

    imm.TpmTcmPolicy ได้รับการกำหนดไว้ดังนี้:
    • ค่า 0 ใช้สตริง “Undefined” ซึ่งหมายถึงนโยบายที่ไม่ได้กำหนดไว้

    • ค่า 1 ใช้สตริง “NeitherTpmNorTcm” ซึ่งหมายถึง TPM_PERM_DISABLED

    • ค่า 2 ใช้สตริง “TpmOnly” ซึ่งหมายถึง TPM_ALLOWED

    • ค่า 4 ใช้สตริง “NationZTPM20Only” ซึ่งมีความหมายว่า NationZ_TPM20_ALLOWED

   • ต้องใช้ 4 ขั้นตอนด้านล่างในการ 'ล็อค' TPM_TCM_POLICY ขณะใช้คำสั่ง OneCli/ASU:

  5. อ่าน TpmTcmPolicyLock เพื่อตรวจสอบว่า TPM_TCM_POLICY ถูกล็อคไว้หรือไม่ คำสั่งมีดังนี้:

   OneCli.exe config show imm.TpmTcmPolicyLock --override --imm <userid>:<password>@<ip_address>

   ค่าต้องมีสถานะเป็น ''Disabled' ซึ่งมีความหมายว่าไม่ได้ล็อค TPM_TCM_POLICY ไว้และต้องได้รับการตั้งค่า

  6. ล็อค TPM_TCM_POLICY:

   OneCli.exe config set imm.TpmTcmPolicyLock "Enabled"--override --imm <userid>:<password>@<ip_address>
  7. ออกคำสั่งรีเซ็ตเพื่อรีเซ็ตระบบ คำสั่งมีดังนี้:

   OneCli.exe misc ospower reboot --imm <userid>:<password>@<ip_address>
   ในระหว่างการรีเซ็ต UEFI จะอ่านค่าจาก imm.TpmTcmPolicyLock หากค่ามีสถานะเป็น 'Enabled' และค่า imm.TpmTcmPolicy ถูกต้อง UEFI จะล็อคการตั้งค่า TPM_TCM_POLICY
   หมายเหตุ

   ค่าที่ถูกต้องสำหรับ imm.TpmTcmPolicy ประกอบด้วย 'NeitherTpmNorTcm', 'TpmOnly' และ 'NationZTPM20Only'

   หากมีการตั้งค่า imm.TpmTcmPolicyLock เป็น 'Enabled' แต่ค่า imm.TpmTcmPolicy ไม่ถูกต้อง UEFI จะปฏิเสธคำขอ 'ล็อค' และเปลี่ยนค่า imm.TpmTcmPolicyLock กลับเป็น 'Disabled'

  8. อ่านค่าเพื่อตรวจสอบว่าระบบยอมรับหรือปฏิเสธคำขอ ‘ล็อค’ มีคำสั่งดังต่อไปนี้:

   OneCli.exe config show imm.TpmTcmPolicy --override --imm <userid>:<password>@<ip_address>
   หมายเหตุ
   หากมีการเปลี่ยนค่าที่อ่านจาก 'Disabled' เป็น 'Enabled' แสดงว่า TPM_TCM_POLICY ได้รับการล็อคเรียบร้อยแล้ว นโยบายจะปลดล็อคไม่ได้อีกทันทีที่ตั้งค่าเสร็จ นอกจากจะเปลี่ยนแผงระบบ

   imm.TpmTcmPolicyLock ได้รับการกำหนดไว้ดังนี้:

   ค่า 1 ใช้สตริง “Enabled” ซึ่งมีความหมายว่าล็อคนโยบาย ระบบจะไม่ยอมรับค่าอื่นๆ