Skip to main content

ตั้งค่านโยบาย TPM/TCM

ตามค่าเริ่มต้น แผงระบบสำหรับการเปลี่ยนทดแทนจะส่งมาพร้อมกับตั้งค่านโยบาย TPM/TCM เป็น ไม่ได้กำหนด คุณต้องแก้ไขการตั้งค่าให้ตรงกับการตั้งค่าที่ใช้แทนที่ในแผงระบบซึ่งกำลังจะถูกเปลี่ยนทดแทน

มีวิธีการที่ใช้ได้สองวิธีในการตั้งค่านโยบาย TPM

  • จาก Lenovo XClarity Provisioning Manager

    วิธีตั้งค่านโยบาย TPM จาก Lenovo XClarity Provisioning Manager:

    1. เริ่มต้นเซิร์ฟเวอร์และกด F1 เพื่อแสดงอินเทอร์เฟซ Lenovo XClarity Provisioning Manager

    2. หากจำเป็นต้องใช้รหัสผ่านผู้ดูแลระบบในการเปิดเครื่อง ให้ป้อนรหัสผ่าน

    3. จากหน้าข้อมูลสรุปของระบบ ให้คลิก Update VPD

    4. เลือกการตั้งค่านโยบายอย่างใดอย่างหนึ่งจากตัวเลือกต่อไปนี้:

      • ใช้งาน TCM ได้ - สำหรับจีนแผ่นดินใหญ่เท่านั้น ลูกค้าที่อยู่ในจีนแผ่นดินใหญ่ควรเลือกการตั้งค่านี้หากติดตั้งอะแดปเตอร์ TCM

      • ใช้งาน TPM 2.0 ได้ - สำหรับจีนแผ่นดินใหญ่เท่านั้น ลูกค้าที่อยู่ในจีนแผ่นดินใหญ่ควรเลือกการตั้งค่านี้ หากติดตั้งอะแดปเตอร์ TPM 2.0

      • เปิดใช้งาน TPM - ROW ลูกค้าที่อยู่นอกจีนแผ่นดินใหญ่ควรเลือกการตั้งค่านี้

      • ปิดใช้งานถาวร ลูกค้าที่อยู่ในจีนแผ่นดินใหญ่ควรใช้การตั้งค่านี้หากไม่ได้ติดตั้งอะแดปเตอร์ TPM หรือ TCM

      หมายเหตุ

      แม้ว่าจะมีการตั้งค่าแบบ ไม่ได้กำหนด ไว้สำหรับกำหนดนโยบาย แต่ไม่ควรใช้งาน

  • จาก Lenovo XClarity Essentials OneCLI

    หมายเหตุ
    โปรดทราบว่าต้องตั้งค่ารหัสผ่านและผู้ใช้ของ IPMI ในเครื่องใน Lenovo XClarity Controller เพื่อให้สามารถเข้าถึงระบบเป้าหมายได้จากระยะไกล
    วิธีตั้งค่านโยบายจาก Lenovo XClarity Essentials OneCLI:
    1. อ่าน TpmTcmPolicyLock เพื่อตรวจสอบว่า TPM_TCM_POLICY ถูกล็อคไว้หรือไม่:
      OneCli.exe config show imm.TpmTcmPolicyLock --override --imm <userid>:<password>@<ip_address>
      หมายเหตุ

      ค่า imm.TpmTcmPolicyLock ต้องมีสถานะเป็น 'Disabled' ซึ่งหมายความว่า TPM_TCM_POLICY จะไม่ถูกล็อคและสามารถเปลี่ยนเป็น TPM_TCM_POLICY ได้ หากรหัสที่ได้รับกลับมาคือ ‘Enabled’ มีความหมายว่าระบบไม่อนุญาตให้มีการเปลี่ยนแปลงนโยบาย อาจมีการใช้ Planar อยู่หากการตั้งค่าที่ต้องการเข้ากันได้กับระบบที่มีการเปลี่ยนทดแทน

    2. กำหนดค่า TPM_TCM_POLICY เป็น XCC:

      • สำหรับลูกค้าในจีนแผ่นดินใหญ่ที่ไม่มี TCM/TPM:

        OneCli.exe config set imm.TpmTcmPolicy "NeitherTpmNorTcm" --override --imm <userid>:<password>@<ip_address>

      • สำหรับลูกค้าในจีนแผ่นดินใหญ่ที่ติดตั้งโมดูล TCM/TPM บนระบบดั้งเดิม (ควรย้ายโมดูล TCM/TPM ไปยัง FRU ก่อนที่จะเปลี่ยนแปลงนโยบาย)

        OneCli.exe config set imm.TpmTcmPolicy "TcmOnly" --override --imm <userid>:<password>@<ip_address>

      • สำหรับลูกค้าที่อยู่นอกจีนแผ่นดินใหญ่:

        OneCli.exe config set imm.TpmTcmPolicy "TpmOnly" --override --imm <userid>:<password>@<ip_address>

    3. ออกคำสั่งรีเซ็ตเพื่อรีเซ็ตระบบ:

      OneCli.exe misc ospower reboot --imm <userid>:<password>@<ip_address>

    4. อ่านค่าเพื่อตรวจสอบว่าระบบยอมรับการเปลี่ยนแปลงหรือไม่

      OneCli.exe config show imm.TpmTcmPolicy --override --imm <userid>:<password>@<ip_address>
      หมายเหตุ

      • หากค่าที่อ่านตรงกัน แสดงว่า TPM_TCM_POLICY ได้รับการตั้งค่าอย่างถูกต้องแล้ว

        imm.TpmTcmPolicy ได้รับการกำหนดไว้ดังนี้:

        • ค่า 0 ใช้สตริง “Undefined” ซึ่งหมายถึงนโยบายที่ไม่ได้กำหนดไว้

        • ค่า 1 ใช้สตริง “NeitherTpmNorTcm” ซึ่งหมายถึง TPM_PERM_DISABLED

        • ค่า 2 ใช้สตริง “TpmOnly” ซึ่งหมายถึง TPM_ALLOWED

        • ค่า 4 ใช้สตริง “TcmOnly” ซึ่งหมายถึง TCM_ALLOWED

      • ต้องใช้ 4 ขั้นตอนด้านล่างในการ 'ล็อค' TPM_TCM_POLICY ขณะใช้คำสั่ง OneCli:

    5. อ่าน TpmTcmPolicyLock เพื่อตรวจสอบว่า TPM_TCM_POLICY ถูกล็อคไว้หรือไม่ คำสั่งมีดังนี้:

                     OneCli.exe config show imm.TpmTcmPolicyLock --override --imm <userid>:<password>@<ip_address>

      ค่าต้องมีสถานะเป็น ''Disabled' ซึ่งมีความหมายว่าไม่ได้ล็อค TPM_TCM_POLICY ไว้และต้องได้รับการตั้งค่า

    6. ล็อค TPM_TCM_POLICY:

      OneCli.exe config set imm.TpmTcmPolicyLock "Enabled" --override --imm <userid>:<password>@<ip_address>

    7. ออกคำสั่งรีเซ็ตเพื่อรีเซ็ตระบบ คำสั่งมีดังนี้:

      OneCli.exe misc ospower reboot --imm <userid>:<password>@<ip_address>

      ในระหว่างการรีเซ็ต UEFI จะอ่านค่าจาก imm.TpmTcmPolicyLock หากค่ามีสถานะเป็น 'Enabled' และค่า imm.TpmTcmPolicy ไม่ถูกต้อง UEFI จะล็อคการตั้งค่า TPM_TCM_POLICY

      ค่าที่ถูกต้องสำหรับ imm.TpmTcmPolicy ได้แก่ 'NeitherTpmNorTcm', 'TpmOnly' และ 'TpmOnly'

      หากมีการตั้งค่า imm.TpmTcmPolicy เป็น 'Enabled' แต่ค่า imm.TpmTcmPolicy ไม่ถูกต้อง UEFI จะปฏิเสธคำขอ 'ล็อค' และเปลี่ยนค่า imm.TpmTcmPolicy กลับเป็น 'Disabled'

    8. อ่านค่าเพื่อตรวจสอบว่าระบบยอมรับหรือปฏิเสธคำขอ 'ล็อค' คำสั่งมีดังนี้:

      OneCli.exe config show imm.TpmTcmPolicy --override --imm <userid>:<password>@<ip_address>
      หมายเหตุ
      หากมีการเปลี่ยนค่าที่อ่านจาก 'Disabled' เป็น 'Enabled' แสดงว่า TPM_TCM_POLICY ได้รับการล็อคเรียบร้อยแล้ว นโยบายจะปลดล็อคไม่ได้อีกทันทีที่ตั้งค่าเสร็จ นอกจากจะเปลี่ยนแผงระบบ

      imm.TpmTcmPolicyLock ได้รับการกำหนดไว้ดังนี้:

      ค่า 1 ใช้สตริง “Enabled” ซึ่งมีความหมายว่าล็อคนโยบาย ระบบจะไม่ยอมรับค่าอื่นๆ

      ขั้นตอนยังต้องการการเปิดใช้งานสถานะทางกายภาพ ระบบจะเปิดใช้งานค่าเริ่มต้นสำหรับ FRU
      PhysicalPresencePolicyConfiguration.PhysicalPresencePolicy=Enable