跳至主要内容

設定 TPM 原則

根據預設,更換用主機板隨附的 TPM 原則會設定為未定義。您必須修改此設定,以符合要更換的主機板適用的設定。

有兩種方法可以設定 TPM 原則:
  • Lenovo XClarity Provisioning Manager

    若要從 Lenovo XClarity Provisioning Manager 設定 TPM 原則:
    1. 啟動伺服器,然後根據畫面上的指示按下指定按鍵以顯示 Lenovo XClarity Provisioning Manager 介面。

    2. 如果需要開機管理者密碼,請輸入密碼。

    3. 在「系統摘要」頁面中,按一下更新 VPD

    4. 設定下列其中一個設定的原則。
      • NationZ TPM 2.0 已啟用 - 僅限中國。中國大陸的客戶應選擇此設定(如果已安裝 NationZ TPM 2.0 配接卡)。

      • 已啟用 TPM - ROW。中國大陸以外的客戶應選擇此設定。

      • 已永久停用。中國大陸的客戶應使用此設定(如果未安裝 TPM 配接卡)。

      雖然未定義的設定可作為原則設定,但不應使用。

  • Lenovo XClarity Essentials OneCLI

    請注意,您必須在 Lenovo XClarity Controller 中設定本端 IPMI 使用者及密碼後才能從遠端存取目標系統。
    若要從 Lenovo XClarity Essentials OneCLI 設定 TPM 原則:
    1. 讀取 TpmTcmPolicyLock 以檢查 TPM_TCM_POLICY 是否已鎖定:

      OneCli.exe config show imm.TpmTcmPolicyLock --override --imm <userid>:<password>@<ip_address>

      imm.TpmTcmPolicyLock 值必須是「Disabled」,這表示 TPM_TCM_POLICY 未遭鎖定且允許對 TPM_TCM_POLICY 進行變更。如果回覆碼為「Enabled」,即不允許對原則進行任何變更。如果欲更換的系統所需的設定正確無誤,即表示介面板可能仍在使用中。

    2. 配置 TPM_TCM_POLICY 轉入 XCC:

      • 若是沒有 TPM 的中國大陸客戶或需要停用 TPM 的客戶:

        OneCli.exe config set imm.TpmTcmPolicy "NeitherTpmNorTcm" --override --imm <userid>:<password>@<ip_address>
      • 若是需要啟用 TPM 的中國大陸客戶:

        OneCli.exe config set imm.TpmTcmPolicy "NationZTPM20Only" --override --imm <userid>:<password>@<ip_address>
      • 若是需要啟用 TPM 的中國大陸以外的客戶:

        OneCli.exe config set imm.TpmTcmPolicy "TpmOnly" --override --imm <userid>:<password>@<ip_address>
    3. 發出 reset 指令以重設系統:

      OneCli.exe misc ospower reboot --imm <userid>:<password>@<ip_address>
    4. 讀回其值以檢查是否已接受變更:

      OneCli.exe config show imm.TpmTcmPolicy --override --imm <userid>:<password>@<ip_address>
      • 如果讀回相符的值,即表示已正確設定 TPM_TCM_POLICY。

        imm.TpmTcmPolicy 的定義如下:
        • 值 0 使用字串「Undefined」,表示未定義的原則。

        • 值 1 使用字串「NeitherTpmNorTcm」,表示 TPM_PERM_DISABLED。

        • 值 2 使用字串「TpmOnly」,表示 TPM_ALLOWED。

        • 值 4 使用字串「NationZTPM20Only」,表示 NationZ_TPM20_ALLOWED。

      • 使用 OneCli/ASU 指令時,還必須執行以下 4 個步驟「鎖定」TPM_TCM_POLICY:

    5. 讀取 TpmTcmPolicyLock 以檢查 TPM_TCM_POLICY 是否遭到鎖定,指令如下:

      OneCli.exe config show imm.TpmTcmPolicyLock --override --imm <userid>:<password>@<ip_address>

      其值必須是「Disabled」,這表示 TPM_TCM_POLICY 未遭鎖定且必須進行設定。

    6. 鎖定 TPM_TCM_POLICY:

      OneCli.exe config set imm.TpmTcmPolicyLock "Enabled" --override --imm <userid>:<password>@<ip_address>
    7. 發出 reset 指令以重設系統,指令如下:

      OneCli.exe misc ospower reboot --imm <userid>:<password>@<ip_address>
      重設過程中,UEFI 將從 imm.TpmTcmPolicyLock 讀取值,如果其值為「Enabled」且 imm.TpmTcmPolicy 值有效,UEFI 便會鎖定 TPM_TCM_POLICY 設定。

      imm.TpmTcmPolicy 的有效值包括「NeitherTpmNorTcm」、「TpmOnly」和「NationZTPM20Only」。

      如果 imm.TpmTcmPolicyLock 設定為「Enabled」但 imm.TpmTcmPolicy 值無效,UEFI 便會拒絕「鎖定」要求並將 imm.TpmTcmPolicyLock 變更回「Disabled」。

    8. 讀回其值以檢查「鎖定」已獲接受還是遭到拒絕。指令如下:

      OneCli.exe config show imm.TpmTcmPolicy --override --imm <userid>:<password>@<ip_address>
      如果讀回的值從「Disabled」變更為「Enabled」,即表示已成功鎖定 TPM_TCM_POLICY。原則一經設定之後,便無法再解除鎖定該原則,除非更換主機板。

      imm.TpmTcmPolicyLock 的定義如下:

      值 1 使用字串「Enabled」,表示鎖定原則。其他值概不接受。