ตั้งค่านโยบาย TPM
ตามค่าเริ่มต้น แผงระบบสำหรับการเปลี่ยนทดแทนจะส่งมาพร้อมกับตั้งค่านโยบาย TPM เป็น ไม่ได้กำหนด คุณต้องแก้ไขการตั้งค่าให้ตรงกับการตั้งค่าที่ใช้แทนที่ในแผงระบบซึ่งกำลังจะถูกเปลี่ยนทดแทน
จาก Lenovo XClarity Provisioning Manager
วิธีตั้งค่านโยบายจาก Lenovo XClarity Provisioning Manager:เริ่มเซิร์ฟเวอร์และกดปุ่มตามคำแนะนำบนหน้าจอเพื่อแสดงอินเทอร์เฟซ Lenovo XClarity Provisioning Manager
หากจำเป็นต้องใช้รหัสผ่านผู้ดูแลระบบในการเปิดเครื่อง ให้ป้อนรหัสผ่าน
จากหน้าข้อมูลสรุปของระบบ ให้คลิก Update VPD
- เลือกการตั้งค่านโยบายอย่างใดอย่างหนึ่งจากตัวเลือกต่อไปนี้:
เปิดใช้งาน NationZ TPM 2.0 - สำหรับประเทศจีนเท่านั้น ลูกค้าที่อยู่ในจีนแผ่นดินใหญ่ควรเลือกการตั้งค่านี้หากติดตั้งอะแดปเตอร์ NationZ TPM 2.0
TPM enabled - ROW ลูกค้านอกจีนแผ่นดินใหญ่ควรเลือกการตั้งค่านี้
ปิดใช้งานถาวร ลูกค้าที่อยู่ในจีนแผ่นดินใหญ่ควรใช้การตั้งค่านี้หากไม่ได้ติดตั้งอะแดปเตอร์ TPM
หมายเหตุแม้ว่าจะมีการตั้งค่าแบบ ไม่ได้กำหนด ไว้สำหรับกำหนดนโยบาย แต่ไม่ควรใช้งาน
จาก Lenovo XClarity Essentials OneCLI
หมายเหตุโปรดทราบว่าต้องตั้งค่ารหัสผ่านและผู้ใช้ของ IPMI ในเครื่องในLenovo XClarity Controller เพื่อให้สามารถเข้าถึงระบบเป้าหมายได้จากระยะไกล วิธีตั้งค่านโยบายจาก Lenovo XClarity Essentials OneCLI:อ่าน TpmTcmPolicyLock เพื่อตรวจสอบว่า TPM_TCM_POLICY ถูกล็อคไว้หรือไม่:
OneCli.exe config show imm.TpmTcmPolicyLock --override --imm <userid>:<password>@<ip_address>
หมายเหตุค่า imm.TpmTcmPolicyLock ต้องมีสถานะเป็น 'Disabled' ซึ่งหมายความว่า TPM_TCM_POLICY จะไม่ถูกล็อคและสามารถเปลี่ยนเป็น TPM_TCM_POLICY ได้ หากรหัสที่ได้รับกลับมาคือ ‘Enabled’ มีความหมายว่าระบบไม่อนุญาตให้มีการเปลี่ยนแปลงนโยบาย อาจมีการใช้ Planar อยู่หากการตั้งค่าที่ต้องการเข้ากันได้กับระบบที่มีการเปลี่ยนทดแทน
กำหนดค่า TPM_TCM_POLICY เป็น XCC:
สำหรับลูกค้าในจีนแผ่นดินใหญ่ที่ไม่มี TPM หรือลูกค้าที่ต้องการปิดใช้งาน TPM:
OneCli.exe config set imm.TpmTcmPolicy "NeitherTpmNorTcm" --override --imm <userid>:<password>@<ip_address>
สำหรับลูกค้าในจีนแผ่นดินใหญ่ที่ต้องการเปิดใช้งาน TPM:
OneCli.exe config set imm.TpmTcmPolicy "NationZTPM20Only" --override --imm <userid>:<password>@<ip_address>
สำหรับลูกค้านอกจีนแผ่นดินใหญ่ที่ต้องการเปิดใช้งาน TPM:
OneCli.exe config set imm.TpmTcmPolicy "TpmOnly" --override --imm <userid>:<password>@<ip_address>
ออกคำสั่งรีเซ็ตเพื่อรีเซ็ตระบบ:
OneCli.exe misc ospower reboot --imm <userid>:<password>@<ip_address>
อ่านค่าเพื่อตรวจสอบว่าระบบยอมรับการเปลี่ยนแปลงหรือไม่
OneCli.exe config show imm.TpmTcmPolicy --override --imm <userid>:<password>@<ip_address>
หมายเหตุหากค่าที่อ่านตรงกัน แสดงว่า TPM_TCM_POLICY ได้รับการตั้งค่าอย่างถูกต้องแล้ว
imm.TpmTcmPolicy ได้รับการกำหนดไว้ดังนี้:ค่า 0 ใช้สตริง “Undefined” ซึ่งหมายถึงนโยบายที่ไม่ได้กำหนดไว้
ค่า 1 ใช้สตริง “NeitherTpmNorTcm” ซึ่งหมายถึง TPM_PERM_DISABLED
ค่า 2 ใช้สตริง “TpmOnly” ซึ่งหมายถึง TPM_ALLOWED
ค่า 4 ใช้สตริง “NationZTPM20Only” ซึ่งมีความหมายว่า NationZ_TPM20_ALLOWED
ต้องใช้ 4 ขั้นตอนด้านล่างในการ 'ล็อค' TPM_TCM_POLICY ขณะใช้คำสั่ง OneCli/ASU:
อ่าน TpmTcmPolicyLock เพื่อตรวจสอบว่า TPM_TCM_POLICY ถูกล็อคไว้หรือไม่ คำสั่งมีดังนี้:
OneCli.exe config show imm.TpmTcmPolicyLock --override --imm <userid>:<password>@<ip_address>
ค่าต้องมีสถานะเป็น ''Disabled' ซึ่งมีความหมายว่าไม่ได้ล็อค TPM_TCM_POLICY ไว้และต้องได้รับการตั้งค่า
ล็อค TPM_TCM_POLICY:
OneCli.exe config set imm.TpmTcmPolicyLock "Enabled"--override --imm <userid>:<password>@<ip_address>
ออกคำสั่งรีเซ็ตเพื่อรีเซ็ตระบบ คำสั่งมีดังนี้:
OneCli.exe misc ospower reboot --imm <userid>:<password>@<ip_address>
ในระหว่างการรีเซ็ต UEFI จะอ่านค่าจาก imm.TpmTcmPolicyLock หากค่ามีสถานะเป็น 'Enabled' และค่า imm.TpmTcmPolicy ถูกต้อง UEFI จะล็อคการตั้งค่า TPM_TCM_POLICYหมายเหตุค่าที่ถูกต้องสำหรับ imm.TpmTcmPolicy ประกอบด้วย 'NeitherTpmNorTcm', 'TpmOnly' และ 'NationZTPM20Only'
หากมีการตั้งค่า imm.TpmTcmPolicyLock เป็น 'Enabled' แต่ค่า imm.TpmTcmPolicy ไม่ถูกต้อง UEFI จะปฏิเสธคำขอ 'ล็อค' และเปลี่ยนค่า imm.TpmTcmPolicyLock กลับเป็น 'Disabled'
อ่านค่าเพื่อตรวจสอบว่าระบบยอมรับหรือปฏิเสธคำขอ ‘ล็อค’ มีคำสั่งดังต่อไปนี้:
OneCli.exe config show imm.TpmTcmPolicy --override --imm <userid>:<password>@<ip_address>
หมายเหตุหากมีการเปลี่ยนค่าที่อ่านจาก 'Disabled' เป็น 'Enabled' แสดงว่า TPM_TCM_POLICY ได้รับการล็อคเรียบร้อยแล้ว นโยบายจะปลดล็อคไม่ได้อีกทันทีที่ตั้งค่าเสร็จ นอกจากจะเปลี่ยนแผงระบบimm.TpmTcmPolicyLock ได้รับการกำหนดไว้ดังนี้:
ค่า 1 ใช้สตริง “Enabled” ซึ่งมีความหมายว่าล็อคนโยบาย ระบบจะไม่ยอมรับค่าอื่นๆ