Skip to main content

ตั้งค่านโยบาย TPM

ตามค่าเริ่มต้น แผง I/O ระบบสำหรับการเปลี่ยนทดแทนจะจัดส่งมาพร้อมกับนโยบาย TPM ที่ตั้งค่าเป็น ไม่ได้กำหนด คุณต้องแก้ไขการตั้งค่านี้ให้ตรงกับการตั้งค่าที่เคยใช้กับแผง I/O ระบบที่จะเปลี่ยนทดแทน

มีวิธีการที่ใช้ได้สองวิธีในการตั้งค่านโยบาย TPM

  • จาก Lenovo XClarity Provisioning Manager

    วิธีตั้งค่านโยบาย TPM จาก Lenovo XClarity Provisioning Manager:

    1. เริ่มเซิร์ฟเวอร์และกดปุ่มตามคำแนะนำบนหน้าจอเพื่อแสดงอินเทอร์เฟซ Lenovo XClarity Provisioning Manager

    2. หากจำเป็นต้องใช้รหัสผ่านผู้ดูแลระบบในการเปิดเครื่อง ให้ป้อนรหัสผ่าน

    3. คลิก ที่มุมขวาบนของอินเทอร์เฟซ Lenovo XClarity Provisioning Manager แล้วคลิก อัปเดต VPD

    4. เลือกการตั้งค่านโยบายอย่างใดอย่างหนึ่งจากตัวเลือกต่อไปนี้:

      • เปิดใช้งาน NationZ TPM 2.0 - สำหรับประเทศจีนเท่านั้น ลูกค้าที่อยู่ในจีนแผ่นดินใหญ่ควรเลือกการตั้งค่านี้หากติดตั้งอะแดปเตอร์ NationZ TPM 2.0

      • TPM enabled - ROW ลูกค้านอกจีนแผ่นดินใหญ่ควรเลือกการตั้งค่านี้

      • ปิดใช้งานถาวร ลูกค้าที่อยู่ในจีนแผ่นดินใหญ่ควรใช้การตั้งค่านี้หากไม่ได้ติดตั้งอะแดปเตอร์ TPM

      หมายเหตุ

      แม้ว่าจะสามารถตั้งค่าเป็น ไม่ได้กำหนด ในการตั้งค่านโยบายได้ แต่ก็ไม่ควรใช้งาน

  • จาก Lenovo XClarity Essentials OneCLI

    หมายเหตุ
    โปรดทราบว่าต้องตั้งค่ารหัสผ่านและผู้ใช้ของ IPMI ในเครื่องใน Lenovo XClarity Controller เพื่อให้สามารถเข้าถึงระบบเป้าหมายได้จากระยะไกล
    วิธีตั้งค่านโยบายจาก Lenovo XClarity Essentials OneCLI:

    1. อ่าน TpmTcmPolicyLock เพื่อตรวจสอบว่า TPM_TCM_POLICY ถูกล็อคไว้หรือไม่:

      OneCli.exe config show BMC.TpmTcmPolicyLock --override --bmc <userid>:<password>@<ip_address>
      หมายเหตุ

      ค่าของ BMC.TpmTcmPolicyLock ต้องเป็น 'Disabled' ซึ่งหมายความว่า TPM_TCM_POLICY ยังไม่ถูกล็อคและสามารถเปลี่ยนแปลง TPM_TCM_POLICY ได้ หากรหัสที่ได้รับกลับมาคือ 'Enabled' ระบบจะไม่อนุญาตให้เปลี่ยนแปลงนโยบาย อาจมีการใช้ Planar อยู่หากการตั้งค่าที่ต้องการเข้ากันได้กับระบบที่มีการเปลี่ยนทดแทน

    2. กำหนดค่า TPM_TCM_POLICY เป็น XCC:

      • สำหรับลูกค้าในจีนแผ่นดินใหญ่ที่ไม่มี TPM หรือลูกค้าที่ต้องการปิดใช้งาน TPM:

        OneCli.exe config set BMC.TpmTcmPolicy "NeitherTpmNorTcm" --override --bmc <userid>:<password>@<ip_address>

      • สำหรับลูกค้าในจีนแผ่นดินใหญ่ที่ต้องการเปิดใช้งาน TPM:

        OneCli.exe config set BMC.TpmTcmPolicy "NationZTPM20Only" --override --bmc <userid>:<password>@<ip_address>

      • สำหรับลูกค้านอกจีนแผ่นดินใหญ่ที่ต้องการเปิดใช้งาน TPM:

        OneCli.exe config set BMC.TpmTcmPolicy "TPMOnly" --override --bmc <userid>:<password>@<ip_address>

    3. ออกคำสั่งรีเซ็ตเพื่อรีเซ็ตระบบ:

      OneCli.exe misc ospower reboot --bmc <userid>:<password>@<ip_address>

    4. อ่านค่าเพื่อตรวจสอบว่าระบบยอมรับการเปลี่ยนแปลงหรือไม่

      OneCli.exe config show BMC.TpmTcmPolicy --override --bmc <userid>:<password>@<ip_address>
      หมายเหตุ

      • หากค่าที่อ่านกลับมาตรงกัน แสดงว่า TPM_TCM_POLICY ได้รับการตั้งค่าอย่างถูกต้องแล้ว

        BMC.TpmTcmPolicy ได้รับการกำหนดค่าไว้ดังนี้:

        • ค่า 0 ใช้สตริง “Undefined” ซึ่งหมายถึงนโยบาย UNDEFINED

        • ค่า 1 ใช้สตริง “NeitherTpmNorTcm” ซึ่งหมายถึง TPM_PERM_DISABLED

        • ค่า 2 ใช้สตริง “TPMOnly” ซึ่งหมายถึง TPM_ALLOWED

        • ค่า 5 ใช้สตริง “NationZTPM20Only” ซึ่งหมายถึง NationZ_TPM20_ALLOWED

      • ต้องใช้ 4 ขั้นตอนด้านล่างในการ 'ล็อค' TPM_TCM_POLICY ขณะใช้คำสั่ง OneCli/ASU:

    5. อ่าน TpmTcmPolicyLock เพื่อตรวจสอบว่า TPM_TCM_POLICY ถูกล็อคไว้หรือไม่:

      OneCli.exe config show BMC.TpmTcmPolicyLock --override --bmc <userid>:<password>@<ip_address>

      ค่าต้องเป็น 'Disabled' ซึ่งมีความหมายว่า TPM_TCM_POLICY ยังไม่ถูกล็อคและต้องได้รับการตั้งค่า

    6. ล็อค TPM_TCM_POLICY:

      OneCli.exe config set BMC.TpmTcmPolicyLock "Enabled" --override --bmc <userid>:<password>@<ip_address>

    7. ออกคำสั่งรีเซ็ตเพื่อรีเซ็ตระบบ:

      OneCli.exe misc ospower reboot --bmc <userid>:<password>@<ip_address>
      ระหว่างการรีเซ็ต UEFI จะอ่านค่าจาก BMC.TpmTcmPolicyLock หากค่าเป็น 'Enabled' และค่า BMC.TpmTcmPolicy ถูกต้อง UEFI จะล็อคการตั้งค่า TPM_TCM_POLICY
      หมายเหตุ

      ค่าที่ถูกต้องของ BMC.TpmTcmPolicy คือ 'NeitherTpmNorTcm', 'TPMOnly' และ 'NationZTPM20Only'

      หากมีการตั้งค่า BMC.TpmTcmPolicyLock เป็น 'Enabled' แต่ค่า BMC.TpmTcmPolicy ไม่ถูกต้อง UEFI จะปฏิเสธคำขอ 'Lock' และเปลี่ยนค่า BMC.TpmTcmPolicyLock กลับเป็น 'Disabled'

    8. อ่านค่าที่อ่านกลับมาเพื่อตรวจสอบว่าเปิดใช้งานการ 'Lock' สำเร็จแล้วหรือไม่:

      OneCli.exe config show BMC.TpmTcmPolicyLock --override --bmc <userid>:<password>@<ip_address>
      หมายเหตุ
      หากค่าที่อ่านกลับมาเปลี่ยนจาก 'Disabled' เป็น 'Enabled' แสดงว่า TPM_TCM_POLICY ได้รับการล็อคเรียบร้อยแล้ว หลังจากตั้งค่าแล้วจะไม่มีวิธีใดในการปลดล็อคนโยบาย ยกเว้นการเปลี่ยนแผง I/O ระบบเท่านั้น

      BMC.TpmTcmPolicyLock ได้รับการกำหนดค่าไว้ดังนี้:

      ค่า 1 ใช้สตริง “Enabled” ซึ่งมีความหมายว่าล็อคนโยบาย ระบบจะไม่ยอมรับค่าอื่นๆ