Skip to main content

ตั้งค่านโยบาย TPM

ตามค่าเริ่มต้น แผงระบบสำหรับการเปลี่ยนทดแทนจะส่งมาพร้อมกับตั้งค่านโยบาย TPM เป็น ไม่ได้กำหนด คุณต้องแก้ไขการตั้งค่าให้ตรงกับการตั้งค่าที่ใช้แทนที่ในแผงระบบซึ่งกำลังจะถูกเปลี่ยนทดแทน

มีวิธีการที่ใช้ได้สองวิธีในการตั้งค่านโยบาย TPM
  • จาก Lenovo XClarity Provisioning Manager

    วิธีตั้งค่านโยบายจาก Lenovo XClarity Provisioning Manager:
    1. เริ่มเซิร์ฟเวอร์และกดปุ่มตามคำแนะนำบนหน้าจอเพื่อแสดงอินเทอร์เฟซ Lenovo XClarity Provisioning Manager

    2. หากจำเป็นต้องใช้รหัสผ่านผู้ดูแลระบบในการเปิดเครื่อง ให้ป้อนรหัสผ่าน

    3. จากหน้าข้อมูลสรุปของระบบ ให้คลิก Update VPD

    4. เลือกการตั้งค่านโยบายอย่างใดอย่างหนึ่งจากตัวเลือกต่อไปนี้:
      • เปิดใช้งาน NationZ TPM 2.0 - สำหรับประเทศจีนเท่านั้น ลูกค้าที่อยู่ในจีนแผ่นดินใหญ่ควรเลือกการตั้งค่านี้หากติดตั้งอะแดปเตอร์ NationZ TPM 2.0

      • TPM enabled - ROW ลูกค้านอกจีนแผ่นดินใหญ่ควรเลือกการตั้งค่านี้

      • ปิดใช้งานถาวร ลูกค้าที่อยู่ในจีนแผ่นดินใหญ่ควรใช้การตั้งค่านี้หากไม่ได้ติดตั้งอะแดปเตอร์ TPM

      หมายเหตุ

      แม้ว่าจะมีการตั้งค่าแบบ ไม่ได้กำหนด ไว้สำหรับกำหนดนโยบาย แต่ไม่ควรใช้งาน

  • จาก Lenovo XClarity Essentials OneCLI

    หมายเหตุ
    โปรดทราบว่าต้องตั้งค่ารหัสผ่านและผู้ใช้ของ IPMI ในเครื่องใน Lenovo XClarity Controller เพื่อให้สามารถเข้าถึงระบบเป้าหมายได้จากระยะไกล
    วิธีตั้งค่านโยบายจาก Lenovo XClarity Essentials OneCLI:
    1. อ่าน TpmTcmPolicyLock เพื่อตรวจสอบว่า TPM_TCM_POLICY ถูกล็อคไว้หรือไม่:

      หมายเหตุ

      ค่า imm.TpmTcmPolicyLock ต้องมีสถานะเป็น 'Disabled' ซึ่งหมายความว่า TPM_TCM_POLICY จะไม่ถูกล็อคและสามารถเปลี่ยนเป็น TPM_TCM_POLICY ได้ หากรหัสที่ได้รับกลับมาคือ ‘Enabled’ มีความหมายว่าระบบไม่อนุญาตให้มีการเปลี่ยนแปลงนโยบาย อาจมีการใช้ Planar อยู่หากการตั้งค่าที่ต้องการเข้ากันได้กับระบบที่มีการเปลี่ยนทดแทน

    2. กำหนดค่า TPM_TCM_POLICY เป็น XCC:

      • สำหรับลูกค้าในจีนแผ่นดินใหญ่ที่ไม่มี TPM หรือลูกค้าที่ต้องการปิดใช้งาน TPM:

        OneCli.exe config set imm.TpmTcmPolicy "NeitherTpmNorTcm" --override  --imm <userid>:<password>@<ip_address>
      • สำหรับลูกค้าในจีนแผ่นดินใหญ่ที่ต้องการเปิดใช้งาน TPM:

        OneCli.exe config set imm.TpmTcmPolicy "NationZTPM20Only" --override --imm <userid>:<password>@<ip_address>
      • สำหรับลูกค้านอกจีนแผ่นดินใหญ่ที่ต้องการเปิดใช้งาน TPM:

        OneCli.exe config set imm.TpmTcmPolicy "TpmOnly" --override --imm <userid>:<password>@<ip_address>
    3. ออกคำสั่งรีเซ็ตเพื่อรีเซ็ตระบบ:

      OneCli.exe misc ospower reboot --imm <userid>:<password>@<ip_address>
    4. อ่านค่าเพื่อตรวจสอบว่าระบบยอมรับการเปลี่ยนแปลงหรือไม่

      OneCli.exe config show imm.TpmTcmPolicy --override --imm <userid>:<password>@<ip_address>
      หมายเหตุ
      • หากค่าที่อ่านตรงกัน แสดงว่า TPM_TCM_POLICY ได้รับการตั้งค่าอย่างถูกต้องแล้ว

        imm.TpmTcmPolicy ได้รับการกำหนดไว้ดังนี้:
        • ค่า 0 ใช้สตริง “Undefined” ซึ่งหมายถึงนโยบายที่ไม่ได้กำหนดไว้

        • ค่า 1 ใช้สตริง “NeitherTpmNorTcm” ซึ่งหมายถึง TPM_PERM_DISABLED

        • ค่า 2 ใช้สตริง “TpmOnly” ซึ่งหมายถึง TPM_ALLOWED

        • ค่า 4 ใช้สตริง “NationZTPM20Only” ซึ่งมีความหมายว่า NationZ_TPM20_ALLOWED

      • ต้องใช้ 4 ขั้นตอนด้านล่างในการ 'ล็อค' TPM_TCM_POLICY ขณะใช้คำสั่ง OneCli/ASU:

    5. อ่าน TpmTcmPolicyLock เพื่อตรวจสอบว่า TPM_TCM_POLICY ถูกล็อคไว้หรือไม่ คำสั่งมีดังนี้:

      OneCli.exe config show imm.TpmTcmPolicyLock --override --imm <userid>:<password>@<ip_address>

      ค่าต้องมีสถานะเป็น ''Disabled' ซึ่งมีความหมายว่าไม่ได้ล็อค TPM_TCM_POLICY ไว้และต้องได้รับการตั้งค่า

    6. ล็อค TPM_TCM_POLICY:

      OneCli.exe config set imm.TpmTcmPolicyLock "Enabled"--override --imm <userid>:<password>@<ip_address>
    7. ออกคำสั่งรีเซ็ตเพื่อรีเซ็ตระบบ คำสั่งมีดังนี้:

      OneCli.exe misc ospower reboot --imm <userid>:<password>@<ip_address>
      ในระหว่างการรีเซ็ต UEFI จะอ่านค่าจาก imm.TpmTcmPolicyLock หากค่ามีสถานะเป็น 'Enabled' และค่า imm.TpmTcmPolicy ถูกต้อง UEFI จะล็อคการตั้งค่า TPM_TCM_POLICY
      หมายเหตุ

      ค่าที่ถูกต้องสำหรับ imm.TpmTcmPolicy ประกอบด้วย 'NeitherTpmNorTcm', 'TpmOnly' และ 'NationZTPM20Only'

      หากมีการตั้งค่า imm.TpmTcmPolicyLock เป็น 'Enabled' แต่ค่า imm.TpmTcmPolicy ไม่ถูกต้อง UEFI จะปฏิเสธคำขอ 'ล็อค' และเปลี่ยนค่า imm.TpmTcmPolicyLock กลับเป็น 'Disabled'

    8. อ่านค่าเพื่อตรวจสอบว่าระบบยอมรับหรือปฏิเสธคำขอ ‘ล็อค’ มีคำสั่งดังต่อไปนี้:

      OneCli.exe config show imm.TpmTcmPolicy --override --imm <userid>:<password>@<ip_address>
      หมายเหตุ
      หากมีการเปลี่ยนค่าที่อ่านจาก 'Disabled' เป็น 'Enabled' แสดงว่า TPM_TCM_POLICY ได้รับการล็อคเรียบร้อยแล้ว นโยบายจะปลดล็อคไม่ได้อีกทันทีที่ตั้งค่าเสร็จ นอกจากจะเปลี่ยนแผงระบบ

      imm.TpmTcmPolicyLock ได้รับการกำหนดไว้ดังนี้:

      ค่า 1 ใช้สตริง “Enabled” ซึ่งมีความหมายว่าล็อคนโยบาย ระบบจะไม่ยอมรับค่าอื่นๆ