設定 TPM 原則
根據預設,更換用主機板隨附的 TPM 原則會設定為未定義。您必須修改此設定,以符合要更換的主機板適用的設定。
從 Lenovo XClarity Provisioning Manager
若要從 Lenovo XClarity Provisioning Manager 設定 TPM 原則:啟動伺服器,然後根據畫面上的指示按下指定按鍵以顯示 Lenovo XClarity Provisioning Manager 介面。
如果需要開機管理者密碼,請輸入密碼。
在「系統摘要」頁面中,按一下更新 VPD。
- 設定下列其中一個設定的原則。
NationZ TPM 2.0 已啟用 - 僅限中國。中國大陸的客戶應選擇此設定(如果已安裝 NationZ TPM 2.0 配接卡)。
TPM 已啟用 - ROW。中國大陸以外的客戶應選擇此設定。
已永久停用。中國大陸的客戶應使用此設定(如果未安裝 TPM 配接卡)。
註雖然未定義的設定可作為原則設定,但不應使用。
從 Lenovo XClarity Essentials OneCLI
註請注意,您必須在Lenovo XClarity Controller 中設定本端 IPMI 使用者及密碼後才能從遠端存取目標系統。 若要從 Lenovo XClarity Essentials OneCLI 設定 TPM 原則:讀取 TpmTcmPolicyLock 以檢查 TPM_TCM_POLICY 是否已鎖定:
OneCli.exe config show imm.TpmTcmPolicyLock --override --imm <userid>:<password>@<ip_address>
註imm.TpmTcmPolicyLock 值必須是「Disabled」,這表示 TPM_TCM_POLICY 未遭鎖定且允許對 TPM_TCM_POLICY 進行變更。如果回覆碼為「Enabled」,即不允許對原則進行任何變更。如果欲更換的系統所需的設定正確無誤,即表示介面板可能仍在使用中。
配置 TPM_TCM_POLICY 轉入 XCC:
若是沒有 TPM 的中國大陸客戶或需要停用 TPM 的客戶:
OneCli.exe config set imm.TpmTcmPolicy "NeitherTpmNorTcm" --override --imm <userid>:<password>@<ip_address>
若是需要啟用 TPM 的中國大陸客戶:
OneCli.exe config set imm.TpmTcmPolicy "NationZTPM20Only" --override --imm <userid>:<password>@<ip_address>
若是需要啟用 TPM 的中國大陸以外的客戶:
OneCli.exe config set imm.TpmTcmPolicy "TpmOnly" --override --imm <userid>:<password>@<ip_address>
發出 reset 指令以重設系統:
OneCli.exe misc ospower reboot --imm <userid>:<password>@<ip_address>
讀回其值以檢查是否已接受變更:
OneCli.exe config show imm.TpmTcmPolicy --override --imm <userid>:<password>@<ip_address>
註如果讀回相符的值,即表示已正確設定 TPM_TCM_POLICY。
imm.TpmTcmPolicy 的定義如下:值 0 使用字串「Undefined」,表示未定義的原則。
值 1 使用字串「NeitherTpmNorTcm」,表示 TPM_PERM_DISABLED。
值 2 使用字串「TpmOnly」,表示 TPM_ALLOWED。
值 4 使用字串「NationZTPM20Only」,表示 NationZ_TPM20_ALLOWED。
使用 OneCli/ASU 指令時,還必須執行以下 4 個步驟「鎖定」TPM_TCM_POLICY:
讀取 TpmTcmPolicyLock 以檢查 TPM_TCM_POLICY 是否遭到鎖定,指令如下:
OneCli.exe config show imm.TpmTcmPolicyLock --override --imm <userid>:<password>@<ip_address>
其值必須是「Disabled」,這表示 TPM_TCM_POLICY 未遭鎖定且必須進行設定。
鎖定 TPM_TCM_POLICY:
OneCli.exe config set imm.TpmTcmPolicyLock "Enabled"--override --imm <userid>:<password>@<ip_address>
發出 reset 指令以重設系統,指令如下:
重設過程中,UEFI 將從 imm.TpmTcmPolicyLock 讀取值,如果其值為「Enabled」且 imm.TpmTcmPolicy 值有效,UEFI 便會鎖定 TPM_TCM_POLICY 設定。OneCli.exe misc ospower reboot --imm <userid>:<password>@<ip_address>
註imm.TpmTcmPolicy 的有效值包括「NeitherTpmNorTcm」、「TpmOnly」和「NationZTPM20Only」。
如果 imm.TpmTcmPolicyLock 設定為「Enabled」但 imm.TpmTcmPolicy 值無效,UEFI 便會拒絕「鎖定」要求並將 imm.TpmTcmPolicyLock 變更回「Disabled」。
讀回其值以檢查「鎖定」已獲接受還是遭到拒絕。指令如下:
OneCli.exe config show imm.TpmTcmPolicy --override --imm <userid>:<password>@<ip_address>
註如果讀回的值從「Disabled」變更為「Enabled」,即表示已成功鎖定 TPM_TCM_POLICY。原則一經設定之後,便無法再解除鎖定該原則,除非更換主機板。imm.TpmTcmPolicyLock 的定義如下:
值 1 使用字串「Enabled」,表示鎖定原則。其他值概不接受。