Dell EMC VxRail. Хосты отображают оповещение в vCenter: «TPM 2.0 device detected but a connection cannot be established» (исправляется заказчиком).

Модернизация кластера VxRail до семейства версий 4.7.x, которое включает vCenter версии 6.7.

После модернизации до версии кода VxRail 4.7.x хосты ESXi в кластере получают оповещение: «TPM 2.0 device detected but a connection cannot be established».

Дополнительные сведения о модуле TPM 2.0 в среде vCenter 6.7 см. в документации VMware по адресу https://docs.vmware.com/en/VMware-vSphere/6.7/com.vmware.vsphere.security.doc/GUID-10F7022C-DBE1-47A2-BD86-3840C6955057.html.

Для поддержки TPM необходимо настроить BIOS хоста ESXi на использование алгоритма хеширования SHA256. Это оповещение может быть вызвано тем, что расширенные настройки BIOS хоста ESXi не установлены на значения по умолчанию, например SHA1 или другие настройки BIOS. 

***Проверьте, что указанные в этой статье изменения BIOS подходят для вашей конкретной среды.***

Указанные ниже действия необходимо выполнять на всех уязвимых узлах, по одному за раз. Перед переводом узлов в режим обслуживания убедитесь, что кластер исправен. Убедитесь в отсутствии активной ресинхронизации VSAN и в наличии достаточных ресурсов для миграции виртуальных машин. Убедитесь в наличии достаточного свободного пространства в сети VSAN для обеспечения отказоустойчивости.

1. Переведите хост в режим обслуживания в vCenter с помощью «Ensure Accessibilty».
2. Используйте iDRAC или BMC, чтобы открыть консоль для хоста. Перезагрузите хост и войдите в настройки BIOS, если они доступны, нажав F2 для выбора System Setup > System BIOS. 
3. Перейдите к параметрам загрузки и сделайте снимок экрана с последовательностью загрузки UEFI.
4. Чтобы восстановить настройки BIOS по умолчанию, нажмите кнопку «Default». (Примечание. Сброс настроек BIOS до значений по умолчанию может изменить порядок загрузки BIOS.)

 
5. Войдите в меню «System Security».
 а. Значение параметра «TPM Security» должно быть «On».
   б. Значение параметра «TxT» должно быть «On».


 
6. Войдите в меню «TPM Advanced Settings»
 а. Настройки TPM PPI должны быть «Disable».
   б. Значение «TPM2 Algorithm Selection» должно быть «SHA256».

7. Убедитесь, что для параметра «Secure Boot» установлено значение «Enabled».

8. Проверьте правильность настроек BIOS. 
9. Перейдите в меню «Boot setting» --> «UEFI Boot Sequence» и снова измените порядок загрузки в соответствии со сделанным снимком экрана. (Как правило, контроллер AHCI в операционной системе ESXi будет первым в очереди загрузки.)
10. Выйдите из настроек BIOS, после чего узел будет перезагружен. Дождитесь полной загрузки узла.
11. Если в vCenter хост отображается как отключенный, нажмите правой кнопкой мыши на значок хоста, выберите «Connection» и повторно подключите хост, прежде чем выйти из режима обслуживания.
12. Удалите все оповещения, повторите проверку, еще раз проверьте общее состояние кластера, ресинхронизацию vSAN, наличие достаточного количества ресурсов и перейдите к следующему хосту.

Если невозможно изменить алгоритм TPM на SHA256, попробуйте отключить технологию Intel(R) TXT.
Если сигнал тревоги сохраняется даже после перезагрузки, отключите и снова подключите хост к vCenter. 

Pivotal Ready Architecture, VxRail 460 and 470 Nodes, VxRail Appliance Family, VxRail Appliance Series, VxRail G410, VxRail G Series Nodes, VxRail E Series Nodes, VxRail E560, VxRail G560, VxRail G560F, VxRail Gen2 Hardware, VxRail P Series Nodes , VxRail P470, VxRail P570, VxRail P570F, VxRail S Series Nodes, VxRail S470, VxRail S570, VxRail Software, VxRail V Series Nodes, VxRail V470, VxRail V570, VxRail V570F ... 表示を増やす 表示を減らす