เล่างานเป็นเรื่อง

เล่าเป็นเรื่องวันนี้ ที่ได้รับแจ้งเป็นเรื่องของ Server HOST VMware Vsphere ESXi Version 7.0u3 พบเจอเครื่อง Host VM ดับไป 1 เครื่อง (เป็นรุ่น HPE DL380 Gen 10 Plus) ไฟ power เป็นสีส้ม กระพริบ ให้ลองกดปุ่ม power เพื่อเปิดดู(ปกติไม่แนะนำให้ทำควรต้องทำการตรวจสอบก่อน) เจออาการไฟติดกระพริบทุกดวง(ทั้ง 4ดวง) อย่างนี้เสียแน่นอน แนะนำให้แจ้ง เจ้าของผลิตภัณฑ์ เพื่อมาทำการแก้ไข เพราะยังอยู่ในการรับประกันประกัน

   เมื่อ ดำเนินการซ่อมแซมแก้ไขแล้วเสร็จ เจอคำถาม

HPE Engineer: คุณลูกค้าได้เก็บ Encryption Key ไว้มั้ยครับ ตอนติดตั้งจะฟ้องให้เก็บ (TPM Encryption Recovery Key Backup)

Kai IT           : ไม่ได้เก็บนะครับ ตอนติดตั้งก็ไม่มีฟ้องให้เก็บอะไรนะครับ และอีกอย่างผมไม่ได้เปิด Secure Boot

นะครับ มันเลยไม่มีหรือเปล่า (ไม่ได้รู้เลยว่างานกำลังจะเข้า)

HPE Engineer: คุณลูกค้าครับมันต้องใช้ครับ ตอนนิ้ boot ESXi แล้วมี POSD error ตามนี้ครับ

Unable to restore system configuration. A security violation was detected. https://via.vmw.com/security-violation

Kai IT           : ครับค้างไว้เดี๋ยวผมไปดำเนินการต่อครับ 

ดำเนินการตรวจสอบและทำการตรวเช็ค และตรวจสอบว่ามีการเก็บ (TPM Encryption Recovery Key Backup) ไว้หรืเปล่า เมื่อแน่ใจแล้วว่าไม่มี จึงตัดสินใจ install Vsphere ESXi .ใหม่ 

หมายเหตุ ก่อนการติดตั้งใหม่ ให้ตรวจสอบค่า Config ในส่วนของ Bios (Platform config RBSU) หากไม่ถูกต้อง ทำการปรับให้ถูกต้อง แล้ว Boot ESXi ดูอีกสักครั้ง ก่อนการลงใหม่ บางครั้ง เขาไม่ได้ตั้งค่า BIOS ให้เราในกรณีเปลี่ยน Mother Board เขาจะตั้งในส่วนของเขาที่เขาต้องทำเท่านั้น ทำให้การ Boot ESXi ผิดพลาดได้

อาการ:

An ESXi host runs into one of the following PSOD errors during boot:

ข้อความที่แสดง: Unable to restore system configuration. A security violation was detected. https://via.vmw.com/security-violation

หรือ

การแก้ไข:

สำหรับ Vsphere ESXi 7.0U3 มีข้อความแจ้งมาตามภาพข้างต้น หรือ ข้อความ

Unable to restore system configuration. A security violation was detected. https://via.vmw.com/security-violation

หมายเหตุ หากไม่ได้แก้ไขการตั้งค่าเฟิร์มแวร์ แสดงว่าชิป TPM 2.0 ไม่ทำงานหรือถูกเปลี่ยนใหม่ (อาจเกิดจากการสลับเมนบอร์ด ในกรณีนี้ คุณต้องกู้คืนการกำหนดค่า ESXi

โดยทำตามขั้นตอนต่อไปนี้:

    เปิดเครื่อง Server เพื่อ Boot  ESXi

    เมื่อเห็นหน้าต่าง ESXi ปรากฏขึ้น ให้กด ‘Shift+O’ เพื่อแก้ไขตัวเลือกการบูต (มีเวลา 5 วินาที)

หากต้องการกู้คืนการกำหนดค่า ให้เพิ่มตัวเลือกการบูตต่อไปนี้ลงในตัวเลือกการบูตที่มีอยู่ที่พรอมต์คำสั่ง

หมายเหตุ: อย่าลบข้อมูลที่มีอยู่แล้วที่พรอมต์

พิมพ์ ‘encryptionRecoveryKey=xxxxxx-xxxxxx-xxxxxx-xxxxxx-xxxxxx-xxxxxx-xxxxxx-xxxxxx-xxxxxx-xxxxxx-xxxxxx-xxxxxx-xxxxxx-xxxxxx-xxxxxx-xxxxxx-xxxxxx’ ทันทีหลังจากคำสั่งที่แสดงแล้ว (ไม่ต้องเว้นวรรค)

    กด Enter เพื่อดำเนินการ Boot ESXi

    การกำหนดค่า ESXi ที่ปลอดภัยได้รับการกู้คืนแล้ว และ Server ESXi จะ boot เข้าทำงานปกติ

     หากต้องการยืนยันการเปลี่ยนแปลง ให้ป้อนคำสั่งต่อไปนี้: /sbin/auto-backup.sh

     Reboot Server  ESXi การแก้ไขตามรูป

จากรูป 

type ‘encryptionRecoveryKey=xxxxxx-xxxxxx-xxxxxx-xxxxxx-xxxxxx-xxxxxx-xxxxxx-xxxxxx-xxxxxx-xxxxxx-xxxxxx-xxxxxx-xxxxxx-xxxxxx-xxxxxx-xxxxxx-xxxxxx’

type ‘encryptionRecoveryKey= 044451-690526-607994-713859-223766-231115-027066-221701-301859-525226-353858-659263-132947-430520-358724-468527

แต่ในกรณี ไม่ได้สำรอง TPM Encryption Recovery Key Backup  เอาไว้ ต้อง Install ESXi ใหม่เท่านั้น

ทำอย่างไรไม่ให้เหตุการณ์ แบบนี้เกิดกับระบบของเรา และตรวจสอบอย่างไรว่าระบบของเราถูกติดตั้ง TPM ในระบบหรือมั้ย

สำหรับ แอดมินที่ดูแลระบบ ตรวจสอบได้ดังนี้

Login เข้า Vcenter ไปที่ >DataCenter >Monitoring>security

ตามรูป ตรง Host แสดงให้เห็นว่า ระบบ  ไม่มี TPM Encryption Recovery Key  จึงไม่ต้องกังวลว่าเมื่อซ่อมเปลี่ยน System Board แล้ว จะเกิดสาเหตุข้างต้น

จากรูปข้างบนนี จะเห็นว่า ระบบ VMware มีการใช้งาน TPM อยู่ ให้ทำการสำรอง TPM Encryption Recovery Key เพื่อการกู้การ Boot ของ VSphere ESXi เอาไว้ในกรณีที่จำเป็นต้องใช้ จะได้ไม่ต้อง เสียเวลาในการติดตั้งใหม่ซึ่งจะมีความยุ่งยากกว่าเยอะมาก

การสำรอง TPM Encryption Recovery Key ทำได้อย่างไร

Login เข้า Vsphere ESXi

Select Host >Actions >Services >Enable Secure Shell(SSH)  ตามรูปด้านล่าง

ใช้ Terminal login to Host โดยใช้ user root ในการใชงาน

ใช้ command ในการเช็คสถานะของ TPM

esxcli system settings encryption getเมื่อ Run command จะได้ข้อความดังรูปด้านล่าง

และเมื่อเห็น Mode :TPM

 ให้ type Command

esxcli system settings encryption recovery list

เมื่อ Run command จะได้ข้อความดังรูปด้านล่าง

ให้ทำการ Copy TPM encryption recovery Key ดังที่แสดงให้เห็น เพื่อใช้ในการแก้ไข หากมีการซ่อมแซมและเปลี่ยนส่วนของ System Board หรือ TPM Module เพียงเท่านี้ก็จะทำให้เราสามารถกู้คืนจากเหตุการณ์ของอาการ :An ESXi host runs into one of the following PSOD errors during boot:

และควรจะจัดเก็บ TPM encryption recovery Backup Key ไว้ให้ดี ไม่ให้หายไป

แต่จากเหตุการณ์ที่เกิดขึ้น คงมีเรื่องให้เล่าต่อไป จากสาเหตุว่า เราไม่ได้เปิดใช้งาน หรือ Enable Secure boot แต่ด้วยเหตุผลอะไร ทำมัยถึง มีการใช้งาน TPM และ Vsphere ESXi ถึงใช้งาน Mode :TPM ได้ ในโอกาศต่อๆไป

ข้อความบางส่วนจาก knowledge.broadcom.com VMware Support ตาม Link

https://knowledge.broadcom.com/external/article?legacyId=81446