เล่าเป็นเรื่องวันนี้ ที่ได้รับแจ้งเป็นเรื่องของ Server HOST VMware Vsphere ESXi Version 7.0u3 พบเจอเครื่อง Host VM ดับไป 1 เครื่อง (เป็นรุ่น H
เล่าเป็นเรื่องวันนี้ ที่ได้รับแจ้งเป็นเรื่องของ Server HOST VMware Vsphere ESXi Version 7.0u3 พบเจอเครื่อง Host VM ดับไป 1 เครื่อง (เป็นรุ่น HPE DL380 Gen 10 Plus) ไฟ power เป็นสีส้ม กระพริบ ให้ลองกดปุ่ม power เพื่อเปิดดู(ปกติไม่แนะนำให้ทำควรต้องทำการตรวจสอบก่อน) เจออาการไฟติดกระพริบทุกดวง(ทั้ง 4ดวง) อย่างนี้เสียแน่นอน แนะนำให้แจ้ง เจ้าของผลิตภัณฑ์ เพื่อมาทำการแก้ไข เพราะยังอยู่ในการรับประกันประกัน เมื่อ ดำเนินการซ่อมแซมแก้ไขแล้วเสร็จ เจอคำถาม
HPE Engineer: คุณลูกค้าได้เก็บ Encryption Key ไว้มั้ยครับ ตอนติดตั้งจะฟ้องให้เก็บ (TPM Encryption Recovery Key Backup)
Kai IT: ไม่ได้เก็บนะครับ ตอนติดตั้งก็ไม่มีฟ้องให้เก็บอะไรนะครับ และอีกอย่างผมไม่ได้เปิด Secure Boot นะครับ มันเลยไม่มีหรือเปล่า (ไม่ได้รู้เลยว่างานกำลังจะเข้า)
HPE Engineer: คุณลูกค้าครับมันต้องใช้ครับ ตอนนิ้ boot ESXi แล้วมี POSD error ตามนี้ครับ
Unable to restore system configuration. A security violation was detected. https://via.vmw.com/security-violation
Kai IT: ครับค้างไว้เดี๋ยวผมไปดำเนินการต่อครับ
ดำเนินการตรวจสอบและทำการตรวเช็ค และตรวจสอบว่ามีการเก็บ (TPM Encryption Recovery Key Backup) ไว้หรืเปล่า เมื่อแน่ใจแล้วว่าไม่มี จึงตัดสินใจ install Vsphere ESXi .ใหม่
หมายเหตุ ก่อนการติดตั้งใหม่ ให้ตรวจสอบค่า Config ในส่วนของ Bios (Platform config RBSU) หากไม่ถูกต้อง ทำการปรับให้ถูกต้อง แล้ว Boot ESXi ดูอีกสักครั้ง ก่อนการลงใหม่ บางครั้ง เขาไม่ได้ตั้งค่า BIOS ให้เราในกรณีเปลี่ยน Mother Board เขาจะตั้งในส่วนของเขาที่เขาต้องทำเท่านั้น ทำให้การ Boot ESXi ผิดพลาดได้
อาการ:
An ESXi host runs into one of the following PSOD errors during boot:
ข้อความที่แสดง:
Unable to restore system configuration. A security violation was detected. https://via.vmw.com/security-violation
การแก้ไข:
สำหรับ Vsphere ESXi 7.0U3 มีข้อความแจ้งมาตามภาพข้างต้น หรือ ข้อความ
Unable to restore system configuration. A security violation was detected. https://via.vmw.com/security-violation
หมายเหตุ หากไม่ได้แก้ไขการตั้งค่าเฟิร์มแวร์ แสดงว่าชิป TPM 2.0 ไม่ทำงานหรือถูกเปลี่ยนใหม่ (อาจเกิดจากการสลับเมนบอร์ด ในกรณีนี้ คุณต้องกู้คืนการกำหนดค่า ESXi
โดยทำตามขั้นตอนต่อไปนี้:
เปิดเครื่อง Server เพื่อ Boot ESXi
เมื่อเห็นหน้าต่าง ESXi ปรากฏขึ้น ให้กด ‘Shift+O’ เพื่อแก้ไขตัวเลือกการบูต (มีเวลา 5 วินาที)
หากต้องการกู้คืนการกำหนดค่า ให้เพิ่มตัวเลือกการบูตต่อไปนี้ลงในตัวเลือกการบูตที่มีอยู่ที่พรอมต์คำสั่ง
หมายเหตุ: อย่าลบข้อมูลที่มีอยู่แล้วที่พรอมต์
พิมพ์ ‘encryptionRecoveryKey=xxxxxx-xxxxxx-xxxxxx-xxxxxx-xxxxxx-xxxxxx-xxxxxx-xxxxxx-xxxxxx-xxxxxx-xxxxxx-xxxxxx-xxxxxx-xxxxxx-xxxxxx-xxxxxx-xxxxxx’ ทันทีหลังจากคำสั่งที่แสดงแล้ว (ไม่ต้องเว้นวรรค)
กด Enter เพื่อดำเนินการ Boot ESXi
การกำหนดค่า ESXi ที่ปลอดภัยได้รับการกู้คืนแล้ว และ Server ESXi จะ boot เข้าทำงานปกติ
หากต้องการยืนยันการเปลี่ยนแปลง ให้ป้อนคำสั่งต่อไปนี้: /sbin/auto-backup.sh
Reboot Server ESXi
การแก้ไขตามรูป
จากรูป
type ‘encryptionRecoveryKey=xxxxxx-xxxxxx-xxxxxx-xxxxxx-xxxxxx-xxxxxx-xxxxxx-xxxxxx-xxxxxx-xxxxxx-xxxxxx-xxxxxx-xxxxxx-xxxxxx-xxxxxx-xxxxxx-xxxxxx’
type ‘encryptionRecoveryKey= 044451-690526-607994-713859-223766-231115-027066-221701-301859-525226-353858-659263-132947-430520-358724-468527
แต่ในกรณี ไม่ได้สำรอง TPM Encryption Recovery Key Backup เอาไว้ ต้อง Install ESXi ใหม่เท่านั้น
ทำอย่างไรไม่ให้เหตุการณ์ แบบนี้เกิดกับระบบของเรา และตรวจสอบอย่างไรว่าระบบของเราถูกติดตั้ง TPM ในระบบหรือมั้ย
สำหรับ แอดมินที่ดูแลระบบ ตรวจสอบได้ดังนี้
Login เข้า Vcenter
ไปที่ >DataCenter >Monitoring>security
จากรูปข้างบนนี จะเห็นว่า ระบบ VMware มีการใช้งาน TPM อยู่ ให้ทำการสำรอง TPM Encryption Recovery Key เพื่อการกู้การ Boot ของ VSphere ESXi เอาไว้ในกรณีที่จำเป็นต้องใช้ จะได้ไม่ต้อง เสียเวลาในการติดตั้งใหม่ซึ่งจะมีความยุ่งยากกว่าเยอะมาก
การสำรอง TPM Encryption Recovery Key ทำได้อย่างไร
Login เข้า Vsphere ESXi
Select Host >Actions >Services >Enable Secure Shell(SSH) ตามรูปด้านล่าง
ใช้ Terminal login to Host โดยใช้ user root ในการใชงาน
ใช้ command ในการเช็คสถานะของ TPM
esxcli system settings encryption get
เมื่อ Run command จะได้ข้อความดังรูปด้านล่าง
และเมื่อเห็น Mode :TPM
ให้ type Command
esxcli system settings encryption recovery list
เมื่อ Run command จะได้ข้อความดังรูปด้านล่าง
ให้ทำการ Copy TPM encryption recovery Key ดังที่แสดงให้เห็น เพื่อใช้ในการแก้ไข หากมีการซ่อมแซมและเปลี่ยนส่วนของ System Board หรือ TPM Module
เพียงเท่านี้ก็จะทำให้เราสามารถกู้คืนจากเหตุการณ์ของอาการ :An ESXi host runs into one of the following PSOD errors during boot:
และควรจะจัดเก็บ TPM encryption recovery Backup Key ไว้ให้ดี ไม่ให้หายไป
แต่จากเหตุการณ์ที่เกิดขึ้น คงมีเรื่องให้เล่าต่อไป จากสาเหตุว่า เราไม่ได้เปิดใช้งาน หรือ Enable Secure boot แต่ด้วยเหตุผลอะไร ทำมัยถึง มีการใช้งาน TPM และ Vsphere ESXi ถึงใช้งาน Mode :TPM ได้ ในโอกาศต่อ ๆ ไป
ข้อความบางส่วนจาก knowledge.broadcom.com VMware Support ตาม Link
https://knowledge.broadcom.com/external/article?legacyId=81446
