購入する または契約更新する
購入する または契約更新する
キャンセル
提案をオンにする
自動提案では、入力時に可能な一致が提案されるので検索結果を素早く絞り込むことができます。
次の結果を表示 
次の代わりに検索 
もしかして: 
cancel
新しい記事を作成する
2028
閲覧回数
2
いいね!
0
コメント

[UCS] TPM 交換前に ESXi リカバリーキーをバックアップする必要性について

didi2
Cisco Employee
Cisco Employee

‎2024-03-05 05:50 PM

はじめに

本ドキュメントでは、ESXi 7.0U2 以降のバージョンで稼働している UCS サーバで TPM を交換する際に、ESXi のリカバリーキーをバックアップする必要がある理由とリカバリーの手順について説明します。

 

現象

ESXi 7.0U2 以降では、TPM 交換後に下記のエラーが発生し、ESXi が起動しなくなることがあります。 これは、ESXi 7.0U2 以降における動作の変更点です。
エラーメッセージ:
Unable to restore system configuration. A security violation was detected.
Q30.png

 

対策

ESXi リカバリーキーを使用してリカバリーします。
 
■ ESXi リカバリーキーの確認方法
ESXi Shell で、下記のコマンドでリカバリーキーを確認します。
[root@localhost:~] esxcli system settings encryption recovery list
Q31.png
上記の「Key」の下部にリカバリーキーが表示されます。 本例であれば、リカバリキーは以下の通りです。 665698-311246-511491-287004-713024-257482-381871-248420-257892-507835-542244-396605-192996-386729-611152-500548

ESXi をリカバリーする方法
1. ESXi ホストを起動します。
2. Loading VMware ESXi の画面が表示されたら、Shift+O を押してブートオプションを編集します。
Q32.png
3. コマンドプロンプトで、既存のブートオプションの後ろに以下の内容を追加します。
encryptionRecoveryKey=<リカバリーキー>
Q33.png
[注意] プロンプトに既に表示されている情報を削除しないでください。 既に表示されている内容の直後に  [encryptionRecoveryKey=リカバリーキー] を入力してください。
4. 正しいキーを入力後に ESXi が起動できます。
5. 変更を保存するために、ESXi Shell に次のコマンドを入力します:
# /sbin/auto-backup.sh
6. ESXi を再起動して、設定が適用されて無事に起動できることを確認します。
 

その他

UCS サーバでは TPM の取り換えが難しいため、マザーボードを交換する際には TPM も一緒に交換することになります。ESXi のリカバリーキーがなければ、他の復旧手段がないため、ESXi を再インストールする必要があります。 サーバが予期せずシャットダウンして起動できなくなる場合があるため、障害が発生した時のみならず、通常の運用中でもESXi リカバリーキーをバックアップするようにしてください。

 

参考資料

Boot time failures due to ESXi configuration encryption (81446) 
vSphere Security

 

 

 

 

 

 

 

Getting Started

検索バーにキーワード、フレーズ、または質問を入力し、お探しのものを見つけましょう

シスコ コミュニティをいち早く使いこなしていただけるよう役立つリンクをまとめました。みなさんのジャーニーがより良いものとなるようお手伝いします

Customers Also Viewed These Support Documents