TPMチップとOKMが設定されたマザーボードの交換のトラブルシューティング
問題
- TPMマザーボードを交換すると、ONTAP 9.8以降のTPMチップを搭載したプラットフォームおよびOKMが有効な場合、TPMチップで生成されたシールがOKM階層で更新されていないと、次の問題が発生します。
- TPMチップを搭載し、TPM licenseがインストールされ、暗号化されたデータ(ルート以外)のボリュームを使用しているFASまたはAFFマザーボードを交換する場合、giveback vetoesを無視するとNVEボリュームがオフラインになります。次のgb.sfo.veto.kmgr.keysmissingイベントが表示されます:
::>event log show -message-name gb.sfo.veto.kmgr.keysmissing
<date><time> <node-name> ERROR gb.sfo.veto.kmgr.keysmissing: Giveback of aggregate <aggr-name> failed due to unavailability of volume encryption keys for the encrypted volumes of the aggregate on the partner node <node-name>.
- TPM チップを搭載し、TPM ライセンスをインストールし、暗号化されたルートボリュームを使用している FAS または AFF マザーボードを交換すると、TPM が構成され、ルートボリュームが暗号化されている間はシステムがブートしません(Bug ID 1480977)。 起動時に次のエラーが表示されます。
Jun 08 12:05:30 [node1:crypto.okmrecovery.failed:ALERT]: ERROR: Import of the onboard key hierarchy failed: failed to import key hierarchy. Additional information: error: ssal unseal failed.
- Bug ID 1416279 は、このプロセスを自動化する要求としてオープンされています。