TPMチップとOKMが設定されたマザーボードの交換のトラブルシューティング

最後の更新
PDFとして保存

Views:: 377

Visibility:: Public

Votes:: 0

Category:: ontap-9

Specialty:: core

Last Updated:

環境

問題

TPMマザーボードを交換すると、ONTAP 9.8以降のTPMチップを搭載したプラットフォームおよびOKMが有効な場合、TPMチップで生成されたシールがOKM階層で更新されていないと、次の問題が発生します。

TPMチップを搭載し、TPM licenseがインストールされ、暗号化されたデータ（ルート以外）のボリュームを使用しているFASまたはAFFマザーボードを交換する場合、giveback vetoesを無視するとNVEボリュームがオフラインになります。次のgb.sfo.veto.kmgr.keysmissingイベントが表示されます：

::>event log show -message-name gb.sfo.veto.kmgr.keysmissing
<date><time> <node-name> ERROR gb.sfo.veto.kmgr.keysmissing: Giveback of aggregate <aggr-name> failed due to unavailability of volume encryption keys for the encrypted volumes of the aggregate on the partner node <node-name>.

TPM チップを搭載し、TPM ライセンスをインストールし、暗号化されたルートボリュームを使用している FAS または AFF マザーボードを交換すると、TPM が構成され、ルートボリュームが暗号化されている間はシステムがブートしません（Bug ID 1480977）。起動時に次のエラーが表示されます。

Jun 08 12:05:30 [node1:crypto.okmrecovery.failed:ALERT]: ERROR: Import of the onboard key hierarchy failed: failed to import key hierarchy. Additional information: error: ssal unseal failed.

Bug ID 1416279 は、このプロセスを自動化する要求としてオープンされています。