ESXi をインストールした装置のマザーボード交換等に伴い TPM チップも交換される場合、
事前に控えておいたリカバリキーを使用して復旧させる必要があります。
本記事ではその手順について記載していきます。
環境
ESXi 7.0 U2 以降
TPM チップ交換前の対応について
TPM チップ交換の際にはリカバリキーが必要となるため、ESXi をインストールした時点で
リカバリキーを予め控えておく必要があります。
リカバリキーの確認は ESXi Shell 上から [esxcli system settings encryption recovery list]
コマンドを実行します。
[root@host1] esxcli system settings encryption recovery list
Recovery ID Key
-------------------------------------- ---
{2DDD5424-7F3F-406A-8DA8-D62630F6C8BC} 478269-039194-473926-430939-686855-231401-642208-184477-602511-225586-551660-586542-338394-092578-687140-267425上記コマンドの結果より、リカバリー ID とキーが表示されるため情報を控えておきます。
なお、TPM が搭載された ESXi では vSphere Client 上で [TPM 暗号化リカバリ キー
バックアップ アラーム] がトリガされます。
リカバリキーの情報を控えたら、当該アラームについては緑にリセットを実施して問題無いです。
なお、TPM チップを交換した後にリカバリキーを控えておくのを忘れてしまっていたという
場合には、ESXi の再インストールが必要となります。
ESXi boot failures due to system configuration issues – restore security configuration, decrypt system configuration, recover system configuration
—–
Note: If the recovery key is not available, the only option is to reinstall ESXi.
—–
TPM チップ交換後の対応について
TPM チップ交換後の ESXi の起動ではブートローダーの画面で Shift + O を押し、
起動オプションに encryptionRecoveryKey=<リカバリキー> を入力する必要があります。
なお、注意事項としてデフォルトで記載されている起動オプションは消さないでください
上記画面にてリカバリキーの入力が完了したら Enter キーを押下し、ESXi を起動させます。
起動完了後は ESXi Shell 上で以下コマンドを実行し、変更の保存を行います。
/sbin/auto-backup.shTPM チップ交換後の対応においてリカバリキーを入力しなかった場合
TPM チップ交換後の対応において、リカバリキーの入力を行わなかった場合には以下画像の
ように PSOD となります。
そのため、リカバリキーが無いと復旧させることはできません。
上述でも記載した通り、リカバリキーがー無い場合には ESXi の再インストールが必要に
なります。
TPM 関連での PSOD 発生時のメッセージについては以下 Knowledge が公開されています。
