Secured-core Server bei Thomas-Krenn-Systemen aktivieren

Azure Stack HCI

In diesem Artikel finden Sie alle Informationen, wie bei den Systemen von Thomas-Krenn das Secured-core Server Feature aktiviert werden kann.

Hierzu müssen für die jeweiligen Plattformen entsprechende BIOS-Einstellungen angepasst werden.

Anschließend kann, z.B. über das Windows Admin Center (WAC), das Secured-core Server Feature eingeschaltet werden.

Bitte achten Sie darauf, dass die korrekten und Freigegebenen BIOS-, Treiber- und Firmware-Versionen verwendet werden - diese können Sie in diesem Wiki-Artikel herunterladen: Treiber & Firmware Downloads - Azure Stack HCI

Allgemeine Informationen zu den default BIOS-Settings der Azure Stack HCI Systemen finden Sie in diesem Wiki-Artikel: BIOS-Settings der Azure Stack HCI Systeme

Auslesen des genauen Models/Systems

Falls Sie unsicher sind, welches genaue System Sie besitzen, haben Sie mehrere Möglichkeiten, dies herauszufinden:

• Auf der Bestellbestätigung, Rechnung oder Lieferschein
• Im Mein-Konto-Bereich auf der Webseite der Thomas-Krenn.AG
• über PowerShell mit folgendem Befehl auslesen: Get-Computerinfo -Property CsManufacturer, CsModel

Azure Stack HCI Rack-Series von AMD der 4. Generation - AMD EPYC 7004 (Genoa)

Zur 4. Generation der AMD Systeme gehören folgende Geräte:

• AzSHCI Series RA2224 v4
• AzSHCI Series RA2212 v4

Folgende BIOS-Settings müssen für Secured-core Server aktiviert werden:

• BIOS beim Post mittels "F1" öffnen

• Advanced -> AMD CBS -> NBIO Common Options -> IOMMU -> Enabled
• Advanced -> AMD CBS -> NBIO Common Options -> DMAr Support -> Enabled
• Advanced -> AMD CBS -> NBIO Common Options -> DMA Protection -> Enabled
• Advanced -> AMD CBS -> NBIO Common Options -> DRTM Virtual Device Support -> Enabled
• Advanced -> AMD CBS -> NBIO Common Options -> DRTM Memory Reservation -> Enabled
• Advanced -> AMD CBS -> UMC Common Options -> DDR Security -> TSME -> Enabled
• Security -> Secure Boot -> Secure Boot -> Enabled

Nachdem das Betriebssystem hochgefahren ist, muss nochmal der Chipsatztreiber installiert werden.

Hintergrund: Es fehlt der DRTM Treiber im System, dieser wird mit den Chipsatztreibern nachinstalliert.

Azure Stack HCI Rack-Series von Intel der 5. Generation - Intel Xeon Scalable 5th Gen (Emerald-Rapid)

Zur 5. Generation der Intel Systeme gehören folgende Geräte:

• AzSHCI Series RI2112 v5
• AzSHCI Series RI2224 v5
• AzSHCI Series RI2212 v5

Hinweis: Damit Secured-core Server bei Intel-Solutions funktioniert, muss das TPM-Modul zuvor provisioniert werden - Kontaktieren Sie hierzu das Support-Team von Thomas-Krenn.

Folgende BIOS-Settings müssen für Secured-core Server aktiviert werden:

• BIOS beim Post mittels "F1" öffnen

• Socket Configuration -> Processor Configuration -> Enable Intel(R) TXT -> Enabled
• Socket Configuration -> IIO Configuration -> Intel VT for Directed I/O(VT-d) -> DMA Control Opt-In Flag ->Enabled
• Security -> Secure Boot-> Secure Boot -> Enabled

Aktivieren im Windows Admin Center (WAC)

Nachdem die BIOS-Einstellungen für die entsprechenden Systeme korrekt gesetzt wurden, wechseln Sie in das Windows Admin Center.

Wählen Sie im Server-Manager ein System aus und stellen eine Verbindung her.

Anschließend klicken Sie auf "Security".

Nun können Sie die Features auswählen und über den Enable-Button einschalten.

Nach einem Reboot sollte der Status wie folgt ausschauen:

Autor: Armin Oberneder Armin Oberneder ist seit knapp 10 Jahren bei der Thomas-Krenn.AG tätig. Dort ist er aktuell im Solutions Bereich des Produktmanagements eingesetzt und kümmert sich somit um alle kundenspezifischen Anfragen rund um Server, Storage, Virtualisierung und Netzwerk. Armin hat sich in den vergangen Jahren vor Allem auf Windows Server, Software-Defined-Technologien und Netzwerktechnik spezialisiert. Aufgrund dieser Spezialisierungen ist er für die Planung und die Implementation von Windows Server Umgebungen bei Kunden zuständig. Bei Problemen kümmert er sich darum, dass schnellstmöglichst eine Lösung gefunden wird.