Secured-core Server bei Thomas-Krenn-Systemen aktivieren

In diesem Artikel finden Sie alle Informationen, wie bei den Systemen von Thomas-Krenn das Secured-core Server Feature aktiviert werden kann.

Hierzu müssen für die jeweiligen Plattformen entsprechende BIOS-Einstellungen angepasst werden.

Anschließend kann, z.B. über das Windows Admin Center (WAC), das Secured-core Server Feature eingeschaltet werden.

Bitte achten Sie darauf, dass die korrekten und Freigegebenen BIOS-, Treiber- und Firmware-Versionen verwendet werden - diese können Sie in diesem Wiki-Artikel herunterladen: Treiber & Firmware Downloads - Azure Stack HCI

Allgemeine Informationen zu den default BIOS-Settings der Azure Stack HCI Systemen finden Sie in diesem Wiki-Artikel: BIOS-Settings der Azure Stack HCI Systeme

Auslesen des genauen Models/Systems

Falls Sie unsicher sind, welches genaue System Sie besitzen, haben Sie mehrere Möglichkeiten, dies herauszufinden:

• Auf der Bestellbestätigung, Rechnung oder Lieferschein
• Im Mein-Konto-Bereich auf der Webseite der Thomas-Krenn.AG
• über PowerShell mit folgendem Befehl auslesen: Get-Computerinfo -Property CsManufacturer, CsModel

Azure Stack HCI Rack-Series von AMD der 4. & 5. Generation - AMD EPYC 9004 (Genoa) & AMD EPYC 9005 (Turin)

Zur 4. Generation der AMD Systeme gehören folgende Geräte:

• AzSHCI Series RA2224 v4
• AzSHCI Series RA2212 v4

Zur 5. Generation der AMD Systeme gehören folgende Geräte:

• AzSHCI Series RA2224 v5
• AzSHCI Series RA2212 v5
• AzSHCI Series RA1224 v5
• AzSHCI Series RA1212 v5

Folgende BIOS-Settings müssen für Secured-core Server aktiviert werden:

• BIOS beim Post mittels "F1" öffnen

• Advanced -> AMD CBS -> NBIO Common Options -> IOMMU -> Enabled
• Advanced -> AMD CBS -> NBIO Common Options -> DMAr Support -> Enabled
• Advanced -> AMD CBS -> NBIO Common Options -> DMA Protection -> Enabled
• Advanced -> AMD CBS -> NBIO Common Options -> DRTM Virtual Device Support -> Enabled
• Advanced -> AMD CBS -> NBIO Common Options -> DRTM Memory Reservation -> Enabled
• Advanced -> AMD CBS -> UMC Common Options -> DDR Security -> TSME -> Enabled
• Security -> Secure Boot -> Secure Boot -> Enabled

Nachdem das Betriebssystem hochgefahren ist, muss nochmal der Chipsatztreiber installiert werden.

Hintergrund: Es fehlt der DRTM Treiber im System, dieser wird mit den Chipsatztreibern nachinstalliert.

Azure Stack HCI Rack-Series von Intel der 5. Generation - Intel Xeon Scalable 5th Gen (Emerald-Rapid)

Zur 5. Generation der Intel Systeme gehören folgende Geräte:

• AzSHCI Series RI2112 v5
• AzSHCI Series RI2224 v5
• AzSHCI Series RI2212 v5

Hinweis: Damit Secured-core Server bei Intel-Solutions funktioniert, muss das TPM-Modul zuvor provisioniert werden - Kontaktieren Sie hierzu das Support-Team von Thomas-Krenn.

Folgende BIOS-Settings müssen für Secured-core Server aktiviert werden:

• BIOS beim Post mittels "F1" öffnen

• Socket Configuration -> Processor Configuration -> Enable Intel(R) TXT -> Enabled
• Socket Configuration -> IIO Configuration -> Intel VT for Directed I/O(VT-d) -> DMA Control Opt-In Flag ->Enabled
• Security -> Secure Boot-> Secure Boot -> Enabled

Aktivieren im Windows Admin Center (WAC)

Nachdem die BIOS-Einstellungen für die entsprechenden Systeme korrekt gesetzt wurden, wechseln Sie in das Windows Admin Center.

Wählen Sie im Server-Manager ein System aus und stellen eine Verbindung her.

Anschließend klicken Sie auf "Security".

Nun können Sie die Features auswählen und über den Enable-Button einschalten.

Nach einem Reboot sollte der Status wie folgt ausschauen:

Autor: Thomas-Krenn.AG Bei der Thomas-Krenn.AG achten wir auf den bestmöglichen Service. Um dem gerecht zu werden, haben wir unser Thomas-Krenn Wiki ins Leben gerufen. Hier teilen wir unser Wissen mit Ihnen und informieren Sie über Grundlagen und Aktuelles aus der IT-Welt. Ihnen gefällt unsere Wissenskultur und Sie wollen Teil des Teams werden? Besuchen Sie unsere Stellenangebote.