禁用 BitLocker 以允许更新固件（仅限 Windows）

与 BitLocker 一起使用时，TPM 评估系统状态。在检测到 ROM 映像发生变化时，如果用户无法提供恢复密钥，则禁止访问 Windows 文件系统。HP SUM 检测是否在节点上启用了 TPM。对于某些较新型号的 ProLiant 服务器，如果在您的系统中或在选择作为目标的任何远程服务器上检测到 TPM，则用于 iLO、Smart Array、网卡和 BIOS 的 HP SUM 实用程序将在刷新之前提醒用户。如果用户未临时禁用 BitLocker，并且未取消刷新，则重新引导后需要 BitLocker 恢复密钥才能访问用户数据。

在以下情况下，将触发恢复事件：

使用 Microsoft BitLocker 驱动器加密时，在刷新系统之前未临时禁用 BitLocker。
您还选择了评估 iLO、Smart Array 和网卡固件。

如果 HP SUM 检测到 TPM，它会显示一条消息。

要使每个服务器上不键入 TPM 密码即可进行固件更新，请临时禁用 BitLocker 驱动器加密。禁用 BitLocker 驱动器加密将使硬盘驱动器数据保持加密状态。但是，BitLocker 使用存储在硬盘驱动器上的一个纯文本解密密钥读取信息。完成固件更新后，请重新启用 BitLocker 驱动器加密。重新启用 BitLocker 驱动器加密会删除纯文本密钥，而 BitLocker 会保护驱动器。


	小心：临时禁用 BitLocker 驱动器加密可能会影响驱动器安全性，因此只应在安全的环境中尝试此操作。如果无法提供安全的环境，Hewlett Packard Enterprise 建议提供引导密码，并在整个固件更新过程中将 BitLocker 驱动器加密保持启用状态。这要求为 HP SUM 设置 `/tpmbypass` 参数，否则，将阻止固件更新。

要临时禁用 BitLocker 支持以允许进行固件更新，请执行以下操作：

单击开始，然后在“搜索”文本框中搜索 gpedit.msc。
启动本地组策略编辑器后，单击本地计算机策略。
依次单击计算机配置 → 管理模板 → Windows 组件 → BitLocker 驱动器加密。
在显示 BitLocker 设置时，双击控制面板设置：启用高级启动选项。
出现对话框时，单击已禁用。
关闭所有窗口，然后开始进行固件更新。

要启用高级启动选项，请执行以下操作：

输入 cscript manage-bde.wsf -protectors -disable c:
完成固件更新过程后，可通过执行步骤 1 至 4，但在步骤 5 中改为单击已启用，重新启用 BitLocker 驱动器加密支持。以下命令可用于在完成固件部署后重新启用 BitLocker 驱动器加密。
输入 cscript manage-bde.wsf -protectors -enable c:

下表介绍可能遇到的 TPM 检测情况。

方案	结果
检测到并启用了 TPM（使用 GUI 模式），必须更新系统 ROM。	HP SUM 将显示一条警告消息，指明它检测到 TPM。HP SUM 提供了一个选项用于忽略警告。只有在选择忽略警告后，才能部署更新。
检测到并启用了 TPM（使用 CLI 或输入文件模式），未提供 `/tpmbypass` 开关，所有更新的固件都必须应用于服务器。GUI 模式不支持 `/tpmbypass`。	不显示任何警告。生成一个新的日志文件 `(%systemdrive%\cpqsystem\log\cpqstub.log`)。由于安装时不出现提示，因此安装终止，并且无法继续。
通过选件 ROM 测量检测到并启用了 TPM（使用 GUI 模式），必须更新系统 ROM。	将出现警告消息。选择 OK 后，可继续更新。不会取消安装。
通过选件 ROM 测量检测到并启用了 TPM（使用 CLI 或输入文件模式），未提供 `/tpmbypass` 开关，所有更新的固件都必须应用于服务器。	不显示任何警告。生成一个新的日志文件 (`%systemdrive%\cpqsystem\log\cpqstub.log`)。由于安装时不出现提示，因此安装终止，并且无法继续。
检测到并启用了 TPM（使用 CLI 或输入文件模式），进行了安装，并且提供了 `/tpmbypass` 开关。	将进行安装。

上一页	上一级	下一页
使用 HP SUM 部署 Synergy 服务器	主页	使用 Linux 和 HP-UX root 凭据