Het oplossen van het Host TPM Attestation Alarm-probleem in VMware.

Techniek
By Merwan Redha

De belangrijkste punten

  • Hostauthenticatie in vSphere verifieert de integriteit van het hostsysteem om ervoor te zorgen dat er niet mee is geknoeid, waardoor een veilige omgeving voor virtuele machines (VM's) wordt gecreëerd.
  • Het "TPM-hostauthenticatiealarm" wordt meestal veroorzaakt door problemen met de fysieke TPM 2.0-chip, vaak als gevolg van onjuiste UEFI-instellingen of de toevoeging van een nieuwe TPM-chip.
  • Om deze fout te verhelpen, moet u ervoor zorgen dat Secure Boot is ingeschakeld, dat de TPM-instellingen correct zijn en dat de vCenter Server/ESXi-versies up-to-date zijn. Het loskoppelen en opnieuw verbinden van de host met vCenter kan het probleem ook oplossen als er een nieuwe TPM is toegevoegd.

In VMwareof meer specifiek, in vSphereMogelijk krijgt u een foutmelding met de tekst "TPM-hostauthenticatiealarmAls u zojuist een nieuwe TPM 2.0-chip in uw hostsysteem hebt geïnstalleerd, vraagt ​​u zich wellicht af waarom u dit bericht ziet. In deze handleiding bespreken we wat hostauthenticatie inhoudt en hoe u dit probleem kunt oplossen.

Het oplossen van het Host TPM Attestation Alarm-probleem in VMware.

Wat is hostauthenticatie?

Simpel gezegd wordt de authenticatie van de host geverifieerd door veiligheid Uw computer (de host) waarop u veel werkt virtuele machines Aan de overkant vSphereDit zorgt ervoor dat het systeem onaangetast blijft en biedt een veilige omgeving voor virtuele machines. Stel je voor hoe veilig jij (de virtuele machine) je thuisomgeving (de host) zou willen hebben.

Er wordt een rapport gegenereerd met essentiële gegevens over uw systeem. Dit rapport wordt vergeleken met bekende of verwachte waarden om te bepalen of de host betrouwbaar is. Dit is onmisbaar in serveromgevingen waar waardevolle gegevens in het systeem worden ingevoerd. miljarden dollars Voor apparaten op afstand is het belangrijk dat deze apparaten betrouwbaar zijn.

Meestal is dat niet nodig. TPM In vSphereElke virtuele machine wordt gebruikt in de vSphere-omgeving. vTPM (Virtual Trusted Platform Module) om basisbeveiliging te garanderen. U hebt geen fysieke TPM nodig om vTPM te gebruiken. vTPM maakt het gebruik van services zoals BitLocker Elke virtuele machine is afzonderlijk.

Er doet zich een probleem voor.TPM-hostauthenticatiealarm"Dit komt door de fysieke TPM. Dit kan verschillende oorzaken hebben; bijvoorbeeld het toevoegen van een chip." Nieuwe TPMTPM-apparaten غير كافيةinstellingen Onjuiste UEFIof probleem vSphere/vCenter.

Hoe los ik het alarm voor TPM-hostauthenticatie op?

Gelukkig is het oplossen van een TPM-authenticatie-waarschuwing op een host niet moeilijk. Eerst moeten we de oorzaak van het probleem vinden. Dit kunnen we doen door het betreffende foutbericht te bekijken of de logbestanden te raadplegen.

  1. telefoongesprek vCenter-server.
  2. Selecteer een datacenter en ga naar de “Monitor'.
  3. binnenin "Prestaties", tik op "Security'.
  4. Identificeer het apparaat dat dit probleem ondervindt en controleer het foutbericht in de "Bericht(Bron: VMware)
  5. Als het bericht luidt:Beveiligd opstarten van de host is uitgeschakeld.“Dus volg Stap 1 Hieronder inschakelen Beveiligd Opstarten Vanuit je UEFI-instellingen. Als de kolom “getuigenisHet verwijst simpelweg naarMislukt"Dan moet u het controleren." logbestanden Dit geldt specifiek voor vCenter Server. Volg deze instructies voor meer informatie over logbestanden. Gids.
  6. Zodra een bestand is gevonden vpxd.logControleer of het de volgende vermelding bevat: “Er is geen verborgen identiteitssleutel; de gegevens worden uit de database geladen.Zo ja, volg dan de instructies. Stap 2.

1) Voldoet uw hostingprovider aan de vereisten?

Als uw virtuele machine is geconfigureerd voor hostverificatie, moet deze aan bepaalde vereisten voldoen, namelijk:

  • plak TPM 2.0 fysiek
  • moet zijn ingeschakeld Beveiligd Opstarten
  • TPM moet gebruikmaken van encryptie gebaseerd op SHA-256
  • De versies moeten worden bijgewerkt. vCenter-server و ESXi naar mij 6.7 of hoger

In vrijwel alle gevallen heeft de gebruiker per ongeluk TPM of Secure Boot uitgeschakeld. Volg deze stappen om deze instellingen opnieuw in te schakelen:

  1. Start uw computer opnieuw op en druk op de toetsen “Verwijdering ","F1","F2"Of"F10'.
  2. Ga naar het tabblad "laars"En zoek naar een instelling genaamd "Beveiligd OpstartenStel dit in op “ingeschakeld'.
  3. Vervolgens moeten we TPM inschakelen. Ga naar de “InstellingenIn ons geval bevond de TPM zich in de "Vertrouwde computersDit kan per systeem verschillen, dus het is raadzaam om de handleiding van uw moederbord te raadplegen.
  4. Als uw apps niet up-to-date zijn, moet u ze upgraden naar de nieuwste versie. 6.7 Tenminste, volgens de vereisten. Aangezien vSphere en vCenter geavanceerde applicaties zijn, is het raadzaam de juiste handleidingen te volgen.vSphere, vCenterOm ervoor te zorgen dat er geen onverwachte problemen optreden.

2) Installeer de TPM-chip in een bestaande host.

Als uw logbestanden de tekst “Geen identiteitssleutel in de cache, laden vanuit de database.Dit betekent in feite dat u de TPM 2.0-chip hebt geïnstalleerd op een host die al door vCenter wordt beheerd. Om dit op te lossen, zet u uw host in de modus. onderhoudOntkoppel uw ESXi-host van de vCenter-server en verbind deze vervolgens opnieuw.

  1. Aanmelden naar mij vSphere-client.
  2. Klik met de rechtermuisknop Op de host ESXi de betekenis.
  3. Bevind zich "Maintenance Mode(Onderhoudsmodus) en klik op “Schakel over naar de onderhoudsmodus.(Onderhoudsmodus ingeschakeld). (Bron: StarWind-software)
  4. Zodra je de onderhoudsmodus inschakelt, Klik met de rechtermuisknop Terug op de server. Ga naar “Aansluiting(Verbinden) en selecteer “Koppel(Verbinding verbroken) zoals weergegeven. (Bron: VMware)
  5. Nadat de verbinding met de server succesvol is verbroken, klikt u opnieuw met de rechtermuisknop op de server en gaat u naar "Aansluiting(Verbinden) en selecteer “Connect(Verbinding). Wacht tot de taakstatus is bijgewerkt naar "Voltooid".
  6. Als het bestand niet langer beschikbaar is vpxd.log Het bevat dezelfde boodschap, dus doe het volgende: Reset (Reset) Kleurwaarschuwing de groene (Groen) Handmatig. (Bron: Lenovo)

Hoe betrouwbaar is de TPM?

Hostattestatie is afhankelijk van TPM-apparaten (Trusted Platform Module) die zich op de host bevinden. Het systeem genereert een rapport met een hash van de huidige status, software, firmware en andere informatie. Gecombineerd is dit vrijwel onmogelijk. vervalsing (namaak) of recreëren (opnieuw creëren) een kopie van dit fragment, dankzij een proces genaamd Winkelketen (hash-chaining).

De fysieke TPM-module op uw host kan niet worden doorgegeven aan de virtuele machines (VM's) die erop zijn geïnstalleerd. Virtuele machines gebruiken wat een TPM-module wordt genoemd. vTPM De virtuele TPM-module biedt de softwarematige functionaliteit van de TPM 2.0-chip. De fysieke TPM-module zorgt ervoor dat de host veilig werkt en heeft weinig tot geen verbinding met de virtuele machines die erop zijn geïnstalleerd.

Er kan zich een situatie voordoen waarbij, als uw server gebruikmaakt van “Hostauthenticatie(Host-attestatie) Authenticatie mislukt vanwege de fysieke TPM-module; de ​​host kan de configuratiebestanden van de virtuele machine niet meer decoderen omdat vCenter-server Hij vertrouwt hem niet.

Een TPM-module kan daarom erg nuttig zijn als u op zoek bent naar een extra beveiligingslaag. Wees u echter bewust van de nadelen, aangezien services zoals BitLocker de hele schijf kunnen versleutelen en ontoegankelijk maken zonder geldige inloggegevens.

Conclusie

Bereiden "TPM-hostauthenticatiealarmHet probleem "Host TPM Attestation Alarm" is een zeer complex en gedetailleerd onderwerp als je je verdiept in de details; het oplossen van dit probleem is echter heel eenvoudig. 2 Het is een eenvoudige controle. Houd er rekening mee dat er veel zaken kunnen spelen bij het instellen van deze functie, zoals hash-algoritmes, het beheren van meerdere hosts, enzovoort, maar het kan wel heel specifiek worden.

Door abstractie en een vereenvoudigd proces treedt deze fout echter vaak op als gevolg van instellingen. UEFI Onjuiste of onjuiste installatie van de chip TPMHoewel TPM voordelen biedt, bestaat er ook het risico dat u in zeldzame gevallen volledig buitengesloten raakt van uw systeem. Daarom raden we gebruikers aan de risico's en voordelen af ​​te wegen en voorzichtig te werk te gaan.

veelgestelde vragen

Wat is een gastheerverklaring?

Hostattestatie is een procedure die controleert of de hardware van een host betrouwbaar is voordat gebruikers ermee kunnen communiceren. De attestatieservice controleert de integriteit van de host aan de hand van bekende goede praktijken of een vooraf gedefinieerd beleid.

Heeft dit probleem gevolgen voor virtuele machines op de host?

Het hangt af van de ernst van het probleem. Over het algemeen heeft een Host TPM Attestation Alarm betrekking op de host of de fysieke TPM-module. In het ergste geval kunt u geen toegang meer hebben tot uw virtuele machines als vCenter Server vaststelt dat uw host is gecompromitteerd.

Is een fysieke TPM-eenheid noodzakelijk voor VMware?

Virtuele machines die op hosts zijn geïnstalleerd, gebruiken een zogenaamde virtuele TPM (Type-Performing Device). Virtuele TPM's zijn op geen enkele manier afhankelijk van een fysieke TPM.

Merwan Redha 2632 berichten 0 reacties
Andere klanten bestelden ook: Meer van auteur

Reacties zijn gesloten.