Naprawianie problemu z alarmem atestacji modułu TPM hosta w VMware

Technika
By Merwan Redha

główne punkty

  • Uwierzytelnianie hosta w vSphere weryfikuje integralność systemu hosta, aby upewnić się, że nie został on zmodyfikowany, tworząc bezpieczne środowisko dla maszyn wirtualnych (VM).
  • „Alarm uwierzytelniania hosta TPM” zwykle pojawia się w przypadku problemów z fizycznym układem TPM 2.0, często z powodu nieprawidłowych ustawień UEFI lub dodania nowego układu TPM.
  • Aby naprawić ten błąd, sprawdź, czy opcja Secure Boot jest włączona, ustawienia TPM są prawidłowe i czy wersje vCenter Server/ESXi są aktualne. Ponadto, jeśli dodano nowy moduł TPM, problem można rozwiązać, odłączając i ponownie podłączając hosta do vCenter.

W VMwarelub bardziej szczegółowo w vSferaMoże pojawić się błąd o treści „Alarm uwierzytelniania hosta TPMJeśli właśnie zainstalowałeś nowy układ TPM 2.0 w systemie hosta, możesz się zastanawiać, dlaczego widzisz ten komunikat. W tym przewodniku omówimy, co oznacza uwierzytelnianie hosta i jak rozwiązać ten problem.

Naprawianie problemu z alarmem atestacji modułu TPM hosta w VMware

Czym jest uwierzytelnianie hosta?

Mówiąc najprościej, uwierzytelnianie hosta jest weryfikowane przez لامة Twój komputer (host), na którym pracujesz wiele razy Maszyny wirtualne Przez vSferaDzięki temu system pozostaje nienaruszony i zapewnia bezpieczne środowisko dla maszyn wirtualnych. Wyobraź sobie, jak bezpieczny Ty (maszyna wirtualna) chciałbyś, aby był Twój dom (host).

Generowany jest raport zawierający istotne dane o systemie, który następnie porównuje się ze znanymi lub oczekiwanymi wartościami, aby określić, czy host jest godny zaufania. Jest to niezbędne w środowiskach serwerowych, w których do systemu wprowadzane są cenne dane. miliardy dolarów Do urządzeń zdalnych, i musisz mieć pewność, że te urządzenia są niezawodne.

Zwykle nie jest to wymagane TPM W vSferaKażda maszyna wirtualna jest używana w środowisku vSphere. vTPM (Virtual Trusted Platform Module) zapewnia bezpieczeństwo na poziomie podstawowym. Do korzystania z vTPM nie jest potrzebny fizyczny moduł TPM. vTPM umożliwia korzystanie z usług takich jak: BitLocker Każda maszyna wirtualna jest osobna.

Wystąpił problem.Alarm uwierzytelniania hosta TPM„Z powodu fizycznego modułu TPM. Może to wynikać z kilku przyczyn: dodania układu Nowy TPMUrządzenia TPM غير كافيةustawienia Nieprawidłowy UEFIlub problem vSfera/vCentrum.

Jak naprawić „alarm uwierzytelniania hosta TPM”?

Na szczęście naprawienie alertu uwierzytelniania hosta TPM nie jest trudne. Najpierw musimy znaleźć przyczynę problemu. Aby to zrobić, możemy wyświetlić odpowiedni komunikat o błędzie lub przejrzeć dzienniki.

  1. połączenie Serwer vCenter.
  2. Wybierz centrum danych i przejdź do „Monitorowanie".
  3. w ciągu "Wydajność", dotknij "Ochrona".
  4. Zidentyfikuj urządzenie, na którym występuje ten problem i sprawdź komunikat o błędzie w „Treść wiadomości (Źródło: VMware)
  5. Jeśli wiadomość brzmi:Bezpieczny rozruch hosta został wyłączony„Więc postępuj zgodnie z Krok 1 Poniżej, aby włączyć Bezpieczne Boot Z ustawień UEFI. Jeśli kolumna „ZaświadczenieOdnosi się to po prostu doFailed„Wtedy będziesz musiał to sprawdzić pliki dziennika Dotyczy vCenter Server. Aby uzyskać więcej informacji o plikach dziennika, zapoznaj się z tym artykułem. Przewodnik.
  6. Po znalezieniu pliku vpxd.logSprawdź, czy zawiera rekord: „Nie ma ukrytego klucza tożsamości; pobieranie odbywa się z bazy danych.Jeśli tak, postępuj zgodnie z Krok 2.

1) Czy Twój usługodawca hostingowy spełnia wymagania?

Jeśli Twoja maszyna wirtualna jest skonfigurowana do korzystania z uwierzytelniania hosta, musi spełniać określone wymagania, którymi są:

  • plasterek TPM 2.0 fizyczny
  • Musi być włączony Bezpieczne Boot
  • Moduł TPM musi używać szyfrowania opartego na SHA-256
  • Wersje wymagają aktualizacji Serwer vCenter و ESXi Dla mnie 6.7 lub wyższy

W prawie wszystkich przypadkach użytkownik przypadkowo wyłączył moduł TPM lub funkcję bezpiecznego rozruchu. Aby ponownie włączyć te ustawienia, wykonaj następujące kroki:

  1. Uruchom ponownie komputer i naciśnij klawisze „Usunięcia","F1","F2"Lub"F10".
  2. Przejdź do zakładki „bagażnik„I poszukaj ustawienia o nazwie”Bezpieczne BootUstaw to na „Użytkownicy aplikacji Smart Spaces z Google Wallet mogą korzystać z bezdotykowego dostępu mobilnego z każdym czytnikiem HID® Signo™ z NFC.".
  3. Następnie musimy włączyć TPM. Przejdź do „UstawieniaW naszym przypadku moduł TPM znajdował się w „Zaufane komputeryInformacje te mogą się różnić w zależności od systemu, dlatego najlepiej zapoznać się z instrukcją obsługi płyty głównej.
  4. Jeśli Twoje aplikacje nie są aktualne, powinieneś je uaktualnić do najnowszej wersji. 6.7 Przynajmniej zgodnie z wymaganiami. Ponieważ vSphere i vCenter to zaawansowane aplikacje, zaleca się postępowanie zgodnie z odpowiednimi instrukcjami.vSfera, vCentrumAby mieć pewność, że nie wystąpią żadne nieoczekiwane problemy.

2) Zainstaluj układ TPM w istniejącym hoście

Jeżeli Twoje pliki dziennika zawierają tekst „Brak klucza tożsamości w pamięci podręcznej, ładowanie z bazy danychOznacza to w zasadzie, że zainstalowałeś układ TPM 2.0 na hoście, którym już zarządza vCenter. Aby to naprawić, wystarczy przełączyć hosta w tryb . konserwacjaOdłącz hosta ESXi od serwera vCenter, a następnie podłącz go ponownie.

  1. Zaloguj się Dla mnie Klient vSphere.
  2. Kliknij prawym przyciskiem myszy Na hoście ESXi Oznaczający.
  3. Znajdź "Tryb konserwacji(Tryb konserwacji) i kliknij „Wejdź w tryb konserwacji(Wchodzenie w tryb konserwacji). (Źródło: Oprogramowanie StarWind)
  4. Po wejściu w tryb konserwacji, Kliknij prawym przyciskiem myszy Wróć na serwer. Przejdź do „Przyłącze (Połącz) i wybierz „Disconnect(Rozłączenie) jak pokazano. (Źródło: VMware)
  5. Po pomyślnym rozłączeniu się z serwerem kliknij prawym przyciskiem myszy ponownie na serwerze i przejdź do „Przyłącze (Połącz) i wybierz „Skontaktuj się(Połączenie). Poczekaj, aż status zadania zmieni się na „Zakończone”.
  6. Jeśli plik nie jest już dostępny vpxd.log Zawiera tę samą wiadomość, więc wykonaj następujące czynności: Resetowanie (Resetuj) Alert koloru zielony (Zielony) Ręcznie. (Źródło: Lenovo)

Jak niezawodny jest moduł TPM?

Atestacja hosta opiera się na urządzeniach TPM (Trusted Platform Module) zlokalizowanych na hoście. System generuje raport zawierający skrót jego bieżącego stanu, oprogramowania, oprogramowania sprzętowego i innych informacji. W połączeniu jest to praktycznie niemożliwe. تزوير (parodia) lub Odtwarzać (odtworzyć) kopię tego fragmentu dzięki procesowi zwanemu Sieć handlowa (łączenie łańcuchowe).

Fizycznego modułu TPM na hoście nie można przekazać maszynom wirtualnym (VM) na nim zainstalowanym. Maszyny wirtualne korzystają z tzw. vTPM (Wirtualny moduł TPM) zapewnia funkcjonalność na poziomie oprogramowania układu TPM 2.0. Fizyczny moduł TPM zapewnia bezpieczne działanie hosta i minimalizuje lub wręcz uniemożliwia połączenie z zainstalowanymi na nim maszynami wirtualnymi.

Może wystąpić sytuacja, w której jeśli Twój serwer używa „Uwierzytelnianie hosta(Poświadczenie hosta) Autoryzacja nie powiodła się z powodu fizycznego modułu TPM; host nie może odszyfrować plików konfiguracyjnych maszyny wirtualnej, ponieważ Serwer vCenter On mu nie ufa.

Dlatego moduł TPM może być niezwykle przydatny, jeśli szukasz dodatkowej warstwy ochrony i bezpieczeństwa. Należy jednak pamiętać o jego wadach, ponieważ usługi takie jak BitLocker mogą zaszyfrować cały dysk i uniemożliwić dostęp do niego bez ważnych danych uwierzytelniających.

Wniosek

Przygotować "Alarm uwierzytelniania hosta TPMProblem „Alarm poświadczenia modułu TPM hosta” jest bardzo złożonym i szczegółowym tematem, jeśli zagłębisz się w jego zawiłości; jednak rozwiązanie tego problemu wymaga jedynie 2 To proste sprawdzenie. Należy pamiętać, że konfigurowanie tej funkcji może wiązać się z wieloma problemami, takimi jak algorytmy haszujące, zarządzanie wieloma hostami itp., ale może być ona bardzo szczegółowa.

Jednakże dzięki abstrakcji i uproszczonemu procesowi, błąd ten często pojawia się z powodu ustawień. UEFI Nieprawidłowa lub nieprawidłowa instalacja układu scalonego TPMJednak, choć TPM ma swoje zalety, niesie ze sobą ryzyko całkowitego zablokowania dostępu do systemu w rzadkich przypadkach. Dlatego zalecamy użytkownikom rozważenie ryzyka i korzyści oraz zachowanie ostrożności.

często zadawane pytania

Czym jest poświadczenie hosta?

Atestacja hosta to procedura, która weryfikuje, czy sprzęt hosta jest godny zaufania, zanim użytkownicy będą mogli z nim współpracować. Usługa atestacji sprawdza integralność hosta pod kątem znanych dobrych praktyk lub predefiniowanej polityki.

Czy ten problem dotyczy maszyn wirtualnych na hoście?

Zależy to od powagi problemu. Zazwyczaj alarm poświadczenia hosta TPM dotyczy hosta lub fizycznego modułu TPM. W najgorszym przypadku możesz stracić dostęp do maszyn wirtualnych, jeśli vCenter Server stwierdzi, że host został naruszony.

Czy fizyczna jednostka TPM jest konieczna dla VMware?

Maszyny wirtualne zainstalowane na hostach korzystają z wirtualnego modułu TPM (jednostki przetwarzania maszyn typu). Wirtualne moduły TPM w żaden sposób nie opierają się na fizycznym module TPM.

Merwan Redha Postów 2632 0 komentarze
Może Ci się spodobać Więcej od autora

Możliwość dodawania komentarzy nie jest dostępna.