Wenn Sie die vSphere-Umgebung aktualisieren, kann es zu Host-TPM-Attestierungsfehlern kommen. Der Beitrag zeigt, wie Sie das Problem beim Attestierungsprozess beseitigen.
Wenn Sie ein Upgrade bei vSphere durchführen, wird in Ihren vCenter Server möglicherweise ein Host-TPM-Attestierungsalarm angezeigt, was auf ein Problem mit dem Host-Attestierungsprozess hinweisen kann. Um diesen vSphere-TPM-Fehler zu beheben, stellen Sie sicher, dass Sie den richtigen Trusted-Platform-Module-Chip installiert und die richtigen Einstellungen – anpassbar über das United Extensible Firmware Interface (UEFI) Ihres Servers – aktiviert oder deaktiviert haben.
Wenn Sie kürzlich ein Upgrade auf vSphere durchgeführt haben, werden Sie möglicherweise feststellen, dass Ihr vCenter Server jetzt Fehler auf Ihren ESXi-Hosts auflistet. In vSphere verknüpft vCenter Server Host-TPM-Alarme mit bestimmten Hosts. Sie können diesen Fehler beheben, indem Sie die Verbindung des Hosts zu vCenter Server trennen und erneut herstellen oder die Authentizität des Hosts überprüfen.
Für diejenigen, die die Authentifizierung nicht verstehen: Das System verwendet den TPM-Chip, um die Identität eines ESXi-Hosts zu bestätigen. Wenn Sie einen neuen ESXi-Host zu vCenter Server hinzufügen, muss vCenter überprüfen, ob die TPM-Hardware von einem seriösen Anbieter stammt. Zu diesem Zweck wird ein Bestätigungsschlüssel vom ESXi-Hostserver angefordert. vCenter Server fordert den Host zur Erstellung eines Bestätigungsberichts auf der Grundlage der Plattformkonfigurationsregister des Hosts auf. Nachdem der Host diesen Bericht übermittelt hat, kann vCenter Server die Authentizität des Hosts überprüfen und den Bescheinigungsprozess abschließen.
Wo Sie die Alarme einsehen
Wenn Sie einen brandneuen VMware-Host zu vCenter Server hinzufügen, werden Sie möglicherweise feststellen, dass dem Host – manchmal durch eine IP-Adresse gekennzeichnet – ein Alarm zugeordnet ist, der in der oberen linken Spalte Ihrer Konsole angezeigt wird.
Abbildung 1: Der Hostserver löst einen Alarm aus.
Das System zeigt auf der Registerkarte Zusammenfassung eine Warnmeldung an. Diese Meldung besagt, dass ein TPM-2.0-Gerät erkannt wurde, vCenter jedoch keine Verbindung zu diesem Gerät herstellen kann. Außerdem kann im Bereich Alarme ein Host-TPM-Attestierungsalarm angezeigt werden.
Abbildung 2: Der Host erzeugt einen TPM-Attestierungsalarm im Anzeigebereich Alarme.
Wie Sie Fehler bei alten Hosts beheben
Wenn Sie eine Fehlermeldung wie diese auf einem Host erhalten, der vor dem Upgrade funktionierte, sollten Sie zunächst das vCenter-Server-Protokoll überprüfen. Suchen Sie nach folgender Meldung: No cached identity key, loading from DB (kein zwischengespeicherter Identitätsschlüssel, geladen aus DB). Diese Meldung bedeutet, dass jemand einen TPM-2.0-Chip auf einem Host installiert hat, den vCenter bereits verwaltet.
Wenn Sie eine Fehlermeldung erhalten, sollten Sie als Erstes Ihr vCenter-Server-Protokoll überprüfen.
Um den vSphere-TPM-Fehler in diesem Fall zu beheben, versetzen Sie den Host einfach in den Wartungsmodus, trennen Sie die Verbindung zwischen Host und vCenter Server und schließen Sie ihn dann erneut an. Damit sollte das Problem behoben sein.
Wenn Sie jedoch einen brandneuen Host haben, deutet der Fehler auf ein Problem mit dem Bescheinigungsprozess hin. In diesem Fall müssen Sie sicherstellen, dass Sie alle Anforderungen für die Host-Attestierung erfüllen.
Anforderungen für die Host-Bescheinigung
Damit der Host-Attestierungsprozess korrekt funktioniert, muss Ihr Host mehrere Voraussetzungen erfüllen. Zunächst müssen Sie einen unterstützten TPM-2.0-Chip auf Ihrem Host installieren. Ein TPM-1.2-Gerät ist nicht ausreichend.
Zweitens müssen Sie TPM 2.0 und Secure Boot in der Unified Extensible Firmware Interface (UEFI) Ihres Servers aktivieren. Die Deaktivierung einer dieser Funktionen führt häufig zu einem Fehler bei der TPM-Host-Attestierung. Bei den meisten Systemen ist TPM 2.0 standardmäßig aktiviert, während Secure Boot deaktiviert ist.
Außerdem können Sie überprüfen, welchen Algorithmus Ihre TPM-Hardware verwendet. Damit die Host-Attestierungsfunktion von vCenter Server funktioniert, muss die Host-TPM-Hardware SHA-265-Hashing verwenden. Bei einigen Systemen müssen Sie die Intel-TXT-Funktion über die UEFI-Konfiguration des Servers deaktivieren, bevor Sie den SHA-256-Algorithmus verwenden können.
Abschließend erfordert TPM, dass Ihr Host auf ESXi Version 6.7 oder höher läuft. Der vCenter Server muss ebenfalls auf Version 6.7 oder höher laufen.
