Behebung des Problems mit dem Host-TPM-Attestierungsalarm in VMware

die Haupt-Punkte

• Die Host-Authentifizierung in vSphere überprüft die Integrität des Hostsystems, um sicherzustellen, dass es nicht manipuliert wurde, und schafft so eine sichere Umgebung für virtuelle Maschinen (VMs).
• Der „TPM-Hostauthentifizierungsalarm“ entsteht üblicherweise durch Probleme mit dem physischen TPM 2.0-Chip, oft aufgrund falscher UEFI-Einstellungen oder des Einbaus eines neuen TPM-Chips.
• Um diesen Fehler zu beheben, stellen Sie sicher, dass Secure Boot aktiviert ist, die TPM-Einstellungen korrekt sind und die vCenter Server/ESXi-Versionen auf dem neuesten Stand sind; außerdem kann das Trennen und erneute Verbinden des Hosts mit vCenter das Problem beheben, falls ein neues TPM hinzugefügt wurde.

في VMwareoder genauer gesagt, in vSphereMöglicherweise stoßen Sie auf eine Fehlermeldung mit folgendem Wortlaut:TPM-HostauthentifizierungsalarmWenn Sie gerade einen neuen TPM 2.0-Chip in Ihrem Hostsystem eingerichtet haben, fragen Sie sich möglicherweise, warum diese Meldung angezeigt wird. In diesem Leitfaden erklären wir die Host-Authentifizierung und wie Sie dieses Problem beheben können.

Was ist Host-Authentifizierung?

Vereinfacht ausgedrückt wird die Host-Authentifizierung überprüft durch Sicherheit Ihr Computer (der Host), auf dem Sie arbeiten, viele virtuelle Maschinen Durch vSphereDadurch wird sichergestellt, dass das System unberührt bleibt und eine sichere Umgebung für virtuelle Maschinen gewährleistet ist. Stellen Sie sich vor, wie sicher Sie (die virtuelle Maschine) Ihr Zuhause (den Host) haben möchten.

Es wird ein Bericht mit wichtigen Systemdaten erstellt und mit bekannten oder erwarteten Werten verglichen, um die Vertrauenswürdigkeit des Hosts zu bestimmen. Dies ist in Serverumgebungen, in denen wertvolle Daten verarbeitet werden, unerlässlich. Milliarden von Dollar Um entfernte Geräte zu verwenden, sollten Sie sicherstellen, dass diese Geräte zuverlässig sind.

Normalerweise ist es nicht erforderlich TPM في vSphereJede virtuelle Maschine wird in der vSphere-Umgebung verwendet. vTPM (Virtual Trusted Platform Module) zur Gewährleistung grundlegender Sicherheit. Für die Verwendung von vTPM ist kein physisches TPM erforderlich. vTPM ermöglicht die Nutzung von Diensten wie beispielsweise BitLocker Jede virtuelle Maschine ist separat.

Es ist ein Problem aufgetreten.TPM-Hostauthentifizierungsalarm„Aufgrund des physischen TPM. Dies könnte mehrere Gründe haben; z. B. das Hinzufügen eines Chips.“ Neues TPMTPM-Geräte UnzureichendEinstellungen Falsches UEFIoder Problem vSphere/vCenter.

Wie lässt sich der „TPM-Hostauthentifizierungsalarm“ beheben?

Glücklicherweise lässt sich eine Warnung bezüglich der Host-TPM-Authentifizierung nicht schwer beheben. Zunächst muss die Ursache des Problems gefunden werden. Dazu kann entweder die entsprechende Fehlermeldung angezeigt oder die Protokolle überprüft werden.

1. Anruf vCenter-Server.
2. Wählen Sie ein Rechenzentrum aus und gehen Sie zu „Überwachen".
3. innerhalb "Leistung", tippen Sie auf "Sicherheit".
4. Identifizieren Sie das Gerät, bei dem dieses Problem auftritt, und überprüfen Sie die Fehlermeldung in der „Nachricht(Quelle: VMware)
   
5. Wenn die Meldung lautet:Der sichere Start des Hosts wurde deaktiviert.„Also folgen Sie Schritt 1 Unten zum Aktivieren SICHERES BOOTEN Aus Ihren UEFI-Einstellungen. Wenn die Spalte „BescheinigungEs bezieht sich einfach aufGescheitert„Dann müssen Sie das überprüfen.“ Protokolldateien Speziell für vCenter Server. Weitere Informationen zu Protokolldateien finden Sie hier. Leiten.
6. Sobald eine Datei gefunden wurde vpxd.logPrüfen Sie, ob der Datensatz enthalten ist: „Es gibt keinen versteckten Identitätsschlüssel; die Daten werden aus der Datenbank geladen.Falls ja, folgen Sie Schritt 2.

1) Erfüllt Ihr Gastgeber die Anforderungen?

Wenn Ihre virtuelle Maschine für die Verwendung der Host-Authentifizierung konfiguriert ist, muss sie bestimmte Anforderungen erfüllen, nämlich:

• Scheibe TPM 2.0 physisch
• muss aktiviert sein SICHERES BOOTEN
• TPM muss eine auf Verschlüsselung basierende Verschlüsselung verwenden SHA-256
• Die Versionen müssen aktualisiert werden. vCenter-Server Und ESXi إلى 6.7 oder höher

In fast allen Fällen hat der Benutzer TPM oder Secure Boot versehentlich deaktiviert. Um diese Einstellungen wieder zu aktivieren, gehen Sie wie folgt vor:

1. Starten Sie Ihren Computer neu und drücken Sie die Tasten „Löschen–F1–F2"Oder"F10".
2. Gehen Sie auf die Registerkarte „Stiefel„Und suchen Sie nach einer Einstellung namens „SICHERES BOOTENStellen Sie dies auf „Nutzer der Smart‑Spaces‑App mit Google Wallet erhalten berührungslosen Mobile‑Zutritt an jedem NFC‑fähigen HID® Signo™‑Leser.".
   
3. Als Nächstes müssen wir TPM aktivieren. Gehen Sie zu „Einstellungen In unserem Fall befand sich das TPM innerhalb des „Vertrauenswürdiges ComputingDies kann je nach System variieren, daher empfiehlt es sich, im Handbuch Ihres Motherboards nachzulesen.
   
4. Falls Ihre Apps nicht auf dem neuesten Stand sind, sollten Sie sie auf die neueste Version aktualisieren. 6.7 Zumindest den Anforderungen entsprechend. Da vSphere und vCenter komplexe Anwendungen sind, empfiehlt es sich, die entsprechenden Handbücher zu konsultieren.vSphere, vCenterUm sicherzustellen, dass keine unerwarteten Probleme auftreten.

2) Installieren Sie den TPM-Chip in einem vorhandenen Host

Wenn Ihre Protokolldateien den Text „Kein zwischengespeicherter Identitätsschlüssel, wird aus der Datenbank geladenDas bedeutet im Wesentlichen, dass Sie den TPM 2.0-Chip auf einem Host installiert haben, der bereits von vCenter verwaltet wird. Um dieses Problem zu beheben, versetzen Sie Ihren Host einfach in den entsprechenden Modus. WartungTrennen Sie Ihren ESXi-Host vom vCenter-Server und stellen Sie die Verbindung anschließend wieder her.

1. Anmelden إلى vSphere-Client.
2. Rechtsklick Auf dem Gastgeber ESXi Die Bedeutung.
3. Lokalisieren "Wartungsmodus(Wartungsmodus) und klicken Sie auf „Wartungsmodus aktivieren(Wartungsmodus wird aktiviert). (Quelle: StarWind Software)
   
4. Sobald Sie in den Wartungsmodus wechseln, Rechtsklick Zurück auf dem Server. Gehen Sie zu „Verbindungen schaffen(Verbinden) und wählen Sie „Disconnect(Unterbrechung) wie dargestellt. (Quelle: VMware)
   
5. Nachdem Sie die Verbindung zum Server erfolgreich getrennt haben, klicken Sie erneut mit der rechten Maustaste auf den Server und wählen Sie „Verbindungen schaffen(Verbinden) und wählen Sie „Verbinden(Verbindung). Warten Sie, bis der Aufgabenstatus auf „Abgeschlossen“ aktualisiert wird.
6. Wenn die Datei nicht mehr verfügbar ist vpxd.log Es enthält dieselbe Nachricht, also gehen Sie wie folgt vor: Zurücksetzen (Zurücksetzen) Farbalarm das Grün (Grün) Manuell. (Quelle: Lenovo)
   

Wie zuverlässig ist das TPM?

Die Host-Attestierung basiert auf TPM-Geräten (Trusted Platform Module) auf dem Host. Das System generiert einen Bericht, der einen Hash seines aktuellen Zustands, seiner Software, Firmware und weiterer Informationen enthält. In Kombination ist dies praktisch unmöglich. تزوير (Parodie) oder Neu erstellen (Neuerstellen) einer Kopie dieses Fragments mithilfe eines Prozesses namens Einzelhandelskette (Hash-Verkettung).

Das physische TPM-Modul Ihres Hosts kann nicht an die darauf installierten virtuellen Maschinen (VMs) weitergegeben werden. Virtuelle Maschinen verwenden ein sogenanntes TPM-Modul. vTPM Das virtuelle TPM-Modul stellt die Softwarefunktionen des TPM 2.0-Chips bereit. Das physische TPM-Modul gewährleistet den sicheren Betrieb des Hosts und hat nur minimale oder gar keine Verbindung zu den darauf installierten virtuellen Maschinen.

Es kann eine Situation entstehen, in der Ihr Server Folgendes verwendet:Hostauthentifizierung(Host-Attestierung) Die Authentifizierung ist aufgrund des physischen TPM-Moduls fehlgeschlagen; der Host kann die Konfigurationsdateien der virtuellen Maschine nicht mehr entschlüsseln, weil vCenter-Server Er vertraut ihm nicht.

Ein TPM-Modul kann daher äußerst nützlich sein, wenn Sie eine zusätzliche Schutzebene benötigen. Beachten Sie jedoch die Nachteile, da Dienste wie BitLocker das gesamte Laufwerk verschlüsseln und ohne gültige Anmeldeinformationen unzugänglich machen können.

Fazit

Vorbereiten "TPM-HostauthentifizierungsalarmDas Problem „Host TPM Attestation Alarm“ ist ein sehr komplexes und detailliertes Thema, wenn man sich näher damit befasst; die Behebung dieses Problems erfordert jedoch lediglich 2 Es handelt sich um eine einfache Überprüfung. Beachten Sie, dass bei der Einrichtung dieser Funktion eine Vielzahl von Problemen auftreten können, z. B. Hash-Algorithmen, Verwaltung mehrerer Hosts usw., aber sie kann sehr spezifisch werden.

Dank Abstraktion und eines vereinfachten Prozesses tritt dieser Fehler jedoch häufig aufgrund von Einstellungen auf. UEFI Falsche oder unsachgemäße Installation des Chips TPMTPM bietet zwar Vorteile, birgt aber in seltenen Fällen auch das Risiko, den Zugriff auf das System vollständig zu unterbinden. Daher empfehlen wir Nutzern, die Risiken und Vorteile sorgfältig abzuwägen und mit Vorsicht vorzugehen.

häufige Fragen

Was ist Host-Attestierung?

Die Host-Attestierung ist ein Verfahren, das überprüft, ob die Hardware eines Hosts vertrauenswürdig ist, bevor Benutzer mit ihr interagieren können. Der Attestierungsdienst prüft die Integrität des Hosts anhand bekannter Best Practices oder einer vordefinierten Richtlinie.

Betrifft dieses Problem auch virtuelle Maschinen auf dem Host?

Das hängt vom Schweregrad des Problems ab. Im Allgemeinen bezieht sich ein Host-TPM-Attestierungsalarm auf den Host oder das physische TPM-Modul. Im schlimmsten Fall könnten Sie von Ihren virtuellen Maschinen ausgesperrt werden, wenn vCenter Server feststellt, dass Ihr Host kompromittiert wurde.

Ist für VMware eine physische TPM-Einheit erforderlich?

Virtuelle Maschinen, die auf Hosts installiert sind, verwenden ein sogenanntes virtuelles TPM (Type-Performing Device). Virtuelle TPMs sind in keiner Weise von einem physischen TPM abhängig.