Corrigindo o problema de alarme de atestação TPM do host no VMware

Técnica
By Merwan Redha

os pontos principais

  • A autenticação de host no vSphere verifica a integridade do sistema host para garantir que ele não tenha sido adulterado, criando um ambiente seguro para máquinas virtuais (VMs).
  • O alarme de "autenticação do host TPM" geralmente surge de problemas com o chip físico TPM 2.0, frequentemente devido a configurações incorretas da UEFI ou à adição de um novo chip TPM.
  • Para corrigir esse erro, verifique se a Inicialização Segura está ativada, se as configurações do TPM estão corretas e se as versões do vCenter Server/ESXi estão atualizadas; além disso, desconectar e reconectar o host ao vCenter pode resolver o problema se um novo TPM tiver sido adicionado.

في VMwareou mais especificamente, em vSphereVocê pode se deparar com um erro que diz “Alarme de autenticação de host TPMSe você acabou de configurar um novo chip TPM 2.0 em seu sistema host, pode estar se perguntando por que está vendo esta mensagem. Neste guia, discutiremos o que significa autenticação do host e como você pode corrigir esse problema.

Corrigindo o problema de alarme de atestação TPM do host no VMware

O que é autenticação de host?

Em termos simples, a autenticação do host é verificada por segurança Seu computador (o host) no qual você trabalha muitas vezes Máquinas virtuais Do outro lado vSphereIsso garante que o sistema permaneça intacto e fornece um ambiente seguro para máquinas virtuais. Imagine o quão seguro você (a máquina virtual) gostaria que fosse o seu ambiente (o host).

Um relatório contendo dados vitais sobre o seu sistema é gerado e usado para comparar com valores conhecidos ou esperados, a fim de determinar se o host é confiável. Isso se torna indispensável em ambientes de servidor onde dados valiosos são inseridos no sistema. bilhões de dólares Para dispositivos remotos, você precisará garantir que esses dispositivos sejam confiáveis.

Normalmente, não é necessário. TPM في vSphereCada máquina virtual é utilizada no ambiente vSphere. vTPM (Módulo de Plataforma Confiável Virtual) para garantir segurança de nível básico. Você não precisa de um TPM físico para usar o vTPM. O vTPM permite o uso de serviços como BitLocker Cada máquina virtual é separada.

Ocorre um problema.Alarme de autenticação de host TPM"Devido ao TPM físico. Isso pode ser devido a vários motivos; adicionar um chip; Novo TPMDispositivos TPM غير كافيةconfigurações UEFI incorretoou problema vSphere/vCenter.

Como corrigir o alarme de autenticação do host TPM?

Felizmente, corrigir um alerta de autenticação TPM em um host não é difícil. Primeiro, precisamos encontrar a causa raiz do problema. Para isso, podemos visualizar a mensagem de erro relevante ou revisar os logs.

  1. Contato Servidor vCenter.
  2. Selecione um centro de dados e acesse o “Monitorar".
  3. Dentro de “Desempenho", toque em"Total".
  4. Identifique o dispositivo que está apresentando esse problema e verifique a mensagem de erro em “Mensagem(Fonte: VMware)
  5. Se a mensagem disser:A inicialização segura do host foi desativada.“Então siga etapa 1 Abaixo, para habilitar seguro Bota Nas suas configurações UEFI. Se a coluna “AtestadoRefere-se simplesmente afracassado“Então você terá que verificar arquivos de log Específico para o vCenter Server. Para obter mais informações sobre arquivos de log, siga estas instruções. Guia.
  6. Assim que um arquivo for encontrado vpxd.logVerifique se contém o registro: “Não existe chave de identidade oculta; o carregamento é feito a partir do banco de dados.Se sim, siga etapa 2.

1) Seu provedor de hospedagem atende aos requisitos?

Se a sua máquina virtual estiver configurada para usar autenticação de host, ela deverá atender a determinados requisitos, que são:

  • fatiar TPM 2.0 físico
  • Deve ser habilitado seguro Bota
  • O TPM deve usar criptografia baseada em SHA-256
  • As versões precisam ser atualizadas. Servidor vCenter و ESXi إلى 6.7 ou superior

Na maioria dos casos, o usuário desativou acidentalmente o TPM ou a Inicialização Segura. Para reativar essas configurações, siga estes passos:

  1. Reinicie o computador e pressione as teclas “Apagar","F1","F2"Ou"F10".
  2. Vá para a guia “bota"E procure por uma configuração chamada "seguro BotaDefina isso como “Os utilizadores da app Smart Spaces com Google Wallet podem usufruir de acesso móvel sem contacto com qualquer leitor HID® Signo™ habilitado com NFC.".
  3. Em seguida, precisamos habilitar o TPM. Vá para “ConfiguraçõesNo nosso caso, o TPM estava localizado dentro do “Computação ConfiávelIsso pode variar de acordo com o seu sistema, por isso é melhor consultar o manual da sua placa-mãe.
  4. Se seus aplicativos não estiverem atualizados, você deve atualizá-los para a versão mais recente. 6.7 Pelo menos, de acordo com os requisitos. Como o vSphere e o vCenter são aplicações sofisticadas, é recomendável seguir os manuais corretos.vSphere, vCenterPara garantir que não ocorram problemas inesperados.

2) Instale o chip TPM em um host existente.

Se seus arquivos de log contiverem o texto “Nenhuma chave de identidade em cache, carregando do banco de dados.Isso significa basicamente que você instalou o chip TPM 2.0 em um host já gerenciado pelo vCenter. Para corrigir isso, basta colocar seu host no modo de segurança. manutençãoDesconecte o host ESXi do servidor vCenter e, em seguida, reconecte-o.

  1. Entrar إلى Cliente vSphere.
  2. Clique com o botão direito No anfitrião ESXi o significado.
  3. Localize "Modo de Manutenção(Modo de manutenção) e clique em “Entrar no modo de manutenção(Entrando em modo de manutenção). (Fonte: StarWind Software)
  4. Após entrar no Modo de Manutenção, Clique com o botão direito De volta ao servidor. Acesse “Conexão(Conectar) e selecione “Disconnect(Desconexão) conforme mostrado. (Fonte: VMware)
  5. Após desconectar-se com sucesso do servidor, clique com o botão direito do mouse no servidor novamente e acesse “Conexão(Conectar) e selecione “Conecte-se(Conexão). Aguarde até que o status da tarefa seja atualizado para “Concluída”.
  6. Se o arquivo não estiver mais disponível vpxd.log Contém a mesma mensagem, então faça o seguinte: Redefinir (Redefinir) Alerta de cor o verde (Verde) Manualmente. (Fonte: Lenovo)

Quão confiável é o TPM?

A atestação do host depende de dispositivos TPM (Trusted Platform Module) localizados no host. O sistema gera um relatório contendo um hash de seu estado atual, software, firmware e outras informações. Quando combinadas, essas informações são praticamente impossíveis de serem obtidas dessa forma. تزوير (paródia) ou Recriar (Recriar) uma cópia deste fragmento, graças a um processo chamado Cadeia de varejo (encadeamento de hashes).

O módulo TPM físico do seu host não pode ser passado para as máquinas virtuais (VMs) instaladas nele. As máquinas virtuais usam o que é chamado de TPM físico. vTPM O módulo TPM virtual fornece a funcionalidade em nível de software do chip TPM 2.0. O módulo TPM físico garante que o host esteja operando com segurança e tenha pouca ou nenhuma conexão com as máquinas virtuais instaladas nele.

Pode surgir uma situação em que, se o seu servidor estiver usando “Autenticação do host(Atestado de Host) A autenticação falhou devido ao módulo TPM físico; o host fica impossibilitado de descriptografar os arquivos de configuração da máquina virtual porque Servidor vCenter Ele não confia nele.

Portanto, um módulo TPM pode ser extremamente útil se você busca uma camada extra de proteção e segurança. No entanto, esteja ciente de suas desvantagens, já que serviços como o BitLocker podem criptografar toda a unidade e torná-la inacessível sem credenciais válidas.

Conclusão

Prepare "Alarme de autenticação de host TPMO problema do "Alarme de Atestado TPM do Host" é um tópico muito complexo e detalhado se você se aprofundar em suas minúcias; no entanto, corrigir esse problema envolve apenas 2 É uma verificação simples. Observe que pode haver uma série de problemas ao configurar esse recurso, como algoritmos de hash, gerenciamento de vários hosts etc., mas ele pode se tornar muito específico.

No entanto, graças à abstração e a um processo simplificado, esse erro geralmente ocorre devido a configurações incorretas. UEFI Instalação incorreta ou inadequada do chip TPMNo entanto, embora o TPM tenha suas vantagens, ele também apresenta o risco de bloquear completamente o seu acesso ao sistema em casos raros. Portanto, recomendamos que os usuários avaliem os riscos e benefícios e procedam com cautela.

perguntas comuns

O que é atestação de host?

A atestação de host é um procedimento que verifica se o hardware de um host é confiável antes que os usuários possam interagir com ele. O serviço de atestação verifica a integridade do host em relação a boas práticas conhecidas ou a uma política predefinida.

Esse problema afeta as máquinas virtuais no host?

Depende da gravidade do problema. Geralmente, um alarme de atestado de TPM do host está relacionado ao host ou ao módulo TPM físico. No pior cenário, você pode ficar sem acesso às suas máquinas virtuais se o vCenter Server determinar que seu host foi comprometido.

É necessário um dispositivo TPM físico para o VMware?

As máquinas virtuais instaladas em hosts utilizam o que é chamado de TPM virtual (Type-Performing Device). Os TPMs virtuais não dependem de um TPM físico de forma alguma.

Merwan Redha Mensagens 2632 comentários 0
você pode gostar também Mais do autor

Comentários estão fechados.