Anthony Brown - stock.adobe.com

So lassen sich vSphere-TPM-Fehler beheben

Host-TPM-Attestierungsfehler treten häufig bei der Migration auf vSphere 6.7 auf. Sie lassen sich jedoch beim Attestierungsprozess mit wenigen Handgriffen beseitigen.

Aktualisiert man die vSphere-Umgebung auf Version 6.7, kann es zu Fehlermeldungen bezüglich der Host-TPM-Attestierung (Trusted Platform Module) auf dem vCenter-Server kommen. Das weist oft auf einen Fehler im Host-Anmeldeprozess hin.

Um den Fehler des vSphere-TPM zu beseitigen, ist zunächst zu überprüfen, ob der richtige TPM-Chip mit den passenden Konfigurationen installiert und eingeschaltet wurde. Die Konfiguration erfolgt über das UEFI (United Extensible Firmware Interface) des Servers.

Fand erst kürzlich eine Aktualisierung auf vSphere 6.7 statt, könnte es auch sein, dass der vCenter Server jetzt Fehler meldet, die sich auf den ESXi-Hosts ereignen.

Insbesondere assoziiert der vCenter Server in vSphere 6.7 Host-TPM-Alarme mit spezifischen Hosts. Dieser Fehler lässt sich beseitigen, indem man den betreffenden Host vom vCenter Host trennt und erneut verbindet. Außerdem kann es helfen, die Authentizität des Hosts überprüfen.

Auf dem Host muss ein unterstützter TPM-2.0-Chip installiert sein. Ein TPM-1.2-Device reicht nicht aus.

Doch was genau bedeutet Attestierung in diesem Zusammenhang überhaupt? Das System verwendet einen TPM-2.0-Chip, um die Identität eines ESXi-Hosts zu bestätigen. Wird nun ein neuer ESXi-Host zu vCenter hinzugefügt, muss vCenter verifizieren, dass die TPM-2.0-Hardware von einem anerkannten Hersteller kommt.

Um den Nachweis hierüber zu erhalten, fordert vCenter einen Bestätigungsschlüssel vom ESXI-Hostserver an. vCenter Server verlangt vom Host einen Bestätigungsbericht, der auf den Konfigurationsregistern der Hostplattform basiert. Sobald dieser Bericht eintrifft, kann vCenter Server die Authentizität des Hosts feststellen und den Attestierungsprozess abschließen.

Wo können Alarmbenachrichtigungen eingesehen werden?

Wird ein neuer VMware-Host zu vCenter Server hinzugefügt, wird für den Host, der oft nach seiner IP-Adresse benannt wird, in der linken oberen Spalte der Konsole eine Alarmnotiz angezeigt.

Der Host-Server meldet einen Alarm
Abbildung 1: Der Host-Server meldet einen Alarm

Das System zeigt die vollständige Warnmeldung unter dem Tab Zusammenfassung (Summary) an.

Diese Meldung zeigt, dass das System zwar ein TPM 2.0-Device erkennt, dass aber vCenter keine Verbindung zu dem Gerät herstellen kann. Zusätzlich kann das Alarmfenster auch noch einen Host TPM Attestation Alarm anzeigen.

Fehlerbeseitigung bei etablierten Hosts

Nach dem Erhalt einer Fehlermeldung wie dieser sollte man als erstes das Serverlog des vCenter-Servers auf einem Host überprüfen, der vor dem Update fehlerfrei lief. Gesucht wird eine Meldung mit dem Wortlaut: No cached Identity Key, loadin from DB. (Kein Identitätsschlüssel im Cache, wird aus der Datenbank geladen.) Diese Nachricht bedeutet, dass jemand einen TPM-2.0-Chip innerhalb eines Hosts installiert hat, den vCenter bereits verwaltet.

In diesem Fall lässt sich der vSphere-TPM-Fehler beseitigen, indem man den Host in den Wartungsmodus versetzt. Dann trennt man ihn vom vCenter-Server und verbindet ihn neu. Danach sollte alles wieder ordnungsgemäß funktionieren.

Handelt es sich hingegen um einen komplett neuen Host, weist der Fehler auf ein Problem mit dem gesamten Attestierungsprozess hin. In diesem Fall ist zu prüfen, ob alle Attestierungsvoraussetzungen erfüllt sind.

Die Alarmanzeige listet einen Host-TPM-Attestation-Alarm.
Abbildung 2: Die Alarmanzeige listet einen Host-TPM-Attestation-Alarm.

Voraussetzungen für die Host-Bestätigung

Damit der Attestierungsprozess wie vorgesehen abläuft, muss der Host diverse Voraussetzungen erfüllen. Erstens muss ein unterstützter TPM-2.0-Chip installiert sein. Ein TPM-1.2-Device reicht nicht aus. VMware liefert eine vollständige Liste der unterstützten TPM-2.0-Hardware, die mit seinen Hosts zusammenarbeitet.

Zweitens müssen TPM 2.0 und Secure Boot im UEFI des Servers aktiviert sein. Sind einer oder beide abgeschaltet, führt dies oft zum beschriebenen Fehler. Die meisten Systeme schalten TPM 2.0 allerdings standardmäßig ein, deaktivieren aber Secure Boot.

Schließlich kann der Admin noch prüfen, welchen Algorithmus das TPM-2.0-Modul verwendet. Damit die Host-Attestierung von vCenter Server funktioniert, muss die TPM-Hardware SHA-265-Hashing (Secure Hash Algorithm) verwenden. Manche Systeme erfordern, dass Intel TXT während der UEFI-Konfiguration des Servers abgeschaltet ist, damit der SHA-256 benutzt werden kann.

Schließlich muss auf dem Host die Version ESXi 6.7 oder aktueller laufen, damit TPM funktioniert. Auch vCenter Server muss in Version 6.7 oder neuer installiert sein.

Nächste Schritte

Worauf Sie vor dem Upgrade auf vSphere 6.7 achten müssen

Die verschiedenen vCenter-Pakete und für wen sie sich lohnen.

Flash-Speicher: Einsatzmöglichkeiten in VMware ESXi

Erfahren Sie mehr über Data-Center-Betrieb

ComputerWeekly.de
Close