如何修复 VMware vSphere 中的主机 TPM 证明警报

VMware vSphere 中的主机 TPM 证明警报是一个严重的安全警报，指示 ESXi 主机上的可信平台模块 (TPM) 证明过程存在潜在问题。当 vCenter Server 无法验证主机 TPM 测量的完整性时，会出现此警报，表明可能存在篡改或安全漏洞。让我们来探讨一下该警报的原因以及如何有效解决它。

有几个因素可以触发主机 TPM 证明警报：

• 主机 BIOS/UEFI 中的 TPM 设置配置错误。
• 安全启动已禁用或配置不正确。
• 过时的 vCenter Server 或 ESXi 版本。
• TPM 芯片的硬件问题。
• 最近的固件或 BIOS 更新更改了 TPM 测量值。

如何解决主机 TPM 证明警报

请按照以下方法排查并修复 VMware vSphere 环境中的 TPM 证明问题：

方法 1：验证并更新系统要求

步骤一：确保您的环境满足以下要求：

• vCenter Server 和 ESXi 版本 6.7 或更高版本。
• 在 ESXi 主机上安装并启用物理 TPM 2.0 芯片。
• 在主机的 BIOS/UEFI 中启用安全启动。
• TPM 配置为使用 SHA-256 加密。

步骤2：如果您的系统不满足这些要求，请将 vCenter Server 和 ESXi 更新到最新的兼容版本。请参阅硬件供应商的文档以正确配置 TPM 和安全启动设置。

方法 2：启用并配置 TPM 和安全启动

步骤一：重新引导 ESXi 主机并进入 BIOS/UEFI 设置（通常在启动过程中按 F2 或 Del）。

步骤2：导航到“安全”或“高级”选项卡并找到 TPM 设置。将 TPM 设置为“启用”或“本机”模式。

步骤3：找到“安全启动”选项（通常在“启动”选项卡中）并启用它。

了解更多：如何在 Windows 11 上将设备运行状况证明设置为服务器

第4步：确保 TPM 配置为使用 SHA-256 哈希和 TIS/FIFO 接口（不是 CRB）。

第5步：保存更改并退出 BIOS。允许主机重新引导并重新连接到 vCenter Server。

方法 3：将主机重新连接到 vCenter Server

步骤一：登录到 vSphere Client 并导航到“主机和集群”视图。

步骤2：右键单击受影响的 ESXi 主机并选择“断开连接”。

步骤3：等待主机状态变为“已断开连接”，然后再次右键单击并选择“连接”。

第4步：重新连接后，右键单击主机，转到“存储”，然后单击“重新扫描存储”。

第5步：导航到“配置”选项卡，选择“网络”，单击“物理适配器”，然后选择“重新扫描全部”。

此过程会刷新主机与 vCenter Server 的连接，并确保正确识别所有存储和网络资源。

方法 4：更新 vCenter Server 和 ESXi

步骤一：更新之前，请创建 vCenter Server、其数据库和 ESXi 主机配置的完整备份。

步骤2：从 VMware 网站下载 vCenter Server 和 ESXi 的最新更新。

步骤3：要更新 vCenter Server，请登录 VAMI 界面，转至更新选项卡，检查更新并安装它们。在此过程中服务器将重新启动。

第4步：对于 ESXi 主机，通过 vSphere Client 将其置于维护模式。

第5步：使用 SCP 客户端将 ESXi 更新上传到主机并通过 SSH 安装。更新完成后重新启动主机并退出维护模式。

第6步：更新 vCenter Server 和 ESXi 主机后，检查 TPM 证明警报是否已解决。

方法5：重置警报

如果您已经解决了根本问题，但警报仍然存在，您可能需要手动重置：

步骤一：在 vSphere Client 中，在清单树中选择受影响的 ESXi 主机。

步骤2：单击“监控”选项卡，然后选择“问题”以查看活动警报。

步骤3：找到 TPM 证明警报，右键单击它，然后选择“重置为绿色”。

如果根本问题已解决，此操作会确认警报并将其从系统中清除。

检查 ESXi 主机证明状态

要验证 ESXi 主机的当前证明状态：

步骤一：登录到 vSphere Client 并选择有问题的主机。

步骤2：导航到“监控”选项卡并单击“安全”。

步骤3：查找“证明”列以查看当前状态。如果有任何问题，“消息”列会提供更多详细信息。

通过执行这些方法，您应该能够解决 VMware vSphere 环境中的主机 TPM 证明警报。请记住，维护最新的软件和正确配置的硬件对于虚拟化基础设施的安全性和完整性至关重要。如果尝试这些解决方案后问题仍然存在，请考虑联系 VMware 支持以获得进一步帮助。