如何修復 VMware vSphere 中的主機 TPM 證明警報
VMware vSphere 中的主機 TPM 證明警報是一個嚴重的安全警報,指示 ESXi 主機上的可信平台模塊 (TPM) 證明過程存在潛在問題。當 vCenter Server 無法驗證主機 TPM 測量的完整性時,會出現此警報,表明可能存在篡改或安全漏洞。讓我們來探討一下該警報的原因以及如何有效解決它。
有幾個因素可以觸發主機 TPM 證明警報:
- 主機 BIOS/UEFI 中的 TPM 設置配置錯誤。
- 安全啟動已禁用或配置不正確。
- 過時的 vCenter Server 或 ESXi 版本。
- TPM 芯片的硬件問題。
- 最近的固件或 BIOS 更新更改了 TPM 測量值。
如何解決主機 TPM 證明警報
請按照以下方法排查並修復 VMware vSphere 環境中的 TPM 證明問題:
方法 1:驗證並更新系統要求
步驟一:確保您的環境滿足以下要求:
- vCenter Server 和 ESXi 版本 6.7 或更高版本。
- 在 ESXi 主機上安裝並啟用物理 TPM 2.0 芯片。
- 在主機的 BIOS/UEFI 中啟用安全啟動。
- TPM 配置為使用 SHA-256 加密。
步驟2:如果您的系統不滿足這些要求,請將 vCenter Server 和 ESXi 更新到最新的兼容版本。請參閱硬件供應商的文檔以正確配置 TPM 和安全啟動設置。
方法 2:啟用並配置 TPM 和安全啟動
步驟一:重新引導 ESXi 主機並進入 BIOS/UEFI 設置(通常在啟動過程中按 F2 或 Del)。
步驟2:導航到“安全”或“高級”選項卡並找到 TPM 設置。將 TPM 設置為“啟用”或“本機”模式。
步驟3:找到“安全啟動”選項(通常在“啟動”選項卡中)並啟用它。
了解更多:如何在 Windows 11 上將設備運行狀況證明設置為服務器
第4步:確保 TPM 配置為使用 SHA-256 哈希和 TIS/FIFO 接口(不是 CRB)。
第5步:保存更改並退出 BIOS。允許主機重新引導並重新連接到 vCenter Server。
方法 3:將主機重新連接到 vCenter Server
步驟一:登錄到 vSphere Client 並導航到“主機和集群”視圖。
步驟2:右鍵單擊受影響的 ESXi 主機並選擇“斷開連接”。
步驟3:等待主機狀態變為“已斷開連接”,然後再次右鍵單擊並選擇“連接”。
第4步:重新連接後,右鍵單擊主機,轉到“存儲”,然後單擊“重新掃描存儲”。
第5步:導航到“配置”選項卡,選擇“網絡”,單擊“物理適配器”,然後選擇“重新掃描全部”。
此過程會刷新主機與 vCenter Server 的連接,並確保正確識別所有存儲和網絡資源。
方法 4:更新 vCenter Server 和 ESXi
步驟一:更新之前,請創建 vCenter Server、其數據庫和 ESXi 主機配置的完整備份。
步驟2:從 VMware 網站下載 vCenter Server 和 ESXi 的最新更新。
步驟3:要更新 vCenter Server,請登錄 VAMI 界面,轉至更新選項卡,檢查更新並安裝它們。在此過程中服務器將重新啟動。
第4步:對於 ESXi 主機,通過 vSphere Client 將其置於維護模式。
第5步:使用 SCP 客戶端將 ESXi 更新上傳到主機並通過 SSH 安裝。更新完成後重新啟動主機並退出維護模式。
第6步:更新 vCenter Server 和 ESXi 主機後,檢查 TPM 證明警報是否已解決。
方法5:重置警報
如果您已經解決了根本問題,但警報仍然存在,您可能需要手動重置:
步驟一:在 vSphere Client 中,在清單樹中選擇受影響的 ESXi 主機。
步驟2:單擊“監控”選項卡,然後選擇“問題”以查看活動警報。
步驟3:找到 TPM 證明警報,右鍵單擊它,然後選擇“重置為綠色”。
如果根本問題已解決,此操作會確認警報並將其從系統中清除。
檢查 ESXi 主機證明狀態
要驗證 ESXi 主機的當前證明狀態:
步驟一:登錄到 vSphere Client 並選擇有問題的主機。
步驟2:導航到“監控”選項卡並單擊“安全”。
步驟3:查找“證明”列以查看當前狀態。如果有任何問題,“消息”列會提供更多詳細信息。
通過執行這些方法,您應該能夠解決 VMware vSphere 環境中的主機 TPM 證明警報。請記住,維護最新的軟件和正確配置的硬件對於虛擬化基礎設施的安全性和完整性至關重要。如果嘗試這些解決方案後問題仍然存在,請考慮聯繫 VMware 支持以獲得進一步幫助。
