Forum

Bildirimler
Hepsini Temizle

[Çözüldü] VMware vCenter Host TPM attestation alarm. Uyarısı hakkında.

10 Yazılar
4 Üyeler
3 Reactions
1,718 Görüntüleme
(@omerdenek)
Gönderiler: 7
Active Member
Konu başlatıcı
 

Merhaba,

VMware Vcenter (7.0.3, 24026615) da cluster içinde 4 adet fiziksel R750 sunucum (VMware ESXi, 7.0.3, 19482537) mevcut. 

 

2 gün önce fiziksel sunuculardan birinde idrac üzerinden sorunsuz bios ve firmware güncellemeleri yaptım.

Sunucu yeniden başladığında 

Host TPM attestation alarm. 

Uyarısı vermeye başladı ve uyarıyı sorunu çözerek kapatmak istedim fakat olmadı. Ekran görüntüsünde hatalı sunucuyu belirttim.

Yardımlarınızı ve fikirlerinizi bekliyorum teşekkürler.

Adsız1

 

image

 

 
Gönderildi : 10/07/2024 17:01

ibrahim yildiz
(@ibrahimyildiz)
Gönderiler: 4596
Co-Helper
 

https://docs.vmware.com/en/VMware-vSphere/7.0/com.vmware.vsphere.security.doc/GUID-CE69FA70-9C15-4ABD-871F-57D20BF98EEB.html
https://kadirkozan.com.tr/vmware-esxi-tpm-2-0-cihazi-algilandi-fakat-dell-emc-poweredge-sunucu-uzerinde-baglanti-kurulamama-sorununun-giderilmesi/

özetle upgrade sonucu secure boot ayarının değişmesi kaynaklı da olabilir.

'balık vermez, nasıl tutulabildiğine yönlendirir'
****************************************************************
Probleminiz Çözüldüğünde Sonucu Burada Paylaşırsanız. Sizde Aynı Problemi Yaşayanlar İçin Yardım Etmiş Olursunuz. Eğer sorununuz çözüldü ise lütfen "çözüldü" olarak işaretlerseniz diğer üyeler için çok büyük kolaylık sağlayacaktır.
*****************************************************************

 
Gönderildi : 10/07/2024 20:24

(@omerdenek)
Gönderiler: 7
Active Member
Konu başlatıcı
 

@ibrahimyildiz Öncelikle bilgi verdiginiz icin tesekkur ederim.

Bios update öncesinde ve sonrasinda ayarlarda degisiklik olmadi. Asagidaki gibiydi.

Tpm Security-> On

TPM2 Algorithm Selection -> SHA256
Intel(R) TXT -> Enable
Secure Boot -> Enable

Bu ayarlari tekrar kontrol ettim. Attiginiz linkte ki yonergeleri daha once uyguladim fakat hic bir degisiklik olmadi. Reset to green yapmama ragmen uyari tekrar cikiyor.

Sadece Host TPM attestation alarm.  Uyarisi aliyorum.

Ayrica tpm, intel txt vs. kapatip tekrar actim ama hic bir faydasi olmadi.

Ilk 7u3 kurulumunda bu sekilde yaptigimda sorun giderilmisti. Ama suan aynisi olmadi. Guncelleme sonrasi tpm firmware versiyonuda degisti.

Yazdiklarim ve paylastiklariniz haricinde farkli birsey yapmak gerekiyor anladigim kadariyla. Guncelleme yapmam gereken 3 sunucu daha var fakat sorunu cozemedigim icin bekletiyorum.

Ayrica sistemi hatali haliyle kullanmakta ne gibi sakincalari olabilir?

Bu ileti 5 ay önce Ömer DENEK tarafından düzenlendi
 
Gönderildi : 10/07/2024 21:22

ibrahim yildiz
(@ibrahimyildiz)
Gönderiler: 4596
Co-Helper
 

Konu temelini anladım ama güncel vmware'e hakim değilim maalesef.
Muhtemelen tpm reset gerektiriyor chip resetlenerek çözülebilecek ama ayrıca yapılması gerekenler varmış bu yazı da ondan bahsediyor, yukarıda attığım linkte de reconnect yapın diyordu.

https://williamlam.com/2023/06/clearing-tpm-alarms-after-replacing-tpm-chip-or-resetting-tpm-keys-for-esxi.html

'balık vermez, nasıl tutulabildiğine yönlendirir'
****************************************************************
Probleminiz Çözüldüğünde Sonucu Burada Paylaşırsanız. Sizde Aynı Problemi Yaşayanlar İçin Yardım Etmiş Olursunuz. Eğer sorununuz çözüldü ise lütfen "çözüldü" olarak işaretlerseniz diğer üyeler için çok büyük kolaylık sağlayacaktır.
*****************************************************************

 
Gönderildi : 10/07/2024 21:45

(@omerdenek)
Gönderiler: 7
Active Member
Konu başlatıcı
 

@ibrahimyildiz Son attığınız postta sunucunun cluster dan çıkartılıp gerekli işlemleri yapıp tekrar ekleme yapılmasından bahsediyor. Sunucuyu sistemden çıkartmadan yapmak istiyorum. Ayrıca disconnect connect işlemlerini de yaptım fakat olmadı. Vmware tarafında sunucuyu sistemden çıkartmadan yapmanın başka bir yolu olması gerekiyor açıkçası. Tüm sunucuları inventory den sil sonra tekrar ekle vs. taşınması ve çalışması gereken o kadar sunucu varken saçma geliyor biraz. Şuan için denemediğim tek yöntem o kaldı zaten. 

 

Yaptığım tüm işlemleri sırasıyla paylaşayım.

1- Sunucu bios firmware update işlemi yapılması. Bios ve TPM firmware bilgilerinin değişmesi.

2- Host TPM attestation alarm. vermesi sonrasında Vcenter 7.0.3.01800 den 7.0.3.02000 a yükseltilmesi ve yeniden başlatılması.

3- Tpm Security-> On, TPM2 Algorithm Selection -> SHA256, Intel(R) TXT -> Enable, Secure Boot -> Enable Ayarlarının değişmediği fakat tekrar kontrol edilmesi.

4- Tpm Security-> OFF, TPM2 Algorithm Selection -> SHA256, Intel(R) TXT -> Disable, Secure Boot -> Disable Ayarlarının kapatılıp tekrar açılması.

5- Sunucunun Disconnect - Connect yapılması (Zaten her yeniden başladığında bu işlem gerçekleşiyor.)

 

Not-1: Her işlem öncesinde Uyarıya Reset to Green yapılması. İşlem sonrasında tekrar uyarı vermesi.

Not-2: Host TPM attestation alarm. Haricinde başka uyarı vermemesi.

Not-3: Bu uyarılar ilk kurulumda (Vcenter 7.0.3) verdiğinde TPM, intel txt ve Secure boot aktif değildi. Hepsi aktif edildiğinde bir daha çıkmaması. Bios update sonrası çıkması.

 

Farklı bir alternatif varsa denemek istiyorum açıkçası.

 
Gönderildi : 11/07/2024 14:26

ibrahim yildiz
(@ibrahimyildiz)
Gönderiler: 4596
Co-Helper
 

Burada vmware de çok daha ileri uzman arkadaşlar var onlar birebir yaşadılarsa gördüklerinde cevaplar mutlaka.
Detay doc'lara bakmadım bakıp anlamak lazım o link ve yorumlardan anladığım kadarıyla tpm de tutulan key tek bir durumla oluşuyor gibi duruyor. Bence o tarafı araştırın tpm'i nasıl niçin kullanıyor öğrenmek lazım başka bir console yöntemi yoksa gerçekten cluster'a tekrar almaktan başka bir yolu olmaz gibi algılıyorum.

https://knowledge.broadcom.com/external/article/323401/tpm-encryption-recovery-key-backup-warni.html

https://docs.vmware.com/en/VMware-vSphere/7.0/com.vmware.vsphere.vm_admin.doc/GUID-137ACCB4-8229-4ACE-90F2-EC5EEBE244BC.html
https://www.reddit.com/r/vmware/comments/17h1n2e/possible_to_disable_tpm_on_esxi_vcenter_8/

https://docs.vmware.com/en/VMware-vSphere/7.0/vsphere-esxi-vcenter-server-703-security-guide.pdf

Önce 1 ve 2. linktekileri kontrol edin ama 2. linkteki kontroller önemli. Sizin elinizde tpm key yedeği de yok. Belki tpm'i tekrar kapatıp daha sonra açarak yeni key üretmesini düşünmüştüm ama reconnect, reinstall olmadan üretmez diyorlar. Sonuncu linkte araştırmanız için bana okuması zor geldi.:)

'balık vermez, nasıl tutulabildiğine yönlendirir'
****************************************************************
Probleminiz Çözüldüğünde Sonucu Burada Paylaşırsanız. Sizde Aynı Problemi Yaşayanlar İçin Yardım Etmiş Olursunuz. Eğer sorununuz çözüldü ise lütfen "çözüldü" olarak işaretlerseniz diğer üyeler için çok büyük kolaylık sağlayacaktır.
*****************************************************************

 
Gönderildi : 11/07/2024 17:06

(@hakankaplanoglu)
Gönderiler: 500
Honorable Member

(@tayfundeger)
Gönderiler: 1943
VMware Guru
 

Dikkate almanız gerken birşey oldugunu düşünmüyorum. Zira bu alarmlar bazen ILO veya IDRAC ile Esxi host management'larının iletişim kuramadığı zamanda karşılaşılabiliyor.

Tayfun DEĞER
Cisco Champions, vExpert, VCP4/5/6, VCP5-DT, VCP-Cloud
https://www.tayfundeger.com
Mail: [email protected]

 
Gönderildi : 16/07/2024 02:55

(@omerdenek)
Gönderiler: 7
Active Member
Konu başlatıcı
 

VMware ESXi, 7.0.3, 19482537 versiyonu olan hostumu VMware ESXi, 7.0.3, 23307199 versiyonuna güncelledim ve sorunum çözüldü.

Şuan hatasız bir şekilde kullanıyorum. Yardımlarınız ve ilginiz için teşekkür ediyorum. @tayfundeger Kullanıma engel olan bir şey yok gibiydi fakat kişisel olarak sistemlerin hatasız ve sorunsuz çalışması gibi bir takıntım olduğu için biraz üstüne düşmek istedim açıkçası.

 
Gönderildi : 16/07/2024 08:51
Hakan Uzuner reacted

(@tayfundeger)
Gönderiler: 1943
VMware Guru
 

Gönderen: @omerdenek

VMware ESXi, 7.0.3, 19482537 versiyonu olan hostumu VMware ESXi, 7.0.3, 23307199 versiyonuna güncelledim ve sorunum çözüldü.

Şuan hatasız bir şekilde kullanıyorum. Yardımlarınız ve ilginiz için teşekkür ediyorum. @tayfundeger Kullanıma engel olan bir şey yok gibiydi fakat kişisel olarak sistemlerin hatasız ve sorunsuz çalışması gibi bir takıntım olduğu için biraz üstüne düşmek istedim açıkçası.

Merhaba,

Güncellemiş olduğunuz versiyonda zaten bir çok TPM sorunu giderilmiş. Bundan dolayı her zaman sistemleri güncel tutmayı öneririz.

https://docs.vmware.com/en/VMware-vSphere/7.0/rn/vsphere-esxi-70u3p-release-notes/index.html

İyi çalışmalar.

 

Tayfun DEĞER
Cisco Champions, vExpert, VCP4/5/6, VCP5-DT, VCP-Cloud
https://www.tayfundeger.com
Mail: [email protected]

 
Gönderildi : 16/07/2024 12:59

Paylaş: