The new host TPM endorsement key doesn’t match the one stored in the DB Hatasının Çözümü
Authoradmin
15 Mayıs 20244 dakika
Share
Sistem kartını TPM onaylı bir ana bilgisayarda değiştirdikten sonra vCenter’da yeni bir alarm oluştu; Google’ın bana yardımcı olamayacağı bir alarm.
“Yeni ana bilgisayar TPM onay anahtarı, veritabanında depolananla eşleşmiyor”
Bu, vCenter 6.7 ve vSphere/vSAN 6.7 U3 ana bilgisayarındadır. Dell R740 donanımı.
Doğal olarak ilk önce Google’a baktım ve ikisi de çalışan bir sayfa olmayan ve ikisi de VMWare KB olmayan 2 sonuç bulduğumda şaşırdım. İşte o zaman bir sonraki blog yazımın ne hakkında olacağını biliyordum. Önce alarmı nasıl çözeceğimi bulmam gerekiyordu. Neyse ki aşırı karmaşık değil.
Bu noktaya kadar TPM uygulayan herkesin onaylayabileceği gibi sorun, sonradan bakıldığında oldukça açıktır. vCenter önceki TPM yongasına güveniyordu. O çipi değiştirdin. Şimdi vCenter “bu düşündüğüm sunucu değil, burada tuhaf bir şeyler oluyor, kontrol etmelisin” diyor. Ancak, KB ve tıklatılacak Kolay düğme olmadığından alarmı düzeltmek için ne yapılmalı?
Yüksek düzeydeki çözüm, ana bilgisayarı envanterden çıkarmak ve sonra geri eklemektir. Bu eski kayıtları kaldıracak ve yepyeni bir cihaz gibi davranıldığı için yeni kayıtlara güvenmeye başlayacak.
Sistem, tüm VMKernel bağlantı noktalarının bağlı bir dvswitch’te olduğu bir vSAN kümesinin parçası olduğundan, benim için bunu söylemek yapmaktan daha kolaydı, bu nedenle, hizmetten çıkarılmaya uygun şekilde hazır hale getirilmesi biraz çalışma gerektirdi. Ancak bu iş tamamlandıktan sonra envanterden kaldırılıp yeni bir ana bilgisayar olarak eklendi.
Diğer Yöntemler;
İlk kurulumdan sonra ESXi ana bilgisayarınıza takılan desteklenen bir Güvenilir Platform Modülü (TPM) cihazınız varsa ve TPM yongasını değiştirirseniz ve/veya sistem BIOS’unda TPM anahtarlarını sıfırlarsanız, birkaç TPM alarmı bulabilirsiniz. vCenter Sunucunuzda oluşturulanlar şunları içerir:
Ana makine TPM doğrulama alarmı
TPM Şifreleme Kurtarma Anahtarı Yedekleme Alarmı
Yeni ana makine TPM onay anahtarı, veritabanında depolananla eşleşmiyor
Yakın zamanda sistem BIOS’undaki TPM anahtarlarını temizledikten sonra bunu laboratuvarımda çözmek zorunda kaldım, bu yaptığım bazı testler içindi, ancak vCenter Server’ın ESXi ana bilgisayarıyla ilişkili önceki onay anahtarlarını temizlemesini nasıl sağlayacağımı çözemedim. .
Biraz araştırdıktan sonra, TPM yongasının yerini alan bu TPM alarmlarını görebileceğiniz yukarıda bahsettiğim senaryolardan birine çözüm sunan bu VMware KB 81446 ile karşılaştım , ancak iş akışının da aynı olduğunu öğrendim. TPM anahtarlarını temizlediyseniz ve ESXi’yi yeniden yüklemeden önce yeni anahtarlar oluşturulduysa geçerlidir. KB’de, geri bildirimde zaten paylaştığım bazı ayrıntılar eksikti ve aşağıda paylaştığım daha akıcı bir yöntem olduğunu düşünüyorum.
Adım 1 – Mevcut ESXi ana bilgisayarını vCenter Sunucu envanterinden kaldırmanız gerekecek
Adım 2 – ESXi ana bilgisayarına SSH gönderin ve aşağıdaki ESXCLI komutunu kullanarak şifreleme kurtarma anahtarını (96 karakterli) alın:
esxcli system settings encryption recovery list
Adım 3 – Kullanıcıya, ESXi önyüklemesi sırasında SHIFT+O seçeneğine basarak 96 karakterlik anahtarı manuel olarak yazmasını bildiren VMware KB’den farklı olarak, daha basit bir yöntem, ESXi boot.cfg dosyasını düzenlemek ve cryptoRecoveryKey seçeneğini eklemektir . ve daha sonra, 96 karakterlik anahtarı manuel olarak yazmayı tercih etmediğiniz sürece, bir sonraki açılışta bunu kaldırmak, bu da yüksek bir yazım hatası olasılığına yol açabilir.
/bootbank/boot.cfg dosyasını düzenleyin ve önceki adımdaki cryptoRecoveryKey=[RECOVERY_KEY] dosyasını kernelopt satırına ekleyin ve ardından değişikliklerinizi kaydedin.
Adım 4 – Son olarak ESXi host’u yeniden başlatın ve ardından /bootbank/boot.cfg dosyasına yaptığınız girişi kaldırın ve ardından ESXi host’u vCenter Server envanterine yeniden ekleyin. TPM alarmını yine bir kez daha görebilirsiniz, ancak devam edin ve alarmı temizleyin; sonraki yeniden başlatmalarda alarm artık görünmeyecektir.
Ayrıca vSphere Cluster’a giderek ve Monitör->Güvenlik altında her şeyin beklendiği gibi çalıştığını doğrulayabilirsiniz; artık ESXi ana makinenizin vCenter Server tarafından başarıyla onaylandığını ve önceki onay anahtarının güncellendiğini görmelisiniz.
The new host TPM endorsement key doesn’t match the one stored in the DB Hatasının Çözümü
Sistem kartını TPM onaylı bir ana bilgisayarda değiştirdikten sonra vCenter’da yeni bir alarm oluştu; Google’ın bana yardımcı olamayacağı bir alarm.
“Yeni ana bilgisayar TPM onay anahtarı, veritabanında depolananla eşleşmiyor”
Bu, vCenter 6.7 ve vSphere/vSAN 6.7 U3 ana bilgisayarındadır. Dell R740 donanımı.
Doğal olarak ilk önce Google’a baktım ve ikisi de çalışan bir sayfa olmayan ve ikisi de VMWare KB olmayan 2 sonuç bulduğumda şaşırdım. İşte o zaman bir sonraki blog yazımın ne hakkında olacağını biliyordum. Önce alarmı nasıl çözeceğimi bulmam gerekiyordu. Neyse ki aşırı karmaşık değil.
Bu noktaya kadar TPM uygulayan herkesin onaylayabileceği gibi sorun, sonradan bakıldığında oldukça açıktır. vCenter önceki TPM yongasına güveniyordu. O çipi değiştirdin. Şimdi vCenter “bu düşündüğüm sunucu değil, burada tuhaf bir şeyler oluyor, kontrol etmelisin” diyor. Ancak, KB ve tıklatılacak Kolay düğme olmadığından alarmı düzeltmek için ne yapılmalı?
Yüksek düzeydeki çözüm, ana bilgisayarı envanterden çıkarmak ve sonra geri eklemektir. Bu eski kayıtları kaldıracak ve yepyeni bir cihaz gibi davranıldığı için yeni kayıtlara güvenmeye başlayacak.
Sistem, tüm VMKernel bağlantı noktalarının bağlı bir dvswitch’te olduğu bir vSAN kümesinin parçası olduğundan, benim için bunu söylemek yapmaktan daha kolaydı, bu nedenle, hizmetten çıkarılmaya uygun şekilde hazır hale getirilmesi biraz çalışma gerektirdi. Ancak bu iş tamamlandıktan sonra envanterden kaldırılıp yeni bir ana bilgisayar olarak eklendi.
Diğer Yöntemler;
İlk kurulumdan sonra ESXi ana bilgisayarınıza takılan desteklenen bir Güvenilir Platform Modülü (TPM) cihazınız varsa ve TPM yongasını değiştirirseniz ve/veya sistem BIOS’unda TPM anahtarlarını sıfırlarsanız, birkaç TPM alarmı bulabilirsiniz. vCenter Sunucunuzda oluşturulanlar şunları içerir:
Yakın zamanda sistem BIOS’undaki TPM anahtarlarını temizledikten sonra bunu laboratuvarımda çözmek zorunda kaldım, bu yaptığım bazı testler içindi, ancak vCenter Server’ın ESXi ana bilgisayarıyla ilişkili önceki onay anahtarlarını temizlemesini nasıl sağlayacağımı çözemedim. .
Biraz araştırdıktan sonra, TPM yongasının yerini alan bu TPM alarmlarını görebileceğiniz yukarıda bahsettiğim senaryolardan birine çözüm sunan bu VMware KB 81446 ile karşılaştım , ancak iş akışının da aynı olduğunu öğrendim. TPM anahtarlarını temizlediyseniz ve ESXi’yi yeniden yüklemeden önce yeni anahtarlar oluşturulduysa geçerlidir. KB’de, geri bildirimde zaten paylaştığım bazı ayrıntılar eksikti ve aşağıda paylaştığım daha akıcı bir yöntem olduğunu düşünüyorum.
Adım 1 – Mevcut ESXi ana bilgisayarını vCenter Sunucu envanterinden kaldırmanız gerekecek
Adım 2 – ESXi ana bilgisayarına SSH gönderin ve aşağıdaki ESXCLI komutunu kullanarak şifreleme kurtarma anahtarını (96 karakterli) alın:
esxcli system settings encryption recovery list
Adım 3 – Kullanıcıya, ESXi önyüklemesi sırasında SHIFT+O seçeneğine basarak 96 karakterlik anahtarı manuel olarak yazmasını bildiren VMware KB’den farklı olarak, daha basit bir yöntem, ESXi boot.cfg dosyasını düzenlemek ve cryptoRecoveryKey seçeneğini eklemektir . ve daha sonra, 96 karakterlik anahtarı manuel olarak yazmayı tercih etmediğiniz sürece, bir sonraki açılışta bunu kaldırmak, bu da yüksek bir yazım hatası olasılığına yol açabilir.
/bootbank/boot.cfg dosyasını düzenleyin ve önceki adımdaki cryptoRecoveryKey=[RECOVERY_KEY] dosyasını kernelopt satırına ekleyin ve ardından değişikliklerinizi kaydedin.
Adım 4 – Son olarak ESXi host’u yeniden başlatın ve ardından /bootbank/boot.cfg dosyasına yaptığınız girişi kaldırın ve ardından ESXi host’u vCenter Server envanterine yeniden ekleyin. TPM alarmını yine bir kez daha görebilirsiniz, ancak devam edin ve alarmı temizleyin; sonraki yeniden başlatmalarda alarm artık görünmeyecektir.
Ayrıca vSphere Cluster’a giderek ve Monitör->Güvenlik altında her şeyin beklendiği gibi çalıştığını doğrulayabilirsiniz; artık ESXi ana makinenizin vCenter Server tarafından başarıyla onaylandığını ve önceki onay anahtarının güncellendiğini görmelisiniz.