vSphere Client で "新しいホスト TPM の承認キーが DB に保管されているものと一致しません" というメッセージが表示される
search cancel

vSphere Client で "新しいホスト TPM の承認キーが DB に保管されているものと一致しません" というメッセージが表示される

book

Article ID: 390283

calendar_today

Updated On:

Products

VMware vCenter Server VMware vCenter Server 7.0 VMware vCenter Server 8.0

Issue/Introduction

免責事項: これは英文の記事「In the vSphere Client, the message "The new host TPM endorsement key doesn't match the one stored in the DB" appears.」の日本語訳です。記事はベストエフォートで翻訳を進めているため、ローカライズ化コンテンツは最新情報ではない可能性があります。最新情報は英語版の記事で参照してください。


TPM が搭載されたシステムボードを変更すると、vSphere Client 内で次のメッセージが表示されることがあります:
新しいホスト TPM の承認キーが DB に保管されているものと一致しません

Environment

VMware vCenter Server 7.0.x
VMware vCenter Server 8.0.x

Cause

このメッセージは新しい TPM から生成されたキーの値と vCenter Server の VCDB の VPX_HOST テーブルに格納されているキーの値が一致しないために表示されます。

Resolution

メッセージを表示しないようにするには、VPX_HOST テーブルのキーの値(endorsement_key, attestation_identity_key)を空にし、その後に該当ホストの切断/再接続を行います。

  1. vCenter Server のオフラインスナップショットを取得します。
  2. 影響を受けるホストをメンテナンスモードにします。
  3. root ユーザーで vCenter Server に SSH でアクセスします。
  4. vpxd サービスを停止します。
    service-control --stop vmware-vpxd
    注 : このコマンドを実行するには、bashシェルプロンプトが必要です。- Enable and Access the Bash Shell from the Appliance Shell

  5. VPX_HOST テーブルのバックアップを取得します。
    /opt/vmware/vpostgres/current/bin/pg_dump -U postgres -t VPX_HOST VCDB > /var/core/VPX_HOST.sql
  6. 以下の2つのオプションから、影響を受けるホストの ID を特定します。
    1. 下記のコマンドを実行します:
      /opt/vmware/vpostgres/current/bin/psql -U postgres -d VCDB -h localhost -c "select ID,DNS_NAME,endorsement_key,attestation_identity_key from VPX_HOST;"
      注 : 上記のコマンドは、vCenter Server に接続されているすべてのホストの "endorsement_key, attestation_identity_key "を表示します。

    2. 特定のホスト ID の詳細を取得するには以下のコマンドを実行します。
      /opt/vmware/vpostgres/current/bin/psql -U postgres -d VCDB -h localhost -c "select id,dns_name,endorsement_key,attestation_identity_key from VPX_HOST WHERE dns_name = '影響を受けるホストの FQDN';"

      上記のコマンドの '影響を受けるホストの FQDN' を影響を受けるホストの FQDN に置き換えてください。

      :ホスト ID はブラウザからも識別/確認することができます。

      • vCenter Server にログインし、影響を受けるホストを選択して、ブラウザの URL でホスト ID を検索します。
        注 : URL から表示された値を選択し、コロン以降の数値のみを選択します。
        "HostSystem:host-6074320:"


  7. キーの値をクリアします。
    /opt/vmware/vpostgres/current/bin/psql -U postgres -d VCDB -h localhost -c "update VPX_HOST set endorsement_key='', attestation_identity_key='' where id = <手順6で確認した Host ID>;"

    注:出力は以下のようになります。
    UPDATE 1

  8. 影響を受けるホストのキーの値がクリアされていることを確認します。
    /opt/vmware/vpostgres/current/bin/psql -U postgres -d VCDB -h localhost -c "select ID,DNS_NAME,endorsement_key,attestation_identity_key from VPX_HOST;"
  9. vpxd サービスを起動します。
    service-control --start vmware-vpxd
  10. vSphere Client 内で影響を受けるホストを切断し、再接続します。

  11. 新しいキーの値が、影響を受けるホストのカラムに格納されていることを確認します。
    /opt/vmware/vpostgres/current/bin/psql -U postgres -d VCDB -h localhost -c "select ID,DNS_NAME,endorsement_key,attestation_identity_key from VPX_HOST;"
  12. ホストをメンテナンスモードから終了します。
  13. 問題が解決したことを確認したら、vCenter Server 仮想マシンのスナップショットを削除します。

 

Workaround

事象に該当している場合、以下の操作により対応が可能です。
注: 影響を受けるホストが vSAN クラスタの一部である場合、VVOL ストレージがある場合、または分散スイッチ(VDS)がある場合は、回避策を実行しないでください

  1. vCenter Server の vSphere Client 内で影響を受けるホストをメンテナンス モードにします。
  2. 影響を受けるホストを vCenter Server のインベントリから削除します。
  3. 影響を受けるホストを再追加します。
  4. ホストをメンテナンス モードから終了します。

もし インベントリから削除のオプションがグレーアウトしている場合は、次の KB を参照下さい。Remove from Inventory" option grayed out for ESXi host

 

Additional Information

Powered by Wolken Software