vSphere Client で ESXi ホストの「ホスト TPM 認証アラーム」が表示される
search cancel

vSphere Client で ESXi ホストの「ホスト TPM 認証アラーム」が表示される

book

Article ID: 435479

calendar_today

Updated On:

Products

VMware vSphere ESXi 8.0 VMware vCenter Server 8.0

Issue/Introduction

免責事項: これは英文の記事「vSphere Client Displays "Host TPM attestation alarm" for ESXi Hosts」の日本語訳です。記事はベストエフォートで翻訳を進めているため、ローカライズ化コンテンツは最新情報ではない可能性があります。最新情報は英語版の記事で参照してください。

  • ESXi 8.0 以降へのインストールまたはアップグレード後、次の症状が発生します:

    • vSphere UI に「ホスト TPM 認証アラーム」が表示される。

    • 環境内で Trusted Platform Module (TPM) をアクティブに使用していない場合でも、アラームが表示される。

    • この状況は、通常 ESXi ホストのハードウェアでセキュアブートが無効になっている場合に発生します。

  • メッセージの表示例:

 

  • vSphere Client で対象のホストを表示し、[監視] > [トリガ済みアラーム] に移動すると、次のアクティブなアラームが表示されます:

 

  • vCenter Server の /var/log/vmware/vpxd/vpxd.log ファイルを確認すると、次の警告メッセージが記録されています:

          YYYY-MM-DDTHH:MM:SS info vpxd[3424929] [Originator@6876 sub=Attestation opID=#####@148-4337f1da-WorkQueue-#####] VIB TAR Decompress: decompression of /tmp/vmware-vpxd/3424929.host-#####.boot_imgdb.tgz to /tmp/vmware-vpxd/#####.host-#####.boot_imgdb.tar took 1 ms

          YYYY-MM-DDThh:mm:SS warning vpxd[3424929] [Originator@6876 sub=Default opID=#####@148-4337f1da-WorkQueue-#####] TPM2VLIB: Secure Boot Disabled

          YYYY-MM-DDTHH:MM:SS warning vpxd[3424929] [Originator@6876 sub=Attestation opID=#####@148-4337f1da-WorkQueue-#####] Failed to update integrity report; [vim.HostSystem:host-#####,<host fqdn>], 24TpmVerificationException(error: 0x7, internal error: 0)

Cause

ホスト TPM 認証アラームは、複数の要因でトリガされる可能性があります。以下の原因は、恒久的な解決策(セキュアブートの有効化やアラームの無効化)と一時的な対処法(ホストの切断と再接続)が、状況によって有効な理由を説明しています。

  • セキュアブートが無効: 主な原因は、ESXi ホストでセキュア ブートが無効であることを vCenter Server が検出したことです。このアラームは VMware の強化されたセキュリティ機能の一部ですが、ハードウェアの制限でセキュア ブートを使用できない環境など、すべての環境に関連するとは限りません。

  • データ同期の問題: ESXi ホストと vCenter Server 間の通信が同期しなくなった場合にも、アラームが表示されることがあります。これは通常、ネットワークの一時的な問題、サーバーの再起動、または短時間の接続断など、一時的な問題が原因で発生します。

Resolution

vSphere でホスト TPM 認証アラームを確認し、解決するには次の手順を実施してください。

セキュアブートの状態確認

  1. SSH で ESXi ホストに root ユーザーとしてログインし、次のコマンドを実行して現在の状態を確認してください: /usr/lib/vmware/secureboot/bin/secureBoot.py -s

    1. Enabled: 出力にセキュアブートが有効(Enabled)と表示される場合は、「セキュアブートがすでに有効な場合」のセクションに進んでください。
    2. Disabled: 出力にセキュアブートが無効(Disabled)と表示される場合は、次の手順に進んでください。

互換性の確認

  1. セキュアブートが無効な場合、ホストが有効化の要件を満たしているか確認します: /usr/lib/vmware/secureboot/bin/secureBoot.py -c
    1. 有効化可能と確認された場合: 次の手順に進んでください。
    2. 有効化不可と確認された場合: 「セキュアブートを有効化できない場合」のセクションに進んでください。

ハードウェア BIOS でのセキュアブートの有効化

ホストに互換性がある場合は、次の手順でセキュアブートを有効化します。

  1. ESXi ホストを再起動し、BIOS/UEFI 設定にアクセスします。
  2. [Secure Boot] オプション(通常は [Boot] または [Security] タブ)を確認します。
  3. [Secure Boot] を [Enabled] に設定します。
  4. 設定を保存して終了します。
  5. ESXi を起動し、アラームが消えていることを確認します。

セキュアブートがすでに有効な場合 (アラームが解消されない場合)

セキュアブートが有効であるにもかかわらずアラームが解消されない場合は、vCenter Server への接続を再度認識させる必要があります。

  1. vSphere Client で、[ホストおよびクラスタ] に移動します。
  2. 対象のホストを右クリックし、[接続] > [切断] を選択します。
  3. 切断後、対象のホストを右クリックし、[接続] > [接続] を選択します。
  4. ホストが再接続されたら、[監視] タブ > [問題とアラーム] に移動します。
  5. [トリガ済みアラーム] ビューを選択し、ホスト TPM 認証アラームを右クリックして [緑にリセット] を選択します。

セキュアブートを有効化できない場合

ハードウェアがセキュアブートをサポートしていない場合は、vCenter Server レベルでアラームを抑制します。

  1. vSphere Client にログインします。
  2. 対象のホストに移動します。
  3. [監視] タブに移動し、[すべての問題] を選択します。
  4. ホスト TPM 認証アラームを選択します。
  5. アラームを右クリックし、[緑にリセット] を選択します。

注: これらの解決策のいずれかを適用した後、vSphere UI を 24 時間監視して、アラームが表示されなくなったことを確認してください。

Additional Information

  • TPM ベースの機能を使用していない場合、ホスト TPM 認証アラームを無効にしても環境のセキュリティには影響はありません。

  • 将来、環境に TPM ベースのセキュリティ機能を実装した場合は、アラームを再度有効化できます。

  • 切断および再接続とアラームのリセット手順は、ESXi ホストと vCenter Server のデータを強制的に再同期させるため、一時的な解決策となる場合があります。アラームが頻繁に再発する場合は、より恒久的な解決策を検討するか、ESXi ホストと vCenter Server 間の潜在的なネットワークや通信の問題を調査してください。

Powered by Wolken Software