إصلاح مشكلة Host TPM Attestation Alarm في VMware

تقنية
By Merwan Redha

النقاط الرئيسية

  • تتحقق مصادقة المضيف في vSphere من سلامة نظام المضيف لضمان عدم العبث به، مما يخلق بيئة آمنة للأجهزة الافتراضية (VMs).
  • ينشأ “إنذار مصادقة TPM للمضيف” عادةً من مشكلات تتعلق بشريحة TPM 2.0 المادية، غالبًا بسبب إعدادات UEFI غير الصحيحة أو إضافة شريحة TPM جديدة.
  • لإصلاح هذا الخطأ، تأكد من تمكين التمهيد الآمن (Secure Boot)، وأن إعدادات TPM صحيحة، وأن إصدارات vCenter Server/ESXi محدثة؛ كما يمكن أن يؤدي فصل المضيف وإعادة توصيله بـ vCenter إلى حل المشكلة إذا تمت إضافة TPM جديدة.

في VMware، أو بشكل أكثر تحديدًا، في vSphere، قد تواجه خطأً يقرأ “إنذار مصادقة TPM للمضيف“. إذا قمت للتو بإعداد شريحة TPM 2.0 جديدة في نظام المضيف الخاص بك، فقد يكون من المحير سبب ظهور هذه الرسالة لك. في هذا الدليل، سنناقش ما تعنيه مصادقة المضيف وكيف يمكنك إصلاح هذه المشكلة.

إصلاح مشكلة Host TPM Attestation Alarm في في إم وير

ما هي مصادقة المضيف؟

بعبارات بسيطة، تتحقق مصادقة المضيف من سلامة جهاز الكمبيوتر الخاص بك (المضيف) الذي تعمل عليه العديد من الأجهزة الافتراضية عبر vSphere. هذا يضمن عدم العبث بالنظام ويوفر بيئة آمنة للأجهزة الافتراضية عليه. تخيل كيف سترغب أنت (الجهاز الافتراضي) في أن يكون منزلك (المضيف) آمنًا.

يتم إنشاء تقرير يحتوي على بيانات حيوية حول نظامك ويُستخدم للمقارنة بالقيم المعروفة أو المتوقعة لمعرفة ما إذا كان المضيف جديرًا بالثقة. يصبح هذا لا غنى عنه في بيئات الخوادم حيث يتم تغذية بيانات بقيمة مليارات الدولارات إلى أجهزة بعيدة، وسترغب في التأكد من أن هذه الأجهزة موثوقة.

عادةً، لا يتطلب TPM في vSphere. يستخدم كل جهاز افتراضي في بيئة vSphere vTPM (وحدة النظام الأساسي الموثوق به الافتراضية)، لضمان الأمان على المستوى الأساسي. لا تحتاج إلى TPM مادي لاستخدام vTPM. يسمح vTPM باستخدام خدمات مثل BitLocker لكل جهاز افتراضي على حدة.

تحدث مشكلة “إنذار مصادقة TPM للمضيف” بسبب TPM المادي. قد يكون هذا بسبب عدة أسباب؛ إضافة شريحة TPM جديدة، أجهزة TPM غير كافية، إعدادات UEFI غير صحيحة، أو إصدار vSphere/vCenter.

كيفية إصلاح “إنذار مصادقة TPM للمضيف”؟

لحسن الحظ، إصلاح إنذار مصادقة TPM للمضيف ليس بالأمر الصعب. أولاً، نحتاج إلى العثور على السبب الجذري للمشكلة. للقيام بذلك، يمكننا إما عرض رسالة الخطأ ذات الصلة أو مراجعة السجلات.

  1. اتصل بـ vCenter Server.
  2. حدد مركز بيانات وانتقل إلى علامة التبويب “Monitor“.
  3. ضمن “Performance“، انقر على “Security“.
  4. حدد الجهاز الذي يواجه هذه المشكلة وتحقق من رسالة الخطأ في عمود “Message“. (المصدر: VMware)
  5. إذا كانت الرسالة تقول: “تم تعطيل التمهيد الآمن للمضيف“، فاتبع الخطوة 1 أدناه لتمكين Secure Boot من إعدادات UEFI الخاصة بك. إذا كان عمود “Attestation” يشير ببساطة إلى “Failed“، فسيتعين عليك التحقق من ملفات السجل الخاصة بـ vCenter Server. لمزيد من المعلومات حول ملفات السجل، اتبع هذا الدليل.
  6. بمجرد العثور على ملف vpxd.log، تحقق مما إذا كان يحتوي على السجل: “لا يوجد مفتاح هوية مخبأ، يتم التحميل من قاعدة البيانات“. إذا كان الأمر كذلك، فاتبع الخطوة 2.

1) هل يستوفي المضيف الخاص بك المتطلبات؟

إذا تم تكوين جهازك الافتراضي لاستخدام مصادقة المضيف، فيجب أن تستوفي بعض المتطلبات، وهي:

  • شريحة TPM 2.0 مادية
  • يجب تمكين Secure Boot
  • يجب أن يستخدم TPM تشفيرًا يعتمد على SHA-256
  • يجب تحديث إصدارات vCenter Server و ESXi إلى 6.7 أو أعلى

في جميع الحالات تقريبًا، يكون المستخدم قد قام بتعطيل TPM أو Secure Boot عن طريق الخطأ. لإعادة تمكين هذه الإعدادات، اتبع الخطوات التالية:

  1. أعد تشغيل جهاز الكمبيوتر الخاص بك واضغط على مفاتيح “Delete“, “F1“, “F2” أو “F10“.
  2. انتقل إلى علامة التبويب “Boot” وابحث عن إعداد يُسمى “Secure Boot“. اضبط هذا على “Enabled“.
  3. بعد ذلك، نحتاج إلى تمكين TPM. انتقل إلى علامة التبويب “Settings”. في حالتنا، كان TPM موجودًا ضمن قسم “Trusted Computing”. قد يختلف هذا لنظامك، لذا من الأفضل الرجوع إلى دليل اللوحة الأم الخاص بك.
  4. إذا لم تكن تطبيقاتك محدثة، فيجب عليك ترقيتها إلى الإصدار 6.7 على الأقل، وفقًا للمتطلبات. نظرًا لأن vSphere و vCenter تطبيقات متطورة، يُنصح باتباع الأدلة الصحيحة (vSphere, vCenter) لضمان عدم حدوث مشاكل غير متوقعة.

2) تثبيت شريحة TPM في مضيف موجود

إذا كانت ملفات السجل الخاصة بك تحتوي على النص “No cached identity key, loading from DB“، فهذا يعني بشكل أساسي أنك قمت بتثبيت شريحة TPM 2.0 في مضيف تتم إدارته بالفعل بواسطة vCenter. لإصلاح ذلك، ما عليك سوى وضع المضيف الخاص بك في وضع maintenance، وافصل مضيف ESXi الخاص بك عن خادم vCenter، ثم أعد توصيله.

  1. سجّل الدخول إلى vSphere Client.
  2. انقر بزر الماوس الأيمن على مضيف ESXi المعني.
  3. حدد “Maintenance Mode” (وضع الصيانة) وانقر على “Enter Maintenance Mode” (الدخول إلى وضع الصيانة). (المصدر: StarWind Software)
  4. بمجرد الدخول إلى وضع الصيانة (Maintenance Mode)، انقر بزر الماوس الأيمن مرة أخرى على الخادم. انتقل إلى “Connection” (الاتصال) واختر “Disconnect” (قطع الاتصال) كما هو موضح. (المصدر: VMware)
  5. بعد قطع اتصال الخادم بنجاح، انقر بزر الماوس الأيمن على الخادم مرة أخرى، انتقل إلى “Connection” (الاتصال) واختر “Connect” (اتصال). انتظر حتى يتم تحديث حالة المهمة إلى “مكتمل”.
  6. إذا لم يعد ملف vpxd.log يحتوي على نفس الرسالة، فقم بـ إعادة تعيين (Reset) التنبيه إلى اللون الأخضر (Green) يدويًا. (المصدر: Lenovo)

ما مدى موثوقية TPM؟

يعتمد إثبات صحة المضيف (Host Attestation) على أجهزة TPM (وحدة النظام الأساسي الموثوقة) الموجودة على المضيف. يتم إنشاء تقرير بواسطة النظام يحتوي على تجزئة (hash) لحالته الحالية، والبرامج، والبرامج الثابتة، وغير ذلك. عند دمجها، يكاد يكون من المستحيل تزوير (spoof) أو إعادة إنشاء (recreate) نسخة من هذه التجزئة، وذلك بفضل عملية تسمى سلسلة التجزئة (hash-chaining).

لا يمكن تمرير وحدة TPM المادية الموجودة على المضيف الخاص بك إلى الأجهزة الافتراضية (VMs) المثبتة عليه. تستخدم الأجهزة الافتراضية ما يسمى بـ vTPM (وحدة TPM الافتراضية) والتي توفر وظائف شريحة TPM 2.0 على مستوى البرمجيات. تضمن وحدة TPM المادية أن المضيف قد تم تشغيله بأمان وليس لها علاقة تذكر بالأجهزة الافتراضية المثبتة عليه.

قد ينشأ موقف حيث إذا كان خادمك يستخدم “مصادقة المضيف” (Host Attestation) وفشلت المصادقة بسبب وحدة TPM المادية، يصبح المضيف غير قادر على فك تشفير ملفات تكوين الجهاز الافتراضي لأن vCenter Server لا يثق به.

لذلك، يمكن أن تصبح وحدة TPM مفيدة للغاية إذا كنت تسعى للحصول على طبقة إضافية من الحماية والأمان. ومع ذلك، كن على دراية بعيوبها حيث أن خدمات مثل BitLocker يمكنها تشفير محرك الأقراص بالكامل وجعله غير قابل للوصول بدون بيانات اعتماد صالحة.

الخلاصة

يعد “إنذار مصادقة TPM للمضيف” (Host TPM Attestation Alarm) موضوعًا معقدًا ومفصلاً للغاية إذا تعمقت في تفاصيله الدقيقة، ومع ذلك، فإن إصلاح هذه المشكلة يتضمن مجرد 2 من الفحوصات البسيطة. لاحظ أنه قد يكون هناك عدد كبير من المشكلات إذا كنت تقوم بإعداد هذه الميزة، مثل خوارزميات التجزئة، وإدارة العديد من المضيفين، وما إلى ذلك، ولكنها يمكن أن تصبح محددة للغاية.

ومع ذلك، بفضل التجريد والعملية المبسطة، يحدث هذا الخطأ غالبًا بسبب إعدادات UEFI غير الصحيحة أو التثبيت غير السليم لشريحة TPM. على أي حال، بينما تتمتع TPM بفوائدها، فإنها تشكل أيضًا خطر حجبك تمامًا عن نظامك في سيناريوهات نادرة. لذلك، نوصي المستخدمين بتقييم المخاطر والفوائد والمضي قدمًا بحذر.

الأسئلة الشائعة

ما هي مصادقة المضيف (Host Attestation)؟

مصادقة المضيف (Host Attestation) هي إجراء يتحقق مما إذا كانت أجهزة المضيف جديرة بالثقة قبل أن يتمكن المستخدمون من التفاعل معها. تتحقق خدمة المصادقة من سلامة المضيف مقابل القيم الجيدة المعروفة أو سياسة محددة مسبقًا.

هل تؤثر هذه المشكلة على الأجهزة الافتراضية على المضيف؟

يعتمد ذلك على مدى المشكلة. بشكل عام، يرتبط “إنذار مصادقة TPM للمضيف” (Host TPM Attestation Alarm) بالمضيف أو وحدة TPM المادية. في أسوأ السيناريوهات، قد يتم حجبك عن أجهزتك الافتراضية إذا اعتبر vCenter Server أن مضيفك قد تعرض للاختراق.

هل وحدة TPM مادية ضرورية لـ VMware؟

تستخدم الأجهزة الافتراضية المثبتة على المضيفين ما يسمى بوحدة TPM الافتراضية (Virtual TPM). لا تعتمد وحدات TPM الافتراضية على وحدة TPM المادية بأي شكل من الأشكال.

Merwan Redha 2162 posts 0 comments
You might also like More from author

Comments are closed.

Follow Us @dz.techs