今回は ESXi の物理 TPM デバイス交換後に [新しいホスト TPM の承認キーが DB に保管されて
いるものと一致しません] というメッセージが表示された場合の対処について記載していきます。
[新しいホスト TPM の承認キーが DB に保管されているものと一致しません] のメッセージが表示された場合の対応
本メッセージは装置に搭載された物理 TPM 交換対応後に、新しい TPM から生成された
キー値と vCenter Server のデータベースに保存されているキー値が異なる場合に、
表示されるメッセージになります。
当該メッセージは以下 Knowledge に記載された Solution の手順を実施することで
解消させることができます。
対処手順
vCenter Server のオフラインスナップショットを取得し、メッセージが表示された ESXi
をメンテナンスモードに切り替えます。
vCenter Server へ SSH 接続し、Bash シェル上から以下コマンドにて vpxd サービスを
停止させます。
service-control --stop vmware-vpxd以下コマンドにて VCDB 上の VPX_HOST テーブルのバックアップを取得します。
※KB の手順5 の後に手順6 のコマンドを実行してもバックアップが取得できないため、
手順を前後させました。
/opt/vmware/vpostgres/current/bin/pg_dump -U postgres -t VPX_HOST VCDB > /tmp/VPX_HOST.sql以下コマンドにて VCDB に接続します。
/opt/vmware/vpostgres/current/bin/psql -d VCDB -U postgres以下コマンドにより、ID 等をチェックします。
select ID,DNS_NAME,endorsement_key,attestation_identity_key from VPX_HOST;上記コマンドの実行結果は以下となります。
VCDB=# select ID,DNS_NAME,endorsement_key,attestation_identity_key from VPX_HOST;
id | dns_name | endorsement_key
|
attestation_identity_key
------+---------------+-----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
-------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------+--------------------------------------------------
----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
------------------------------------------------------------------------------
1014 | 192.168.17.65 | AToAAQALAAMAsgAgg3GXZ0SEs/gakMyNRqXXJP1S124GUgtk8qHaGzMUaaoABgCAAEMAEAgAAAAAAAEAvVZi6ahGKEu/gsc3kpCd2+gPV1axpx6GaVdE38Dry207NGv4p6zKHAiaar5LbdsFaK8GnfuV11S1Sbq245YSl9bnS7+MQ6F211T3nJuDkugbh1kzPLeoqMnVEj7n+IjBQBUwEl+EgzUauus0HY
vgDv7JJzwh0Ui3VHRqblYrcn/nIs/jQ1n9XEQ98Y4Rn63sDGi+Kz/sio4cnj53mJ2KOU5qTTKKRF3ZOe5EAHZyWxekRMlzpgjualmo8stvJ/IO0UX9MOTC1JLX9Eja+RmCFr3nbmXTAuUQf1o/TXKCoLP+ntLWBtWyWhKYyRr8/5eZA5QLIvZwgJ1gIky+C0Qvlw== | ARgAAQALAAUAcgAAABAAFAALCAAAAQABAQC7KW6PPxqpZR3Gd
OIpJe4eHPwZc9doEqsp8xmbSMoIHxzVEgVo1/62bTTe/ZT/ZLFqSka7pHS89ksaqUIEwoLfHWDC/4pSKcFEEztr2ySRjOSmEwGKG1MmwSAwZ9TgDsLN2I369QPgSzs8+ANiUvXCFKwMxLWlhs011h3xNTFP6YgWNRMT3CsnOtttWZUFpNvApm115vTjGwrCR4B/y4MrLkaFOtzn9l3kRQrPsUgillzJc/QnYpbskP8EunHUj+vUlK4VVCK
FW/5HXIEt8mWSKPLnLn74WQCfkCXd7YBck2Z0kXXR4BohyqtAG7TcVL9LEmplOS1ccExhsCUCl1QB
1017 | 192.168.17.104 | AToAAQALAAMAsgAgg3GXZ0SEs/gakMyNRqXXJP1S124GUgtk8qHaGzMUaaoABgCAAEMAEAgAAAAAAAEAy1V1Bd00TrwoQuzvTuUTRLCmeGKgvPI77ceyPd8rcOB6oxChzp76v/y8S9NB1tMjivcclCeM82QvkMUlOlL3eYHKMhtaohHDm7XpgYP9bZRd3W9JmApUa07owZKPv351H8UDLMRzCvxQRaF9kr
QCqEenhZveR7pzzYt5j4LJgCi2cgaluTHnzV46iRego8Ac8tWfL5GaBpEO2CcS0sb2qAw9ij9RoHpoBjugNrsx+g7etAmeWqqTRriZ3fyTQozhuqv6tEKHmcMSWZNTnChDTEG27kYe1KSz6aRCWzXS/46trNmkMUyeuo+CBGcIZWrKi38IMiyaNgl1H7viJf0tzQ== | ARgAAQALAAUAcgAAABAAFAALCAAAAQABAQDZ/MUwLVg+CsPRN
FIJBlL9idX8DVWbgSt7yX35TspmzzLw7fXSu5dDcrMkWJJwu1IR1TI8Bc3FRVjHSmwZkvm5tgUlwCfqArbp87NUu26Ppt7VWpSfIhZaVc6j3j2/nYHwCPIFtVtI4ePBBnHlykxfCxz+sjypdN/yhcpp18EYeZ6TTh6yo+eK/T8FNVgMlc8AbKckeiIPIYDfK3JVywPrUwhnRxrFahUzrh798vwdsMPo5GNdl8taMEzOxZ0hBmOTO2hm3vs
gdkZZtitd7JX4eF43C1ZxkmpNYKNpTr/PoKgrW3UQJBiYyPAR3MfaPh1Q09WXlTMmNbJiZzvYXhKP以下コマンドを実行し、endorsement_key / attestation_identity_key の値をクリアします。
※<Host ID in step 5> は上述の手順で確認した対象 ESXi の ID を記載します。
update VPX_HOST set endorsement_key='', attestation_identity_key='' where id = <Host ID in step 5>;実際に入力すると、UPDATE 1 が実行結果として表示されます。
VCDB=# update VPX_HOST set endorsement_key='', attestation_identity_key='' where id = 1014;
UPDATE 1再度以下コマンドを実行し、endorsement_key / attestation_identity_key の値がクリア
されたか確認します。
VCDB=# select ID,DNS_NAME,endorsement_key,attestation_identity_key from VPX_HOST;
id | dns_name | endorsement_key
|
attestation_identity_key
------+---------------+-----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
-------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------+--------------------------------------------------
----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
------------------------------------------------------------------------------
1014 | 192.168.17.65 |
|
1017 | 192.168.17.104 | AToAAQALAAMAsgAgg3GXZ0SEs/gakMyNRqXXJP1S124GUgtk8qHaGzMUaaoABgCAAEMAEAgAAAAAAAEAy1V1Bd00TrwoQuzvTuUTRLCmeGKgvPI77ceyPd8rcOB6oxChzp76v/y8S9NB1tMjivcclCeM82QvkMUlOlL3eYHKMhtaohHDm7XpgYP9bZRd3W9JmApUa07owZKPv351H8UDLMRzCvxQRaF9kr
QCqEenhZveR7pzzYt5j4LJgCi2cgaluTHnzV46iRego8Ac8tWfL5GaBpEO2CcS0sb2qAw9ij9RoHpoBjugNrsx+g7etAmeWqqTRriZ3fyTQozhuqv6tEKHmcMSWZNTnChDTEG27kYe1KSz6aRCWzXS/46trNmkMUyeuo+CBGcIZWrKi38IMiyaNgl1H7viJf0tzQ== | ARgAAQALAAUAcgAAABAAFAALCAAAAQABAQDZ/MUwLVg+CsPRN
FIJBlL9idX8DVWbgSt7yX35TspmzzLw7fXSu5dDcrMkWJJwu1IR1TI8Bc3FRVjHSmwZkvm5tgUlwCfqArbp87NUu26Ppt7VWpSfIhZaVc6j3j2/nYHwCPIFtVtI4ePBBnHlykxfCxz+sjypdN/yhcpp18EYeZ6TTh6yo+eK/T8FNVgMlc8AbKckeiIPIYDfK3JVywPrUwhnRxrFahUzrh798vwdsMPo5GNdl8taMEzOxZ0hBmOTO2hm3vs
gdkZZtitd7JX4eF43C1ZxkmpNYKNpTr/PoKgrW3UQJBiYyPAR3MfaPh1Q09WXlTMmNbJiZzvYXhKP
(2 rows)exit にて VCDB から Bash シェルへ戻り、以下コマンドにて vpxd サービスを起動します。
service-control --start vmware-vpxdvSphere Clent から対象の ESXi にて切断 → 再接続を実施し、[新しいホスト TPM の承認キー
が DB に保管されているものと一致しません] のメッセージが解消されるか確認します。
なお、VCDB から再度 endorsement_key / attestation_identity_key の値を確認すると以前
の値から変更されていることが分かります。
VCDB=# select ID,DNS_NAME,endorsement_key,attestation_identity_key from VPX_HOST;
id | dns_name | endorsement_key
|
attestation_identity_key
------+---------------+-----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
-------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------+--------------------------------------------------
----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
------------------------------------------------------------------------------
1017 | 192.168.17.104 | AToAAQALAAMAsgAgg3GXZ0SEs/gakMyNRqXXJP1S124GUgtk8qHaGzMUaaoABgCAAEMAEAgAAAAAAAEAy1V1Bd00TrwoQuzvTuUTRLCmeGKgvPI77ceyPd8rcOB6oxChzp76v/y8S9NB1tMjivcclCeM82QvkMUlOlL3eYHKMhtaohHDm7XpgYP9bZRd3W9JmApUa07owZKPv351H8UDLMRzCvxQRaF9kr
QCqEenhZveR7pzzYt5j4LJgCi2cgaluTHnzV46iRego8Ac8tWfL5GaBpEO2CcS0sb2qAw9ij9RoHpoBjugNrsx+g7etAmeWqqTRriZ3fyTQozhuqv6tEKHmcMSWZNTnChDTEG27kYe1KSz6aRCWzXS/46trNmkMUyeuo+CBGcIZWrKi38IMiyaNgl1H7viJf0tzQ== | ARgAAQALAAUAcgAAABAAFAALCAAAAQABAQDZ/MUwLVg+CsPRN
FIJBlL9idX8DVWbgSt7yX35TspmzzLw7fXSu5dDcrMkWJJwu1IR1TI8Bc3FRVjHSmwZkvm5tgUlwCfqArbp87NUu26Ppt7VWpSfIhZaVc6j3j2/nYHwCPIFtVtI4ePBBnHlykxfCxz+sjypdN/yhcpp18EYeZ6TTh6yo+eK/T8FNVgMlc8AbKckeiIPIYDfK3JVywPrUwhnRxrFahUzrh798vwdsMPo5GNdl8taMEzOxZ0hBmOTO2hm3vs
gdkZZtitd7JX4eF43C1ZxkmpNYKNpTr/PoKgrW3UQJBiYyPAR3MfaPh1Q09WXlTMmNbJiZzvYXhKP
1014 | 192.168.17.65 | AToAAQALAAMAsgAgg3GXZ0SEs/gakMyNRqXXJP1S124GUgtk8qHaGzMUaaoABgCAAEMAEAgAAAAAAAEA+UCLu7QTWAglgqAKWh429LpNI4VX2KBS4hBOiBXKK9vRof2Ow2shj6fPntI80RDRF661xyRZLLYo/7Sm+Fe7XJI3wHncnn/UWykq6m0GTQOunzxSkYyjS6bRn6864IAVU/HTGSZtiBzajt4uDk
vlgPorskIc7YDulxrKvpPJYCk7olPQ69ZCTwVuGJc30wo6tOYEHjOI0lSiMJTC/41IFD99/u2CJ+ppExghPEKREHweFKSUcz/ojN4EBvZzrePa1JF460o2ndsdmsaMPSvLQvE+fXP2svne9jiftwbUzPFg+pKoG4OWb3OU7mx1E8Ps9Yoy4HOP75/fbwES75j+HQ== | ARgAAQALAAUAcgAAABAAFAALCAAAAQABAQCnbPyescBu9rysw
8aa40fxfsUT9AqNAcsy0V9hFtrwtFPluBR/RHA2aOw5i3p6LsSMqfKU9HZtG+f3rW4fAYu1HZ4kmAj+keUpyWBElE/Cyrm4S3CYBHHmLd41JZpEcC5xrDYWxULCGJlGdft08dzylL0zZHjK3pqvYVgWLCpefYPF9Cn9eGCRyAsJbS3JXilf69UjWoDzeduBCAjbbV75LsNCKoSHcIs15i4eJvDq8HqGQGwa+FCX42rK2gD77dEkQj4573H
Es5ujb/lLlJIDyWVtQj8w5sMFYKrVWYqHlr6+/hSUDODcclzBIZHV8pUVQNJgsedHa6xQj4PkPlql
(2 rows)手順としては以上になります。
Knowledge の手順では ESXi をメンテナンスモードにしなければならないと記載されて
いますが、メンテナンスモードへの切り替えは当該 ESXi 上で動作している仮想マシンを
全て停止しないといけません。
仮想マシンを全て停止することはハードルが高い場合もあるため、メンテナンスモード
へ切り替えずに検証もしてみましたが、同様にメッセージは解消されました。
Knowlege にも記載されていますが、可能な場合にはインベントリから削除 → 再登録
にて対応することも可能です。
