frank25
Goto Top

VMware ESXi 8 ohne oder mit TPM?

Mein neuer Server hat eine AMD CPU und kann daher nur AMD fTPM. Dies wird von ESXi nicht unterstützt. Im BIOS kann man "TPM 2.0 InterfaceType" nicht von "CRB" auf "TIS" (FIFO), wie es VMware empfiehlt. ASRock-Support sagt, es muss ein extra TPM-Modul "ASRock TPM-SPI" auf das Mainboard installiert werden. Das wäre möglich, aber...

Wird TPM überhaupt für einen ESXi-Server (Host) benötigt? Wofür? Kann man darauf verzichten?

Für VMs bietet ESXi doch ein virtuelles TPM an z.B. für Windows 11 oder?

Vielen Dank für die Antworten, bin gespannt...

Content-ID: 6835281699

Url: https://administrator.de/contentid/6835281699

Ausgedruckt am: 21.11.2024 um 17:11 Uhr

Spirit-of-Eli
Spirit-of-Eli 07.12.2023 um 12:56:48 Uhr
Goto Top
Moin,

für die Verschlüsselung via z.B. Bitlocker ist ein TPM auf jedem ESX Host zwingend notwendig.

Hast du das nicht vor, gibt es derzeit keinen Grund dafür. Allerdings kosten die Chips jetzt wohl einen Bruchteil als wenn du die später nachkaufst. So ist gerade meine Erfahrung.

Gruß
Spirit
DerMaddin
DerMaddin 07.12.2023 um 13:10:36 Uhr
Goto Top
Ich habe aktuell auf unserem AMD Epyc Cluster vSphere 7.0.3 laufen. Vorbereitungen auf Upgrade zu 8 laufen und die Pre-Checks haben nichts dagegen, dass natives TPM 2.0 fehlt.
Frank25
Frank25 07.12.2023 um 13:24:06 Uhr
Goto Top
Zitat von @Spirit-of-Eli: ...für die Verschlüsselung via z.B. Bitlocker

Verständnisfrage: Bitlocker um Windows in VMs zu verschlüsseln, oder den ganzen ESXi Host?

Und noch nicht beantwortet:

Für VMs bietet ESXi doch ein virtuelles TPM an z.B. für Windows 11 oder? Also ein Sofware-TPM das keine Hardware-TPM im ESXi-Host braucht... oder ist das falsch?
DerWoWusste
DerWoWusste 07.12.2023 aktualisiert um 13:29:57 Uhr
Goto Top
Es gibt doch Doku: https://docs.vmware.com/en/VMware-vSphere/8.0/vsphere-esxi-vcenter-802-s ...
Da steht drin, dass Du TPMs nutzen kannst (nicht musst), und was es Dir bringt.
Auch wird die Kompatibilitätsliste verlinkt, wo aber keinerlei Aussagen zu bestimmten TPM-Modellen ablesbar sind!

Meine Vermutung wäre somit: wenn das Mainboard unterstützt wird, wird das fTPM auf jeden Fall unterstützt.
DerWoWusste
Lösung DerWoWusste 07.12.2023 um 13:28:46 Uhr
Goto Top
Zusatz (du hast gerade Weiteres gefragt):
Nein, du kannst einen ESXI (Host) natürlich nicht mit Bitlocker verschlüsseln. Die Gäste natürlich und dank des vTPM auch ohne aktiven TPM im Host.
DerMaddin
DerMaddin 07.12.2023 um 13:47:39 Uhr
Goto Top
@Frank25 Dein Server ist eher privat oder beruflich genutzt? AsRock deutet zumindest eher auf private Nutzung hin. Solltest du erwägen beruflich zu nutzen, denke bitte auf korrekte Lizenzierung von Windows Client OS, die als VM laufen. Eine Windows 10/11 Pro OEM/Retail Lizenz ist nicht ausreichend.
DerWoWusste
DerWoWusste 07.12.2023 um 14:08:50 Uhr
Goto Top
@DerMaddin
Eine Windows 10/11 Pro OEM/Retail Lizenz ist nicht ausreichend.
Achtung: das stimmt glücklicherweise nicht, zumindest nicht nach deutschem Recht. Details siehe https://www.heise.de/ratgeber/Windows-Lizenzen-und-virtuelle-Maschinen-7 ...
DerMaddin
DerMaddin 07.12.2023 um 14:35:49 Uhr
Goto Top
Nope! Ich hatte mit drei Unternehmen über genau diesen Fall gesprochen. Alle haben mir zu 100% bestätigt, dass man, wenn man als Firma eine Virtualisierungsplattform onPrem einsetzt, dann benötigt man eine entsprechende Lizenz, um Windows 10/11 Pro in einer VM betreiben zu dürfen.

Ich würde auf diesen einen Artikel mich nicht verlassen.

Im Umkehrschluss zu dieser Aussage dürfte man dann also auch SQL Server 2022 Core-Lizenzen ohne aktive SA oder CSP in einer VM betreiben?
Spirit-of-Eli
Spirit-of-Eli 07.12.2023 aktualisiert um 15:14:53 Uhr
Goto Top
Zitat von @DerWoWusste:

Zusatz (du hast gerade Weiteres gefragt):
Nein, du kannst einen ESXI (Host) natürlich nicht mit Bitlocker verschlüsseln. Die Gäste natürlich und dank des vTPM auch ohne aktiven TPM im Host.

Wie soll der vTPM ohne Hardware TPM funktionieren?
Wir haben dazu keinerlei Lösung finden können.
Die gesamte Infrastruktur ink. VCenter müssen für vTPM vorbereitet werden.

Dazu ist schließlich eine vTPM PKI Integration nötig.
DerMaddin
DerMaddin 07.12.2023 um 15:34:36 Uhr
Goto Top
So geht es ohne TPM Hardware

Ganz ohne PKI etc.
Spirit-of-Eli
Spirit-of-Eli 07.12.2023 um 15:42:54 Uhr
Goto Top
Zitat von @DerMaddin:

So geht es ohne TPM Hardware

Ganz ohne PKI etc.

Und das funktioniert auch mit VSAN?
Frank25
Frank25 07.12.2023 um 16:14:55 Uhr
Goto Top
vTPM... Bei VMware Workstation geht es offenbar ganz einfach:

https://www.windowspro.de/tipp/virtuellen-tpm-vtpm-vmware-workstation-pl ...
Spirit-of-Eli
Spirit-of-Eli 07.12.2023 um 16:24:19 Uhr
Goto Top
Zitat von @Frank25:

vTPM... Bei VMware Workstation geht es offenbar ganz einfach:

https://www.windowspro.de/tipp/virtuellen-tpm-vtpm-vmware-workstation-pl ...

das ist allerdings auch was völlig anderes.
DerWoWusste
DerWoWusste 07.12.2023 aktualisiert um 22:36:06 Uhr
Goto Top
Ich würde auf diesen einen Artikel mich nicht verlassen.
Steht dir frei. Ich mach kein VDI und habe deshalb nochmal die Lizenzbedingungen gelesen
-> license.rtf (C:\Windows\System32\en-us\Licenses\OEM\Professional\license.rtf)
This license allows you to install only one instance of the software for use on one device, whether that device is physical or virtual
Virtualisieren darfst Du non-Enterprise-Versionen von Client-Windows-OS' auf jeden Fall; interessanter wird es erst, wenn (ebenfalls dem Wortlaut der license.rtf folgend) "accessed solely for remote use over a network" dein Szenario ist - und das wird bei ESXI zwangsläufig der Fall sein - das darfst Du nicht.

Also: als Entwickler oder Admin auf deinem eigenen lokalen Windows mit (z.B.) Hyper-V eine Test-VM (mit eigener Lizenz) zu betreiben ist kein Problem, egal mit welcher Lizenz du die VM bestückst. Aber alles in Richtung VDI Betriebenes braucht eine SA oder VDA.
Nach amerikanischem Recht.
Ob das Letztere nun bei uns anwendbar ist, bezweifelt die C't. Belastbare Quellen bietet der Artikel nicht, das ist richtig.
Edit:
Nachtrag dazu:
https://de.wikipedia.org/wiki/Endbenutzer-Lizenzvertrag#:~:text=3%20Sieh ....
Situation in Deutschland
In Deutschland sind EULAs zu Standardsoftware nur dann Vertragsbestandteil, wenn sie zwischen Verkäufer und Erwerber der Software bereits beim Kauf vereinbart wurden. Das setzt die Möglichkeit der Kenntnisnahme bei Vertragsschluss voraus. Dem Käufer erst nach dem Kauf zugänglich gemachte Lizenzbestimmungen (zum Beispiel während der Installation oder als gedruckte Beilage in der Verpackung) sind für den Käufer wirkungslos. Dies gilt auch dann, wenn der Käufer bei der Installation Ich akzeptiere die Lizenzvereinbarung oder ähnlich lautenden Aussagen zustimmt, wenn die Software sonst die Installation verweigert (was sie in der Regel tut).[1][2]
DerWoWusste
DerWoWusste 07.12.2023 aktualisiert um 22:00:41 Uhr
Goto Top
Wie soll der vTPM ohne Hardware TPM funktionieren?
Indem er die Funktionen der TPM-Hardware in Software abbildet. Hyper-V erlaubt genau das (vTPM ohne reales TPM). Und wenn selbst Microsoft das hinbekommt...
Spirit-of-Eli
Spirit-of-Eli 07.12.2023 um 22:38:34 Uhr
Goto Top
Zitat von @DerWoWusste:

Wie soll der vTPM ohne Hardware TPM funktionieren?
Indem er die Funktionen der TPM-Hardware in Software abbildet. Hyper-V erlaubt genau das (vTPM ohne reales TPM). Und wenn selbst Microsoft das hinbekommt...

Mir war nicht geläufig, dass auch bei VMware eine nicht Hardware gestützte PKI für den vTPM genutzt werden kann.
Auch unser Dienstleister hat das verneint.
8585324113
8585324113 09.12.2023 um 03:56:03 Uhr
Goto Top
Wenn Du kannst und mittel- und langfristig alle Anforderungen um eine moderne und zulässige Implementierung tragen kannst, dann würde ich auf TPM nicht verzichten.

Aber Vorsicht vor dem Boomerang den Du damit wirfst. Da kommt was zurück, wichtig ist, nicht aus dem Dunkel.
DerMaddin
DerMaddin 11.12.2023 um 08:22:22 Uhr
Goto Top
Zitat von @8585324113:

Aber Vorsicht vor dem Boomerang den Du damit wirfst. Da kommt was zurück, wichtig ist, nicht aus dem Dunkel.

Nochmal bitte in verständlichen Sätzen.
8585324113
8585324113 11.12.2023 um 14:06:36 Uhr
Goto Top
Wenn du etwas nicht entschlüsseln kannst oder was auch immer, weil geschlampt.