In questo post analizzo le problematiche del backup di un ambiente VDI in un ambiente VMware vSphere con TPM attivo, le VM sottoposte a backup sono Windows 11 con licenze Microsoft Office 365.
La configurazione di Veeam per il backup di VM criptate (encrypted) richiede dei prerequisiti a livello architetturale:
- Il proxy di backup deve funzionare in modalità Virtual appliance o Network transport:
- Il proxy che funziona in modalità Virtual appliance transport deve essere distribuito su una VM crittografata.
- Il proxy che funziona in modalità di trasporto di rete utilizza il protocollo NBD per impostazione predefinita. Se si desidera utilizzare NBDSSL, selezionare la casella di controllo Abilita crittografia del traffico host-proxy in modalità di rete (NBDSSL) nella finestra Modalità di trasporto. Si noti che la crittografia del traffico sottopone a maggiore stress la CPU di un host ESXi e può ridurre le prestazioni.
Con questa configurazione del proxy potremmo effettuare dei backup consistenti.
Per il restore delle VM occorre considerare questo:
Se possibile, utilizzare l'opzione “ripristino dell'intera VM” nella posizione originale. In questo modo si sostituisce la VM originale e Veeam gestisce il processo di ripristino corretto della configurazione della VM (incluso il TPM).
In caso non sia possibile mantenere nome e/o percorso della VM occorre considerare che andremo incontro a questi problemi:
- Perdita del certificato con conseguente problema sulle licenze Microsoft installate sulla VM in quanto sono legate al certificato della VM.
Vediamo come risolvere questi problemi.
Una volta che la VM crittografata viene ripristinata con nome e/o percorso diverso vedremo che la VM ha un certificato TPM emesso non dalla CA configurata in vSphere:
A questo punto eseguiamo il login nella VM ripristinata ed eseguiamo il comando PowerShell: clear-tpm
La VM riprenderà la corretta CA:
Problema licenze Microsoft Office 365:
Dopo modifica del TPM la licenza non è più valida e richiede una nuova autenticazione.
Ciò è dovuto al fatto che la cartella generata da tali applicazioni non corrisponde più ai token di autenticazione generati dal chip TPM (Trusted Platform Module) originale.
- Occorre quindi rinominare la cartella dell’utente interessato da altro utente administrator:
Rinominare la cartella seguente:
C:\users\$dir\AppData\Local\Packages\Microsoft.AAD.BrokerPlugin_cw5n1h2txyewy
A:
C:\users\$dir\AppData\Local\Packages\Microsoft.AAD.BrokerPlugin_cw5n1h2txyewy.old
Dalla sessione dell’utente impattato:
- Rimovere le credenziali relative a Microsoft Office 365 nella Gestione Credenziali di Windows
- Cancellare Trusted Platform Module (Trusted Platform Module)
1. Da Start, selezionare Impostazioni (icona ingranaggio) >Aggiornamento e sicurezza>Sicurezza di Windows>Sicurezza dispositivi.
2. In Processore sicurezza, selezionare Dettagli processore sicurezza>Risoluzione dei problemi del processore di sicurezza.
3. Selezionare “Cancellare TPM”.
4. Riavviare il dispositivo e provare ad attivare Microsoft 365 di nuovo.
Riavviato il pc, aprendo applicazione Microsoft Office richiede l'attivazione alcune volte.
Chiudendo e riaprendo le applicazioni Microsoft Office verificare che la licenza adesso è correttamente applicata.
https://learn.microsoft.com/it-it/office/troubleshoot/activation/tpm-malfunctioned
https://helpcenter.veeam.com/docs/vbr/userguide/encrypted_vms_backup.html?ver=13
