ESXi Üzerinde Windows 11 Sanallaştırma: TPM 2.0 Sorunu ve Çözümü

ESXi Üzerinde Windows 11 Sanallaştırma: TPM 2.0 Sorunu ve Çözümü​

---

Giriş: Microsoft'un Katı Kuralları ve Sanallaştırma​

Windows 11 duyurulduğunda, getirdiği en büyük tartışma konusu donanım gereksinimleriydi. Microsoft, güvenlik gerekçesiyle TPM 2.0 (Trusted Platform Module) çipini zorunlu kıldı. Fiziksel bir bilgisayarda bu genellikle anakartta bulunan bir çiptir veya BIOS'tan açılır. Ancak sanal dünyada (VMware ESXi gibi) fiziksel bir TPM çipini sanal makineye doğrudan atamak hem zordur hem de ölçeklenebilir değildir (vMotion çalışmaz).

Bu durum, sistem yöneticilerinin ESXi üzerinde Windows 11 çalıştırmasını bir kabusa dönüştürdü. Neyse ki VMware, vSphere 7.0 Update 2 ve üzeri sürümlerde "Native Key Provider" özelliği ile bu sorunu kökten çözdü. Bu makalede, herhangi bir ek donanıma veya karmaşık KMS sunucusuna ihtiyaç duymadan, ESXi üzerinde nasıl tam uyumlu Windows 11 çalıştıracağınızı anlatacağız.

Sorunun Kaynağı: TPM Nedir ve VM Neden İster?​

TPM, şifreleme anahtarlarını güvenli bir şekilde saklayan bir donanımdır. Windows 11, BitLocker ve Windows Hello gibi özellikleri için bu güvenli kasayı zorunlu tutar. Eğer bir sanal makineye TPM modülü eklemezseniz, Windows 11 kurulum ekranında "Bu bilgisayar Windows 11'i çalıştıramaz" hatası alırsınız.

Eski Çözüm vs. Yeni Çözüm​

• Eski Yöntem (Zor): Harici bir KMS (Key Management Server) kurmak zorundaydınız. Bu, ekstra lisans maliyeti ve yönetim yükü demekti.
• Yeni Yöntem (Native Key Provider - NKP): vCenter Server'ın kendisi anahtar yöneticisi olur. Ekstra sunucuya gerek yoktur. ESXi hostları, şifreleme anahtarlarını doğrudan vCenter'dan alır.

Adım Adım Kurulum Rehberi​

1. Ön Hazırlıklar​

• vCenter Server: Ortamınızda vCenter (VCSA) 7.0 U2 veya daha yeni bir sürüm olmalıdır. (Standalone ESXi hostlarda bu yöntem çalışmaz, vCenter şarttır. Standalone için script ile bypass gerekir).
• ESXi Host: Hostlarınız 6.7 veya üzeri olmalı (Tercihen 7.0+).

2. Native Key Provider'ı Etkinleştirme​

Windows 11 VM oluşturmadan önce, vCenter üzerinde şifreleme altyapısını açmalıyız.

1. vSphere Client'a (Web Arayüzü) giriş yapın.
2. En üstteki vCenter ismine tıklayın -> Configure sekmesine gidin.
3. Security altında Key Providers'ı seçin.
4. "Add" butonuna basın ve "Add Native Key Provider" seçeneğini işaretleyin.
5. Bir isim verin (Örn: "NKP-Cluster") ve ekleyin.
6. Listeye eklendikten sonra üzerine gelin ve "Back Up" butonuna basın. (Yedeklemeden sistemi aktif edemezsiniz!). Parola verip yedeği indirin.
7. Yedekleme bitince, Key Provider otomatik olarak Active durumuna gelecektir.

3. Windows 11 VM Oluşturma​

Artık altyapı hazır, sanal makineyi oluşturabiliriz.

1. New Virtual Machine sihirbazını başlatın.
2. Guest OS Family: Windows -> Windows 11 (64-bit) seçin.
3. Storage: VM dosyalarının şifreleneceğini (Encryption) belirten bir uyarı görebilirsiniz, onaylayın.
4. Hardware Ayarları:
   
   • Firmware: EFI olmalı (Zaten varsayılan).
   • Secure Boot: Mutlaka işaretli (Checked) olmalı.
   • Trusted Platform Module: "Add New Device" butonuna basın ve listeden "Trusted Platform Module" (vTPM) seçeneğini ekleyin. (Eğer Key Provider aktif değilse bu seçenek gri görünür).

4. Kurulum​

Windows 11 ISO dosyasını bağlayın ve VM'i başlatın. Kurulum sihirbazı donanım kontrolü yapacak, sanal TPM'i (vTPM) görecek ve hata vermeden kuruluma devam edecektir.

Önemli Notlar ve İpuçları​

• vMotion Desteği: vTPM kullandığınızda, VM dosyaları şifrelenir. Ancak Native Key Provider sayesinde bu VM'leri hostlar arasında canlı olarak taşıyabilirsiniz (vMotion).
• Yedekleme: Key Provider'ın yedeğini (.p12 dosyası) güvenli bir yerde saklayın. Eğer vCenter çökerse ve bu anahtarı kaybederseniz, şifrelenmiş VM'leri (Windows 11'leri) bir daha asla açamazsınız. Veri kaybı kesindir.

Sonuç​

VMware'in vTPM çözümü, donanımdan bağımsız bir sanallaştırma sağlar. Fiziksel sunucunuzda TPM çipi olmasa bile, sanal makinenize TPM sunabilirsiniz. Bu, Windows 11 geçişleri için kurumsal standarttır.