다음을 통해 공유


DPM 보호 에이전트 배포

System Center DPM(Data Protection Manager) 보호 에이전트는 DPM으로 백업하려는 데이터가 포함된 각 컴퓨터에 설치하는 소프트웨어입니다. 보호 에이전트 자체와 에이전트 코디네이터의 두 가지 구성 요소로 구성됩니다. 다음과 같은 작업을 수행합니다.

  • DPM이 보호하고 복구할 수 있는 데이터를 식별합니다.

  • DPM 서버에서 보호된 컴퓨터의 공유, 볼륨 및 폴더를 찾아볼 수 있습니다.

  • 보호된 각 볼륨에 대한 변경 저널을 만들고 해당 볼륨의 숨겨진 파일에 저널을 저장합니다. 변경 저널의 보호된 데이터에 대한 변경 내용을 기록하고 DPM이 주 데이터를 복제본과 동기화할 수 있도록 보호된 컴퓨터에서 DPM 서버로 저널을 전송합니다.

다음과 같이 에이전트를 설정합니다.

  • 백업하려는 데이터가 포함된 컴퓨터가 방화벽 뒤에 있는 경우 방화벽 예외설정해야 합니다.

  • 컴퓨터가 방화벽 뒤에 있지 않거나 액세스를 허용하도록 방화벽 예외를 구성한 경우 DPM 콘솔에서 에이전트를 설치할 수 있습니다.

  • 방화벽을 통해 액세스할 수 없거나 보호하려는 컴퓨터가 작업 그룹 또는 신뢰할 수 없는 도메인에 있거나 다른 설치 방법을 사용해야 하는 경우 에이전트를 수동으로 설치한 다음 에이전트를 연결할 수 있습니다.

방화벽 예외 설정

보호 에이전트가 방화벽을 통해 DPM 서버와 통신하려면 방화벽 예외가 필요합니다.

포트 80에서 TCP를 허용하도록 SQL Server의 DPM 인스턴스에 대한 sqlservr.exe 들어오는 예외를 구성합니다. 보고서 서버는 포트 80에서 HTTP 요청을 수신합니다. 다음 표에 DPM 서버와 보호된 서버 및 클라이언트 간 통신에 필요한 프로토콜과 포트가 나와 있습니다.

프로토콜 포트 세부 정보
DCOM 135/TCP
동적
DPM 제어 프로토콜은 DCOM을 사용합니다. DPM은 보호 에이전트에 대한 DCOM 호출을 실행하여 해당 에이전트로 명령을 발행합니다. 보호 에이전트는 DPM 서버에 대한 DCOM 호출을 실행하여 응답합니다.

TCP 포트 135는 DCOM에 사용되는 DCE 엔드포인트 확인 지점입니다.

기본적으로 DCOM은 TCP 포트 범위 49152에서 65535까지 동적으로 포트를 할당합니다. 그러나 구성 요소 서비스를 사용하여 이 범위를 구성할 수 있습니다.

DPM 에이전트 통신의 경우 상위 포트 49152-65535를 열어야 합니다. 포트를 열려면 다음 단계를 수행합니다.

1. IIS 7.0 관리자의 연결 창에서 트리에서 서버 수준 노드를 선택합니다.
2. 기능 목록에서 FTP 방화벽 지원 아이콘을 두 번 클릭합니다.
3. 데이터 채널 포트 범위의 값 범위를 입력합니다.
4. FTP 서비스의 포트 범위를 입력한 후 작업 창에서 적용을 선택하여 구성 설정을 저장합니다.
TCP 5718/TCP
5719/TCP
DPM 데이터 채널은 TCP에 기반합니다. DPM과 보호된 컴퓨터는 모두 연결을 시작하여 동기화 및 복구와 같은 DPM 작업을 사용하도록 설정합니다.

DPM은 포트 5718에서 에이전트 코디네이터와 통신하고 포트 5719에서 보호 에이전트와 통신합니다.
DNS 53/UDP 호스트 이름 확인을 위해 DPM과 도메인 컨트롤러 간 및 보호된 컴퓨터와 도메인 컨트롤러 간에 사용됩니다.
Kerberos 88/UDP 88/TCP DPM과 도메인 컨트롤러 간에, 그리고 연결 엔드포인트의 인증을 위해 보호된 컴퓨터와 도메인 컨트롤러 간에 사용됩니다.
LDAP 389/TCP
389/UDP
쿼리에 DPM과 도메인 컨트롤러 간에 사용됩니다.
NetBIOS 137/UDP
138/UDP
139/TCP
445/TCP
DPM과 보호된 컴퓨터 간, DPM과 도메인 컨트롤러 사이, 그리고 기타 작업을 위해 보호된 컴퓨터와 도메인 컨트롤러 간에 사용됩니다. DPM 함수의 TCP/IP에서 직접 호스트되는 SMB에 사용됩니다.

DPM 콘솔에서 에이전트 설치

  1. DPM 관리자 콘솔에서 관리>에이전트를 선택합니다. 도구 리본에서 설치를 선택하여 보호 에이전트 설치 마법사를 엽니다.

  2. 에이전트 배포 방법 선택 페이지에서 다음 에이전트 설치를>선택합니다.

  3. 컴퓨터 선택 페이지에서 DPM은 DPM 서버와 동일한 도메인에 있는 사용 가능한 컴퓨터 목록을 표시합니다. 필요한 컴퓨터를 추가합니다.

    • 마법사를 처음 사용할 때 DPM은 Active Directory를 쿼리하여 사용 가능한 컴퓨터 목록을 가져옵니다. 첫 번째 설치 후 DPM은 자동 검색 프로세스에 의해 매일 한 번씩 업데이트되는 컴퓨터 목록을 데이터베이스에 저장합니다.

    • DPM 서버가 있는 도메인과 양방향 트러스트 관계가 있는 다른 도메인에서 컴퓨터를 찾으려면 보호하려는 컴퓨터의 FQDN(정규화된 도메인 이름)을 입력해야 합니다. 예를 들어 <Computer1.Domain1.contoso.com> 여기서 Computer1은 보호하려는 컴퓨터의 이름이고 Domain1.contoso.com 대상 컴퓨터가 속한 도메인입니다.

    • 고급 단추 페이지는 컴퓨터에 설치할 수 있는 보호 에이전트 버전이 두 개 이상 있는 경우에만 사용하도록 설정됩니다. 이 옵션을 사용하여 DPM 서버를 최신 버전으로 업그레이드하기 전에 설치된 이전 버전의 보호 에이전트를 설치할 수 있습니다.

  4. 자격 증명 입력 페이지에서 선택한 모든 컴퓨터에서 로컬 관리자 그룹의 구성원인 도메인 계정의 사용자 이름과 암호를 입력합니다.

    • 도메인 상자에서 대상 컴퓨터에 보호 에이전트를 설치하는 데 사용하는 사용자 계정의 도메인 이름을 수락하거나 입력합니다. 이 계정은 DPM 서버가 있는 도메인 또는 DPM 서버가 있는 도메인과 양방향 트러스트 관계가 있는 도메인에 속할 수 있습니다.

    • 신뢰할 수 있는 도메인의 컴퓨터에 보호 에이전트를 설치하는 경우 현재 도메인 사용자 자격 증명을 입력합니다. DPM 서버가 있는 도메인과 양방향 트러스트 관계가 있는 도메인의 구성원일 수 있으며 에이전트를 설치하려는 모든 선택한 컴퓨터에서 로컬 관리자 그룹의 구성원이어야 합니다.

    • 클러스터에서 노드를 선택하면 DPM은 클러스터의 모든 추가 노드를 검색하고 클러스터 노드 선택 페이지를 표시합니다.

  5. 클러스터 노드 선택 페이지에서 클러스터의 추가 노드에 에이전트를 설치하는 데 DPM에서 사용할 옵션을 선택한 다음, 다음을 선택합니다.

  6. 다시 시작 방법 선택 페이지에서 보호 에이전트를 설치한 후 선택한 컴퓨터를 다시 시작하는 데 사용할 방법을 선택합니다. 컴퓨터를 다시 시작해야 데이터 보호를 시작할 수 있습니다. DPM 서버와 보호된 컴퓨터 간에 블록 수준 변경 내용을 추적하고 전송하는 데 사용하는 볼륨 필터를 로드하려면 다시 시작해야 합니다.

    • 나중에 컴퓨터를 다시 시작하도록 선택하면 컴퓨터가 다시 시작되면 관리 작업 영역의 에이전트 탭에서 보호 에이전트 설치 상태가 자동으로 새로 고쳐지지 않으며 새로 고침 정보를 선택해야 합니다.

    • 다른 DPM 서버에 보호 에이전트를 설치하는 경우 컴퓨터를 다시 시작할 필요가 없습니다.

    • 선택한 컴퓨터가 클러스터의 노드인 경우 클러스터된 컴퓨터를 다시 시작하는 방법을 선택하는 데 사용할 수 있는 추가 다시 시작 방법 선택 페이지가 나타납니다. 클러스터된 데이터를 성공적으로 보호하려면 클러스터의 모든 노드에 보호 에이전트를 설치해야 합니다. 컴퓨터를 다시 시작해야 데이터 보호를 시작할 수 있습니다. 서비스를 시작하는 데 시간이 필요하므로 DPM이 클러스터의 에이전트에 연결하기 전에 다시 시작한 후 몇 분 정도 걸릴 수 있습니다.

    • DPM은 MSCS(Microsoft Cluster Server) 클러스터에 속한 컴퓨터를 자동으로 다시 시작하지 않습니다. 따라서 MSCS 클러스터의 컴퓨터는 수동으로 다시 시작해야 합니다.

  7. 요약 페이지에서 설치를 선택하여 설치를 시작합니다. EULA가 나타나면 설치가 시작되도록 허용합니다. 설치 페이지의 작업 탭에서 설치가 성공했는지 확인할 수 있습니다. 마법사가 완료되기 전에 닫기를 선택하고 관리 작업 영역의 에이전트 탭에서 설치 진행률을 모니터링할 수 있습니다. 설치에 실패한 경우 모니터링 작업 영역의 경고 탭에서 경고를 확인할 수 있습니다.

참고 항목

Windows SharePoint Services 팜의 일부인 컴퓨터에 보호 에이전트를 설치한 후에는 팜의 각 컴퓨터가 관리 작업 영역의 에이전트 탭에 보호된 컴퓨터로 표시되지 않으며 선택한 컴퓨터만 표시됩니다. 그러나 Windows SharePoint Services 팜에 선택한 컴퓨터에 데이터가 있는 경우 DPM은 팜에 있는 모든 컴퓨터의 데이터를 보호합니다( 모두 보호 에이전트가 설치된 경우).

에이전트를 수동으로 설치

  1. 방화벽 뒤의 컴퓨터에 에이전트를 설치하는 경우 방화벽을 통해 에이전트를 푸시할 수 있는지 확인해야 합니다.

    예를 들어 컴퓨터에서 다음 명령을 실행하여 Windows 방화벽 을 구성할 수 있습니다. netsh advfirewall firewall add rule name="Allow DPM Remote Agent Push" dir=in action=allow service=any enable=yes profile=any remoteip=<IPAddress>, 여기서 IPAddress는 DPM 서버의 주소입니다.

    방화벽에서 포트 예외를 구성하려면 에 에이전트에 대한 방화벽 예외 구성을 참조하세요.

  2. 보호하려는 컴퓨터에서 관리자 권한 명령 프롬프트 창을 열고 다음 명령을 실행합니다.

    드라이브 문자를 할당하려면 net use Z: \<DPMServerName>\c$를 입력합니다. 여기서 Z는 할당하려는 로컬 드라이브 문자이고 <DPMServerName>은 컴퓨터를 보호할 DPM 서버의 이름입니다.

    디렉터리를 변경하려면 다음을 수행합니다.

    • 64비트 컴퓨터의 경우 cd /d< 할당 드라이브 문자>:\Program Files\Microsoft DPM\DPM\ProtectionAgents\RA\5.0을 입력합니다.< build number.0\amd64 여기서 <할당된 드라이브 문자>는 이전 단계에서 할당한 드라이브 문자이고 <빌드 번호>는 최신 DPM 빌드 번호입니다.> 예: cd /d X:\Program Files\Microsoft DPM\DPM\ProtectionAgents\RA\3.0.7696.0\amd64

    • 32비트 컴퓨터의 경우 cd /d< 할당 드라이브 문자>:\Program Files\Microsoft DPM\DPM\ProtectionAgents\RA\5.0을 입력합니다.< 빌드 번호>. 0\i386 여기서 <할당된 드라이브 문자>는 이전 단계에서 매핑한 드라이브이며< 빌드 번호>는 최신 DPM 빌드 번호입니다.

  3. 보호 에이전트를 설치하려면 관리자 권한 명령 프롬프트 창을 열고 다음 명령 중 하나를 실행합니다.

    • 64비트 컴퓨터의 경우 DpmAgentInstaller_x64.exe< DPMServerName>을 입력합니다. 여기서 <DPMServerName>은 DPM 서버의 FQDN(정규화된 도메인 이름)입니다. 예: DPMAgentInstaller_x64.exe DPMserver1.contoso.com

    • 32비트 컴퓨터의 경우 DpmAgentInstaller_x86.exe< DPMServerName>을 입력합니다. 여기서 <DPMServerName>은 DPM 서버의 FQDN(정규화된 도메인 이름)입니다.

    참고 항목

    • 자동 설치를 수행하려면 DpmAgentInstaller_x64.exe 명령 뒤의 /q 옵션을 사용할 수 있습니다. 예: DpmAgentInstaller_x64.exe /q <DPMServerName>
    • 자동 설치에서 EULA를 수동으로 허용하려면 DpmAgentInstaller_x64.exe /q <DPMServerName> /IAcceptEULA를 사용합니다.
    • 명령줄에서 DPM 서버 이름을 지정하는 경우 보호 에이전트를 설치하고 에이전트가 지정된 DPM 서버와 통신하는 데 필요한 보안 계정, 권한 및 방화벽 예외를 자동으로 구성합니다. 서버 이름을 지정하지 않은 경우 대상 컴퓨터에서 관리자 권한 명령 프롬프트를 열고 다음을 수행합니다.
      1. 디렉터리 유형을 변경하려면 cd /d <시스템 드라이브>:\Program Files\Microsoft Data Protection Manager\DPM\bin
      2. 형식: SetDpmServer.exe -dpmServerName< DPMServerName>. 이렇게 하면 에이전트가 서버와 통신할 수 있도록 보안 계정, 권한 및 방화벽 예외가 구성됩니다.
  4. 에이전트를 설치하기 전에 DPM 서버에 컴퓨터를 추가한 경우 서버가 보호된 컴퓨터의 백업을 만들기 시작합니다. DPM 서버에 컴퓨터를 추가하기 전에 에이전트를 설치한 경우 DPM 서버가 백업을 만들기 시작하기 전에 컴퓨터를 연결해야 합니다.

RODC에 보호 에이전트 설치

다음 단계를 사용하세요.

  1. 에이전트를 설치하기 전에 RODC에서 방화벽을 끄거나 RODC에서 다음 명령을 실행합니다.

    • netsh advfirewall firewall set rule group="@FirewallAPI.dll,-29502" new enable=yes

    • netsh advfirewall firewall set rule group="@FirewallAPI.dll,-34251" new enable=yes

    • netsh advfirewall firewall add rule name=dpmra dir=in program="%PROGRAMFILES%\Microsoft Data Protection Manager\DPM\bin\DPMRA.exe" profile=Any action=allow

    • netsh advfirewall firewall add rule name=DPMRA_DCOM_135 dir=in action=allow protocol=TCP localport=135 profile=Any

  2. 기본 도메인 컨트롤러에서 다음 보안 그룹을 만들고 채웁니다(보호된 서버 이름은 보호 에이전트를 설치하려는 RODC의 이름임).

    • DPMRADCOMTRUSTEDMACHINES$PSNAME이라는 보안 그룹을 만든 다음, DPM 서버 컴퓨터 계정을 멤버로 추가합니다.

    • DPMRADMTRUSTEDMACHINES$PSNAME이라는 보안 그룹을 만든 다음, DPM 서버 컴퓨터 계정을 멤버로 추가합니다.

    • DPMRATRUSTEDDPMRAS$PSNAME이라는 보안 그룹을 만든 다음, DPM 서버 컴퓨터 계정을 멤버로 추가합니다.

    • DPM 서버 컴퓨터 계정을 Builtin\Distributed Com Users 보안 그룹의 구성원으로 추가합니다.

  3. 이전에 만든 보안 그룹이 RODC에서 복제되었는지 확인합니다. RODC에 보호 에이전트를 수동으로 설치합니다.

  4. RODC 서버에서 다음 단계에 따라 DPMRA 서비스의 시작 및 활성화 권한을 부여합니다.

    1. DPM 관리 셸을 열고 명령 dcomcnfg.exe 실행합니다.

      구성 요소 서비스 창이 열립니다.

    2. 구성 요소 서비스 창에서 컴퓨터를 확장하고, 내 컴퓨터를 확장하고, DCOM 구성을 확장하고, DPM RA 서비스를 마우스 오른쪽 단추로 클릭한다음, 속성을 선택합니다.

    3. 일반을 선택한 다음 인증 수준을 기본값으로 설정합니다.

    4. 위치를 선택한 다음, 이 컴퓨터에서 애플리케이션 실행만 선택되어 있는지 확인합니다.

    5. 보안을 선택하고, 시작 및 활성화 권한 아래에서 사용자 지정을 선택하고, 사용자 지정을 선택한 다음, 편집을 선택하여 시작 권한 대화 상자를 엽니다.

    6. 시작 권한 대화 상자에서 DPM 서버 컴퓨터 계정에 대한 로컬 시작, 원격 실행, 로컬 정품 인증 및 원격 정품 인증에 대한 권한을 할당합니다.

    7. 확인을 선택하여 대화 상자를 닫습니다.

    8. DPM 서버에서 Program Files\Microsoft System Center\DPM\DPM\setup으로 이동하여 다음 파일을 RODC 서버에 있는 폴더로 복사합니다.

      • setagentcfg.exe

      • traceprovider.dll

      • LKRhDPM.dll

  5. RODC의 관리자 권한 명령 프롬프트에서, 앞의 단계에서 지정한 위치에서 setagentcfg.exe a DPMRA domain\DPMserver 명령을 실행합니다.

  6. RODC 서버에서 C:\Program Files\Microsoft Data Protection Manager\DPM\bin 폴더로 이동한 다음 setdpmserver 명령을 실행합니다.

    Setdpmserver -dpmservername DPMSERVER

  7. 다음 섹션에 설명된 대로 DPM 서버에 보호 에이전트 를 연결합니다.

에이전트 연결

DPM 에이전트를 수동으로 설치한 후에는 DPM 서버에 에이전트를 연결해야 합니다.

  1. DPM 관리자 콘솔의 탐색 모음에서 관리>에이전트를 선택합니다. 작업 창에서 설치를 선택합니다.

  2. 에이전트 배포 방법 선택 페이지에서 다음으로 신뢰할 수 있는 도메인>에서 에이전트>컴퓨터 연결을 선택합니다. 보호 에이전트 설치 마법사가 열립니다.

  3. 컴퓨터 선택 페이지에서 DPM은 DPM 서버와 동일한 도메인에 사용 가능한 컴퓨터 목록을 표시합니다. 컴퓨터 이름 목록에서 >다음 추가> 목록에서 하나 이상의 컴퓨터(최대 50대)를 선택합니다.

    • 마법사를 처음 사용한 경우 DPM은 Active Directory를 쿼리하여 잠재적인 컴퓨터 목록을 가져옵니다. 처음 설치한 후 DPM은 데이터베이스의 컴퓨터 목록을 표시합니다. 이 목록은 자동 검색 프로세스를 통해 매일 한 번씩 업데이트됩니다.

    • 텍스트 파일을 사용하여 여러 컴퓨터를 추가하려면 [파일에서 추가] 단추를 선택하고 [파일에서 추가] 대화 상자에서 텍스트 파일의 위치를 입력하거나 [찾아보기]를 선택하여 해당 위치로 이동합니다.

  4. 자격 증명 입력 페이지에서 선택한 모든 컴퓨터에서 로컬 관리자 그룹의 구성원인 도메인 계정의 사용자 이름과 암호를 입력합니다. 도메인 상자에서 대상 컴퓨터에 보호 에이전트를 설치하는 데 사용하는 사용자 계정의 도메인 이름을 수락하거나 입력합니다. 이 계정은 DPM 서버가 있는 도메인이나 신뢰할 수 있는 도메인에 속할 수 있습니다. 신뢰할 수 있는 도메인의 컴퓨터에 보호 에이전트를 설치하는 경우 현재 도메인 사용자 자격 증명을 입력합니다. 신뢰할 수 있는 도메인 중 어떤 도메인의 구성원이어도 되지만, 보호하도록 선택한 모든 컴퓨터에서 로컬 관리자 그룹의 구성원이어야 합니다.

  5. 요약 페이지에서 연결을 선택합니다.