백업에 대해 작업 그룹 및 트러스트되지 않은 도메인의 컴퓨터 준비

  • 아티클

중요

이 버전의 DPM(Data Protection Manager)은 지원이 종료되었습니다. DPM 2022로 업그레이드하는 것이 좋습니다.

System Center DPM(Data Protection Manager)은 신뢰할 수 없는 도메인 또는 작업 그룹에 있는 컴퓨터를 보호할 수 있습니다. 로컬 사용자 계정(NTLM 인증) 또는 인증서를 사용하여 이러한 컴퓨터를 인증할 수 있습니다. 백업할 소스를 포함하는 보호 그룹을 설정하려면 먼저 두 유형의 인증 모두에 대해 인프라를 준비해야 합니다.

  1. 인증서 설치 - 인증서 인증을 사용하려면 DPM 서버와 보호하려는 컴퓨터에 인증서를 설치합니다.

  2. 에이전트 설치 - 보호하려는 컴퓨터에 에이전트를 설치합니다.

  3. DPM 서버 인식 - 백업을 수행하기 위해 DPM 서버를 인식하도록 컴퓨터를 구성합니다. 그러려면 SetDPMServer 명령을 실행합니다.

  4. 컴퓨터 연결 - 마지막으로 보호된 컴퓨터를 DPM 서버에 연결해야 합니다.

시작하기 전에

시작하기 전에 지원되는 보호 시나리오와 필요한 네트워크 설정을 확인합니다.

지원되는 시나리오

워크로드 유형 보호된 서버 상태 및 지원
파일 작업 그룹: 지원됨

신뢰할 수 없는 도메인: 지원됨

단일 서버에 대한 NTLM 및 인증서 인증. 클러스터의 경우는 인증서 인증만 지원.
시스템 상태 작업 그룹: 지원됨

신뢰할 수 없는 도메인: 지원됨

NTLM 인증만
SQL Server 작업 그룹: 지원됨

신뢰할 수 없는 도메인: 지원됨

미러링은 지원되지 않습니다.

단일 서버에 대한 NTLM 및 인증서 인증. 클러스터의 경우는 인증서 인증만 지원.
Hyper-V 서버 작업 그룹: 지원됨

신뢰할 수 없는 도메인: 지원됨

NTLM 및 인증서 인증
Hyper-V 클러스터 작업 그룹: 지원되지 않음

신뢰할 수 없는 도메인: 지원됨(인증서 인증에만 해당)
Exchange Server 작업 그룹: 해당 없음

신뢰할 수 없는 도메인: 단일 서버에만 지원됩니다. 클러스터는 지원되지 않습니다. CCR, SCR, DAG는 지원되지 않습니다. LCR은 지원됩니다.

NTLM 인증만
보조 DPM 서버(주 DPM 서버의 백업용)

기본 및 보조 DPM 서버는 모두 동일하거나 양방향 포리스트 전이적 트러스트된 도메인에 있습니다.		 작업 그룹: 지원됨

신뢰할 수 없는 도메인: 지원됨

인증서 인증만
SharePoint 작업 그룹: 지원되지 않음

신뢰할 수 없는 도메인: 지원되지 않음
클라이언트 컴퓨터 작업 그룹: 지원되지 않음

신뢰할 수 없는 도메인: 지원되지 않음
완전 복구(BMR) 작업 그룹: 지원되지 않음

신뢰할 수 없는 도메인: 지원되지 않음
End-user recovery 작업 그룹: 지원되지 않음

신뢰할 수 없는 도메인: 지원되지 않음

네트워크 설정

설정 작업 그룹 또는 신뢰할 수 없는 도메인의 컴퓨터
컨트롤 데이터 프로토콜: DCOM

기본 포트: 135

인증: NTLM/인증서
파일 전송 프로토콜: Winsock

기본 포트: 5718 및 5719

인증: NTLM/인증서
DPM 계정 요구 사항 DPM 서버에서 관리 권한이 없는 로컬 계정. NTLM v2 통신 사용
인증서 요구 사항
에이전트 설치 보호된 컴퓨터에 설치된 에이전트
경계 네트워크 경계 네트워크 보호는 지원되지 않습니다.
IPSEC IPSEC가 통신을 차단하지 않는지 확인합니다.

NTLM 인증을 사용하여 백업

수행해야 할 작업은 다음과 같습니다.

  1. 에이전트 설치 - 보호할 컴퓨터에 에이전트를 설치합니다.

  2. 에이전트 구성 - 백업을 실행할 때 DPM 서버를 인식하도록 컴퓨터를 구성합니다. 그러려면 SetDPMServer 명령을 실행합니다.

  3. 컴퓨터 연결 - 마지막으로 보호된 컴퓨터를 DPM 서버에 연결해야 합니다.

에이전트 설치 및 구성

  1. 에이전트를 설치하려면 보호할 컴퓨터에서 DPM 설치 CD의 DPMAgentInstaller_X64.exe를 실행합니다.

  2. 다음과 같이 SetDpmServer를 실행하여 에이전트를 구성합니다.

    SetDpmServer.exe -dpmServerName <serverName> -isNonDomainServer -userName <userName> [-productionServerDnsSuffix <DnsSuffix>]

  3. 매개 변수를 다음과 같이 지정합니다.

    • -DpmServerName - DPM 서버의 이름을 지정합니다. FQDN 또는 NETBIOS 이름을 사용하여 서버와 컴퓨터에 서로 액세스할 수 있는 경우 FQDN을 사용합니다.

    • -IsNonDomainServer - 보호하려는 컴퓨터와 관련하여 서버가 작업 그룹 또는 신뢰할 수 없는 도메인에 있음을 나타내는 데 사용합니다. 필요한 포트에 대한 방화벽 예외가 생성됩니다.

    • -UserName - NTLM 인증에 사용할 계정의 이름을 지정합니다. 이 옵션을 사용하려면 -isNonDomainServer 플래그가 지정되어 있어야 합니다. 로컬 사용자 계정이 생기며, 인증에 이 계정을 사용하도록 DPM 보호 에이전트가 구성됩니다.

    • -ProductionServerDnsSuffix - 서버에 여러 DNS 접미사가 구성된 경우 이 스위치를 사용합니다. 이 스위치는 서버에서 보호할 컴퓨터에 연결하는 데 사용하는 DNS 접미사를 나타냅니다.

  4. 명령이 성공적으로 완료되면 DPM 콘솔을 엽니다.

암호 업데이트

언제든 NTLM 자격 증명의 암호를 업데이트하려는 경우 보호된 컴퓨터에서 다음을 실행합니다.

SetDpmServer.exe -dpmServerName <serverName> -isNonDomainServer -updatePassword

보호를 구성할 때 사용한 것과 동일한 명명 규칙(FQDN 또는 NETBIOS)을 사용해야 합니다. DPM 서버에서 Update -NonDomainServerInfo PowerShell cmdlet을 실행해야 합니다. 그 다음 보호된 컴퓨터의 에이전트 정보를 새로 고쳐야 합니다.

NetBIOS 예: 보호된 컴퓨터: SetDpmServer.exe -dpmServerName Server01 -isNonDomainServer -UpdatePassword DPM 서버: Update-NonDomainServerInfo -PSName Finance01 -dpmServerName Server01

FQDN 예: 보호된 컴퓨터: SetDpmServer.exe -dpmServerName Server01.corp.contoso.com -isNonDomainServer -UpdatePassword DPM 서버: Update-NonDomainServerInfo -PSName Finance01.worlwideimporters.com -dpmServerName Server01.contoso.com

컴퓨터 연결

  1. DPM 콘솔에서 보호 에이전트 설치 마법사를 실행합니다.

  2. 에이전트 배포 방법 선택에서 에이전트 연결을 선택합니다.

  3. 연결할 컴퓨터의 컴퓨터 이름, 사용자 이름 및 암호를 입력합니다. 에이전트를 설치할 때 지정한 자격 증명과 동일해야 합니다.

  4. 요약 페이지를 검토하고 연결을 선택합니다.

필요에 따라 마법사를 실행하는 대신 Windows PowerShell Attach-NonDomainServer.ps1 명령을 실행할 수 있습니다. 방법은 다음 섹션의 예제를 참조하세요.

예제

예 1

에이전트를 설치한 후 작업 그룹 컴퓨터를 구성하는 예제:

  1. 컴퓨터에서 SetDpmServer.exe -DpmServerName Server01 -isNonDomainServer -UserName mark를 실행합니다.

  2. DPM 서버에서 Attach-NonDomainServer.ps1 -DpmServername Server01 -PSName Finance01 -Username mark를 실행합니다.

작업 그룹 컴퓨터는 일반적으로 NetBIOS 이름을 사용해서만 액세스할 수 있으므로, DPMServerName 의 값이 NetBIOS 이름이어야 합니다.

예 2

에이전트를 설치한 후 NetBIOS 이름이 충돌되는 작업 그룹 컴퓨터를 구성하는 예입니다.

  1. 작업 그룹 컴퓨터에서 SetDpmServer.exe -dpmServerName Server01.corp.contoso.com -isNonDomainServer -userName mark -productionServerDnsSuffix widgets.corp.com을 실행합니다.

  2. DPM 서버에서 Attach-NonDomainServer.ps1 -DPMServername Server01.corp.contoso.com -PSName Finance01.widgets.corp.com -Username mark를 실행합니다.

인증서 인증을 사용하여 백업

인증서 인증으로 보호를 설정하는 방법은 다음과 같습니다.

  • 보호하려는 각 컴퓨터에 .NET Framework 3.5 SP1 이상이 설치되어 있어야 합니다.

  • 인증에 사용하는 인증서는 다음을 준수해야 합니다.

    • X.509 V3 인증서.

    • EKU(확장된 키 사용)는 클라이언트 인증 및 서버 인증이 있어야 합니다.

    • 키 길이는 1024비트 이상이어야 합니다.

    • 키 유형은 exchange여야 합니다.

    • 인증서 및 루트 인증서의 주체 이름은 비어 있지 않아야 합니다.

    • 연결된 인증 기관의 해지 서버가 온라인 상태이고 보호된 서버와 DPM 서버에서 액세스할 수 있어야 합니다.

    • 인증서에 연결된 프라이빗 키가 있어야 합니다.

    • DPM은 CNG 키를 사용하는 인증서를 지원하지 않습니다.

    • DPM은 자체 서명된 인증서를 지원하지 않습니다.

  • 보호하려는 각 컴퓨터(가상 컴퓨터 포함)에는 자체 인증서가 있어야 합니다.

보호 설정

  1. DPM 인증서 템플릿 만들기

  2. DPM 서버에서 인증서 구성

  3. 에이전트 설치

  4. 보호된 컴퓨터에 인증서 구성

  5. 컴퓨터 연결

DPM 인증서 템플릿 만들기

필요에 따라 웹 등록을 위한 DPM 템플릿을 설정할 수 있습니다. 이를 원하지 않는 경우 목적에 따라 클라이언트 인증 및 서버 인증을 가진 템플릿을 선택합니다. 예를 들면 다음과 같습니다.

  1. 인증서 템플릿 MMC 스냅인에서 RAS 및 IAS 서버 템플릿을 선택할 수 있습니다. 이를 마우스 오른쪽 단추로 클릭하고 템플릿 복제를 선택합니다.

  2. 템플릿 복제에서 기본 설정인 Windows Server 2003 Enterprise를 유지합니다.

  3. 일반 탭에서 템플릿 표시 이름을 알아볼 수 있는 다른 이름으로 변경합니다. 예를 들어 DPM 인증입니다. Active Directory에서 인증서 게시 설정이 사용하도록 설정되어 있는지 확인합니다.

  4. 요청 처리 탭에서 프라이빗 키를 내보낼 수 있도록 허용이 사용하도록 설정되어 있는지 확인합니다.

  5. 템플릿을 만든 후 사용할 수 있도록 합니다. 인증 기관 스냅인을 엽니다. 인증서 템플릿을 마우스 오른쪽 단추로 클릭한 다음 새로 만들기를 선택하고 발급할 인증서 템플릿을 선택합니다. 인증서 템플릿 사용에서 템플릿을 선택하고 확인을 선택합니다. 이제 인증서를 받을 때 템플릿을 사용할 수 있습니다.

등록 또는 자동 등록을 사용하도록 설정

필요에 따라 등록 또는 자동 등록을 위해 템플릿을 구성하려면 템플릿 속성에서 주체 이름 탭을 선택합니다. 등록을 구성할 때 MMC에서 템플릿을 선택할 수 있습니다. 자동 등록을 구성하는 경우 인증서는 도메인의 모든 컴퓨터에 자동으로 할당됩니다.

  • 등록의 경우 템플릿 속성의 주체 이름 탭에서 이 Active Directory 정보로 빌드 선택을 사용하도록 설정합니다. 주체 이름 형식에서 일반 이름을 선택하고 DNS 이름을 사용하도록 설정합니다. 그런 다음 보안 탭으로 이동하여 인증된 사용자에게 등록 권한을 할당합니다.

  • 자동 등록의 경우 보안 탭으로 이동하여 인증된 사용자에게 자동 등록 권한을 할당합니다. 이 설정을 사용하도록 설정하면 인증서가 도메인의 모든 컴퓨터에 자동으로 할당됩니다.

  • 등록을 구성한 경우 템플릿을 기반으로 MMC에서 새 인증서를 요청할 수 있습니다. 이렇게 하려면 보호된 컴퓨터의 인증서(로컬 컴퓨터)>개인에서 인증서. Select 모든 작업>새 인증서 요청. 마법사의 인증서 등록 정책 선택 페이지에서 Active Directory 등록 정책을 선택합니다. 인증서 요청에서 템플릿이 표시됩니다. 세부 정보를 확장하고 속성을 선택합니다. 일반 탭을 선택하고 친숙한 이름을 입력합니다. 설정을 적용한 후 인증서가 성공적으로 설치되었다는 메시지가 표시됩니다.

Configure a certificate on the DPM server

  1. 웹 등록 또는 다른 방법을 통해 DPM 서버에 대한 CA에서 인증서를 생성합니다. 웹 등록에서 필요한 고급 인증서 를 선택하고 이 CA에 요청을 만들고 제출합니다. 키 크기가 1024 이상이고 키를 내보낼 수 있는 것으로 표시 가 선택되어 있는지 확인합니다.

  2. 인증서는 사용자 저장소에 배치됩니다. 로컬 컴퓨터 저장소로 이동해야 합니다.

  3. 이를 위해 사용자 저장소에서 인증서를 내보냅니다. 프라이빗 키를 사용하여 내보내도록 합니다. 기본 .pfx 형식으로 내보낼 수 있습니다. 내보내기에 대한 암호를 지정합니다.

  4. 로컬 컴퓨터\Personal\Certificate에서 인증서 가져오기 마법사를 실행하여 저장된 위치에서 내보낸 파일을 가져옵니다. 내보낼 때 사용한 암호를 지정하고 이 키를 내보낼 수 있는 것으로 표시 가 선택되었는지 확인합니다. 인증서 저장소 페이지에서 기본 설정을 그대로 두고 모든 인증서를 다음 저장소에 배치 하고 개인 이 표시되는지 확인합니다.

  5. 가져온 후 다음과 같이 인증서를 사용하도록 DPM 자격 증명을 설정합니다.

    1. 인증서의 지문을 가져옵니다. 인증서 저장소에서 인증서 를 두 번 클릭합니다. 세부 정보 탭을 선택하고 지문까지 아래로 스크롤합니다. 선택한 다음 강조 표시하고 복사합니다. 지문을 메모장에 붙여넣고 모든 공백을 제거합니다.

    2. 다음과 같이 Set-DPMCredentials를 실행하여 DPM 서버를 구성합니다.

      Set-DPMCredentials [-DPMServerName <String>] [-Type <AuthenticationType>] [Action <Action>] [-OutputFilePath <String>] [-Thumbprint <String>] [-AuthCAThumbprint <String>]

    • -Type - 인증 유형을 나타냅니다. 값: certificate

    • -Action - 처음으로 명령을 수행할지 아니면 자격 증명을 다시 생성할지 여부를 지정합니다. 가능한 값: regenerate 또는 configure

    • -OutputFilePath - 보호된 컴퓨터의 Set-DPMServer 사용되는 출력 파일의 위치입니다.

    • -지문 - 메모장 파일에서 복사합니다.

    • -AuthCAThumbprint - 인증서의 신뢰 체인에 있는 CA의 지문입니다. 선택 사항입니다. 지정하지 않으면 Root가 사용됩니다.

  6. 이는 신뢰할 수 없는 도메인에 각 에이전트 설치 시 필요한 메타 데이터 파일(.bin)를 생성합니다. 명령을 실행하기 전에 C:\Temp 폴더가 있는지 확인합니다.

    참고

    파일이 손실되거나 삭제된 경우 -action regenerate 옵션을 사용하여 스크립트를 실행하여 파일을 다시 만들 수 있습니다.

  7. .Bin 파일을 가져와 보호하려는 컴퓨터의 C:\Program Files\Microsoft Data Protection Manager\DPM\bin 폴더에 복사합니다. 이 작업은 수행할 필요가 없지만 하지 않을 경우 다음의 경우 –DPMcredential 매개 변수에 대한 파일의 전체 경로를 지정해야 합니다.

  8. 작업 그룹 또는 트러스트되지 않은 도메인에 있는 컴퓨터를 보호하는 모든 DPM 서버에서 이러한 단계를 반복합니다.

에이전트 설치

  1. 보호하려는 각 컴퓨터에서 DPM 설치 CD의 DPMAgentInstaller_X64.exe를 실행하여 에이전트를 설치합니다.

보호된 컴퓨터에 인증서 구성

  1. 웹 등록 또는 다른 방법을 통해 CA에서 보호된 컴퓨터에 대한 인증서를 생성합니다. 웹 등록에서 필요한 고급 인증서 를 선택하고 이 CA에 요청을 만들고 제출합니다. 키 크기가 1024 이상이고 키를 내보낼 수 있는 것으로 표시 가 선택되어 있는지 확인합니다.

  2. 인증서는 사용자 저장소에 배치됩니다. 로컬 컴퓨터 저장소로 이동해야 합니다.

  3. 이를 위해 사용자 저장소에서 인증서를 내보냅니다. 프라이빗 키를 사용하여 내보내는지 확인합니다. 기본 .pfx 형식으로 내보낼 수 있습니다. 내보내기에 대한 암호를 지정합니다.

  4. 로컬 컴퓨터\Personal\Certificate에서 인증서 가져오기 마법사를 실행하여 저장된 위치에서 내보낸 파일을 가져옵니다. 내보낼 때 사용한 암호를 지정하고 이 키를 내보낼 수 있는 것으로 표시 를 선택했는지 확인합니다. 인증서 저장소 페이지에서 기본 설정 인 모든 인증서를 다음 저장소에 두고개인 이 표시되는지 확인합니다.

  5. 가져온 후 다음과 같이 백업을 수행할 권한이 있는 DPM 서버를 인식하도록 컴퓨터를 구성합니다.

    1. 인증서의 지문을 가져옵니다. 인증서 저장소에서 인증서 를 두 번 클릭합니다. 세부 정보 탭을 선택하고 지문까지 아래로 스크롤합니다. 이를 선택하고 강조 표시하고 복사합니다. 지문을 메모장에 붙여넣고 모든 공백을 제거합니다.

    2. C:\Program files\Microsoft Data Protection Manager\DPM\bin 폴더로 이동하고 다음과 같이 setdpmserver 를 실행합니다.

      setdpmserver -dpmCredential CertificateConfiguration_DPM01.contoso.com.bin -OutputFilePath c:\Temp -Thumbprint <ClientThumbprintWithNoSpaces

      여기서 ClientThumbprintWithNoSpaces는 메모장 파일에서 복사됩니다.

    3. 구성이 성공적으로 완료되었는지 확인하려면 출력을 가져와야 합니다.

  6. .bin 파일을 가져와 DPM 서버에 복사합니다. 첨부 명령을 실행할 때 전체 경로 대신 파일 이름을 지정할 수 있도록 파일(Windows\System32)에 대해 연결 프로세스가 검사 기본 위치에 복사하는 것이 좋습니다.

컴퓨터 연결

다음 구문을 통해 Attach-ProductionServerWithCertificate.ps1 PowerShell 스크립트를 사용하여 DPM 서버에 컴퓨터를 연결합니다.

Attach-ProductionServerWithCertificate.ps1 [-DPMServerName <String>] [-PSCredential <String>] [<CommonParameters>]

  • -DPMServerName - DPM 서버의 이름

  • -PSCredential - .bin 파일의 이름입니다. Windows\System32 폴더에 배치한 경우 파일 이름만 지정할 수 있습니다. 보호된 서버에서 만든 .bin 파일을 지정해야 합니다. DPM 서버에서 만든 .bin 파일을 지정하는 경우 인증서 기반 인증을 위해 구성된 보호된 컴퓨터를 모두 제거합니다.

연결 프로세스가 완료되면 보호된 컴퓨터가 DPM 콘솔에 표시됩니다.

예제

예 1

CertificateConfiguration\_<DPM SERVER FQDN>.bin 이름으로 c:\\CertMetaData\\에 파일 생성

Set-DPMCredentials -DPMServerName dpmserver.contoso.com -Type Certificate -Action Configure -OutputFilePath c:\CertMetaData\ -Thumbprint "cf822d9ba1c801ef40d4b31de0cfcb200a8a2496"

여기서 dpmserver.contoso.com DPM 서버의 이름이고 "cf822d9ba1c801ef40d4b31de0cfcb200a8a2496"은 DPM 서버 인증서의 지문입니다.

예 2

손실된 구성 파일을 c:\CertMetaData\에 다시 생성합니다.

Set-DPMCredentials -DPMServerName dpmserver.contoso.com -Type Certificate "-OutputFilePath c:\CertMetaData\ -Action Regenerate

NTLM과 인증서 인증 간 전환

참고

  • 다음 클러스터형 워크로드는 신뢰할 수 없는 도메인에 배포된 경우에만 인증서 인증을 지원합니다.
    • 클러스터된 파일 서버
    • 클러스터된 SQL Server
    • Hyper-V 클러스터
  • DPM 에이전트가 현재 클러스터에서 NTLM을 사용하도록 구성되었거나 원래 NTLM을 사용하도록 구성되었지만 나중에 DPM 에이전트를 먼저 제거하지 않고 인증서 인증으로 전환된 경우 클러스터의 열거형에는 보호할 리소스가 표시되지 않습니다.

NTLM 인증에서 인증서 인증으로 전환하려면 다음 단계를 사용하여 DPM 에이전트를 다시 구성합니다.

  1. DPM 서버에서 Remove-ProductionServer.ps1 PowerShell 스크립트를 사용하여 클러스터의 모든 노드를 제거합니다.
  2. 모든 노드에서 DPM 에이전트를 제거하고 C:\Program Files\Microsoft Data Protection Manager에서 에이전트 폴더를 삭제합니다.
  3. 인증서 인증을 사용하여 백업의 단계를 수행합니다.
  4. 에이전트가 배포되고 인증서 인증을 위해 구성되면 에이전트 새로 고침이 작동하는지 확인하고 각 노드에 대해 (신뢰할 수 없음 - 인증서)를 올바르게 표시합니다.
  5. 노드/클러스터를 새로 고쳐 보호할 데이터 원본 목록을 가져옵니다. 클러스터된 리소스 보호를 다시 시도합니다.
  6. 보호 그룹 마법사를 보호하고 완료하는 워크로드를 추가합니다.