다음을 통해 공유


DPM 서버 배포 준비

System Center DPM(Data Protection Manager) 서버 배포를 시작하기 전에 고려해야 할 몇 가지 계획 단계가 있습니다.

DPM 서버 배포 계획

먼저 필요한 서버 수를 결정합니다.

  • DPM은 최대 600개의 볼륨을 보호할 수 있습니다. 이 최대 크기를 보호하려면 DPM 서버당 120TB가 필요합니다.

  • 단일 DPM 서버는 최대 2,000개의 데이터베이스(권장 디스크 크기 80TB)를 보호할 수 있습니다.

  • 단일 DPM 서버는 최대 3,000대 클라이언트 컴퓨터와 100대 서버를 보호할 수 있습니다.

    • DPM 서버 용량 계획의 경우 DPM 스토리지 계산기를 사용할 수 있습니다. 이러한 계산기는 Excel 시트이며 워크로드에 따라 다릅니다. 필요한 DPM 서버 수, 프로세서 코어, RAM, 가상 메모리 권장 사항 및 필요한 스토리지 용량을 안내합니다. 이러한 계산기는 워크로드에 따라 달라지므로 권장 설정을 결합하여 시스템 요구 사항 및 데이터 원본 및 스토리지 위치, 규정 준수 및 SLA 요구 사항, 재해 복구 요구 사항을 비롯한 특정 비즈니스 토폴로지 및 요구 사항과 함께 고려해야 합니다. 계산기는 DPM 2010용으로 릴리스되었지만 이후 DPM 버전과는 관련이 있습니다.

그런 다음 서버를 찾는 방법을 알아봅니다.

  • DPM은 Active Directory 도메인(Windows Server 2008 이상)에 배포해야 합니다.

  • DPM 서버를 찾을 위치를 결정할 때 DPM 서버와 보호된 컴퓨터 간의 네트워크 대역폭을 고려합니다. WAN(광역 네트워크)을 통해 데이터를 보호하는 경우 512Kbps(초당 킬로비트)의 최소 네트워크 대역폭이 필요합니다.

  • DPM은 팀형 NIC(네트워크 어댑터)를 지원합니다. 그룹화된 NIC는 운영 체제에서 단일 어댑터로 처리하도록 구성된 여러 실제 어댑터입니다. 팀 NIC는 사용 가능한 대역폭을 결합하여 각 어댑터를 사용하고 어댑터가 실패할 때 나머지 어댑터로 장애 조치(failover)를 수행하여 향상된 대역폭을 제공합니다. DPM은 DPM 서버에서 팀 어댑터를 사용하여 달성된 증가된 대역폭을 사용할 수 있습니다.

  • DPM 서버의 위치에 대한 또 다른 고려 사항은 라이브러리에 새 테이프를 추가하거나 오프사이트 보관용 테이프를 제거하는 등 테이프 및 테이프 라이브러리를 수동으로 관리해야 한다는 점입니다.

  • DPM 서버는 DPM 서버가 있는 도메인과 양방향 트러스트 관계가 있는 포리스트 내 또는 도메인 내에서 리소스를 보호할 수 있습니다. 도메인 간에 양방향 트러스트가 없는 경우 각 도메인에 대해 별도의 DPM 서버가 필요합니다. 포리스트 간에 포리스트 수준 양방향 트러스트가 있는 경우 DPM 서버는 포리스트 간에 데이터를 보호할 수 있습니다.

  • DPM 서버와 보호된 컴퓨터 사이의 네트워크 대역폭을 고려하십시오. WAN을 통해 데이터를 보호하는 경우 최소 네트워크 대역폭 요구 사항은 512Kbps입니다. DPM은 각 네트워크 어댑터에 사용할 수 있는 대역폭과 어댑터가 실패할 경우 장애 조치(failover)를 결합하여 향상된 대역폭을 제공하는 팀 NIC를 지원합니다.

방화벽 설정 및 사용자 권한 계획

방화벽 설정

DPM 배포에 대한 방화벽 설정은 DPM 서버, 보호하려는 컴퓨터 및 원격으로 실행하는 경우 DPM 데이터베이스에 사용되는 SQL Server에 필요합니다. DPM을 설치할 때 Windows 방화벽을 사용하는 경우 DPM 설정은 DPM 서버에서 방화벽 설정을 자동으로 구성합니다. 방화벽 설정은 다음 표에 요약되어 있습니다.

위치 규칙 세부 정보 프로토콜 포트
DPM 서버 System Center <버전> Data Protection Manager DCOM 설정 DPM 서버와 보호된 컴퓨터 간의 DCOM 통신에 사용됩니다. DCOM 135/TCP 동적
DPM 서버 System Center <버전> Data Protection Manager Msdpm.exe(DPM 서비스)에 대한 예외 DPM 서버에서 실행됩니다. 모든 프로토콜 모든 포트
DPM 서버

보호된 컴퓨터
System Center <버전> Data Protection Management 복제 에이전트 Dpmra.exe(데이터를 백업 및 복원하는 데 사용되는 보호 에이전트 서비스)에 대한 예외입니다. DPM 서버 및 보호된 컴퓨터에서 실행됩니다. 모든 프로토콜 모든 포트
보호된 컴퓨터 sqserv.exe 들어오는 예외 구성
보호된 컴퓨터 DPM은 에이전트에 대한 DCOM 호출을 사용하여 보호 에이전트에 명령을 실행합니다. DPM이 통신하려면 위쪽 포트(1024-65535)를 열어야 합니다. DCOM 135/TCP 동적
보호된 컴퓨터 DPM 데이터 채널은 TCP입니다. DPM 서버와 보호된 컴퓨터 모두 연결을 시작합니다. DPM은 포트 5718에서 에이전트 코디네이터와 통신하고 포트 5719에서 보호 에이전트와 통신합니다. TCP 5718/TCP

5719/TCP
보호된 컴퓨터 DPM/보호된 컴퓨터와 도메인 컨트롤러 간의 호스트 이름 확인에 사용됩니다. DNS 53/UDP
보호된 컴퓨터 DPM/보호된 컴퓨터와 도메인 컨트롤러 간의 연결 엔드포인트 인증에 사용됩니다. Kerberos 88/UDP

88/TCP
보호된 컴퓨터 DPM 서버와 도메인 컨트롤러 간의 쿼리에 사용됩니다. LDAP 389/TCP

389/UDP
보호된 컴퓨터 1) DPM과 보호된 컴퓨터, 2) DPM 및 도메인 컨트롤러 3) 보호된 컴퓨터와 도메인 컨트롤러 간의 기타 작업에 사용됩니다. DPM 함수의 경우 TCP/IP에서 직접 호스트되는 SMB에도 사용됩니다. NetBIOS 137/UDP

138/UDP

139/TCP

445/TCP
원격 SQL Server 다음을 사용하여 SQL Server의 DPM 인스턴스에 대해 TCP/IP를 사용하도록 설정합니다. 기본 실패 감사; 암호 정책 검사를 사용하도록 설정합니다.
원격 SQL Server 포트 80에서 TCP를 허용하도록 SQL Server의 DPM 인스턴스에 대해 sqservr.exe 들어오는 예외를 사용하도록 설정합니다. 보고서 서버는 포트 80에서 HTTP 요청을 수신합니다.
원격 SQL Server 데이터베이스 엔진의 기본 인스턴스는 TCP 포트 1443에서 수신 대기합니다. 수정할 수 있습니다.

SQL Server Browser 서비스를 사용하여 기본 포트가 아닌 포트 집합 UDP 포트 1434에 연결하려면
원격 SQL Server SQL Server의 명명된 인스턴스는 기본적으로 동적 포트를 사용합니다. 수정할 수 있습니다.
원격 SQL Server RPC 사용

사용자 권한 부여

DPM 배포를 시작하기 전에 적절한 사용자에게 다양한 작업을 수행하는 데 필요한 권한이 부여되었는지 확인합니다. 각각은 다음 표에 요약되어 있습니다.

DPM 작업 필요한 권한
도메인에 DPM 서버 추가 도메인 관리자 계정 또는 도메인에 워크스테이션을 추가할 수 있는 사용자 권한
DPM 설치 DPM 서버의 관리자 계정
보호하려는 컴퓨터에 DPM 보호 에이전트 설치 컴퓨터의 로컬 관리자 그룹에 있는 도메인 계정
최종 사용자 복구를 사용하도록 AD 스키마 확장 도메인에 대한 스키마 관리자 권한
최종 사용자 복구를 사용하도록 설정하는 AD 컨테이너 만들기 도메인 관리자 권한
컨테이너 콘텐츠를 변경할 수 있는 DPM 서버 권한 부여 도메인 관리자 권한
DPM 서버에서 최종 사용자 복구 사용 DPM 서버의 관리자 계정
보호된 컴퓨터에 복구 지점 클라이언트 소프트웨어 설치 컴퓨터의 관리자 계정
보호된 컴퓨터에서 보호된 데이터의 이전 버전에 액세스 보호된 공유에 대한 액세스 권한이 있는 사용자 계정
SharePoint 데이터 복구 보호 에이전트가 설치된 프런트 엔드 웹 서버의 관리자이기도 한 SharePoint 팜 관리자입니다.

참고 항목

DPM 서버 및 보호된 컴퓨터는 DCOM을 사용하여 통신합니다. DPMRA를 설치하는 동안 DPM 서버의 계정이 보호된 컴퓨터의 Distributed COM 사용자 보안 그룹에 추가됩니다.

도메인 컨트롤러 보호를 위해 DPMRADCOMTRUSTEDMACHINES$DCNAME, DPMRADMTRUSTEDMACHINES$DCNAME 및 DPMRATRUSTEDDPMRAS$DCNAME이라는 이름으로 보호된 각 도메인 컨트롤러에 대해 Active Directory 보안 그룹이 만들어집니다.