로그온 계정과 연결, 백업 또는 복원 장애를 해결하기 위해 필요한 사용자 권한 할당 이해하기

아래 주제 중 하나를 눌러 보다 구체적인 정보와 Backup Exec의 연결, 백업 및 복원 장애를 해결하는 방법을 확인하십시오.

  

로그온 계정 사용자 권한

 

정의 

 

설치

 

백업 장치 

 

NTFS 볼륨 데이터

 

Exchange Agent

 

SQL Agent

 

SharePoint Agent

 

Active Directory Agent

 

Hyper-V Agent

 

AVVI (Agent for VMware Virtual Infrastructure)

 

Oracle Agent

 

Lotus Agent

 

Enterprise Vault Agent

 

File System and Exchange Archiving Option

 

RALUS (Remote Agent for Linux or Unix Servers)

 

RMALS (Remote Media Agent for Linux or Unix Servers)

 

RAMS (Remote Agent for Macintosh Systems)

 

RANW (Remote Agent for Netware Systems)

 

SAP Agent

 

CPS (Continuous Server Protection) Option

CASO (Central Administration Server) 또는 SSO (Shared Storage Option)

요약

 

 

Backup Exec의 로그온 계정 사용자 권한:

Backup Exec은 복수의 로그온 계정을 저장하고 유지 관리할 수 있는 기능을 제공합니다. 이러한 로그온 계정은 Backup Exec 인터페이스에서 다양한 작업을 수행할 때 사용됩니다. 로그온 계정은 Backup Exec 서비스 및 Backup Exec 데이터베이스 사이의 통신과 같은 내부 애플리케이션 기능, 선택 목록 생성을 위한 디스크 백업 폴더 및 데이터 선택 생성 및 구성과 같은 애플리케이션 구성 작업, 데이터 백업 및 복원에 사용됩니다.

Backup Exec에서 유지 관리되는 로그온 계정(Backup Exec 서비스를 위해 사용되는 계정 제외)은 Windows, Mac, Linux, Active Directory 또는 기타 운영 체제 또는 디렉터리 서비스 애플리케이션에서 로컬로 또는 중앙에서 유지 관리되는 계정과는 별개입니다. Backup Exec의 로그온 계정이 제대로 기능하려면 로컬 Windows 시스템, Active Directory 또는 원격 시스템의 계정과 적절히 일치해야 하며 필요에 따라 데이터 및 시스템 개체를 액세스할 수 있는 권한이 할당되어야 합니다. 참고: BE 계정은 계정이 상호 작용하는 시스템과 별개이므로 필요에 맞게 계정 설정 및 암호의 유지 관리에 주의를 기울여야 합니다. Backup Exec의 계정에 대한 변경 내용은 Windows 시스템, Active Directory 또는 원격 시스템의 관련 계정을 변경하지 않습니다.
 

정의:

1. Backup Exec 서비스용 로그온 계정 - 기본적으로 이 계정은 설치 중에 지정되는 계정으로서, 로컬 시스템 계정으로 실행되는 Backup Exec Error Recording 서비스 및 Backup Exec Remote Agent for Windows Systems 서비스를 제외한 모든 BE 서비스에 할당됩니다. 참고: 이러한 서비스는 BE UI 상태 표시줄 또는 도구 메뉴에서 실행할 수 있는 Backup Exec Services Manager에서 구성할 수 있습니다.

2. 시스템 로그온 계정 - 이 계정은 작업 복사 및 BE 명령줄 애플릿과 같은 애플리케이션 특정 구성 작업을 수행하는 데 사용됩니다. 기본적으로 이 계정은 설치 시 지정된 계정과 동일하며 Backup Exec 서비스를 위한 계정으로도 사용됩니다.

3. 기본 로그온 계정 - 이 계정은 현재 Backup Exec 사용자 인터페이스를 사용 중인 사용자의 Backup Exec 기본 로그온 계정으로 설정된 계정입니다. 즉, 이 계정은 사용자가 로그온하는, Backup Exec 애플리케이션을 호스팅하는 시스템의 로컬 또는 도메인 로그온에 결속된 Backup Exec 계정입니다. 다시 말해, 이 계정은 기본적으로 Backup Exec ,애플리케이션을 설치할 때 사용자가 지정하는 계정이고, Backup Exec 서비스에 의해 사용되는 계정이며, 시스템 로그온 계정으로 지정됩니다.
   

Backup Exec 설치 및 Backup Exec 서비스 계정에 할당된 권한:

Backup Exec을 설치하려면 서버에 대한 관리 권한이 있는 계정으로 로그인해야 합니다. 이렇게 해야 설치 과정이 파일 시스템, 레지스트리 및 백업 장치를 액세스하여 필요한 구성 변경을 수행할 수 있습니다.

설치 과정의 일부로 Backup Exec 서비스를 위한 계정을 지정해야 하며 이 계정은 서버에 대한 로컬 관리 권한을 가지고 있어야 합니다. 기본적으로, 설치 과정에 Backup Exec 서비스용으로 지정된 계정은 적절히 로컬로 또는 도메인에 "서비스로 로그온"할 수 있는 권한이 할당됩니다. 또한 서비스 계정에는 설치 중에 생성된 BEDB SQL 데이터베이스에 대한 전체 권한도 부여됩니다. 지정된 계정은 Backup Exec Error Recording 서비스 및 Backup Exec Remote Agent for Windows Systems 서비스를 제외한 모든 Backup Exec 서비스에 의해 사용됩니다(이 두 서비스는 기본적으로 로컬 시스템 계정을 사용합니다). 올바른 기능을 위해 로컬 시스템 계정을 사용하는 서비스는 이러한 방식으로 구성되도록 그대로 두어야 합니다.

참고: 또한 BEDB 데이터베이스가 로컬 Backup Exec 미디어 서버가 아닌 서버에 호스팅된 경우 해당 계정은 도메인 관리 그룹의 구성원이어야 합니다. 최상의 성능을 위해, Backup Exec 로그온 계정 관리 유틸리티에서 지정된 시스템 계정은 서비스 계정과 동일한 권한을 가져야 합니다. 베스트 프랙티스: 시스템 계정을 서비스 계정과 동일한 계정으로 만듭니다.

로그온 권한 및 백업 장치:

백업 장치는 Backup Exec 서비스에 할당된 인증 정보를 사용하여 액세스합니다. Backup Exec은 공유한 인증 정보를 백업 장치에 전달할 수 없으므로, 외부 장치(예: NAS 장치)가 서비스 인증 정보를 수락할 수 있거나 적절한 권한이 있는 동급의 계정이 있도록 주의해야 합니다. 또한, 디스크 백업 폴더는 해당 대상 장치에 보호할 리소스에 대한 적절한 권한이 할당되어야 합니다. (예: Exchange 백업 세트가 B2D 폴더에 전송될 때에는 GRT(Granular Restore Technology)가 올바르게 기능할 수 있도록 지정된 사용자에게 해당 폴더에 대한 적절한 도메인 및 Exchange 서버 액세스 권한이 있어야 합니다.

NTFS 볼륨 데이터를 보호하는 데 필요한 로그온 권한:

Backup Exec은 NTFS 파일 데이터를 보호하기 위해 Backup 운영자 그룹 또는 관리자 그룹에 대한 멤버십을 필요로 합니다. 구체적으로 Backup Exec은 다음과 같은 권한을 필요로 합니다.

1. 파일 및 디렉터리 백업
2. 파일 및 디렉터리 복원
3. 로컬로 로그 허용(Windows 2000, 2003 및 XP에만 해당)
4. 배치로 로그온(Windows 2008/Vista 이상)

베스트 프랙티스(편의를 위한 구성): 선택 목록 및 백업 작업을 생성하는 데 사용되는 BE의 주 계정을 도메인 관리 또는 도메인 관리자 그룹의 구성원으로 만듭니다.

Microsoft Exchange 데이터를 보호하는 데 필요한 로그온 권한:

Backup Exec은 Exchange 데이터를 보호하기 위해 다음과 같은 권한을 필요로 합니다.

1. 비-GRT 백업의 경우(GRT 없이 데이터베이스만 백업), 지정된 로그온 계정은 Exchange 서버의 로컬 Backup 운영자 그룹의 구성원이어야 합니다.
2. 데이터베이스 전용 복원의 경우(GRT 없이 데이터베이스만 복원), 지정된 로그온 계정은 Exchange 서버의 로컬 관리자 그룹의 구성원이어야 합니다.
3. GRT(Granular Restore Technology) 사용 디스크 백업의 경우(디스크 장치가 BE 미디어 서버의 로컬이며 같은 도메인에 소속됨), 지정된 로그온 계정은 Exchange 서버의 로컬 관리자 그룹의 구성원이어야 합니다.
4. 테이프 장치로의 GRT 백업 및 테이프 또는 디스크로부터의 모든 GRT 복원 작업의 경우, 지정된 로그온 계정은 Exchange 서버의 로컬 관리자 그룹의 구성원이어야 합니다. 또한 로그온 계정은 고유의 편지함을 가져야 하며 해당 편지함은 전체 주소 목록에서 숨겨져 있지 않아야 합니다. Exchange 2003의 경우, 계정에 Exchange 관리자 또는 Exchange 전체 관리자 역할도 부여되어야 합니다. Exchange 2007 및 2010 서버의 경우, 계정에 Exchange 조직 관리자 역할이 부여되어야 합니다. 마지막으로 Exchange 2010의 경우, GRT 작업의 일부인 AD 액세스를 위해 계정이 AD 도메인의 관리자 역할도 가져야 합니다.

베스트 프랙티스(편의를 위한 구성): Exchange 백업 및 복원 작업을 위한 Backup Exec 계정을 도메인 관리 그룹의 구성원으로 만들고 해당 계정에 Exchange 전체 관리자 또는 Exchange 조직 관리자 역할을 부여합니다(Exchange 버전에 맞게 적절히 선택). 또한 계정이 GAL에 보이는 고유한 편지함을 가지며 메일을 주고 받을 수 있는지 확인합니다.


Microsoft SQL 데이터를 보호하는 데 필요한 로그온 권한:

Backup Exec은 SQL 데이터를 보호하기 위해 다음과 같은 권한을 필요로 합니다.

Microsoft SQL 데이터를 보호하는 데 사용되는 계정은 SQL 서버뿐 아니라 SQL 데이터베이스에 대한 관리자 권한이 있어야 합니다. 구체적으로 이 권한은 SQL 데이터베이스 복원 절차에서 복원 작업의 일부로 SQL 서비스 또는 클러스터 그룹을 제어해야 하므로 필요합니다.

Microsoft SharePoint 데이터를 보호하는 데 필요한 로그온 권한:

1. SharePoint 백업 및 복원 작업의 경우 Backup Exec에서 지정된 계정에 SQL 데이터베이스에 대한 관리자 권한뿐 아니라 SharePoint 팜에 참가하는 모든 서버에 대한 로컬 관리자 권한이 있어야 합니다.
2. SharePoint GRT 항목 복원을 위해 계정에는 SharePoint 사이트에 대한 사이트 수집 관리자 역할도 부여되어야 합니다.

베스트 프랙티스(편의를 위한 구성): 계정을 SharePoint 팜이 위치한 도메인의 도메인 관리 그룹 구성원으로 만들고 SharePoint의 사이트 수집 관리 역할을 계정에 부여합니다.  자세한 내용은 다음을 참조하십시오.

Microsoft Office SharePoint Server(MOSS) 2007/(MOSS) 2010 백업을 위한 Backup Exec 서비스 계정(BESA) 필수 요건
https://www.veritas.com/docs/000040615

 
Microsoft Active Directory 데이터를 보호하는 데 필요한 로그온 권한:

Microsoft Active Directory 도메인 데이터베이스에 대해 수행되는, GRT 복원 작업을 비롯한 모든 백업 및 복원 작업에 사용되는 계정은 도메인 관리 그룹의 구성원이어야 합니다.

Microsoft Hyper-V 가상 시스템 데이터를 보호하는 데 필요한 로그온 권한:

Microsoft Hyper-V 가상 시스템 데이터 보호에 사용되는 계정은 Hyper-V 호스트의 로컬 관리자 그룹 구성원이어야 합니다. App-GRT 작업(Backup Exec 에이전트를 지원하는 모든 Microsoft 데이터베이스가 가상 시스템의 일부로서 백업되었을 때 GRT 기능을 사용하여 복원될 수 있는 애플리케이션 GRT)의 경우, 사용된 계정은 필요한 특정 에이전트에 지정된 권한뿐 아니라 가상 시스템에 대한 로컬 관리자 권한이 있어야 합니다. 자세한 내용은 이 문서의 적절한 관련 섹션을 참조하십시오.


VMware 가상 시스템 데이터를 보호하는 데 필요한 로그온 권한(AVVI, Agent for VMware Virtual Infrastructure라고도 함):

백업 작업에는 다음과 같은 특정 권한이 필요합니다(가상 센터 서버 또는 ESX 호스트에 적절히 지정된 구성에 따라).

1. 다음 권한으로 구성된 VMware 통합 백업 사용자 역할:

   a. 가상 시스템 구성: 디스크 변경 추적 및 디스크 임대
   b. 가상 시스템 프로비저닝: 읽기 전용 디스크 액세스 허용 및 가상 시스템 다운로드 허용
   c. 가상 시스템 상태: 스냅샷 생성 및 스냅샷 제거

복원 작업에는 다음과 같은 특정 권한이 필요합니다(가상 센터 서버 또는 ESX 호스트에 적절히 지정된 구성에 따라).

1. 리소스: 리소스 풀에 가상 시스템 할당
2. 가상 시스템 > 구성:
   a. 기존 디스크 추가
   b. 새 디스크 추가
   c. 장치 추가 또는 제거
   d. 고급
   e. CPU 수 변경
   f. 리소스 변경
   g. 디스크 변경 추적
   h. 디스크 임대
   i. 호스트 USB 장치
   j. 메모리
   k. 장치 설정 수정
   l. 원시 장치
   m. 경로에서 다시 불러오기
   n. 디스크 제거
   o. 이름 변경
   p. 게스트 정보 재설정
   q. 설정
    r. 스왑 파일 배치
   s. 가상 하드웨어 업그레이드
3. 가상 시스템 > 상호 작용:
   a. 전원 끄기
   b. 전원 켜기
   c. 가상 시스템 > 인벤토리
   d. 새로 만들기
   e. 등록
   f. 제거
   g. 등록 취소
4. 가상 시스템 > 프로비저닝:
   a. 읽기 전용 디스크 액세스 허용
   b. 가상 시스템 다운로드 허용
5. 가상 시스템 > 상태:
   a. 스냅샷 만들기
   b. 스냅샷 제거
   c. 스냅샷으로 되돌리기

VMware 가상 시스템 데이터베이스 애플리케이션 데이터를 보호하는 데 필요한 로그온 권한(Application GRT라고도 함):

Backup Exec은 특정 환경에서 가상 시스템으로의 데이터베이스 데이터의 개별 복원을 허용합니다. 데이터는 Microsoft Active Directory, Exchange 또는 SQL 데이터베이스로부터 와야 합니다. 데이터베이스의 버전은 현재 버전의 제품에서 지원되어야 합니다. 가상 시스템을 보호하는 데 필요한 권한 외에도, 사용된 계정은 관리자 권한 및 가상 시스템의 애플리케이션에 대한 적절한 권한이 있어야 합니다. 즉, VM을 액세스하기 위해 BE에 지정된 계정은 Agent for Windows Systems이 사용되는 것처럼 대상 시스템에 있는 Active Directory, Exchange 또는 SQL 데이터베이스를 완전히 보호하는 데 필요한 권한을 모두 가져야 합니다. 특정 데이터베이스 애플리케이션에 필요한 권한은 위 섹션을 참조하십시오.

Oracle 데이터베이스 데이터를 보호하는 데 필요한 로그온 권한:

대상 데이터베이스가 Windows에서 실행되는 경우 지정된 계정은 로컬 관리자 그룹의 구성원이어야 합니다. Linux에서는 사용자가 beoper 그룹의 구성원이어야 합니다. 지정된 계정은 보호되는 Oracle 인스턴스에 SYSDBA 권한도 가지고 있어야 합니다.

Lotus Notes 데이터를 보호하는 데 필요한 로그온 권한:

Lotus 서버의 Agent for Windows Servers는 로컬 시스템 계정(기본값)으로 실행되어야 합니다. 지정된 계정은 Lotus 데이터베이스에 대한 백업 및 복원 권한 및 파일 생성 권한도 가지고 있어야 합니다.

Veritas Enterprise Vault 데이터를 보호하는 데 필요한 로그온 권한:

Compliance 및 Discovery Accelerator를 포함한 Enterprise Vault(EV) 데이터베이스를 보호하려면, 지정된 계정은 다음 인증 정보 중 하나를 임의로 가질 수 있습니다.

1. Vault 서비스 계정
2. 도메인 관리 그룹 멤버십 및 Enterprise Vault 인스턴스에 대한 관리 역할
3. 다음을 포함하는 도메인 계정:
   a. 모든 참가 EV 서버에 대한 관리자 그룹 멤버십
   b. EV 데이터베이스를 호스팅하는 서버에 대한 백업 운영자 그룹 멤버십
   c. Vault 저장소 및 색인 위치에 대한 관리 역할
4. EV의 관리 역할은 다음을 포함해야 합니다: EVT Manage Vault 저장소 백업 모드 및 EVT Manage 색인 위치 백업 모드

BE Archiving Option으로 Windows 파일 시스템 및 Exchange 리소스를 보호하는 데 필요한 로그온 권한:

1. 지정된 계정은 BE 서비스 계정이기도 해야 합니다.
2. 계정은 도메인 구성원이어야 합니다.
3. 파일 시스템 보관을 위해 BE 서비스 계정에는 다음 권한이 있어야 합니다.
   a. 대상 서버에 대한 로컬 관리자 권한
   b. 보관을 위해 선택된 공유에 대한 전체 제어 공유 권한
   c. 선택된 공유 디렉터리에 대한 NTFS 권한: 수정, 폴더 컨텐츠 표시, 읽기 및 쓰기
4. Exchange 메일 보관을 위해 BE 서비스 계정에는 다음 권한이 있어야 합니다.
   a. 조직 수준 또는 Exchange 서버 수준에서 모든 권한에 대한 설정 허용(또는 2007의 경우 "전체" 설정)
   b. 보관될 '시스템' 편지함(Exchange 서버에 지정된 "시스템 편지함"이 아님)으로 지정된 편지함에 대한 보낼 형식 및 받을 형식 권한
5. 미디어 서버 및 보호된 리소스가 서로 다른 도메인에 있는 경우 다음과 같은 신뢰 관계가 존재해야 합니다.
   a. 미디어 서버 도메인과 Exchange 및 파일 서버 도메인이 Backup Exec 서비스 계정이 속해 있는 도메인을 트러스트해야 합니다.
   b. Exchange Servers에 편지함을 가지고 있는 사용자의 계정이 속해 있는 도메인 및 보관된 파일 공유 및 폴더를 액세스하는 도메인을 미디어 서버 도메인이 트러스트해야 합니다.

Remote Agent for Linux or Unix Servers(RALUS)를 사용하여 Linux 시스템의 데이터를 보호하는 데 필요한 로그온 권한:

백업 또는 복원 작업을 수행하려면 지정된 로그온 계정은 Linux/Unix 대상 서버에 존재해야 하며 Backup Exec 운영자(또는 "beoper") 그룹의 구성원이어야 합니다. (이 제한은 최고 사용자 또는 "루트" 계정에도 적용됩니다)

성공적인 백업 후 삭제 작업을 수행하려면(즉 '파일 백업 및 삭제' 작업을 수행하려면) 선택된 로그온 계정이 최고 사용자의 계정이어야 합니다.

Remote Media Agent for Linux or Unix Servers(RMALS)에 필요한 로그온 권한:

Beremote.exe는 "root"로 실행되어야 합니다.
지정된 사용자가 beoper 그룹의 구성원이기만 하다면 작업은 보다 낮은 권한으로 실행될 수 있습니다.

Linux/Unix/Macintosh 시스템에 에이전트 설치:

에이전트를 로컬 또는 원격 시스템에 설치하려면 사용자가 "root"여야 합니다. 시스템 구성 및 그룹 파일을 수정하려면 설치 과정에 "root" 사용자 권한이 필요합니다.

Remote Agent for Macintosh Systems(RAMS)를 사용하여 Apple Macintosh 시스템의 데이터를 보호하는 데 필요한 로그온 권한:

백업 또는 복원 작업을 수행하려면 사용된 로그온 계정이 "admin" 그룹의 구성원이어야 합니다.
성공적인 백업 후 삭제 작업을 수행하려면(즉 '파일 백업 및 삭제' 작업을 수행하려면) 사용된 로그온 계정이 최고 사용자의 계정이어야 합니다.

Remote Agent for Netware Systems(RANW)를 사용하여 Netware 시스템의 데이터를 보호하는 데 필요한 로그온 권한:

Remote Agent for NetWare는 작동하는 데 특별한 로그인 또는 서비스 계정을 필요로 하지 않습니다. 원격 에이전트가 호스트 서버 콘솔에서 로드됨으로써 호스트 서버에 대한 전체 액세스 권한이 암시되어 있습니다.

특정 작업을 수행하려면 거기에 맞는 적절한 사용자 권한이 필요합니다. 예를 들어, 파일 시스템 백업의 경우 사용자는 백업하려는 모든 파일에 대해 읽기, 파일 검색, 수정 및 액세스 제어 권한이 있어야 합니다. Novell Directory Services 트리를 백업하려면 사용자는 트리의 루트에 대한 감독자 권한(기타 모든 권한을 포함함을 의미함)이 있어야 합니다.

Backup Exec Agent for SAP Applications를 사용하여 SAP 데이터베이스를 보호하는 데 필요한 로그온 권한:

SAP 백업/복원은 DBA에 의해 초기화되는 작업이므로 SAP 데이터베이스에 대한 검색이 없습니다. 백업 운영자 권한이 SAP 작업을 제출하는 데 필요한 최소 권한입니다.  DBA는 SAP 작업 제출에 사용된 계정과 동일한 계정을 사용하거나 SAP 서버에 대한 백업/복원 권한을 가진 임의의 계정을 제공해도 됩니다.

또한, 데이터를 백업 및 복원하려면 지정된 계정이 SAP 및 Backup Exec 미디어 서버 모두에 대한 적절한 권한을 가지고 있어야 합니다.
Backup Exec 서비스 계정은 다음 권한을 가져야 합니다.
 

  Backup Exec CPS(Continuous Server Protection) Option의 올바른 작동을 위해 서비스에 할당된 로그온 권한:

BE CPS 서비스는 다음 기본 구성으로 실행됩니다. 올바른 작동을 위해 이 구성을 그대로 보존해야 합니다.
CPS Protection Agent 서비스는 로컬/도메인 관리자 그룹에 소속된 사용자로 실행됩니다.

 

BE Central Administration Server(CASO) 또는 Shared Storage Option(SSO) 서버 환경을 위한 추가 로그온 권한 고려 사항:

Backup Exec 서비스 계정은 도메인 관리 그룹 멤버십이 있어야 합니다. BEDB 데이터베이스에서는 Backup Exec 서비스 계정이 BackupExec SQL 인스턴스에 관리자로 추가되어야 합니다.

그 외에도 Backup Exec 서비스 계정은 다음과 같은 권한을 가지고 있어야 합니다.
  1) 파일 및 디렉터리 백업
  2) 파일 및 디렉터리 복원
  3) 토큰 개체 생성
  4) 감사 및 보안 로그 관리
  5) 파일 및 기타 개체 소유
  6) 운영 체제의 일부로 작동(Windows 2000에만 해당)

요약

대부분의 경우 여기에 지정된 권한은 원하는 백업 및 복원 작업을 수행하는 데 필요한 최소 권한입니다. 일련의 "베스트 프랙티스"가 기재된 경우는 원하는 작업을 얻을 수 있는 권한이되 대부분의 경우 필요한 것보다 덜 제한적인 권한을 제시하기 위한 의도로서 권한 할당의 문제 해결 및 세부 조정의 시작점을 제공하고자 하는 것이 주 목적입니다. 보다 제한적인 권한이 필요한 경우 일반적인 권장 방식은 가장 덜 제한적인 권한에서부터 원하는 작업을 테스트하고 작업이 실패할 때까지 제한을 추가하는 것입니다.  또한 이 문서는 현재 Backup Exec 버전 및 모든 관련 옵션에 대한 권한 요구 사항을 다루기 위해 작성되었지만 이 기술 자료의 특정 부분은 제품의 이전 또는 추후 버전에 적용될 수도 있습니다.