Xenserver加域管理

部署服务的目的是让用户更便捷的使用，满足领导对成本及资料安全的需求。公司因使用带license的CEVA编译工具进行开发，为了节约成本，购买了单机版程序，目的是让10人的开发团队使用。起初设想通过部署远程桌面服务，满足多人使用的场景。可是该程序在远程桌面下最关键的build按钮无法按下！！！要求是 1.员工不能接触到该主机（禁止直接使用USB接口导入导出） 2.所有远程桌面是必备的，同理VNCserver也是无法访问（且不能控制远程桌面导出文件到本机）我想到XenCenter下VM的console下试试，克隆系统后，build可以按！！！但是介于多用户使用且权限不能过高，使用多个用户和用户组来管理XenServer服务器，就必须使用 Active Directory 用户账户进行身份验证。

方案分析：
资料安全需求：
避免用户直接连接鼠标键盘操作，USB直接暴露的问题，决定将该编译环境虚拟化，方案为XenServer。
成本需求：
满足领导对成本的要求，决定不上XenDesktop、XenApp之类的，使用免费的XenCenter安装到几个需要编译的用户计算机用于“按下build按钮”。
与此引入风险问题：
到底普通用户能否使用XenCenter去操作，介于风险，决定针对用户权限引入AD进行XenCenter权限的控制。

方案搭建：
一、AD域基础环境
操作系统：Windows 2008 R2（此处注意我尝试多次使用Windows 2012去安装，但是XenCenter中总是报错（详见附录1），建议使用Windows 2008 R2避免反复调试的麻烦）

      安装步骤：
        1.添加角色和功能向导——添加Active Directory域服务；

下面注意点击“此服务器提升为域控制器”

2.此时选择添加新林，在根域名中输入你要添加的域名：XXXXX.com

3.配置林功能基本和域功能级别（XenServer支持使用Active Directory服务器使用的是Windows2003或更高版本，实测的2012版本无法成功），下面输入还原密码。

4.此时配置NetBIOS，默认为XXXXX的域名

5.进行安装

        成功安装完成后注意检查windows防火墙的端口
  * 53 ?UDP/TCP ?DNS

  * 88 ?UDP/TCP?Kerberos 5

  * 123 ?UDP????NTP

  * 137 ?UDP ????NetBIOSName Service

  * 139 ?TCP?????NetBIOS Session (SMB)

  * 389 ?UDP/TCP ?LDAP

  * 445 ?TCP ?????SMB over TCP

  * 464 ?UDP/TCP?Machine password changes

  * 3268 ?TCP????Global Catalog Search

二、XenCenter配置XenServer加入AD域控
此时将配置AD域到XenCenter上，并添加用户赋予权限。
1.使用root登录XenCenter，选择该pool，右侧配置Users
使用管理员进行登录，注意安装XenCenter的主机与AD服务器主机时间一致，否则报错，详见附录二

2.登录域，Domain注意填写XXXXX.com，User必须使用管理员administrator进行登录否则后报错（详见附录2）

登录成功如下：

3.添加AD账户，并针对Xen进行赋权
此时需要多增加几个账户，并针对账户进行赋权操作
进入Windows2008进行配置——控制面板——管理工具——Active Directory 用户和计算机
找到Users

填写用户名及密码，用户名填写两处

设置密码