Xenserver加域管理

   部署服務的目的是讓用戶更便捷的使用，滿足領導對成本及資料安全的需求。
   公司因使用帶license的CEVA編譯工具進行開發，爲了節約成本，購買了單機版程序，目的是讓10人的開發團隊使用。起初設想通過部署遠程桌面服務，滿足多人使用的場景。
   可是該程序在遠程桌面下最關鍵的build按鈕無法按下！！！
   要求是
         1.員工不能接觸到該主機（禁止直接使用USB接口導入導出）
         2.所有遠程桌面是必備的，同理VNCserver也是無法訪問（且不能控制遠程桌面導出文件到本機）
         我想到XenCenter下VM的console下試試，克隆系統後，build可以按！！！
         但是介於多用戶使用且權限不能過高，使用多個用戶和用戶組來管理XenServer服務器，就必須使用 Active Directory 用戶賬戶進行身份驗證。

方案分析：
資料安全需求：
避免用戶直接連接鼠標鍵盤操作，USB直接暴露的問題，決定將該編譯環境虛擬化，方案爲XenServer。
成本需求：
滿足領導對成本的要求，決定不上XenDesktop、XenApp之類的，使用免費的XenCenter安裝到幾個需要編譯的用戶計算機用於“按下build按鈕”。
與此引入風險問題：
到底普通用戶能否使用XenCenter去操作，介於風險，決定針對用戶權限引入AD進行XenCenter權限的控制。

方案搭建：
一、AD域基礎環境
操作系統：Windows 2008 R2（此處注意我嘗試多次使用Windows 2012去安裝，但是XenCenter中總是報錯（詳見附錄1），建議使用Windows 2008 R2避免反覆調試的麻煩）

      安裝步驟：
        1.添加角色和功能嚮導——添加Active Directory域服務；

下面注意點擊“此服務器提升爲域控制器”

2.此時選擇添加新林，在根域名中輸入你要添加的域名：XXXXX.com

3.配置林功能基本和域功能級別（XenServer支持使用Active Directory服務器使用的是Windows2003或更高版本，實測的2012版本無法成功），下面輸入還原密碼。

4.此時配置NetBIOS，默認爲XXXXX的域名

5.進行安裝

        成功安裝完成後注意檢查windows防火牆的端口
  * 53  UDP/TCP  DNS

  * 88  UDP/TCP Kerberos 5

  * 123  UDP    NTP

  * 137  UDP     NetBIOSName Service

  * 139  TCP     NetBIOS Session (SMB)

  * 389  UDP/TCP  LDAP

  * 445  TCP      SMB over TCP

  * 464  UDP/TCP Machine password changes

  * 3268  TCP    Global Catalog Search

二、XenCenter配置XenServer加入AD域控
此時將配置AD域到XenCenter上，並添加用戶賦予權限。
1.首先將使用root登錄XenCenter，將該pool的網卡DNS設置爲AD域控服務器的IP地址，嘗試拿console去ping這個地址，看是否生效，如果不生效，請檢查DNS的配置；
2.使用root登錄的XenCenter，選擇該pool，右側配置Users
使用管理員進行登錄，注意安裝XenServer與AD服務器主機時鐘需要一致，否則報錯，詳見附錄二

3.登錄域，Domain注意填寫XXXXX.com，User必須使用管理員administrator進行登錄，不使用管理員賬戶登錄會報錯（詳見附錄2）

登錄成功如下：

3.添加AD賬戶，並針對Xen進行賦權
此時需要多增加幾個賬戶，並針對賬戶進行賦權操作
進入Windows2008進行配置——控制面板——管理工具——Active Directory 用戶和計算機
找到Users

填寫用戶名及密碼，用戶名填寫兩處

設置密碼