部署服務(wù)的目的是讓用戶更便捷的使用，滿足領(lǐng)導(dǎo)對(duì)成本及資料安全的需求。
   公司因使用帶license的CEVA編譯工具進(jìn)行開(kāi)發(fā)，為了節(jié)約成本，購(gòu)買了單機(jī)版程序，目的是讓10人的開(kāi)發(fā)團(tuán)隊(duì)使用。起初設(shè)想通過(guò)部署遠(yuǎn)程桌面服務(wù)，滿足多人使用的場(chǎng)景。
   可是該程序在遠(yuǎn)程桌面下最關(guān)鍵的build按鈕無(wú)法按下?。?！
   要求是
         1.員工不能接觸到該主機(jī)（禁止直接使用USB接口導(dǎo)入導(dǎo)出）
         2.所有遠(yuǎn)程桌面是必備的，同理VNCserver也是無(wú)法訪問(wèn)（且不能控制遠(yuǎn)程桌面導(dǎo)出文件到本機(jī)）
         我想到XenCenter下VM的console下試試，克隆系統(tǒng)后，build可以按?。?！
         但是介于多用戶使用且權(quán)限不能過(guò)高，使用多個(gè)用戶和用戶組來(lái)管理XenServer服務(wù)器，就必須使用 Active Directory 用戶賬戶進(jìn)行身份驗(yàn)證。

方案分析：
資料安全需求：
避免用戶直接連接鼠標(biāo)鍵盤操作，USB直接暴露的問(wèn)題，決定將該編譯環(huán)境虛擬化，方案為XenServer。
成本需求：
滿足領(lǐng)導(dǎo)對(duì)成本的要求，決定不上XenDesktop、XenApp之類的，使用免費(fèi)的XenCenter安裝到幾個(gè)需要編譯的用戶計(jì)算機(jī)用于“按下build按鈕”。
與此引入風(fēng)險(xiǎn)問(wèn)題：
到底普通用戶能否使用XenCenter去操作，介于風(fēng)險(xiǎn)，決定針對(duì)用戶權(quán)限引入AD進(jìn)行XenCenter權(quán)限的控制。

超過(guò)10多年行業(yè)經(jīng)驗(yàn)，技術(shù)領(lǐng)先，服務(wù)至上的經(jīng)營(yíng)模式，全靠網(wǎng)絡(luò)和口碑獲得客戶，為自己降低成本，也就是為客戶降低成本。到目前業(yè)務(wù)范圍包括了：做網(wǎng)站、網(wǎng)站設(shè)計(jì)，成都網(wǎng)站推廣，成都網(wǎng)站優(yōu)化，整體網(wǎng)絡(luò)托管，小程序設(shè)計(jì)，微信開(kāi)發(fā)，重慶APP軟件開(kāi)發(fā)，同時(shí)也可以讓客戶的網(wǎng)站和網(wǎng)絡(luò)營(yíng)銷和我們一樣獲得訂單和生意！

方案搭建：
一、AD域基礎(chǔ)環(huán)境
操作系統(tǒng)：Windows 2008 R2（此處注意我嘗試多次使用Windows 2012去安裝，但是XenCenter中總是報(bào)錯(cuò)（詳見(jiàn)附錄1），建議使用Windows 2008 R2避免反復(fù)調(diào)試的麻煩）

      安裝步驟：
        1.添加角色和功能向?qū)А砑覣ctive Directory域服務(wù)；

下面注意點(diǎn)擊“此服務(wù)器提升為域控制器”

2.此時(shí)選擇添加新林，在根域名中輸入你要添加的域名：XXXXX.com

3.配置林功能基本和域功能級(jí)別（XenServer支持使用Active Directory服務(wù)器使用的是Windows2003或更高版本，實(shí)測(cè)的2012版本無(wú)法成功），下面輸入還原密碼。

4.此時(shí)配置NetBIOS，默認(rèn)為XXXXX的域名

5.進(jìn)行安裝

        成功安裝完成后注意檢查windows防火墻的端口
  * 53 ?UDP/TCP ?DNS

  * 88 ?UDP/TCP?Kerberos 5

  * 123 ?UDP????NTP

  * 137 ?UDP ????NetBIOSName Service

  * 139 ?TCP?????NetBIOS Session (SMB)

  * 389 ?UDP/TCP ?LDAP

  * 445 ?TCP ?????SMB over TCP

  * 464 ?UDP/TCP?Machine password changes

  * 3268 ?TCP????Global Catalog Search

二、XenCenter配置XenServer加入AD域控
此時(shí)將配置AD域到XenCenter上，并添加用戶賦予權(quán)限。
1.首先將使用root登錄XenCenter，將該pool的網(wǎng)卡DNS設(shè)置為AD域控服務(wù)器的IP地址，嘗試拿console去ping這個(gè)地址，看是否生效，如果不生效，請(qǐng)檢查DNS的配置；
2.使用root登錄的XenCenter，選擇該pool，右側(cè)配置Users
使用管理員進(jìn)行登錄，注意安裝XenServer與AD服務(wù)器主機(jī)時(shí)鐘需要一致，否則報(bào)錯(cuò)，詳見(jiàn)附錄二

3.登錄域，Domain注意填寫XXXXX.com，User必須使用管理員administrator進(jìn)行登錄，不使用管理員賬戶登錄會(huì)報(bào)錯(cuò)（詳見(jiàn)附錄2）

登錄成功如下：

3.添加AD賬戶，并針對(duì)Xen進(jìn)行賦權(quán)
此時(shí)需要多增加幾個(gè)賬戶，并針對(duì)賬戶進(jìn)行賦權(quán)操作
進(jìn)入Windows2008進(jìn)行配置——控制面板——管理工具——Active Directory 用戶和計(jì)算機(jī)
找到Users

填寫用戶名及密碼，用戶名填寫兩處

設(shè)置密碼

在Xen中添加賬戶

對(duì)賬戶賦予權(quán)限

總共6個(gè)權(quán)限，我分別對(duì)權(quán)限做了簡(jiǎn)要的解析：

Read Only：經(jīng)理使用，多用于查看虛擬機(jī)使用情況的領(lǐng)導(dǎo)使用，基本也就是看看有什么名稱的服務(wù)器，內(nèi)存使用狀況等。

VM Operator：開(kāi)發(fā)使用，可用滿足基本console查看，開(kāi)關(guān)機(jī)操作等日常操作；

VM Admin：運(yùn)維測(cè)試使用，可以選則在何處啟動(dòng)虛擬機(jī)及模板，修改內(nèi)存屬性等；

VM Power Admin：運(yùn)維主機(jī)管理員使用，可以進(jìn)行動(dòng)態(tài)內(nèi)存，快照的配置；

Pool Operator：高級(jí)運(yùn)維管理員使用，可以對(duì)pool進(jìn)行相關(guān)高級(jí)配置管理，如HA，WLB等；

Pool Admin ：運(yùn)維經(jīng)理使用，類似于root（使用后可以不使用root對(duì)XenDesktop配置，存在安全賬戶機(jī)里面）可進(jìn)行role分配，連接X(jué)enServer的命令行及圖形console。

相關(guān)權(quán)限我整理了如下表供大家參考：

最后，配置給開(kāi)發(fā)VM Operator權(quán)限即可，可以自主由他們重啟避免內(nèi)存泄露引起的卡頓。

老技術(shù)了，大家如果需要都可以轉(zhuǎn)載，下面把自己部署中遇到的一些報(bào)錯(cuò)與大家分享

附錄1
windows 2012系統(tǒng)搭建好AD域產(chǎn)生的報(bào)錯(cuò)信息:

附錄2
注意時(shí)鐘必須一致（可以相差幾分鐘），否則會(huì)報(bào)錯(cuò)，無(wú)法配置成功。

附錄3
必須使用域管理員administrator進(jìn)行登錄，否則報(bào)錯(cuò)如下

日常運(yùn)維故障：
①某一天VM操作員反映使用XenCenter無(wú)法登錄相應(yīng)server
解決方法：修改XenServer系統(tǒng)時(shí)間與安裝XenCenter桌面主機(jī)時(shí)間一致，即可登錄
排查及解決步驟：
第一步：查看AD服務(wù)器，查看VM操作員的AD是否密碼過(guò)期——未過(guò)期
第二步：配置用戶，離開(kāi)域

第二步：再次登入報(bào)錯(cuò)如下
Could not enable external authentication: Clock skew detected with active directory server
shell方式登入XenServer，修改XenServer系統(tǒng)時(shí)間與安裝XenCenter桌面主機(jī)時(shí)間一致，即可登錄。

②某天管理接到需求為新員工添加賬戶，AD中已經(jīng)添加成功，但是在XenCenter中無(wú)法綁定用戶，報(bào)錯(cuò)：Subject cannot be reslved by the external directory service.
添加后報(bào)錯(cuò)如下：

查看日志信息：

解決方法：同步XenServer主機(jī)與AD服務(wù)器的時(shí)間即可將新增的AD賬戶成功綁定到該主機(jī)。

另外有需要云服務(wù)器可以了解下創(chuàng)新互聯(lián)cdcxhl.cn，海內(nèi)外云服務(wù)器15元起步，三天無(wú)理由+7*72小時(shí)售后在線，公司持有idc許可證，提供“云服務(wù)器、裸金屬服務(wù)器、高防服務(wù)器、香港服務(wù)器、美國(guó)服務(wù)器、虛擬主機(jī)、免備案服務(wù)器”等云主機(jī)租用服務(wù)以及企業(yè)上云的綜合解決方案，具有“安全穩(wěn)定、簡(jiǎn)單易用、服務(wù)可用性高、性價(jià)比高”等特點(diǎn)與優(yōu)勢(shì)，專為企業(yè)上云打造定制，能夠滿足用戶豐富、多元化的應(yīng)用場(chǎng)景需求。

新聞標(biāo)題：Xenserver加域管理-創(chuàng)新互聯(lián)
文章位置：http://weahome.cn/article/djjsos.html