Xenserver加域管理

Posted

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了Xenserver加域管理相关的知识,希望对你有一定的参考价值。

   部署服务的目的是让用户更便捷的使用,满足领导对成本及资料安全的需求。
   公司因使用带license的CEVA编译工具进行开发,为了节约成本,购买了单机版程序,目的是让10人的开发团队使用。起初设想通过部署远程桌面服务,满足多人使用的场景。
   可是该程序在远程桌面下最关键的build按钮无法按下!!!
   要求是
         1.员工不能接触到该主机(禁止直接使用USB接口导入导出)
         2.所有远程桌面是必备的,同理VNCserver也是无法访问(且不能控制远程桌面导出文件到本机)
         我想到XenCenter下VM的console下试试,克隆系统后,build可以按!!!
         但是介于多用户使用且权限不能过高,使用多个用户和用户组来管理XenServer服务器,就必须使用 Active Directory 用户账户进行身份验证。

方案分析:
资料安全需求:
避免用户直接连接鼠标键盘操作,USB直接暴露的问题,决定将该编译环境虚拟化,方案为XenServer。
成本需求:
满足领导对成本的要求,决定不上XenDesktop、XenApp之类的,使用免费的XenCenter安装到几个需要编译的用户计算机用于“按下build按钮”。
与此引入风险问题:
到底普通用户能否使用XenCenter去操作,介于风险,决定针对用户权限引入AD进行XenCenter权限的控制。

方案搭建:
一、AD域基础环境
操作系统:Windows 2008 R2(此处注意我尝试多次使用Windows 2012去安装,但是XenCenter中总是报错(详见附录1),建议使用Windows 2008 R2避免反复调试的麻烦)

      安装步骤:
        1.添加角色和功能向导——添加Active Directory域服务;

技术图片

技术图片
技术图片
技术图片

下面注意点击“此服务器提升为域控制器”
技术图片
2.此时选择添加新林,在根域名中输入你要添加的域名:XXXXX.com
技术图片
3.配置林功能基本和域功能级别(XenServer支持使用Active Directory服务器使用的是Windows2003或更高版本,实测的2012版本无法成功),下面输入还原密码。
技术图片
4.此时配置NetBios,默认为XXXXX的域名
技术图片
5.进行安装
技术图片

        成功安装完成后注意检查windows防火墙的端口
  * 53 ?UDP/TCP ?DNS

  * 88 ?UDP/TCP?Kerberos 5

  * 123 ?UDP????NTP

  * 137 ?UDP ????NetBIOSName Service

  * 139 ?TCP?????NetBIOS Session (SMB)

  * 389 ?UDP/TCP ?LDAP

  * 445 ?TCP ?????SMB over TCP

  * 464 ?UDP/TCP?Machine password changes

  * 3268 ?TCP????Global Catalog Search

二、XenCenter配置XenServer加入AD域控
此时将配置AD域到XenCenter上,并添加用户赋予权限。
1.使用root登录XenCenter,选择该pool,右侧配置Users
使用管理员进行登录,注意安装XenCenter的主机与AD服务器主机时间一致,否则报错,详见附录二
技术图片
2.登录域,Domain注意填写XXXXX.com,User必须使用管理员administrator进行登录否则后报错(详见附录2)
技术图片
登录成功如下:
技术图片
3.添加AD账户,并针对Xen进行赋权
此时需要多增加几个账户,并针对账户进行赋权操作
进入Windows2008进行配置——控制面板——管理工具——Active Directory 用户和计算机
找到Users
技术图片
填写用户名及密码,用户名填写两处
技术图片
设置密码
技术图片

在Xen中添加账户
技术图片
对账户赋予权限
技术图片

总共6个权限,我分别对权限做了简要的解析:

Read Only:经理使用,多用于查看虚拟机使用情况的领导使用,基本也就是看看有什么名称的服务器,内存使用状况等。

VM Operator:开发使用,可用满足基本console查看,开关机操作等日常操作;

VM Admin:运维测试使用,可以选则在何处启动虚拟机及模板,修改内存属性等;

VM Power Admin:运维主机管理员使用,可以进行动态内存,快照的配置;

Pool Operator:高级运维管理员使用,可以对pool进行相关高级配置管理,如HA,WLB等;

Pool Admin :运维经理使用,类似于root(使用后可以不使用root对XenDesktop配置,存在安全账户机里面)可进行role分配,连接XenServer的命令行及图形console。

相关权限我整理了如下表供大家参考:
技术图片

最后,配置给开发VM Operator权限即可,可以自主由他们重启避免内存泄露引起的卡顿。

老技术了,大家如果需要都可以转载,下面把自己部署中遇到的一些报错与大家分享

附录1
windows 2012系统搭建好AD域产生的报错信息:
技术图片

附录2
注意时钟必须一致(可以相差几分钟),否则会报错,无法配置成功。
技术图片

附录3
必须使用域管理员administrator进行登录,否则报错如下
技术图片

以上是关于Xenserver加域管理的主要内容,如果未能解决你的问题,请参考以下文章

XenServer 用户管理 简介。

Linux虚拟化之XenServer的安装与配置管理

XenServer架构之XAPI

自动加域--Script

Citrix XenApp&XenDesktop 7.15 部署实践指南——第二节·环境介绍

XenServer体系架构解析