我想使用 Windows 身份验证来访问托管在 Windows 容器中的 ASP.NET 应用程序(在 Windows Server 2016 TP4 中)。为此,我认为我需要将容器添加到 Active Directory 域。是否可以将 Windows 容器(或 Hyper-V 容器)添加到域中?Microsoft 对此没有明确的文档,我自己尝试使用 PowerShell 将容器添加到域,但没有运气。
如果不支持加入容器的域,是否有其他方法可以在 Windows 或 Hyper-V 容器中托管的 Web 应用程序中启用 Windows 身份验证?
任何输入将不胜感激。
微软最近提供了一个容器使用域凭据访问资源的解决方案:组托管服务帐户。
尽管 Windows 容器不能加入域,但它们也可以利用 Active Directory 域标识,类似于设备加入域时。对于 Windows Server 2012 R2 域控制器,我们引入了一个名为组托管服务帐户 (gMSA) 的新域帐户,该帐户旨在由服务共享。
此外,这里有一份详细介绍具体步骤的指南,包括以下内容:
使用模拟域身份部署容器很简单,并且基于使用 Windows Server 和 Active Directory 的现有工作流。
部署此功能需要:
- 在 Windows Server 2012 或更高功能级别运行的现有 Active Directory 域
- 安装了容器角色和 Docker 的 Windows Server 2016。这将被称为容器主机。这些主机需要加入域。
本指南将详细介绍部署容器的以下步骤:
- 在 Active Directory 中为每个应用程序/服务创建一个组托管服务帐户
- 授予每个容器主机访问权限以使用组托管服务帐户
- 在每个容器主机上添加配置文件,以存储有关组托管服务帐户的详细信息。这些将被称为凭证规范
- 使用参数启动容器,告知使用哪个凭证规范
Windows 容器的提取- 正在进行中
“容器不能加入 Active Directory 域,也不能以域用户、服务帐户或机器帐户的身份运行服务或应用程序。”