我想使用Windows身份validation来访问托pipe在Windows容器中的ASP.NET应用程序(在Windows Server 2016 TP4中)。 为此,我认为我需要将容器添加到Active Directory域。 是否可以将Windows容器(或Hyper-V容器)添加到域中? 微软没有明确的文件,我自己也尝试使用PowerShell将容器添加到域中,但没有运气。
如果不支持join容器的域,那么在Windows或Hyper-V容器中托pipe的Web应用程序中是否有其他方法来启用Windows身份validation?
任何input将不胜感激。
Microsoft最近为容器使用域凭证访问资源提供了一个解决方案: 组托管服务帐户 。
虽然Windows Containers不能加入域,但它们也可以利用Active Directory域标识,类似于设备处于域加入状态。 借助Windows server 2012 R2域控制器,我们引入了一个名为“组托管服务帐户”(gMSA)的新域帐户,该帐户旨在由服务共享。
另外,下面是一个详细介绍具体步骤的指南 ,涵盖以下内容:
使用模拟域身份来部署容器非常简单,并且基于使用Windows server和Active Directory的现有工作流。
部署此功能需要:
- 在Windows server 2012或更高版本功能级别运行的现有Active Directory域
- 安装了Container角色和Docker的Windows server 2016。 这将被称为容器主机 。 这些主机需要加入到域中。
本指南将涵盖以下步骤以详细部署容器:
- 在每个应用程序/服务的Active Directory中创建一个组托管服务帐户
- 为每个容器主机授予使用组托管服务帐户的权限
- 在存储有关组托管服务帐户的详细信息的每个容器主机上添加配置文件。 这些将被称为证书规格
- 使用一个参数来启动容器,告诉哪个凭证规范使用
Windows容器的解压缩- 正在进行中
“容器无法加入Active Directory域,并且无法以域用户,服务帐户或计算机帐户运行服务或应用程序。”