Windows容器中托管的應用程序的Windows身份驗證

Question

我想使用Windows身份驗證訪問Windows容器（在Windows Server 2016 TP4中）中托管的ASP.NET應用程序。 為此，我想我需要將容器添加到Active Directory域中。 是否可以將Windows容器（或Hyper-V容器）添加到域中？ 微軟對此沒有明確的文檔，我本人嘗試使用PowerShell將容器添加到域中，但是沒有運氣。

如果不支持加入容器的域，是否有其他方法可以在Windows或Hyper-V容器中托管的Web應用程序中啟用Windows身份驗證？

任何輸入將不勝感激。

Answer 1

Microsoft最近為容器使用域憑據訪問資源提供了一種解決方案： 組托管服務帳戶 。

盡管Windows容器不能加入域，但它們也可以利用Active Directory域標識，類似於將設備加入領域時。 使用Windows Server 2012 R2域控制器，我們引入了一個稱為組托管服務帳戶（gMSA）的新域帳戶，該帳戶旨在由服務共享。

此外，這是一份詳細介紹具體步驟的指南 ，涵蓋以下內容：

使用模擬的域標識來部署容器很簡單，並且基於使用Windows Server和Active Directory的現有工作流。

部署此功能需要：

• 在Windows Server 2012或更高功能級別上運行的現有Active Directory域
• 具有容器角色和Docker的Windows Server 2016。 這將被稱為容器主機 。 這些主機需要加入域。

本指南將詳細介紹部署容器的以下步驟：

1. 在Active Directory中為每個應用程序/服務創建一個組托管服務帳戶
2. 授予每個容器主機訪問權限以使用組托管服務帳戶
3. 在每個容器主機上添加配置文件，這些文件存儲有關組托管服務帳戶的詳細信息。 這些將被稱為憑據規范
4. 使用一個參數來啟動容器，該參數會告訴您要使用的憑據規范

Answer 2

Windows容器的摘錄-正在進行中

“容器不能加入Active Directory域，也不能以域用戶，服務帳戶或計算機帳戶的身份運行服務或應用程序。”