Spuštění kontejneru pomocí gMSA

Platí pro: Windows Server 2025, Windows Server 2022, Windows Server 2019

Pokud chcete spustit kontejner s účtem gMSA (Group Managed Service Account), zadejte soubor specifikace přihlašovacích údajů --security-opt parametru spuštění dockeru:

docker run --security-opt "credentialspec=file://contoso_webapp01.json" --hostname webapp01 -it mcr.microsoft.com/windows/server:ltsc2022 powershell

Důležitý

Ve Windows Serveru 2016 verze 1709 a 1803 musí název hostitele kontejneru odpovídat krátkému názvu gMSA.

V předchozím příkladu je název účtu SAM gMSA webapp01, takže název hostitele kontejneru má také název webapp01.

Ve Windows Serveru 2019 a novějším se pole názvu hostitele nevyžaduje, ale kontejner se bude stále identifikovat názvem gMSA místo názvu hostitele, i když explicitně zadáte jiný název.

Pokud chcete zkontrolovat, jestli gMSA funguje správně, spusťte v kontejneru následující rutinu:

# Replace contoso.com with your own domain
PS C:\> nltest /sc_verify:contoso.com

Flags: b0 HAS_IP  HAS_TIMESERV
Trusted DC Name \\dc01.contoso.com
Trusted DC Connection Status Status = 0 0x0 NERR_Success
Trust Verification Status = 0 0x0 NERR_Success
The command completed successfully

Pokud stav důvěryhodného připojení řadiče domény a stav ověření důvěryhodnosti nejsou NERR_Success, postupujte podle pokynů k řešení potíží pro odstraňování chyb.

Identitu gMSA můžete ověřit v kontejneru spuštěním následujícího příkazu a kontrolou názvu klienta:

PS C:\> klist get webapp01

Current LogonId is 0:0xaa79ef8
A ticket to krbtgt has been retrieved successfully.

Cached Tickets: (2)

#0>     Client: webapp01$ @ CONTOSO.COM
        Server: krbtgt/webapp01 @ CONTOSO.COM
        KerbTicket Encryption Type: AES-256-CTS-HMAC-SHA1-96
        Ticket Flags 0x40a10000 -> forwardable renewable pre_authent name_canonicalize
        Start Time: 3/21/2019 4:17:53 (local)
        End Time:   3/21/2019 14:17:53 (local)
        Renew Time: 3/28/2019 4:17:42 (local)
        Session Key Type: AES-256-CTS-HMAC-SHA1-96
        Cache Flags: 0
        Kdc Called: dc01.contoso.com

[...]

Pokud chcete otevřít PowerShell nebo jinou konzolovou aplikaci jako účet gMSA, můžete požádat kontejner, aby se spustil pod účtem síťové služby místo normálního účtu ContainerAdministrator (nebo ContainerUser pro NanoServer):

# NOTE: you can only run as Network Service or SYSTEM on Windows Server 1709 and later
docker run --security-opt "credentialspec=file://contoso_webapp01.json" --hostname webapp01 --user "NT AUTHORITY\NETWORK SERVICE" -it mcr.microsoft.com/windows/servercore:ltsc2019 powershell

Když používáte službu Síťová služba (Network Service), můžete otestovat síťovou autentizaci jako gMSA tak, že se pokusíte připojit k SYSVOL na doménovém řadiči:

# This command should succeed if you're successfully running as the gMSA
PS C:\> dir \\contoso.com\SYSVOL


    Directory: \\contoso.com\sysvol


Mode                LastWriteTime         Length Name
----                -------------         ------ ----
d----l        2/27/2019   8:09 PM                contoso.com

Související obsah

Kromě spouštění kontejnerů můžete také použít gMSA k:

• Konfigurace aplikací
• Orchestrace kontejnerů
• S gMSA ve službě Azure Kubernetes Service

Pokud během instalace narazíte na nějaké problémy, projděte si našeho průvodce odstraňováním potíží pro možná řešení .