Sdílet prostřednictvím

Povolení hybridního prostředí AD/Microsoft Entra ID v univerzálním tisku

  • Článek

Platí pro: Windows Server 2016

Pozadí

Tyto informace vám pomůžou rozhodnout, jestli je povolení hybridní konfigurace AD pro vaši organizaci správnou volbou.

Co je hybridní konfigurace AD?

Hybridní konfigurace AD je nastavení, ve kterém organizace používá jak AD, tak i Microsoft Entra ID. V takovém prostředí existuje uživatelský účet v obou těchto adresářových službách.

Co znamená povolení hybridní konfigurace AD?

Konektor pro Univerzální tisk běží jako služba Systému Windows na počítači, na kterém je nainstalovaná. Jednou z funkcí konektoru je načtení tiskových úloh z univerzálního tisku a jejich odeslání do cílové tiskárny. Konektor používá účet System k odesílání tiskových úloh do zařazování. Portál Univerzální tisk proto zobrazí uživatelské jméno Microsoft Entra ID, které odeslalo tiskovou úlohu, všechny tiskové úlohy vytištěné pomocí Univerzálního tisku se zobrazí ve frontě tiskárny systému Windows ve frontě tiskárny systému Windows, jak odeslal uživatel "Systém".

Některé starší aplikace pro správu tisku, které spoléhají na domény služby Active Directory, čtou uživatelské jméno z fronty zařazování a používají tyto informace k provedení určité funkce (např. odečtěte tiskovou úlohu z kvóty měsíčního tisku uživatele). Dokud nebudou tyto aplikace aktualizovány tak, aby bez problémů fungovaly s univerzálním tiskem, nebudou moci získat identitu uživatele, který pochází z tiskové úlohy.

Pokud je v Konektor pro Univerzální tisk zapnutá možnost Povolit hybridní konfiguraci AD, konektor se pokusí namapovat identitu uživatele Microsoft Entra ID na odpovídající identitu uživatele místní domény AD. Pokud se najde odpovídající identita, služba konektoru zosobní identitu domény daného uživatele před odesláním tiskové úlohy do zařazování. V takovém případě se uživatelské jméno domény uživatele, který pochází z tiskové úlohy, zobrazí ve frontě zařazování ve frontě zařazování na počítači konektoru, což umožňuje čtení starších aplikací.

Požadavky

Před zahájením této instalace potřebujete získat řadu předplatných, služeb a počítačů. Jsou to následující:

Postup nasazení

Následující postup vám umožní nastavit typické nasazení univerzálního tisku potřebné pro povolení hybridního prostředí AD/Microsoft Entra ID Environment.

Krok 1 – instalace nástroje Microsoft Entra ID Connect

  1. Připojení Microsoft Entra ID synchronizuje ID Microsoft Entra s místní službou AD. Na počítači s Windows Serverem se službou Active Directory stáhněte a nainstalujte software Microsoft Entra ID Connect s expresním nastavením. Viz Začínáme se službou Microsoft Entra ID Connect pomocí expresního nastavení.

Krok 2 – Nastavení tiskového serveru

  1. Ujistěte se, že je na tiskovém serveru nainstalované všechny dostupné služba Windows Update (před pokračováním aktualizujte server).

    Poznámka: Server 2019 musí být opraven na build 17763.165 nebo novější.

    Na počítači s Windows Serverem, který funguje jako tiskový server, bychom museli nainstalovat roli tiskového serveru.

    Tiskové role serveru

  2. Aby se zajistilo, že místní ad mapuje s účty Microsoft Entra ID, musí být Windows Server, který funguje jako Print Server, hybridním připojeným k Azure nebo připojeným k Azure. Pokud chcete zajistit dokončení všech kroků, podívejte se na nastavení univerzálního tisku. Zkrátka

Krok 3 – Nastavení synchronizace adresáře místní služby AD s ID Microsoft Entra

Uživatelé nebo skupiny musí existovat v místní Active Directory a synchronizovat s Microsoft Entra ID. Pokud je řešení nasazené do nesměrovatelné domény (např. mydomain.local), musí být doména Microsoft Entra ID (např. domainname.onmicrosoft.com nebo jedna zakoupená od jiného dodavatele) přidána jako přípona hlavního názvu uživatele (UPN) pro místní Active Directory. To je tak stejný uživatel, který bude publikovat tiskárny (např. admin@doménu.onmicrosoft.com). Informace o tom, jestli je místní doména přidaná a synchronizovaná, najdete v tématu Příprava nesměrovatelné domény pro synchronizaci adresářů.

Poznámka: Jedná se o důležitý krok, protože se jedná o základní požadavek na úplné nastavení. Místní uživatel AD musí mít stejné uživatelské jméno u synchronizovaného účtu Microsoft Entra ID.
Příklad: Doména/uživatel1 by se měla přeložit na user1@example.com

Po dokončení synchronizace (výchozí frekvence synchronizace je 30 minut), můžete ověřit, že se uživatelé AD synchronizují na portálu pro správu. V části Microsoft Entra ID vyberte kartu uživatelé a zobrazí se seznam všech uživatelů. V seznamu by bylo snadné ověřit, jestli je uživatel synchronizovaný s adresářem. Podrobnosti uživatele by měly ukázat, že zdrojem je Windows Server AD.

Uživatel je synchronizovaný adresář

Krok 4: Povolení podpory hybridního AD/Microsoft Entra ID v konektoru Pro univerzální tisk

Na tiskovém serveru, na kterém je konektor nainstalovaný, musí být v pravém horním rohu aplikace přepínač.

  • V konektoru vyberte přepínač Pro povolení hybridní konfigurace AD.

Povolení hybridní konfigurace AD

Ověření nasazení

Ověření, že nasazení by bylo odesláním testovací tiskové úlohy tiskovému serveru pomocí přihlašovacích údajů Microsoft Entra ID na klientském počítači připojeném k AD.

Počítač musí být připojený ke stejnému účtu, se kterým je propojený během kroku synchronizace. Přejděte do e-mailových účtů>nastavení>a účtů. Klikněte na Přidat pracovní nebo školní účet a přihlaste se pomocí přihlašovacích údajů a přidejte do klientského počítače účet Microsoft Entra ID.

Postup odeslání testovacího tisku pro ověření nasazení:

  • Přidání tiskárny a tisk testovací stránky
  • Jakmile si všimnete tiskové úlohy ve frontě tisku, tiskový server ve složce C:/prints by měl mít testovací tiskový soubor v názvu printerName.pdf.
  • Pokud se zobrazí tento soubor, můžete zkontrolovat, jestli mapování proběhlo úspěšně, a to tak, že zkontrolujete protokoly událostí v cestě uvedené v části Řešení potíží s protokoly tiskového serveru.

Řešení problému

Níže jsou uvedené běžné problémy, ke kterým dochází během nasazování:

Chyba Doporučené kroky
Požadavek na přidání nebo odebrání funkcí na zadaném serveru se nezdařil. Zkontrolujte, jestli windows Server obsahuje nejnovější aktualizaci. Zkontrolujte aktualizace na serveru.
Kontrola, jestli je server doména a připojený k Azure Spusťte příkaz dsregcmd na příkazovém řádku a zkontrolujte, jestli jsou azureADJoined a DomainJoined nastavené na ano.
Tiskové úlohy zůstávají ve stavu Odeslaná do tiskárny
  • Ujistěte se, že je na konektoru povolený protokol TLS 1.2. Podívejte se na odkazovaný článek v kroku 2.
  • Ujistěte se, že je na konektoru zakázaný protokol HTTP2. Podívejte se na odkazovaný článek v kroku 2.
    		•
    Tiskové úlohy se na portálu zobrazují jako přerušené. V protokolu událostí tiskového konektoru se zobrazuje událost 27 Nepovedlo se zosobnit <uživatele> pro ID> úlohy <a potom událost 9 " PrintJob failed System.Security.SecurityException: Uživatelské jméno nebo heslo je nesprávné...". Zkontrolujte, jestli je účet počítače členem skupiny Windows Authorization Access Group, jak je popsáno zde – Aplikace a rozhraní API vyžadují přístup.

    Další problémy s řešením potíží souvisejících s univerzálním tiskem najdete v průvodci odstraňováním potíží s univerzálním tiskem.

    Níže najdete umístění protokolů, které vám můžou pomoct s řešením potíží:

    Komponenta Umístění protokolu
    Klient Windows 10
  • Pomocí Prohlížeč událostí zobrazíte protokol operací s ID Microsoft Entra. Klikněte na Start a zadejte Prohlížeč událostí. Přejděte do části Protokoly > aplikací a služeb microsoft > Windows > Microsoft Entra ID > operace.
  • Ke shromažďování protokolů použijte Centrum Feedback. Viz Odeslání zpětné vazby Microsoftu pomocí aplikace Centrum Feedback
    		•
    Tiskový server Protokol tiskového konektoru zobrazíte pomocí Prohlížeč událostí. Klikněte na Start a zadejte Prohlížeč událostí. Přejděte do části Protokoly > aplikací a služeb microsoft > Windows > PrintConnector > Operational.