Włączanie hybrydowego środowiska AD/Microsoft Entra ID w usłudze Universal Print
Dotyczy: system Windows Server 2016
Tło
Te informacje mają pomóc w podjęciu decyzji, czy włączenie konfiguracji hybrydowej usługi AD jest właściwym wyborem dla twojej organizacji.
Co to jest konfiguracja hybrydowej usługi AD?
Konfiguracja hybrydowej usługi AD to konfiguracja, w której organizacja używa zarówno usługi AD, jak i identyfikatora Entra firmy Microsoft. W takim środowisku konto użytkownika istnieje w obu tych usługach katalogowych.
Co oznacza "Włączanie konfiguracji hybrydowej usługi AD"?
Łącznik Drukowanie uniwersalne działa jako usługa systemu Windows na komputerze, na którym jest zainstalowana. Jedną z funkcji łącznika jest pobranie zadań drukowania z usługi Universal Print i wysłanie ich do drukarki docelowej. Łącznik używa konta "System" do przesyłania zadań drukowania do buforu. W związku z tym, mimo że portal usługi Universal Print wyświetli nazwę użytkownika Microsoft Entra ID, która przesłała zadanie drukowania, każde zadanie drukowania drukowane przy użyciu usługi Universal Print będzie wyświetlane w kolejce drukarki systemu Windows w łączniku zgodnie z przesłanym przez użytkownika "System".
Niektóre starsze aplikacje do zarządzania drukowaniem, które opierają się na domenach usługi Active Directory, odczytują nazwę użytkownika z kolejki buforu i używają tych informacji do wykonywania niektórych funkcji (np. odejmowania zadania drukowania z miesięcznego limitu przydziału drukowania użytkownika). Dopóki te aplikacje nie będą aktualizowane tak, aby działały wydajniej z usługą Universal Print, nie będą mogły uzyskać tożsamości użytkownika, który utworzył zadanie drukowania.
Po włączeniu opcji "Włącz konfigurację hybrydowej usługi AD" w łącznik Drukowanie uniwersalne łącznik próbuje zamapować tożsamość użytkownika identyfikatora entra firmy Microsoft na odpowiadającą tożsamość użytkownika domeny lokalnej usługi AD. Jeśli zostanie znaleziona zgodna tożsamość, usługa łącznika personifikuje tożsamość domeny tego użytkownika przed przesłaniem zadania drukowania do buforu w ich imieniu. W takim przypadku nazwa użytkownika domeny, który utworzył zadanie drukowania, zostanie wyświetlona w kolejce buforu na komputerze łącznika, co pozwoli starszym aplikacjom go odczytać.
Wymagania wstępne
Istnieje wiele subskrypcji, usług i komputerów, które należy uzyskać przed rozpoczęciem tej instalacji. Są one następujące:
Subskrypcja Microsoft Entra ID Premium.
Zobacz Wprowadzenie do subskrypcji platformy Azure, aby uzyskać subskrypcję wersji próbnej na platformie Azure.
Usługa MDM, taka jak intune.
Zobacz Microsoft Intune , aby uzyskać subskrypcję wersji próbnej usługi Intune.
System Windows Server 2016 lub nowszy z uruchomioną usługą Active Directory.
Zobacz Krok po kroku: Konfigurowanie usługi Active Directory w systemie Windows Server 2016 , aby uzyskać pomoc dotyczącą konfigurowania usługi Active Directory.
Dedykowany, przyłączony do domeny komputer z systemem Windows Server 2016 lub nowszym z systemem jako serwer wydruku i łącznik Drukowanie uniwersalne.
Aby uzyskać więcej informacji, zobacz Omówienie łączników usługi Microsoft Entra ID serwer proxy aplikacji.
Publiczna nazwa domeny.
Możesz użyć nazwy domeny utworzonej dla Ciebie przez platformę Azure (nazwadomeny.onmicrosoft.com) lub kupić własną nazwę domeny. Zobacz Dodawanie niestandardowej nazwy domeny przy użyciu portalu Microsoft Entra ID.
Kroki wdrażania
Poniższe kroki umożliwiają skonfigurowanie typowego wdrożenia usługi Universal Print wymaganego do włączenia hybrydowego środowiska AD/Microsoft Entra ID Environment.
Krok 1. Instalowanie programu Microsoft Entra ID Connect
- Program Microsoft Entra ID connect synchronizuje identyfikator entra firmy Microsoft z lokalną usługą AD. Na maszynie z systemem Windows Server z usługą Active Directory pobierz i zainstaluj oprogramowanie Microsoft Entra ID Connect z ustawieniami ekspresowymi. Zobacz Wprowadzenie do programu Microsoft Entra ID Connect przy użyciu ustawień ekspresowych.
Krok 2. Konfigurowanie serwera wydruku
Przed kontynuowaniem upewnij się, że serwer wydruku ma zainstalowaną całą dostępną usługę Windows Update (zaktualizuj serwer przed kontynuowaniem).
Uwaga: Serwer 2019 musi być poprawiony w celu kompilacji 17763.165 lub nowszej.
Na maszynie z systemem Windows Server, która działa jako serwer wydruku, należy zainstalować rolę serwera wydruku.
- Aby uzyskać szczegółowe informacje na temat instalowania ról, ról i funkcji, zobacz Instalowanie ról, usług ról i funkcji przy użyciu Kreatora dodawania ról i funkcji.
Aby upewnić się, że lokalne mapy usługi AD z kontami Microsoft Entra ID, system Windows Server, który działa jako serwer wydruku, musi być przyłączony hybrydowy/przyłączony do platformy Azure. Zobacz Ustawienia usługi Universal Print, aby upewnić się, że wszystkie kroki zostały wykonane. Krótko mówiąc,
- Zainstaluj łącznik usługi Universal Print na maszynie serwera wydruku, jeśli jeszcze tego nie zrobiono.
- Zarejestruj łącznik w usłudze Universal Print, podając unikatową nazwę łącznika.
- Udostępnianie zarejestrowanych drukarek w portalu administracyjnym.
Krok 3. Konfigurowanie synchronizacji katalogu lokalnej usługi AD z identyfikatorem Entra firmy Microsoft
Użytkownicy lub grupy muszą istnieć w lokalna usługa Active Directory i zsynchronizować z identyfikatorem Entra firmy Microsoft. Jeśli rozwiązanie jest wdrażane w domenie innej niż routing (np. mydomain.local), domena Microsoft Entra ID (np. nazwa_domeny.onmicrosoft.com lub jedna zakupiona od dostawcy innej firmy) musi zostać dodana jako sufiks nazwy UPN do lokalna usługa Active Directory. Jest to więc dokładnie ten sam użytkownik, który będzie publikować drukarki (np. admin@domainname.onmicrosoft.com). Aby upewnić się, że domena lokalna została dodana i zsynchronizowana, zobacz Przygotowywanie domeny niezwiązanej z routingiem na potrzeby synchronizacji katalogów.
Uwaga: jest to ważny krok, ponieważ jest to podstawowe wymaganie dotyczące pełnej konfiguracji. Użytkownik lokalnej usługi AD musi mieć taką samą nazwę użytkownika na zsynchronizowanym koncie microsoft Entra ID.
Przykład: domena/użytkownik1 powinien zostać przetłumaczony na user1@example.com
Po zakończeniu synchronizacji (domyślna częstotliwość synchronizacji wynosi 30 minut), możesz sprawdzić, czy użytkownicy usługi AD są synchronizowani w portalu administracyjnym. W obszarze Microsoft Entra ID wybierz kartę użytkownicy i zostanie wyświetlona lista wszystkich użytkowników. Łatwo byłoby sprawdzić, czy użytkownik jest zsynchronizowany z katalogiem na tej liście. Szczegóły użytkownika powinny pokazać, że źródłem jest usługa AD systemu Windows Server.
Krok 4. Włączanie obsługi hybrydowego identyfikatora ad/Microsoft Entra ID w łączniku usługi Universal Print
Na serwerze wydruku, na którym jest zainstalowany łącznik, musi być przycisk przełącznika w prawym górnym rogu aplikacji.
- Wybierz przycisk radiowy włącz opcję Włącz konfigurację hybrydowej usługi AD w łączniku.
Weryfikowanie wdrożenia
Sprawdzenie, czy wdrożenie byłoby spowodowane wysłaniem zadania drukowania testowego do serwera wydruku przy użyciu poświadczeń identyfikatora Entra firmy Microsoft na maszynie klienckiej przyłączonej do usługi AD.
Komputer musi być dołączony do identyfikatora Entra firmy Microsoft z tym samym kontem, z jakim jest połączony podczas kroku synchronizacji. Przejdź do pozycji Ustawienia>Konta>e-mail i konta. Kliknij pozycję Dodaj konto służbowe i zaloguj się przy użyciu poświadczeń, aby dodać konto Microsoft Entra ID do komputera klienckiego.
Poniżej przedstawiono kroki przesyłania wydruku testowego w celu sprawdzenia, czy wdrożenie jest następujące:
- Dodawanie drukarki i drukowanie strony testowej
- Po wyświetleniu zadania drukowania umieszczonego w kolejce wydruku serwer wydruku w folderze C:/prints powinien pojawić się w nazwie printerName.pdf.
- Jeśli ten plik zostanie wyświetlony, możesz sprawdzić, czy mapowanie zostało pomyślnie wykonane, sprawdzając dzienniki zdarzeń w ścieżce wymienionej w sekcji Rozwiązywanie problemów dla dzienników serwera wydruku.
Rozwiązywanie problemów
Poniżej przedstawiono typowe problemy występujące podczas wdrażania:
| Błąd | Zalecane czynności |
|---|---|
| Żądanie dodania lub usunięcia funkcji na określonym serwerze nie powiodło się | Upewnij się, że system Windows Server ma najnowszą aktualizację, sprawdzając dostępność aktualizacji na serwerze. |
| Sprawdzanie, czy serwer jest przyłączony do domeny i platformy Azure | Uruchom polecenie dsregcmd w wierszu polecenia i sprawdź, czy w obszarze AzureADJoined i DomainJoined ustawiono stan "TAK". |
| Zadania drukowania pozostają w stanie Wysyłania do drukarki | |
| Zadania drukowania są wyświetlane jako "Przerwane" w portalu. Dziennik zdarzeń łącznika wydruku pokazuje zdarzenie 27 "Nie można personifikować <użytkownika> dla identyfikatora> zadania<, a następnie zdarzenie 9 "PrintJob failed System.Security.SecurityException: Nazwa użytkownika lub hasło jest niepoprawne...". | Sprawdź, czy konto komputera należy do grupy dostępu autoryzacji systemu Windows, zgodnie z opisem w tym miejscu — aplikacje i interfejsy API wymagają dostępu. |
Aby uzyskać więcej pomocy podczas rozwiązywania problemów związanych z usługą Universal Print, zobacz Przewodnik rozwiązywania problemów z usługą Universal Print.
Poniżej przedstawiono lokalizacje dzienników, które mogą pomóc w rozwiązywaniu problemów:
| Składnik | Lokalizacja dziennika |
|---|---|
| Klient systemu Windows 10 | |
| Serwer wydruku | Użyj Podgląd zdarzeń, aby wyświetlić dziennik łącznika wydruku. Kliknij przycisk Start i wpisz Podgląd zdarzeń. Przejdź do pozycji Dzienniki > aplikacji i usług Microsoft > Windows > PrintConnector > Operational. |