Habilitación del entorno híbrido de AD/Microsoft Entra ID en impresión universal
Se aplica a: Windows Server 2016
Fondo
Esta información está pensada para ayudarle a decidir si habilitar la configuración de AD híbrida es la opción adecuada para su organización.
¿Qué es una configuración de AD híbrida?
Una configuración de AD híbrida es una configuración en la que la organización usa AD, así como el identificador de Microsoft Entra. En este entorno, existe una cuenta de usuario en ambos servicios de directorio.
¿Qué significa "Habilitar la configuración de AD híbrida"
El conector de Impresión universal se ejecuta como servicio de Windows en el equipo donde está instalado. Una de las funciones del conector es recuperar trabajos de impresión de Impresión universal y enviarlos a la impresora de destino. El conector usa la cuenta "Sistema" para enviar trabajos de impresión al administrador de trabajos de impresión. Por lo tanto, aunque el portal de impresión universal mostrará el nombre de usuario del id. de Entra de Microsoft que envió un trabajo de impresión, cada trabajo de impresión impreso con impresión universal se mostrará en la cola de impresoras de Windows en el conector tal como lo envió el usuario "System".
Algunas aplicaciones de administración de impresión heredadas que se basan en dominios de Active Directory, leen el nombre de usuario de la cola de colas y usan esa información para realizar alguna función (por ejemplo, deducir el trabajo de impresión de la cuota de impresión mensual de un usuario). Hasta que estas aplicaciones se actualicen para que funcionen más sin problemas con la impresión universal, no podrán obtener la identidad del usuario que originó un trabajo de impresión.
Cuando la opción "Habilitar configuración de AD híbrida" está activada en la conector de Impresión universal, el conector intenta asignar la identidad de usuario del identificador de Entra de Microsoft a una identidad de usuario de dominio de AD local correspondiente. Si se encuentra una identidad coincidente, el servicio del conector suplanta la identidad de dominio del usuario antes de enviar el trabajo de impresión al colador en su nombre. En ese caso, el nombre de usuario del dominio del usuario que originó el trabajo de impresión se mostrará en la cola de cola del conector en el equipo conector, lo que permite a las aplicaciones heredadas leerlo.
Requisitos previos
Hay varias suscripciones, servicios y equipos que deberá adquirir antes de iniciar esta instalación. Los pasos son los siguientes:
Suscripción premium de Microsoft Entra ID.
Consulte Introducción a una suscripción de Azure para obtener una suscripción de prueba a Azure.
Servicio MDM, como Intune.
Consulte Microsoft Intune para obtener una suscripción de prueba a Intune.
Una máquina con Windows Server 2016 o posterior que ejecuta Active Directory.
Consulte Paso a paso: Configuración de Active Directory en Windows Server 2016 para obtener ayuda para configurar Active Directory.
Una máquina windows Server 2016 o posterior dedicada unida a un dominio que se ejecuta como un servidor de impresión y un conector de Impresión universal.
Para obtener más información, consulte Descripción de los conectores del proxy de aplicación de Id. de Microsoft Entra.
Nombre de dominio orientado al público.
Puede usar el nombre de dominio creado automáticamente por Azure (domainname.onmicrosoft.com) o comprar su propio nombre de dominio. Consulte Agregar el nombre de dominio personalizado mediante el portal de id. de Microsoft Entra.
Pasos de implementación
Los pasos siguientes le permitirían configurar una implementación típica de impresión universal necesaria para habilitar el entorno híbrido de AD/Microsoft Entra ID Environment.
Paso 1: Instalar Microsoft Entra ID Connect
- Microsoft Entra ID connect sincroniza el identificador de Microsoft Entra con AD local. En la máquina Windows Server con Active Directory, descargue e instale el software Microsoft Entra ID Connect con la configuración rápida. Consulte Introducción a Microsoft Entra ID Connect mediante la configuración rápida.
Paso 2: Configurar el servidor de impresión
Asegúrese de que el servidor de impresión tenga instaladas todas las actualizaciones de Windows disponibles (actualice el servidor antes de continuar).
Nota: Es necesario aplicar un parche a Server 2019 para compilar 17763.165 o posterior.
En la máquina Windows Server que actúa como servidor de impresión, tendríamos que instalar el rol de servidor de impresión.
- Consulte Instalación de roles, servicios de rol y características mediante el Asistente para agregar roles y características para obtener más información sobre cómo instalar roles del servidor.
Para asegurarse de que la instancia de AD local se asigna con las cuentas de Id. de Microsoft Entra, Windows Server que actúa como servidor de impresión debe estar unido a híbridos o unidos a Azure. Consulte Configuración de impresión universal para asegurarse de que se han completado todos los pasos. En resumen
- Instale el conector de impresión universal en la máquina del servidor de impresión si aún no lo ha hecho.
- Registre el conector con Impresión universal proporcionando un nombre único para el conector.
- Comparta las impresoras registradas en el portal administrativo.
Paso 3: Configurar la sincronización de directorios de AD local con el identificador de Microsoft Entra
Los usuarios o grupos deben existir en Active Directory local y sincronizarse con el identificador de Microsoft Entra. Si la solución se implementa en un dominio no enrutable (por ejemplo, mydomain.local), el dominio de id. de Microsoft Entra (por ejemplo, domainname.onmicrosoft.com o uno comprado desde un proveedor de terceros) debe agregarse como sufijo UPN a Active Directory local. Esto es así como el mismo usuario que va a publicar impresoras (por ejemplo, admin@domainname.onmicrosoft.com). Consulte Preparación de un dominio no enrutable para la sincronización de directorios para asegurarse de que el dominio local se agrega y sincroniza.
Nota: Este es un paso importante, ya que es el requisito básico para una configuración completa. El usuario de AD local debe tener el mismo nombre de usuario en la cuenta de id. de Microsoft Entra sincronizada.
Ejemplo: domain/user1 debe traducirse a user1@example.com
Una vez que se realiza la sincronización (la frecuencia de sincronización predeterminada es de 30 minutos), puede comprobar que los usuarios de AD se sincronizan en el portal administrativo. En Id. de Entra de Microsoft, seleccione la pestaña usuarios y aparecerá una lista de todos los usuarios. Sería fácil comprobar si un usuario está sincronizado en esa lista. Los detalles de un usuario deben mostrar que el origen es Windows Server AD.
Paso 4: Habilitación de la compatibilidad de AD/Microsoft Entra ID híbrido en universal Print Connector
En el servidor de impresión donde está instalado el conector, debe haber un botón de alternancia en la esquina superior derecha de la aplicación.
- Seleccione el botón de radio de la opción Habilitar configuración de AD híbrido en el conector.
Comprobar la implementación
Para comprobar que la implementación sería mediante el envío de un trabajo de impresión de prueba al servidor de impresión mediante las credenciales del identificador de Entra de Microsoft en un equipo cliente unido a AD.
La máquina debe estar unida al identificador de Entra de Microsoft con la misma cuenta con la que está vinculado durante el paso de sincronización. Vaya a Configuración>Cuentas>de correo electrónico y cuentas. Haga clic en Agregar una cuenta profesional o educativa e inicie sesión con las credenciales para agregar la cuenta de Id. de Microsoft Entra al equipo cliente.
A continuación se indican los pasos para enviar una impresión de prueba para comprobar que la implementación es la siguiente:
- Agregar una impresora e imprimir una página de prueba
- Una vez que observe un trabajo de impresión en cola en la cola de impresión, el servidor de impresión de la carpeta C:/prints debe tener un archivo de impresión de prueba que aparezca en el nombre printerName.pdf.
- Si aparece este archivo, puede comprobar si la asignación se ha producido correctamente comprobando los registros de eventos en la ruta de acceso mencionada en la sección Solución de problemas de registros del servidor de impresión.
Solución de problemas
A continuación se muestran los problemas comunes detectados durante la implementación:
| Error | Pasos recomendados |
|---|---|
| Error en la solicitud para agregar o quitar características en el servidor especificado. | Asegúrese de que Windows Server tiene la actualización más reciente comprobando si hay actualizaciones en el servidor. |
| Comprobación de si el servidor está unido a Dominio y Azure | Ejecute dsregcmd en el símbolo del sistema y compruebe si AzureADJoined y DomainJoined están establecidos en estado "YES". |
| Los trabajos de impresión permanecen en estado Enviado a la impresora | |
| Los trabajos de impresión se muestran como "Anulados" en el portal. El registro de eventos del conector de impresión muestra el evento 27 "No se pudo suplantar al usuario> para el <identificador> de trabajo<, seguido del evento 9 "Error de PrintJob System.Security.SecurityException: el nombre de usuario o la contraseña son incorrectos...". | Compruebe que la cuenta de equipo es miembro del "Grupo de acceso de autorización de Windows", como se describe aquí: las aplicaciones y las API requieren acceso. |
Para obtener más problemas para solucionar problemas relacionados con la impresión universal, consulte la guía de solución de problemas de impresión universal.
A continuación se muestran las ubicaciones de los registros que pueden ayudar a solucionar problemas:
| Componente | Ubicación del registro |
|---|---|
| Cliente de Windows 10 | |
| Servidor de impresión | Use Visor de eventos para ver el registro del conector de impresión. Haga clic en Inicio y escriba Visor de eventos. Vaya a Registros > de aplicaciones y servicios de Microsoft > Windows > PrintConnector > Operational. |