Hibrid AD/Microsoft Entra ID-környezet engedélyezése univerzális nyomtatásban
Érintett kiadások: Windows Server 2016
Háttér
Ezek az információk segítenek eldönteni, hogy a hibrid AD-konfiguráció engedélyezése a megfelelő választás-e a szervezet számára.
Mi a hibrid AD-konfiguráció?
A hibrid AD-konfiguráció olyan beállítás, amelyben a szervezet az AD-t és a Microsoft Entra-azonosítót is használja. Ilyen környezetben mindkét címtárszolgáltatásban létezik felhasználói fiók.
Mit jelent a hibrid AD-konfiguráció engedélyezése?
A Univerzális nyomtatás összekötője Windows-szolgáltatásként fut azon a számítógépen, amelyen telepítve van. Az összekötő egyik funkciója, hogy lekéri a nyomtatási feladatokat az Univerzális nyomtatásból, és elküldi őket a célnyomtatónak. Az összekötő a "System" fiókkal küldi el a nyomtatási feladatokat a nyomtatásisor-kezelőnek. Ezért annak ellenére, hogy az Univerzális nyomtatási portál megjeleníti a Nyomtatási feladatot beküldő Microsoft Entra-azonosító felhasználónevét, az univerzális nyomtatással kinyomtatott összes nyomtatási feladat megjelenik az összekötő Windows nyomtatósorában a "System" felhasználó által küldött módon.
Néhány régi, Active Directory-tartományra támaszkodó nyomtatáskezelő alkalmazás beolvassa a felhasználónevet a várólistáról, és az adatokat felhasználva valamilyen funkciót hajt végre (például levonja a nyomtatási feladatot a felhasználó havi nyomtatási kvótájából). Amíg ezeket az alkalmazásokat nem frissítik, hogy zökkenőmentesebben működjenek az Univerzális nyomtatással, nem fogják tudni beszerezni a nyomtatási feladatot létrehozó felhasználó identitását.
Ha a "Hibrid AD-konfiguráció engedélyezése" beállítás be van kapcsolva a Univerzális nyomtatás összekötője, az összekötő megpróbálja leképezni a Microsoft Entra ID felhasználói identitást egy megfelelő helyi AD-tartományi felhasználói identitásra. Ha talál egyező identitást, az összekötő szolgáltatás ezután megszemélyesíti a felhasználó tartományi identitását, mielőtt elküldené a nyomtatási feladatot a nyomtatásisor-kezelőnek a nevükben. Ebben az esetben a nyomtatási feladatot létrehozó felhasználó tartományneve megjelenik az összekötő PC-jén lévő várólistán, amely lehetővé teszi az örökölt alkalmazások számára, hogy elolvassák.
Előfeltételek
A telepítés megkezdése előtt számos előfizetést, szolgáltatást és számítógépet kell beszereznie. Ezek a következők:
Prémium szintű Microsoft Entra ID-előfizetés.
Tekintse meg az Azure-előfizetés használatának első lépéseit az Azure-beli próbaverziós előfizetéshez.
MDM szolgáltatás, például az Intune.
Az Intune próbaverziós előfizetését a Microsoft Intune-ban találhatja meg.
Az Active Directoryt futtató Windows Server 2016-os vagy újabb rendszerű gépek.
Az Active Directory beállításához lásd : Az Active Directory beállítása a Windows Server 2016-ban lépésről lépésre.
Dedikált, tartományhoz csatlakoztatott Windows Server 2016-os vagy újabb rendszerű gép, amely nyomtatókiszolgálóként és Univerzális nyomtatás összekötője fut.
További információt a Microsoft Entra-azonosítók alkalmazásproxy összekötőinek ismertetése című témakörben talál.
Nyilvánosan elérhető tartománynév.
Használhatja az Azure által létrehozott tartománynevet (domainname.onmicrosoft.com), vagy megvásárolhatja saját tartománynevét. Lásd: Egyéni tartománynév hozzáadása a Microsoft Entra ID portálon.
Központi telepítési lépések
Az alábbi lépések lehetővé teszik a hibrid AD/Microsoft Entra ID-környezet engedélyezéséhez szükséges általános univerzális nyomtatás üzembe helyezését.
1. lépés – A Microsoft Entra ID Csatlakozás telepítése
- A Microsoft Entra ID connect szinkronizálja a Microsoft Entra-azonosítót a helyszíni AD-hez. Az Active Directoryval rendelkező Windows Server-gépen töltse le és telepítse a Microsoft Entra-azonosítót Csatlakozás szoftvert expressz beállításokkal. A Microsoft Entra ID Csatlakozás használatának első lépései az expressz beállítások használatával című témakörben olvashat.
2. lépés – Alkalmazásproxy telepítése
Megjegyzés: Hagyja ki ezt a lépést, ha a nyomtatókiszolgáló már csatlakozik az AzureAD-hez.
Az alkalmazásproxyval a szervezet felhasználói hozzáférhetnek a helyszíni alkalmazásokhoz a felhőből. Telepítse alkalmazásproxy az összekötőre.
- A telepítési utasításokért lásd az oktatóanyagot: Helyszíni alkalmazás hozzáadása távoli hozzáféréshez alkalmazásproxy a Microsoft Entra-azonosítóban.
- Ha a szervezet összetett hálózati topológiával rendelkezik, dedikált összekötőcsoport használata ajánlott. Tekintse meg, hogyan tehet közzé alkalmazásokat különféle hálózatokon és helyeken az összekötőcsoportok használatával.
3. lépés – A nyomtatókiszolgáló beállítása
Győződjön meg arról, hogy a nyomtatókiszolgálón telepítve van az összes elérhető Windows Update (frissítse a kiszolgálót, mielőtt továbblép).
Megjegyzés: A Server 2019-et ki kell javítani az 17763.165-ös vagy újabb buildhez.
A nyomtatókiszolgálóként működő Windows Server-gépen telepíteni kell a nyomtatókiszolgálói szerepkört.
- A szerepkörök, szerepkör-szolgáltatások és szolgáltatások telepítése a Szerepkörök és szolgáltatások hozzáadása varázslóval a kiszolgálói szerepkörök telepítésével kapcsolatos részletekért lásd.
Annak érdekében, hogy a helyi AD megfeleltethető legyen a Microsoft Entra ID-fiókokkal, a nyomtatókiszolgálóként működő Windows Servernek hibrid csatlakoztatottnak/Azure-hoz csatlakoztatottnak kell lennie. Az összes lépés végrehajtásának ellenőrzéséhez tekintse meg az Univerzális nyomtatás beállítását . Röviden:
- Ha még nem tette meg, telepítse az Univerzális nyomtatás Csatlakozás ort a nyomtatókiszolgáló gépére.
- Regisztrálja az összekötőt az Univerzális nyomtatással az összekötő egyedi nevének megadásával.
- Ossza meg a regisztrált nyomtatókat a felügyeleti portálon.
4. lépés – A helyi AD címtár-szinkronizálásának beállítása a Microsoft Entra-azonosítóval
A felhasználóknak vagy csoportoknak helyi Active Directory kell lenniük, és szinkronizálva kell lenniük a Microsoft Entra-azonosítóval. Ha a megoldás nem nem módosítható tartományba (például mydomain.local) van üzembe helyezve, a Microsoft Entra ID tartományt (például domainname.onmicrosoft.com vagy egy külső gyártótól vásárolt) UPN-utótagként kell hozzáadni a helyi Active Directory. Ez pontosan ugyanaz a felhasználó, aki nyomtatókat fog közzétenni (például admin@domainname.onmicrosoft.com). A helyi tartomány hozzáadásának és szinkronizálásának biztosításához tekintse meg a nem módosítható tartomány előkészítése a címtár-szinkronizáláshoz című témakört.
Megjegyzés: Ez egy fontos lépés, mivel ez a teljes beállítás alapkövetelménye. A helyi AD-felhasználónak ugyanazzal a felhasználónévvel kell rendelkeznie a szinkronizált Microsoft Entra ID-fiókban.
Példa: tartomány/felhasználó1 fordítsuk le a következőre: user1@example.com
A szinkronizálást követően (az alapértelmezett szinkronizálási gyakoriság 30 perc), ellenőrizheti, hogy az AD-felhasználók szinkronizálva vannak-e a felügyeleti portálon. A Microsoft Entra ID alatt válassza ki a Felhasználók lapot, és megjelenik az összes felhasználó listája. Könnyen ellenőrizhető, hogy egy felhasználó szinkronizálva van-e a listában. A felhasználó adatainak meg kell jelenítenie, hogy a forrás a Windows Server AD.
5. lépés – A hibrid AD/Microsoft Entra ID támogatásának engedélyezése univerzális nyomtatási Csatlakozás oron
Azon a nyomtatókiszolgálón, amelyen az összekötő telepítve van, az alkalmazás jobb felső sarkában váltógombnak kell lennie.
- Válassza a bekapcsoló gombot a hibrid AD-konfiguráció engedélyezéséhez az összekötőn.
Az üzemelő példány ellenőrzése
Annak ellenőrzése, hogy az üzemelő példány egy tesztnyomtatási feladatot küld a nyomtatókiszolgálóra a Microsoft Entra-azonosító hitelesítő adataival egy AD-hez csatlakoztatott ügyfélszámítógépen.
A gépnek Microsoft Entra-azonosítónak kell lennie ahhoz a fiókhoz csatlakoztatva, amelyhez a szinkronizálási lépés során kapcsolódik. Nyissa meg a Gépház> Fiókok>e-mail > fiókokat. Kattintson a Munkahelyi vagy iskolai fiók hozzáadása elemre, és jelentkezzen be a hitelesítő adatokkal a Microsoft Entra-azonosító fiók ügyfélgéphez való hozzáadásához.
Az üzembe helyezés ellenőrzéséhez szükséges tesztnyomat elküldésének lépései az alábbiak:
- Nyomtató hozzáadása és tesztlap nyomtatása
- Miután észrevette, hogy egy nyomtatási feladat várólistára kerül a nyomtatási sorban, a C:/prints mappában lévő nyomtatókiszolgálónak egy tesztnyomatfájlnak kell megjelennie a printerName.pdf néven.
- Ha megjelenik ez a fájl, ellenőrizheti, hogy a megfeleltetés sikeresen megtörtént-e. Ehhez ellenőrizze az eseménynaplókat a Nyomtatókiszolgáló naplóinak Hibaelhárítás szakaszában említett elérési úton.
Hibaelhárítás
Az alábbiakban az üzembe helyezés során előforduló gyakori problémákat találja:
| Hiba | Javasolt lépések |
|---|---|
| A megadott kiszolgálón lévő szolgáltatások hozzáadására vagy eltávolítására irányuló kérés nem sikerült | Győződjön meg arról, hogy a Windows Server rendelkezik a legújabb frissítéssel a kiszolgálón lévő frissítések keresésével. |
| Ellenőrizze, hogy a kiszolgáló tartományhoz van-e csatlakoztatva, és az Azure csatlakozik-e | Futtassa a dsregcmd parancsot a parancssorban, és ellenőrizze, hogy az AzureADJoined és a DomainJoined értéke "IGEN" állapotú-e. |
| A nyomtatási feladatok az Elküldött nyomtató állapotban maradnak | |
| A nyomtatási feladatok "Megszakítva" feliratként jelennek meg a portálon. A nyomtatási Csatlakozás or eseménynaplója a 27. eseményt jeleníti meg: "Nem sikerült megszemélyesíteni a felhasználót <> a feladatazonosítóhoz<>, majd a 9. eseményt a "PrintJob failed System.Security.SecurityException: A felhasználónév vagy a jelszó helytelen...". | Ellenőrizze, hogy a számítógépfiók a "Windows engedélyezési hozzáférési csoport" tagja-e az itt leírtak szerint – Az alkalmazások és API-k hozzáférést igényelnek. |
Az Univerzális nyomtatással kapcsolatos hibaelhárítási súgóért tekintse meg az Univerzális nyomtatás hibaelhárítási útmutatóját.
Az alábbiakban a naplók olyan helyei találhatók, amelyek segíthetnek a hibaelhárításban:
| Összetevő | Napló helye |
|---|---|
| Windows 10-ügyfél | |
| Nyomtatókiszolgáló | A Eseménynapló használatával megtekintheti a Nyomtatási Csatlakozás or naplóját. Kattintson a Start gombra, és írja be a Eseménynapló. Navigáljon az alkalmazások és szolgáltatások naplóihoz > a Microsoft > Windows > Print Csatlakozás or Operational parancsra>. |