Abilitare l'ambiente Ibrido AD/Azure AD nella stampa universale

Si applica a: Windows Server 2016

Background

Queste informazioni consentono di decidere se abilitare la configurazione ibrida di Active Directory è la scelta giusta per l'organizzazione.

Che cos'è una configurazione ibrida di ACTIVE Directory?

Una configurazione ibrida di ACTIVE Directory è una configurazione in cui l'organizzazione usa sia AD che Azure AD. In un ambiente di questo tipo esiste un account utente in entrambi questi servizi directory.

Che cosa significa "Abilitare la configurazione ibrida di ACTIVE Directory"?

Il connettore di stampa universale viene eseguito come servizio Windows nel PC in cui è installato. Una delle funzioni del connettore consiste nel recuperare i processi di stampa dalla stampa universale e inviarli alla stampante di destinazione. Il connettore usa l'account "System" per inviare i processi di stampa allo spooler. Pertanto, anche se il portale di stampa universale mostrerà il nome utente di Azure AD che ha inviato un processo di stampa, ogni processo di stampa stampato con stampa universale verrà visualizzato nella coda della stampante Windows nel connettore come inviato dall'utente "System".

Alcune applicazioni di gestione della stampa legacy, che si basano sui domini di Active Directory, leggono il nome utente dalla coda spooler e usano tali informazioni per eseguire alcune funzioni (ad esempio detraggono il processo di stampa dalla quota di stampa mensile di un utente). Fino a quando queste applicazioni non vengono aggiornate per funzionare più facilmente con La stampa universale, non saranno in grado di ottenere l'identità dell'utente che ha originato un processo di stampa.

Quando l'opzione "Abilita configurazione ibrida di ACTIVE Directory" è attivata nel connettore di stampa universale, il connettore tenta di eseguire il mapping dell'identità utente di Azure AD a un'identità utente di dominio AD locale corrispondente. Se viene trovata un'identità corrispondente, il servizio connettore rappresenta l'identità di dominio dell'utente prima di inviare il processo di stampa allo spooler per conto dell'utente. In tal caso, il nome utente di dominio dell'utente che ha originato il processo di stampa verrà visualizzato nella coda spooler nel PC connettore che consente alle applicazioni legacy di leggerla.

Prerequisiti

Prima di avviare questa installazione, è necessario acquisire diverse sottoscrizioni, servizi e computer. Ecco quali sono:

• Sottoscrizione di Azure AD Premium.

  Vedere Introduzione a una sottoscrizione di Azure per una sottoscrizione di valutazione in Azure.

• Servizio MDM, ad esempio Intune.

  Vedere Microsoft Intune per una sottoscrizione di valutazione per Intune.

• Computer Windows Server 2016 o versione successiva che esegue Active Directory.

  Per informazioni sulla configurazione di Active Directory, vedere Procedura dettagliata: Configurazione di Active Directory in Windows Server 2016 .

• Un computer windows Server 2016 o versione successiva dedicato aggiunto a un dominio in esecuzione come server di stampa e server connettore.

  Per altre informazioni, vedere Informazioni sui connettori Application Proxy di Azure AD.

• Nome di dominio pubblico.

  È possibile usare il nome di dominio creato automaticamente da Azure (nomedominio.onmicrosoft.com) o acquistare il proprio nome di dominio. Vedere Aggiungere un nome di dominio personalizzato usando il portale di Azure Active Directory.

Passaggi di distribuzione

La procedura seguente consente di configurare una tipica distribuzione di stampa universale necessaria per abilitare l'ambiente AD/AAD ibrido.

Passaggio 1- Installare Azure AD Connect

1. Azure AD Connect sincronizza Azure AD con AD locale. Nel computer Windows Server con Active Directory scaricare e installare il software Azure AD Connect con le impostazioni rapide. Vedere Introduzione ad Azure AD Connect con le impostazioni rapide.

Passaggio 2: Installare Application Proxy

Nota: ignorare questo passaggio se il server di stampa è già aggiunto ad AzureAD.

Il proxy di applicazione consente agli utenti dell'organizzazione di accedere alle applicazioni locali dal cloud. Installare Application Proxy nel server connettore.

• Per istruzioni sull'installazione, vedere Esercitazione: Aggiungere un'applicazione locale per l'accesso remoto tramite Application Proxy in Azure Active Directory.
• È consigliabile un gruppo di connettori dedicato se l'organizzazione ha una topologia di rete complessa. Vedere Pubblicare applicazioni in reti e posizioni separate tramite i gruppi di connettori.

Passaggio 3 - Configurare il server di stampa

1. Assicurarsi che nel server di stampa siano installati tutti i Windows Update disponibili (aggiornare il server prima di procedere).

   Nota: Server 2019 deve essere patchato per la build 17763.165 o successiva.

   Nel computer Windows Server che funge da server di stampa, è necessario installare il ruolo server di stampa.

   • Per informazioni dettagliate su come installare i ruoli , i ruoli e le funzionalità, vedere Installare ruoli, servizi ruolo e funzionalità usando l'Aggiunta guidata ruoli e funzionalità .

   

2. Per garantire che l'istanza locale di ACTIVE Directory sia mappata con gli account AAD, Windows Server che funge da server di stampa deve essere aggiunto/aggiunto ad Azure ibrido.To ensure that the local AD maps with the AAD accounts, the Windows Server that funge da server di stampa must be Hybrid Join/Azure Join. Per assicurarsi che tutti i passaggi siano stati completati, vedere Installazione stampa universale . In breve,

   • Installare il connettore di stampa universale nel computer server di stampa, se non è già stato fatto.
   • Registrare il connettore con Stampa universale specificando un nome univoco per il connettore.
   • Condividere le stampanti registrate nel portale di amministrazione.

Passaggio 4: Configurare la sincronizzazione della directory di Local AD con Azure AD

Gli utenti o i gruppi devono esistere in Active Directory locale e sincronizzati con Azure AD. Se la soluzione viene distribuita in un dominio non instradabile (ad esempio mydomain.local), è necessario aggiungere il dominio Azure AD (ad esempio domainname.onmicrosoft.com o uno acquistato da un fornitore di terze parti) come suffisso UPN a Active Directory locale. Questo è così esattamente lo stesso utente che pubblica stampanti (ad esempio, admin@domainname.onmicrosoft.com). Vedere Preparare un dominio non instradabile per la sincronizzazione della directory per assicurarsi che il dominio locale venga aggiunto e sincronizzato.

Nota: si tratta di un passaggio importante perché è il requisito di base per una configurazione completa. L'utente ad locale deve avere lo stesso nome utente nell'account AAD sincronizzato.
Esempio: dominio/utente1 deve essere convertito in user1@AADDomain.com

Una volta eseguita la sincronizzazione (la frequenza di sincronizzazione predefinita è di 30 minuti), è possibile verificare che gli utenti di Active Directory siano sincronizzati nel portale di amministrazione. In Azure Active Directory selezionare la scheda Utenti e verrà visualizzato un elenco di tutti gli utenti. Sarebbe facile verificare se un utente è sincronizzato in tale elenco. I dettagli di un utente devono mostrare che l'origine è Windows Server AD.

Passaggio 5- Abilitazione del supporto di AD/AAD ibrido in Universal Print Connector

Nel server di stampa in cui è installato il connettore deve essere presente un pulsante di attivazione/disattivazione nell'angolo superiore destro dell'applicazione.

• Selezionare il pulsante di opzione Attivaconfigurazione ibrida di ACTIVE Directory nel connettore.

Verificare la distribuzione

Verificando che la distribuzione sia inviando un processo di stampa di test al server di stampa usando le credenziali di AAD in un computer client aggiunto ad AD.

Il computer deve essere aggiunto ad AAD con lo stesso account a cui è collegato durante il passaggio di sincronizzazione. Passare a Impostazioni>Account di posta elettronica&.> Fare clic su Aggiungi un account aziendale o dell'istituto di istruzione e accedere usando le credenziali per aggiungere l'account AAD al computer client.

Passaggi per inviare una stampa di test per verificare che la distribuzione sia riportata di seguito:

• Aggiungere una stampante e stampare una pagina di prova
• Dopo aver notato un processo di stampa in coda nella coda di stampa, il server di stampa nella cartella C:/prints deve avere un file di stampa di prova visualizzato nel nome printerName.pdf.
• Se viene visualizzato questo file, è possibile verificare se il mapping si è verificato correttamente controllando i registri eventi nel percorso indicato nella sezione Risoluzione dei problemi per i log del server di stampa.

Risoluzione dei problemi

Di seguito sono riportati i problemi comuni riscontrati durante la distribuzione:

Errore	Procedure consigliate
Richiesta di aggiunta o rimozione di funzionalità nel server specificato non riuscita	Verificare che Windows Server disponga dell'aggiornamento più recente controllando la disponibilità di aggiornamenti nel server.
Controllare se il server è Aggiunto a Dominio e Ad Azure	Eseguire dsregcmd al prompt dei comandi e verificare se AzureADJoined e DomainJoined sono impostati sullo stato "YES".
I processi di stampa rimangono nello stato Inviato alla stampante	Verificare che TLS 1.2 sia abilitato nel server del connettore. Vedere l'articolo collegato nel passaggio 2. Verificare che HTTP2 sia disabilitato nel server del connettore. Vedere l'articolo collegato nel passaggio 2.
I processi di stampa vengono visualizzati come "interrotti" nel portale. Il registro eventi del connettore di stampa mostra l'evento 27 "Failed to impersonate <user for <job id>, seguito dall'evento 9 "PrintJob failed System.Security.SecurityException: The user> name or password is incorrect...".	Verificare che l'account computer sia membro del "Gruppo di accesso alle autorizzazioni di Windows" come descritto qui - Le app e le API richiedono l'accesso.

Per altri problemi relativi alla risoluzione dei problemi relativi alla stampa universale, vedi la guida alla risoluzione dei problemi di stampa universale.

Di seguito sono riportati i percorsi dei log che consentono di risolvere i problemi:

Componente	Percorso log
Client Windows 10	Usare Visualizzatore eventi per visualizzare il log delle operazioni di Azure AD. Fare clic su Start e digitare Visualizzatore eventi. Passare a Registri applicazioni e servizi > Operazioni di Microsoft > Windows > AAD > . Usare Hub di Feedback per raccogliere i log. Vedere Inviare commenti e suggerimenti a Microsoft con l'app Hub di Feedback
Server di stampa	Usare Visualizzatore eventi per visualizzare il log del connettore di stampa. Fare clic su Start e digitare Visualizzatore eventi. Passare a Registri applicazioni e servizi > di Microsoft > Windows > PrintConnector > Operational.