Włączanie hybrydowego środowiska AD/Microsoft Entra ID w usłudze Universal Print

Dotyczy: system Windows Server 2016

Tło

Te informacje mają pomóc w podjęciu decyzji, czy włączenie konfiguracji hybrydowej usługi AD jest właściwym wyborem dla twojej organizacji.

Co to jest konfiguracja hybrydowej usługi AD?

Konfiguracja hybrydowej usługi AD to konfiguracja, w której organizacja używa zarówno usługi AD, jak i identyfikatora Entra firmy Microsoft. W takim środowisku konto użytkownika istnieje w obu tych usługach katalogowych.

Co oznacza "Włączanie konfiguracji hybrydowej usługi AD"?

Łącznik Drukowanie uniwersalne działa jako usługa systemu Windows na komputerze, na którym jest zainstalowana. Jedną z funkcji łącznika jest pobranie zadań drukowania z usługi Universal Print i wysłanie ich do drukarki docelowej. Łącznik używa konta "System" do przesyłania zadań drukowania do buforu. W związku z tym, mimo że portal usługi Universal Print wyświetli nazwę użytkownika Microsoft Entra ID, która przesłała zadanie drukowania, każde zadanie drukowania drukowane przy użyciu usługi Universal Print będzie wyświetlane w kolejce drukarki systemu Windows w łączniku zgodnie z przesłanym przez użytkownika "System".

Niektóre starsze aplikacje do zarządzania drukowaniem, które opierają się na domenach usługi Active Directory, odczytują nazwę użytkownika z kolejki buforu i używają tych informacji do wykonywania niektórych funkcji (np. odejmowania zadania drukowania z miesięcznego limitu przydziału drukowania użytkownika). Dopóki te aplikacje nie będą aktualizowane tak, aby działały wydajniej z usługą Universal Print, nie będą mogły uzyskać tożsamości użytkownika, który utworzył zadanie drukowania.

Po włączeniu opcji "Włącz konfigurację hybrydowej usługi AD" w łącznik Drukowanie uniwersalne łącznik próbuje zamapować tożsamość użytkownika identyfikatora entra firmy Microsoft na odpowiadającą tożsamość użytkownika domeny lokalnej usługi AD. Jeśli zostanie znaleziona zgodna tożsamość, usługa łącznika personifikuje tożsamość domeny tego użytkownika przed przesłaniem zadania drukowania do buforu w ich imieniu. W takim przypadku nazwa użytkownika domeny, który utworzył zadanie drukowania, zostanie wyświetlona w kolejce buforu na komputerze łącznika, co pozwoli starszym aplikacjom go odczytać.

Wymagania wstępne

Istnieje wiele subskrypcji, usług i komputerów, które należy uzyskać przed rozpoczęciem tej instalacji. Są one następujące:

• Subskrypcja Microsoft Entra ID Premium.

  Zobacz Wprowadzenie do subskrypcji platformy Azure, aby uzyskać subskrypcję wersji próbnej na platformie Azure.

• Usługa MDM, taka jak intune.

  Zobacz Microsoft Intune , aby uzyskać subskrypcję wersji próbnej usługi Intune.

• System Windows Server 2016 lub nowszy z uruchomioną usługą Active Directory.

  Zobacz Krok po kroku: Konfigurowanie usługi Active Directory w systemie Windows Server 2016 , aby uzyskać pomoc dotyczącą konfigurowania usługi Active Directory.

• Dedykowany, przyłączony do domeny komputer z systemem Windows Server 2016 lub nowszym z systemem jako serwer wydruku i łącznik Drukowanie uniwersalne.

  Aby uzyskać więcej informacji, zobacz Omówienie łączników usługi Microsoft Entra ID serwer proxy aplikacji.

• Publiczna nazwa domeny.

  Możesz użyć nazwy domeny utworzonej dla Ciebie przez platformę Azure (nazwadomeny.onmicrosoft.com) lub kupić własną nazwę domeny. Zobacz Dodawanie niestandardowej nazwy domeny przy użyciu portalu Microsoft Entra ID.

Kroki wdrażania

Poniższe kroki umożliwiają skonfigurowanie typowego wdrożenia usługi Universal Print wymaganego do włączenia hybrydowego środowiska AD/Microsoft Entra ID Environment.

Krok 1. Instalowanie Połączenie microsoft Entra ID

1. Program Microsoft Entra ID connect synchronizuje identyfikator entra firmy Microsoft z lokalną usługą AD. Na maszynie z systemem Windows Server z usługą Active Directory pobierz i zainstaluj oprogramowanie Microsoft Entra ID Połączenie z ustawieniami ekspresowymi. Zobacz Wprowadzenie do usługi Microsoft Entra ID Połączenie przy użyciu ustawień ekspresowych.

Krok 2. Instalowanie serwer proxy aplikacji

Uwaga: Pomiń ten krok, jeśli serwer wydruku jest już przyłączony do usługi AzureAD.

Serwer proxy aplikacji umożliwia użytkownikom w organizacji dostęp do aplikacji lokalnych z chmury. Zainstaluj serwer proxy aplikacji na łączniku.

• Aby uzyskać instrukcje dotyczące instalacji, zobacz Samouczek: dodawanie aplikacji lokalnej na potrzeby dostępu zdalnego za pośrednictwem serwer proxy aplikacji w usłudze Microsoft Entra ID.
• Zalecana jest dedykowana grupa łączników, jeśli organizacja ma złożoną topologię sieci. Zobacz Publikowanie aplikacji w oddzielnych sieciach i lokalizacjach przy użyciu grup łączników.

Krok 3. Konfigurowanie serwera wydruku

1. Przed kontynuowaniem upewnij się, że serwer wydruku ma zainstalowaną całą dostępną usługę Windows Update (zaktualizuj serwer przed kontynuowaniem).

   Uwaga: Serwer 2019 musi być poprawiony w celu kompilacji 17763.165 lub nowszej.

   Na maszynie z systemem Windows Server, która działa jako serwer wydruku, należy zainstalować rolę serwera wydruku.

   • Aby uzyskać szczegółowe informacje na temat instalowania ról, ról i funkcji, zobacz Instalowanie ról, usług ról i funkcji przy użyciu Kreatora dodawania ról i funkcji.

   

2. Aby upewnić się, że lokalne mapy usługi AD z kontami Microsoft Entra ID, system Windows Server, który działa jako serwer wydruku, musi być przyłączony hybrydowy/przyłączony do platformy Azure. Zobacz Ustawienia usługi Universal Print, aby upewnić się, że wszystkie kroki zostały wykonane. Krótko mówiąc,

   • Zainstaluj Połączenie or usługi Universal Print na maszynie serwera wydruku, jeśli jeszcze tego nie zrobiono.
   • Zarejestruj łącznik w usłudze Universal Print, podając unikatową nazwę łącznika.
   • Udostępnianie zarejestrowanych drukarek w portalu administracyjnym.

Krok 4. Konfigurowanie synchronizacji katalogu lokalnej usługi AD z identyfikatorem Entra firmy Microsoft

Użytkownicy lub grupy muszą istnieć w lokalna usługa Active Directory i zsynchronizować z identyfikatorem Entra firmy Microsoft. Jeśli rozwiązanie jest wdrażane w domenie innej niż routing (np. mydomain.local), domena Microsoft Entra ID (np. nazwa_domeny.onmicrosoft.com lub jedna zakupiona od dostawcy innej firmy) musi zostać dodana jako sufiks nazwy UPN do lokalna usługa Active Directory. Jest to więc dokładnie ten sam użytkownik, który będzie publikować drukarki (np. admin@domainname.onmicrosoft.com). Aby upewnić się, że domena lokalna została dodana i zsynchronizowana, zobacz Przygotowywanie domeny niezwiązanej z routingiem na potrzeby synchronizacji katalogów.

Uwaga: jest to ważny krok, ponieważ jest to podstawowe wymaganie dotyczące pełnej konfiguracji. Użytkownik lokalnej usługi AD musi mieć taką samą nazwę użytkownika na zsynchronizowanym koncie microsoft Entra ID.
Przykład: domena/użytkownik1 powinien zostać przetłumaczony na user1@example.com

Po zakończeniu synchronizacji (domyślna częstotliwość synchronizacji wynosi 30 minut), możesz sprawdzić, czy użytkownicy usługi AD są synchronizowani w portalu administracyjnym. W obszarze Microsoft Entra ID wybierz kartę użytkownicy i zostanie wyświetlona lista wszystkich użytkowników. Łatwo byłoby sprawdzić, czy użytkownik jest zsynchronizowany z katalogiem na tej liście. Szczegóły użytkownika powinny pokazać, że źródłem jest usługa AD systemu Windows Server.

Krok 5. Włączanie obsługi hybrydowego identyfikatora AD/Microsoft Entra ID w usłudze Universal Print Połączenie or

Na serwerze wydruku, na którym jest zainstalowany łącznik, musi być przycisk przełącznika w prawym górnym rogu aplikacji.

• Wybierz przycisk radiowy włącz opcję Włącz konfigurację hybrydowej usługi AD w łączniku.

Weryfikowanie wdrożenia

Sprawdzenie, czy wdrożenie byłoby spowodowane wysłaniem zadania drukowania testowego do serwera wydruku przy użyciu poświadczeń identyfikatora Entra firmy Microsoft na maszynie klienckiej przyłączonej do usługi AD.

Komputer musi być dołączony do identyfikatora Entra firmy Microsoft z tym samym kontem, z jakim jest połączony podczas kroku synchronizacji. Przejdź do pozycji Ustawienia> Konta>e-mail i konta. Kliknij pozycję Dodaj konto służbowe i zaloguj się przy użyciu poświadczeń, aby dodać konto Microsoft Entra ID do komputera klienckiego.

Poniżej przedstawiono kroki przesyłania wydruku testowego w celu sprawdzenia, czy wdrożenie jest następujące:

• Dodawanie drukarki i drukowanie strony testowej
• Po wyświetleniu zadania drukowania umieszczonego w kolejce wydruku serwer wydruku w folderze C:/prints powinien pojawić się w nazwie printerName.pdf.
• Jeśli ten plik zostanie wyświetlony, możesz sprawdzić, czy mapowanie zostało pomyślnie wykonane, sprawdzając dzienniki zdarzeń w ścieżce wymienionej w sekcji Rozwiązywanie problemów dla dzienników serwera wydruku.

Rozwiązywanie problemów

Poniżej przedstawiono typowe problemy występujące podczas wdrażania:

Błąd	Zalecane czynności
Żądanie dodania lub usunięcia funkcji na określonym serwerze nie powiodło się	Upewnij się, że system Windows Server ma najnowszą aktualizację, sprawdzając dostępność aktualizacji na serwerze.
Sprawdzanie, czy serwer jest przyłączony do domeny i platformy Azure	Uruchom polecenie dsregcmd w wierszu polecenia i sprawdź, czy w obszarze AzureADJoined i DomainJoined ustawiono stan "TAK".
Zadania drukowania pozostają w stanie Wysyłania do drukarki	Upewnij się, że protokół TLS 1.2 jest włączony w łączniku. Zobacz połączony artykuł w kroku 2. Upewnij się, że protokół HTTP2 jest wyłączony w łączniku. Zobacz połączony artykuł w kroku 2.
Zadania drukowania są wyświetlane jako "Przerwane" w portalu. W dzienniku zdarzeń drukowania Połączenie or jest wyświetlane zdarzenie 27 "Nie można personifikować <użytkownika> pod kątem identyfikatora> zadania<, a następnie zdarzenie 9 "PrintJob failed System.Security.SecurityException: Nazwa użytkownika lub hasło jest niepoprawne...".	Sprawdź, czy konto komputera należy do grupy dostępu autoryzacji systemu Windows, zgodnie z opisem w tym miejscu — aplikacje i interfejsy API wymagają dostępu.

Aby uzyskać więcej pomocy podczas rozwiązywania problemów związanych z usługą Universal Print, zobacz Przewodnik rozwiązywania problemów z usługą Universal Print.

Poniżej przedstawiono lokalizacje dzienników, które mogą pomóc w rozwiązywaniu problemów:

Składnik	Lokalizacja dziennika
Klient systemu Windows 10	Użyj Podgląd zdarzeń, aby wyświetlić dziennik operacji identyfikatora Entra firmy Microsoft. Kliknij przycisk Start i wpisz Podgląd zdarzeń. Przejdź do pozycji Aplikacje i usługi Dzienniki >> microsoft Windows > Entra ID > Operation. Zbieranie dzienników za pomocą centrum opinii. Zobacz Wysyłanie opinii do firmy Microsoft za pomocą aplikacji Centrum opinii
Serwer wydruku	Użyj Podgląd zdarzeń, aby wyświetlić dziennik Połączenie or drukowania. Kliknij przycisk Start i wpisz Podgląd zdarzeń. Przejdź do pozycji Dzienniki > aplikacji i usług Microsoft > Windows > Print Połączenie or > Operational.