Включение гибридной среды идентификатора AD/Microsoft Entra ID в универсальной печати
Область применения: Windows Server 2016
Общие сведения
Эти сведения помогут вам решить, является ли включение гибридной конфигурации AD правильным выбором для вашей организации.
Что такое гибридная конфигурация AD?
Гибридная конфигурация AD — это настройка, в которой организация использует ad, а также идентификатор Microsoft Entra. В такой среде учетная запись пользователя существует в обеих этих службах каталогов.
Что означает "Включить гибридную конфигурацию AD"?
Коннектор универсальной печати выполняется как служба Windows на компьютере, где она установлена. Одной из функций соединителя является получение заданий печати из универсальной печати и их отправка на целевой принтер. Соединитель использует учетную запись System для отправки заданий печати в spooler. Таким образом, хотя на портале универсальной печати отображается имя пользователя Microsoft Entra ID, которое отправило задание печати, каждое задание печати, напечатанное с помощью универсальной печати, будет отображаться в очереди принтеров Windows на соединителе, как показано пользователем System.
Некоторые устаревшие приложения управления печатью, использующие домены Active Directory, считывают имя пользователя из очереди spooler и используют эту информацию для выполнения некоторых функций (например, вычитать задание печати из ежемесячной квоты печати пользователя). Пока эти приложения не будут обновлены для более эффективной работы с универсальной печатью, они не смогут получить удостоверение пользователя, создавшего задание печати.
Если параметр "Включить гибридную конфигурацию AD" включен в коннектор универсальной печати, соединитель пытается сопоставить удостоверение пользователя Microsoft Entra ID с соответствующим локальным удостоверением пользователя домена AD. Если найдено соответствующее удостоверение, служба соединителя олицетворяет удостоверение домена пользователя перед отправкой задания печати в spooler от их имени. В этом случае имя пользователя домена, созданного заданием печати, будет отображаться в очереди spooler на компьютере соединителя, позволяя устаревшим приложениям читать его.
Предварительные требования
Перед началом установки необходимо приобрести ряд подписок, служб и компьютеров. Это следующие:
Подписка Microsoft Entra ID Premium.
См. статью "Начало работы с подпиской Azure" для пробной подписки в Azure.
Служба MDM, например Intune.
Ознакомьтесь с Microsoft Intune для пробной подписки в Intune .
Компьютер Windows Server 2016 или более поздней версии под управлением Active Directory.
Пошаговые инструкции по настройке Active Directory в Windows Server 2016 см. в статье о настройке Active Directory.
Выделенный, присоединенный к домену компьютер Windows Server 2016 или более поздней версии, работающий в качестве сервера печати и коннектор универсальной печати.
Дополнительные сведения см. в статье Общие сведения о соединителях прокси приложения идентификатора Microsoft Entra ID.
Общедоступное доменное имя.
Вы можете использовать доменное имя, созданное azure (domainname.onmicrosoft.com), или приобрести собственное доменное имя. См. статью "Добавление имени личного домена" на портале идентификатора Microsoft Entra ID.
Шаги развертывания
Приведенные ниже действия позволяют настроить типичное развертывание универсальной печати, необходимое для включения гибридной среды идентификатора AD/Microsoft Entra ID.
Шаг 1. Установка идентификатора Microsoft Entra ID Connect
- Идентификатор Microsoft Entra connect синхронизирует идентификатор Microsoft Entra с локальным AD. На компьютере Windows Server с Active Directory скачайте и установите программное обеспечение Microsoft Entra ID Connect с помощью экспресс-параметров. См. статью "Начало работы с Microsoft Entra ID Connect" с помощью экспресс-параметров.
Шаг 2. Установка прокси приложения
Примечание. Пропустите этот шаг, если сервер печати уже присоединен к AzureAD.
Прокси приложения позволяет пользователям организации получать доступ к локальным приложениям из облака. Установите прокси приложения на соединителе.
- Инструкции по установке см. в руководстве. Добавление локального приложения для удаленного доступа с помощью прокси приложения в идентификаторе Microsoft Entra.
- Если у организации есть сложная топология сети, рекомендуется использовать выделенную группу соединителей. См. статью Публикация приложений в отдельных сетях и расположениях с помощью групп соединителей.
Шаг 3. Настройка сервера печати
Убедитесь, что на сервере печати установлены все доступные Обновл. Windows (обновите сервер, прежде чем продолжить).
Примечание. Для сборки 17763.165 или более поздней версии server 2019 необходимо установить исправление.
На компьютере Windows Server, который выступает в качестве сервера печати, необходимо установить роль сервера печати.
- Дополнительные сведения об установке ролей, службах ролей и компонентах см. в мастере добавления ролей и компонентов.
Чтобы обеспечить сопоставление локального AD с учетными записями идентификатора Microsoft Entra, Windows Server, который выступает в качестве сервера печати, должен быть гибридным присоединением к Azure или присоединением к Azure. Чтобы убедиться, что все действия выполнены, см. в разделе "Универсальная настройка печати". Короче говоря
- Установите универсальный соединитель печати на компьютере сервера печати, если это еще не сделано.
- Зарегистрируйте соединитель с помощью универсальной печати, указав уникальное имя соединителя.
- Предоставление общего доступа к зарегистрированным принтерам на административном портале.
Шаг 4. Настройка синхронизации каталогов локальной AD с идентификатором Microsoft Entra
Пользователи или группы должны существовать в локальная служба Active Directory и синхронизированы с идентификатором Microsoft Entra. Если решение развертывается в домене, отличном от routable (например, mydomain.local), домен идентификатора Microsoft Entra ID (например, domainname.onmicrosoft.com или один приобретенный у стороннего поставщика) необходимо добавить как суффикс участника-пользователя в локальная служба Active Directory. Это так же, как и пользователь, который будет публиковать принтеры (например, admin@domainname.onmicrosoft.com). Сведения о том, как добавить и синхронизировать локальный домен, см. в статье "Подготовка неизменяемого домена для синхронизации каталогов".
Примечание. Это важный шаг, так как это основное требование для полной настройки. Локальный пользователь AD должен иметь то же имя пользователя в синхронизированной учетной записи идентификатора Microsoft Entra ID.
Пример: домен или пользователь1 должен переводиться в user1@example.com
После завершения синхронизации (частота синхронизации по умолчанию составляет 30 минут), вы можете проверить, синхронизированы пользователи AD на административном портале. В разделе Идентификатор Microsoft Entra выберите вкладку "Пользователи" и появится список всех пользователей. Было бы легко проверить, синхронизирован ли пользователь в этом списке. Сведения о пользователе должны показать, что источником является Windows Server AD.
Шаг 5. Включение поддержки гибридного идентификатора AD/Microsoft Entra в универсальном соединителе печати
На сервере печати, на котором установлен соединитель, должна быть кнопка переключателя в правом верхнем углу приложения.
- Выберите переключатель для включения параметра конфигурации гибридного AD в соединителе.
Проверка развертывания
Убедитесь, что развертывание будет выполняться путем отправки тестового задания печати на сервер печати с помощью учетных данных идентификатора Microsoft Entra на клиентском компьютере, присоединенном к AD.
Компьютер должен быть идентификатором Microsoft Entra, присоединенным к той же учетной записи, с которым она связана во время шага синхронизации. Перейдите к учетным записям параметров>электронной почты и учетным> записям. Щелкните "Добавить рабочую или учебную учетную запись" и войдите с помощью учетных данных, чтобы добавить учетную запись идентификатора Microsoft Entra на клиентский компьютер.
Ниже приведены действия по отправке тестовой печати для проверки развертывания:
- Добавление принтера и печать тестовой страницы
- Когда вы заметите задание печати в очереди печати, сервер печати в папке C:/prints должен отображаться в имени printerName.pdf тестового файла печати.
- Если этот файл появится, можно проверить, успешно ли произошло сопоставление, проверив журналы событий в пути, указанном в разделе "Устранение неполадок" журналов сервера печати.
Устранение неполадок
Ниже приведены распространенные проблемы, возникающие во время развертывания:
| Ошибка | Рекомендуемые действия |
|---|---|
| Запрос на добавление или удаление компонентов на указанном сервере завершился сбоем. | Убедитесь, что Windows Server имеет последнее обновление, проверив наличие обновлений на сервере. |
| Проверьте, присоединен ли сервер к домену и Azure | Запустите dsregcmd в командной строке и проверьте, задано ли для AzureADJoined и DomainJoined состояние "ДА". |
| Задания печати остаются в состоянии "Отправлено в принтер" | |
| Задания печати отображаются как "Прерванные" на портале. Журнал событий Print Connector показывает событие 27 "Не удалось олицетворить <пользователя> для идентификатора> задания<, а затем событие 9 "PrintJob failed System.Security.SecurityException: имя пользователя или пароль неверный...". | Убедитесь, что учетная запись компьютера входит в группу доступа к авторизации Windows, как описано здесь. Приложения и API требуют доступа. |
Дополнительные сведения об устранении неполадок, связанных с универсальной печатью, см . в руководстве по устранению неполадок с универсальной печатью.
Ниже приведены расположения журналов, которые помогут устранить неполадки:
| Компонент | Расположение журнала |
|---|---|
| Клиент Windows 10 | |
| Сервер печати | Используйте Просмотр событий для просмотра журнала соединителя печати. Нажмите кнопку "Пуск" и введите Просмотр событий. Перейдите к журналам > приложений и служб Microsoft > Windows > PrintConnector > Operational. |