在通用列印上啟用混合式AD/Microsoft專案標識符環境
適用於︰Windows Server 2016
背景
這項資訊旨在協助您決定啟用混合式AD設定是否為組織的正確選擇。
什麼是混合式 AD 設定?
混合式 AD 組態是組織使用 AD 和 Microsoft Entra 識別符的設定。 在這類環境中,這兩個目錄服務中都有用戶帳戶。
「啟用混合式AD設定」的意義為何?
通用列印連線程式 會在安裝它的電腦上以 Windows 服務的形式執行。 其中一個連接器函式是從通用列印擷取列印作業,並將其傳送至目標印表機。 連接器會使用「系統」帳戶,將列印作業提交至多任務緩衝處理程式。 因此,雖然通用列印入口網站會顯示提交列印作業的Microsoft Entra ID 用戶名稱,但使用通用列印的每一個列印作業都會顯示在連接器上的 Windows 印表機佇列中,如使用者「系統」所提交。
某些依賴 Active Directory 網域的舊版列印管理應用程式,從多任務緩衝處理程式佇列讀取使用者名稱,並使用該資訊來執行某些功能(例如,從使用者的每月列印配額中扣除列印作業)。 在更新這些應用程式以更順暢地與通用列印搭配運作之前,他們將無法取得產生列印作業的使用者身分識別。
當 通用列印連線程式 中開啟 [啟用混合式 AD 組態] 選項時,連接器會嘗試將Microsoft Entra ID 使用者身分識別對應至對應的本機 AD 網域使用者身分識別。 如果找到相符的身分識別,連接器服務接著會模擬該使用者的網域身分識別,然後才代表他們提交列印作業至後台處理程式。 在此情況下,產生列印作業之使用者的網域用戶名稱會顯示在連接器計算機上的多任務緩衝處理程式佇列中,允許舊版應用程式讀取它。
必要條件
啟動此安裝之前,您需要取得許多訂用帳戶、服務和計算機。 這些範本如下:
Microsoft Entra ID Premium 訂用帳戶。
如需 Azure 的試用訂用帳戶,請參閱開始使用 Azure 訂用帳戶。
MDM 服務,例如 Intune。
如需 Intune 的試用版訂用帳戶,請參閱 Microsoft Intune 。
執行 Active Directory 的 Windows Server 2016 或更新版本電腦。
如需設定 Active Directory 的說明,請參閱 Windows Server 2016 中的逐步:設定 Active Directory。
專用且已加入網域的 Windows Server 2016 或更新版本電腦,以列印伺服器和 通用列印連線程式 執行。
如需詳細資訊,請參閱瞭解Microsoft專案標識碼 應用程式 Proxy 連接器。
公用面向功能變數名稱。
您可以使用 Azure 所建立的功能變數名稱(domainname.onmicrosoft.com),或購買您自己的功能變數名稱。 請參閱 使用 Microsoft Entra ID 入口網站新增您的自定義功能變數名稱。
部署步驟
下列步驟可讓您設定啟用 Hybrid AD/Microsoft Entra ID Environment 所需的一般通用列印部署。
步驟 1 - 安裝 Microsoft Entra ID Connect
- Microsoft Entra ID 連線Microsoft Entra ID 同步處理至內部部署 AD。 在具有 Active Directory 的 Windows Server 計算機上,下載並安裝具有快速設定的 Microsoft Entra ID Connect 軟體。 請參閱 使用快速設定開始使用 Microsoft Entra ID Connect。
步驟 2 - 設定列印伺服器
請確定列印伺服器已安裝所有可用的 Windows Update(請先更新伺服器,然後再繼續進行)。
注意:伺服器 2019 必須修補為組建 17763.165 或更新版本。
在做為列印伺服器的 Windows Server 計算機上,我們需要安裝 列印伺服器角色。
- 如需如何安裝伺服器角色的詳細資訊,請參閱 使用新增角色和功能精靈 來安裝角色、角色服務和功能。
為了確保本機 AD 對應至 Microsoft Entra ID 帳戶,做為列印伺服器的 Windows Server 必須是混合式聯結/已加入 Azure。 請參閱 通用列印安裝 ,以確保所有步驟都已完成。 總之
- 如果尚未完成,請在列印伺服器計算機上安裝通用列印連接器。
- 藉由提供連接器的唯一名稱,向通用列印註冊連接器。
- 在系統管理入口網站上共用已註冊的印表機 。
步驟 3 - 使用 Microsoft Entra 識別碼設定本機 AD 的目錄同步
使用者或群組必須存在於 內部部署的 Active Directory 中,並與 entra 標識碼Microsoft同步處理。 如果解決方案部署至無法路由的網域(例如 mydomain.local),Microsoft Entra ID 網域(例如 domainname.onmicrosoft.com,或從第三方廠商購買的網域)必須新增為 UPN 後綴以 內部部署的 Active Directory。 這是將發佈印表機的完全相同使用者(例如admin@domainname.onmicrosoft.com)。 請參閱 準備無法路由傳送的網域以進行目錄同步 處理,以確保已新增和同步處理本機網域。
注意:這是一個重要步驟,因為它是完整設定的基本需求。 本機 AD 用戶必須在同步處理Microsoft Entra ID 帳戶上擁有相同的用戶名稱。
範例:網域/user1 應該轉譯為 user1@example.com
同步處理發生后(預設同步處理頻率為 30 分鐘),您可以確認 AD 使用者已在系統管理入口網站上同步處理。 在 [Microsoft Entra 標識符] 底下,選取 [使用者] 索引標籤,並顯示所有用戶的清單。 確認使用者是否已在該清單中同步處理目錄,這很容易。 用戶的詳細數據應該會顯示來源為 Windows Server AD。
步驟 4 - 在通用列印連接器上啟用混合式 AD/Microsoft Entra ID 支援
在安裝連接器的列印伺服器上,應用程式右上角必須有一個切換按鈕。
- 選取連接器上 [啟用混合式 AD 組態] 選項的單選按鈕。
檢查部署
使用加入 AD 之用戶端電腦上的 Microsoft Entra ID 認證,將測試列印作業傳送至列印伺服器,以確認部署是否為 。
機器必須Microsoft在同步步驟期間與它連結的相同帳戶聯結的 Entra ID。 移至 [設定>帳戶>電子郵件與帳戶]。 單擊 [ 新增公司或學校帳戶 ],並使用認證登入,將 Microsoft Entra ID 帳戶新增至用戶端計算機。
提交測試列印以驗證部署的步驟如下:
- 新增印表機並列印測試頁面
- 當您注意到列印佇列中排入佇列的列印作業之後,C:/prints 資料夾下的列印伺服器應該會在名稱printerName.pdf出現測試列印檔案。
- 如果出現此檔案,您可以檢查對應是否已成功發生,方法是檢查列印伺服器記錄的疑難解答一節中所述的路徑中的事件記錄檔。
疑難排解
以下是部署期間遇到的常見問題:
| 錯誤 | 建議的步驟 |
|---|---|
| 在指定伺服器上新增或移除功能的要求失敗 | 檢查伺服器上的更新,確定 Windows Server 有最新的更新。 |
| 檢查伺服器是否為網域且已加入 Azure | 在命令提示字元上執行 dsregcmd ,並檢查 AzureADJoined 和 DomainJoined 是否設定為 “YES” 狀態。 |
| 列印作業會保持 [傳送至印表機] 狀態 | |
| 列印作業會在入口網站中顯示為「中止」。 Print Connector 事件記錄檔會顯示事件 27「無法模擬 <使用者> 的工作 <標識符>,後面接著事件 9:「PrintJob 失敗 System.Security.SecurityException:使用者名稱或密碼不正確...」。 | 檢查計算機帳戶是否為「Windows 授權存取群組」的成員,如這裡所述 - 應用程式和 API 需要存取權。 |
如需與通用列印相關的更多疑難解答說明,請參閱 通用列印疑難解答指南。
以下是有助於疑難解答的記錄位置:
| 元件 | 記錄檔位置 |
|---|---|
| Windows 10 用戶端 | |
| 列印伺服器 | 使用 事件檢視器 來查看列印連接器的記錄。 按兩下 [開始] 並輸入 事件檢視器。 流覽至 [應用程式和服務記錄 > ] Microsoft > [Windows > PrintConnector > 作業]。 |