Aktivieren der Hybrid-AD/Microsoft Entra ID-Umgebung für universelles Drucken

Gilt für: Windows Server 2016

Hintergrund

Diese Informationen sollen Ihnen die Entscheidung erleichtern, ob die Hybrid-AD-Konfiguration die richtige Wahl für Ihre Organisation ist.

Was ist eine Hybrid-AD-Konfiguration?

Eine Hybrid-AD-Konfiguration ist ein Setup, bei dem die Organisation sowohl AD als auch Microsoft Entra ID verwendet. In einer solchen Umgebung ist in beiden Verzeichnisdiensten ein Benutzerkonto vorhanden.

Was bedeutet „Aktivieren der Hybrid-AD-Konfiguration“?

Der Connector für universelles Drucken wird als Windows-Dienst auf dem PC ausgeführt, auf dem er installiert ist. Eine der Connector-Funktionen besteht darin, Druckaufträge von Universelles Drucken abzurufen und an den Zieldrucker zu senden. Der Connector verwendet zum Senden von Druckaufträgen an den Spooler das „System“-Konto. Das Portal für universelles Drucken zeigt zwar den Microsoft Entra ID-Benutzernamen an, der einen Druckauftrag übermittelt hat, aber jeder Druckauftrag, der mit universellem Drucken gedruckt wird, wird in der Windows-Druckerwarteschlange auf dem Connector als vom Benutzer „System“ übermittelt angezeigt.

Einige ältere Druckverwaltungsanwendungen, die auf Active Directory-Domänen basieren, lesen den Benutzernamen aus der Spoolerwarteschlange und führen anhand dieser Informationen gewisse Funktionen aus (z. B. Abziehen des Druckauftrags vom monatlichen Druckkontingent eines Benutzers). Solange diese Anwendungen nicht so aktualisiert werden, dass sie nahtloser mit Universelles Drucken zusammenarbeiten, können sie die Identität des Benutzers, der einen Druckauftrag veranlasst hat, nicht abrufen.

Wenn die Option „Hybrid-AD-Konfiguration aktivieren“ im Connector für universelles Drucken aktiviert ist, versucht der Connector, die Microsoft Entra ID-Benutzeridentität einer entsprechenden Benutzeridentität der lokalen AD-Domäne zuzuordnen. Wenn eine passende Identität gefunden wird, ändert der Connector-Dienst die Domänenidentität dieses Benutzers vor dem Senden des Druckauftrags an den Spooler. In diesem Fall wird der Domänen-Benutzername des Benutzers, der den Druckauftrag veranlasst hat, in der Spoolerwarteschlange auf dem Connector-PC angezeigt, sodass ältere Anwendungen ihn lesen können.

Voraussetzungen

Es gibt eine Reihe von Abonnements, Diensten und Computern, die Sie erwerben müssen, bevor Sie mit dieser Installation beginnen. Dies sind:

• Microsoft Entra ID Premium-Abonnement.

  Unter Get started with an Azure subscription (Erste Schritte mit einem Azure-Abonnement) finden Sie Informationen zu einem Testabonnement für Azure.

• MDM-Dienst, z. B. Intune.

  Unter Microsoft Intune finden Sie Informationen zu einem Testabonnement für Intune.

• Computer mit Windows Server 2016 oder höher, auf dem Active Directory ausgeführt wird.

  Hilfe zum Einrichten von Active Directory finden Sie unter Step-By-Step: Setting up Active Directory in Windows Server 2016 (Schritt für Schritt: Einrichten von Active Directory unter Windows Server 2016).

• Ein dedizierter, in eine Domäne eingebundener Computer mit Windows Server 2016 oder höher, der als Druckserver und Universal Print-Connector ausgeführt wird.

  Weitere Informationen finden Sie unter Grundlegendes zu Microsoft Entra ID-Anwendungsproxyconnectors.

• Öffentlicher Domänenname.

  Sie können den von Azure erstellten Domänennamen (Domänenname.onmicrosoft.com) verwenden oder einen eigenen Domänennamen erwerben. Siehe Hinzufügen Ihres benutzerdefinierten Domänennamens mithilfe des Microsoft Entra ID-Portals.

Bereitstellungsschritte

Mit den nachstehenden Schritten können Sie eine typische Bereitstellung des universellen Druckens einrichten, die für die Aktivierung der Hybrid-AD/Microsoft Entra ID-Umgebung erforderlich ist.

Schritt1: Installieren von Microsoft Entra ID Connect

1. Microsoft Entra ID Connect synchronisiert Microsoft Entra ID mit dem lokalen AD. Laden Sie auf dem Windows Server-Computer mit Active Directory die Microsoft Entra ID Connect-Software herunter, und installieren Sie sie mit Expresseinstellungen. Siehe Erste Schritte mit Microsoft Entra ID Connect mithilfe von Expresseinstellungen.

Schritt 2: Installieren eines Anwendungsproxys

Hinweis: Überspringen Sie diesen Schritt, wenn der Druckserver bereits mit Azure AD verbunden ist.

Der Anwendungsproxy ermöglicht Benutzer*innen in Ihrer Organisation den Zugriff auf lokale Anwendungen aus der Cloud. Installieren Sie einen Anwendungsproxy auf einem Connector.

• Installationsanweisungen finden Sie im Tutorial: Hinzufügen einer lokalen Anwendung für den Remotezugriff über den Anwendungsproxy in Microsoft Entra ID.
• Wenn die Organisation über eine komplexe Netzwerktopologie verfügt, wird eine dedizierte Connectorgruppe empfohlen. Weitere Informationen finden Sie unter Veröffentlichen von Anwendungen in getrennten Netzwerken und an separaten Standorten mithilfe von Connectorgruppen.

Schritt 3: Einrichten des Druckservers

1. Stellen Sie sicher, dass auf dem Druckserver alle verfügbaren Windows-Updates installiert sind (aktualisieren Sie den Server, bevor Sie fortfahren).

   Hinweis: Server 2019 muss auf Build 17763.165 oder höher gepatcht werden.

   Auf dem Windows Server-Computer, der als Druckserver fungiert, muss die Druckserverrolle installiert werden.

   • Ausführliche Informationen zum Installieren von Serverrollen finden Sie unter Installieren von Rollen, Rollendiensten und Features mit dem Assistenten zum Hinzufügen von Rollen und Features.

   

2. Um sicherzustellen, dass das lokale AD den Microsoft Entra ID-Konten zugeordnet wird, muss der Windows Server-Computer, der als Druckserver fungiert, hybrid verbunden/mit Azure verbunden sein. Sehen Sie unter Einrichtung von Universelles Drucken nach, ob alle Schritte ausgeführt worden sind. Kurz gesagt:

   • Installieren Sie den Connector für Universelles Drucken auf dem Druckservercomputer, falls noch nicht geschehen.
   • Registrieren Sie den Universelles Drucken Connector, indem Sie einen eindeutigen Namen für den Connector angeben.
   • Geben Sie die registrierten Drucker im Verwaltungsportal frei.

Schritt 4 : Einrichten der Verzeichnissynchronisierung des lokalen AD mit Microsoft Entra ID

Die Benutzer/Benutzerinnen oder Gruppen müssen im lokalen Active Directory vorhanden sein und mit Microsoft Entra ID synchronisiert werden. Wenn die Lösung in einer nicht umleitbaren Domäne (z. B. mydomain.local) bereitgestellt wird, muss die Microsoft Entra ID-Domäne (z. B. domainname.onmicrosoft.com oder eine von Drittanbietern erworbene Domäne) als UPN-Suffix zum lokalen Active Directory hinzugefügt werden. Dadurch können in der Sicherheitseinstellung der Datenbankdatei genau dieselben Benutzer hinzugefügt werden, die Drucker veröffentlichen (z. B. admin@Domänenname.onmicrosoft.com). Vergewissern Sie sich unter Vorbereiten einer nicht routingfähigen Domäne für die Verzeichnissynchronisierung, dass die lokale Domäne hinzugefügt und synchronisiert wird.

Hinweis: Dies ist ein wichtiger Schritt, weil es sich um die grundlegende Anforderung für ein vollständiges Setup handelt. Die lokalen AD-Benutzer und -Benutzerinnen müssen dieselben Benutzernamen für die synchronisierten Microsoft Entra-ID-Konten haben.
Beispiel: Domain/user1 sollte user1@example.com lauten

Sobald die Synchronisierung erfolgt ist (die Standardfrequenz der Synchronisierung beträgt 30 Minuten), können Sie im Verwaltungsportal überprüfen, ob die AD-Benutzer synchronisiert wurden. Wählen Sie in Microsoft Entra ID die Registerkarte „Benutzer“ aus, und eine Liste aller Benutzer und Benutzerinnen wird angezeigt. In dieser Liste lässt sich einfach überprüfen, ob für einen Benutzer ein Directory Sync erfolgt. Die Details eines Benutzers sollten anzeigen, dass die Quelle Windows Server AD ist.

Schritt 5: Aktivieren der Hybrid-AD/Microsoft Entra ID-Unterstützung für den Connector für universelles Drucken

Auf dem Druckserver, auf dem der Connector installiert ist, muss sich in der oberen rechten Ecke der Anwendung eine Umschaltfläche befinden.

• Wählen Sie das Optionsfeld Ein für die Option Aktivieren der Hybrid-AD-Konfiguration auf dem Connector.

Überprüfen der Bereitstellung

Stellen Sie sicher, dass die Bereitstellung einen Testdruckauftrag an den Druckserver sendet, indem Sie Ihre Microsoft Entra ID-Anmeldeinformationen auf einem in AD eingebundenen Clientcomputer verwenden.

Der Computer muss mit demselben Konto, mit dem er während des Synchronisierungsschritts verknüpft wurde, in Microsoft Entra ID eingebunden sein. Gehen Sie zu Einstellungen>Konten>E-Mail und Konten. Klicken Sie auf Geschäfts- oder Schulkonto hinzufügen, und melden Sie sich mit den Anmeldeinformationen an, um das Microsoft Entra ID-Konto dem Clientcomputer hinzuzufügen.

Schritte zum Übermitteln eines Testdrucks zur Überprüfung der Bereitstellung:

• Einen Drucker hinzufügen und eine Testseite drucken
• Sobald Sie feststellen, dass ein Druckauftrag in die in der Druckwarteschlange gestellt wurde, sollte der Druckerserver im Ordner C:/prints eine Testdruckdatei mit dem Namen printerName.pdf enthalten.
• Wenn diese Datei angezeigt wird, können Sie überprüfen, ob die Zuordnung erfolgreich vorgenommen wurde, indem Sie die Ereignisprotokolle in dem Pfad überprüfen, der im Abschnitt Problembehandlung für Druckserverprotokolle angegeben ist.

Problembehandlung

Nachfolgend finden Sie einige häufige Probleme, die bei der Bereitstellung auftreten:

Fehler	Empfohlene Schritte
Anfrage zum Hinzufügen oder Entfernen von Features auf dem angegebenen Server ist fehlgeschlagen	Stellen Sie sicher, dass Windows Server über das neueste Update verfügt, indem Sie auf dem Server nach Updates suchen.
Überprüfen, ob der Server in Domain und Azure eingebunden ist	Führen Sie dsregcmd in der Eingabeaufforderung aus, und überprüfen Sie, ob AzureADJoined und DomainJoined auf den Status „JA“ gesetzt sind.
Druckaufträge verbleiben im Zustand „An Drucker gesendet“.	Stellen Sie sicher, dass TLS 1.2 auf dem Connector aktiviert ist. Weitere Informationen finden Sie im verknüpften Artikel in Schritt 2. Stellen Sie sicher, dass HTTP2 auf dem Connector deaktiviert ist. Weitere Informationen finden Sie im verknüpften Artikel in Schritt 2.
Druckaufträge werden im Portal als „Abgebrochen“ angezeigt. Das Ereignisprotokoll für den Druck-Connector zeigt Ereignis 27 „Fehler beim Identitätswechsel <des Benutzers> für die Auftrags-<ID>“ gefolgt von Ereignis 9 „PrintJob failed System.Security.SecurityException: Benutzername oder Passwort ist falsch ...“ an.	Überprüfen Sie, ob das Computerkonto Mitglied der „Windows-Autorisierungszugriffsgruppe“ ist, wie hier beschrieben – Apps und APIs benötigen Zugriff.

Weitere Hilfe zur Problembehandlung im Zusammenhang mit Universelles Drucken finden Sie im Leitfaden zur Problembehandlung für Universelles Drucken.

Nachfolgend sind die Speicherorte von Protokollen aufgeführt, die bei der Problembehandlung hilfreich sein können:

Komponente	Speicherort des Protokolls
Windows 10-Client	Verwenden Sie die Ereignisanzeige, um das Protokoll der Microsoft Entra ID-Vorgänge anzuzeigen. Klicken Sie auf Start, und geben Sie „Ereignisanzeige“ ein. Navigieren Sie zu „Anwendungs- und Dienstprotokolle“ > „Microsoft“ > „Windows“ > „Microsoft Entra ID“ > „Vorgang“. Verwenden Sie Feedback-Hub, um Protokolle zu sammeln. Weitere Informationen finden Sie unter Feedback an Microsoft über die Feedback-Hub-App senden.
Druckerserver	Zeigen Sie das Protokoll des Druck-Connectors mit der Ereignisanzeige an. Klicken Sie auf Start, und geben Sie „Ereignisanzeige“ ein. Navigieren Sie zu Anwendungs- und Dienstprotokolle >Microsoft > Windows > AAD > Vorgang.