Aktivieren der Hybrid-AD/AAD-Umgebung für universelles Drucken
Gilt für: Windows Server 2016
Hintergrund
Diese Informationen sollen Ihnen helfen, zu entscheiden, ob die Hybrid-AD-Konfiguration die richtige Wahl für Ihre Organisation ist.
Was ist eine Hybrid-AD-Konfiguration?
Eine Hybrid-AD-Konfiguration ist ein Setup, in dem die Organisation sowohl AD als auch Azure AD verwendet. In einer solchen Umgebung ist in beiden Verzeichnisdiensten ein Benutzerkonto vorhanden.
Was bedeutet "Hybrid-AD-Konfiguration aktivieren"?
Die Konnektor für universelles Drucken wird als Windows Dienst auf dem PC ausgeführt, auf dem sie installiert ist. Eine der Verbinderfunktionen besteht darin, Druckaufträge aus Universal Print abzurufen und an den Zieldrucker zu senden. Der Connector verwendet das Konto "System", um Druckaufträge an den Spooler zu übermitteln. Obwohl das Universelle Druckportal den Azure AD-Benutzernamen anzeigt, der einen Druckauftrag übermittelt hat, wird jeder Druckauftrag, der mit Universal Print gedruckt wird, in der Windows Druckerwarteschlange auf dem Connector angezeigt, wie vom Benutzer "System" übermittelt.
Einige ältere Druckverwaltungsanwendungen, die auf Active Directory-Domänen basieren, lesen den Benutzernamen aus der Spooler-Warteschlange und verwenden diese Informationen, um einige Funktionen auszuführen (z. B. den Druckauftrag vom monatlichen Druckkontingent eines Benutzers abziehen). Bis diese Anwendungen aktualisiert werden, um nahtlos mit Universal Print zu arbeiten, können sie nicht die Identität des Benutzers abrufen, der einen Druckauftrag erstellt hat.
Wenn die Option "Hybrid-AD-Konfiguration aktivieren" im Konnektor für universelles Drucken aktiviert ist, versucht der Connector, die Azure AD-Benutzeridentität einer entsprechenden lokalen AD-Domänenbenutzeridentität zuzuordnen. Wenn eine übereinstimmende Identität gefunden wird, wird der Connectordienst dann vor dem Übermitteln des Druckauftrags an den Spooler im Namen des Benutzers imitiert. In diesem Fall wird der Domänenname des Benutzers, der den Druckauftrag stammt, in der Spooler-Warteschlange auf dem Connector-PC angezeigt, sodass ältere Anwendungen sie lesen können.
Voraussetzungen
Es gibt eine Reihe von Abonnements, Diensten und Computern, die Sie erwerben müssen, bevor Sie diese Installation starten. Dies sind:
Azure AD Premium-Abonnement.
Siehe Erste Schritte mit einem Azure-Abonnement für ein Testabonnement für Azure.
MDM-Dienst, z. B. Intune.
Weitere Informationen finden Sie unter Microsoft Intune für ein Testabonnement für Intune.
Windows Server 2016 oder höher Computer, auf dem Active Directory ausgeführt wird.
Weitere Informationen finden Sie unter "Schrittweises Einrichten von Active Directory" in Windows Server 2016 zur Einrichtung von Active Directory.
Ein dedizierter, domänenbezogener Windows Server 2016 oder höherer Computer, der als Print Server und ein Connector-Server ausgeführt wird.
Weitere Informationen finden Sie unter "Grundlegendes zu Azure AD Anwendungsproxy Connectors".
Name der öffentlichen Domäne.
Sie können den Domänennamen verwenden, der von Azure (domainname.onmicrosoft.com) erstellt wurde, oder Ihren eigenen Domänennamen erwerben. Weitere Informationen finden Sie unter Hinzufügen Ihres benutzerdefinierten Domänennamens über das Azure Active Directory-Portal.
Bereitstellungsschritte
In den folgenden Schritten können Sie eine typische universelle Druckbereitstellung einrichten, die für die Aktivierung der Hybrid-AD/AAD-Umgebung erforderlich ist.
Schritt 1 – Installieren von Azure AD-Verbinden
- Azure AD Connect synchronisiert Azure AD mit lokalem AD. Laden Sie auf dem computer Windows Server mit Active Directory die Azure AD-Verbinden-Software mit Expresseinstellungen herunter und installieren Sie sie. Weitere Informationen finden Sie unter "Erste Schritte mit Azure AD Verbinden mithilfe von Expresseinstellungen".
Schritt 2 – Installieren von Anwendungsproxy
Hinweis: Überspringen Sie diesen Schritt, wenn der Druckserver bereits AzureAD beigetreten ist.
Der Anwendungsproxy ermöglicht Benutzern in Ihrer Organisation den Zugriff auf lokale Anwendungen aus der Cloud. Installieren Sie Anwendungsproxy auf dem Connectorserver.
- Anweisungen zur Installation finden Sie im Lernprogramm: Hinzufügen einer lokalen Anwendung für den Remotezugriff über Anwendungsproxy in Azure Active Directory.
- Eine dedizierte Connectorgruppe wird empfohlen, wenn die Organisation über komplexe Netzwerktopologie verfügt. Weitere Informationen finden Sie unter Veröffentlichen von Anwendungen in getrennten Netzwerken und an separaten Standorten mithilfe von Connectorgruppen.
Schritt 3 – Einrichten des Druckservers
Stellen Sie sicher, dass der Druckserver alle verfügbaren Windows Update installiert hat (Aktualisieren Sie den Server, bevor Sie fortfahren).
Hinweis: Server 2019 muss auf Build 17763.165 oder höher gepatcht werden.
Auf dem computer Windows Server, der als Druckserver fungiert, müssen wir die Druckserverrolle installieren.
- Ausführliche Informationen zum Installieren von Serverrollen, Rollendiensten und Features finden Sie im Assistenten zum Hinzufügen von Rollen und Features .
Um sicherzustellen, dass die lokalen AD-Karten mit den AAD-Konten zugeordnet werden, muss der Windows Server, der als Print Server fungiert, hybrid eingebunden/Azure verbunden sein. Lesen Sie die Universelle Druckeinrichtung , um sicherzustellen, dass alle Schritte abgeschlossen sind. Kurz gesagt:
- Installieren Sie den universellen Druckconnector auf dem Druckservercomputer, falls noch nicht geschehen.
- Registrieren Sie den Verbinder mit universal Print, indem Sie einen eindeutigen Namen für den Verbinder angeben.
- Teilen Sie die registrierten Drucker im Verwaltungsportal.
Schritt 4 – Einrichten der Verzeichnissynchronisierung lokaler AD mit Azure AD
Die Benutzer oder Gruppen müssen in lokales Active Directory vorhanden sein und mit Azure AD synchronisiert werden. Wenn die Lösung in einer nicht routierbaren Domäne (z. B. mydomain.local) bereitgestellt wird, muss die Azure AD-Domäne (z. B. Domainname.onmicrosoft.com oder eine von Drittanbietern erworbene) als UPN-Suffix zu lokales Active Directory hinzugefügt werden. Dies ist also der gleiche Benutzer, der Drucker veröffentlicht (z. B. admin@domainname.onmicrosoft.com). Siehe Vorbereiten einer nicht routingfähigen Domäne für die Verzeichnissynchronisierung , um sicherzustellen, dass die lokale Domäne hinzugefügt und synchronisiert wird.
Hinweis: Dies ist ein wichtiger Schritt, da es sich um die grundlegende Anforderung für ein vollständiges Setup handelt. Der lokale AD-Benutzer muss denselben Benutzernamen auf dem synchronisierten AAD-Konto haben.
Beispiel: Domäne/Benutzer1 sollte in übersetzt werden user1@AADDomain.com
Sobald die Synchronisierung erfolgt (Standardsynchronisierungshäufigkeit beträgt 30 Minuten), können Sie überprüfen, ob die AD-Benutzer im Verwaltungsportal synchronisiert werden. Wählen Sie unter Azure Active Directory die Registerkarte "Benutzer" aus, und eine Liste aller Benutzer wird angezeigt. Es wäre einfach zu überprüfen, ob ein Benutzer in dieser Liste synchronisiert ist. Details eines Benutzers sollten anzeigen, dass die Quelle Windows Server AD ist.
Schritt 5 – Aktivieren der Ad/AAD-Hybridunterstützung für universelle Druckkonnektor
Auf dem Druckserver, auf dem der Verbinder installiert ist, muss eine Umschaltfläche in der oberen rechten Ecke der Anwendung vorhanden sein.
- Aktivieren Sie das Optionsfeld für die Option " Hybrid-AD-Konfiguration aktivieren " auf dem Connector.
Überprüfen der Bereitstellung
Stellen Sie sicher, dass die Bereitstellung durch Senden eines Testdruckauftrags an den Druckserver mit Ihren AAD-Anmeldeinformationen auf einem in AD eingebundenen Clientcomputer erfolgt.
Der Computer muss mit demselben Konto verbunden sein, mit dem er während des Synchronisierungsschritts verknüpft ist. Wechseln Sie zu Einstellungen>Accounts-E-Mail-Konten&>. Klicken Sie auf "Geschäfts-, Schul- oder Unikonto hinzufügen ", und melden Sie sich mit den Anmeldeinformationen an, um dem Clientcomputer das AAD-Konto hinzuzufügen.
Schritte zum Übermitteln eines Testdrucks, um zu überprüfen, ob die Bereitstellung unten aufgeführt ist:
- Hinzufügen eines Druckers und Drucken einer Testseite
- Sobald Sie einen Druckauftrag in der Druckwarteschlange in die Warteschlange gestellt haben, sollte der Druckserver unter dem Ordner C:/prints eine Testdruckdatei im Namen printerName.pdfangezeigt werden.
- Wenn diese Datei angezeigt wird, können Sie überprüfen, ob die Zuordnung erfolgreich aufgetreten ist, indem Sie die Ereignisprotokolle im Pfad überprüfen, der im Abschnitt "Problembehandlung" für Print Server-Protokolle erwähnt wird.
Problembehandlung
Nachfolgend finden Sie häufige Probleme bei der Bereitstellung:
| Fehler | Empfohlene Schritte |
|---|---|
| Fehler bei der Anforderung zum Hinzufügen oder Entfernen von Features auf dem angegebenen Server | Stellen Sie sicher, dass Windows Server über das neueste Update verfügt, indem Sie auf Updates auf dem Server suchen. |
| Überprüfen, ob der Server Domäne ist und Azure beigetreten ist | Führen Sie dsregcmd an der Eingabeaufforderung aus, und überprüfen Sie, ob AzureADJoined und DomainJoined auf den Status "JA" festgelegt sind. |
| Druckaufträge bleiben im Status "An Drucker gesendet" | |
| Druckaufträge werden im Portal als "Abgebrochen" angezeigt. Das Print Connector-Ereignisprotokoll zeigt Ereignis 27 "Fehler beim Identitätswechsel <des Benutzers> für die Auftrags-ID<>, gefolgt von Ereignis 9 "PrintJob failed System.Security.SecurityException: Der Benutzername oder das Kennwort ist falsch...". | Überprüfen Sie, ob das Computerkonto Mitglied der "Windows Autorisierungszugriffsgruppe" ist, wie hier beschrieben – Apps und APIs benötigen Zugriff. |
Weitere Problembehandlungshilfen im Zusammenhang mit universal Print finden Sie in der Anleitung zur Problembehandlung für universelle Drucke.
Nachfolgend finden Sie Speicherorte von Protokollen, die bei der Problembehandlung helfen können:
| Komponente | Speicherort des Protokolls |
|---|---|
| Windows 10-Client | |
| Druckerserver | Verwenden Sie Ereignisanzeige, um das Protokoll des Print Connector anzuzeigen. Klicken Sie auf "Start" und geben Sie Ereignisanzeige ein. Navigieren Sie zu Anwendungen und Diensten > protokolliert Microsoft > Windows > PrintConnector > Betriebsbetrieb. |