Hybride AD/Microsoft Entra ID-omgeving inschakelen op Universal Print
Van toepassing op: Windows Server 2016
Achtergrond
Deze informatie is bedoeld om u te helpen bepalen of het inschakelen van hybride AD-configuratie de juiste keuze is voor uw organisatie.
Wat is een hybride AD-configuratie?
Een hybride AD-configuratie is een installatie waarbij de organisatie zowel AD als Microsoft Entra-id gebruikt. In een dergelijke omgeving bestaat er een gebruikersaccount in beide adreslijstservices.
Wat betekent hybride AD-configuratie inschakelen?
De connector voor Universeel afdrukken wordt uitgevoerd als Windows-service op de pc waarop deze is geïnstalleerd. Een van de connectorfuncties is om afdruktaken op te halen uit Universal Print en deze naar de doelprinter te verzenden. De connector gebruikt het account Systeem om afdruktaken naar de spooler te verzenden. Hoewel in de Universal Print-portal de gebruikersnaam van Microsoft Entra ID wordt weergegeven die een afdruktaak heeft ingediend, wordt elke afdruktaak die met Universal Print wordt afgedrukt, weergegeven in de Windows-printerwachtrij op de connector, zoals verzonden door de gebruiker 'Systeem'.
Sommige verouderde afdrukbeheertoepassingen, die afhankelijk zijn van Active Directory-domeinen, lezen de gebruikersnaam uit de spoolerwachtrij en gebruiken die informatie om een bepaalde functie uit te voeren (bijvoorbeeld de afdruktaak af te trekken van het maandelijkse afdrukquotum van een gebruiker). Totdat deze toepassingen naadloos werken met Universal Print, kunnen ze niet de identiteit verkrijgen van de gebruiker die afkomstig is van een afdruktaak.
Wanneer de optie Hybride AD-configuratie inschakelen is ingeschakeld in de connector voor Universeel afdrukken, probeert de connector de Microsoft Entra ID-gebruikersidentiteit toe te wijzen aan een bijbehorende lokale AD-domeingebruikersidentiteit. Als er een overeenkomende identiteit wordt gevonden, imiteert de connectorservice de domeinidentiteit van die gebruiker voordat de afdruktaak namens deze gebruiker wordt verzonden naar de spooler. In dat geval wordt de domeingebruikersnaam van de gebruiker die afkomstig is van de afdruktaak weergegeven in de spooler-wachtrij op de connector-pc, zodat oudere toepassingen deze kunnen lezen.
Vereisten
Er zijn een aantal abonnementen, services en computers die u moet verkrijgen voordat u deze installatie start. Dit zijn de volgende:
Microsoft Entra ID Premium-abonnement.
Zie Aan de slag met een Azure-abonnement voor een proefabonnement op Azure.
MDM-service, zoals Intune.
Zie Microsoft Intune voor een proefabonnement op Intune.
Windows Server 2016 of hoger computer met Active Directory.
Zie Stap voor stap: Active Directory instellen in Windows Server 2016 voor hulp bij het instellen van Active Directory.
Een toegewezen, domein-gekoppelde Windows Server 2016 of hoger computer die wordt uitgevoerd als een afdrukserver en een connector voor Universeel afdrukken.
Zie Informatie over Microsoft Entra ID toepassingsproxy connectors voor meer informatie.
Openbare domeinnaam.
U kunt de domeinnaam gebruiken die voor u is gemaakt door Azure (domeinnaam.onmicrosoft.com) of uw eigen domeinnaam kopen. Zie Uw aangepaste domeinnaam toevoegen met behulp van de Microsoft Entra ID-portal.
Installatiestappen
Met de onderstaande stappen kunt u een typische Universal Print-implementatie instellen die vereist is voor het inschakelen van hybrid AD/Microsoft Entra ID Environment.
Stap 1: Microsoft Entra ID Verbinding maken installeren
- Microsoft Entra ID connect synchroniseert Microsoft Entra ID met on-premises AD. Download en installeer op de Windows Server-computer met Active Directory de Microsoft Entra ID Verbinding maken software met snelle instellingen. Zie Aan de slag met Microsoft Entra ID Verbinding maken met behulp van express-instellingen.
Stap 2: toepassingsproxy installeren
Opmerking: sla deze stap over als de afdrukserver al is toegevoegd aan AzureAD.
Met de toepassingsproxy kunnen gebruikers in uw organisatie toegang krijgen tot on-premises toepassingen vanuit de cloud. Installeer toepassingsproxy op de connector.
- Zie Zelfstudie: Een on-premises toepassing toevoegen voor externe toegang via toepassingsproxy in Microsoft Entra ID voor installatie-instructies.
- Een toegewezen connectorgroep wordt aanbevolen als de organisatie een complexe netwerktopologie heeft. Zie Toepassingen publiceren op afzonderlijke netwerken en locaties met behulp van connectorgroepen.
Stap 3: De afdrukserver instellen
Zorg ervoor dat op de afdrukserver alle beschikbare Windows Update is geïnstalleerd (werk de server bij voordat u verdergaat).
Opmerking: Server 2019 moet worden gepatcht naar build 17763.165 of hoger.
Op de Windows Server-computer die fungeert als een afdrukserver, moeten we de afdrukserverfunctie installeren.
- Zie Functies, functieservices en onderdelen installeren met behulp van de wizard Functies en onderdelen toevoegen voor meer informatie over het installeren van serverfuncties.
Om ervoor te zorgen dat de lokale AD wordt toegewezen met de Microsoft Entra ID-accounts, moet de Windows Server die fungeert als Afdrukserver hybride gekoppeld/Azure-gekoppeld zijn. Zie Universal Print Setup om ervoor te zorgen dat alle stappen zijn voltooid. Kortom,
- Installeer de Universal Print Verbinding maken or op de printerserver als dit nog niet is gebeurd.
- Registreer de connector bij Universal Print door een unieke naam voor de connector op te geven.
- Deel de geregistreerde printers op de beheerportal.
Stap 4: Directorysynchronisatie van lokale AD instellen met Microsoft Entra-id
De gebruikers of groepen moeten bestaan in on-premises Active Directory en gesynchroniseerd met Microsoft Entra-id. Als de oplossing wordt geïmplementeerd in een niet-routeerbaar domein (bijvoorbeeld mydomain.local), moet het Microsoft Entra ID-domein (bijvoorbeeld domeinnaam.onmicrosoft.com of een gekocht bij een externe leverancier) worden toegevoegd als upn-achtervoegsel aan on-premises Active Directory. Dit is dus precies dezelfde gebruiker die printers publiceert (bijvoorbeeld admin@domeinnaam.onmicrosoft.com). Zie Een niet-routeerbaar domein voorbereiden voor adreslijstsynchronisatie om ervoor te zorgen dat het lokale domein wordt toegevoegd en gesynchroniseerd.
Opmerking: Dit is een belangrijke stap omdat dit de basisvereiste is voor een volledige installatie. De lokale AD-gebruiker moet dezelfde gebruikersnaam hebben voor het gesynchroniseerde Microsoft Entra ID-account.
Voorbeeld: domein/gebruiker1 moet worden omgezet in user1@example.com
Zodra de synchronisatie plaatsvindt (de standaardsynchronisatiefrequentie is 30 minuten), kunt u controleren of de AD-gebruikers zijn gesynchroniseerd in de beheerportal. Selecteer onder Microsoft Entra ID het tabblad Gebruikers en er wordt een lijst met alle gebruikers weergegeven. Het is eenvoudig om te controleren of een gebruiker is gesynchroniseerd in die lijst. Details van een gebruiker moeten laten zien dat de bron Windows Server AD is.
Stap 5: de ondersteuning voor hybride AD/Microsoft Entra ID inschakelen op Universal Print Verbinding maken or
Op de afdrukserver waarop de connector is geïnstalleerd, moet er een wisselknop in de rechterbovenhoek van de toepassing staan.
- Selecteer het keuzerondje op het keuzerondje voor de optie Hybride AD-configuratie inschakelen op de connector.
De implementatie controleren
Controleer of de implementatie zou zijn door een testafdruktaak naar de afdrukserver te verzenden met behulp van uw Microsoft Entra ID-referenties op een clientcomputer die is toegevoegd aan AD.
De computer moet Microsoft Entra ID zijn die is gekoppeld aan hetzelfde account waarmee deze is gekoppeld tijdens de synchronisatiestap. Ga naar Instellingen> Accounts-e-mailaccounts.> Klik op Een werk- of schoolaccount toevoegen en meld u aan met de referenties om het Microsoft Entra ID-account toe te voegen aan de clientcomputer.
Stappen voor het verzenden van een testafdruk om te controleren of de implementatie hieronder wordt weergegeven:
- Een printer toevoegen en een testpagina afdrukken
- Wanneer u een afdruktaak in de wachtrij ziet staan, moet op de afdrukserver onder de map C:/prints een testafdrukbestand worden weergegeven in de naam printerName.pdf.
- Als dit bestand wordt weergegeven, kunt u controleren of de toewijzing is uitgevoerd door de gebeurtenislogboeken in het pad te controleren dat wordt vermeld in de sectie Probleemoplossing voor printserverlogboeken.
Probleemoplossing
Hieronder ziet u veelvoorkomende problemen tijdens de implementatie:
| Error | Aanbevolen stappen |
|---|---|
| De aanvraag voor het toevoegen of verwijderen van functies op de opgegeven server is mislukt | Zorg ervoor dat Windows Server de meest recente update heeft door te controleren op updates op de server. |
| Controleren of de server lid is van een domein en Azure | Voer dsregcmd uit bij de opdrachtprompt en controleer of AzureADJoined en DomainJoined zijn ingesteld op 'JA'. |
| Afdruktaken blijven in de status Verzonden naar printer | |
| Afdruktaken worden weergegeven als 'Afgebroken' in de portal. Print Verbinding maken or gebeurtenislogboek toont gebeurtenis 27 "Kan gebruiker> niet imiteren <voor taak-id<>, gevolgd door gebeurtenis 9 "PrintJob failed System.Security.SecurityException: The user name or password is incorrect...". | Controleer of het computeraccount lid is van de 'Windows Authorization Access Group' zoals hier wordt beschreven. Apps en API's vereisen toegang. |
Zie de handleiding voor probleemoplossing voor Universal Print voor meer hulp bij het oplossen van problemen met Universal Print.
Hieronder vindt u locaties met logboeken die u kunnen helpen bij het oplossen van problemen:
| Onderdeel | Logboeklocatie |
|---|---|
| Windows 10 Client | |
| Afdrukserver | Gebruik Logboeken om het logboek van print Verbinding maken or weer te geven. Klik op Start en typ Logboeken. Navigeer naar toepassingen en services registreert > Microsoft > Windows > Print Verbinding maken or > Operationeel. |