在通用打印上启用混合 AD/Microsoft Entra ID 环境
适用于:Windows Server 2016
背景
此信息旨在帮助你确定启用混合 AD 配置是否适合组织。
什么是混合 AD 配置?
混合 AD 配置是组织使用 AD 和 Microsoft Entra ID 的设置。 在这种情况下,这两个目录服务中都存在用户帐户。
“启用混合 AD 配置”的含义是什么?
通用打印连接器在安装了 Windows 服务的电脑上作为 Windows 服务运行。 连接器函数之一是从通用打印中检索打印作业并将其发送到目标打印机。 连接器使用“系统”帐户将打印作业提交到后台处理程序。 因此,尽管通用打印门户将显示提交打印作业的 Microsoft Entra ID 用户名,但使用通用打印的每个打印作业会显示在连接器上由用户“系统”提交的 Windows 打印机队列中。
某些依赖于 Active Directory 域的旧版打印管理应用程序从后台处理程序队列中读取用户名,并使用该信息执行某些功能(例如,从用户的每月打印配额中扣除打印作业)。 在更新这些应用程序以更无缝地使用通用打印之前,它们将无法获取发起打印作业的用户的身份。
在通用打印连接器中启用“启用混合 AD 配置”选项时,连接器会尝试将 Microsoft Entra ID 用户标识映射到相应的本地 AD 域用户标识。 如果找到匹配的标识,连接器服务随后会模拟该用户的域标识,然后代表他们将打印作业提交到后台处理程序。 在这种情况下,发起打印作业的用户的域用户名将显示在连接器电脑上的后台处理程序队列中,允许旧版应用程序读取它。
先决条件
在开始安装之前,需要获取许多订阅、服务和计算机。 这些限制如下:
Microsoft Entra ID Premium 订阅。
请参阅开始使用 Azure 订阅获取 Azure 的试用订阅。
MDM 服务,例如 Intune。
请参阅 Microsoft Intune 获取 Intune 的试用订阅。
运行 Active Directory 的 Windows Server 2016 或更高版本计算机。
请参阅分步指南:在 Windows Server 2016 中安装 Active Directory 获取有关安装 Active Directory 的帮助。
作为打印服务器和通用打印连接器运行的专用已加入域的 Windows Server 2016 或更高版本计算机。
有关详细信息,请参阅了解 Microsoft Entra ID 应用程序代理 连接器。
面向公众的域名。
你可以使用 Azure 为你创建的域名 (domainname.onmicrosoft.com),或购买自己的域名。 请参阅 使用 Microsoft Entra ID 门户添加自定义域名。
部署步骤
以下步骤可让你设置启用混合 AD/Microsoft Entra ID 环境所需的典型通用打印部署。
步骤 1 - 安装 Microsoft Entra ID 连接
- Microsoft Entra ID 连接将 Microsoft Entra ID 同步到本地 AD。 在具有 Active Directory 的 Windows Server 计算机上,使用快速设置下载并安装 Microsoft Entra ID 连接软件。 请参阅使用快速设置连接 Microsoft Entra ID 入门。
步骤 2 - 安装应用程序代理
注意:如果打印服务器已加入 AzureAD,请跳过此步骤。
组织中的用户可以通过应用程序代理从云访问本地应用程序。 在连接器上安装应用程序代理。
- 有关安装说明,请参阅教程:在 Microsoft Entra ID 中通过应用程序代理添加用于远程访问的本地应用程序。
- 如果组织使用复杂的网络拓扑,建议创建专用连接器组。 请参阅使用连接器组在单独的网络和位置上发布应用程序。
步骤 3 - 设置打印服务器
请确保打印服务器已安装所有可用的Windows 更新(在继续操作之前更新服务器)。
注意:必须使用内部版本 17763.165 或更高版本修补 Server 2019。
在充当打印服务器的 Windows Server 计算机上,我们需要安装 打印服务器角色。
- 有关如何安装服务器角色的详细信息,请参阅使用添加角色和功能向导安装角色、角色服务和功能。
若要确保本地 AD 使用 Microsoft Entra ID 帐户映射,充当打印服务器的 Windows Server 必须是混合联接/Azure 联接。 请参阅 通用打印设置 ,确保完成所有步骤。 简言之,
- 如果尚未安装,请在打印服务器计算机上安装通用打印连接or。
- 通过为连接器提供唯一名称,将连接器注册到通用打印。
- 在管理门户中共享已注册的打印机 。
步骤 4 - 使用 Microsoft Entra ID 设置本地 AD 的目录同步
用户或组必须存在于本地 Active Directory中,并与 Microsoft Entra ID 同步。 如果解决方案部署到不可路由的域(例如 mydomain.local),则需要将 Microsoft Entra ID 域(例如 domainname.onmicrosoft.com 或从第三方供应商购买的域)添加为 UPN 后缀,以本地 Active Directory。 因此,发布打印机的用户完全相同(例如admin@domainname.onmicrosoft.com)。 请参阅 准备不可路由的域进行目录同步 ,以确保添加和同步本地域。
注意:这是一个重要步骤,因为它是完整设置的基本要求。 本地 AD 用户必须在同步的 Microsoft Entra ID 帐户上具有相同的用户名。
示例:域/user1 应转换为 user1@example.com
同步发生(默认同步频率为 30 分钟)后,可以验证 AD 用户是否已在管理门户中同步。 在 Microsoft Entra ID 下,选择“用户”选项卡,并显示所有用户的列表。 验证用户是否在该列表中同步了目录,这很容易。 用户的详细信息应显示源是 Windows Server AD。
步骤 5 - 在通用打印连接or 上启用混合 AD/Microsoft Entra ID 支持
在安装连接器的打印服务器上,应用程序右上角必须有一个切换按钮。
- 选择连接器上“启用混合 AD 配置”选项的单选按钮。
验证部署
使用已加入 AD 的客户端计算机上的 Microsoft Entra ID 凭据将测试打印作业发送到打印服务器,验证部署是否为部署。
计算机必须是 Microsoft Entra ID,该 ID 与同步步骤中与之链接的同一帐户。 转到设置>Accounts>电子邮件和帐户。 单击 “添加工作或学校帐户 ”,然后使用凭据将 Microsoft Entra ID 帐户添加到客户端计算机。
提交测试打印以验证部署的步骤如下:
- 添加打印机并打印测试页
- 注意到打印队列中排队的打印作业后,文件夹 C:/prints 下的打印服务器应会显示一个测试打印文件的名称 printerName.pdf。
- 如果出现此文件,则可以通过检查打印服务器日志的“故障排除”部分中提及路径中的事件日志成功发生,则可以检查。
故障排除
下面是部署过程中遇到的常见问题:
| 错误 | 建议的步骤 |
|---|---|
| 在指定服务器上添加或删除功能的请求失败 | 通过检查服务器上更新,确保 Windows Server 具有最新更新。 |
| 检查服务器是否已加入域和 Azure | 在命令提示符下运行 dsregcmd,如果 AzureADJoined 和 DomainJoined 设置为“YES”状态,则检查。 |
| 打印作业停滞在“已发送到打印机”状态 | |
| 打印作业在门户中显示为“已中止”。 打印连接or 事件日志显示事件 27“无法模拟<作业 <ID> 的用户>,后跟事件 9 ”PrintJob failed System.Security.SecurityException: 用户名或密码不正确...“。 | 检查计算机帐户是否是“Windows 授权访问组”的成员,如此处所述 - 应用和 API 需要访问权限。 |
有关与通用打印相关的更多问题拍摄帮助,请参阅 通用打印故障排除指南。
下面是可帮助进行故障排除的日志位置:
| 组件 | 日志位置 |
|---|---|
| Windows 10 客户端 | |
| 打印服务器 | 使用事件查看器查看打印连接or 的日志。 单击“开始”并键入“事件查看器”。 导航到“应用程序和服务日志>”Microsoft > Windows > Print连接or > Operational。 |