在通用打印上启用混合 AD/AAD 环境
适用于:Windows Server 2016
背景
此信息旨在帮助你确定启用混合 AD 配置是否适合你的组织。
什么是混合 AD 配置?
混合 AD 配置是组织使用 AD 和 Azure AD 的设置。 在这种情况下,这两个目录服务中都存在用户帐户。
“启用混合 AD 配置”的含义是什么?
通用打印连接器在安装了Windows服务的电脑上作为服务运行。 连接器函数之一是从通用打印检索打印作业,并将其发送到目标打印机。 连接器使用“系统”帐户将打印作业提交到后台处理程序。 因此,尽管通用打印门户将显示提交打印作业的 Azure AD 用户名,但使用通用打印打印的每个打印作业将显示在连接器上的Windows打印机队列中,用户“系统”提交。
一些依赖于 Active Directory 域的旧版打印管理应用程序从后台处理程序队列读取用户名,并使用这些信息执行某些功能 (,例如从用户的每月打印配额) 中扣除打印作业。 在更新这些应用程序以更无缝地使用通用打印之前,他们将无法获取发起打印作业的用户的身份。
当通用打印连接器中启用“启用混合 AD 配置”选项时,连接器会尝试将 Azure AD 用户标识映射到相应的本地 AD 域用户标识。 如果找到匹配的标识,连接器服务会模拟该用户的域标识,然后代表用户将打印作业提交到后台处理程序。 在这种情况下,发起打印作业的用户的域用户名将显示在连接器电脑上的后台处理程序队列中,允许旧版应用程序读取它。
先决条件
在开始此安装之前,需要获取许多订阅、服务和计算机。 这些限制如下:
Azure AD 高级订阅。
有关 Azure 试用版订阅的 Azure 订阅,请参阅开始。
MDM 服务,例如Intune。
有关Intune试用版订阅,请参阅Microsoft Intune。
Windows Server 2016或更高版本的计算机运行 Active Directory。
请参阅分步说明:在 Windows Server 2016 中设置 Active Directory 以获取有关设置 Active Directory 的帮助。
作为打印服务器和连接器服务器运行的专用已加入域的Windows Server 2016或更高版本的计算机。
有关详细信息,请参阅了解 Azure AD 应用程序代理连接器。
面向公众的域名。
可以使用 Azure (domainname.onmicrosoft.com) 创建的域名,或购买自己的域名。 请参阅使用 Azure Active Directory 门户添加自定义域名。
部署步骤
通过以下步骤,可以设置启用混合 AD/AAD 环境所需的典型通用打印部署。
步骤 1 - 安装 Azure AD 连接
- Azure AD 连接将 Azure AD 同步到本地 AD。 在具有 Active Directory 的 Windows 服务器计算机上,下载并安装具有快速设置的 Azure AD 连接软件。 请参阅使用快速设置的 Azure AD 连接入门。
步骤 2 - 安装应用程序代理
注意:如果打印服务器已加入 AzureAD,请跳过此步骤。
应用程序代理允许用户从云访问本地应用程序。 在连接器服务器上安装应用程序代理。
- 有关安装说明,请参阅教程:通过 Azure Active Directory 中的应用程序代理添加用于远程访问的本地应用程序。
- 如果组织具有复杂的网络拓扑,建议使用专用连接器组。 请参阅使用连接器组在单独的网络和位置上发布应用程序。
步骤 3 - 设置打印服务器
请确保打印服务器已安装所有可用的Windows 更新, (更新服务器,然后再继续) 。
注意:服务器 2019 必须修补为内部版本 17763.165 或更高版本。
在充当打印服务器的Windows服务器计算机上,我们需要安装打印服务器角色。
若要确保本地 AD 与 AAD 帐户映射,充当打印服务器的Windows服务器必须是混合联接/Azure 联接。 请参阅 通用打印设置 ,确保完成所有步骤。 简言之,
步骤 4 - 使用 Azure AD 设置本地 AD 的目录同步
用户或组必须存在于本地 Active Directory中,并与 Azure AD 同步。 如果解决方案部署到不可路由的域 ((例如 mydomain.local) ),Azure AD 域 ((例如 domainname.onmicrosoft.com)或从第三方供应商购买的域) 需要作为 UPN 后缀添加到本地 Active Directory。 这是将发布打印机 (的完全相同的用户,例如 admin@domainname.onmicrosoft.com) 。 请参阅 准备不可路由的域进行目录同步 ,以确保添加和同步本地域。
注意:这是一个重要步骤,因为它是完整设置的基本要求。 本地 AD 用户必须在同步的 AAD 帐户上具有相同的用户名。
示例:域/user1 应转换为 user1@AADDomain.com
同步 (默认同步频率为 30 分钟) 后,可以验证 AD 用户是否已在管理门户中同步。 在“Azure Active Directory”下,选择“用户”选项卡,并显示所有用户的列表。 验证用户是否在该列表中同步了目录,这很容易。 用户的详细信息应显示源Windows Server AD。
步骤 5 - 在通用打印连接器上启用混合 AD/AAD 支持
在安装连接器的打印服务器上,应用程序右上角必须有一个切换按钮。
- 选择连接器上“启用混合 AD 配置”选项的单选按钮。
验证部署
使用已加入 AD 的客户端计算机上的 AAD 凭据将测试打印作业发送到打印服务器,验证部署是否为部署。
计算机必须与同步步骤期间与之链接的同一帐户加入 AAD。 转到 设置>Accounts>电子邮件&帐户。 单击 “添加工作或学校帐户 ”,然后使用凭据将 AAD 帐户添加到客户端计算机。
提交测试打印以验证部署的步骤如下:
- 添加打印机并打印测试页
- 注意到打印队列中排队的打印作业后,文件夹 C:/prints 下的打印服务器应会显示一个测试打印文件,名称 printerName.pdf。
- 如果出现此文件,可以通过检查打印服务器日志的故障排除部分中提到的路径中的事件日志,检查映射是否已成功发生。
疑难解答
下面是部署过程中遇到的常见问题:
| 错误 | 建议的步骤 |
|---|---|
| 在指定服务器上添加或删除功能的请求失败 | 通过检查服务器上的更新,确保Windows服务器具有最新的更新。 |
| 检查服务器是否为“域”和“已加入 Azure” | 在命令提示符上运行 dsregcmd ,并检查 AzureADJoined 和 DomainJoined 是否设置为“YES”状态。 |
| 打印作业保持“发送到打印机”状态 | |
| 打印作业在门户中显示为“已中止”。 打印连接器事件日志显示事件 27“无法模拟<作业 <ID> 的用户>,后跟事件 9”PrintJob 失败 System.Security.SecurityException:用户名或密码不正确...“。 | 检查计算机帐户是否是“Windows授权访问组”的成员,如此处所述 - 应用和 API 需要访问。 |
有关与通用打印相关的更多故障排除帮助,请参阅 通用打印故障排除指南。
下面是有助于进行故障排除的日志的位置:
| 组件 | 日志位置 |
|---|---|
| Windows 10 客户端 | |
| 打印服务器 | 使用事件查看器查看打印连接器日志。 单击"开始"菜单并键入事件查看器。 导航到 Microsoft > Windows > PrintConnector > 操作的应用程序和服务日志>。 |