9
Das Drucken nur bei VPN-Usern (TMG 2010) sperren
Hallo allerseits!
Konnte nichts Passendes über die Suche finden, darum die Frage im Detail: Wir betreiben eine Forefront TMG 2010, wo VPN-Zugang für unsere Domänen-Benutzer aktiviert ist. Das funktioniert alles problemlos, nur leider auch das Drucken. Somit haben wir das Problem, dass nach dem Wochenende oder am Morgen jedes Mal Unmengen von Ausdrucken im Drucker liegen, die sich keiner abholt. Also suche ich irgendeine eine Möglichkeit, das Drucken für Domänen-Benutzer, die sich über VPN anmelden, zu verbieten/blockieren. Wenn sich diese jedoch normal an ihrem Arbeitsplatz anmelden, dann sollen Sie auch normal ausdrucken können. Hoffe, dass dies verständlich formuliert ist.
Was nicht geht:
- Datei- und Druckfreigabe-Ports sperren (Shares sollen erlaubt bleiben, damit Dokumente geladen/berabeitet werden können)
- IP-Adressen der VPN-Benutzer sperren (klappt zwar, um das direkte Ansprechen des Druckers zu verhindern, aber über die Print-Queue vom Server können sie leider weiterhin drucken)
- mittels Rechten das Drucken verbieten (dann können Sie im normalen Betrieb auch nicht drucken)
Hat jemand irgendwelche Ideen?
Konnte nichts Passendes über die Suche finden, darum die Frage im Detail: Wir betreiben eine Forefront TMG 2010, wo VPN-Zugang für unsere Domänen-Benutzer aktiviert ist. Das funktioniert alles problemlos, nur leider auch das Drucken. Somit haben wir das Problem, dass nach dem Wochenende oder am Morgen jedes Mal Unmengen von Ausdrucken im Drucker liegen, die sich keiner abholt. Also suche ich irgendeine eine Möglichkeit, das Drucken für Domänen-Benutzer, die sich über VPN anmelden, zu verbieten/blockieren. Wenn sich diese jedoch normal an ihrem Arbeitsplatz anmelden, dann sollen Sie auch normal ausdrucken können. Hoffe, dass dies verständlich formuliert ist.
Was nicht geht:
- Datei- und Druckfreigabe-Ports sperren (Shares sollen erlaubt bleiben, damit Dokumente geladen/berabeitet werden können)
- IP-Adressen der VPN-Benutzer sperren (klappt zwar, um das direkte Ansprechen des Druckers zu verhindern, aber über die Print-Queue vom Server können sie leider weiterhin drucken)
- mittels Rechten das Drucken verbieten (dann können Sie im normalen Betrieb auch nicht drucken)
Hat jemand irgendwelche Ideen?
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 270012
Url: https://administrator.de/contentid/270012
Ausgedruckt am: 22.11.2024 um 04:11 Uhr
9 Kommentare
Neuester Kommentar
Möglichkeit, das Drucken für Domänen-Benutzer, die sich über VPN anmelden, zu verbieten/blockieren.
Simple Firewall Regeln die den Zugriff der Client IP Adressen auf die Drucker IPs verbietet UND die Druckerports der Server Queue blocken und dann ist Ruhe im Karton !
Kannst Du bitte genauer erklären, welche "Druckerports der Server Queue" du meinst?
Ok, wenn keiner eine Lösung mit Hausmitteln weiß, wäre ich auch mit Hinweisen auf Zusatztools zufrieden, welche die entsprechende Aufgabe bewerkstelligen können...
Oben steht doch die Lösung:
Simple Firewall Regeln die den Zugriff der Client IP Adressen auf die Drucker IPs verbietet UND die Druckerports der Server Queue blocken und dann ist Ruhe im Karton !
Wo ist denn nun dein wirkliches Problem ?
Simple Firewall Regeln die den Zugriff der Client IP Adressen auf die Drucker IPs verbietet UND die Druckerports der Server Queue blocken und dann ist Ruhe im Karton !
Wo ist denn nun dein wirkliches Problem ?
Darum habe ich ja gefragt, welche Druckerports der Server-Queue gemeint sind: denn unter Windows sind die Ports für "Datei- und Druckerfreigabe" afaik identisch. Sperre ich diese, dann sind auch keine Zugriffe mehr auf die Shares möglich oder sehe ich das falsch?
Das hängt davon ab mit welchem Drucker Protokoll du druckst. Das könn wir dir ja leider nicht über das Forum von der Stirn ablesen. Die Kristallkugel scheitert hier leider auch.
Nimm im Zeifel einen Wireshark und sniffer eine Drucker Session genau mit, dann weist du es sofort.
Nimm im Zeifel einen Wireshark und sniffer eine Drucker Session genau mit, dann weist du es sofort.
Da brauche ich keinen Wireshark: Clients drucken klassisch über den Druckerspooler auf den Server (Ports 137-139 UDP/TCP + 445 TCP) und der Server schickt seines Prints auf Port 9100 TCP unserer HP-Drucker. Welchen Port soll ich nun deiner Meinung sperren?
Da - wie leider erwartet - dieses Problem nicht so einfach zu beheben war, habe ich mir weiter den Kopf zerbrochen und schließlich den Druckserver unter Windows deinstalliert. An seiner Stelle habe ich einen zweiten Server mit Debian GNU/Linux und cups eingerichtet, wo ich unsere Drucker mittels ipp freigegeben habe. Auch wenn ich nun einen weiteren Server warten muss, so habe ich trotzdem mehrere Fliegen mit einer Klappe geschlagen:
- ich kann die IP-Adresse des cups-Servers für VPN-Benutzer blocken
- ich habe gleich eine Accounting-Funktion inkl. Print-Quotas
- alle Clients (Windows, MacOs & Linux) greifen einheitlich auf die Drucker zu
In diesem Sinne: Frage gelöst!
- ich kann die IP-Adresse des cups-Servers für VPN-Benutzer blocken
- ich habe gleich eine Accounting-Funktion inkl. Print-Quotas
- alle Clients (Windows, MacOs & Linux) greifen einheitlich auf die Drucker zu
In diesem Sinne: Frage gelöst!
Und dein Cups Printserver supportet nebenbei auch noch Airprint auf iPhone und iPad:
http://www.heise.de/ct/inhalt/2013/14/166/
http://www.heise.de/ct/inhalt/2013/14/166/
