dersud
Goto Top

Das Drucken nur bei VPN-Usern (TMG 2010) sperren

Hallo allerseits!

Konnte nichts Passendes über die Suche finden, darum die Frage im Detail: Wir betreiben eine Forefront TMG 2010, wo VPN-Zugang für unsere Domänen-Benutzer aktiviert ist. Das funktioniert alles problemlos, nur leider auch das Drucken. Somit haben wir das Problem, dass nach dem Wochenende oder am Morgen jedes Mal Unmengen von Ausdrucken im Drucker liegen, die sich keiner abholt. Also suche ich irgendeine eine Möglichkeit, das Drucken für Domänen-Benutzer, die sich über VPN anmelden, zu verbieten/blockieren. Wenn sich diese jedoch normal an ihrem Arbeitsplatz anmelden, dann sollen Sie auch normal ausdrucken können. Hoffe, dass dies verständlich formuliert ist.

Was nicht geht:
- Datei- und Druckfreigabe-Ports sperren (Shares sollen erlaubt bleiben, damit Dokumente geladen/berabeitet werden können)
- IP-Adressen der VPN-Benutzer sperren (klappt zwar, um das direkte Ansprechen des Druckers zu verhindern, aber über die Print-Queue vom Server können sie leider weiterhin drucken)
- mittels Rechten das Drucken verbieten (dann können Sie im normalen Betrieb auch nicht drucken)

Hat jemand irgendwelche Ideen?

Content-ID: 270012

Url: https://administrator.de/forum/das-drucken-nur-bei-vpn-usern-tmg-2010-sperren-270012.html

Ausgedruckt am: 23.12.2024 um 15:12 Uhr

aqui
aqui 23.04.2015 aktualisiert um 12:15:48 Uhr
Goto Top
Möglichkeit, das Drucken für Domänen-Benutzer, die sich über VPN anmelden, zu verbieten/blockieren.
Simple Firewall Regeln die den Zugriff der Client IP Adressen auf die Drucker IPs verbietet UND die Druckerports der Server Queue blocken und dann ist Ruhe im Karton !
DerSud
DerSud 23.04.2015 um 12:21:15 Uhr
Goto Top
Kannst Du bitte genauer erklären, welche "Druckerports der Server Queue" du meinst?
DerSud
DerSud 30.04.2015 um 12:28:59 Uhr
Goto Top
Ok, wenn keiner eine Lösung mit Hausmitteln weiß, wäre ich auch mit Hinweisen auf Zusatztools zufrieden, welche die entsprechende Aufgabe bewerkstelligen können...
aqui
aqui 30.04.2015 um 12:38:44 Uhr
Goto Top
Oben steht doch die Lösung:
Simple Firewall Regeln die den Zugriff der Client IP Adressen auf die Drucker IPs verbietet UND die Druckerports der Server Queue blocken und dann ist Ruhe im Karton !
Wo ist denn nun dein wirkliches Problem ?
DerSud
DerSud 30.04.2015 um 12:42:13 Uhr
Goto Top
Darum habe ich ja gefragt, welche Druckerports der Server-Queue gemeint sind: denn unter Windows sind die Ports für "Datei- und Druckerfreigabe" afaik identisch. Sperre ich diese, dann sind auch keine Zugriffe mehr auf die Shares möglich oder sehe ich das falsch?
aqui
aqui 30.04.2015 um 17:54:21 Uhr
Goto Top
Das hängt davon ab mit welchem Drucker Protokoll du druckst. Das könn wir dir ja leider nicht über das Forum von der Stirn ablesen. Die Kristallkugel scheitert hier leider auch.
Nimm im Zeifel einen Wireshark und sniffer eine Drucker Session genau mit, dann weist du es sofort.
DerSud
DerSud 30.04.2015 um 18:16:22 Uhr
Goto Top
Da brauche ich keinen Wireshark: Clients drucken klassisch über den Druckerspooler auf den Server (Ports 137-139 UDP/TCP + 445 TCP) und der Server schickt seines Prints auf Port 9100 TCP unserer HP-Drucker. Welchen Port soll ich nun deiner Meinung sperren?
DerSud
DerSud 12.06.2015 um 16:55:02 Uhr
Goto Top
Da - wie leider erwartet - dieses Problem nicht so einfach zu beheben war, habe ich mir weiter den Kopf zerbrochen und schließlich den Druckserver unter Windows deinstalliert. An seiner Stelle habe ich einen zweiten Server mit Debian GNU/Linux und cups eingerichtet, wo ich unsere Drucker mittels ipp freigegeben habe. Auch wenn ich nun einen weiteren Server warten muss, so habe ich trotzdem mehrere Fliegen mit einer Klappe geschlagen:

- ich kann die IP-Adresse des cups-Servers für VPN-Benutzer blocken
- ich habe gleich eine Accounting-Funktion inkl. Print-Quotas
- alle Clients (Windows, MacOs & Linux) greifen einheitlich auf die Drucker zu

In diesem Sinne: Frage gelöst!
aqui
aqui 12.06.2015 um 17:38:59 Uhr
Goto Top
Und dein Cups Printserver supportet nebenbei auch noch Airprint auf iPhone und iPad:
http://www.heise.de/ct/inhalt/2013/14/166/