10.07.2025
1024
3
0HA mit einem Printserver
Probleme mit DNS-Alias \printserver trotz sichtbarer Drucker – Verbindung schlägt fehl
Hallo zusammen,
ich habe folgendes Problem mit einem DNS-Alias im Zusammenhang mit Windows-Druckdiensten und Kerberos:
Zwei Druckserver: printserver1 (aktiv), printserver2 (Reserve)
DNS-CNAME printserver → printserver1 (um bei Wartung einfach auf printserver2 umzuschalten)
Aufruf von \printserver zeigt korrekt alle Drucker, die auf printserver1 freigegeben sind
Aber: Wenn ein Benutzer versucht, sich mit einem Drucker zu verbinden (z. B. \printserver\DruckerXYZ), kommt sofort folgende Fehlermeldung:
„Es konnte keine Verbindung mit dem Drucker hergestellt werden. Überprüfen Sie den Druckernamen...“
Aufruf direkt über \printserver1 funktioniert einwandfrei.
Das habe ich bisher rausgefunden
Kerberos scheint hier eine Rolle zu spielen: Der Client sucht einen SPN für HOST/printserver, dieser ist aber nicht immer korrekt gesetzt.
In den Logs oder im Event Viewer erscheint kein Eintrag, wenn der Fehler auftritt.
Auch ServerNameAlias (Registry unter HKLM\SYSTEM\CurrentControlSet\Control\Print) bringt keine Abhilfe.
Sicherheitsrichtlinien (PointAndPrint, TrustedServers etc.) wurden korrekt gesetzt.
Virenscanner komplett deaktiviert → keine Besserung
DNS-Auflösung korrekt (nslookup printserver zeigt auf printserver1)
Frage:
Wie kann man \printserver als funktionierenden Alias für Kerberos-basierten Druckzugriff konfigurieren, ohne auf jedem Client Registry- oder Gruppenrichtlinienänderungen vorzunehmen?
Ideal wäre eine zentrale Lösung, bei der:
Clients den Alias \printserver nutzen können
Druckserver im Hintergrund (via DNS) ausgetauscht werden können
Kerberos funktioniert, ohne manuelle SPN-Pflege auf den Zielservern
Bin für jeden Hinweis dankbar – gerne auch Erfahrungsberichte, wer sowas mit Failover erfolgreich umsetzt.
Viele Grüße
Peer
Checkliste / Was bereits gemacht wurde:
DNS-CNAME printserver → printserver1 eingerichtet
DNS-Namensauflösung via nslookup funktioniert korrekt
Aufruf von \printserver zeigt Drucker
Verbindung mit Drucker über \printserver\xyz schlägt direkt fehl
Direkter Zugriff über \printserver1 funktioniert
ServerNameAlias in Registry unter HKLM\SYSTEM\CurrentControlSet\Control\Print gesetzt
Druckerspooler-Dienst neu gestartet
Gruppenrichtlinie für PointAndPrint konfiguriert (InForest, TrustedServers, etc.)
SPNs überprüft (setspn -L printserver1)
Versuch: Dummy-Computerobjekt printserver im AD angelegt (inkl. Delegierung & SPNs)
Rückgängig gemacht – Verbindung ging danach gar nicht mehr
Kerberos-Cache am Client gelöscht (klist purge)
Manuelle Druckeranmeldung über rundll32 printui.dll,PrintUIEntry /in ... getestet
Druckerfreigaben in GUI sichtbar, aber Verbindung schlägt fehl
Event-Log geprüft → keine Einträge
Virenschutz temporär deaktiviert
Fokus liegt auf Serverseite, Client wurde nicht verändert
Hallo zusammen,
ich habe folgendes Problem mit einem DNS-Alias im Zusammenhang mit Windows-Druckdiensten und Kerberos:
Zwei Druckserver: printserver1 (aktiv), printserver2 (Reserve)
DNS-CNAME printserver → printserver1 (um bei Wartung einfach auf printserver2 umzuschalten)
Aufruf von \printserver zeigt korrekt alle Drucker, die auf printserver1 freigegeben sind
Aber: Wenn ein Benutzer versucht, sich mit einem Drucker zu verbinden (z. B. \printserver\DruckerXYZ), kommt sofort folgende Fehlermeldung:
„Es konnte keine Verbindung mit dem Drucker hergestellt werden. Überprüfen Sie den Druckernamen...“
Aufruf direkt über \printserver1 funktioniert einwandfrei.
Das habe ich bisher rausgefunden
Kerberos scheint hier eine Rolle zu spielen: Der Client sucht einen SPN für HOST/printserver, dieser ist aber nicht immer korrekt gesetzt.
In den Logs oder im Event Viewer erscheint kein Eintrag, wenn der Fehler auftritt.
Auch ServerNameAlias (Registry unter HKLM\SYSTEM\CurrentControlSet\Control\Print) bringt keine Abhilfe.
Sicherheitsrichtlinien (PointAndPrint, TrustedServers etc.) wurden korrekt gesetzt.
Virenscanner komplett deaktiviert → keine Besserung
DNS-Auflösung korrekt (nslookup printserver zeigt auf printserver1)
Frage:
Wie kann man \printserver als funktionierenden Alias für Kerberos-basierten Druckzugriff konfigurieren, ohne auf jedem Client Registry- oder Gruppenrichtlinienänderungen vorzunehmen?
Ideal wäre eine zentrale Lösung, bei der:
Clients den Alias \printserver nutzen können
Druckserver im Hintergrund (via DNS) ausgetauscht werden können
Kerberos funktioniert, ohne manuelle SPN-Pflege auf den Zielservern
Bin für jeden Hinweis dankbar – gerne auch Erfahrungsberichte, wer sowas mit Failover erfolgreich umsetzt.
Viele Grüße
Peer
Checkliste / Was bereits gemacht wurde:
DNS-CNAME printserver → printserver1 eingerichtet
DNS-Namensauflösung via nslookup funktioniert korrekt
Aufruf von \printserver zeigt Drucker
Verbindung mit Drucker über \printserver\xyz schlägt direkt fehl
Direkter Zugriff über \printserver1 funktioniert
ServerNameAlias in Registry unter HKLM\SYSTEM\CurrentControlSet\Control\Print gesetzt
Druckerspooler-Dienst neu gestartet
Gruppenrichtlinie für PointAndPrint konfiguriert (InForest, TrustedServers, etc.)
SPNs überprüft (setspn -L printserver1)
Versuch: Dummy-Computerobjekt printserver im AD angelegt (inkl. Delegierung & SPNs)
Rückgängig gemacht – Verbindung ging danach gar nicht mehr
Kerberos-Cache am Client gelöscht (klist purge)
Manuelle Druckeranmeldung über rundll32 printui.dll,PrintUIEntry /in ... getestet
Druckerfreigaben in GUI sichtbar, aber Verbindung schlägt fehl
Event-Log geprüft → keine Einträge
Virenschutz temporär deaktiviert
Fokus liegt auf Serverseite, Client wurde nicht verändert
Kommentieren
Teilen
Auf Facebook teilen
Auf X (Twitter) teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 673796
Url: https://administrator.de/forum/dns-printserver-kerberos-fehler-673796.html
Ausgedruckt am: 12.07.2025 um 01:07 Uhr
3 Kommentare
Neuester Kommentar
Hey,
ich vermute du sprichst von einem Windows Print Server? Die Firma Microsoft hat das Thema, meiner Auffassung nach, begraben. Also effektiv möchte man das nicht.. Wir haben das bei uns mit Hardware gelöst, also einen Hardware Lastverteiler. Der letzte Artikel von MS dazu ist für Server 2003:
learn.microsoft.com/de-de/previous-versions/troubleshoot/windows ...
Das aber auch nur weil so Gerät ohnehin vorhanden war..
Lieben Gruß
ich vermute du sprichst von einem Windows Print Server? Die Firma Microsoft hat das Thema, meiner Auffassung nach, begraben. Also effektiv möchte man das nicht.. Wir haben das bei uns mit Hardware gelöst, also einen Hardware Lastverteiler. Der letzte Artikel von MS dazu ist für Server 2003:
learn.microsoft.com/de-de/previous-versions/troubleshoot/windows ...
Das aber auch nur weil so Gerät ohnehin vorhanden war..
Lieben Gruß
Moin,
learn.microsoft.com/en-us/troubleshoot/windows-server/networking ...
tech-faq.net/windows-server-2012-alias-erstellen/
Gruß,
Dani
Kerberos scheint hier eine Rolle zu spielen: Der Client sucht einen SPN für HOST/printserver, dieser ist aber nicht immer korrekt gesetzt.
Wieso ist der nicht immer korrekt gesetzt? Sind bei euch Heinzelmännchen unterwegs?Kerberos funktioniert, ohne manuelle SPN-Pflege auf den Zielservern
das wirst du ohne 3rd Party Lösungen nicht hinbekommen. Setze den SPN manuell und gut ist.learn.microsoft.com/en-us/troubleshoot/windows-server/networking ...
tech-faq.net/windows-server-2012-alias-erstellen/
Gruß,
Dani
1
Danke für eure Antworten !
