10
Drucken in segmentierten Netzen über einen Printserver
Moin Zusammen,
ich habe kürzlich ein Netzwerk mit diversen VLANs segmentiert.
Es gibt auch ein Print-VLAN (400) Dort haben alle Drucker eine entsprechende feste IP bekommen.
Der Druckserver läuft auf einem Server 2016 Standard. Dort sind alle Drucker eingerichtet und werden per GPO verteilt an die jeweiligen OU's.
Das Routing läuft über eine Sophos UTM. Switche sind CBS350.
Seit dem höre ich vermehrt von den Nutzern, dass der Druckvorgang sehr lange dauert.
Hat jemand eine Idee an was das liegen könnte? Kennt das jemand?
Grüße
ich habe kürzlich ein Netzwerk mit diversen VLANs segmentiert.
Es gibt auch ein Print-VLAN (400) Dort haben alle Drucker eine entsprechende feste IP bekommen.
Der Druckserver läuft auf einem Server 2016 Standard. Dort sind alle Drucker eingerichtet und werden per GPO verteilt an die jeweiligen OU's.
Das Routing läuft über eine Sophos UTM. Switche sind CBS350.
Seit dem höre ich vermehrt von den Nutzern, dass der Druckvorgang sehr lange dauert.
Hat jemand eine Idee an was das liegen könnte? Kennt das jemand?
Grüße
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 1622855246
Url: https://administrator.de/contentid/1622855246
Ausgedruckt am: 22.11.2024 um 09:11 Uhr
10 Kommentare
Neuester Kommentar
Moin,
wie sind die Druckports definiert? RAW/ LPR via Port 9100 oder über diesen WSD-Schei#?
Welche UTM kommt zum Einsatz?
Welche Firewall-Policy ist dort definiert?
Finden sich im Livelog irgendwelche Anhaltspunkte?
Gruß
em-pie
wie sind die Druckports definiert? RAW/ LPR via Port 9100 oder über diesen WSD-Schei#?
Das Routing läuft über eine Sophos UTM. Switche sind CBS350.
D. h. sämtlicher Durckverkehr muss durch die UTM?Welche UTM kommt zum Einsatz?
Welche Firewall-Policy ist dort definiert?
Finden sich im Livelog irgendwelche Anhaltspunkte?
Gruß
em-pie
Habe gerade mal auf unserer UTM nachgesehen. Du brauchst eine Regel, die den Clientsegmenten den Zugriff auf den Druckserver mit folgenden Ports erlaubt:
NETBIOS LS (Port 135)
NETBIOS NS (Port 137)
SMB (Port 445)
Dynamische Printserver Ports (49152:65535)
Damit funktioniert es bei uns einwandfrei. Versuchs mal und sag bescheid ob es geklappt hat.
Gruß
Cheops
NETBIOS LS (Port 135)
NETBIOS NS (Port 137)
SMB (Port 445)
Dynamische Printserver Ports (49152:65535)
Damit funktioniert es bei uns einwandfrei. Versuchs mal und sag bescheid ob es geklappt hat.
Gruß
Cheops
Siehe auch hier:
Drucken über VPN
Drucken über VPN
Zitat von @em-pie:
Moin,
wie sind die Druckports definiert? RAW/ LPR via Port 9100 oder über diesen WSD-Schei#?
Welche UTM kommt zum Einsatz?
Welche Firewall-Policy ist dort definiert?
Finden sich im Livelog irgendwelche Anhaltspunkte?
Gruß
em-pie
Moin,
wie sind die Druckports definiert? RAW/ LPR via Port 9100 oder über diesen WSD-Schei#?
Das Routing läuft über eine Sophos UTM. Switche sind CBS350.
D. h. sämtlicher Durckverkehr muss durch die UTM?Welche UTM kommt zum Einsatz?
Welche Firewall-Policy ist dort definiert?
Finden sich im Livelog irgendwelche Anhaltspunkte?
Gruß
em-pie
Nee, WSD hab ich abgedreht - nerviger Mist. Anbindung ist ganz normal über die IP
Richtig, alles läuft über die UTM. Eine SG135.
Die VLANs dürfen alles auf den Servern.
Muss ich kontrollieren, ob da was ist.
Zitat von @Cheops:
Habe gerade mal auf unserer UTM nachgesehen. Du brauchst eine Regel, die den Clientsegmenten den Zugriff auf den Druckserver mit folgenden Ports erlaubt:
NETBIOS LS (Port 135)
NETBIOS NS (Port 137)
SMB (Port 445)
Dynamische Printserver Ports (49152:65535)
Damit funktioniert es bei uns einwandfrei. Versuchs mal und sag bescheid ob es geklappt hat.
Gruß
Cheops
Habe gerade mal auf unserer UTM nachgesehen. Du brauchst eine Regel, die den Clientsegmenten den Zugriff auf den Druckserver mit folgenden Ports erlaubt:
NETBIOS LS (Port 135)
NETBIOS NS (Port 137)
SMB (Port 445)
Dynamische Printserver Ports (49152:65535)
Damit funktioniert es bei uns einwandfrei. Versuchs mal und sag bescheid ob es geklappt hat.
Gruß
Cheops
Die Clients dürfen alles auf den Servern. Es geht ja grds. auch. Dauert halt nur recht lange.
Hilft mir nur bedingt
Drucker sind alle per IP angebunden mit entsprechend stinknormalen Treibern, ohne Ranzsoftware der Hersteller.Grüße
Windows hat mal Probleme mit dem DNS bei den Druckern, mal die festen IPs probiert?
Da gab es auch KB patches zu.
Da gab es auch KB patches zu.
Zitat von @schautnurzu:
Windows hat mal Probleme mit dem DNS bei den Druckern, mal die festen IPs probiert?
Da gab es auch KB patches zu.
Windows hat mal Probleme mit dem DNS bei den Druckern, mal die festen IPs probiert?
Da gab es auch KB patches zu.
Ich arbeite nur mit festen IPs oder was meinst du?
Moin,
so, also ich habe nun mal die UTM kontrolliert. Dort gibt es einige UDP Pakete zwischen Client und Drucker die verworfen werden - Port 161 (SNMP). Aber eigentlich sollte der Zugriff ja von Client über den Server auf die Drucker erfolgen. Macht das irgendwie Sinn, dass dann Pakete direkt vom Client an den Drucker geblockt werden?
Wenn ich eine Testseite direkt vom Server drucke geht die sofort raus.
Protokoll ist LPR bei den Anschlüssen und wie gesagt Anbindung über IP.
Grüße
so, also ich habe nun mal die UTM kontrolliert. Dort gibt es einige UDP Pakete zwischen Client und Drucker die verworfen werden - Port 161 (SNMP). Aber eigentlich sollte der Zugriff ja von Client über den Server auf die Drucker erfolgen. Macht das irgendwie Sinn, dass dann Pakete direkt vom Client an den Drucker geblockt werden?
Wenn ich eine Testseite direkt vom Server drucke geht die sofort raus.
Protokoll ist LPR bei den Anschlüssen und wie gesagt Anbindung über IP.
Grüße
So, ich hab noch einen Port gefunden: 50001 (TCP)
Den habe ich nun auch freigegeben und nun scheint es zu laufen. Mal sehen wie die Rückmeldung kommende Woche ist.
Auch wenn das für mich keinen Sinn macht, wenn ich nur über den Druckserver drucken will. Warum braucht der Client dann Zugriff?
Grüße
Den habe ich nun auch freigegeben und nun scheint es zu laufen. Mal sehen wie die Rückmeldung kommende Woche ist.
Auch wenn das für mich keinen Sinn macht, wenn ich nur über den Druckserver drucken will. Warum braucht der Client dann Zugriff?
Grüße
50001 ist ein OpenAPI Port über den sehr viele Druckerhersteller Parameter zum Druckauftrag mit übertragen. Um das aber genau zu beurteilen müsste man mal einen Wireshark Trace eines Druckauftrags ziehen. Es ist aber in jedem Falle richtig den Port zu öffnen bei Printer Traffic.
So weit so klar, aber ich wollte nun eigentlich keine Türen zwischen den Vlans öffnen. Das sollte nur über den Druckserver laufen. Geht ja auch grds., aber der Auftrag dauert halt wesentlich länger, bis er beim Client raus ist.
Na mal abwarten was die nächste Woche sagen - ob es schneller geht. Bei mir ging es in den Tests zumindest schneller.
Grüße
Na mal abwarten was die nächste Woche sagen - ob es schneller geht. Bei mir ging es in den Tests zumindest schneller.
Grüße
