11
Kerberos statt NTLM Windows Server + Canon
Servus,
wir haben aktuelle Canon Immagerunner (Multifunktionskopierer) im Einsatz. Dort wird gescannt und die entstehenden Dateien werden vom Canon-Gerät auf einem Windows Server (2019), der in einer Windows-Domäne ist, via SMB-Protokoll gespeichert.
wir haben viel versucht, aber wir können den Canon-Geräten nicht abgewöhnen, sich per NTLM zu authentifizieren. Wir hätten gern Kerberos, da wir NTLM nun endlich einmal abschalten wollen. Benutzer und Host werden mit FQDN angegeben. Daran kann es nicht liegen.
Hat jemand den entscheidenden Tipp? Oder ist da möglicherweise nicht zu machen und wir müssen eine Ausnhame eintragen?
Herzlichen Dank vorab.
wir haben aktuelle Canon Immagerunner (Multifunktionskopierer) im Einsatz. Dort wird gescannt und die entstehenden Dateien werden vom Canon-Gerät auf einem Windows Server (2019), der in einer Windows-Domäne ist, via SMB-Protokoll gespeichert.
wir haben viel versucht, aber wir können den Canon-Geräten nicht abgewöhnen, sich per NTLM zu authentifizieren. Wir hätten gern Kerberos, da wir NTLM nun endlich einmal abschalten wollen. Benutzer und Host werden mit FQDN angegeben. Daran kann es nicht liegen.
Hat jemand den entscheidenden Tipp? Oder ist da möglicherweise nicht zu machen und wir müssen eine Ausnhame eintragen?
Herzlichen Dank vorab.
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 670287
Url: https://administrator.de/forum/kerberos-statt-ntlm-windows-server-canon-670287.html
Ausgedruckt am: 21.01.2025 um 10:01 Uhr
11 Kommentare
Neuester Kommentar
also wir haben Canon Drucker dann auf Scan to Email eingestellt und fertig 
Weil alles andere hat einfach nicht wirklich geklappt gehabt.
Weil alles andere hat einfach nicht wirklich geklappt gehabt.
Moin,
Der Schritt steht uns noch bevor (abschalten von NTLM).
Also „Workaround“ könnte man aber als letzte Möglichkeit nen Linuxbasierten SMB-Proxy versuchen…
Habt ihr mal geschaut, ob es für die Geräte FW-Updates gibt?
Der Schritt steht uns noch bevor (abschalten von NTLM).
Also „Workaround“ könnte man aber als letzte Möglichkeit nen Linuxbasierten SMB-Proxy versuchen…
Habt ihr mal geschaut, ob es für die Geräte FW-Updates gibt?
Moin,
ich nehme an, die Verbindung geht gar nicht mehr, wenn man den AD-User zu Testzwecken in die Protected User Gruppe steckt, darin muss er via Kerberos(Fallback nicht möglich) authentifizieren. Ggf. zu Testzwecken, ob der Drucker das überhaupt kann. (Vermutlich eher nicht).
Ansonsten: Linuxserver dazwischen pappen oder Scan2Mail bauen.
Gruß
ich nehme an, die Verbindung geht gar nicht mehr, wenn man den AD-User zu Testzwecken in die Protected User Gruppe steckt, darin muss er via Kerberos(Fallback nicht möglich) authentifizieren. Ggf. zu Testzwecken, ob der Drucker das überhaupt kann. (Vermutlich eher nicht).
Ansonsten: Linuxserver dazwischen pappen oder Scan2Mail bauen.
Der Schritt steht uns noch bevor (abschalten von NTLM).
Bin mitten drin und es ist ätzend.Gruß
Wir haben keinen Mailserver im Haus. Wir nutzen den Exchange von Microsoft 365 und ob das so einfach mit Canon-Geräten zu befeuern ist, ist fraglich.
Habt ihr mal geschaut, ob es für die Geräte FW-Updates gibt?
FW ist auf neustem Stand.
und ob das so einfach mit Canon-Geräten zu befeuern ist, ist fraglich.
Solange die Dinger TLS sprechen, sehe ich kein Problem."Fraglich" ist eh das falsche Wort für einen Admin. Einlesen(specs), Testen und handfeste Logs sind unser Ding ;)
Gruß
ich nehme an, die Verbindung geht gar nicht mehr, wenn man den AD-User zu Testzwecken in die Protected User Gruppe steckt, darin muss er via Kerberos(Fallback nicht möglich) authentifizieren. Ggf. zu Testzwecken, ob der Drucker das überhaupt kann. (Vermutlich eher nicht).
Ist einen Versuch wert.
Der Schritt steht uns noch bevor (abschalten von NTLM).
Bin mitten drin und es ist ätzend.Da kann man sich nur ein Bier aufmachen.
Da kann man sich nur ein Bier aufmachen.
Nööö, das wuppt schon nur manchen mir gewisse Dinge Probleme. HomeofficeUser bspw. :/
Moin,
Gruß,
Dani
Solange die Dinger TLS sprechen, sehe ich kein Problem.
genauer gesagt TLS 1.2. Weil alles andere (TLS 1.0 und TLS 1.1) wird nicht mehr funktionieren...Gruß,
Dani
Das kann man ja ändern, ein kleiner Raspberry Pi würde die wenigen Mails schon bearbeiten können.
Gruß
DivideByZero
Wir nutzen den Exchange von Microsoft 365 und ob das so einfach mit Canon-Geräten zu befeuern ist, ist fraglich.
Doch, geht, warum auch nicht? Notfalls mit dem kleinen Mailserver dazwischen.Gruß
DivideByZero
Scan2Mail
https://learn.microsoft.com/en-us/exchange/mail-flow-best-practices/how- ...
hier Option 2
Man kann direkt SMTP Relay zu Office 365 einrichten auch ohne authentication.
Muss man dann natürlich in der Firewall entsprechend Verbindung per SMTP zulassen zu der Online Exchange Adresse und andere Sachen. Näheres in der Dokumentation nachlesen.
Extra SMTP Server aufsetzen oder sowas würde ich nicht.
https://learn.microsoft.com/en-us/exchange/mail-flow-best-practices/how- ...
hier Option 2
Man kann direkt SMTP Relay zu Office 365 einrichten auch ohne authentication.
Muss man dann natürlich in der Firewall entsprechend Verbindung per SMTP zulassen zu der Online Exchange Adresse und andere Sachen. Näheres in der Dokumentation nachlesen.
Extra SMTP Server aufsetzen oder sowas würde ich nicht.
