10
Portfreigaben für den Druckserver in segmentierter Umgebung
Hallo Zusammen,
wir haben seit Kurzem neue Drucker und diese in ein eigenes Druckersegment aufgenommen. Auch der Druckserver hängt in einem anderen Segment als die Clients, welche die Druckaufträge losschicken.
Die Verbindung vom Druckserver zum Drucker läuft einwandfrei.
Bzgl. der Verbindung vom Client zum Druckserver hätte ich eine kleine Frage an euch:
Und zwar geht es um die dynamischen Druckserver-Ports. Anfangs hatten wir nur einen einzelnen TCP-Port 49685 freigegeben, den wir anhand dem Sophos-Live-Log rausgefunden haben. Temporär ging das Drucken, aber am nächsten Tag kamen Fehler, weil dann ein neuer Port verwendet wurde und dieser nicht freigegeben war.
Ich habe nun schon Artikel gelesen, die empfehlen den kompletten dynamischen Portbereich freizugeben (49152:65535). Aber hiermit öffne ich ja dann über 16.000 Ports... das ist ja dann nicht wirklich Sinn und Zweck einer Segmentierung.
Gibt es hier eine Alternative? Bzw. wie habt ihr das gelöst, um in einer segmentierten Umgebung vom Client auf den Druckserver zu kommen - welche Ports habt ihr dafür freigegeben?
Danke im Voraus für eure Unterstützung.
wir haben seit Kurzem neue Drucker und diese in ein eigenes Druckersegment aufgenommen. Auch der Druckserver hängt in einem anderen Segment als die Clients, welche die Druckaufträge losschicken.
Die Verbindung vom Druckserver zum Drucker läuft einwandfrei.
Bzgl. der Verbindung vom Client zum Druckserver hätte ich eine kleine Frage an euch:
Und zwar geht es um die dynamischen Druckserver-Ports. Anfangs hatten wir nur einen einzelnen TCP-Port 49685 freigegeben, den wir anhand dem Sophos-Live-Log rausgefunden haben. Temporär ging das Drucken, aber am nächsten Tag kamen Fehler, weil dann ein neuer Port verwendet wurde und dieser nicht freigegeben war.
Ich habe nun schon Artikel gelesen, die empfehlen den kompletten dynamischen Portbereich freizugeben (49152:65535). Aber hiermit öffne ich ja dann über 16.000 Ports... das ist ja dann nicht wirklich Sinn und Zweck einer Segmentierung.
Gibt es hier eine Alternative? Bzw. wie habt ihr das gelöst, um in einer segmentierten Umgebung vom Client auf den Druckserver zu kommen - welche Ports habt ihr dafür freigegeben?
Danke im Voraus für eure Unterstützung.
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 7373365763
Url: https://administrator.de/contentid/7373365763
Ausgedruckt am: 19.11.2024 um 11:11 Uhr
10 Kommentare
Neuester Kommentar
Clients Drucken an Printserver und Printserver auf den Druckern?
Genau. Clients haben keine direkte Verbindung zum Drucker (Segmente sind nicht miteinander verbunden). Die Clients bauen eine Verbindung mit dem Druckserver auf und dieser dann mit dem Drucker.
Du druckst eben dann halt nicht mit RPC sondern mit LPR oder anderen Protokollen die feste Ports nutzen. Leider machst du zum verwendeten Druckprotocol ja keinerlei Angaben und zwingst zum Kristallkugeln. 
https://www.sonicwall.com/support/knowledge-base/which-ports-are-used-by ...
Wenn du nur mit RPC drucken kannst oder musst, kannst du in der Registry die Verwendung dynamischer Ports einschränken damit es Firewall kompatibel ist. Zumindestens wenn die Endgeräte Winblows Maschinen sind.
https://learn.microsoft.com/en-us/troubleshoot/windows-server/networking ...
https://www.sonicwall.com/support/knowledge-base/which-ports-are-used-by ...
Wenn du nur mit RPC drucken kannst oder musst, kannst du in der Registry die Verwendung dynamischer Ports einschränken damit es Firewall kompatibel ist. Zumindestens wenn die Endgeräte Winblows Maschinen sind.
https://learn.microsoft.com/en-us/troubleshoot/windows-server/networking ...
Leider kenne ich mich mit diesem Thema nicht gut aus...
Wie finde ich denn heraus, welche Druckprotokolle verwendet werden? Wie bereits erwähnt habe ich versucht über das Firewall-Live-Log die benötigten Ports herauszufinden. Und hier kam vom Client zum Druckserver anfangs nur der TCP-Port 49685. Da es sich hier aber wohl um dynamische Ports handelt, war dieser Port am nächsten Tag schon wieder falsch.
Diese Einstellung bzgl. Ports ist im Druckserver beim jeweiligen Drucker hinterlegt:
Wie finde ich denn heraus, welche Druckprotokolle verwendet werden? Wie bereits erwähnt habe ich versucht über das Firewall-Live-Log die benötigten Ports herauszufinden. Und hier kam vom Client zum Druckserver anfangs nur der TCP-Port 49685. Da es sich hier aber wohl um dynamische Ports handelt, war dieser Port am nächsten Tag schon wieder falsch.
Diese Einstellung bzgl. Ports ist im Druckserver beim jeweiligen Drucker hinterlegt:
Wie finde ich denn heraus, welche Druckprotokolle verwendet werden?
Steht alles im Handbuch des Druckerherstellers. In der Regel werden vom Hersteller immer mehrere Druckprotokolle supportet, denn der Drucker bedient ja nicht nur Winblows.Siehe oben mit Raw und TCP und der Portnummer UDP oder TCP 9100 usw.
SNMP dient zum Überwachen und hat mit dem Drucken an sich nichts zu tun wenn man mal von der Füllstandsüberwachung Toner, Tinte, Papier usw. und dem Errorhandling absieht. SNMP nutzt UDP 161 und 162.
Im Zweifel einfach auf einem Client den Wireshark anschmeissen und dann einmal drucken. Dann bekommst du es schwarz auf weiß.
Du solltest ggf. besser jemanden fragen der sich etwas auskennt damit. 🤔
Mir geht es lediglich um die Verbindung zwischen Client und Druckserver. Hier spielt der Drucker an sich doch eigentlich erst mal noch gar keine Rolle.
Ich wollte nur wissen, ob es best practice ist den kompletten Portbereich (49152:65535) vom Clientsegment auf den Druckserver freizugeben, oder wie andere das handhaben?
Ich wollte nur wissen, ob es best practice ist den kompletten Portbereich (49152:65535) vom Clientsegment auf den Druckserver freizugeben, oder wie andere das handhaben?
Nein.
Wozu so viele dynamische Ports, wenn ein Printserver arbeitet?
Wozu so viele dynamische Ports, wenn ein Printserver arbeitet?
Zitat von @8585324113:
Nein.
Wozu so viele dynamische Ports, wenn ein Printserver arbeitet?
Nein.
Wozu so viele dynamische Ports, wenn ein Printserver arbeitet?
Genau das war meine Frage...
Welche Ports sind denn bei dir freigegeben? Bzw. wie kann ich diesen dynamischen Portbereich auf einzelne Ports beschränken?
Zitat von @FrM222:
Genau das war meine Frage...
Welche Ports sind denn bei dir freigegeben? Bzw. wie kann ich diesen dynamischen Portbereich auf einzelne Ports beschränken?
Zitat von @8585324113:
Nein.
Wozu so viele dynamische Ports, wenn ein Printserver arbeitet?
Nein.
Wozu so viele dynamische Ports, wenn ein Printserver arbeitet?
Genau das war meine Frage...
Welche Ports sind denn bei dir freigegeben? Bzw. wie kann ich diesen dynamischen Portbereich auf einzelne Ports beschränken?
Ich gehe da etwas anders ran.
Printserver können dynamisch Port aufmachen, dass wird nicht verhindert. Also in die Netze, in denen die Drucker stehen.
Clients können nur den Port nutzen, der zum drucken nötig ist. Hin und wieder noch etwas, was der Treiber braucht, zum bunte Bilder anzeigen, Status usw...
Zitat von @8585324113:
Ich gehe da etwas anders ran.
Printserver können dynamisch Port aufmachen, dass wird nicht verhindert. Also in die Netze, in denen die Drucker stehen.
Clients können nur den Port nutzen, der zum drucken nötig ist. Hin und wieder noch etwas, was der Treiber braucht, zum bunte Bilder anzeigen, Status usw...
Ich gehe da etwas anders ran.
Printserver können dynamisch Port aufmachen, dass wird nicht verhindert. Also in die Netze, in denen die Drucker stehen.
Clients können nur den Port nutzen, der zum drucken nötig ist. Hin und wieder noch etwas, was der Treiber braucht, zum bunte Bilder anzeigen, Status usw...
Danke für die Rückmeldung. Leider ist mir trotzdem noch nicht klar, wie ich das Ganze jetzt einrichten kann.
Wenn ich das Live-Log mitlaufen lasse, sehe ich, dass die dynamischen Ports bei der Verbindung vom Clientnetz zum Druckserver verwendet werden (nicht wie du beschreibst vom Druckserver zum Drucker)...
