RemoteDesktopDienste NLB Druckerinstallation
Hallo zusammen,
habe da ein Problem und möchte die Runde Fragen welche Erfahrung/Lösung ihr damit habt.
Wir haben 3 RDP Server 2019, sind noch nicht produktiv, welche mit Network Load Balancing vom Benutzer zu erreichen sind.
Also der Benutzer verbindet sich mit einem ThinClient auf eine Adresse und kann auf allen drei Servern verbunden werden. Er hat darauf keinen Einfluss.
Läuft auch in meinen ersten Test ganz gut, kann mal einen Server "keine neue Verbindung zulassen" abklemmen usw..
Wir habe dutzende Netzwerkdrucker im Haus, da viele Benutzer einen eigenen Drucker im Büro haben, und dazu noch einige MFG für Farbdruck und so.
Dh. jeder Benutzer hat seinen eigenen Drucker und evt. ein MFG auf dem Terminalserver installiert. Aktuell, in der alten Umgebung, sind die Benutzer immer auf einem Terminalserver zugeteilt.
Die Netzwerkdrucker werden über MS Druckerserver verwaltet.
Meine Frage: Muss jetzt der Benutzer auf jedem Terminalserver die Drucker installieren? Also bei drei Servern drei Mal? Oder gibt es eine andere Möglichkeit oder Lösung?
Ich bin gespannt auf eure Erfahrungen und Meinungen. Vielen Dank!
Ralf
habe da ein Problem und möchte die Runde Fragen welche Erfahrung/Lösung ihr damit habt.
Wir haben 3 RDP Server 2019, sind noch nicht produktiv, welche mit Network Load Balancing vom Benutzer zu erreichen sind.
Also der Benutzer verbindet sich mit einem ThinClient auf eine Adresse und kann auf allen drei Servern verbunden werden. Er hat darauf keinen Einfluss.
Läuft auch in meinen ersten Test ganz gut, kann mal einen Server "keine neue Verbindung zulassen" abklemmen usw..
Wir habe dutzende Netzwerkdrucker im Haus, da viele Benutzer einen eigenen Drucker im Büro haben, und dazu noch einige MFG für Farbdruck und so.
Dh. jeder Benutzer hat seinen eigenen Drucker und evt. ein MFG auf dem Terminalserver installiert. Aktuell, in der alten Umgebung, sind die Benutzer immer auf einem Terminalserver zugeteilt.
Die Netzwerkdrucker werden über MS Druckerserver verwaltet.
Meine Frage: Muss jetzt der Benutzer auf jedem Terminalserver die Drucker installieren? Also bei drei Servern drei Mal? Oder gibt es eine andere Möglichkeit oder Lösung?
Ich bin gespannt auf eure Erfahrungen und Meinungen. Vielen Dank!
Ralf
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 1290818964
Url: https://administrator.de/contentid/1290818964
Ausgedruckt am: 22.11.2024 um 03:11 Uhr
7 Kommentare
Neuester Kommentar
Zitat von @wecanIT:
Hallo, habe ich nicht erwähnt, jetzt aber korrigiert. Die Benutzer haben keinen lokalen Drucker und melden sich über einen ThinClient an. Also keine Druckerweiterleitung und so.
Ralf
Hallo, habe ich nicht erwähnt, jetzt aber korrigiert. Die Benutzer haben keinen lokalen Drucker und melden sich über einen ThinClient an. Also keine Druckerweiterleitung und so.
Ralf
Hi,
du hast einen Druckserver? Dann kannst du doch einfach die Drucker per User GPP zuweisen. Denke an die PrintNightmare-Fixes:
https://www.gruppenrichtlinien.de/artikel/printnightmare-3-richtlinien-w ...
und für eine andere Sicherheitlücke:
https://support.microsoft.com/de-de/topic/verwalten-der-bereitstellung-v ...
mit passendem Workaround, falls es Probleme bei Druckern gibt:
https://www.borncity.com/blog/2021/09/20/windows-september-2021-update-w ...
Oder habe ich etwas falsch verstanden?
MfG
Hi,
Nein, ich meine GPP (Group Policy Preferences). Das sind die Konfigurationsmöglichkeiten "Einstellung" (statt "Richtlinien").
Dort kannst du unter
Benutzerkonfiguration > Einstellungen > Systemsteuerungseinstellungen > Drucker
freigegebene Drucker konfigurieren.
Ich würde so vorgehen:
Alle Netzwerkdrucker auf deinem Printserver installieren, die oben genannten GPOs für die PrintNightmare-Geschichte setzen
Sicherheitsgruppen für die Drucker erstellen und bei jedem Drucker, den du in diesem Konfigruationsfenster definierst, die "Zielgruppenadressierung auf Elementebene" aktivieren und die entsprechende Drucker-Sicherheitsgruppen als IST-Filter zu setzen. Du kannst auch mehrere Gruppen hinzufügen und diese mit ODER verknüpfen.
Anschließend musst du nurnoch die User den entsprechenden Sicherheitsgruppen hinzufügen, für die die Drucker installiert werden sollen und diese GPP dann entweder auf deine User OU packen oder zusammen mit dem Loopbackverarbeitungsmodus auf die OU deiner Terminalserver-Computer legen.
Das musst du dann wissen, was für deine IT sinnvoller ist.
Die User müssen sich dann einmal ab- und neu anmelden, damit sie die Mitgliedschaft der Gruppen bekommen und dann sollten die Drucker automatisch installiert werden. Wichtig sind die o.g. PrintNightmare GPOs, sonst wirst du beim Drucken diverse Fehler bekommen oder Adminrechte brauchen.
Der muss dann per RDP mitgenommen werden. Wenn der Easy Print Treiber mit den Druckern umgehen kann, sollte es da keine Probleme geben. Wenn du aber Drucker benutzt, die nur mit dem herstellerpezifischen Treibern funktionieren, musst du diese Treiber auf allen Terminalservern über die Druckverwaltung hinzufügen.
MfG
Nein, ich meine GPP (Group Policy Preferences). Das sind die Konfigurationsmöglichkeiten "Einstellung" (statt "Richtlinien").
Dort kannst du unter
Benutzerkonfiguration > Einstellungen > Systemsteuerungseinstellungen > Drucker
freigegebene Drucker konfigurieren.
Ich würde so vorgehen:
Alle Netzwerkdrucker auf deinem Printserver installieren, die oben genannten GPOs für die PrintNightmare-Geschichte setzen
Sicherheitsgruppen für die Drucker erstellen und bei jedem Drucker, den du in diesem Konfigruationsfenster definierst, die "Zielgruppenadressierung auf Elementebene" aktivieren und die entsprechende Drucker-Sicherheitsgruppen als IST-Filter zu setzen. Du kannst auch mehrere Gruppen hinzufügen und diese mit ODER verknüpfen.
Anschließend musst du nurnoch die User den entsprechenden Sicherheitsgruppen hinzufügen, für die die Drucker installiert werden sollen und diese GPP dann entweder auf deine User OU packen oder zusammen mit dem Loopbackverarbeitungsmodus auf die OU deiner Terminalserver-Computer legen.
Das musst du dann wissen, was für deine IT sinnvoller ist.
Die User müssen sich dann einmal ab- und neu anmelden, damit sie die Mitgliedschaft der Gruppen bekommen und dann sollten die Drucker automatisch installiert werden. Wichtig sind die o.g. PrintNightmare GPOs, sonst wirst du beim Drucken diverse Fehler bekommen oder Adminrechte brauchen.
Zitat von @wecanIT:
Ich versuche gerade über Gruppenrichtlinen zu installieren. Muss halt mal schauen, weil viele einen eigenen Drucker am Schreibtisch haben. Da ist dann nix mit Gruppen uns so.
Ich versuche gerade über Gruppenrichtlinen zu installieren. Muss halt mal schauen, weil viele einen eigenen Drucker am Schreibtisch haben. Da ist dann nix mit Gruppen uns so.
Der muss dann per RDP mitgenommen werden. Wenn der Easy Print Treiber mit den Druckern umgehen kann, sollte es da keine Probleme geben. Wenn du aber Drucker benutzt, die nur mit dem herstellerpezifischen Treibern funktionieren, musst du diese Treiber auf allen Terminalservern über die Druckverwaltung hinzufügen.
MfG
Moin,
bei der Einrichtung der Drucker unter Zuhilfenahme von GPPs wirst Du ziemlich schnell feststellen, dass das das Gegenteil von performant ist.
Grundsätzlich gehe ich davon aus, dass die Drucker pro Arbeitsplatz zugewiesen werden sollen. In der GPP muss dann pro Druckerobjekt die Zielgruppenadressierung mit dem Parameter Terminalsitzung -> Clientname gefüttert werden.
Diese Abfragen haben eine ziemlich schlechte Performance!! Wenn Du also 20 Drucker auf diesem Wege zuweisen willst, dann muss diese Abfrage bei der Anmeldung 20mal ausgeführt werden - und Du wirst Du ziemlich schnell feststellen, dass die Anmeldezeiten (inakzeptabel) lange dauern werden.
ich habe das bei einem Kunden, der in der Stadt > 50 Standorte mit noch viel mehr Druckern betreibt ein wenig anders gelöst.
- ich kopiere auf alle RDP-Server die con2prt.exe aus dem Ressourcekit. Mit Aufrufen von rundll32.printui ließe sich das zwar auch scripten, läuft dann aber im Vordergrund, während con2prt seinen Dienst im Hintergrund versieht.
- Auf jedem RDP_Server gibt es ein Verzeichnis, in dem für jeden Rechner eine Batchdatei <PC-Name>.bat liegt, in der die benötigten Befehle zum Verbinden der Drucker enthalten sind.
- per GPO starte ich unter Benutzer\Administrative Vorlagen\System\Anmelden - "Diese Programme bei der Benutzeranmeldung ausführen" eine Batchdatei mit z.B. folgendem Inhalt:
Der Aufruf der Batchdatei aus der Batchdatei ist notwendig, weil die Variable %clientname% einem Moment braucht, bis sie zur Verfügung steht. UNd weil ich so entscheiden kann, die ggf. händisch verbundenn Drucker erst dann zu löschen, wenn eine andere Konfiguration geladen werden kann.
Da ich per RDP-Lockdown meist den Zugriff auf die Kommandozeile deaktiviere, kann der Zugriff nicht über einen gemeinsamen Netzwerkordner und UNC-Pfad erfolgen. Deshalb liegen die Dateien lokal auf den Servern und werden per DFS synchron gehalten.
Vorteil dieser Lösung ist, dass die Anmeldung nicht verzögert wird weil keine endlosen Abfragen stattfinden und die Drucker nach der Anmeldung am System im Hintergrund verbunden werden. Gegenüber umgeleiteten Druckern und EasyPrint hat es auch den Vorteil, dass die auf dem Printserver hinterlegten Einstellungen in die Session übernommen werden.
Was ein Nachteil ist, ist die Tatsache, dass das nur bei der Anmeldung ausgeführt wird. Trennt der Benutzer die Sitzung und meldet sich an einem anderen Standort wieder an, wird das Script nicht ausgeführt.
Nur mal so als Denkansatz
Gruß
bei der Einrichtung der Drucker unter Zuhilfenahme von GPPs wirst Du ziemlich schnell feststellen, dass das das Gegenteil von performant ist.
Grundsätzlich gehe ich davon aus, dass die Drucker pro Arbeitsplatz zugewiesen werden sollen. In der GPP muss dann pro Druckerobjekt die Zielgruppenadressierung mit dem Parameter Terminalsitzung -> Clientname gefüttert werden.
Diese Abfragen haben eine ziemlich schlechte Performance!! Wenn Du also 20 Drucker auf diesem Wege zuweisen willst, dann muss diese Abfrage bei der Anmeldung 20mal ausgeführt werden - und Du wirst Du ziemlich schnell feststellen, dass die Anmeldezeiten (inakzeptabel) lange dauern werden.
ich habe das bei einem Kunden, der in der Stadt > 50 Standorte mit noch viel mehr Druckern betreibt ein wenig anders gelöst.
- ich kopiere auf alle RDP-Server die con2prt.exe aus dem Ressourcekit. Mit Aufrufen von rundll32.printui ließe sich das zwar auch scripten, läuft dann aber im Vordergrund, während con2prt seinen Dienst im Hintergrund versieht.
- Auf jedem RDP_Server gibt es ein Verzeichnis, in dem für jeden Rechner eine Batchdatei <PC-Name>.bat liegt, in der die benötigten Befehle zum Verbinden der Drucker enthalten sind.
- per GPO starte ich unter Benutzer\Administrative Vorlagen\System\Anmelden - "Diese Programme bei der Benutzeranmeldung ausführen" eine Batchdatei mit z.B. folgendem Inhalt:
timeout 5
if not exist <lokalesverzeichnis>\%clientname%.bat exit
con2prt /f
<lokalesverzeichnis>\%clientname%.bat
Der Aufruf der Batchdatei aus der Batchdatei ist notwendig, weil die Variable %clientname% einem Moment braucht, bis sie zur Verfügung steht. UNd weil ich so entscheiden kann, die ggf. händisch verbundenn Drucker erst dann zu löschen, wenn eine andere Konfiguration geladen werden kann.
Da ich per RDP-Lockdown meist den Zugriff auf die Kommandozeile deaktiviere, kann der Zugriff nicht über einen gemeinsamen Netzwerkordner und UNC-Pfad erfolgen. Deshalb liegen die Dateien lokal auf den Servern und werden per DFS synchron gehalten.
Vorteil dieser Lösung ist, dass die Anmeldung nicht verzögert wird weil keine endlosen Abfragen stattfinden und die Drucker nach der Anmeldung am System im Hintergrund verbunden werden. Gegenüber umgeleiteten Druckern und EasyPrint hat es auch den Vorteil, dass die auf dem Printserver hinterlegten Einstellungen in die Session übernommen werden.
Was ein Nachteil ist, ist die Tatsache, dass das nur bei der Anmeldung ausgeführt wird. Trennt der Benutzer die Sitzung und meldet sich an einem anderen Standort wieder an, wird das Script nicht ausgeführt.
Nur mal so als Denkansatz
Gruß