dbgrox
Goto Top

Scannen in der Domäne

Guten Tag,

ich habe hier einen Brother MFc-8380DN Drucker. Dieser wurde in die Domäne eingetragen. Dieser soll nun Scannen auf unser Homeverzeichnis. Ich habe schon alle möglichen Konstellationen getestet und bräuchte eure Hilfe.
Es wird mit Kerberos Authentifiziert.

Ein Bild füge ich hinzu.
unbenannt

Content-Key: 3663279909

Url: https://administrator.de/contentid/3663279909

Ausgedruckt am: 25.09.2022 um 13:09 Uhr

Mitglied: NordicMike
NordicMike 16.08.2022 um 09:08:37 Uhr
Goto Top
Grüße...

Ich habe schon alle möglichen Konstellationen getestet
Welche wären das?
Mitglied: itisnapanto
itisnapanto 16.08.2022 um 09:12:44 Uhr
Goto Top
Stichwort SMB Version schmeiße ich mal in den Raum. Gerade die älteren Kisten können die neueren Versionen nicht.
Mitglied: Dbgrox
Dbgrox 16.08.2022 um 09:14:10 Uhr
Goto Top
Host Adresse = IP des Servers;
Zielordner: IP Server(auch mit Domänename.local)\Ordnername;
Die nächsten 3 sind selbsterklärend;
PIN ist erstmal aus;
Authentifizierungsmethode: Kerberos;
Benutzername: Domäne(auch mit Domänename.local)\Nutzername;
Kerberos Adresse: IP Adresse des Servers.
Mitglied: StefanKittel
StefanKittel 16.08.2022 um 09:14:25 Uhr
Goto Top
+1 für die SMB Version
Ich installiere dafür gerne eine kleine VM als Scan-Ziel.
Mitglied: lukas0209
lukas0209 16.08.2022 um 09:16:21 Uhr
Goto Top
Hallo,

erstmal die Frage, Windows Domäne? Welche Serverversion?

Profilname ist egal, kannst du alles mögliche eingeben
Host-Adresse ist die Domäne oder vom Server die IP-Adresse
Zielordner ist dann der Ordner in der Domäne oder dem freigegebenen Server.

Die Authentifizierung klärt sich eigentlich von selbst.

Und hier nochmal von Brother zum nachlesen.

Gruß Lukas
Mitglied: lukas0209
lukas0209 16.08.2022 um 09:17:27 Uhr
Goto Top
Zitat von @Dbgrox:

Zielordner: IP Server(auch mit Domänename.local)\Ordnername;
Ohne die Server IP

Kerberos Adresse: IP Adresse des Servers.
Oder die Domäne
Mitglied: Dbgrox
Dbgrox 16.08.2022 um 09:20:29 Uhr
Goto Top
Windows AD Domäne: Serverversion: 2022 Standard.

Die Anleitung habe ich auch als Hilfe genutzt, es kam nur bei jeder getesteten Konstellation immer zum Sendefehler. Drucken und Kopieren funktionier einwandfrei.
Mitglied: lukas0209
lukas0209 16.08.2022 um 09:21:26 Uhr
Goto Top
Ok, hast du denn das jetzt mal mit den beiden Hinweisen versucht?
Mitglied: Dbgrox
Dbgrox 16.08.2022 um 09:37:58 Uhr
Goto Top
Danke, habe ich probiert. Hat leider auch nicht funktioniert.
Mitglied: silent-daniel
silent-daniel 16.08.2022 aktualisiert um 10:21:46 Uhr
Goto Top
Ich tippe auch auf die SMB Version, evtl. kann der Drucker nur SMBv1?

Update mal die Firmware, vielleicht tut sich dann was in den Einstellungen?
https://support.brother.com/g/b/downloadend.aspx?c=ch&lang=de&pr ...

PS: Laut Anleitung gehört beim Zielordner nur der Ordner/Freigabe rein.

Hostadresse: 192.168.1.200
Zielordner: ScanFreigabe oder halt ScanFreigabe\Unterordner


https://support.brother.com/g/b/faqend.aspx?c=de&lang=de&prod=mf ...
Mitglied: Lochkartenstanzer
Lochkartenstanzer 16.08.2022 um 10:24:03 Uhr
Goto Top
Moin,

  • Als erstes überoprüfen, ob die Credentials passen, z.B. von einer Workstations aus mit einer Verbindung zu, Share ggf. als "anderer Benutzer" oder von einer Kiste die nicht in der domain ist. Ich habe es oft genug erlebt, daß durch Tippfehler (Buchstabendreher o.ä.) die Verbindung nciht klappt.

  • Als zweites mal schauen, ob die aktuelleste Firmware drauf ist.

  • Als drittes mal verschiedene SMB-versionen auf dem Share druchprobieren. Das macht man am besten auf einem Testgerät mit eimem SMB-Share , um die Integrität des Servers nicht zu gefährden. Ich nehme dafür meistens Raspis.

Wie die Kollegen oben schon sagten: Ältere Geräte unterstützen (leider) oft nur smbv1. Also durchprobieren und solte das tatsächlich so sein, dann auf ein "Hilfsgerät ie RASPi oder NUC mit smbv1" statt auf den Server scannen.


lks
Mitglied: dertowa
dertowa 16.08.2022 um 10:32:50 Uhr
Goto Top
Ich schiebe mal noch ein, dass das Scannen auf DFS Freigaben (\\intern.domain.de\Scanfreigabe) ggf. nicht funktioniert.

Bin ansonsten aber auch für die SMB Version. ;)
Mitglied: Dbgrox
Dbgrox 16.08.2022 um 11:14:14 Uhr
Goto Top
Hi, habe das meiste bis auf die Raspi Möglichkeit. Leider hat nichts funktioniert.

Die letzte Möglichkeit muss ich mit meinem Admin absprechen. Ich kann euch dann gerne bescheid geben.
Mitglied: NordicMike
NordicMike 16.08.2022 um 11:16:13 Uhr
Goto Top
Hi, habe das meiste bis auf die Raspi Möglichkeit.
Was genau hast du?

Welche Firmware Version hat der Drucker?
Mitglied: Dbgrox
Dbgrox 16.08.2022 um 11:24:22 Uhr
Goto Top
Oh Ups. Ich meinte die Raspi Möglichkeit kann ich als einzige hier nicht durchführen.

Die Firmware Version ist die aktuellste. Also die gleiche wie bei der Downloadseite. An den Einstellungsmöglichkeiten hat sich auch nichts geändert.
Mitglied: Lochkartenstanzer
Lochkartenstanzer 16.08.2022 aktualisiert um 11:30:27 Uhr
Goto Top
Zitat von @Dbgrox:

Oh Ups. Ich meinte die Raspi Möglichkeit kann ich als einzige hier nicht durchführen.


Dan nimm halt irgendeinen Windows10-Rechner und mach da ein Share drauf und aktiviere auf dem smbv1.

lks
Mitglied: TomTomBon
TomTomBon 16.08.2022 um 11:48:14 Uhr
Goto Top
Moin,

Für mich sieht das nach einem Kleinst Drucker aus, der die Einstellmöglichkeiten von den großen Bruder-Systemen hat.
Aber nicht alles umsetzen kann (Stichwort DFS / SMB / Kerberos).

Stichwort SMB bei dieser Kiste kann wirklich das Thema sein.

Schon einmal mit dem brother Support gesprochen?


Wenn SMB 2 / 3 gehen sollte, der Tipp mit einer W10 VM wo mittels Powershell (Get-SmbServerConfiguration) das entsprechend aktiviert / deaktiviert wurde, ist ein guter Ansatz,
muss getestet werden.
Es kann gut sein das das Menü zwar von Kerberos spricht, aber das System es nicht schafft.

PS
Der Zielordner ist der Freigabename.
Wenn die Freigabe "scan" heißt, heißt der "Zielordner" auch nur scan.
Mitglied: NordicMike
Lösung NordicMike 16.08.2022 um 12:17:36 Uhr
Goto Top
Der Drucker ist aus der XP/Vista Zeit. Vermutlich kann er nur SMB V1, das heute nicht mehr verwendet werden sollte.

Aber er hätte noch FTP
Mitglied: Dbgrox
Dbgrox 16.08.2022 um 14:36:01 Uhr
Goto Top
Zu aller erst vielen Dank für eure Hilfe.

Es hat mit SMB V1 geklappt. Es ist nur Firmenintern zum Scannen von Dokumenten gedacht.
Mitglied: TomTomBon
TomTomBon 16.08.2022 um 14:55:13 Uhr
Goto Top
Und?

Das ist der Standard, "nur" Firmeninternes nutzen.
Das Problem ist, SMB v1 bietet KEINEN Widerstand gegen Übernahme.
Wenn sich etwas in eurem Netz befindet, kann es so richtig Fuß fassen und alles übernehmen.

Wannacry hat so begonnen.
https://de.wikipedia.org/wiki/WannaCry
Und DER Angriff war teuer für die Firmen!

Meine Empfehlung:
Neuere Hardware.

Wenn das gar nicht geht, ein Linux System das total abgeschottet ist vom Rest der Firma.
Und dann ein Weiterleiten via Mail.
Das wäre eine komplette Abschottung.

SMB v1 ist jenseits von gut oder naja, geht so gerade.
Es ist nichtzu nehmen.
Oder würdet Ihr eure Admin Passwörter weiter geben einfach so?
Mitglied: NordicMike
NordicMike 16.08.2022 um 15:53:20 Uhr
Goto Top
Er will damit sagen: Wenn du SMBv1 nur für den Zweck der internen Scanner Ablage aktiviert hast. Kann der Angreifer mit dem SMBv1 Protokoll deinen gesamten Filserver übernehmen, nicht nur auf den Pfad für den Scanner zugreifen.
Mitglied: Lochkartenstanzer
Lochkartenstanzer 16.08.2022 um 16:06:37 Uhr
Goto Top
Zitat von @NordicMike:

Er will damit sagen: Wenn du SMBv1 nur für den Zweck der internen Scanner Ablage aktiviert hast. Kann der Angreifer mit dem SMBv1 Protokoll deinen gesamten Filserver übernehmen, nicht nur auf den Pfad für den Scanner zugreifen.

Deswegem mach man da einen kleine RasPi hin, der alles was er per SMBv1 eingekippt bekommt, per SMBv3 dem Fileserver gibt. face-smile

lks

PS: Der Pi (oder eine VM mit Linux) kann per Samba die shares des Servers mounten und sie per smb-v1 an den Scanner "weiterreichen" als neue Freigabe. Man muß halt abwägen, ob die Arbeistzeit oder ein neuer Drucker "günstiger" ist.
Mitglied: TomTomBon
TomTomBon 17.08.2022 um 08:27:54 Uhr
Goto Top
RasPi ist ja auch "nur" eine Linux Variante face-wink

Ich wäre mir unsicher ob ein übernommenes Linux System nicht auch weiter den Weg verseuchen kann.
Natürlich kann es verseuchte Dateien übergeben, die es geimpft bekommen hat.
Ich bin aber nicht tief genug drinnen ob dann nicht das SMB 3 Tor reicht.

Es ist in jedem Fall besser ein Linux zu nehmen als Empfänger.
Windows zu Windows vertraut sich zu sehr.
Ein Linux wäre ein Bruch der überwunden werden muss, was ein echtes Hindernis --> Manpower bedeutet.
Es geht nicht mit jedem dahergelaufenen Windows Skript face-wink

Man kann mit einem Raspi schöne Sachen machen.
Mitglied: Lochkartenstanzer
Lösung Lochkartenstanzer 17.08.2022 um 11:30:28 Uhr
Goto Top
Zitat von @TomTomBon:

RasPi ist ja auch "nur" eine Linux Variante face-wink

Ich wäre mir unsicher ob ein übernommenes Linux System nicht auch weiter den Weg verseuchen kann.
Ein übernommenen Linux-System ist genauso ein Spion im Feindesland, wie ein übernommenen Windows-System. Nur hat Samba auf Linux den Vorteil, das man mit smbv1 nicht das Linux-System übernehmen kann, sofern es korrekt konfiguriert ist.

lks
Mitglied: TomTomBon
Lösung TomTomBon 17.08.2022 um 15:11:48 Uhr
Goto Top
Ok, das die SMB 1 Linux Version nur zulässt das sie vollgeschrieben werden kann wußte Ich nicht.
Allerdings ist das ja auch eigentlich "Tradition" unter Linux.
Trennen der Dienste.
"Dienst 1, Du darfst DAS. Dienst 2, Du darfst DAS. Und nichts anderes."
face-wink
Mitglied: sklchris
sklchris 22.08.2022 um 09:51:49 Uhr
Goto Top
Zitat von @dertowa:

Ich schiebe mal noch ein, dass das Scannen auf DFS Freigaben (\\intern.domain.de\Scanfreigabe) ggf. nicht funktioniert.

Bin ansonsten aber auch für die SMB Version. ;)

Eben da hatte ich mit div. Geräten so Eigenheiten. Die einen wollen \\ vor Freigabename, die anderen Scanner haben sich das quasi über die Felder Server IP dann selbst zusammen gestellt und wollten das ohne die \\. Und ich meine bei Brother war es ohne die doppelbackslash davor. Ich probier das meistens immer kurz aus, bevor ich da in dem Handbuch ewig nachlese, was das jeweilige Gerät will.
Mitglied: TomTomBon
TomTomBon 23.08.2022 um 08:33:48 Uhr
Goto Top
Zitat von @sklchris:

Eben da hatte ich mit div. Geräten so Eigenheiten. Die einen wollen \\ vor Freigabename, die anderen Scanner haben sich das quasi über die Felder Server IP dann selbst zusammen gestellt und wollten das ohne die \\. Und ich meine bei Brother war es ohne die doppelbackslash davor. Ich probier das meistens immer kurz aus, bevor ich da in dem Handbuch ewig nachlese, was das jeweilige Gerät will.

Kyo ist da auch nicht Durchgehend:
Alte Systeme wollen \
die neuen gar keinen..
Mitglied: TomTomBon
TomTomBon 23.08.2022 um 15:45:40 Uhr
Goto Top
Kleine Anmerkung noch,
Der @altmetaller hat eine Anleitung zur Nutzung mittels RasPi erstellt.
Durchlesen kann nicht schaden face-wink

https://administrator.de/blog/raspberrypi-als-printserver-fuer-einen-hp- ...

https://www.altmetaller.de/raspberrypi-als-printserver-fuer-einen-hp-las ...