Drucker im Firmennetz für externe Mitarbeiter über Internet Printing freigeben

    Teaser für DruckerMicrosoft hat mit Universal Print zwar eine neue Remote-Druck­lösung einge­führt, aber viele Unter­nehmen möchten ihre Druck­auf­träge nicht in die Cloud schicken. Trotzdem würden sie viel­leicht gerne die Drucker für Clients außer­halb ihres Netz­werks frei­geben. Windows Server Internet Printing dient diesem Zweck.

    Internet Printing gibt es bereits seit Windows 2000 und ist seitdem in allen Versionen des Betriebs­systems enthalten. Da es das Internet Print Protocol über HTTP verwendet, können Unter­nehmen damit ihre Drucker über das Internet praktisch überall zur Verfügung stellen.

    Internet Printing bietet IT-Administratoren außerdem die Möglichkeit, Druck­aufträge und Drucker­eigenschaften über HTTP remote zu verwalten, ohne ein VPN, eine RDP- oder andere Remote-Verbindung zu nutzen.

    Nachdem die Funktionen zur Aktivierung von Internet Printing in Windows Server integriert sind, erfordert es keine zusätzlichen Downloads und keine Software, die installiert werden muss. Die folgende Anleitung zeigt, wie man dieses Feature in Windows Server 2019 konfiguriert.

    Voraussetzung für den Internetdruckdienst

    Beim Internet Printing gibt es einige Anforderungen zu beachten. Dazu zählen:

    • Installation der Rollen Druck- und Dokumentendienste, Webserver (IIS) und des Features Internetdruckclient
    • Drucker müssen an den Druck-Server angeschlossen sein und freigegeben werden
    • Aktivieren der eingehenden Firewall-Regeln für Web-Konnektivität

    Konfigurieren von Internet Printing

    Windows Server Internet Printing ist Teil der Server-Rolle Druck- und Dokumentdienste.  Daher setzt man im Assistenten zum Hinzufügen von Rollen und Features in Windows Server 2019 zuerst dort ein Häkchen.

    Hinzufügen der Druck- und Dokumentendienste in Windows Server 2019

    Anschließend haken Sie im Dialog Features auswählen den Eintrag Internet Printing Client an.

    Hinzufügen des Internetdruckclients

    Im nächsten Schritt zeigt der Assistent die Übersicht für die Druck- und Dokumentendienste an.

    Übersicht der Druck- und Dokumentendienste

    Wählen Sie im Dialog Role Services (Rollendienste) für die Druck- und Dokumentendienste die Option Internet Printing (Internetdrucken) aus.

    Rollendienst Internet Printing hinzufügen

    Sie werden dann aufgefordert, die für Internet Printing erforderlichen Funktionen hinzuzufügen.

    Der Assistent ermittelt automatisch die erforderlichen Features für Internet Printing

    Nun sollte der Rollendienst Internet Printing aktiviert sein.

    Rollendienst nach Hinzufügen der erforderlichen Features

    Als nächstes sehen Sie die Übersicht für die Rolle Webserver (IIS).  Bei ihrer Installation wird eine spezielle Website im IIS eingerichtet, welche mit den installierten Druckern auf dem Print-Server kommuniziert.

    Im Normalfall übernimmt man die Standard­einstellungen für die IIS, aber man kann sie durch Hinzufügen weiterer Komponenten an die Anforderungen der jeweiligen Umgebung anpassen.

    Auswählen der Dienste für die Rolle Webserver (IIS)

    Bestätigen Sie abschließend die ausgewählten Funktionen für das Internet­drucken und klicken Sie auf Installieren. Sofern Sie keine zusätzlichen Rollen oder andere Funktionen hinzufügen, die einen Reboot erfordern, muss der Server für die Funktion Internet Printing nicht neu gestartet werden.

    Bestätigen der Installation für Internet Printing

    Der Rollendienst Internet Printing sollte nun erfolgreich installiert werden.

    Die Installation der Rollendienste für Internet Printing in Aktion

    Wenn Sie anschließend den IIS-Manager starten, dann sehen Sie die Default Web Site mit dem automatisch eingerichteten virtuellen Verzeichnis Printers.

    Konfiguration der Standard-Website für Internet Printing

    Internet-Drucker einrichten

    Jeder Drucker, den Sie mit den Standard­funktionen in Windows Server freigeben, scheint nun automatisch auch auf der Website für das Internet Printing auf, so dass sich die Endbenutzer damit verbinden können.

    Wer das im Einzelnen darf, hängt von den Berechtigungen ab, die Sie auf der Registerkarte Sicherheit des freigegebenen Druckers konfigurieren.

    In der folgenden Abbildung wird ein HP Laserjet wird über die Eigenschaften des Druckers freigegeben.

    Drucker zur Verwendung mit Internet Printing freigeben

    Zugriff auf die IIS-Site zur Druckerverwaltung

    Nachdem Sie einen freigegebenen Drucker konfiguriert haben, wird er auf der Website für Internet Printing aufgeführt. Diese ist über die IP-Adresse oder zum FQDN des IPP-Windows-Servers über das virtuelle Verzeichnis /printers (d. h. http://ipp-server/printers) erreichbar.

    Dort sehen wir in meinem Beispiel den zuvor freigegebenen HP LaserJet.

    Zugriff auf die Website für Internet Printing

    Unter dem Link für die Eigenschaften des Druckers können Sie den Netzwerknamen erkennen, der für die Verbindung benötigt wird. Außerdem sehen Sie die gängigen Druckeraktionen, auf die IT-Administratoren und andere User mit den entsprechenden Berechtigungen zugreifen können.

    Anzeigen der Druckereigenschaften über die Website für Internet Printing

    Drucker über Internet Printing mit Clients verbinden

    Verwenden Sie auf einem Client, in unserem Beispiel Windows 10, den Netzwerk­namen, der in den Eigenschaften des Druckers angezeigt wird. Diesen geben Sie in der Option Freigegebenen Drucker über den Namen auswählen im Dialog Drucker hinzufügen ein.

    Drucker in Windows 10 über seine URL hinzufügen

    Die Benutzer müssen anschließend ihre Anmelde­informationen eingeben, um auf den freigegebenen IPP-Drucker zugreifen zu können.

    Authentifizierung für den Zugriff auf den Drucker über Internet Printing

    Bei Bedarf wählen Sie danach den für den freigegebenen Drucker benötigten Treiber.

    Treiber für den IPP-Drucker hinzufügen

    Der Drucker wird abschließend über HTTP mittels Internet Printing Protocol (IPP) verbunden und installiert.

    Erfolgreiche Installation des Druckers auf einem Windows 10-Client mittels Internet Printing

    Zusammenfassung

    Internet Printing ist eine bewährte Möglichkeit für Unternehmen, Endgeräte mit Druckern über HTTP zu verbinden, während User von unterwegs oder zu Hause arbeiten. Es ist einfach zu konfigurieren und standard­mäßig in Windows Server enthalten. Daher muss keine zusätzliche Software heruntergeladen oder installiert werden.

    Das Feature bietet sich besonders für Organisationen an, die Druckdienste nicht in die Cloud verlagern wollen oder VPNs nur für Druckdienste vermeiden möchten.

    Täglich Know-how für IT-Pros mit unserem Newsletter

    Wir ver­wenden Ihre Mail-Adresse nur für den Ver­sand der News­letter.
    Es erfolgt keine per­sonen­be­zogene Auswertung.

    6 Kommentare

    9. Juni 2021 - 0:48

    Ich bin sehr verhalten, ob es eine tolle Idee ist eine gültige AD Authentifizierung an einen Drucker über das Internet zu senden (welches Authentifizierungs- und Transportokoll wird hier genutzt?), um dann Druckdaten unverschlüsselt über das Internet zu senden. Ggf. kann man dem IIS noch SSL beibringen und man könnte auch mutmaßen, dass die Verbindung zum http Print Server über ein VPN läuft.

    Schon, dass der Dienst noch IIS-6.0 Compat Features mitinstallieren will, sollte einem zu denken geben.

    My 2 cents. Dann doch vielleicht lieber ein vertrauenswürdiger, moderner Cloudprint Dienst vom gleichen Hersteller?

    9. Juni 2021 - 11:20

    Nach Rücksprache mit Microsoft Experten zur Authentifizierung (u.a. Steve Syfuhs) ist die genutzte Authentifizierung die im Beispiel gezeigt wird steinalt und sollte nicht mehr als sicher betrachtet werden. Eine Analyse mittels Fiddler wurde vorgeschlagen, um zu Prüfen ob diese überhaupt verschlüsselt wird.

    Sehr wahrscheinlich handelt es sich jedoch um eine BASIC Authentifizierung.

    Bild von Wolfgang Sommergut
    9. Juni 2021 - 19:20

    Geh einfach davon aus, dass jeder ausgeschlafene Admin eine SSL-Verbindung nutzen würde. Die Beschreibung spielt in einer Lab-Umgebung, deswegen verwendet der Autor nur unverschlüsseltes HTTP.

    Über die SSL-Verbindung werden nicht nur die Anmeldedaten verschlüsselt, sondern auch die Druckdaten, die nicht direkt zum Printer, sondern an den Print-Server gehen.

    Basic HTTP Auth ist nichts, was man um jeden Preis vermeiden muss. Über SSL wird ja auch der HTTP Header verschlüsselt und damit auch die Credentials.

    In dieser Hinsicht ist auch HTTP Digest nicht viel besser, nur dass dort die Anmeldedaten bloß einmal übertragen werden und nicht bei jedem Request. Beide Formen nutzen wir praktisch jeden Tag für alle möglichen Online-Dienste.

    Die "tolle Idee" stammt übrigens von Microsoft, Internet Printing ist ein unterstütztes Feature von Windows Server und auch in der Preview von 2022 wieder an Bord.

    9. Juni 2021 - 19:41

    Hallo Wolfgang,
    vielen Dank für deine Rückmeldung! Wenn HTTPS eine technische Option von Internet Printing wäre, dann wäre es eine Betrachtung für den Einsatzzweck wert.

    Ggf. kann man dies im Artikel präzisieren.

    Es gibt durchaus hier und da noch Eingabemasken im Windowsumfeld, welche nur bestimmte Werte akzeptieren. Das >könnte< hier für http der Fall sein.

    Ein supportetes Feature, auch in einem neuen Server OS, wie 2022 LTSC, ist leider nicht gleichzusetzen mit der "tollen Idee", es auch zu nutzen.

    Nehme mal WINS als Beispiel.

    Es stirbt, zumindest im Featureset von Windows Server, auch nicht aus.

    Beste Grüße
    Karl

    9. Juni 2021 - 19:47

    Hier ist die Auflösung: ja es geht:

    https://docs.microsoft.com/en-us/previous-versions/windows/it-pro/windows-server-2008-R2-and-2008/cc731368(v=ws.10)

    "Communication for Internet printing uses IPP or RPC with HTTP (or HTTPS) over any port that the print server has configured for this service. Because the service is using HTTP or HTTPS, this is typically port 80 or port 443. Because Internet printing supports HTTPS traffic, communication can be encrypted, depending on the user’s Internet browser settings."

    Bild von Wolfgang Sommergut
    9. Juni 2021 - 20:34

    Hallo Karl, danke für die ergänzenden Infos!