Jump to content
HeizungAuf5

Printserver redundant halten

Recommended Posts

Hallo zusammen,

 

wir möchten einen zweiten Printserver anlegen, welcher einspringt, wenn der "Hauptserver" aussteigt.

 

Aktuell halten wir das so:

1 PrintServer (Server 2016) und 2 DCs (Server 2019 + 2012 R2). Die Drucker liegen auf dem PrintServer und die DCs verteilen die per GPO.

 

Was wir möchten:

2 PrintServer (Print01 + Print02). Beide haben alle Drucker. Im Normalfall verteilen die DCs die Drucker von Print01. Sollte Print01 nicht verfügbar sein, so sollen die Drucker von Print02 verteilt werden. Die Druckernamen sind identisch.

 

Wie setzen wir das am besten um, dass die Nutzer nicht alle Drucker doppelt haben, wenn beide Druckserver funktionieren. Oder gibt es alternativ etwas, wie dass die DCs nur "Dummy"-Drucker verteilen und das dann intern auf die "echten" Drucker umleiten?

 

Grüße!

Share this post


Link to post
Share on other sites

Wie lange darf der Printserver Offline sein? High Availability Printing: https://docs.microsoft.com/en-us/previous-versions/windows/it-pro/windows-server-2012-R2-and-2012/jj556311(v=ws.11)

Alternativ die Treiber regelmässig exportieren und auf der zweiten Maschine immer wieder importieren.

Edited by Sunny61
Link korrigiert

Share this post


Link to post
Share on other sites
vor 1 Minute schrieb Sunny61:

Wie lange darf der Printserver Offline sein?

Wahrscheinlich saudoofe Antwort: So lange, bis er wieder online kommt. Spaß bei Seite. Wir wollen das aus dem Grund so bauen, dass wir nicht sofort ausrücken müssen, wenn der Print01 mal steht.

 

Unser "Wunschgedanke" wäre folgender:

Beim Anmelden wird die Richtlinie für den Drucker angewendet (Sagen wir mal, der Benutzer hat den Drucker "Printer_SW01" zugewiesen). Nun kommt die GPO und der Drucker "Print01\Printer_SW01" wird verbunden. Da der Print01 Server offline ist, kann dieser aber logischer Weise nicht verbunden werden. Dies merkt der DC und verbindet dem User dann eben "Print02\Printer_SW01".

 

 

Auf Deinen Link bekomme ich leider einen 404 Error. Ich denke mal, du meintest diesen Beitrag?

Zitat

A functioning Hyper-V cluster with at least two nodes is required in order to deploy High Availability Printing with Windows Server 2012.

Das ist leider nicht so einfach umsetzbar. Die Umgebung läuft auf einem ESXi und wir hatten da auch eher den Gedanken, dass wir die Printserver so bauen, wie man redundante DCs baut. Heißt einen Printserver in einer VM und einer auf einer kleinen Kiste Bare Metal installiert. So wie ich den Beitrag von MS lese, ist das auch eher die Vorgehensweise der VM, in der der Printserver läuft 100% Uptime zuzusprechen. Das ist aber auch nicht das, was wir wollen, da die Maschine auch mal neu starten sollte (Updates, etc.) oder auch mal eine "Macke" aufweisen kann, so dass diese gar nicht mehr startfähig ist.

 

 

Grüße!

Share this post


Link to post
Share on other sites
vor einer Stunde schrieb HeizungAuf5:

Beim Anmelden wird die Richtlinie für den Drucker angewendet (Sagen wir mal, der Benutzer hat den Drucker "Printer_SW01" zugewiesen). Nun kommt die GPO und der Drucker "Print01\Printer_SW01" wird verbunden. Da der Print01 Server offline ist, kann dieser aber logischer Weise nicht verbunden werden. Dies merkt der DC und verbindet dem User dann eben "Print02\Printer_SW01".

Das lässt sich relativ einfach umsetzen, wenn man die Drucker mit einem Script verbindet statt per Policy.

 

Oder im DNS einen CNAME "printserver" mit kurzer TTL machen, welcher im Normalfall auf "Print01" verweist, aber auf "Print02" umgestellt werden kann (entweder manuell oder von der Systemüberwachung). Die Clients verbinden dann zu "\\printserver".

Share this post


Link to post
Share on other sites
vor 24 Minuten schrieb mwiederkehr:

, wenn man die Drucker mit einem Script verbindet statt per Policy. 

Hättest Du da eventuell einen Ansatz für mich, wie man das lösen kann, ohne das das Script tausende Zeilen lang wird? - Wir haben im Haus ca. 250 Drucke und um die 400 Benutzeraccounts, welche aber nicht alle alle Drucker haben. Bisher lies sich das ganz gut über die AD Gruppen in den Verteilungsrichtlinien realisieren, dass das zumindest noch halbwegs übersichtlich ist. Wenn ich nun anfange in dem Script jeden Benutzer mit "seinen" Druckern zu hinterlegen drehen hier die Leute am Rand ;-) Gleichzeitig wäre das auch so nicht sonderlich wartungsfreundlich wenn mal Benutzer/Drucker dazu kommen.

 

Alternativ mal eine ganz doofe Frage (hab zwar dazu bei den großen Suchmaschinen was gefunden, aber nicht das was wir brauchen): Kennst Du eine Software die das regelt? Muss auch nicht kostenfrei sein.

 

Grüße!

Share this post


Link to post
Share on other sites

Da brauchst in der Tat entweder ein Script oder eine relativ aufwändige Policy mit Zielgruppenadressierung auf Win32_Pingstatus... Ich finde den DNS-Alias eleganter und einfacher.

Und am allereinfachsten ist ein A4-Handzettel für die Benutzer, wie sie zu einem Drucker kommen. Warum machen das so wenige? Daheim können die User ja ihren Drucker auch irgendwie finden...

Share this post


Link to post
Share on other sites
vor 4 Stunden schrieb HeizungAuf5:

Hättest Du da eventuell einen Ansatz für mich, wie man das lösen kann, ohne das das Script tausende Zeilen lang wird?

Die IFMEMBER.EXE https://www.gruppenrichtlinien.de/artikel/anmelde-skript-benutzer-gruppenabfrage-zuweisung-drucker/ gibt es wohl nicht mehr, deshalb müsste man es mit NET USER /Domain %username& | find versuchen, ob es schnell genug ist. https://blog.friedlandreas.net/2011/09/gruppenmitgliedschaft-von-einem-benutzer-auslesen/

Noch eine Möglichkeit: https://www.gruppenrichtlinien.de/artikel/drucker-verteilen-und-bereitstellen/

Share this post


Link to post
Share on other sites
vor 23 Stunden schrieb Sunny61:

Die IFMEMBER.EXE https://www.gruppenrichtlinien.de/artikel/anmelde-skript-benutzer-gruppenabfrage-zuweisung-drucker/ gibt es wohl nicht mehr, deshalb müsste man es mit NET USER /Domain %username& | find versuchen, ob es schnell genug ist. https://blog.friedlandreas.net/2011/09/gruppenmitgliedschaft-von-einem-benutzer-auslesen/

Noch eine Möglichkeit: https://www.gruppenrichtlinien.de/artikel/drucker-verteilen-und-bereitstellen/

whoami /groups | find /i "Gruppenname" && Machirgendwas

Das AD deswegen zu fragen ist nicht nötig. net.exe schneidet zudem die Gruppennamen ab (glaub nach 20 Zeichen).

Share this post


Link to post
Share on other sites

Moin,

 

vor 23 Minuten schrieb daabm:

Das AD deswegen zu fragen ist nicht nötig. 

und in so einer Situation auch nicht zielführend, wenn man es nicht richtig macht. Die Abfrage der AD-Gruppenmitgliedschaften ist blind für verschachtelte Gruppen (es sei denn, man fragt tokenGroups ab, was aber a) kaum jemand macht und b) aufwändiger ist) und übersieht darüber hinaus lokale Gruppen (die man mit whoami allerdings auch nur dann erwischt, wenn man an der richtigen Stelle fragt, nämlich auf dem Zielrechner).

 

whoami ist also meist die bessere Wahl, weil es gleich im Access Token nachsieht. Oder kurz (doch wer will sich hier schon kurz fassen, wenn er die eigene Senftube drücken kann): Full Ack.

 

Gruß, Nils

 

Share this post


Link to post
Share on other sites
Am 3.11.2019 um 22:01 schrieb NilsK:

die man mit whoami allerdings auch nur dann erwischt, wenn man an der richtigen Stelle fragt, nämlich auf dem Zielrechner).

Nils, whoami läuft zwangsweise auf dem Zielrechner. Bzw halt in der Session, in der man es aufruft... SCNR :-)

Share this post


Link to post
Share on other sites

Moin,

 

ja, was ich meine, ist schwierig auszudrücken ... also: typischerweise führe ich whoami auf meinem Client aus. Dann sehe ich die effektiven Mitgliedschaften - und Lokalen Gruppen - dieses Clients. Greife ich vom Client aus aber  auf einen Dateiserver zu, dann kann es sein, dass ich auf dem Server auch Mitglied Lokaler Gruppen bin. Diese zeigt mir whoami logischerweise nicht auf meinem Client, sondern um das zu sehen, müsste ich whoami auf dem Server ausführen.

 

Es bleibt in jedem Fall der Vorteil, dass whoami sehr schnell und effizient über die effektiven (d.h. vollständig in der Verschachtelung aufgelösten) AD-Gruppenmitgliedschaften Auskunft gibt, und das ohne Netzwerkzugriff.

 

Gruß, Nils

 

Share this post


Link to post
Share on other sites
vor 14 Stunden schrieb NilsK:

was ich meine, ist schwierig auszudrücken ...

Ach Schatzi :-) Ich versteh Dich doch :aetsch::grins1:

Share this post


Link to post
Share on other sites

Hallo zusammen,

 

danke für euer weitreichendes Feedback. Da es leider in der Gruppenrichtlinie scheinbar keine "einfache" Funktion "Wenn Printserver nicht da, dann..." gibt, haben wir nun angefangen, das ganze so ähnlich wie hier beschreiben per Script zu lösen.

 

Der "auserwählte" Entwickler hat mich zwar etwas schief angeschaut, als ich ihm erklärt habe, wie ich das haben wollte, aber der Ansatz scheint zu laufen. Wir nutzen die Tatsache, dass die AD-Gruppen genau so heißen wie die Drucker damit dann voll aus.

 

Grüße und Danke!

Share this post


Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Restore formatting

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.


Werbepartner:



×
×
  • Create New...