Freie Platzwahl

Irgendwo im Netz werkeln Drucker mithilfe von Print-Servern. Themen wie IPv6 oder USB 2.0 schaffen neue Herausforderungen für die Druckhelfer.

Drucken gehört zu den elementaren Diensten, die der Administrator in einer IT-Installation sicherstellen muss. Dazu kann er jedem Anwender einen lokalen Drucker an den Arbeitsplatz stellen. Was die IT-Abteilung aber in der Regel aus Kosten- und Verwaltungsgründen vermeiden wird. Also bleiben ihm als Alternative Netzwerkdrucker, die er an zentralen Stellen verteilt postiert. Denn die Drucker wird keiner an die File-Server mit den Druckdiensten hängen wollen, da diese irgendwo geschützt im Rechenzentrum stehen. Für den Netzwerkdruck kommt der Administrator daher nicht um die Beschäftigung mit einem kleinen Gerät herum, das sich Print-Server nennt.

Print-Server unterscheiden sich einmal in der Form, wie sie an dem Drucker hängen: intern oder extern. Ein interner Print-Server spricht den Drucker direkt über eine interne Schnittstelle an und steckt in der Regel als Einschubkarte im Drucker. Jeder Drucker-Hersteller hat dabei für seine Geräte eine eigene Schnittstelle. Externe Print-Server dagegen kommunizieren mit dem Drucker über dessen externe Schnittstelle: parallel, seriell oder USB. Mittlerweile gibt es vermehrt Print-Server mit USB v2.0 statt v1.1. Die Schnittstelle stellt höhere Anforderungen an die Hardware der Print-Server. Besondere Schwierigkeiten bereiten GDI-Drucker. Denn sie sind nicht für den Netzwerkeinsatz gedacht und können über das Netz die Daten nicht richtig austauschen. Eine Ausnahme stellt die Anpassung von SEH an die GDI-Drucker »1300W«- und den »2300W« von Konica-Minolta dar. Auf der anderen Seite hängt der Print-Server am Netz. Dabei gibt es Unterschiede auf allen Netzwerkebenen. Auf der physikalischen Schicht kann der Print-Server auf Kupferkabel, Glasfaser oder Wireless-LAN treffen. Ethernet, Token-Ring oder Apples Ethertalk können auf der zweiten Schicht auftreten. Schließlich kommen auf den Netzwerkschichten drei und vier meist TCP/IP oder Novells IPX/SPX dazu. Auf der Anwendungsebene trifft der Print-Server dann noch auf verschiedenste Druckprotokolle wie LPR/LPD, Raw-TCP, IPP (Internet-Printing-Protocol), SMB über TCP/IP sowie NetBEUI oder Protokolle im Mainframe- beziehungsweise AS/400-Bereich (jetzt: »i-Series«). Auch die Formate der Druckdaten sind unterschiedlich. Hauptsächlich befinden sich Postscript oder PCL (Printer-Command-Language) im Einsatz. Soll der Druck über das Internet gehen, bieten sich IPP oder SMTP/POP3 an. Bei Letzterem erfolgt der Transport der Daten vom Client als Anhang einer E-Mail zum Mail-Server, die sich der Print-Server dann abholt. Remote-E-Mail-Druck bieten beispielsweise SEH, Silex oder Troy an.

Auch über die Anwendungstopologie muss sich der Administrator Gedanken machen. Setzt er auf einen Peer-to-Peer-Ansatz etwa für kleine Arbeitsgruppen, oder verwendet er einen zentralen File-Server beziehungsweise eine Print-Server-Appliance, die über Drucker-Queues die Druckerdatenströme verwalten. Auch das Management der Print-Server kann der Administrator unterschiedlich erledigen. Mittlerweile stellt fast jeder Print-Server über einen integrierten Web-Server ein Browser-Interface zur Verfügung. In größeren Installationen kommt der Einsatz von SNMP dazu. Für die Remote-Administration hat sich außerdem in vielen Fällen »Web-Jetadmin/Jetadmin« von HP oder »MarkVision« von Lexmark etabliert. Hier gilt es, darauf zu achten, welche Funktionalität eines Druckers mit Web-Jetadmin oder Lexmark über den Print-Server hinweg verfügbar ist. Hersteller arbeiten für die Administration der speziellen Funktionen eines Druckers über SNMP mit so genannten Private-MIBs (Management-Information-Base). Diese legen die Hersteller jedoch nicht immer offen, so dass es sich nachzufragen lohnt. Je nachdem bleiben dem Administrator dann nur die Management-Tools des Druckerherstellers. Schließlich gibt es noch den Zugang etwa über Telnet oder als Backup-Zugang ein serielles Interface, falls das Netzwerk ausfällt. Um die Konfiguration im Netzwerk gerade bei kleinen Installationen zu erleichtern, kommen Protokolle/Systemlösungen wie »ZeroConf« oder »UPnP« (Universal-Plug-and-Play) dazu. Hier steckt die Idee dahinter, dass sich die Geräte auch ohne zentralen DHCP-Server automatisch beispielsweise eine IP-Adresse suchen oder ihre Dienste wie das Drucken im Netz anbieten. Zeroconf läuft als »Rendezvous« bereits auf Apple-Systemen. Upnp als ein Kind von Microsoft geht über Zeroconf hinaus, indem es sich nicht nur um die Geräte kümmert, sondern auf der Betriebssystemebene Dienste anbietet. Schließlich bringt jedes Betriebssystem noch seine eigenen Druckdienste mit. Bei Windows-2003 kann der Administrator über die Drucker-Shares auch gleich die entsprechenden Treiber für die verschiedenen Betriebssysteme bereitstellen. Novell arbeitet hier mit NDPS (Novell-Directory-Print-Services) sowie »iPrint«, das auf NDPS aufbaut. Linux setzt auf CUPS (Common-Unix-Printing-System), das mit IPP arbeitet, ebenso wie Iprint.

Appliance statt File-Server

Außer in sehr kleinen Netzen, empfiehlt es sich, dass die Clients nicht direkt auf dem Netzwerkdrucker drucken, sondern über einen Datei-Server mit Druckdiensten. Neben Windows und NDPS bietet sich auch Samba unter Linux an, die das Spooling der Druckjobs in verschiedenen Queues übernehmen, und diese dann an die Print-Server weiterleiten. Aber ein Server bringt einen entsprechenden Administrationsaufwand mit sich. Hier kommen so genannte Druck-Appliances wie der »ISD300« von SEH, der »PRICOM 7000« von Silex oder die »Print-Server-Appliance 4250« von HP ins Spiel. Die Konzentration auf das Drucken reduziert die Komplexität. Außerdem soll die Konzeption als Appliance die Verwaltung vereinfachen. Weiter können Druck-Appliances den WAN-Verkehr reduzieren. Da besitzt ein Unternehmen Außenstellen, deren Clients auf zentrale Datei-Server zugreifen. Übernehmen diese auch die Druckdienste, läuft jeder Druckverkehr über das WAN. Eine Druck-Appliance übernimmt als Alternative das Spooling vor Ort. Ob WAN, Unternehmens-Backbone oder LAN, die Appliance entlastet die Datei-Server. Beim Ausfall des Datei-Servers können Anwender immer noch lokal drucken. Bei einem hohen Druckaufkommen kann die Appliance die Druckerauslastung verbessern, indem sie über Load-Balancing die Jobs auf die Drucker verteilt. Load-Balancing empfiehlt sich auch bei Druckjobs mit einem hohen Anteil an Grafiken oder großer Seitenanzahl.

Der Isd300 bringt ebenso wie der Pricom-7000 einen DHCP- und DNS-Server mit. In kleineren Netzen kann dies einen zentralen Server ersparen, wenn sonst keine weiteren Funktionen notwendig sind. Die Pricom-7000-Appliance arbeitet außerdem auch als USB-Scanner-Server für einige Canon-, Epson- und Mutoh-Modelle. Der Administrator stellt so einen Scanner zentral im Netz bereit. Silex liefert dazu einen USB-Netzwerktreiber für Windows-2000/-XP mit. Interessant sind bei HPs 4250 zwei Tools, die Drucker-Shares vom Windows-Server auf die Appliance übertragen beziehungsweise PC-Clients den Drucker-Shares zuordnet. Die Appliances von HP und SEH arbeiten außerdem mit dem Active-Directory zusammen.

Das Drucken in Thin-Client-Umgebung mit Windows-Terminal-Servern bringt Probleme mit sich – etwa durch instabile Druckertreiber oder Bandbreitenverbrauch. Letzteres führt auch ganz allgemein zu Schwierigkeiten bei schmalbandigen WAN-Verbindungen. Gerade bei Windows-Terminal-Servern hat sich »ThinPrint« als Drittherstellerlösung etabliert. Thin-Print liefert einen universellen Drucker für den Terminal-Server, komprimiert die Druckdaten und begrenzt die Bandbreite. Allerdings muss auf dem Client beziehungsweise Print-Server auch der Thin-Print-Client laufen. SEH und Silex haben den Client zum einen auf ihre Print-Server-Appliances gebracht, so dass diese als Thin-Print-Gateway arbeiten. Dann können auch Print-Server ohne den Client arbeiten. Zum anderen läuft die Thin-Print-Komponente auf allen »Intercon«-Print-Servern von SEH sowie auf zweien von Silex.

Drahtlose Anbindung

Nicht immer können dort, wo der Drucker stehen soll, Kabel verlegt werden, wie beispielsweise in einem denkmalgeschützten Bau. Hier hilft ein Wireless-LAN, mittels Access-Point und WLAN-Print-Server den Drucker anzusprechen.

Mittlerweile führt fast jeder Print-Server-Hersteller auch Geräte mit WLAN-Anbindung im Programm. Gab es vor einem Jahr nur solche mit 802.11b, beherrschen sie jetzt auch 802.11g. 11g funkt wie 11b im gleichen 2,4-GHz-Band, hat aber eine nominelle Datenrate von 54 MBit/s. 11b-Print-Server und 11g-Laptops können parallel in einem WLAN arbeiten. Dies empfiehlt sich allerdings nicht, da die Performance der 11g-Einheiten dramatisch sinkt, wenn 11g im Kompatibilitätsmodus arbeiten muss. Ansonsten würden sich 11g und 11b gegenseitig stören. 11a/h im 5-GHz-Band arbeitet ebenfalls mit 54 MBit/s, hat aber für Wireless-Print-Server derzeit keine Bedeutung.

Auch bei WLAN-Print-Servern muss der Administrator auf das Thema Sicherheit achten. Zwar enthalten Druckdaten in der Regel keine sensiblen Daten, so dass diese bei der Übertragung verschlüsselt werden müssten. Aber da eine Kette nur so stark wie ihr schwächstes Glied ist, sollten auch WLAN-Print-Server die gleiche Sicherheitsstufe wie der Rest aufweisen. Derzeit verfügen Print-Server hier in der Regel nur über die geknackte Sicherheitstechnik WEP (Wired-Equivalent-Privacy), die jedoch immer noch besser ist als keine. Setzt ein Unternehmen im WLAN jedoch eine höhere Sicherheitstechnik ein wie die auf Ports basierende Authentifizierung 802.1x gemeinsam mit dem proprietären Cisco-LEAP (Light-Enhanced-Authentication-Protocol), EAP-TLS, EAP-TTLS (Tunneled-TLS) oder PEAP (Protected-EAP), dann sollten dies alle Clients tun. Für LEAP gibt es allerdings ein frei verfügbares Tool »asleap«, um über einen Wörterbuchangriff schlecht gewählte LEAP-Schlüssel zu ermitteln. Cisco hat mit EAP-FAST als Nachfolger reagiert. Der »JetDirect 380 X Print Server« von HP beherrscht 1x mit TLS oder MD5. Print-Server von SEH arbeiten mit 802.1x und EAP-TLS sowie LEAP. Troy offeriert ebenfalls eine 802.1x-Lösung, die allerdings TTLS unterstützt. Der »Wireless Print Server« von Zebra versteht nur LEAP.

Mittlerweile hat IEEE 802.11i als Nachfolger für WEP verabschiedet. Die Wi-Fi-Alliance zertifiziert 11i unter WPA2. Die Kernbestandteile von 11i sind 802.1x, EAP und AES als Verschlüsselung. AES verlangt einige Rechenleistung, so dass eventuell beim Hersteller eine neue Hardware-Plattform fällig wäre und ein Firmware-Updrade nicht ausreicht.

Um eine höhere Performance im WLAN zu erreichen, offerieren einige WLAN-Hersteller proprietäre Mechanismen wie Komprierung, Bursting oder Kanalverdoppelung. Damit stellen solche Hersteller die erreichten Interoperabilitätsbemühungen in Frage. Unternehmen sollten von solchen Lösungen eher die Finger lassen.

IPv6 am Horizont

Die Unterstützung von IPv6 im Netzwerkbereich nimmt zu. Im Print-Server-Bereich ist davon allerdings noch nicht viel zu sehen. IPv6 stellt beispielsweise durch den großen Adressraum – 128 Bit statt 32 Bit wie bisher – deutlich höhere Anforderungen an die Hardware. Bisher hat Silex mit dem »Pricom 3100« eine erste, wenn auch rudimentäre Implementierung vorgestellt.

Standardmäßig arbeitet der Pricom-3100 als Multiprotokoll-Router mit IPv4. Im IPv6-Modus stehen FTP und LPR für das Drucken zur Verfügung. Für die Adressvergabe beherrscht der 3100 Local-Link und Stateless-Auto-Konfiguration. Bei Local-Link erzeugt das Netzwerk-Gerät eine IP-Adresse aus seiner MAC-Adresse. Mit deren Hilfe kann es etwa einen Router über Multicast suchen. Bei der Stateless-Auto-Konfiguration bildet das IPv6-Gerät aus dem Suffix, den es beispielsweise von einem Router erhält, und seiner MAC-Adresse eine eindeutige IPv6-Adresse. Mittels der Stateful-Auto-Konfiguration kann der Administrator einem Netzwerkknoten über DHCPv6 eine bestimmte Adresse zuordnen. Diese Möglichkeit fehlt allerdings beim Pricom. Obwohl IPsec bei IPv6 Pflicht ist, hat sich Silex dies hier gespart. Angesichts der Rechenleistung, die IPsec verlangt, verwundert dies nicht unbedingt. IPv6 führt mit Flow-Labels ein MPLS-ähnliches (Mulitprotocol-Label-Switching) Konzept ein, um das Routing zu beschleunigen. Der 3100er fügt standardkonform im Flow-Label-Feld eine 0 ein, um anzuzeigen, dass er dieses nicht beherrscht. Derzeit fehlt dem Gerät auch eine IPv6-MIB für SNMP.

Für Netzwerktests beherrscht das Gerät Ping6 und Traceroute6. SEH dagegen will noch abwarten. Es sieht noch nicht die Durchdringung von IPv6 und beobachtet das Ganze, auch um sich nicht unbedingt die typischen Kinderkrankheiten einzufangen.

Fazit

Ein besonderes Augenmerk bei der Auswahl sollte der Administrator auf das Management der Print-Server richten. Handelt es sich nur um ein oder zwei Stück, dann reicht der eingebaute Web-Browser aus. Ansonsten sollte der Print-Server einmal über SNMP sowie die entsprechende Private-MIB verfügen. Interessant dabei ist auch die SNMP-Version, denn SNMPv3 erlaubt auch Verschlüsselung und Authentifizierung. Zum anderen sollte auch das Administrationstool über den Print-Server auf die gesamte Funktionalität des Druckers zugreifen können.

Für eine einheitliche Sicherheitsarchitektur im Wireless-LAN sollten die Print-Server über die gleichen Sicherheitsfunktionen verfügen, wie bei Access-Points und den anderen WLAN-Clients verwendet. Bei einem übergreifenden Einsatz von 802.1x auch im LAN müssen ebenso drahtgebundene Print-Server dieses beherrschen, was jedoch nur wenige tun.

Neuere Themen wie IPv6 oder Sicherheit in Wireless-LAN stellen deutlich mehr Anforderungen an die Hardware der Print-Server. Hersteller werden daher diese eher nicht allein über ein Firmware-Release bereitstellen können, sondern auch eine leistungsfähigere Hardware entwickeln müssen. [ wve ]