局域网中通过打印机共享来实现打印资源的合理利用,通过在Win 2003下配置Internet打印服务也可以在Internet这个最大的网络中实现打印机共享服务。随着IPP(Internet Printing Protocol,因特网打印协议)的完善,任何一台支持IPP协议的打印机只要连接到因特网上,并且拥有自己的Web地址,那么,而所有因特网上的计算机只要知道这台打印机的Web地址,就可以访问和共享此台打印机,完成自己的打印作业。其实,在Windows 2000 的时代已经有了Internet打印服务,而在Windows2003中,这个功能得到了完善,Win 2003更注重安全,所以需要启用相关设置才能实现Internet打印服务,这一点不同于Win 2000的默认设置。本文完整叙述了在Win2003下配置Internet打印服务的全部过程,看过后,你一定能自己动手建立Internet打印服务。仔细想想,本地文档,通过Internet 实现异地远距离打印,这个功能的应用范围还是很广泛的。
一、IPP因特网打印协议打印原理
简单地说,IPP协议是一个基于Internet应用层的协议,它面向终端用户和终端打印设备。IPP基于常用的Web浏览器,采用HTTP和其他一些现有的Internet技术,在Internet上从终端用户传送打印任务到支持IPP的打印输出设备中,同时向终端设备传送打印机的属性和状态信息。通过IPP打印设备,用户可通过Internet快速、高效、实用地实现本地或远程打印,无需进行复杂的打印机安装和驱动安装。以下以一个打印作业过程为例介绍IPP协议的工作原理。
1.IPP打印输出设备的寻址和定位
IPP打印输出设备可以是一台支持IPP协议的打印机,也可以是一台支持IPP协议的打印机服务器加上一台或几台打印机。由于需要支持IPP协议,IPP打印输出设备与普通打印输出设备要有一定区别。实现它必须具有独立的内部处理器,同时还要有符合要求的存储器容量。再者它要具有接入Internet的网络接口,支持Internet的常用通讯协议,同时还要支持SNMP(Simple Network Management Protocol,简单网络管理协议),即支持IP地址自动网络分配。
支持IPP的打印设备连接到Internet后,将自动获得一个IP地址,成为Internet上的一个独立的终端设备。一个终端计算机可以通过浏览器寻址这台打印设备,寻址过程可以通过输入IP地址,也可通过输入打印机名称进行。如果此时这台打印设备开机并且在线,它将向寻址它的计算机返回打印机的属性信息,包括支持的打印介质类型、尺寸和是否支持彩色等。
2.传送打印作业、打印机状态信息、取消打印作业
终端计算机将要打印的作业信息数据包(包括打印作业的名称、所使用的介质、打印分数、打印内容等)按照IPP协议进行编码,并按照协议发送到IPP打印设备中,IPP打印设备将接收到的信息按照协议进行解码,并根据自己的属性解释生成打印内容。 打印机在开始打印以前和打印过程中要向寻址它的终端计算机传送自己的状态信息,如耗材状态、介质状态等。 目前的IPP 1.0中终端计算机可对IPP打印设备进行取消和终止已经开始的打印作业的控制功能。
二、Internet打印实现过程
Internet 打印流程如下:
1. 用户输入打印设备的 URL(统一资源定位符) ,通过 Internet 连接到打印服务器。
2. HTTP 请求通过 Internet 发送到打印服务器。
3. 打印服务器要求客户端提供身份验证信息。 这样能够确保只有经过授权的用户才能在打印服务器上打印文件。
4. 当用户获得授权可以访问打印服务器后,服务器使用活动服务器页(Active Server Pages, ASP )向用户显示状态信息,其中包括有关当前空闲打印机的信息。
5. 当用户连接 Internet 打印网页上的任何打印机时,客户端计算机首先尝试在本地寻找该打印机的驱动程序。如果没有找到适合的驱动程序,打印服务器将会生成一个 cabinet 文件(.cab 文件,又称为 Setup 文件),其中包含正确的打印机驱动程序文件。打印服务器把 .cab 文件下载到客户端计算机上。客户端计算机提示用户允许下载该 .cab 文件。
6. 当用户连接到 Internet 打印机后,他们可以使用 Internet 打印协议 (Internet Printing Protocol,IPP)把文件发送到打印服务器。
运行 Windows 2003 SP4 的客户端计算机默认可以使用 Internet 打印。然而,用户必须首先通过打印服务器的身份验证,才能够使用连接到该服务器的任何打印机。下面将涉及到打印服务器的安全配置。
三、服务器端的安装和配置
Windows系列操作系统通过IIS的ASP解析功能和文件和打印共享服务提供Internet 打印服务,安装Internet 打印服务器的过程包括服务器点IIS和打印的安装配置,服务器提供Internet 打印服务,用户通过Internet网连接Internet 打印服务器完成打印作业。Windows XP 和 Windows 2000 内置IIS和Internet 打印服务功能,不过Windows XP and Windows 2000 Professional同时只能有10个用户连接到服务器的限制,不是理想的打印服务器平台,本文以Win2003为例,说明Internet 打印服务服务器的安装和配置过程。
1、安装并设置打印机共享
首先要在公司的上网机器上安装Windows 2003 Server操作系统,并将打印机连接到这台计算机上。本文使用的打印机是HP LaserJet 1000。这台打印机使用的是USB的端口,安装过程有严格的先后循序:先安装驱动程序,让后在把打印机插入USB接口,操作系统的及插及用功能立即发现新硬件,并且自动寻找到打印机驱动并且安装到USB打印口。下面设置打印机共享:打开“打印机和传真”、右键HP LaserJet 1000,启用共享,共享名保持不变,仍然为HPLaserJ,以下步骤要用到这个共享名。
2、安装IIS 和Internet 打印组件
从上面的分析可以看出, Internet 打印服务依赖IIS(Internet Information Server,Internet信息服务器),要先安装IIS才能通过Internet 打印服务。很多人在安装Windows 2003的时候就默认安装了IIS,安装IIS组件和Internet 打印服务,不同于IIS5.0,IIS6.0默认情况下不安装Internet 打印服务组件,你需要自定义安装过程。单击“控制面板”中的“添加/删除程序”、“添加/删除Windows组件”,弹出“Windows组件向导框”,勾上“Internet信息服务”,再一路点“下一步”就可以完成安装了。
如果是IIS早期版本,IIS的安装过程到此基本完成了,但是的Windows 2003 服务器默认不启动ASP脚本功能,而且默认的IIS6的安装中不包括Internet 打印服务组,需要自定义安装,接上面的步骤:“应用程序服务”、“Internet信息服务”、“详细”、“Internet 打印”, 如图1,再一路点“下一步”就可以完成安装了。
图 1 实际上,在Win 2003中,不仅ASP解析被关闭,Internet 打印功能也被关闭了,需要手工启动,点击“开始”、“管理工具”、“Internet 信息服务管理”,选择 “Web 服务扩展, 选择“ Internet Printing” 和 “Active Server Pages”, 然后点击“允许”。如图2,安装好IIS后,Internet 网用户就可以在Internet上通过Web 浏览器访问这台计算机了。
图 2
检验Internet 打印服务是否能正常功能的方法是,在Web 浏览器的地址栏输入:
HTTP://127.0.0.1/PRINTERS,
这个地址用来查看位于名为本地的打印服务器上的所有打印机的列表,如果出现列表,表示安装成功了(如图3)。
图 3
3、管理打印服务器
Internet 打印服务的安全管理非常重要,配置打印服务器的安全性是配置打印服务器的重点,通过配置身份验证和IP 地址及域名限制来管理打印服务器,要配置打印服务器,使用“Internet 服务管理器”或 IIS 管理单元。
配置身份验证:
单击默认的 Web 站点,将其展开,右键单击打印机,然后单击属性。单击目录安全选项卡,然后单击“匿名访问和身份验证”下的编辑。 单击下面某种要使用的身份验证方法,然后单击确定:
匿名访问:在使用匿名访问时,IIS 会通过使用匿名用户帐户(默认情况下,此帐户是 IUSR_计算机名)使您自动登录。您不需要提供用户名和密码。要更改用于匿名访问的用户帐户,请单击匿名访问下的编辑。(如图4)
图 4
基本身份验证:在使用“基本”身份验证时,会提示您提供登录信息,并将您的用户名和密码通过网络以明文形式发送。此身份验证方法的安全性级别比较低,因为有网络监视工具的人可能会截取到用户名和密码。但是,大多数 Web 客户端都支持这种身份验证。如果您希望能够从任何浏览器管理打印机,请使用此身份验证方法。单击基本身份验证 下的编辑,以指定用户帐户的默认域。
简要身份验证:在使用“简要”身份验证时,用户凭据是通过网络安全发送的。简要身份验证仅用于 Internet Explorer 5.0 与更高版本以及属于 Windows 2000 域的 Web 服务器。
集成 Windows 身份验证:集成 Windows 身份验证既可以使用 Kerberos v5 身份验证协议,也可以使用自己的质询/响应身份验证协议。此身份验证方法更安全。但是,只有 Internet Explorer 2.0 或更高版本才支持这种方法,而且无法通过 HTTP 代理连接使用这种方法。
配置IP 地址及域名限制
单击“IP 地址及域名限制”下的编辑。 在显示的“IP 地址及域名限制”对话框中,完成以下步骤之一: 要允许访问,请单击拒绝访问,然后单击添加。在显示的允许访问对话框中,选择所需的选项,然后单击确定两次。所选的计算机、计算机组或域即被添加到“允许”列表中。要拒绝访问,请单击允许访问,然后单击添加。在显示的拒绝访问对话框中,指定所需的选项,然后单击确定两次。您指定的计算机、计算机组或域就会添加到“拒绝”列表中(如图5)。
图 5
四、客户端安装Internet打印服务常见问题
客户端通过Web 浏览器完成打印驱动的安装和管理网络任务,Internet打印用户软件要求:Windows系列操作系统和IE4.0以上,作者分别测试了Windows XP/2000/2003均可以顺利通过网络安装驱动程序,而Windows 98/95用户遇到了问题,参看下面的方法解决。Web 浏览器版本在4.0或者更早的版本不能使用Internet打印。
安装过程图解:
需要连接Internet打印服务器完成打印任务的用户的计算机,安装网络打印的过程和配置类似LAN的网络打印安装和配置,方法是在IE地址栏输入URL(或者IP地址)和共享名称。例如
http://61.135.19.X/printers。
出现图6,服务器上只有一台打印机共享,点击名称:hp LaserJet 1000
图 6
出现Internet打印管理内容,如图7,目前还没有安装打印机驱动程序,点击右侧的“连接”,提示确认是否连接打印机。
图 7
图P4。点击“是”,通过网络下载并且安装驱动程序到本地,如图8。
图 8
安装完成后,本地“打印机和传真”中出现Internet打印机图标,如图9。
图 9
验证打印机属性,发现一个打印端口指向本地,并且设置为默认,另一个打印端口指向Internet 端口,这是我们需要的打印设备。如图10中显示打印服务位于网络上,而且打印端口是Internet PORT。安装完成后,就可以向使用本地打印机一样使用Internet打印资源了,注意打印时选择打印目标为Internet打印机。
图 10
客户端安装常见问题和技巧
1、Windows 98/95用户客户端的安装
如果用户的操作系统是Windows 98/95,需要下载客户端软件,因为98/95对IPP支持不完整, Windows 2000 Server安装光盘和Windows 2003 Server安装光盘中带有基于Windows 98/95的客户端程序: \clients\Win9xipp.cli\wpnpins.exe 。执行后就可以使用Internet网络打印。
2、出现80070035错误的原因和对策
如果服务器没有安装“MICROSOFT 网络的文件和打印机共享”,或者网络 防火墙 屏蔽了对外网提供“MICROSOFT 网络的文件和打印机共享”服务,如图P26,那么,就会出现80070035错误,请求不拒绝,如图11。
图 11
解决办法是选择图12所示的“MICROSOFT 网络的文件和打印机共享”服务,然后开放防火墙开放相应端口。当然这个端口可以设置只对些用户或者IP有效,而屏蔽危险的用户和IP地址。
图 12
3、 PRC不可用错误
有些 优化 软件或者计算机用户,出与优化操作系统的目的关闭了print spooler后台服务程序,导致连接Internet打印服务器,下载安装驱动程序时,出现“PRC不可用错误”的警告,其实错误本身和PRC服务没有直接的关联,启动“print spooler”后台服务就可以解决这个问题。
4、端口80、443、631
80是HHTP求情连接端口,443是HTTPS请求连接端口,这个个 加密 的连接请求,使连接更安全,IPP支持这种连接。631是IPP请求端口,服务器或者客户端的网关和防火墙必须允许他们的出站连接。如果在PRXOY代理后面,连接服务可能有问题,如果服务器在NAT网关的后面,也有连接不能达到的问题。
图 13
五、实现Internet打印
在连接到打印机时,打印服务器会将相应的打印机驱动程序下载到您的计算机。在完成安装之后,打印机的图标会添加到计算机上的“打印机”文件夹中。您可以使用、监视和管理打印机,就好像打印机连接到您的计算机一样。
图 14
六、Internet 打印服务安全问题
1、加密的通讯过程
从上面的介绍中不难看出,实现IPP打印的全过程中,所有打印信息都是通过Internet进行传输的,传输过程中可能会发生打印内容被中途拦截和信息窜改现象,同时IPP打印设备大多数可能为公用设备,打印完成后也可能被非授权人非法取走。 因此,IPP充分考虑到了安全问题,由于IPP支持HTTP协议,所以可以支持所有HTTP上的安全协议,其中包括了SSL(加密套接字协议),它实现了终端浏览器和服务器之间的安全信息交换。为避免非授权人非法取走打印内容,IPP设备采用了在打印设备端输入密码后才能打印内容的方式,确保打印内容的安全打印。 Internet 打印通信在打印服务器为 Internet 打印服务所配置的端口上使用 IPP 和 HTTP 或安全超文本传输协议(HTTPS)。因为 Internet 打印服务使用的是 HTTP 或 HTTPS,所以通常是端口 80 或 443。此外,因为 Internet 打印支持 HTTPS 通信,所以可以根据用户的Internet浏览器设置对通信进行加密。
2、删除或禁用Internet 打印功能
如前面所述,运行 Windows 2000 Server(SP4)系列产品之一的计算机默认安装了 IIS。运行 Windows 2000 Professional(SP4)的计算机也可能安装了 IIS。安装了 IIS 的计算机可以配置为打印服务器,以支持其它计算机进行 Internet 打印。为了控制这一操作,您可以使用组策略(Group Policy)。删除不是专门指定作为 Internet 服务器的计算机上的 IIS,这样做彻底,不过IIS的其它功能不能用了,建议在已经安装了 IIS 的计算机上禁用 Internet 打印功能。方法如下:
1. 在运行 Windows 2000 SP4 的计算机上,按照“帮助”中的指示并根据是否希望把组策略对象(GPO) 应用于组织单位、域或网站来进行操作,从而用正确的方式开启组策略,
2. 在组策略中,单点“计算机配置”,双击“管理模板”,然后单击“打印机”。
3. 在显示详细信息的窗格中,双击“基于Web的打印”。
4. 选择“禁用”。
注:上述组策略设置相当于把 注册表 项目 \\Hkey_Local_Machine\Software\Policies\ Microsoft \Windows NT\Printers 设置为 DisableWebPrinters。
如果允许在运行 IIS 的计算机上进行 Internet 打印,参考前面的安全设置,严格控制能够访问服务器的 Internet 打印网站的用户,将访问打印机的权限限制在少数用户 ID 的范围内。
对用户而言,Internet 打印功能导致OFFICE提示打印机不可用,已经安装Internet 打印功能的用户,要删除Internet 打印功能的只需要删除 Internet 打印提供商注册表键就可以了:
1. 单击 “开始”,指向“设置”,然后单击“控制面板”。
2. 在“控制面板”中,双击“管理工具”,然后双击“服务”。
3. 停用 Print Spooler 服务。
4. 使用 Microsoft Registry Editor(Microsoft注册表编辑器:Regedit.exe) 从注册表中删除以下键:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Print\Providers\Internet Print Provider
5. 重启 Print Spooler 服务。