Windows server distributed scan server
Всем доброго времени суток, сегодня я хочу с вами поделиться опытом, как у себя на работе можно создать сервер сканирования в Windows, имея различный парк принтеров. Все будет централизованно и удобно, я буду рассматривать в примере кучу принтеров фирмы HP, но и подойдут и другие, при наличии в них некой опции в веб интерфейсе.
Сервер распределенного сканирования
Все вы прекрасно знаете, что уже начиная с Windows Server 2008 R2, есть такая роль как сервер сканирования, все бы хорошо, но есть гигантское но. Когда вы ее установите, то обнаружите, что не все принтеры подходят для данной роли, их очень мало и стоят они очень много, видели вы наверно такой гигантский комбайн в офисах билайна или мтс, который и сканирует и печатает, и что только не делает. У нас же с вами, в большинстве случаев это зоопарк принтеров, это хорошо, если админы уговорят руководство покупать только одинаковые модели, так не нужен же красивенький, или черненький принтер, в итоге зоопарк растет, и ни кого не интересует, что он не подходит для встроенной роли сервера сканирования в WIndows, это не наши проблемы, а выкручиваться вам товарищи, вы конечно можете настраивать в ручную и чтобы пользователи запускали утилиту WFS, но она вам нужна эта обезьянья работа. Мы же пойдем другим путем.
Схема сервера печати
Давайте рассмотрим, мою схему сервера печати. Пользователи обращаются к сетевым принтерам, на которых есть сканеру (МФУ), ему же все равно нужно подойти и положить документы в по датчик, далее он нажимает на принтере сканировать в сетевую папку, которую мы с вами настроили на принтере HP LaserJet 400 MFP M425dn. Далее у вас должен быть файловый сервер на Windows Server, в котором есть общая папка с названием каждого принтера, она должна быть доступна для всех на чтение и запись и иметь свой уникальный UNC путь, который и настроен в принтере. В итоге отсканированные документы попадают на файловый сервер, у пользователя настроен сетевой диск, либо в ручную либо групповыми политиками, открыв который он видит папку с названием сканера и из которого забирает свои документы. В итоге админа не тыркают вообще, и при выходе нового сотрудника если все настроено через политики, делать ничего не нужно.
Создаем сервер сканирования в Windows
Первое, что делаем это создаем на файловом сервере общую папку и в ней подпапки сканеров, я их называю исходя из названий принтеров на сервере печати. У меня вышло вот так.
Теперь щелкаем правым кликом по общей папке и выбираем свойства, переходим на вкладку общий доступ и добавляем группу все на чтение и запись, открываем общий доступ. Все подпапки получат такие же права и у каждой из них будет свой сетевой путь.
Как я и писал выше производим настройку принтера через веб интерфейс, ссылка как это сделать вверху. Про групповые политики мы чуть ниже поговорим. Далее менеджер подходит к принтеру и нажимает Сканер
Далее Сканировать в сетевую папку. Все больше
Все в итоге сервер сканирования уже отработал и дал менеджеру, то что нужно. Далее я вам советую, подключить эту папку как сетевой диск и создать ярлык на рабочий стол, например с названием сканеры. Вот такими простыми и подручными методами, можно создать сервер сканирования в Windows.
Configuring Distributed Scan Server on Windows Server 2012 R2
Network scanning is one of the services that is rarely managed centrally even in large infrastructures. In Windows Server 2008 R2 or higher there is a separate role of distributed network scanning (Distributed Scan Server — DSM) that enables to simplify document workflow and processing of scanned documents in the Active Directory domain. In this article we’ll look on how to configure the distributed network scanning service on Windows Server 2012 R2.
The Distributed Scan Server is a separate service of the Print and Document Service role that allows you to receive scanned documents from the network scanners and saving them to the specific network shared folders on the file servers and SharePoint sites or sending them to certain recipients via SMTP according to the configured policies.
The distributed network scanning allows to organize a single point to manage network scanners supporting WSD — Web Services on Devices (TCP/IP or local USB scanners are not supported as scanning devices). As a rule, network scanners with WSD support are large enterprise-level devices.
To install the network scanning service, select Print and Document Service role. Then select Print Server and Distributed Scan Server services in it.
Install-WindowsFeature -Name Print-Scan-Server -IncludeAllSubFeature
As you can see, you must restart the server.
After the role has been installed, a new scanning service appears in the system — Distributed Scan Server service (ScanServer): C:\Windows\System32\svchost.exe -k WSDScanServer .
To manage Distributed Scan Server, a separate mmc snap-in is used: Scan Management — ScanManagement.msc , which manages network scanners, settings and scanning tasks.
Run the Scan Management snap-in. As you can see, there are three sections:
- Managed Scanners;
- Scan Processes;
- Scan Servers.
First of all, you must configure your scan server. To do it, right-click Scan Servers section and select Configure local scan server.
In the configuration wizard, specify the account under which the scan server will run (this account is used to access local and shared folders on other servers) By default, the LocalSystem account is used, however, it is recommended to create a separate service account for convenient access management in your AD domain and specify it here.
Then you must specify the location and maximum size of user temporary folders for scanned documents.
After that specify your email server address and an SSL certificate for network traffic encryption (a self-signed SSL certificate is suitable for test environment).
Then select the type of user authentication. You can enable user authentication (using Kerberos or client certificates) or disable it (anonymous access to the scan server).
If you enable the authentication, make sure that you are a member of Scan Operators local group and you are allowed writing to a computer object of your server in the AD.
If during scan server configuration the following error appears:
Scan Server Configuration Wizard failed to apply setting, error code 0x800706fc , make sure that you have specified the account under which the distributed scan service is running (with sufficient privileges), the path to the default scan folder and have granted the write privilege for the folder to this account.
Now you need to add your scan server to the console. To do it, right-click the Scan Servers, select Add a Scan server and enter the name of your server. If you are using a self-signed certificate, the name of the server must match its name in the certificate, but it must be typed UPPERCASE (strange…). You must also add the self-signed certificate to the trusted root certificates, or errors will appear when trying to add the server:
In order your scan server can find printers and scanners supporting Web Services on Devices (WSD) in your network, do the following:
- Turn on network discovery;
- Run the Device Association Service.
Now you can add the network scanners. Right-click Managed Scanners and select Manage. Specify the IP address or a DNS name of a network scanner. WSD support (Microsoft Services for Devices or Web Services Print) must be enabled in the scanner settings.
Now you can create a new scan process – PSP. Select Scan Processes -> Add a Scan Process.
Specify the name and description of the scan process, select scanning settings and specify the name of the Distributed Scan server.
Then enter the document prefix and select where it will be saved. It can be one or more network shares (UNC paths are used), URLs on the SharePoint site or email addresses.
In the last step, you need to select users and the groups allowed to access this PSP and configure the access permissions.
Now we still have AD integration to be configured on the network scanners side (depends on the vendor). Users may use a password or a smartcard to authenticate on the scanners.
DSM operation scheme is shown below.
After a user has authenticated on the scanner, they can select a suitable PSP available for their accounts (according to their privileges). PSPs are stored in the Active Directory, and contain the rules with scan settings and document routing. The network scanner scans a document and sends it to the server for processing. The Distributed Scan Server processes the task and send the scanned document along the route specified in the PSP job.
Scan and task processing logs are located on the DSM server, and you can check the information on the completed tasks any time.
Новое в Windows Server 2008 R2 Distributed Scan Management
Общая информация
Об этой функции до последнего момента мало говорили, но сегодня у нас появилась возможность рассказать о ней. Речь идет о функции Distributed Scan Management (далее DSM), которая является компонентом Printing and Document Services.
По мере того, как все больше сканеров становятся сетевыми, а автоматический документооборот становится все более распространенным, появляется необходимость в управлении этими устройствами в сети. В предыдущих версиях Windows не было предусмотрено решения для управления сетевыми сканерами, поэтому администраторам сетей приходилось использовать для этого набор приложений от различных вендоров. Тем не менее, сканеры не смогли стать полноценным участником процесса документооборота — после получения изображения со сканера администраторы должны были запускать отдельный процесс для передачи документа.
В Windows Server 2008 R2 появился новый централизованный интерфейс для управления сетевыми сканерами, в котором предусмотрена возможность старта процессов документооборота, позволяющая сделать сканер неотъемлемой частью жизненного цикла документа. Интеграция с Active Directory обеспечивает администраторам полный контроль и возможность мониторинга сканеров в организации.
Когда вы подключаете службу роли Distributed Scan Server, устанавливается консоль Scan Management и служба Distributed Scan Server. Нижеприведенная схема показывает взаимодействие компонентов DSM и потока документов
Консоль Scan Management используется для обнаружения и мониторинга сетевых сканеров, а также создания и управления процессов пост-обработки (далее PSP) в Active Directory. В PSP хранятся настройки сканеров и инструкции по маршрутизации и хранению сканированных документов. Консоль также позволяет осуществлять мониторинг логов серверов сканирования, используемых в компании. Пользователи могут выполнять аутентификацию на сетевом сканере с помощью смарт-карты или иными способами с использованием Active Directory. Сканер предоставляет пользователю возможность выбора из предварительно заданных PSP, которые определены для него или для группы, в которую он входит. Пользователь выбирает подходящий PSP, который содержит настройки и информацию по маршрутизации/названию. Сканер сканирует документ с использованием настроек PSP и передает спецификации рабочего окружения и сам сканированный документ серверу для последующей обработки. Сервер выполняет обработку, описанную в PSP, перенаправляя полученный документ в одно из следующи мест:
Сайт SharePoint
Сетевую папку
Получателю (или получателям) по электронной почте через SMTP-сервер
При выборе сканеров следует учитывать, что для управления ими через консоль Scan Management сканеры должны поддерживать технологию Web Services for Devices. Чтобы использовать PSP, которые определены и хранятся в Active Directory, сканнеры быть классифицированы как «Enterprise WSD Scanners». Если вы не знакомы с WSD, Web Services for Devices позволяет сетевым устройствам с IP-адресами осуществлять вещание своих возможностей и предлагать их клиентам через протокол Web Services. WSD-устройства и клиенты взаимодействуют по сети, используя серию SOAP-сообщений (абб. от Simple Object Access Protocol) через UDP и HTTP(S). WSD for Devices обеспечивает функциональность plug-and-play в сети подобно подключению USB-устройства. Web Services for Devices также определяет профиль безопасности, который может расширяться с целью обеспечения дополнительных возможностей и, в частности, аутентификации на базе сертификатов устройств.
При установке сервера Distributed Scan на Windows Server 2008 R2 есть несколько требований:
Сервер должен быть членом домена Active Directory
Необходимо применить расширение схемы Windows Server 2008 R2 к схеме AD
До начала процесса сканирования на сервере должно быть достаточно дискового пространства для хранения сканированных документов
Сертификат аутентификации для сервера сканирования
Сертификат аутентификации используется с целью обеспечения безопасности подключений к устройствам с помощью SSL и безопасности подключений к клиентам и, как следствие, серверам из консоли Scan Management на другом компьютере. Сертификат может выдаваться внутренним источником, публичным источником или в этой роли может выступать самостоятельно подписываемый (от англ. self-signed) сертификат.
Когда DSM установлен на Scan Server, создается новая локальная группа безопасности, Scan Operators. Члены этой группы могут осуществлять мониторинг сканеров и серверов, а также имеют возможность создавать, изменять, удалять и просматривать PSP. По умолчанию лишь локальный администратор входит в эту группу. Администраторы домена и другие учетные записи с привилегиями локального администратора также обладают привилегиями для управления сканирующими объектами без необходимости добавления в эту группу. В дополнение к этой группе в AD требуется создать еще одну доменную учетную запись для того, чтобы служба Distributed Scan Server могла работать на всех серверах сканирования. Этой записи необходимо установить права на чтение всех PSP и родительского контейнера в AD. Также необходимо установить права на чтение к папке временных файлов на каждом сервере, в которой будут храниться отсканированные документы до того, как они будут обработаны.
Такова последовательность установки сервера Distributed Scan:
Создаем в AD учетную запись для службы Distributed Scan Server.
Запускаем мастер Add Roles и выбираем Distributed Scan Server Role Service, которая находится в разделе Print and Document Services.
Указываем доменную учетную запись, созданную в пункте 1.
Указываем временную папку — это должна быть локальная папка, то есть нельзя использовать UNC-адрес или букву диска, привязанного к UNC-адресу. В этом случае вы столкнетесь с ошибкой. По умолчанию размер папки ограничен в 100Мб на пользователя. Если вы планируете увеличить размер папки, необходимо учесть количество пользователей, выполняющих сканирование, а также тип сканируемых документов, разрешение (DPI) документов, количество доступного дискового пространства и пропускную способность процессов пост-обработки
(Опционально) Указываем имя или IP-адрес SMTP-сервера. С целью обеспечить рассылку электронных сообщений службой Distributed Scan Server через SMTP-сервер, необходимо настроить SMTP таким образом, что разрешить анонимные подключения или явно разрешить учетной записи рассылать или перенаправлять сообщения
Указываем сертификат для аутентификации, который будет использоваться для шифрования SSL-трафика.
В клиентских системах под управлением Windows 7 можно установить консоль Scan Management (SMC) так, чтобы с этого компьютера можно было управлять сканерами, серверами и PSP. Функция Scan Management доступна в панели установки компонентов Windows в разделе Printing and Document Services. SMC недоступна для других версий Windows: сканеры, сканирующие сервера и процессы пост-обработки могут управляться исключительно из Windows 7 или Windows Server 2008 R2.
