病院や医療現場など、セキュリティ強化のためにVPNで外部アクセスを行う場面が増えています。その一方で、現場ごとの端末にUSB接続したプリンターを活用したいというニーズも根強く、サーバーの印刷機能をどう活用するかで悩まれている方も多いのではないでしょうか。そこで今回は、Windows環境で「Print Server + 共有プリンター(PC上)」を組み合わせ、VPN経由で印刷ジョブを流す際の設定ポイントやトラブルシューティング手順を、具体的な手法を交えながら詳しく解説いたします。
ネットワーク全体の概念と構成例
まずは印刷経路を可視化し、どのようにジョブが流れるのか理解しておきましょう。大きく分けて以下の流れを想定します。
- 医療系アプリケーションや業務アプリケーション(サーバーにインストールされている)
- Print Server(Windowsサーバー)の印刷キューへジョブが投入される
- VPN接続されたノートPC
- ノートPCにUSB接続されたローカルプリンター(共有設定済み)
上記の流れを支えるのは、ネットワーク探索やSMB、あるいはLPD/LPRといった通信プロトコルです。VPNを利用していると、普段のLAN環境とは異なるルーティングやファイアウォール設定が求められる場合があります。以下でポイントを整理していきましょう。
構成イメージ
例えば、以下のようなネットワーク図を想定するとわかりやすいです。
[業務アプリ] - (TCP/IP) - [Print Server] - (VPN Gate) - [VPN] - [ノートPC] - [ローカルUSBプリンター]- Print Serverからは、VPN経由でノートPC側の共有プリンターへ印刷指示を送る
- ノートPCでは、USBポートにプリンターを接続し、Windows共有に設定
- 必要に応じて、LPDサービスを有効化し、Print Serverの印刷ポートをLPRで構成するケースもある
どの通信経路を使うかは、組織のポリシーやシステム要件によって異なりますが、いずれの場合もファイアウォールと共有設定の調整が重要なカギとなります。
Windowsにおける基本的なプリンター共有設定
ノートPCからプリンターを共有し、それを他の端末が認識して印刷を行うためには、Windowsの共有機能とアクセス権設定をきちんと整えておく必要があります。
プリンターの共有手順
- ノートPCで「コントロール パネル > デバイスとプリンター」を開く
- 対象プリンターを右クリックし、「プリンターのプロパティ」を選択
- 「共有」タブを選び、「このプリンターを共有する」にチェック
- 共有名をわかりやすい名前にする(例:
RemoteUSBPrinterなど) - 「追加ドライバー」が必要な場合は、クライアントOSに対応するドライバーも登録
ネットワーク探索とSMBプロトコル
ノートPCがVPN経由でサーバーから認識されるには、以下のWindows機能が影響を与えます。
- ネットワーク探索 (Network Discovery)
「ネットワークと共有センター > 共有の詳細設定」からネットワーク探索を有効にしておきましょう。無効だとプリンターや共有フォルダーが見えなくなり、トラブルが発生しやすくなります。 - SMBプロトコルのバージョン
ネットワークプリンティングではSMB経由でジョブが送られることがあります。VPN環境ではSMBポート (TCP 445) が閉じられている場合があるので、VPNの設定を確認してください。古い端末の場合、SMB 1.0/CIFSを必要とするケースもありますが、セキュリティ上あまり推奨されません。
LPD/LPRを利用した印刷設定と注意点
SMB共有プリンターが使えない、もしくは通信がブロックされている環境では、LPD/LPRプロトコルを使った印刷を検討します。Windowsでは「Print and Document Services」のオプション機能でLPDサービスを有効にでき、サーバー側でLPRポートを作成して通信する方法です。
WindowsでLPDを有効化する手順(ノートPC側)
- 「コントロール パネル > プログラムと機能 > Windowsの機能の有効化または無効化」を開く
- 「印刷とドキュメント サービス(Print and Document Services)」の下にある「LPD Print Service」にチェックを入れる
- 設定を完了して再起動する
サーバー側でLPRポートを作成する手順
- 「コントロール パネル > デバイスとプリンター」を開く
- 「プリンターの追加 > ローカルプリンターを追加」をクリック
- 「既存のポートを使用する」から「LPRポート」を選択(もしくは「新しいポートの作成」で「LPR Port Monitor」を選ぶ場合もあります)
- 「LPR設定」で、ノートPCのホスト名またはVPN経由で到達可能なIPアドレス、プリンターキュー名を入力
- 例:
10.0.0.50(ノートPCのVPN IP)、RemoteUSBPrinter(共有名)
- ドライバーのインストールやプリンター名の指定を行い、完了
LPD/LPR利用時の注意点
- TCPポート 515 がPrint Server→ノートPC間で双方向に通信できる必要があります
- ノートPCのファイアウォールで「LPD (TCP 515)」を許可しておく
- Print Server側で設定したLPR Queue Nameと、ノートPC側の共有名やLPD設定が一致しているか要確認
ファイアウォールとVPN設定の要点
印刷ジョブがうまく流れない原因として、ファイアウォールのポート閉鎖やVPN側の制限が挙げられます。VPN接続時は、組織ごとに接続ルールやアクセス範囲が異なり、以下の点に注意してください。
Windowsファイアウォールの確認
- SMBポート (TCP 445)、NetBIOSポート (UDP 137-138, TCP 139)
共有プリンターを使う場合に必要となる場合があります。 - LPD/LPRポート (TCP 515)
LPR印刷を使う場合に必須となります。 - それぞれのプロファイル(ドメイン/プライベート/パブリック)で有効なルールを確認し、必要ならポートを明示的に開放します。
以下のようなコマンドで、ファイアウォールの設定を確認・追加してみるのも一つの方法です。
# 例: LPD/LPR用にTCPポート515を開放する場合
netsh advfirewall firewall add rule name="Open LPD Port 515" dir=in action=allow protocol=TCP localport=515VPNクライアント側のルーティング設定
- VPNクライアントが「デフォルトゲートウェイをリモートネットワーク上に使用する」設定になっている場合、ローカルネットワークやプリンター共有のアクセスが別の経路へ行ってしまい、通信が不安定になることがあります。
- 必要に応じて「スプリットトンネリング」を設定し、プリンターへの通信だけはVPNを通す、あるいはローカル優先とするなど、環境に合わせたルート設定を検討してください。
トラブルシューティング手順
実際に印刷ジョブが流れない場合、どこに原因があるのかを段階的に切り分けることが大切です。以下のフローで問題箇所を見つけやすくなります。
ステップ1:ローカル印刷と共有印刷の確認
- ノートPCに直接印刷できるか
ノートPCのローカルUSBプリンターに対して、テストページが正常に印刷されるか確認しましょう。ここが問題ないなら、ハードウェアやドライバーは概ね正常です。 - 同一セグメント上の別PCから印刷できるか
同じネットワークにあるPCを使って、ノートPCの共有プリンターを認識・印刷できるかテストします。VPNなしの状態でうまく印刷できるのであれば、VPN特有の問題(ポート制限など)が疑われます。
ステップ2:Print Serverからの通信経路の確認
- サーバー側でプリンターがオンライン表示になっているか
Print Serverの「デバイスとプリンター」画面や「プリントマネージャー」で、該当プリンターが正常にオンライン扱いとなっているか、ドライバーはエラーを起こしていないかチェックしましょう。 - サーバーからノートPCへのping
VPN経由でノートPCが応答するかどうか、まずICMP(ping)で疎通を確認します。VPN環境によってはpingがブロックされることもあるため、ping不可でも必ずしも通信できないとは限りませんが、参考にはなります。 - イベントビューアのログ確認
- ノートPC側の「アプリケーションとサービス ログ > Microsoft > Windows > PrintService」に、印刷エラーや警告が記録されていないか確認します。
- サーバー側では「System」ログに「Print」関連のイベントが出力されることが多いので、ジョブがどこまで進んでいるかを確認します。
ステップ3:Wiresharkやネットワークモニターでのパケット解析
- Wiresharkなどを使い、サーバーとノートPC間で実際にどのポートへの通信が行われているか確認します。
- LPRの場合はTCP 515番でリクエスト/レスポンスが正しくやりとりされているか。SMB共有の場合は445番ポートへのSYNパケットが疎通できているかなど、細かくチェックしてください。
- 送信パケットがあっても返信がない場合、ファイアウォールやVPNルールでブロックされている可能性があります。
ステップ4:代替案・追加対策の検討
- ネットワークプリントサーバー機器の導入
ノートPC上の共有プリンターに頼らず、市販のネットワークプリントサーバーをUSBプリンターに接続し、VPN外側・内側でアドレスを取得させる方法も検討できます。 - RDセッション経由の印刷
端末にRDP(リモートデスクトップ)でログインし、ローカルプリンターへ出力する「リダイレクト印刷」を活用する手もあります。ただし、セキュリティ設定やライセンス形態によっては制限があるため注意が必要です。 - グループポリシー (GPO) の活用
大規模環境であれば、GPOでポート設定やプリンター配布を集中管理すると運用が楽になります。ただしVPNユーザー向けに別途OUを作るなど、ポリシーの設計が必要です。
運用におけるポイントとベストプラクティス
VPN下での共有プリンター運用は、セキュリティと利便性をバランスよく保つことが肝心です。最後に、ベストプラクティス的な観点でのポイントをまとめます。
1. 定期的なドライバー更新とテスト
医療系アプリケーションは長期間同じバージョンを利用するケースが多く、OSやプリンタードライバーとの互換性が徐々に低下する可能性があります。定期的にドライバー更新を試し、印刷テストを行うことで予防保守にも繋がります。
2. 監査ログの保存と分析
- Windowsのイベントログは一定期間が過ぎると古いログから上書きされるため、大規模な運用ではログが流れてしまい原因究明が難しくなることがあります。
- 重要なエラーが記録されるPrintServiceログやSystemログを定期的にエクスポート・保管しておくと、万が一トラブルが起きた際に役立ちます。
3. ハードウェア的な冗長化
VPN接続先のノートPCが故障すると、一時的に印刷ができなくなるリスクも考えられます。業務クリティカルな印刷なら、別の拠点にネットワークプリントサーバーや複合機を配備しておくなど、障害時の代替ルートを確保することが望ましいでしょう。
4. セキュリティポリシーと整合させる
VPN環境によっては、USBポートへのアクセスそのものを制限している、あるいはローカルデバイス共有を制限しているケースもあります。組織のセキュリティポリシーと合致しているか、事前に確認・承認を得た上で運用しましょう。
表で確認:SMB共有とLPRの違い
以下の簡易表で、SMB共有印刷とLPR印刷の特徴を比較してみましょう。
| SMB共有 | LPR印刷 | |
|---|---|---|
| ポート番号 | TCP 445(NetBIOS時はTCP139, UDP137-138) | TCP 515 |
| 設定手順 | プリンターのプロパティから共有を有効化 | ノートPC側でLPDサービスを有効化し、サーバー側でLPRポート作成 |
| セキュリティ | ユーザー単位・グループ単位で詳細に設定可能 | 基本的にポート単位の許可が中心 (Queueごとの簡易設定) |
| 長所 | Windows標準でわかりやすい | 他OSや古い機器との互換性が高い場合あり |
| 短所 | ファイアウォールの許可設定が複雑になる場合 | Queue名の設定・ファイアウォール設定の確認が煩雑 |
利用する環境によってどちらがベターかは異なるため、要件に合わせて選択・構成を行ってください。
まとめ
本記事では、医療系アプリケーションなどで「Print Server → VPN接続ノートPC → USBプリンター」という印刷経路を実現する際のポイントを取り上げました。Windowsのプリンター共有機能(SMB)やLPD/LPRサービスをうまく使いこなし、ファイアウォールやVPN設定を入念に見直すことで、円滑なリモート印刷環境を構築できます。
特に、以下の点を重点的に確認しておくとよいでしょう。
- Windowsファイアウォールのポート開放設定 (SMB, LPD/LPR)
- VPNのルーティング・アクセス制御
- ノートPC側のプリンター共有とアクセス権、ネットワーク探索の有効化
- Print ServerとLPD/LPRサービスの正しいキュー設定
今後、利用者が増えれば増えるほど運用上の課題は増加しやすいため、小規模のうちに安定した運用設計を行い、将来的な拡張にも対応できるようにしておきましょう。必要に応じて専門家に相談したり、ネットワークプリントサーバー機器を活用するなど、柔軟なアプローチも視野に入れてみてください。
コメント