Im Moment, wo ich diesen Post schreibe, ist die Taktzahl doch recht hoch. Das ist bedingt durch eine Pandemie. Ziemlich viele Schulträger kaufen momentan völlig unterschiedliche Dinge ein. Das geschieht im Hau-Ruck-Verfahren. Es gibt ja Fördergelder. Übersehen wird dabei ab und an, dass diese Dinge auch konfiguriert werden müssen, wir dazu eine adäquate Infrastruktur brauchen und sich solche Dinge manchmal völlig anders verhalten als man annimmt.
– Dieser Artikel ist noch nicht korrekturgelesen –
tl;dr: In diesem Beitrag steht, warum Bonjour und die darauf basierenden Anwendungen nicht skalieren und deshalb auch nur selten zu 100% zuverlässige Anwendungen sind.
Ebenfalls steht hier, wie man bei völliger Dunkelheit mit absoluter Sicherheit in’s Klo greift
Dieser Beitrag geht davon aus, dass WiFi in betreffenden Schulen geplant wurde oder wird, und dass eine adäquate Infrastruktur bereitsteht. Sollte dem bei Ihnen so nicht sein, so fühlen Sie sich bitte nicht auf den Schlips getreten. Möglicherweise ist dann auch dieser Beitrag zum Thema „iPads an Schulen“ für Sie vorab lesenswert (Link).
Grundlage: Ein Prima-Beispiel für Fehlannamen ist Airplay (Protokoll zur Anzeige von Videoströmen auf einem AppleTV oder ähnlichen Geräten). Wohl ist dieses hier aufgezeigte Szenario ebenfalls auch für andere Dienste, wie z.B. Miracast, Chromecast, Airprint, u.v.m. für Schulen anzuwenden. Alle diese Dienste benötigen ein funktionierendes Bonjour (erkläre ich später).
Viele Schulen wollen verständlicherweise Apple Classroom (Link) nutzen, und das bereits gestern. Apple Airplay ist ein absolut wichtiger Bestandteil von iOS (Betriebssystem), um u.a. Classroom-Inhalte auf einem großen Panel / Beamer / Display darzustellen.
Viele Endgeräte unterstützen mittlerweile AirPlay, z.B. moderne Fernseher, Beamer oder Whiteboards für Schulen. AppleTV kann/ nutzt dieses Protokoll schon von Beginn an.
Ich will in diesem Beitrag (mit Händen und Füßen, also auch für Nicht-Technologen) erklären, warum gerade Airplay in Schulen nicht „mal eben“ so geht, wenn man es denn richtig machen möchte.
Das ist bedingt durch
- WiFi / Kabel
- AWDL (Apple Wireless Direct Link)
- Netzwerkkomponentenkonfiguration
- Bonjour (AVAHI/mDNS)
- MDM Mobile Device Management
- Airplay von Drittherstellern
Ganz richtig. Alle diese Dinge können dafür sorgen, dass die Funktion von AppleTV eingeschränkt ist, nicht möglich ist oder eben andere Dienste – z.B. WiFi deutlich einschränkt.
Airplay (1+2) hat im privaten Umfeld wirklich ganz tolle Eigenschaften. Eine davon ist, dass es eben immer funktioniert. Zuhause befinden wir uns in einem WiFi mit nur wenigen Clients. Es ist sogar möglich, das AppleTV per WiFi zu benutzen und kein Kabel anzuschließen. Sollte was im Heimnetzwerk nicht funktionieren, übernimmt AWDL automatisch das Ruder. Der Anwender bemerkt dabei noch nicht einmal, dass das AppleTV selbst einen Hotspot aufgebaut hat und der Client sich darüber mit dem AppleTV verbunden hat. Magie!
In Enterprise-Umgebungen = Schulen sind diese Features allerdings absolut kontraproduktiv, besonders während der Einführung von iPads/ Massenrollouts.
Die Stammtisch-Fehlannahme technisch weniger versierter Personen á la „Bei mir zuhause geht das, warum soll das in unserer Schule nicht gehen?“ sorgt dabei für Verstimmungen.
WiFi und Kabel
AppleTV’s sollten in Schulen grundsätzlich per Kabel angebunden sein, auch wenn sie per WiFi erreicht werden sollen. Sollte ein oder mehrere AppleTV nicht per Kabel angebunden sein, so ist die Belastung des WiFi bei Verwendung einer oder mehrerer AppleTV in der Regel zu hoch. Dies ist technisch bedingt durch die Belegung des Funkraums (In Schulen sind in der Regel mehrere, aufeinander abgestimmte Accesspoints aktiv, welche von mehreren Clients belegt werden). Auch Apple empfiehlt, AppleTV’s an das Kabelnetzwerk anzuschließen und eben nicht WiFi für die Anbindung von AppleTV zu verwenden.
Das WiFi sollte aber für die Nutzung in Schulen adäquat vorbereitet sein. Hierzu gibt es einen Leitfaden von Apple: Link. Dieser Leitfaden ist „in Ansätzen richtig“, hinsichtlich der Planung (durch Fachleute) aber inzwischen überholt (für Laien geeignet, technisch nicht 100% korrekt). Wichtig ist aber, dass die Planung durch Fachleute durchgeführt wird.
AWDL
Sollte irgendetwas im Netzwerk nicht so funktionieren, wie gewünscht – sprich das AppleTV ist in der Nähe, kann aber über WiFi nicht erreicht werden, so öffnet das AppleTV im schlimmsten Falle einen eigenen Hotspot und die Clients greifen direkt auf das AppleTV zu. Als Grundlage dazu dient AWDL (Link), welches nicht nur für Airplay, sondern u.a. auch für andere Dienste, wie z.B. Airdrop genutzt wird.
Augenscheinlich funktioniert es ja. Dabei übersieht man, dass die Clients über einen völlig anderen Weg auf AppleTV zugreifen und die Netzwerk- oder Firewallkonfiguration wider der Annahme des Administrators nicht funktioniert. Ferner fehlt im Hause pro AppleTV ein mindestens ein Funkkanal, welcher für WLAN-Clients nicht mehr zur Verfügung steht, sprich es werden erhebliche Interferenzen generiert und das WiFi erheblich beeinträchtigt. Ursprünglich hatte ich mich mit diesem Problem in 2019 schon einmal beschäftigt. Hier steht auch, wie man das auf der Clientseite korrekt konfiguriert: Link.
Bonjour (AVAHI/mDNS)
Apple verwendet einen Dienst „Bonjour“ (Ehemals „Rendevouz“) für das Auffinden kompatibler Dienste, um diese sofort und ohne Software zu installieren, nutzbar zu machen.
Technisch wird Multicast gesprochen (Hier erklärt: Link). Man kann sich Bonjour wie eine Art Community-Telefonbuch vorstellen, welches sich nach und nach von selbst vollschreibt. Dienst samt Zieladresse und Zielport sind im Telefonbuch innerhalb einer Multicast-Domain zu finden. Im Idealfall sieht das Tablet dann mehrere AppleTVs (Idealerweise mit Namen der Raumnummer) und kann sofort auf eines zugreifen.
Dieser Dienst hat viele Vorteile, in großen Netzen jedoch extreme Nachteile. Zum einen ist Multicast in WiFis ein ungern gesehener Gast, da dieses Protokoll das WiFi übermäßig belastet, zum anderen ist das Protokoll schwer zu debuggen. Was im Telefonbuch geschrieben steht, muss nicht unbedingt stimmen, da Clients sich inzwischen in anderen Netzwerksegmenten befinden, der Server inzwischen ausgeschaltet ist.
Gute Diagnosemöglichkeiten bieten unterschiedliche Bonjour-Browser als Freeware für alle Betriebssystemtypen an. Die sind zwar älter, funktionieren in aller Regel noch. Ist ein AppleTV oder Fernseher wider erwarten nicht in der Airplay-Liste zu finden, bietet es sich an, zunächst mit so einem Freeware-Tool mal auf einem Rechner nachzusehen. iPads behalten Informationen länger als üblich. Damit die interne Serverliste gelöscht wird, kommt man um einen Neustart des Clients in aller Regel nicht drumrum. Das ist möglicherweise erforderlich, wenn neue Konfigurationen in den Firewalls oder am Airplay-Server getestet werden muss. Der Nutzer/Anwender muss anwesend sein und die Anweisungen des Administrators befolgen. Dies ist u.u. auch ermüdend, da derjenige wenig Verständnis für die Netzwerkseite aufbringt und möglicherweise Fragen auch nicht korrekt beantwortet.
AVAHI-Reflector / Firewall / Bonjour-Proxy
Bonjour sollte sich nur in einer Multicast-Domain aufhalten. Die Domain in Firewalls über mehrere Segmente/VLANs zu öffnen ist suboptimal. In Schulen sind segmentierte Netzwerke aber Standard. Es gibt i.d.R. pädagogische Netze und andere für z.B. MDM-Geräte oder BYOD-Geräte. Damit diese das kabelgebundene AppleTV im pädagogischen Netz auch via Bonjour sehen können, müssen solche Features aktiviert werden.
Hier bieten die meisten, modernen Systeme schon Dienste an:
Ist so ein Gateway/Router/Firewall nicht im Einsatz, können bei vielen Betriebssystemen Hilfsdienste bereitgestellt werden. Avahi-Daemon (Debian/Ubuntu/Centos/RHEL) bietet z.B. den Reflector, welcher diese Features ebenfalls netzübergreifend bereitstellen kann (Link).
MDM (Mobile Device Management)
Es sind aber auch im MDM für die AppleTV’s im Bereich AirPlay-Sicherheit adäquate Payloads verfügbar. Dies bespricht zum einen die Sicherheit, aber auch Features. In einem aktuellen Fall war z.B. die Nutzung von AppleTVs zwar möglich, die Nutzung von Airplay zu einem ProWise-Board aber nicht. Dies lag u.a. daran, dass folgende Konfiguration beim Anwender im MDM hinterlegt war:
Aber genau dieses Feature bieten aber die meisten nicht von Apple hergestellten Server nicht an. Ebenfalls ist es möglich, dass andere Einschränkungen bereitgestellt werden, welche für die Nutzung von AppleTV nicht kompatibel sind. Nicht nur auf der Clientseite ist dies möglich, sofern ein AppleTV mit Richtlinien aus einem MDM bereitgestellt wird.
Ferner sind auch Inkompatibilitäten möglich, wenn z.B. Airplay2 versucht wird, zu nutzen. Sollten beim gerade aktuellem iOS das Tablet und das AppleTV unterschiedlichen Accounts zugeordnet sein, kann z.B. der Vollbildstream (Airplay 1, aus dem Kontrollcenter) möglich sein, das Streamen von embedded Videos in Webseiten z.B. (Airplay 2, aus dem Feld für einen Videostream) aber nicht.
Ein übrigens besonders in der Diagnose extrem nervendes Feature hat Apple mit dem gerade aktuellen iOS 14 eingeführt: Das Verstecken der tatsächlichen MAC-Adresse des Endgerätes. Hierbei wird eine Fake-Mac gespooft, sollte das Feature nicht per Richtlinie im MDM deaktiviert werden. Die MDM-Admins sollten dieses neue Feature wirklich proaktiv deaktivieren, wenn sie ihre Kollegen unterstützen wollen.
Netzwerkkomponenten
Am Beispiel von Aruba lässt sich dies wunderbar zeigen. So verhält sich in unterschiedlichen Firmwareversionen (8.5 zu 8.6) die Konfiguration für die Broadcastfilterung unterschiedlich:
Die Diagnose ist gerade bei Problemen oder Bugs in unterschiedlichen Firmwareständen problematisch. Das kann stellvertretend für andere Hersteller stehen. Es bietet sich an, neue Firmwares vor dem Rollout auch für Bonjour-Features zu testen.
Aruba bietet für solche Anwendungen auch weitere Features, wie z.B. Airgroup. Diese können zudem noch durch z.B. Clearpass-Policy-Server gesteuert werden.
Stellvertretend für diesen Anwendungsfall kann man dazu auch noch einmal in meinen Artikel zu Sonos und Airgroup schauen: Link.
Ferner können auch auf der Switchseite unterschiedliche Features Bonjour und Airplay zu Fall bringen. Es gilt, eben all dies zu berücksichtigen.
Airplay von Drittherstellern
Viele Hersteller (von Beamern, Fernsehgeräten, Smartboads, TV-Boxen) implementieren inzwischen Apple Airplay selbst. Leider eher extrem schlecht als recht. Bei vielen funktioniert die Bonjour-Ankündigung via Multicast nicht so, wie man es von einem klassischen AppleTV gewohnt ist – einige davon können noch nicht einmal mit einem AVAHI-Daemon umgehen. In diesem Fall ist das Zielgerät im Netzwerk entweder nicht auffindbar oder es ist auffindbar, aber auf dem Zielgerät lassen sich keine Videodatenströme abspielen. Andere wiederum haben Probleme beim Beenden von Streams oder stürzen ab, wenn das Streamen vom Endgerät nicht adäquat beendet wird.
Da Multicast-Pakete in WLAN extrem ungern geladene Gäste sind, werden hierfür viele Optimierungen vom OEM für WLAN umgesetzt. Damit kann in der Regel zwar ein Apple-TV umgehen, nicht aber viele andere Hersteller, die schlecht implementiertes Airplay ebenfalls anbieten.
In allen Fällen aber lässt sich keine App auf dem Gerät installieren und diese Geräte können auch nicht mittels MDM provisioniert werden. Das wird sehr gerne übersehen.
Da die Airplay-Implementierung in der Regel vom Hersteller schlecht dokumentiert wurde, muss der Support des Herstellers selbst ran. Die Smartboard-Hersteller sind da noch bemüht, die Hersteller von Fernsehgeräten aus Korea eher weniger. Vielleicht reicht aber auch erstmal ein Firmware-Update des Endgeräts aus.
Sie können in der Regel davon ausgehen, dass die Standardantwort vom Hersteller-Support „Client-Isolation möge deaktiviert werden“ schon längst vom WLAN-Betreiber umgesetzt wurde, wenn er schon WLAN für Apple-Classroom-Geräte bereitstellt.
Update 2021/09: Den absoluten Vogel allerdings schießt LG ab. Wessen Schulträger diese WebOS-Heimplaste gegen alle Empfehlungen organisiert, muss seinen Dienstleister über die Maßen hassen. Das Ding ist zwingend der Meinung, kein Internet zu erreichen, wenn es ein bestimmtes Ziel nicht direkt erreicht oder einen Netflix-Speedtest nicht erfolgreich abschließt. In der Folge gibt’s vom Gerät dann auch kein Bonjour – möglicherweise auch einen Eklat.
Da liegt deutlich mehr im Argen, was im Detail geklärt werden muss. Hüten Sie sich vor billiger Heimplaste. Die ist viel teurer als das eigentliche Preisschild.
Fazit
Die Bereitstellung von Airplay in Schulnetzen ist möglicherweise alles andere als „mal eben“ umgesetzt. Wenn Schulleitungen und Schulträgern die Komplexität bislang nicht bewusst ist, sollten sie zumindest annehmen können, dass es mitunter Zeit dauern kann, bis ein solches Feature adäquat läuft. Die Presse einzuladen, während die Displays gerade eben montiert werden, ist auf jeden Fall suboptimal. Wenn die Situation bei Ihnen ähnelt, dürfen Sie sehr gerne auf diesen Artikel verweisen.
Hier müssen mehrere Dinge Hand in Hand funktionieren, welche i.d.R. bei großen Dienstleister von unterschiedlichen Personen betreut werden. So sollten die „Netzwerktruppen“ eines Dienstleisters mit den „Admin-in-Schulen-Truppen“ und der „MDM Truppe“ (Wie auch immer man das bezeichnen mag) regelmäßig miteinander sprechen und jetzt auch diese Dienste gemeinsam in Augenschein nehmen.
Mal eben ist nur der Griff in’s Klo gewiss. Haben Sie Geduld!