Surface Hub Einrichtung

Die folgenden Schritte unterstützen Sie beim Verständnis und der Einrichtung eines Surface Hub in ihre Netzwerk.

Die Umgebung

Technisch ist ein Surface Hub eigentlich nur ein großer Monitor, der mit einem 4k Display und "10 Finger Touch" als auch einem Digitizer für Stifte (bis zu 3 gleichzeitig) schon recht potent ist. An den Rändern flankieren zwei Lautsprecher und zwei Kameras das Gerät. Im Innern werkelt ein klassischer Windows PC mit einem angepassten Windows 10 Enterprise. Sie können das Surface Hub mit in ihre Active Directory Umgebung aufnehmen oder auch als eigenständige "Workgroup" laufen lassen.

Es muss natürlich in an ihr Netzwerk um sich an den Diensten anzumelden. das Surface Hub nutzt mehrere Dienste

  • Skype for Business (On-Prem oder Cloud)
    Dazu ist ein Dienstkonto erforderlich, damit es sich als "Raum" anmelden kann
  • Exchange EWS und Raum
    Zudem liest das Surface Hub per EWS die anstehenden Termine eines "Raum-Postfachs", um die anstehenden Meetings anzuzeigen und einen einfachen Beitritt zu erlauben
  • Mailversand
    Auf dem Surface Hub angefertigte Skizzen können per Mail einfach an Teilnehmer gesendet werden.
  • Internet Surfen
    Natürlich ist auf dem Surface auch ein Browser, der bei der großen Ansicht und in Verbindung mit der Touch-Oberfläche schon ein Hingucker ist. In den meisten Umgebungen ist daher ein HTTP-Proxy zu konfigurieren, wenn dieser nicht per WPAD o.ä. vergeben wird.

Backend Einrichtung

Microsoft hat eine sehr umfangreiche Dokumentation samt Checklisten für die Installation bereit gestellt. Ich halte hier die Einrichtung daher entsprechend kurz.

Setup worksheet (Surface Hub)
https://docs.microsoft.com/en-us/surface-hub/setup-worksheet-surface-hub

Zudem gibt es schon verschiedene Skripte, die die Einrichtung weitestgehend automatisieren.

PowerShell for Surface Hub
https://docs.microsoft.com/en-us/surface-hub/appendix-a-powershell-scripts-for-surface-hub 

Für die Einrichtung des Surface Hub bei Net at Work wurden folgende Dinge durchgeführt:

  • Anlegen eines Exchange Raum Kontos
    Das Surface Hub braucht ein aktives AD-Konto, an welches dann ein Postfach und Skype Konto gebunden wird. Das Kennwort kann ruhig "komplex" sein aber vielleicht sollte Sie es von der Pflicht ausnehmen, dass das Kennwort geändert werden muss. Wer mag kann ja die Anmeldungen mit dem Konto überwachen. Mit der Exchange PowerShell können sie das Konto anlegen und zugleich einen Raum daraus machen, der zudem Einladungen direkt annimmt. Die Mobile Device Policy ist erforderlich, da das SurfaceHub auch das ActiveSync-Protokoll nutzt.
# Anmeldedaten erfragen
$SurfaceHubAccount = (Get-Credential -Message "Surface Hub Kontendaten")

New-Mailbox `
   -UserPrincipalName "SurfaceHub" `
   -Alias "SurfaceHub" `
   -Room `
   -Name "SurfaceHub" `
   -RoomMailboxPassword $credNewAccount.Password `
   -EnableRoomMailboxAccount $true)


New-MobileDeviceMailboxPolicy `
   -Name "SurfaceHub" `
   -PasswordEnabled $false `
   -AllowNonProvisionableDevices $true


Set-CalendarProcessing `
   -Identity $SurfaceHubAccount.UserName `
   -AutomateProcessing AutoAccept

Set-CalendarProcessing `
   -Identity $credNewAccount.UserName `
   -RemovePrivateProperty $false `
   -AddOrganizerToSubject $false `
   -AddAdditionalResponse $true `
   -DeleteSubject $false `
   -DeleteComments $false `
   -AdditionalResponse "Surface Hub Room System"

Set-AdUser `
   -identity $mailbox.Alias `
   -PasswordNeverExpires $true `
   -Enabled $true
  • Skype for Business Konferenzraum
    In Skype for Business muss ebenfalls ein Konto angelegt werden. Dazu nutzen wir das vom Exchange Raum schon bereitgestellt AD-Konto und aktivieren es für Skype for Business
Enable-CsMeetingRoom `
   -SipAddress "sip:SurfaceHub@netatwork.de" `
   -RegistrarPool sfb01.netatwork.de `
   -Identity SurfaceHub
Set-CsMeetingRoom `
   -Identity SurfaceHub `
   -LineURI "tel:+495251304690;ext=690"
Set-CsMeetingRoom `
   -Identity SurfaceHub `
   -EnterpriseVoiceEnabled $true

Damit ist die Einrichtung auf dem Server schon abgeschlossen.

Zertifikate

Wie sie das Surface Hub auspacken, zusammenschrauben und letztlich verkabeln beschreibe ich hier nicht. Es ist ja doch "nur" ein Monitor mit eingebautem PC. Aber konfiguriert werden muss der PC schon und da gibt es schon die ein oder anderen Fallstricke.

Skype for Business erwartet eine verschlüsselte Kommunikation und dazu sind Zertifikate erforderlich. Der Windows PC auf dem Surface Hub hat eine Liste von vertrauenswürdigen Stammzertifikaten aber wenn das Surface Hub "intern" steht, dann spricht es die Skype for Business Server direkt an. Die meisten Topologien nutzen intern aber Zertifikate einer eigenen PKI. Das geht über ein Provisioning Package bei der Installation per USB-Stick. Die Zertifikate spielen auch eine Rolle, wenn Sie den Zugang in ihr Firmennetzwerk z.B. per 802.1x abgesichert haben. Auch hier ist meist Computerzertifikate der internen PKI auf dem Client erforderlich und auch der Radius-Server nutzt meist ein internes Server-Zertifikat.

Sie können sich natürlich auch temporär einen "offenen Zugang" zu ihrem LAN schalten lassen und damit das Surface Hub erst mal so in die Domäne bringen und dann auf "sicher" zurückstellen. Es gibt aber noch andere Gründe sich die folgenden Seiten anzuschauen, insbesondere wenn Sie mehrere Installationen vornehmen.

BRK3339 Provisioning Windows 10 Devices with New Tools
https://channel9.msdn.com/Events/Ignite/2015/BRK3339

Einrichtung am Gerät

Die eigentliche Einrichtung kann man in zwei Bereiche aufteilen. Die Werte können aber auch durch das Provisoining erledigt werden.

  • First Run Assistent
    Nach dem ersten Einschalten aus den Werkseinstellungen werden folgende Werte erfragt
    • Region, die Sprache, Tastaturlayout und Zeitzone
    • Netzwerkeinstellungen
      Wired oder Wireless. Tipp: Über WLAN ist die Qualität meist deutlich schlechter aufgrund schwankender Latenzzeiten und geringerer effektiv nutzbaren Bandbreiten.
    • Proxy-Einstellungen
      Wenn der Zugriff zum Internet über einen HTTP-Proxy erfolgen soll, kann dies hier eingestellt werden. Die Konfiguration kann natürlich auch per WPAD erfolgen.
  • Konfiguration
    Die weiteren Einstellungen betreffen dann die Anmeldedaten des Surface Hub
    • Skype for Business Anmeldedaten
    • Exchange Anmeldedaten
      Gegebenenfalls sind hier noch ActiveSync Policies zu bestätigen
    • Gerätenamen
      Erst ziemlich am Ende werden Sie nach dem Namen des Geräts und einer Beschreibung gefragt
    • Administratoren
      Sie haben die Wahl zwischen einem lokalen Administrator, Administratoren aus ihrem lokalen Active Directory oder einer Verbindung zum AzureAD
    • Updates
      Das Surface Hub aktualisiert sich über Windows Update oder ihren lokalen WSUS-Server. Der WSUS-Server wird über die "Settings - Update&Security" als Administrator konfiguriert.

Das ist alles natürlich nur der Anfang. Das Surface Hub kann zusätzlich über eine MDM-Lösung verwaltet und mit Operation Manager überwacht werden. Zudem können Sie weitere Apps aus dem Appstore installieren. Das Surface Hub ist hier aber auf "Universal Apps" beschränkt.

Surface Hub nutzen

s macht nicht viel Sinn die Nutzung des Surface Hub per Text zu beschreiben, wenn sie keinen Zugriff auf solch ein Gerät haben. Hier kann ich ihnen aber anbieten, dass Sie uns einfach in Paderborn besuchen und wir mit ihnen zusammen das Potential des Surface Hub demonstrieren. Microsoft hat aber einige Videos bereitgestellt, die durchaus ein guter Einstieg sind

Videos über Surface Hub
https://support.microsoft.com/de-de/help/20431/surfacehub-videos

zudem gibt es einige Webseiten mit entsprechenden Beschreibungen:

Verbindung mit Raumsteuerung

Das Surface Hub hat einen seriellen Port, über den durch einfache ASCII-Kommandos eine Steuerung des Surface Hub möglich ist, z.B.

  • Ein Ausschalten
  • Steuern der Helligkeit
  • Wahl des Signaleingangs
  • Regelung der Lautstärke

Der Funktionsumfang ist damit zwar nicht gerade berauschend aber es ist ein Anfang, wie z.B. eine Raumsteuerung beim Einschalten des Lichts das Surface Hub mit einschalten kann oder eine Steuereingang auf dem Konferenztisch zwischen Eingängen umschalten kann. Die technische Umsetzung ist sehr trivial gehalten. Mit einer 115200 Baud (115200,n,8,1) und einem dreiadrigen Kabel können Sie die Funktionen über einfache ASCII-Befehle steuern. Microsoft hat auch diese Schnittstelle offen gelegt:

Wenn ich nun dran denke, wie einfach z.B. über einen ESP8266 oder anderen "Seriell-Adapter" die Schnittstelle auch über LAN angesteuert werden kann, dann sollte es sehr einfach für Dritthersteller sein, hier passende Zusatzprodukte oder Verbindungen mit der Raumsteuerung anzubieten.

Weitere Links

Jumpstart deployment of Microsoft Surface Hub in your enterprise 
https://www.youtube.com/watch?v=ePosnJZLPiw
https://channel9.msdn.com/Events/Ignite/2016/BRK3156

https://mva.microsoft.com/en-us/training-courses/microsoft-surface-hub-for-it-pros-16386?l=u9ZxEVAUC_2406573942