L'e-mail sans fil dernier cri
Assembler les éléments
Déployer Mobile Information Server
Configurer le compte utilisateur
Configurer le Pocket PC
Configurer le Pocket PC et le téléphone pour Bluetooth
Test
Au travail, à la maison et sur la route
Restez synchronisés
Liste des éléments
par Jordan Ayala - Mis en ligne le 26/02/2003
L’accès au e-mail sans fil mobile
n’a rien de nouveau. BlackBerry de
RIM (Research In Motion) le fournit
depuis plusieurs années, et des millions
de téléphones cellulaires de type
Web offrent des moyens de navigation
par WAP (Wireless Application
Protocol). Mais diverses considérations
– facilité d’utilisation, coûts, sécurité
et accès d’entreprise – empêchent
souvent les sociétés de mettre
en pratique de telles solutions.
A la place, on peut utiliser le
Microsoft Pocket PC 2002 avec
Microsoft Mobile Information Server
2002, Enterprise Edition, pour offrir
l’accès sans fil à vos systèmes Microsoft
Exchange 2000 Server. Mobile
Information Server fournit une passerelle
mobile sécurisée vers Exchange
2000, avec les services de synchronisation
associés. (Mobile Information
Server peut supporter d’autres appareils
de type WAP, mais il me semble
que Microsoft Pocket Outlook de
Pocket PC est la meilleure UI (User
Interface) pour l’accès à Exchange.)
Cette installation n’est pas difficile en
soi, mais le démarrage est un peu compliqué.
Par conséquent, cet article suppose
que vous êtes familiarisé avec
tout ceci : l’administration AD (Active
Directory), les principes de base de
Mobile Information Server, Exchange,
Microsoft ISA (Internet Security and
Acceleration) Server 2000, l’installation
et la configuration d’un pare-feu, la
configuration et l’utilisation de Pocket
PC, la préparation de Microsoft
ActiveSync, les principes de base des
communications cellulaires (approvisionnement
des appareils, configuration
des appareils, utilisation du réseau
de données, par exemple) et les
concepts de logiciel pour mobiles.
Assembler les éléments
Pour mettre en œuvre cette solution
d’accès mobile, quelques matériels et
logiciels récents sont nécessaires.
D’après mon expérience, voici les plus
performants d’entre eux :
• Appareil Pocket PC 2002
• Téléphone mobile de type Bluetooth -
et General Packet Radio Service (GPRS) – avec service de données
• Carte Bluetooth CompactFlash (CF)
• Mobile Information Server 2002,
Enterprise Edition, fonctionnant
sous Windows 2000 Server Service
Pack 2 (SP2)
• Exchange 2000 SP1 fonctionnant
sous Win2K
• ISA Server 2000 fonctionnant sous
Win2K (facultatif)
Pour plus de détails sur cet équipement,
voir l’encadré « Liste des éléments
». Après vous être procuré tous
les éléments de la solution d’accès mobile,
vous êtes prêt à déployer Mobile
Information Server, à configurer les
comptes utilisateur, à configurer le
Pocket PC, à configurer le Pocket PC et
le téléphone pour Bluetooth, et à tester
la solution. Après une session de
test réussie, vous pouvez appliquer la
solution dans votre environnement de
production afin que les utilisateurs
puissent accéder à leur e-mail depuis le
bureau, le domicile, ou en déplacement.
Déployer Mobile Information Server
Le déploiement de Mobile Information
Server n’est pas compliqué. Vous trouverez
des informations détaillées le
concernant sur le site Microsoft Web
http://www.microsoft.com/miserver.
Déployez le produit sur un serveur de test dans un environnement de laboratoire
contrôlé avant de l’appliquer
dans un environnement de production
(particulièrement si c’est votre première
incursion dans l’univers de la
messagerie mobile). Il s’agit bien sûr
de ne pas mettre le réseau en danger.
De plus, Mobile Information Server implique
des changements de l’AD, qui
contient les propriétés et les paramètres
des comptes utilisateur du produit
serveur. Il faut comprendre les effets
de ces changements avant de
mettre le produit en service dans un
environnement de réseau. Si votre serveur
de test utilise Exchange et AD,
veillez à utiliser le commutateur /vonebox=
1 non documenté quand vous
installez Mobile Information Server. Ce
commutateur supprime l’interdiction
d’installer le produit sur le même système
qu’Exchange et AD. Mais, comme
Microsoft ne supporte pas cette configuration,
il est plus prudent de ne pas
l’utiliser dans un environnement de
production.
La configuration des comptes utilisateur
dépend de la topologie de sécurité
choisie pour Mobile Information
Server – single domain, trusted domain
ou untrusted domain. Dans une
architecture single-domain, les utilisateurs
ont le même logon pour l’accès
mobile que pour Windows standard.
Une topologie trusted-domain permet
de créer une forêt de comptes utilisateur
mobiles uniques (m-username,
par exemple) séparée de votre domaine
logon principal ; ces comptes
ont des droits d’accès uniques et observent
un système de mots de passe
simplifié. Dans une topologie untrusted-
domain, les comptes mobiles fonctionnent
sous une autorité utilisateur
déléguée sous votre contrôle. Dans notre exemple de déploiement single-domain de base avec des serveurs dédiés pour Mobile Information Server,
Exchange, et AD, Les appareils mobiles
se connectent au réseau par l’intermédiaire
du centre informatique de votre
opérateur sur une liaison Internet standard.
Comme la connexion utilise SSL
(Secure Sockets Layer), elle est sécurisée
de bout en bout. Mobile
Information Server peut se trouver
dans la zone démilitarisée (DMZ, demilitarized
zone) de votre réseau, soit à
l’extérieur du réseau, soit entre deux
pare-feu, selon les besoins et la topologie
souhaitée. Les serveurs d’applications
– dans ce cas Exchange – sont placés
derrière le pare-feu d’entreprise
privé.
Pour accentuer la sécurité, Mobile
Information Server comporte un filtre ISAPI (Internet Server API) à installer
sur ISA Server 2000. Ce filtre utilise
HTTPS (HTTP Secure) au travers du
pare-feu pour authentifier les utilisateurs
vis-à-vis de leurs comptes sans fil, puis transmet les requêtes utilisateur à
Mobile Information Server. La figure 2
présente une topologie dans laquelle
Mobile Information Server se trouve
derrière le pare-feu d’entreprise privé et ISA Server campe en bordure du réseau
d’entreprise. L’utilisation de ce
filtre avec une topologie trusted ou untrusted-
domain (par opposition à une
topologie single-domain) protège davantage
les références de réseau d’entreprise
contre des attaques potentielles
d’un intervenant intermédiaire.
Mobile Information Server exige
des communications sûres entre le serveur
et un Pocket PC. Server
ActiveSync – le moteur de synchronisation
dans les airs qui permet à un
Pocket PC de se synchroniser directement
à Exchange – utilise SSL pour
crypter la liaison entre un Pocket PC et
Mobile Information Server, procurant
ainsi une connexion sécurisée de bout
en bout. Pour que Server ActiveSync
fonctionne correctement, il faut installer
un certificat X.509 valide provenant
d’une CA (Certificate Authority) trusted
sur votre serveur Web – sinon,
Mobile Information Server refusera la
connexion. Vous pouvez acheter un
certificat valide auprès d’un fournisseur
tiers comme VeriSign. Par défaut,
les appareils Pocket PC 2002 incluent
des certificats root pour plusieurs fournisseurs.
Une autre possibilité consiste
à installer Microsoft Certificate
Services sur votre serveur Win2K et à
émettre vos propres certificats. Dans
ce cas, vous devez utiliser l’outil
Disable SSL du CD-ROM Mobile
Information Server pour mettre à jour le Pocket PC des utilisateurs afin qu’ils
n’aient pas besoin d’un certificat de la
part de l’un des CA trusted établis.
1
2
3
4
5
Suite
Note : les figures, codes sources et fichiers auquels fait référence l'article sont visualisables au sein de la rubrique Club Abonnés. Une fois authentifié dans le club, il vous suffit de rechercher le dossier concerné dans l'édition de ITPro Magazine publié en du Club Abonnés !
|
Dossiers
Windows 
