Bonjour à tous !
 
J'aurais besoin de quelques avis d'experts sur la mise en place d'une architecture réseau.
Je vais mettre en place un serveur Exchange dans la société dans laquelle je travaille.
Le but est de permettre la gestion de la messagerie, calendriers... sur site ET lors des déplacements.
 
Alors j'ai compris qu'il ne faut pas ouvrir les ports sur le serveur Exchange pour des raisons de sécurité. L'accès distant au serveur se fera donc via VPN.
OK, mais pour les BlackBerry ? Comment ça se passe ?
Il y a bien l'outils BPS, mais comment mon BB y accèderat-il si les ports sont fermés ? Faut-il ouvrir les ports spécifiques ? Créer une connexion VPN entre le BB et exchange (c'est possible?) ?
Et comment ça se passe si je veux configurer mon iPhone ou Windows Phone ? Est-ce que je suis obligé de passer par une architecture "Frontale/Dorsale" ? Ou bien est-ce que je peux configurer des accès VPN sur ces terminaux ?
 
Je suis un peu dans le flou... Pouvez-vous m'aiguiller ?
 
Merci d'avance.

Blackberry, il me semble, ça communique via le réseau téléphonique, qui amène les données aux serveurs RIM, qui communiquent avec ton serveur Blackberry chez toi. Donc pas de connexion directe entre le BB et Exchange.
 
Pour ce qui est des smartphones en activesync, il faut publier Exchange ActiveSync. Pour ça plusieurs solutions qui impliquent toutes un serveur d'accès en DMZ ou un reverse proxy qui publie le site local Exchange ActiveSync (ISA Server par exemple)
Sur les nouveaux IOS Iphone il est possible toutefois de faire du VPN, mais Cisco uniquement je crois.

il y a une connexion directe au serveur Exchange de la part du BES  
 
si tu est moins de 75 dans ta boite, il existe BES Express qui reprend presque toutes les fonctionnalité de BES normale (Policy group en nombre réduit )
 
dans le cas d'un BES, tu as juste a mettre le BES Router dans ta DMZ  
 

sinon c'est exchange 2010 + un reverse proxy en dmz qui publie les ressources exchange (squid par exemple) et tu fais du rpcohttp pour les clients externes et tu publies l'active sync pour les portables winmo/iphone

Merci pour vos retours.
 
Il y a moins de 75 utilisateurs. J'ai un PC récent sous Windows 7 Pro en rab. Est-ce que je peux envisager d'installer BES Express sur ce PC en DMZ ?
 
Une autre question. Si je ne veux rendre accessible sur les BB que les emails (sans l'agenda, les carnets...), est-ce qu'il faut mettre en place la même configuration ?

Que les emails sur des blackberry il te suffit d'un serveur BES en DMZ.
Si c'est pas des blackberry il faudra publier exchange via reverse proxy, ou leur configurer des vpn s'ils en sont capables.

Je penses que pour le BB, on va se contenter d'une redirection d'emails ;-)
 
Merci.

Bonjour à tous,
 
Comme vous êtes de bons conseils, je reviens à l'assaut.
 
J'ai toujours ce problème de BB. La redirection d'emails n'est pas satisfaisante.
J'ai un parefeu Watchguard XTM23 et un serveur SBS 2010. Rien dans la DMZ, tous les accès distants se feront par VPN.
 
Alors il me reste 2 solutions :  

• Installer BES sur le serveur SBS (XEON E5504 2GHz et 8Go de RAM, vous pensez que ça le fait ?), et configurer le VPN sur le BB. Là ça devrait marcher non?
• Activer IMAP sur le serveur SBS, et configurer le VPN sur le BB. C'est possible ça ?

Pour le VPN, j'ai le choix entre le protocole PPTP, SSL, IPSEC. Il s'agit d'un BB Curve 8520. Le PPTP est-il suffisamment sécurisé ? J'ai cru comprendre que l'authentification n'est pas cryptée mais que le transport des données oui. C'est bien ça ?
 
Merci d'avance pour votre aide.

Si tu mets en place un serveur BES, tu ne peux pas t'y connecter en direct. Il faut que le serveur BES soit sur Internet, et communique avec les serveurs de RIM. Ton BlackBerry communiquera toujours avec les serveurs de RIM, jamais avec ton BES. Il te faut donc forcément un serveur en DMZ pour BES, tu ne peux pas le mettre sur ton SBS.
 

le Bes ne s'installe jamais en DMZ  
 
seul le composant blackberry routeur peut etre mis en DMZ et la procédure est complexe  
 
ensuite le BES Express peut s'installer sur ton SBS  

Ah oui c'est vrai, je me souviens maintenant... Par contre, ça ne change rien à son problème : pas de connexion directe du BB vers BES par le VPN (faut aimer les acronymes )

Ok donc si j'ai bien compris si je prends l'option BES, il faut obligatoirement que BES ait un accès à Internet. Donc ouverture de ports (=faille de sécurité) ou installation de BB Routeur (complexe et couteux).
 
Donc si on revient au protocole IMAP. Je l'ai activé sur mon SBS et je l'ai testé avec mon iPhone (connexion Wifi au réseau local).
Avec cette option, est-ce que je peux configurer directement le compte IMAP sur le BB ?
Est-ce que je peux rediriger les ports ou bien est-ce que ça ouvre une faille de sécurité ?
Est-ce que je peux connecter le BB en VPN pour me connecter au compte IMAP ?

concernant l'ouverture de port, tu peut faire en sorte de mettre le composant necessaire a la connexion avec RIM dans ta DMZ et n'autorisé que les connexions provenant de RIM  
ca diminue ennormément les risques de sécurité  
 
 
 
avec ta solution imap tu sera obligé d'ouvrir un port sur ton serveur sbs en direct donc encore moins sécurisé  qu'avant  

Donc 2 solutions :

• Installation BES + ouverture des ports uniquement des serveurs RIM (comment identifier un serveur RIM?)
• Connexion IMAP + VPN (donc pas besoin d'ouvrir les ports ?)

C'est ça ?

je ne vois vraiment pas le probleme d'ouvrir le port 443 vers le server exchange...

Ok mais si j'ouvre le port 443, il va falloir aussi que j'ouvre le port 25 (SMTP). Forcément je ne vais pas dire quel 'on peut consulter ces emails mais qu'on ne peut pas y répondre...
 
Donc du coup ça fait 2 ports ouverts.

les adresses utilisé par RIM sont indiqué lors de l'install  
 
srp.blackberry.net ou quelque chose comme

Effectivement la liste des IPs est disponible sur le site Blackberry : http://www.blackberry.com/btsc/sea [...] Id=KB03735
 
Niveau sécurité, quels sont les risques si j'ouvre les ports pour les IPs citées ?

si tu ouvre correctement tes ports de manière a n'autoriser que les adresses de RIM, les risques sont presque insignifiant