Déployer Mobile Information Server

dans l’univers de la
messagerie mobile). Il s’agit bien sûr
de ne pas mettre le réseau en danger.
De plus, Mobile Information Server implique
des changements de l’AD, qui
contient les propriétés et les paramètres
des comptes utilisateur du produit
serveur. Il faut comprendre les effets
de ces changements avant de
mettre le produit en service dans un
environnement de réseau. Si votre serveur
de test utilise Exchange et AD,
veillez à  utiliser le commutateur /vonebox=
1 non documenté quand vous
installez Mobile Information Server. Ce
commutateur supprime l’interdiction
d’installer le produit sur le même système
qu’Exchange et AD. Mais, comme
Microsoft ne supporte pas cette configuration,
il est plus prudent de ne pas
l’utiliser dans un environnement de
production.

La configuration des comptes utilisateur
dépend de la topologie de sécurité
choisie pour Mobile Information
Server – single domain, trusted domain
ou untrusted domain. Dans une
architecture single-domain, les utilisateurs
ont le même logon pour l’accès
mobile que pour Windows standard.
Une topologie trusted-domain permet
de créer une forêt de comptes utilisateur
mobiles uniques (m-username,
par exemple) séparée de votre domaine
logon principal ; ces comptes
ont des droits d’accès uniques et observent
un système de mots de passe
simplifié. Dans une topologie untrusted-
domain, les comptes mobiles fonctionnent
sous une autorité utilisateur
déléguée sous votre contrôle. Dans notre exemple de déploiement single-domain de base avec des serveurs dédiés pour Mobile Information Server,
Exchange, et AD, Les appareils mobiles
se connectent au réseau par l’intermédiaire
du centre informatique de votre
opérateur sur une liaison Internet standard.
Comme la connexion utilise SSL
(Secure Sockets Layer), elle est sécurisée
de bout en bout. Mobile
Information Server peut se trouver
dans la zone démilitarisée (DMZ, demilitarized
zone) de votre réseau, soit à 
l’extérieur du réseau, soit entre deux
pare-feu, selon les besoins et la topologie
souhaitée. Les serveurs d’applications
– dans ce cas Exchange – sont placés
derrière le pare-feu d’entreprise
privé.

Pour accentuer la sécurité, Mobile
Information Server comporte un filtre ISAPI (Internet Server API) à  installer
sur ISA Server 2000. Ce filtre utilise
HTTPS (HTTP Secure) au travers du
pare-feu pour authentifier les utilisateurs
vis-à -vis de leurs comptes sans fil, puis transmet les requêtes utilisateur à 
Mobile Information Server. La figure 2
présente une topologie dans laquelle
Mobile Information Server se trouve
derrière le pare-feu d’entreprise privé et ISA Server campe en bordure du réseau
d’entreprise. L’utilisation de ce
filtre avec une topologie trusted ou untrusted-
domain (par opposition à  une
topologie single-domain) protège davantage
les références de réseau d’entreprise
contre des attaques potentielles
d’un intervenant intermédiaire.

Mobile Information Server exige
des communications sûres entre le serveur
et un Pocket PC. Server
ActiveSync – le moteur de synchronisation
dans les airs qui permet à  un
Pocket PC de se synchroniser directement
à  Exchange – utilise SSL pour
crypter la liaison entre un Pocket PC et
Mobile Information Server, procurant
ainsi une connexion sécurisée de bout
en bout. Pour que Server ActiveSync
fonctionne correctement, il faut installer
un certificat X.509 valide provenant
d’une CA (Certificate Authority) trusted
sur votre serveur Web – sinon,
Mobile Information Server refusera la
connexion. Vous pouvez acheter un
certificat valide auprès d’un fournisseur
tiers comme VeriSign. Par défaut,
les appareils Pocket PC 2002 incluent
des certificats root pour plusieurs fournisseurs.
Une autre possibilité consiste
à  installer Microsoft Certificate
Services sur votre serveur Win2K et à 
émettre vos propres certificats. Dans
ce cas, vous devez utiliser l’outil
Disable SSL du CD-ROM Mobile
Information Server pour mettre à  jour le Pocket PC des utilisateurs afin qu’ils
n’aient pas besoin d’un certificat de la
part de l’un des CA trusted établis.