bonjour,
 
Ma boite possède aujourd'hui un petit parc de blackberry (11) avec son serveur BES.
Vu le prix des licences et les problèmes de sécu que l'on connait avec les terminaux blackberry, je souhaiterai mettre en place une solution moins chère et plus secure.  
Après avoir glané quelques infos sur le net , j'ai vu que microsoft proposait un service quasi équivalent sous le nom de  Direct Push Activesync avec exchange 2003 sp2 (ça tombe super bien j'en ai un sous la main )
 
j'aurai voulu savoir si quelqu'un ici l'avait experimenté , avec succès ou pas ?  
D'autre part, j'ai vu quelquepart qu'OWA faisait partie des prerequis à la solution , quelqu'un pour me le confirmer ?
 
merci

C'est tout bete une fois que tu as le SP2 d'installé. NAT/routage sur le port 443 avec un beau certificat vers le serveur exchange ou idealement le frontal exchange qui herberge la vdir owa (histoire d'etre bien secure).  
 
Pour info si la solution coté serveur marche bien , coté client c'est parfois un peu la roulette russe.... il est conseillé de faire des tests avant et d'avoir une flotte de mobile phones bien homogenes, sinon risque de comportements erratiques.
c'est sur, le blackberry c'est cher mais ca marche (pour les problemes de secu c'est autre chose , va savoir RIM est peut etre une division de la CIA )

merci pour ta réponse
 

• A priori, je vais mettre en place OWA avec un serveur apache faisant office de reverse proxy et  un beau certificat.  

Idéalement j'aimerai intégrer Direct Push Activesync avec cet existant. Alors possible ou pas ?  
 

• quand tu parle de flotte de mobile homogène, tu parles de modéles de téléphone ou d'OS mobile ?

Oui possible, par contre pas de RPCoHTTP avec apache maintenant.

Dans ma boite, on a des blackberrys et des Windows Mobile avec Direct Push (j'en ai un moi-meme).
Niveau email, ils sont tres semblables du point de vue utilisateurs.
 
Apres, il y a de legeres differences: le BB est facile a comprendre mais comprend relativement peu d'options (et puis pour les pieces jointes, c'est pas trop la joie). Le Direct Push est plus instinctif (c'est assez similaire a ce qu'ils ont sur leurs portables) et il y a plus d'options.  Neanmoins, les choix de telephone qu'on a fait n'ont pas ete tres judicieux et les utilisateurs s'en plaignent beaucoup.
 
Niveaux couts, il faut faire attention au contrat pour Direct Push. Il est assez demandeur en paquets.

merci pour les infos  
 
Orange (pour ne pas le nommer) nous propose des contrats à 15 Mo/mois. Est-ce suffisant pour de la consultation/envoi de mail  et gestion de calendrier pour un utilisateur lambda ?
 
Quels téléphones ont été retenus dans ta boite ? et pourquoi ça n'a pas été satisfaisant ?
 

15MO perso ca peut etre tout a fait bien comme tout a fait insuffisant ca depend l'usage qui en est fait. Je sais que certains de nos utilisateurs utilisent peu outlook et consultent des pdf bien costaux par exemple , le forfait est dans ce cas vite bouffé. Il faut negocier une flotte et une consommation globale pour la flotte.
 
Pour les téléphones je peux pas te dire aujourd'ui vu qu'on est passé full bberry suite aux différentes galeres rencontrées.

Pour les telephones, on utilise des htc z.
Ils sont lourds et assez peu pratiques: peu d'options rapidement accessibles, peu de batterie, et le clavier coulissant qui n'est pas tres apprecie.
 
Pour les contrats en France, par contre, je n'y connais rien. Dsl

La batterie c'est un gros probleme de tous les téléphones 3G, pour le directpush faut être connecté en permanence et ça bouffe la batterie a un vitesse folle. Si y'a pas besoin de 3G pour autre chose faut préférer les téléphones juste en edge (certains téléphones 3G permettent aussi de limiter la connexion a l'edge), ce qui augemente presque la batterie x2 et niveau débit est laregement suffisant pour du mail, sauf a vouloir télécharger regulierement des grosse PJ.
Chez nous on a différents modeles de HTC, de Treo, de Samsung, etc, et si on a des problemes c'est vraiment pas sur le mécanisme de synchro en lui même, mais des bugs ou problemes de fiabilité des appareils, genre le HTC Touch Dual qui plante 9/10 s'il se met en veille avec la connexion data activé, un taux de panne de l'ecran supérieur a 100% et des tonnes de bugs sur les Orange M3100 (du TyTn 1 rebrandé), etc.

merci pour toutes ces infos.    
 
On va expérimenter quelques modèles de chez HTC en edge et voir comment ils se comportent

plop    
 
je suis en train de mettre en place la solution et je me heurte à quelques petits soucis
 
en résumé, activesync fonctionne, exchange/IIS ont l'air correctement configurés, et j'arrive sans problème à récupérer mails/agenda/contacts via mon HTC  en communiquant directement avec le serveur exchange avec une connexion ssl et un certificat généré avec selfcert.exe de MS..
Histoire de sécuriser tout ça j'ai monté une debian avec apache2 en DMZ pour configurer le reverse proxy et c'est là que ça coince.
 
En suivant plusieurs tutos, je pense avoir configuré correctement mes Vhosts et le fichier apache2.conf.
Par contre je n'arrive pas à comprendre comment  intégrer un certificat propre à apache et comment le mécanisme ssl fonctionne entre apache et IIS/exchange.
Si quelqu'un pouvait m'éclairer là-dessus
 
merci

Apache en reverse proxy bridge la connexion SSL entre d'un côté apache et internet et de l'autre côté apache et IIS.
 
Tu génère un certificat avec le nom externe de ton site et tu le met sur apache et sur IIS soit tu passes en http, soit tu gardes le https.
Pour que apache aille sur le IIS, soit il y va en mettant l'IP directement du serveur, soit il y va via son nom (donc penser à configurer soit le /etc/hosts soit en interrogeant le dns).
 
Moi je le fais via squid mais sur apache se doit être pareil. Squid permet par contre de faire du RPCoHTTPS

 
merci de ta réponse
 
Je souhaite conserver l'accès à IIS en https donc si j'ai bien compris je dois générer un certiicat sur apache (openssl fait l'affaire ? y a un format à respecter ? (pem, cer ????) et je fais fonctionner IIS avec son propre certificat ? et est -ce que les 2 doivent porter le même nom ???
 

Le certificat d'apache doit porter le nom correspondant à comment les clients vont aller l'attaquer.
 
Le certificat de IIS doit correspondre au nom auquel Apache va l'attaquer.
 
Donc si tu as webmail.mondomaine.com pour les clients, il faut que le certif soit avec ce CN.
Si apache attaque IIS en passant par https://192.168.1.1 dans la directive ProxyPass il faut que le certificat ait comme CN l'ip. si tu utilises un nom, fo que se soit ce nom. Sinon tu dis à Apache de se foutre du certificat utilisé par IIS (je ne sais plus si c'est ce qu'il fait par défaut).
 
Ton certificat sur apache, tu le génère comme tu veux. Perso j'ai ma CA Win 2003, j'ai fais ma requette avec openssl et je l'ai envoyé sur ma CA pour qu'elle signe le bordel.
Le format j'ai plus en tête mais de toute façon ça se transforme dans tous les sens.

plop

j'ai réussi à faire fonctionner les certificats , et j'attaque mon webmail via le reverse proxy par un navigateur quelconque, même sous windows mobile

le problème est que mon terminal mobile n'accepte pas le certificat (qui est auto signé).
je l'ai récupéré depuis un navigateur puis copié et installé sur mon WM6 dans les certificats racines, mais rien à faire , j'ai une belle erreur 0x80072F0D quand activesync veut synchroniser mon courrier

mon terminal est un TCtouch dual

merci

edit : oui le CN correspond bien au nom de domaine qui supporte owa

Quand tu vas avec pocket IE tu as une erreur qd tu vas sur OMA ?

 
 
si accéder à OMA avec pocket IE correspond à me connecter à l'url de OWA sur mon terminal oui ça fonctionne (avec une message de sécurité avant l'authentification qui dit " le certificat a été émis par une société à laquelle vous n'avez pas choisi de faire confiance" )
 
par ailleurs, j'ai eu des soucis de config de IIS résolus gràce à cette KB

Plutot que le certificat du serveur OWA faut que mette celui du CA autosigné qui a généré ton certificat de serveur dans les CA approuvés de l'appareil.

 
ok, si j'ai tout pigé, je suis censé le récupérer dans le composant certificats d'une mmc dans le dossier "autorités de certification racines de confiances/certificats", au format cer  (codé à base 64X.509) ?
j'ai bon ?  

Non dans "autorités de certification racines de confiances/certificats" tu vas normalement trouver que le certificats des CA public de confiance reconnu par ta machine. T'as quoi comme CA local ?

 
 
mon CA local c'est webmail.fqdn.com

Je te parle du soft qui te sert d'autorité de certification, c'est quoi, celui de 2003 ? Ou c'est vraiment de l'autosigné/autogénéré ?

Je pense que c'est du vrai autosigné son truc puisqu'il a utilisé selfcert

 
 
en fait j'ai oublié de le préciser mais vu que ça ne fonctionne pas j'ai laissé tombé le certificat généré par selfcert et j'ai suivi ce tuto pour en générer un nouveau avec 2003

OK, donc sur la machine ou tu as installé le CA dans les certifs locaux de la machine tu dois en avoir un au nom que tu as donné à ton CA (c'est pas forcement le meme que le nom de la machine) dans certificats "compte de l'ordinateur" personnels/certificats, c'est lui que tu dois exporter et ajouter dans les trusted roots sur tes téléphones.

 
 
ok j'ai suivi tout ça mais lorsque j'importe le certificat il vient se placer dans les certificats intermédiaires....j'y comprends plus rien  

Nous avons "deploye" une solution compatible direct push libre (z-push). Vu le peu d'utilisateurs que nous avons (~15), cela fonctionne correctement. Nous ne somme interessés que par les mail et une fois "corrigé", z-push fonctionne tres bien (il recupere les mails par IMAP).
 
Les avantages: Solution rapide et tres peu couteuse pour les personnes ayant deja un serveur IMAP, compatibilite native avec les terminaux direct push (WM5, WM6, iPhone etc.)
 
L'inconvenient : pas de mails en html (entrant/sortant) pour le moment... (on a tout de meme acces aux pieces jointes). Problemes avec certains terminaux...
 
Bref, c'est une solution que je conseille pour les petites entreprises si vos utilisateurs ne dependent pas trop du système (une fois regle, nous n'avons pas eut de problemes jusqu'ici mais c'est une solution tres jeune qui n'est pas totalement debugée).
 
Les mobiles que nous avons sont soit sous WM6, soit iPhone

je profite de ce déterrage pour confirmer que ça fonctionne bien aussi avec un apache en reverse proxy , une fois réglé le pbm de certificat.... le seul truc c'est la consommation de batterie de certains terminaux (HTC par ex.) avec le push mail....problème "résolu" avec un relevé des nouveaux messages toutes le 10 minutes, ce qui se fait très bien à l'usage

Attention ça augmente par contre sensiblement le volume de data consommé ce type de synchro. Perso je conseille plutot aux users de limiter la connexion a de l'edge plutot qu'a de la 3G pour gagner en batterie.

+1, c'est ce que j'utilise direct push en edge et je passe en 3G qd j'ai besoin d'aller sur le net

 
vu où on est situé pas de souci  le 3G n'existe pas  

bonsoir,
 
comme ce sujet parle d'OMA j'avais une petite question si quelques ames charitables avaient une réponse..
J'ai une archi avec 2 serveurs exchange 2003 (frontal et dorsal). Mon oma fonctionne pour la consultation sur mon htc e650 mais ne fonctionne pas en envoie de mail. J'avoue que je bloque et ne sais pas dans quelle direction chercher.
 
Merci pour votre aide.

les logs ?

Bonsoir,
 
pour les logs, j'en aie pas dans mon téléphone !!
 
peux-tu me dire ou regarder?
 
merci

les logs d'exchange plutôt, que se soit ceux de IIS sur le FE, ou les logs exchange sur le BE. Les queues des mails etc.

alors ne me demandé pas pourquoi mais les mails par oma remarche mais mettent un certains temps à arriver. Pour la conf en fait l'owa et l'oma sont sur le frontal. La reception se fait sur le frontal pour les mx et l'envoie est géré par le dorsal. C'est peut-être ce que tu appel FE et BE?
Sinon l'envoie via activesync ne marche pas et cela j'ai attendu un moment avant de le dire!!!!! et là je comprend pas pourquoi parceque si je regarde les elements envoyés sur mon outlook les mails de tests sont bien là.
 
Merci par avance

Tu fais du smtp ?

Bonjour,
 
Mon serveur exchange dorsal à un connecteur smtp de sortie sur le smtp de mon fai et pas par les DNS car à un moment on a été relais de spam et donc pas mal blacklisté, voila pour le smtp.
 
Au fait mon oma sur mon htc fonctionne très bien sauf que je n'arrive pas à me déloguer !! j'ai vider les historique et cookies de mon navigateur de téléphone mais rien. Je n'arrive donc pas à visualiser d'autre compte de messagerie.
Si une idée vous vient.
 
En tout cas merci pour l'aide.

Euh c'est quoi l'intéret d'utiliser OMA sur un HTC à la place de faire directement par activesync ?

tu as raison mais comme je propose les 2 certains préférent OMA et d'autre active sync en plus avec oma on peut envoyer et pas avec active sync (enfin là c'est mon problème actuel). l'autre souci c'est la cloture de la session oma.... je cherche aussi ou voir dans mon exchange ou dans mon IIS sur le frontal ou est-ce que je vois le session active de OWA et OMA?
 
Si quelqu'un a une idée
 
Merci