7.33. Options de déploiement Gateway IDERI note¶
Figure 7.113 montre un schéma simplifié d’un environnement classique IDERI note au sein d’un Active Directory® un peu comme dans une multitude d’environnements de production : le domaine fictif Active Directory® ideri.local comprend l’ordinateur serveur Windows dc01.ideri.local, agissant en tant que contrôleur de domaine, l’ordinateur serveur Windows inotesrv.ideri.local, où le serveur IDERI note est installé et remet les messages à une installations client IDERI note sur les postes de travail du domaine (client01.ideri.local, client02.ideri.local, ...). Le périmètre de réseau sécurisé du réseau de domaine est séparé d’Internet par un pare-feu. Sur la base de cette infrastructure, le texte suivant dans ce paragraphe présentera différentes options de déploiement Gateway IDERI note avec complexité et propriétés différentes.
7.33.1. Accès à Gateway IDERI note du réseau d’entreprise/Wifi exclusivement¶
L’extension la plus simple au classique de l’environnement IDERI note de la figure 7.113 est composé de Gateway IDERI note en cours d’installation sur un serveur membre Active Directory® comme illustré dans la figure 7.114. Les appareils mobiles n’ont généralement qu’une interface Wifi installée pour se connecter à un réseau local d’entreprise. Grâce à cette interface Wifi, les appareils mobiles peuvent se connecter à Gateway IDERI note et recevoir des messages.
Cette méthode de déploiement est la plus simple et aussi la variante la plus sécurisée, mais son inconvénient est sa limitation de l’accessibilité du réseau aux points d’accès Wifi de l’entreprise. Cependant, pour de nombreux cas d’utilisation, cela peut être entièrement suffisant.
Une variante de cette méthode de déploiement utilise un client VPN installé en plus sur les appareils mobiles, connectant l’appareil mobile au LAN de l’entreprise. L’utilisation de cette variante permet d’étendre l’applicabilité aux appareils mobiles connectés à Internet uniquement, en utilisant le tunnel VPN sur la connexion Wifi de l’appareil ou sa connexion de données mobiles.
7.33.2. Accès à Gateway IDERI note à partir d’Internet¶
Figure 7.115 montre la deuxième variante de déploiement avec des clients mobiles qui se connectent en plus via Internet au Gateway IDERI note. En utilisant cette variante, le Gateway IDERI note est accessible à partir de clients connectés à Internet, mais pas simplement en redirigeant un port depuis un routeur de pare-feu d’entreprise vers une interface réseau de l’ordinateur exécutant Gateway IDERI note. Pour un serveur joint à un domaine exposant des services à Internet, les mesures de sécurité suivantes doivent être prises, conformément aux meilleures pratiques de Microsoft:
- Le serveur doit être situé dans une zone démilitarisée.
- Le serveur ne doit pas avoir de connexion en écriture au contrôleur de domaine, il doit uniquement se connecter à un contrôleur de domaine en lecture seule (RODC).