Test: Blackberry Enterprise Server für Lotus Domino
Push-Mail für mobile Notes-Benutzer
Überall sind sie mittlerweile im Geschäftsalltag anzutreffen: die kleinen "Brombeeren" des kanadischen Herstellers Research In Motion (RIM). Blackberries werden mittlerweile als Synonym für Push-Mail verwendet. Kann die E-Mail-Erreichbarkeit zu jeder Zeit an jedem Ort auch für Unternehmen mit Lotus Notes überzeugen? Soll es ein "echter" Blackberry sein oder eher ein Blackberry-fähiges Gerät von Nokia oder eines unter der Windows-Fahne? Das LANline-Lab baute eine eigene "Blackberry Enterprise Solution" auf und suchte nach Antworten aus der Praxis.
Ein Aspekt der Blackberry Enterprise Solution – wie RIM die Gesamtlösung nennt – könnte derzeit
insbesondere Unternehmen mit Domino-Server erste Berührungsängste nehmen: Der Hersteller bietet bis
Ende Februar nächsten Jahres den aktuellen Blackberry Enterprise Server (BES) 4.1 als "Quick Start
Edition" (www.blackberry. com/products/software/server/domino/quick start.shtml) mit vollem
Funktionsumfang inklusive zehn Client-Zugangslizenzen kostenlos an. Zusätzlich zu erwerbende
Voraussetzungen sind Blackberry-fähige Endgeräte, sowie SIM-Karten mit Datenvolumentarif und
zusätzlich freigeschaltetem Blackberry-Service. T-Mobile und Vodafone bieten eine
Blackberry-Tarifoption für in Eigenregie betriebene Blackberry Enterprise Server ausschließlich für
Geschäftskunden an. Ein reiner Datentarif reicht zum Betrieb nicht, da dieser nicht die Anmeldung
am speziell erforderlichen Blackberry-APN (Access Point Name) für den GPRS- beziehungsweise
UMTS-Netzzugang des Carriers erlaubt.
"Beerige" Handsets
Zum Test standen uns die beiden aktuellen Blackberry-Modelle 8707v und 7130g von RIM, das Nokia
E61 mit Symbian OS Serie 60 sowie mit dem T-Mobile MDA Pro (Qtek 9000) das reichlich ausgestattete
PDA-Schwergewicht unter Windows Mobile 5.0 Phone Edition zur Verfügung. Der MDA Pro wird nicht mehr
von T-Mobile angeboten und diente uns primär zur Beurteilung der PocketPC-Welt im
Blackberry-Zusammenspiel. Während das Blackberry 8707v, das Nokia E61 und der MDA Pro mit
vollständiger Qwertz-Tastatur und GPRS/UMTS-Unterstützung aufwarten, präsentiert sich das
Blackberry 7130g im schlanken "Candy-Bar"-Design, mit reduzierter so genannter Suretype-Tastatur
und beschränkt sich auf GPRS. Mehr als für die technischen Daten und Funktionsumfänge unserer
Handset-Testrunde interessierten wir uns allerdings für deren Möglichkeiten als
Blackberry-Endgeräte im Zusammenspiel mit Lotus Domino. Während Geräte von RIM die
Blackberry-Fähigkeit von Haus aus mitbringen, benötigen Nokia E61 und MDA Pro spezifisch auf das
Modell abgestimmte "Blackberry-Connect"-Software von RIM (aktuelle Version 2.1).
System- und Sicherheitsarchitektur
Der Blackberry Enterprise Server besteht aus verschiedenen Windows-Diensten und einer
Konfigurationsdatenbank, die sich entweder auf dem mitgelieferten MSDE (Microsoft SQL Server 2000
Desktop Engine), auf einem separaten Microsoft SQL-Server oder auf IBMs DB2 verwalten lässt. Am
Domino-Server überwacht ein "BES Mail Agent Task" die Domino-Seite auf neu eingetroffene E-Mails,
die es an die Endgeräte weiterzuleiten gilt. Verschiedene Domino-Datenbanken unterstützen den
Datenabgleich. Für unsere Testumgebung wählten wir das einfachste Konfigurationsszenario, in dem
alle BES-Komponenten inklusive MSDE zusammen mit Domino 7.02 auf einem Serverrechner betrieben
werden. Größere Installationen können die Betriebslast auf mehrere Server verteilen.
Für die Kommunikation mit den Endgeräten sorgt der so genannte Blackberry-Router-Dienst. Er
unterhält eine ständige TCP-Verbindung via Port 3101 zu dem von RIM betriebenen Network Operating
Center (NOC), das für das Nachrichten-Routing über die jeweiligen Mobilfunk-Carrier an die
Blackberry-Endgeräte zuständig ist. Da die TCP-Verbindung ausschließlich vom Blackberry-Router in
Richtung NOC aufgebaut wird, fällt eine angemessene Firewall-Absicherung des BES nicht schwer.
Über die TCP-Verbindung fließt das proprietäre RIM-Protokoll SRP (Server Routing Protocol).
Mittels eindeutiger SRP-ID und SRP-Authentifizierungsschlüssel, die RIM für jede Installation
individuell vergibt, authentifiziert sich jeder BES beim jeweils zuständigen der drei weltweit
verteilten NOCs. Für Deutschland lautet der zuständige Server "srp.de.blackberry.net" mit Standort
in Großbritannien. Jedes Blackberry-Endgerät verfügt wiederum über eine eindeutige PIN (Personal
Identification Number), die im BES mit genau einem Benutzer assoziiert ist. Für die Kommunikation
der Endgeräte mit der Blackberry-Infrastruktur ist der Weg über einen RIM-spezifischen APN im
Carrier-Netzwerk zwingend erforderlich. Daher müssen SIM-Karten für die Blackberry-Nutzung
entsprechend freigeschaltet werden.
Die Enterprise Solution verwendet auf dem gesamten Weg von Endgerät bis zum BES
(Blackberry-Router) eine VPN-ähnliche Datenverschlüsselung des Payloads. Die beiden Blackberries,
im Test mit aktuellem Device-OS 4.1, beherrschen zur Payload-Verschlüsselung das moderne Verfahren
AES. Connect-Clients wie das Nokia E61 und der MDA Pro müssen sich dagegen bislang (Version 2.1)
grundsätzlich mit dem älteren, weniger starken Verfahren 3DES begnügen. Zwischenstationen wie die
NOCs können die Payload-Verschlüsselung nach Aussage von RIM nicht aufbrechen. Jedes
Blackberry-Gerät besitzt für die Absicherung des Nachrichtenversands und -empfangs einen
eindeutigen Hauptcodierungsschlüssel. Dieser wird jeweils für einen spezifischen Benutzer bei der
Erstinbetriebnahme seines Geräts oder bei Anzeichen einer Sicherheitskompromittierung neu
generiert. Verliert beispielsweise ein Benutzer sein Gerät, kann der Administrator via "
Blackberry-Manager"-Konsole an das spezifische Gerät den Befehl "Erase Data and Disable Handheld"
senden, um eine unbefugte Nutzung zu verhindern. Der Anwender erhält ein anderes Gerät, für das ein
neuer Hauptcodierungsschlüssel generiert wird. Somit ist wirksam ausgeschlossen, dass das alte
Gerät weiterhin Nachrichten verarbeiten kann.
Datensynchronisation
Damit sich die Endgeräte mit dem Domino-Server austauschen können, müssen vorab die jeweilige
PIN mit dem entsprechenden Notes-Benutzer assoziiert und der Hauptcodierungsschlüssel generiert
werden. Im Fall der Connect-Clients ist dazu zunächst ein Andocken an einen PC mit Notes-Client und
"Blackberry-Desktop-Manager"-Software notwendig. Die echten Blackberries hingegen erledigen auch
diese Aufgabe völlig ungebunden und mit wenig Administrationsaufwand: Die Eingabe der
E-Mail-Adresse und eines vom Administrator definierten Passworts in das Gerät reicht aus, um den
Initialisierungsprozess einzuleiten.
Prinzipiell ist die Blackberry-Synchronisation mit den persönlichen Notes-Daten auf den
kostenpflichtigen Funkweg via GPRS oder UMTS beschränkt. RIM bietet für den amerikanischen Markt
zwar auch ein reines Wi-Fi-Gerät (7270) an, für den hiesigen Markt existieren bislang aber nur
Gerüchte zu künftigen WLAN-fähigen Blackberries der Serie "8800", die innerhalb des Unternehmens
auch eine günstige WLAN-basierende Synchronisation erlauben sollen. Derzeit können zumindest
aktuelle Blackberry-Geräte – via USB mit einem PC verbunden – auch über den Desktop-Manager
beziehungsweise Device-Manager eine direkte Verbindung mit dem BES (Blackberry-Router) ohne
Inanspruchnahme eines Mobilfunk-Carriers aufnehmen. Connect-Clients bleibt dieser Weg verwehrt.
Im Zusammenspiel mit Lotus Domino beherrscht BES 4.1 grundsätzlich den kabellosen Abgleich aller
wichtigen PIM-Datenbestände: E-Mail, Kalender, Aufgaben, Kontakte und Journaldokumente. Während
Blackberries das volle Sortiment unterstützen, müssen sich Connect-Clients dagegen mit aktuellen
E-Mails und Kalendereinträgen begnügen. Für Kontakte und Journaldokumente bleibt dort nur die
kabelgebundene Synchronisation über den PC, für die allerdings der jeweilige PDA-Hersteller selbst
zuständig ist.
Durch die optimierte Datenübertragung der Blackberry-Infrastruktur erscheinen Mails und
Kalenderdaten auf allen getesteten Geräten stets ohne große Verzögerung. Connect-Clients können
allerdings nicht simultan eine aktive Blackberry-Verbindung halten und zugleich Webseiten abrufen.
Dazu muss der Benutzer zunächst die bestehende Blackberry-Verbindung ab- und eine "normale"
Internetverbindug aufbauen. Die beiden Blackberries der neuen Generation (ab Device-OS 4) betrifft
diese Einschränkung hingegen nicht, da sie mittels "Blackberry Browser" die bestehende,
verschlüsselte Verbindung zum BES nutzen können, um prinzipiell auf beliebige Webseiten
zuzugreifen: Der BES gibt sich Mühe, Webinhalte für die kleinen Bildschirme aufzubereiten, bevor
sie an das Endgerät gesendet werden. "Wunder" sind hierbei allerdings nicht zu erwarten.
E-Mail-Erlebnis
E-Mail-Anhänge in den Formaten Word, Excel, Powerpoint, PDF und JPEG bringt der "Attachment"
-Dienst des BES auf kleingeräteverträgliches Format. Die Dateien werden dabei nicht unmittelbar an
das Endgerät übermittelt, sondern stehen zum gezielten, bandbreitenschonenden Abruf bereit. Dazu
gehört, dass sich nicht nur ganze Dateien, sondern beispielsweise auch einzelne Kapitel eines
Word-Dokuments oder einzelne Folien einer Powerpoint-Präsentation abrufen lassen. Ebenso kann der
Anwender eingebettete Grafiken in Word-Dokumenten auswählen und in bildschirmfüllendem Format
visualisieren. Von PDF-Dokumenten bleibt grundsätzlich nur wild umbrochener Text übrig, sodass sich
der Benutzer in vielen Fällen den weiteren Abruf sparen kann. Blackberry-Connect-Clients auf dem
aktuellen Versionsstand 2.1 wie das Nokia E61 müssen sogar gänzlich auf grafische Darstellungen
beim Abruf von E-Mail-Anhängen verzichten. Nicht einmal JPEG-Bilder werden abgerufen ("unbekanntes
Dokumentformat").
Die Geräte in unserer Testrunde beherrschen den Versand von E-Mail-Anhängen bislang nicht.
E-Mails mit Dateianhang lassen sich zumindest mit den Originalanhängen intakt weiterleiten. Leider
ist es aber nicht möglich, auf dem Blackberry-Endgerät gezielt einzelne von mehreren Dateien
weiterzuleiten.
Mit Version 4.1 des BES wird auch die Notes-API 7.0 unterstützt, um Nachrichten auf
Blackberry-Endgeräten zu lesen, die mittels Notes und S/MIME verschlüsselt wurden. Dazu muss jeder
Benutzer zunächst über den Desktop-Manager seine Notes-ID importieren. Leider ist entschlüsselten
E-Mails auf dem Blackberry nicht anzusehen, dass sie zuvor verschlüsselt waren. Auch das Senden
verschlüsselter E-Mails vom Blackberry in die Domino-Infrastruktur ist nicht möglich.
Die Blackberries beherrschen die Anzeige aller Kalendertypen von Lotus Notes. Auch
Besonderheiten wie Termine über die Mitternachtsgrenze oder wiederholende Einträge verarbeiten sie
klaglos. Besprechungseinladungen, die per E-Mail eintreffen, kann der Benutzer wie gewohnt annehmen
oder ablehnen. Besprechungen lassen sich zudem direkt vom Blackberry aus planen. Dies erfolgt über
den direkten Zugriff auf das Domino-Verzeichnis, um einzuladende Personen auszuwählen. Das
Verzeichnis steht zudem bei der E-Mail-Adressierung zur Verfügung.
Fazit
Die unmittelbare Erreichbarkeit von Notes-Benutzern erweitert sich mit der Blackberry Enterprise
Solution wirkungsvoll auf den gesamten per GPRS beziehungsweise UMTS abgedeckten Raum.
Terminabsprachen vor Ort beispielsweise sind unmittelbar "unternehmensverfügbar". Das schöne
Szenario funktioniert mit den beiden getesteten Blackberry-Geräten grundsätzlich prächtig. Dabei
überzeugt vor allem die durchdachte Benutzerführung, die meist nur des rechten Daumens bedarf.
Administratoren werden die zentrale und weit reichende Verwaltung der Geräte zu schätzen wissen.
Über eine zusätzliche VPN-Absicherung der Mobilgeräteeinbindung in die interne IT-Infrastruktur
müssen sie sich keine Gedanken machen.
Anders sieht das Bild allerdings jenseits der hauseigenen Endgeräte von RIM aus. Benutzer von
Nokia, MDA und Co, denen derzeit nur Blackberry Connect 2.1 zur Verfügung steht, müssen sich mit
vielfältigen Einschränkungen abfinden, deren Bedeutung vom jeweiligen Anforderungsprofil abhängt.
Mit fehlender Unterstützung für den Versand von E-Mail-Anhängen kann sich jedenfalls kaum ein "
Multimedia-PDA" als "Blackberry-Killer" etablieren. Auf der administrativen Seite sorgen
Connect-Clients ebenfalls für Verdruss: Der Anmeldeprozess über den Desktop-Manager ist
umständlich, die anwendbaren IT-Sicherheitsrichtlinien sind stark limitiert, und
Konfigurationsdaten werden nicht – wie bei den Blackberry-Geräten – zentral auf dem BES
protokolliert.
Das größte Manko der Gesamtlösung dürfte heute jedoch noch sein, dass sich als
Synchronisationsmedium lediglich Mobilfunknetze und keine WLANs im Unternehmen nutzen lassen. Der
BES 4.1 ist in der Vollversion beispielsweise bei Vodafone zum Preis von 3986 Euro (einschließlich
20 Teilnehmerlizenzen) erhältlich.
Lesen Sie mehr zum Thema
