Temos uma rede wi-fi convidada que está em uma zona semelhante a DMZ no firewall. Nossos servidores Exchange 2010 estão na zona "interna" do firewall, com 1-1 NAT para endereços IP públicos na zona "externa".
A Descoberta Automática e o Activesync funcionam bem em todas as situações de "externo" (observe que isso significa que o analisador de Conectividade Remota da Microsoft passa em todos os testes).
Ir da zona wi-fi convidada para a zona interna, onde os servidores Exchange estão, envolve "pinning" ou "inversão de marcha" na interface externa do firewall porque os clientes wi-fi convidados usam DNS público para descoberta automática e sincronização ativa (não queremos que os convidados possam ver nosso DNS interno, é claro). O fabricante do firewall (Palo Alto) tem um guia de configuração para configurações de inversão de marcha que eu segui e que funciona, exceto com uma peculiaridade:
Um dispositivo iOS no Wi-Fi convidado pode se conectar ao Exchange para Descoberta Automática e Activesync usando o aplicativo Microsoft Outlook para iOS, mas não pode usar Descoberta Automática ou Activesync usando o aplicativo iOS Mail integrado.
Não consigo entender por que esses dois se comportariam ou funcionariam de maneira diferente. Até agora, suspeitei que a Apple está tentando usar portas diferentes ou algo para sincronizar, embora minha expectativa seja apenas HTTPS 443 e (possivelmente) HTTP 80 seja necessário. Atualmente, as portas que tenho abertas para os servidores Exchange da zona wifi convidada são 80, 443 e 143 (para IMAP como uma facada no escuro).
Qual é a diferença entre o Outlook para iOS e o iOS Mail em termos de Activesync?
Editar - mais informações
Eu fiz algumas coisas para tentar chegar ao fundo disso. Primeiro, abri todas as portas entre a zona wifi convidada e os servidores Exchange e nada mudou. Isso me faz pensar que, de alguma forma, a configuração de inversão de marcha pode não estar funcionando, mas de alguma forma o aplicativo Outlook para iOS está funcionando em torno disso.
Em segundo lugar, filtrei os logs do firewall para conexões da zona wi-fi convidada para os servidores Exchange e não há nada registrado, mesmo quando o aplicativo Outlook para iOS está recuperando emails.
Portanto, minha teoria atual é que a Microsoft incorporou alguma resiliência em seu aplicativo Outlook para iOS, permitindo que ele usasse um tipo de serviço de proxy Activesync para ajudá-lo a alcançar os servidores de destino em todas as situações, ou algo parecido.
O aplicativo Outlook não se conecta diretamente ao Exchange - essa é a diferença.
Todo o tráfego para o aplicativo Outlook vai para servidores sob controle da Microsoft (eles estavam no Amazon AWS, acho que agora foram trazidos para o Azure). O servidor Microsoft então faz a conexão com seu servidor Exchange.
O aplicativo Microsoft Outlook para iOS e Android é baseado em outro aplicativo chamado Accomli, que a Microsoft comprou em 2014. Aqui está uma postagem de blog antiga sobre as preocupações com ele (a única coisa que mudou foram os data centers usados):
https://blog.winkelmeyer.com/2015/01/warning-microsofts-outlook-app-for-ios-breaks-your-company-security/
Você precisa revisar sua configuração de firewall novamente - para que o tráfego para seus servidores internos saia da maneira correta.