LDAPS 636 работает на контроллерах домена, кроме контроллера домена Azure

У меня есть контроллер домена (Server 2016) в Azure. Сеть Azure, в которой находится эта система, подключена через шлюз виртуальной сети (VPN) к локальной сети, и сетевые инженеры настроили эту сеть как доверенную и, таким образом, находится внутри брандмауэра. У нас есть инфраструктура PKI с корневым и подчиненным ЦС в локальной сети, а LDAPS работает с любым контроллером домена в локальной сети.

Что касается системы Azure: она присоединена к домену и средству просмотра событий, и все это выглядит хорошо. Он находится на собственном сайте AD в Сайтах и ​​Сервисах. Все выглядит хорошо, я могу пинговать машину из своей локальной сети, и все порты, связанные с LDAP, открываются через запросы портов. В журнале событий ошибок тоже нет.

На компьютере с Windows 10 в сети, отличной от Azure (в Default-First-Site), я могу подключить LDAP 636 к любому локальному контроллеру домена на этом сайте, но не могу, я не могу подключить LDAP 636 к этому контроллеру домена Azure. Я использую LDP.exe и получите ошибку:

ld = ldap_open("azure.fqdn.com", 636); Error <0x51>: Fail to connect to azure.fqdn.com.

Я могу LDAP 389 к этой машине. Я могу подключиться к этой машине по телнету 636. Похоже, что с сертификатами что-то не так. Я просто не знаю, что именно.

В хранилище сертификатов находится сертификат с SAN FQDN для этого компьютера с расширенным использованием ключа

Client Authentication (1.3.6.1.5.5.7.3.2), Server Authentication (1.3.6.1.5.5.7.3.1)

У кого-нибудь есть идеи?