Сервер шлюза удаленных рабочих столов временно недоступен после обновления сертификата SSL

Срок действия сертификата SSL для нашего веб-шлюза RDS истекает в конце июля.

У меня уже есть заменяющий SSL на следующий год.

Однако, несмотря на то, что это тот же сертификат (тот же объект без SAN), я получаю, что сервер удаленного рабочего стола временно недоступен, ошибка при внешнем подключении (внутренние пользователи в порядке).

Сертификат правильный, установлен нормально, с прикрепленным закрытым ключом, я добавил его в IIS на сервере веб-шлюза и добавил в привязки для SSL (других мошеннических привязок SSL нет, я проверил).

Я добавил его в настройки SSL в RD Manager.

А также добавил его к 4 экземплярам в развертывании удаленных рабочих столов (2x брокер, 1x веб-доступ, 1x шлюз)

Также добавлен в ISA, который обрабатывает проход аутентификации, хотя и DUO 2fa.

В основном точно так же, как и раньше. (откатил RD-сервер из резервных копий, чтобы перепроверить все настройки).

Может попасть на веб-страницу, новый сертификат отображается правильно, проходит аутентификацию через DUO и нормально загружает страницу приложений.

Однако при попытке запустить какое-либо приложение появляется сообщение: «Ваш компьютер не может подключиться к удаленному компьютеру, потому что сервер шлюза удаленных рабочих столов временно недоступен».

Интересно, что администратор домена МОЖЕТ подключаться к приложениям, но ни один стандартный пользователь не может.

Чтобы предотвратить прерывание обслуживания, я откатил все обратно к старому сертификату, и он работает нормально - за исключением ноутбука, где я тестировал новый сертификат. Обычный пользователь больше не может получить доступ к приложениям, но снова может администратор. Я даже попытался полностью удалить профиль пользователя и перезагрузить, но все равно получаю ту же ошибку - тот же пользователь может получить к нему доступ с любого другого ноутбука.

Другой пользователь, запустивший RD ВНУТРЕННИЕ, пока я тестировал новый сертификат, теперь также получает ту же ошибку даже после отката.

Так что это не проблема профиля, похоже, что-то на отдельном компьютере - например, новый сертификат все еще на месте, предотвращающий загрузку приложения, - но я просмотрел все хранилища сертификатов на машине и не вижу, чтобы он был добавлен ни в какие store, и в IE не работает «Clear SSL State».

Я много раз искал ошибку в googled, и кроме проверки того, что закрытый ключ прикреплен (он есть), есть много примеров ошибки без прикрепленных решений.

Любая помощь очень ценится.

РЕДАКТИРОВАТЬ:

Просматривая текущий работающий сервер (с истекающим сертификатом), я заметил, что часть SSL-сертификата диспетчера RD не имеет установленного сертификата: Текущий сервер RDWeb

Понятия не имею, как это удалось (я унаследовал этот сервер RD от предыдущего администратора).

Сертификат устанавливается при развертывании удаленных рабочих столов (2x брокера, 1x веб-доступ, 1x шлюз).

Если я попытаюсь установить новый сертификат ТОЛЬКО в область развертывания, он автоматически заполнит указанный выше диспетчер удаленных рабочих столов новым SSL.

Я думаю, поскольку ISA фактически обслуживает веб-страницу и обрабатывает аутентификацию, клиент видит SSL, обслуживаемый ISA, и может получить доступ к C.A для проверки сертификата. Но когда ISA попадает на сервер RDWeb - если он имеет этот Cert, установленный в RDManager - у ISA нет доступа для проверки с помощью CA, что вызывает проблему.

Итак - как я могу попробовать добавить сертификат к развертыванию БЕЗ добавления его в диспетчер удаленных рабочих столов?

Спасибо.