Сервер 2016 ADFS Получение данных конфигурации прокси-сервера завершается ошибкой и успешно

Вот настройка - 3 сервера в Microsoft Azure:

Контроллер домена (Сервер 2016)
ADFS (с использованием учетной записи gMSA) (Server 2016, последняя версия ADFS)
Прокси-сервер ADFS (Server 2016, последний прокси-сервер ADFS)

Я могу без проблем подключить прокси-сервер ADFS к серверу ADFS, однако у меня периодически возникает ошибка (кажется, не удается выполнить любой другой запрос синхронизации) между прокси-сервером ADFS и сервером ADFS.

Каждые несколько минут, когда прокси-сервер ADFS работает для синхронизации данных конфигурации прокси, я получаю две записи в журналах приложений и служб - AD FS -> Администратор

Ошибка синхронизации события:

The federation server proxy configuration could not be updated with the latest configuration on the federation service. 

Additional Data 
Error:  
Retrieval of proxy configuration data from the Federation Server using trust certificate with thumbprint '8D4D65367FC31B61230951832C81E2B0891E3B9F' failed with status code 'InternalServerError'.

Успешное событие синхронизации:

The federation server proxy successfully retrieved and updated its configuration from the Federation Service 'adfs.testdomain.com'.

Я запустил сценарий PowerShell из этого руководства по устранению неполадок, и ошибок не обнаружено. Ни один из других упомянутых там вопросов также не применим. https://blogs.technet.microsoft.com/applicationproxyblog/2014/05/28/understanding-and-fixing-proxy-trust-ctl-issues-with-ad-fs-2012-r2-and-web-application- прокси /

Я также инициализировал и проверил регистрацию устройства, и, похоже, она работает на сервере ADFS.

Вот что я могу и не могу:

На сервере ADFS я могу загрузить страницу веб-единого входа и войти на нее.
На прокси-сервере ADFS я не могу войти на страницу веб-единого входа (https: //adfs.testdomain/adfs/ls/idpinitiatedsignon.htm)
С компьютера в роуминге я не могу подключиться к веб-странице SSO прокси-сервера ADFS, но я могу разрешить DNS без проблем. Chrome / и т. Д. показать ошибку "страница слишком долго не отвечает".
С компьютера в роуминге я не могу присоединить их к домену через прокси-сервер ADFS.

Любые идеи? Спасибо!

дополнительные детали Я все переустановил. На сервере ADFS я получаю эту ошибку при переходе на страницу входа в систему единого входа:

Также получаю это сообщение об ошибке от сервера ADFS:

С клиентского ПК, пытающегося загрузить страницу SSO, я получаю эту ошибку при переходе на страницу входа SSO:

Редактировать: Вот еще одно обновление с дополнительной информацией (свойства ADFS). По-прежнему возникают проблемы с доверием прокси (те же события успеха / сбоя, что и выше), и все еще не удается присоединить устройства к домену (вероятно, связано).

Можете ли вы проверить следующее:

С прокси-сервера, когда вы пытаетесь проверить связь со своей службой федерации fqdn, e.x. fs.contoso.com вы получаете в ответ IP-адрес сервера AD FS?
Если какие-либо настройки брандмауэра блокируют трафик между прокси и AD FS? - Убедитесь, что HTTPS 443 и HTTP 80 включены между AD FS и WAP.
На сервере AD FS запустите netsh http показать sslcert и убедитесь, что CtlStoreName заполнен как ADFSTrustedDevice (ref https://blogs.technet.microsoft.com/applicationproxyblog/2014/05/28/understanding-and-fixing-proxy-trust-ctl-issues-with-ad-fs-2012-r2-and-web-application- прокси /)