Сервер шлюза удаленных рабочих столов временно недоступен после обновления сертификата SSL.

Срок действия сертификата SSL для нашего веб-шлюза RDS истекает в конце июля.

У меня уже есть запасной SSL на следующий год.

Однако, несмотря на то, что это тот же сертификат (тот же объект без SAN), я получаю, что сервер удаленного рабочего стола временно недоступен при внешнем подключении (внутренние пользователи в порядке).

Сертификат правильный, установлен нормально, с прикрепленным закрытым ключом, я добавил его в IIS на сервере веб-шлюза и добавил в привязки для SSL (других мошеннических привязок SSL нет, я проверил).

Я добавил его в настройки SSL в диспетчере удаленных рабочих столов.

А также добавил его к 4 экземплярам в развертывании RD (2x Broker, 1x Web Access, 1x Gateway)

Также добавлен в ISA, который обрабатывает проход аутентификации, хотя и DUO 2fa.

В основном точно так же, как и раньше. (откатился RD-сервер из резервных копий, чтобы перепроверить все настройки).

Может попасть на веб-страницу, новый сертификат отображается правильно, проходит аутентификацию через DUO и нормально загружает страницу приложений.

Однако при попытке запустить любое приложение появляется сообщение: «Ваш компьютер не может подключиться к удаленному компьютеру, потому что сервер шлюза удаленного рабочего стола временно недоступен».

Интересно, что администратор домена МОЖЕТ подключиться в приложения, но ни один обычный пользователь не может.

Чтобы предотвратить прерывание обслуживания, я откатил все к старому сертификату, и он работает нормально, за исключением портативного компьютера, на котором я тестировал новый сертификат. Обычный пользователь теперь больше не может получить доступ к приложениям, но опять админ может. Я даже попытался полностью удалить профиль пользователя и перезагрузить, но все равно получаю ту же ошибку - тот же пользователь может получить к нему доступ с любого другого ноутбука.

Другой пользователь, запустивший RD ВНУТРЕННИЕ, пока я тестировал новый сертификат, теперь также получает ту же ошибку даже после отката.

Таким образом, это не проблема профиля, похоже, что-то на отдельном компьютере - например, новый сертификат все еще на месте, предотвращающий загрузку приложения - но я просмотрел все хранилища сертификатов на машине и не вижу его. добавлен в любое хранилище, и функция «Очистить состояние SSL» не работает в IE.

Я много раз искал ошибку в гугле, и кроме проверки прикрепления закрытого ключа (это так), есть много примеров ошибки без прикрепленных решений.

Любая помощь очень ценится.

РЕДАКТИРОВАТЬ:

Просматривая текущий работающий сервер (с истекающим сертификатом), я заметил, что в части сертификата SSL диспетчера удаленных рабочих столов сертификат не установлен: Текущий сервер RDWeb

Не знаю, как это удалось (я унаследовал этот сервер RD от предыдущего администратора).

Сертификат IS установлен при развертывании удаленных рабочих столов (2x брокера, 1x веб-доступ, 1x шлюз).

Если я попытаюсь установить новый сертификат ТОЛЬКО в область развертывания, он автоматически заполнит указанный выше диспетчер удаленных рабочих столов новым SSL.

Я думаю, поскольку ISA фактически обслуживает веб-страницу и обрабатывает аутентификацию, клиент видит SSL, обслуживаемый ISA, и может получить доступ к CA для проверки сертификата. Но когда ISA попадает на сервер RDWeb - если на нем установлен этот Cert в RDManager - у ISA нет доступа для проверки с помощью CA, что вызывает проблему.

Итак - как я могу попробовать добавить сертификат к развертыванию БЕЗ добавления его в диспетчер удаленных рабочих столов?

Спасибо.