Сервер шлюза удаленных рабочих столов временно недоступен после обновления сертификата SSL

Срок действия сертификата SSL для нашего веб-шлюза RDS истекает в конце июля.

Я уже получил замену SSL на следующий год.

Однако, несмотря на то, что это тот же сертификат (та же тема, что и SAN), я получаю, что сервер удаленного рабочего стола временно недоступен, ошибка при внешнем подключении (внутренние пользователи в порядке).

Сертификат правильный, установлен нормально, с прикрепленным секретным ключом, я добавил его в IIS на сервере веб-шлюза и добавил в привязки для SSL (других поддельных привязок SSL нет, я проверял).

Я добавил его в настройки SSL в RD Manager.

А также добавил его в 4 экземпляра в RD Deployment (2x Broker, 1x Web Access, 1x Gateway)

Также добавлено в ISA, который обрабатывает проход авторизации, хотя и DUO 2fa.

В основном точно так же, как и раньше. (Откат RD сервера из резервных копий для двойной проверки всех настроек).

Может попасть на веб-страницу, новый сертификат отображается корректно, проходит аутентификацию через DUO и нормально загружает страницу приложений.

Однако при попытке запустить любое приложение возникает сообщение: "Ваш компьютер не может подключиться к удаленному компьютеру, поскольку сервер шлюза удаленных рабочих столов временно недоступен".

Интересно, что администратор домена МОЖЕТ подключиться к приложениям, но ни один стандартный пользователь не может.

Чтобы предотвратить сбои в обслуживании, я откатил все назад к старому сертификату, и он работает нормально - кроме ноутбука, где я тестировал новый сертификат. Обычный пользователь больше не может получить доступ к приложениям, но опять же администратор может. Я даже попытался полностью удалить профиль пользователя и перезагрузить его, и все равно получаю ту же ошибку - тот же пользователь может получить к нему доступ с любого другого ноутбука.

Другой пользователь, который запустил RD ВНУТРЕННЯ, пока я тестировал новый сертификат, теперь также получает такую ​​же ошибку даже после отката.

Так что это не проблема профиля, кажется, что-то на отдельном компьютере - как новый сертификат все еще на месте, предотвращающий загрузку приложения - но я прошел через все хранилища сертификатов на машине и не могу видеть его добавленным ни к одному хранить, а также не "Очистить состояние SSL" работает в IE.

Я много гуглил на ошибку, и кроме проверки, что закрытый ключ прикреплен (есть), есть много примеров ошибки без каких-либо решений.

Любая помощь с благодарностью.

РЕДАКТИРОВАТЬ:

Проходя через откат текущего работающего сервера (с истекающим сертификатом), я заметил, что часть сертификата SSL в RD Manager не имеет установленного сертификата: Текущий сервер RDWeb

Понятия не имею, как это удалось (я унаследовал этот RD-сервер от предыдущего администратора).

Сертификат установлен в RD Deployment (2x Broker, 1x Web Access, 1x Gateway).

Если я пытаюсь установить новый сертификат ТОЛЬКО в область развертывания, он автоматически заполняет диспетчер RD выше с новым SSL.

Я думаю, что, поскольку ISA фактически обслуживает веб-страницу и обрабатывает аутентификацию, клиент видит SSL, обслуживаемый ISA, и может получить доступ к CA для проверки сертификата. Но когда ISA попадает на сервер RDWeb - если он имеет этот сертификат, установленный в RDManager - сам ISA не имеет доступа, чтобы пойти и проверить с помощью CA - таким образом, возникает проблема.

Итак - Как я могу попытаться добавить сертификат в развертывание БЕЗ добавления его в RD Manager?

Благодарю.