RD Gateway และ Web Application Proxy และ AD FS

ฉันกำลังพยายามปรับใช้ RD Gateway ร่วมกับ WAP (Web Application Proxy) และ AD FS pre-authentication ตามที่อธิบายไว้ ที่นี่.

สำหรับ "การพิสูจน์แนวคิด" ฉันได้ตัดสินใจปรับใช้บทบาท RDS ทั้งหมดกับเซิร์ฟเวอร์เดียว ง่ายขึ้น สภาพแวดล้อมของฉันตอนนี้มีลักษณะดังนี้:

โดยที่เซิร์ฟเวอร์ที่มีป้ายกำกับว่า "RDS" มีบทบาทเหล่านี้:

• RD การเข้าถึงเว็บ
• RD เกตเวย์
• การออกใบอนุญาต RD
• นายหน้าเชื่อมต่อ RD
• โฮสต์การจำลองเสมือน RD

ใน AD FS Farm ฉันได้กำหนดค่า Relying Part Trust ต่อไปนี้ ซึ่งมีเฉพาะชุดตัวระบุ:

และใน WAP แอปพลิเคชันที่เผยแพร่จะมีลักษณะดังนี้:

ตอนนี้ทุกอย่างทำงานภายใน ลูกค้าใน DEVPROD สามารถเข้าถึงเว็บ RD และเชื่อมต่อกับทรัพยากร vdi
บน WAP ทุกอย่างทำงานได้ บนเซิร์ฟเวอร์ของฟาร์ม ฉันสามารถเข้าถึง RD Web และเชื่อมต่อกับทรัพยากร vdi ได้
จากภายนอก ฉันสามารถเข้าถึง RD Web ได้ แต่การเชื่อมต่อกับเกตเวย์ RD ล้มเหลวโดยมีข้อความแสดงข้อผิดพลาดนี้:

สำหรับลูกค้าบางราย ฉันยังได้รับ:

คอมพิวเตอร์ของคุณไม่สามารถเชื่อมต่อกับคอมพิวเตอร์ระยะไกลได้เนื่องจากเซิร์ฟเวอร์เกตเวย์เดสก์ท็อประยะไกลไม่พร้อมใช้งานชั่วคราว

สิ่งที่ฉันได้ลอง / ตรวจสอบ

• ใบรับรองทั้งหมดที่ใช้นั้นเชื่อถือได้และ rdweb ใช้ใบรับรองที่ถูกต้อง
• IIS ไม่มีการผูกที่ไม่ได้ใช้งาน
• การใช้การรับรองความถูกต้องของ windows สำหรับ IIS
• การตั้งค่าการตรวจสอบสิทธิ์ล่วงหน้าที่จำเป็นในคุณสมบัติ rdp ที่กำหนดเองของคอลเล็กชัน
• การตั้งค่า DefaultTSGateway และ radcmserver ในการตั้งค่าแอปพลิเคชัน IIS

คุณจะเริ่มวินิจฉัยปัญหานี้จากที่ใด