Проблема с логином на RDS ферму
 

Добрый день.
Настроена рдс ферма на 2019 сервере. Всего в ферме 2 сервера, настройка полностью заркальная, т.е. на обоих серверах совмещены все роли терминальника, имена серверов rd-01.domain1.local и rd-02.domain1.local, имя фермы farm.domain2.ru, клиенты на серверы распределяются через dns rr. Для локальных пользователей настроен SSO. На обоих серверах установлен сертификат *.domain.ru для всех ролей. Вроде из настандартных для тс настроек все.
Все вроде бы работает, но есть нюанс. Проблем у офисных (локальных) пользователей не наблюдается, но есть пользователи, приходящие через впн, и вот тут начинаются проблемы (но не всегда): есть условно 1 из 10 пользователей, которому при попытке открыть remoteapp отдается ошибка: Ошибка при проверке подлинности (код: 0х607). Удаленный компьютер: rd-01(или 02).domain1.local. При этом в логах терминальников чисто, в логах клиента- тоже, единственная зацепка- лог безопасности, там на событии logon (успешном) он отдает другое ожидаемое имя сервера (т.е. если в ошибке rd-01.domain1.local, то в логе он ожидает rd-02 и соответственно наоборот). Проблема может решиться перезагрузкой, чисткой кэша, сменой браузера, просто перезапуском сессии в браузере и другими не связанными действиями, вроде закрытия сторонних программ. Ошибка плавающая, так что диагностика крайне затруднительна, если кто-то смог бы подсказать куда копать- был бы очень признателен.

В сторону отказа от
Поставь отдельный сервер с ролью брокера (или поставь роль на любой другой, если ресурсов ограниченное количество) и пускай всех клиентов через него, а брокер уже сам будет распределять клиентов.