Аутентификация по сертификатам в чужом домене пытается выполняться с явным указанием domain\username. User hint не спасает. Как обойти?

Имеется домен, в нем настроена PKI, выдающая сертификаты на смарт-карты с UPN'ами. Имеется совершенно отдельный домен, в котором нужно настроить аутентификацию по сертификатам на смарт-картах, выпущенным PKI. Настроил по инструкции https://support.microsoft.com/en-us/help/281245/gu... расценивая настроенную PKI как third-party. При попытке доступа через RDP-клиент получаю отлуп "неверное имя пользователя или пароль", в логах сервера авторизация с указанием домена в явном виде, при этом домен тот, где PKI, а не тот, где сервер. Настроил на клиенте user hint, забиваю туда remote\user от того пользователя, которому привязан сертификат, получаю ошибку "пользователь не найден" на клиенте с разрывом соединения, при этом сервер рапортует об успешной авторизации. Как можно обойти такое поведение? Отключение NLA на удаленном сервере не предлагать, так как иначе заддосят, сервер смотрит в интернет практически без защиты. По-другому не сделать, нету денег. Можно ли настроить полноценный third party CA типа standalone, чтобы выдавал сертификаты с явно указанным UPN, при этом RDP-клиент не пытался валидировать подсунутый сертификат сам, а сразу передавал его на сервер?