Olá, no Windows server existe uma opção para cada thin client usar um IP diferente, ai vc pode colocar regras por IP, caso contrario, terá q usar outro método de autenticação.
@diego-petcom tem erro na parte final. KDB: enter: panic
MCA é relacionado com Hadware.
https://docs.netgate.com/pfsense/en/latest/troubleshooting/unexpected-reboots.html
nesse link tem um guia de problemas e soluções.
Pensei em fazer o mesmo, mas não da certo. Na interceptação, salvo engano, é usada uma CA, e vc não consegue "comprar" uma SUB CA. Dai vc convive com o erro mas bloqueia, ou instala o certificado em todas as maquinas, tem umas formas mais simples para instalar isso, mas vai depender do seu ambiente.