Обратный прокси TFS 2017 через IIS

Моя команда и я пытались опубликовать нашу конечную точку http TFS через обратный прокси-сервер. TFS выполняет проверку подлинности с использованием проверки подлинности NTLM, обычная проверка подлинности не рекомендуется: https://docs.microsoft.com/en-us/vsts/integrate/get-started/auth/tfs-basic-auth. Поскольку NTLM отслеживает состояние, обратный прокси-сервер имеет проблемы. Игнорируя длинную историю этой проблемы, вот текущая ситуация:

Мы запускаем TFS 2017 с использованием проверки подлинности NTLM для внутреннего домена, TFS размещается на Windows Server 2016. Обратный прокси-сервер находится в сети DMZ, отделяющей его от сервера TFS через брандмауэр, но есть правило брандмауэра, открывающее порт TCP 8080 на TFS-сервер с обратного прокси-сервера и обратного прокси-сервера является членом того же внутреннего домена, что и TFS. На обратном прокси-сервере мы используем IIS 7 с подключаемым модулем перезаписи URL-адресов в качестве технологии обратного прокси на Windows Server 2008 R2.

Конечная точка TFS, измененная здесь для обсуждения: http://backendserver.example.com:8080/tfs/. Обратный прокси-сайт, снова измененный здесь, является http://reverseproxy.example.com:8081/. Правило перезаписи - это фильтрация по регулярному выражению: tfs/(.*), а URL перезаписи - http://backendserver.example.com:8080/{R.0}. Все остальные настройки в основном не изменились.

Поэтому, когда мы обращаемся к конечной точке tfs напрямую (через обратный прокси-сервер), она работает нормально, брандмауэр открыт, поэтому обычный URL-адрес работает нормально (перечислены выше). Однако, когда мы пытаемся использовать конечную точку обратного прокси-сервера ( http://reverseproxy.example.com:8081/tfs/), мы постоянно получаем повторные проверки подлинности с ошибками 401. Когда мы пытаемся запустить этот URL-адрес обратного прокси-сервера, но в качестве перенаправления (перезапись URL-адреса -> Изменить правило входящего трафика -> Действие -> Тип действия -> Перенаправление), оно правильно перенаправляет домашнюю страницу в TFS, проверка подлинности завершается успешно и все другие страницы в TFS, при необходимости загрузите его без дополнительных проблем с аутентификацией.

Кто-нибудь есть идеи, почему эти 401 ошибки происходят? Моя учетная запись не блокируется после нескольких неудачных попыток, поэтому у меня есть основания полагать, что эти сбои происходят не от самого внутреннего домена. Спасибо всем.