A mensagem de erro que você está descrevendo mostra a inspeção de estado do ASA em jogo. A "sem conexão" significa exatamente isso: o ASA não possui uma entrada em sua tabela de conexão para uma conexão TCP entre 192.168.251.2:4283 e 192.168.253.16:3389.
Eu configuraria uma captura da seguinte forma:
asa(config)# access-list RDPcap permit tcp host 192.168.251.2 host 192.168.253.16 eq 3389 asa(config)# access-list RDPcap permit tcp host 192.168.251.2 host 192.168.253.17 eq 3389 asa(config)# access-list RDPcap permit tcp host 192.168.251.2 host 192.168.253.20 eq 3389 asa(config)# access-list RDPcap permit tcp host 192.168.253.16 eq 3389 host 192.168.251.2 asa(config)# access-list RDPcap permit tcp host 192.168.253.17 eq 3389 host 192.168.251.2 asa(config)# access-list RDPcap permit tcp host 192.168.253.20 eq 3389 host 192.168.251.2 asa# capture RDPcap1 access-list RDPcap interface LAN251 asa# capture RDPcap2 access-list RDPcap interface LAN253
em que LAN251 é a interface conectada à rede 192.168.251.0/24 e LAN253 é a interface conectada à rede 192.168.253.0/24.
Em seguida, tente se conectar via RDP e ver o que há nas capturas.
Minha aposta é que você descobrirá que quando estiver tentando se conectar a um dos IPs (verá um pacote SYN enviado de uma porta aleatória > 1024 em 192.168.251.2 para a porta 3389 em 192.168). 253.16 / 17/20), você verá a resposta (SYN-ACK) retornar de um endereço IP diferente e o firewall receberá esse pacote SYN-ACK, mas não o encaminhará para o cliente RDP.
Se este for o caso, a solução não está no ASA. Você precisa descobrir como configurar qualquer plataforma de clustering ou balanceamento de carga que esteja usando para funcionar corretamente com o RDP.
Se esse não for o caso, cole as capturas para que a comunidade possa analisá-las.