Você jogou uma bola curva quando disse que as contas locais funcionam diretamente pela Internet. Então você jogou outro quando você disse que a autenticação chega ao servidor quando você olha para o log.
Eu só posso chegar a 2 respostas. Desde que você disse que a configuração de bloqueio foi feita antes de eu olhar em 2 lugares.
Você verificou o grupo de usuários de área de trabalho remota para ver quem está nele? Talvez apenas as contas locais estejam lá e não as contas de domínio. Por fim, verifique o gpo ao qual este servidor pertence. Especificamente configuração do computador > configurações do Windows > políticas locais > atribuições de direitos de usuário > permitir o logon através do rds.