A solução aqui é fazer com que todos se conectem ao rdweb.contoso.com e nunca usem o endereço rdweb.contoso.local. Na maioria dos casos, isso exigirá que o split DNS ou o hairpinning / loopback NAT funcionem corretamente.
Usando o nome público, seu certificado SSL godaddy funcionará corretamente. Nenhum provedor respeitável lhe dará um certificado ssl assinado para qualquer endereço * .local, pois não há como provar a propriedade (na verdade, você não é o proprietário, mas contanto que seja apenas na sua LAN, não quebre mais nada. se alguém a usar em sua LAN).
Usar um certificado auto-assinado é ruim - especialmente porque ele treina os usuários a ignorar completamente o aviso sobre o certificado ser inválido. Isso torna muito mais fácil enganar alguém para que se conecte a um serviço diferente ou associe a conexão.
Supondo que você tenha seu DNS contoso.com no godaddy e seu DNS contoso.local no diretório ativo, você pode adicionar contoso.com aos seus servidores DNS do AD, com todos os registros que ele possui no godaddy. Mas quando você chegar ao rdweb, em vez do endereço IP público, coloque o endereço privado.
Ou faça seu firewall / dispositivo NAT permitir conexões da LAN para se conectar por meio do endereço público. Isso geralmente é chamado de hairpinning NAT, loopback ou alguns outros nomes semelhantes.