Regras de firewall do Servidor DirectAccess que bloqueiam portas

Configurei o DirectAccess na caixa Server 2012 Essentials e a maioria funciona muito bem - posso acessar remotamente o servidor via RDP e o site padrão do IIS na porta 80.

No entanto, não consigo acessar nada que use outras portas. Para este exemplo, o site do Team Foundation Server. A única maneira de acessá-lo é acessando http://localhost:8080/tfs diretamente no servidor - mesmo quando usar http://servername:8080/tfs ou http://192.168.1.100:8080/tfs não funcionará.

Eu tentei adicionar as portas às exceções NAT usando Set-NetNatTransitionConfiguration –IPv4AddressPortPool e, embora isso tenha permitido algumas portas usadas internamente (Deluge, por exemplo), isso não me permitiu acessar a URL.

Acho que limitei a Diretiva de Grupo "Configurações do Servidor do DirectAccess" criada ao configurar o DirectAccess. Quando desativo o link para este GPO, o site do TFS funciona novamente, todos os sites HTTPS (o IIS padrão, por exemplo) param de funcionar.

Já tenho regras no firewall no servidor para o TFS e antes de habilitar essa Política de Grupo (portanto, antes de configurar o DirectAccess) eu podia acessar os dois sites. Se eu desabilitar totalmente o DirectAccess, ele também funcionará novamente, então há algo na configuração do DirectAccess que o está quebrando.

Alguém tem alguma sugestão de coisas que eu possa mudar para permitir acesso a ambos? Fiz o upload do relatório de GPO completo e meu Resumo da configuração do acesso remoto para obter mais detalhes.