Windows RRAS mit IkeV2, hinter NAT Router - zwei IPs für Provider Failover

Ich habe erfolgreich einen Windows Server 2016 mit Routing und Remote Access für den RRAS VPN Zugang installiert und konfiguriert. Wir authentifizieren unsere VPN-Teilnehmer mit der Authentifizierungsmethode IKEv2 | Benutzerzertifikate. Alle VPN-Teilnehmer verfügen über ein Benutzer-Zertifikat und der Server über ein gültiges Server-Zertifikat. Da sich unser RRAS-Server hinter einem NAT-Router befindet, muss der Betreff des Server-Zertifikats mit der öffentlichen IP-Adresse des NAT-Routers übereinstimmen. (docs.microsoft.com/en-us/previous-versions/windows/it-pro/windows-server-2008-R2-and-2008/ee922679(v=ws.10)) . So weit so gut, alle unsere Clients können auf den RRAS-Server zugreifen, sich erfolgreich authentifizieren und per VPN auf unser Netzwerk zugreifen.

Nun hat unser NAT-Router DualWan-Fähigkeiten, wir haben zwei öffentliche IPs von zwei verschiedenen Anbietern, für Failover-Szenarios, für den Fall, wenn unser primärer Anbieter einen Ausfall hat. Meine Frage ist nun, wie kann ich den RRAS-Server so konfigurieren, dass er RRAS-Anfragen von beiden öffentlichen IPs akzeptiert. Wie bereits erwähnt, muss der Betreff des Serverzertifikats die öffentliche IP des NAT-Routers repräsentieren. Ich habe zwei Zertifikate für beide IPs installiert, aber in der NPS-Richtlinie des RRAS-Servers kann ich nur ein Zertifikat für die Serverauthentifizierung auswählen.

Ist es möglich, über NPS Connection Request Policies / Bedingungen zu verschiedenen NPS Policies für jede öffentliche IP zu verweisen und wenn ja, wie, oder gibt es eine Möglichkeit, ein gültiges Zertifikat für beide öffentliche IPs zu erstellen?

Vielen Dank im Voraus für alle Tipps.