В итоге проблема оказалась совсем в другом месте. Давным давно, мои предшественники настроили на dhcp сервере время выдачи адресов в 10 минут (много вай-фай клиентов, маленьких пул адресов). Это годами работало и особых проблем не было. Но с моим приходом стали менять архитектуру, добавили dhcp relay и пошли проблемы с RDP реконнектами. Журналы на терминальных серверах показали, что реконнекты у особенно несчастных пользователей происходят каждые 10 минут, четко (но не всех).
Оказалось, добавление relay увеличило время в пути для пакетов и стали проявляться случаи, когда у хоста уже истек лиз, и новый он ещё не получил (точнее старый адрес, но заново). Именно в эти доли секунды и происходили реконнекты, где-то чаще, где-то редко.
Ещё один фактор, который изначально мешал диагностике - проблема проявлялась только на станциях с Win7, машины с Win XP на соседних портах коммутаторов проблем не испытывали совсем.
Сейчас время лиза установил в 8 дней, проблема устранена.