Isso pode ser mais do que o que você deseja fazer, mas eis como usamos o RDP para usuários remotos que não usam VPN.
Recentemente, começamos a usar o Gerenciador de Gateway RD com Serviços de Área de Trabalho Remota, uma função do Windows 2008. A configuração é feita para passar pelo servidor TMG e diretamente para uma máquina de usuários. Ele usa NLA como mencionado acima. O usuário que se conecta deve ser um membro do grupo AD correto e um membro do grupo local direito deve ter acesso permitido. Dependendo de como você deseja configurá-lo, você pode se conectar através de uma página da Web que abre mstsc e insere a configuração de proxy do Gateway RD, ou pode definir as configurações em sua máquina manualmente para que, sempre que abri-lo, tente ir através desse proxy. Até agora, funcionou muito bem e parece ser seguro.