Bem, antes de mais nada, não use a porta 443, que é a porta SSL padrão. Se você usa uma porta diferente para RDP (sua explicação não soa verdadeira comigo - eu nunca vi um ISP que filtre a porta 3389, mas suponho que qualquer coisa é possível), então você deve pelo menos usar uma porta que não esteja também em usar por um protocolo ou serviço comum.
Em segundo lugar, O TMG permite que você configure uma VPN de acesso remoto . Isso é o que você provavelmente deveria estar fazendo em vez de, ou além de configurar um Gateway de Área de Trabalho Remota.
Em terceiro lugar, parece que você se beneficiaria da contratação de uma SA do Windows experiente para configurar isso para você, mesmo que apenas em um contrato ou consultor.