我们正在运行一个 TSG，其客户端证书配置为允许用户连接到他们的桌面。只要你允许 443 端口并正确配置资源访问策略，它就可以工作。关于如何实现这一点，technet 上有一个教程。

但是，我们只为少数人使用它，并且我们没有遇到我认为 sdnelson 提到的任何许可问题。在进一步进行之前，我会检查一下。

我会使用带有客户端证书的终端服务 Web 访问。以你所说的规模，我认为这将是最低的成本。

查看 Windows 2008 R2 SP1 beta 的新功能。介绍了一些非常好的远程桌面功能。其中一些可能在发布时适用/帮助/协助您。

我相信 TSG 支持半径，因此您可以使用任何两因素身份验证服务器。我们的起价为 240 美元，因此费用并不高。您可能必须在支持半径的 RDP 前面运行其他东西，然后在 AD 上运行 MS 半径插件 NPS。这是一份（无注册）白皮书，介绍如何将双因素身份验证添加到您的网络http://www.wikidsystems.com/learn-more/two-factor-authentication-white-papers。没有提到 RDP，但它描述了如何实现许多服务，以便您可以很好地了解（或任何服务或 2FA 服务器）。