IksSafonsky,
1. Как правильно сказала
cameron 
зачем стоит FWC на машинах не входящих в домен!?
2. Порт 3389 нужно не просто открыть, а опубликовать. Вообще-то так будет правильней.
3. Компы не входящие в домен (опять же правильней) выделить в DMZ. Ну а коли нет возможности, то выпускать их в интернет по IP или (на крайней случай) по учёткам на иса сервере (т.е. базовая аутентификация).
