ChMikhail

Как вариант. Ограничить вход по ИП, поднять pritunl. Добавить его ИП в разрешенные, через pritunl делаем маршруты до rdp сервера.
На выходе можем контролировать пользователей vpn через веб интерфейс (если уволился удаляем и он не подключится больше). Доступ до сервера только через vpn шлюз, инет через обычный шлюз.

На сервер кроме как с подключеным vpn не попасть никак, так как стоит ограничение по ip, если есть ad то можно приобрести enterprise версию pritunl и сделать синхронизацию с ad. Не надо будет вручную пользователей создавать в pritunl.

Ребята все ваши рекомендаций я и так планировал.
Так как сервера не справляются с нагрузкой, сейчас заказали новые.
(старые простые системники и один стоечный супермикро)

На новых делаем кластер hyper-v и на нем уже разварачиваем все.

Так как в фирме уже более 160 пользователей, все заведены в неправильный домен, с нуля не хочется делать все. Фирма которая их обслуживала все еще сидит в 2000ых. Домены в штыки воспринимают а когда попросили домен сделали такой.

Спасибо за статью . Вы очень помогли
https://support.microsoft.com/en-us/help/909264/na...

Ответ на мой вопрос просто : corp

На тестовом стенде переименование прошло успешно.