Развертывание RDS с единой точкой доступа в DMZ

Наша организация очень довольна идеей найти часть IIS пользовательского приложения в DMZ, которая аутентифицирует их для подключения внутри. Это явно не дорожная карта для RDS 2012. Мы не собираемся добиваться создания какого-либо DC в DMZ, и размещение члена домена там, кажется, полностью разрушает его цель.

Я действительно в растерянности из-за направления на данный момент, так как помещение роли шлюза в DMZ в качестве члена домена, похоже, является наиболее близким поддерживаемым MS подходом к этой проблеме. Есть ли способ получить мой торт (заставить пользователей проходить аутентификацию перед передачей их на серверы локальной сети) и съесть его тоже (не допускать AD в мою DMZ)?

Спасибо за любой вклад.