Ура, я у себя всех победил :)) И так, план такой.
1. Сертификаты: в домене должна быть установлена служба сертификации, корневой сертификат из ЦС экспортируем без закрытого ключа и раздаем всем клиентам для добавления в Доверенных корневых ЦС. Генерируем в Консоли Exchange запрос на новый сертификат (настройка серверов / клиентский доступ) - запрос перегоняем в ЦС, сгенерированный сертификат загружаем в Exchange и назначаем этому сертификату все службы кроме Единого обмена (у меня, по крайней мере не установлен).
2. RPC: устанавливаем через компоненты системы RPC over HTTP. в настройках (настройка серверов / клиентский доступ) в панели действий выбираем Настроить внешний домен - вписываем во все нужные строки его название, затем right-click на название сервера Активируем OutlookAnywhere, там же в райт-клике можно поменять способ проверки подлинности клиента на Простой пароль - но необязательно, отлично работает и на NTLM.
3. Клиент: в Outlook создаем новую учетку, указываем тип сервера - exchange, имя сервера (рядом с галкой про кеширование) пишем FQDN локальной сети (exchange.internal.lan), в пользователе - логин. Дополнительные параметры - закладка подключение - внизу галка Подключение по HTTP - в верхней строке FQDN внешний (webmail.company.com), и внизу тот же тип авторизации что и в предыдущем пункте. Обе галки по быструю и медленную скорость так же отмечаем.
4. На шлюзе ставим перенаправление 443 на внутренний сервер.
