mrfinny, так как данные ПК не в домене, проблема скорее всего в том, что не-доменный компьютер не знает адреса контроллера домена, соответственно не может к нему подключиться для проверки сертификата.
Так что, пока мы видим только одно решение-ввод ПК в домен, если это возможно.

планируете как-то решить эту проблему? есть домен, есть ЦС в домене, есть клиенты не в домене. как-то согласовать авторизацию для такой конфигурации.
и при текущих обстоятельствах возвращаемся к вопросу - есть какие-то рекомендации по настройке политик безопасности (nla, ntlm, credssp и прочего) для авторизации по рутокену?

mrfinny, проверьте пожалуйста, установлены ли на компьютерах корневой сертификат центра сертификации

о каком сертификате речь - нашего сервера, на котором развернут центр сертификации?

ЗЫ: уточню - клиенты (компьютеры) не в домене

mrfinny, уточните пожалуйста
1) Аутентификация по логину/паролю в схеме "клиент->терминальный сервер" проходит успешно?
2) Аутентификация по рутокену в схеме "клиент->терминальный сервер" с включенной проверки подлинности на уровне сети(NLA) работает успешно?
3)  Аутентификация по рутокену в схеме "клиент->терминальный сервер" с выключенной проверкой подлинности на уровне сети(NLA) работает успешно?

Так же я бы предложил проверить настройку синхронизации времени на всех этапах схемы.

у нас вход на сервер настроен по рутокену
1. да, успешно в любой конфигурации (с NLA и без NLA)
2. нет, с включенным NLA идет отлуп

3. да, успешно

Уверены, что включение NLA не мешает авторизации по рутокенам? Потому как в рамках нашей конфигурации, имеется конфликт.

Возможно есть какие-то рекомендации по настройке политик безопасности (nla, ntlm, credssp и прочего) для авторизации по рутокену?

Так же я бы предложил проверить настройку синхронизации времени на всех этапах схемы.