Репликация Hyper-V с использованием сертификатов без VPN

У меня вопрос по безопасности, пожалуйста, посмотрите, может ли VPN предложить больше безопасности, чем только SSL, в общедоступном Интернете.

12165] Сервер Hyper-V 2012 R2 находится в настройке центра обработки данных для использования сертификата для шифрования SSL (из запущенной и работающей PKI Windows 2012 R2).

Этот сервер находится за брандмауэром, который порт NAT 443 с общедоступного IP-адреса в частную локальную сеть.

Ряд офисов и несколько серверов Hyper-V 2012 R2 подключаются к серверу Hyper-V центра обработки данных, на каждом офисном сервере Hyper-V установлен сертификат.

Если мы заблокируем брандмауэр для приема запросов только с IP-адресов клиентских офисов, есть ли какие-либо проблемы безопасности, о которых следует беспокоиться?

Может ли Hyper-V работать без поддержки расшифровывающий SSL-прокси (например, обратный прокси-сервер fortigate или nginx, который находится между двумя серверами Hyper-V), который расшифровывает, проверяет, а затем повторно шифрует трафик?

Я вижу, что клиент пытается поговорить с целью реплики на TCP / 135. Единственная проблема, которую я вижу, блокируя, это то, что во время настройки синхронизации невозможно получить сертификат реплики - используется ли tcp / 135 для чего-либо еще, кроме начальной настройки?