Доступ VPN к контроллеру домена?
Существует всего один неопровержимый довод, чтобы сделать так - безопасность.
Помещение всех Ваших устройств управления включая любой другой переключатель и аппаратные средства KVM-IP в отдельную сеть означает, что они далеко от Ваших общедоступных рабочих сетей. Это препятствует тому, чтобы трафик управления был столь же выставлен, и позволяет Вам осуществлять различные политики для доступа.
В то время как, конечно, можно использовать Контроллер домена для VPN, обычно не рекомендуется сделать так, если у Вас есть другие опции. Конфигурирование VPN на DC не отличается от выполнения так на любом другом Windows Server.
Учитывая Ваши требования, проблема, с которой Вы сталкиваетесь, состоит в том, что нет ничего для остановки пользователей, входящих в систему их ноутбуков до соединения с VPN. В то время как возможно предотвратить это, это имеет тенденцию делать ноутбуки намного менее применимыми.
Этой проблемой является то же независимо от того, является ли VPN на маршрутизаторе или сервере. Если Вы хотите осуществить политику вынудить ноутбук быть подключенным к VPN до входящего в систему использования (никогда делавшийся это, не спрашивайте меня, как) VPN может все еще остаться на маршрутизаторе. Это - сервер аутентификации, который имеет значение, не, что/который размещает VPN, пока клиентские машины могут говорить с DC при подключении.
В то время как возможно, что можно использовать этот сервер в качестве концентратора VPN, я рекомендую посмотреть на выполнение этого в краю при помощи клиента VPN способный брандмауэр как Sonicwall, Cisco ASA, Контрольная точка, и т.д. Позвольте им соединиться с устройством, авторизованным через LDAP или Радиус против Ваших имен пользователей Active Directory и паролей. Они могут затем использовать этот туннель для доступа к ресурсам внутри.
Я не использовал бы контроллер домена в качестве конечной точки VPN, слишком многих проблем безопасности.