O controlador de domínio somente leitura em local externo pode funcionar quando o túnel VPN está inativo?

Eu tenho clientes com vários sites em todo o mundo. Eles têm 2 controladores de domínio no local principal e todos os outros locais se conectam através do site principal com o túnel vpn. Atualmente a rede é mais ou menos desastrosa, então estou tentando consertá-la. Uma coisa em comum para os sites secundários é que seus roteadores nas configurações de rede têm servidores DNS locais do provedor para que seus computadores baseados em DHCP obtenham servidores DNS "errados". Tem sido assim há anos e eles usam o endereço IP para se conectar aos servidores.

Portanto, gostaria de corrigi-lo com servidores DNS apropriados, etc. Por isso, planejava usar o RODC e o servidor DNS no único servidor (com os Serviços de Terminal e alguns programas como o Visual Studio que as pessoas usam para trabalhar) no local. A outra opção era entrar nos servidores DNS a partir da localização principal, mas se o túnel cair, os funcionários ficarão confusos e não poderão acessar a Internet (já que precisariam mudar as configurações do roteador) para que isso não pareça uma solução confiável.

Minhas perguntas são as seguintes:

1. Se o túnel VPN for desativado, as pessoas poderão usar o DNS sem problemas (podem acessar a Internet) e poderão se autenticar em servidores / estações de trabalho locais?
2. É seguro e recomendado (??) ou, ao contrário, não é aconselhável colocar o servidor RODC / DNS no mesmo servidor com usuários e outros programas?
3. Algum outro conselho sobre essa configuração?