Devo criar site de diretório ativo para site sem controlador de domínio (mas com VPN site a site)?

Criar um site do Active Directory sem controlador de domínio para esses clientes é um caminho a percorrer. Mas sem um controlador de domínio para colocar no contêiner do site, provavelmente não há sentido em fazê-lo. Como apontado na resposta do drookie, você acabará com um aviso diferente em seus registros de eventos , e assumindo que o Um site remoto sem um controlador de domínio não contém nenhum serviço que seja compatível com o site ADDS, não vejo que você tenha conseguido nada com essa abordagem.

Pessoalmente, provavelmente adicionaria a sub-rede a um site existente que contém o controlador de domínio que eu quero que os clientes prefiram para autenticação. Não há mais avisos de log de eventos e os clientes vão para o (s) controlador (es) de domínio que eu quero.

Sim. No entanto, os clientes de domínio ainda poderão efetuar login no domínio sem ele, usando um DC aleatório. Mas você não poderá designar o CD mais próximo a esses clientes (e eles não poderão determiná-lo automaticamente) e você receberá toneladas de avisos como " Durante as últimas 2.15 horas houve 56 conexões com este domínio Controlador de máquinas clientes cujos endereços IP não são mapeados para nenhum dos sites existentes na empresa. "