PPTP é o 'menos' seguro do grupo; mas ainda é seguro o suficiente para todos os dados, exceto FIPS-140, quando você usa os protocolos de autenticação EAP- *. O MS-CHAPv2 também é muito seguro. Mas depende de senhas, que é quase sempre o ponto fraco (isso e engenharia social, que é incrivelmente eficaz).
O L2TP é mais seguro e você deve implantá-lo com certificados, não um PSK. Isso requer uma PKI, que não é muito difícil de configurar. É mais seguro que o PPTP, mas apenas por requerer o certificado ou o PSK.
O SSTP é basicamente tão seguro quanto o L2TP, ele usa certificados novamente, ainda precisa de uma PKI. A principal vantagem é que ele funciona com firewalls baratos (ou com configuração restrita) que bloqueiam o tráfego de GRE e UDP (para PPTP e L2TP, respectivamente).
A melhor prática é ter o AD instalado sozinho (ou com DNS) em um servidor; mas as pessoas freqüentemente instalam outros serviços sem problemas significativos. Tenha em mente que, se esse servidor conectado à Internet estiver comprometido, seu banco de dados do AD será automaticamente comprometido.