Windows Server 2008 R2 como servidor VPN

PPTP é o 'menos' seguro do grupo; mas ainda é seguro o suficiente para todos os dados, exceto FIPS-140, quando você usa os protocolos de autenticação EAP- *. O MS-CHAPv2 também é muito seguro. Mas depende de senhas, que é quase sempre o ponto fraco (isso e engenharia social, que é incrivelmente eficaz).

O L2TP é mais seguro e você deve implantá-lo com certificados, não um PSK. Isso requer uma PKI, que não é muito difícil de configurar. É mais seguro que o PPTP, mas apenas por requerer o certificado ou o PSK.

O SSTP é basicamente tão seguro quanto o L2TP, ele usa certificados novamente, ainda precisa de uma PKI. A principal vantagem é que ele funciona com firewalls baratos (ou com configuração restrita) que bloqueiam o tráfego de GRE e UDP (para PPTP e L2TP, respectivamente).

A melhor prática é ter o AD instalado sozinho (ou com DNS) em um servidor; mas as pessoas freqüentemente instalam outros serviços sem problemas significativos. Tenha em mente que, se esse servidor conectado à Internet estiver comprometido, seu banco de dados do AD será automaticamente comprometido.

É um compromisso entre segurança / interoperabilidade / sobrecarga de configuração

PPTP é provavelmente o mais interoperável & funciona bem sobre coisas como NAT, se você pode configurar o encaminhamento de pacotes do GRE e o TCP 123 de porta para a frente. Contanto que você esteja usando o MSCHAPv2 (que você poderia estar no servidor do Windows 2008), provavelmente está ok.

L2TP requer a configuração de PKI e há algumas etapas adicionais que você precisa fazer se você quer que seu servidor VPN esteja em uma rede NAT.

SSTP é o novo garoto no bloco e, provavelmente, em algum lugar intermediário para overhead / interop de configuração. Se você está olhando para provas futuras, então este é o caminho a percorrer. Não sei se existe algum suporte funcional do Mac OS.

Usar o AD como um servidor VPN provavelmente não é a melhor prática, mas em um ambiente SOHO o servidor VPN geralmente é o DC (think SBS).