O uso de uma VPN para acessar o computador do controlador de domínio (DC) remoto é, sem dúvida, o caminho certo TM acessá-lo. Presumivelmente, a VPN termina por trás de algum tipo de firewall que está impedindo o DC de ser acessado diretamente pela Internet. Nem todas as versões do Active Directory (AD), até o momento, devem ser implantadas com DCs em uma configuração voltada para a Internet. A AD não foi projetada com um modelo de ameaça da Internet em mente.
Não está claro se você está usando um cliente VPN de software em cada computador cliente ou um cliente VPN de hardware conectado à rede. Você terá uma experiência melhor, na minha opinião, usando um cliente VPN de hardware, de modo que os computadores locais possam acessar o DC durante a inicialização, antes de iniciar qualquer software cliente VPN. Acho que usar um cliente VPN de software é mais complicado e cria modos de falha adicionais.
Você também pode pesquisar o DirectAccess VPN da Microsoft para esse aplicativo. Isso tornaria a rede de hospedagem do DC um pouco mais complicada, mas pode dar a você uma experiência de VPN mais "transparente". (Você também precisará das versões "Enterprise" dos seus sistemas operacionais clientes).