How would this be setup connection wise without forcing all traffic through the domain controller?
Com VPNs de site para site. Você configuraria seus ativos de nuvem como um site e, em seguida, estabeleceria uma VPN de site para site entre seu site de nuvem e cada um de seus sites físicos.
Uma opção alternativa, que a Microsoft usa, mas geralmente é desaconselhada (a menos que você realmente, realmente saiba o que está fazendo) está expondo o controlador de domínio à Internet e protegendo o acesso com IPSec. (Não faça isso: as VPNs de site para site são muito mais seguras.)