Isso é complicado, depende de muitos fatores, como:
- Quantos usuários você tem em cada site
- Você tem alguma preocupação com a segurança dos sites remotos?
- Você tem algum administrador nos sites remotos ou não?
- Qual é a velocidade da WAN para cada site?
- Com que frequência você replica o AD entre cada site e qual é o tamanho da própria replicação?
Essas perguntas devem ajudar você a criar uma rede AD strong. Para começar, recomendo as seguintes diretrizes:
- Se a segurança for um problema nos sites remotos, use somente o RODC em vez de CDs completos graváveis
- Se os tempos de login forem lentos em sites remotos, use o cache universal de associação a grupos
- Se você tiver administradores nos sites remotos, delegue a administração a eles
- Se as redes WAN estiverem lentas, tente alterar a topologia de replicação para acontecer após o horário de trabalho
- Se os dois DCs virtuais estiverem hospedados no mesmo host físico, eu recomendaria mudar isso, pois se o host falhar, toda a rede do AD no site remoto falhará.
Há mais para escrever, mas essas são as coisas que acabaram de chegar ao topo da minha cabeça.
Editar: ter um GC em cada site está correto. Veja mais sobre isso: link
Espero que isso ajude.