A solução ideal seria configurar um túnel VPN site a site e lidar com toda a autenticação contra os DCs no site principal. (Isso, é claro, dependerá do seu equipamento de rede ou de quaisquer servidores de gateway que você possa configurar em cada site.)
Se você colocar um segundo DC no site remoto, você terá os mesmos problemas ao conectar os dois sites para que os DCs possam se comunicar. E, sim, expor o AD à rede pública é todo tipo de pior ideia de sempre. E, deixe-me acrescentar que usar o Linux como seu DC secundário me parece uma idéia muito ruim. Eu aposto que isso pode ser feito, mas eu não gostaria de estar por perto quando o Windows DC falhar e você tiver que tentar restaurar seu único Windows DC. Pode ser "bom o suficiente", mas, bem, como eu disse, eu não confiaria nele, e se não posso confiar nele, por que se preocupar em tê-lo em primeiro lugar?
Se você não puder fazer uma VPN site a site, dependendo do software VPN exato que estiver usando, é possível conectar uma VPN cliente remota sem o contexto do usuário (antes de fazer login no Windows), sim, embora Eu sugeriria que uma ideia mais fácil seria permitir o armazenamento em cache das credenciais de domínio e / ou de uma conta de usuário sem domínio limitado. Armazenar em cache as credenciais de domínio para um cliente que só tem acesso VPN pode ser um pouco de dor de cabeça quando a senha precisa ser alterada, portanto, é uma questão importante.
E pelo que vale a pena, a solução "comum" para este problema parece ser ficar com grupos de trabalho e / ou barato com o administrador de TI que eles contratam, para garantir que eles acabem com um domínio que está funcionando mais maneiras do que eu posso contar. Então, parabéns por tomar a iniciativa para, pelo menos, tentar fazer o certo.