Para que isso funcione, o computador deve ingressar no domínio, o usuário que está se autenticando no computador Windows (não na VPN) deve ser um usuário de domínio, e o computador Windows, quando conectado à VPN, deve poder entrar em contato pelo menos um controlador de domínio.
Para testar, sugiro pegar um laptop do domínio, conectando-o a uma rede diferente, fazendo login com um usuário do domínio (as credenciais terão que ser armazenadas no computador que ingressou no domínio), conectando-se à VPN e executando gpupdate /force
. Se não funcionar, verifique se há erros no arquivo de log.