Имеется локальная сеть, в ней два контроллера домена (DNS, DHCP, AD, WSUS, Remote App). На каждом контроллере по одной сетевой карте. Доступ к интернету осуществляется proxy-сервером провайдера, но есть возможность про NAT-ить.
Необходимо организовать доступ к Remote App из удаленного филиала, порядка 15-ти подключений.

Собственно вопросы:

1. В какой степени необходимо на втором контроллере поднимать VPN-сервер для доступа из вне, если порт RDP и так можно пробросить.
2. Стоит ли поднимать центр сертификации на VPN-сервере для моих нужд.
3. Если VPN и Remote App на разных машинах, не возникнет ли проблем с доступом ко второму.
4. Насколько я понял, сертификат для удаленного подключения хранит в себе dns-имя и ip компьютера. Допустим локальное имя: rras.mydomain.net необходимо будет пробросить на внешнее имя провайдера: vpn.mydomain.com, могут ли возникнуть проблемы при подключении.

По какой причине не рассматривается RD Gateway?

Надо попробывать, но ответы хотелось бы почитать. Насколько эти технологии различны в надежности?

Master-ok, Вам правильно советуют RD Gateway.
Зачем Вам VPN, если все что нужно реализуется вышеуказанной технологией.

С точки зрения защищенности RD Gateway и VPN/L2TP используют сертификат сервера... можно сказать что они равнозначны, но RD Gateway пропускает только RDP-трафик, а VPN - подключает сеть... т.о. с точки зрения безопасности лучше RD Gateway. Если хотите безопасности - подумайте про NPS.
4. Насколько я понял, сертификат для удаленного подключения хранит в себе dns-имя и ip компьютера. Допустим локальное имя: rras.mydomain.net необходимо будет пробросить на внешнее имя провайдера: vpn.mydomain.com, могут ли возникнуть проблемы при подключении. »
Вы можете добавить самоподписанный сертификат сервера в хранилище доверенных центров сертификации и проблем не будет.

2. Стоит ли поднимать центр сертификации на VPN-сервере для моих нужд. »
Только для этих нужд не стоит.

Благодарю