Может ли контроллер домена только для чтения во внешнем местоположении работать, когда VPN-туннель не работает?

У меня есть клиент, который имеет несколько сайтов по всему миру. У них есть 2 контроллера домена в главном местоположении, и каждое другое местоположение соединяется с главным сайтом с туннелем vpn. В настоящее время сеть более или менее катастрофична, поэтому я пытаюсь это исправить. Общим для вторичных сайтов является то, что их маршрутизаторы в настройках сети имеют локальные DNS-серверы ISP, поэтому их компьютеры на базе DHCP получают "неправильные" DNS-серверы. Это было так целую вечность, и они используют IP-адрес для подключения к серверам.

Поэтому я хотел бы исправить это с помощью правильных DNS-серверов и т. Д. Поэтому я планировал использовать RODC и DNS-сервер на единственном сервере (с Terminal Services и несколькими программами, такими как Visual Studio, которые люди используют для работы), который расположен в этом месте., Другой вариант состоял в том, чтобы ввести DNS-серверы из основного местоположения, но если туннель выйдет из строя, сотрудники будут сбиты с толку и не смогут получить доступ к Интернету (поскольку им потребуется изменить настройки маршрутизатора), так что это не кажется надежным решением.

Мои вопросы следующие:

1. Если VPN-туннель выходит из строя, могут ли люди без проблем использовать DNS (они могут получить доступ к Интернету) и могут проходить аутентификацию на локальных серверах / рабочих станциях?
2. Безопасно и рекомендуется (??) или наоборот не рекомендуется размещать RODC/DNS-сервер на одном сервере с пользователями и другими программами?
3. Любые другие советы относительно этой настройки?