есть два сервера в датацентре (сеть 10.255.9.0/24). К обоим можно подключаться по RDP через проброшенные порты. На одном из серверов настроил Site-to-site ВПН (RRAS) с сервером в главном офисе (сеть 10.254.1.0/24). Через этот ВПН я могу подключиться по RDP только к одному серверу. К тому серверу, что поднимает VPN я больше не могу подключиться. Посмотрел его логи - а он блокирует подключения по RDP. Как только включаю правило фаервола для публичного профиля - всё работает. Почему один сервер применяет доменный профиль фаервола, а другой сервер применяет публичный профиль фаервола?
И клиент и сервера находятся в одном AD домене, с одним сайтом. И в ДЦ и в главном офисе есть по контроллеру домена. С репликацией всё ок (репликация происходит по отдельному site-to-site VPN).

Проверьте, на обоих ли интерфейсах, где нужен профиль, выставлен DNS суффикс домена?

Если вы про это:
Connection-specific DNS Suffix . :
то везде пусто.
если вы про это:
Primary Dns Suffix . . . . . . . :
то везде стоит доменное имя.

Попробуйте указать на нужных интерфейсах доменный суффикс и проверить.

Добавил - ничего не поменялосью

и интерфейс и так определяется как доменный:
http://s018.radikal.ru/i525/1711/4f/0fa7b44bd449.png

Я так понимаю проблема со вторым сервером, который не получает доменный профиль. Интерфейс передергивали после добавления суффикса на нем?
Если не поможет есть вариант зафорсить выбор профиля через политики: https://technet.microsoft.com/en-us/library/jj966256(v=ws.11).aspx (https://technet.microsoft.com/en-us/library/jj966256(v=ws.11).aspx)

Интерфейс передергивали после добавления суффикса на нем? »
да.
Я так понимаю проблема со вторым сервером, который не получает доменный профиль.
Если не поможет есть вариант зафорсить выбор профиля через политики:»
да, но сервер (его сетевая карта) получает доменный профиль (см. картинку выше, это с проблемного сервера).
Но, отбой идёт, т.к. сервер считает удалённую сеть не доменной и применяет к ней публичный профиль фаервола.
Я не знаю почему, но MS нигде не пишет какие профили применяются к входящему трафику, а только какие профили применяются к сетевой карте. Однако по факту, не важно какой профиль установлен на сетевой карте, все три профиля фаервола применяются в зависимости от сети, из которой приходит запрос. Например:
- есть доменная сеть 10.10.10.0/24. Я включил правило на фаерволе, которое разрешает подключение RDP. Данное правило применяется только к доменному профилю. Следовательно, с любого хоста в сети 10.10.10.0/24 можно будет подключится по RDP к серверу.
- далее, я пробрасываю порт 3389 на своём роутере на сервер, и подключаюсь из интернета имея адрес, к примеру, 87.147.ХХХ.ХХХ. Данный адрес является публичным, по этому фаервол применяет правило для публичного профиля - а оно выключено (т.е. подключение не разрешено) - по этому я не могу подключится из интернета.

в моём же случае, к удалённой доменной сети один сервер применяет доменный профиль фаервола (что правильно), а другой сервер применяет публичный профиль фаервола (что неправильно).