[Destruction]

Цитата Ingolder:

ну как бы майкрософт собственно настаивает на трёхуровневой цепочке, но собственно можно и из двух, если организация небольшая, т.е. тупо один рутовый и все остальные. Одного недостаточно - это же рутовый, который надо отключать от сети и прятать, как в одно звено можно сделать? никак, только два. (Нет, ну можно то оно всё можно, но в производственной среде такое не катит). »

если планируется выдача сертификатов только для vpn, то вполне можно обойтись одним ЦС. я в свое время так и сделал. вот, почитайте статью по конфигурированию SSTP-сервера и посмотрите видео по настройке IKEV2-сервера

Цитата Ingolder:

я имею ввиду, где нужно "поставить галочку", чтобы по впн могли подсоединяться только те компы, которые в моём домене? »

собственно, подключаются к vpn не компы, а учетная запись - в AD для нее нужно разрешить "входящие звонки". а на компьютере необходимо будет установить соответствующие сертификаты в зависимости от используемого протокола.