SBS2011E + WS2012 + DHCP с разделенной областью действия + аппаратная VPN типа "сеть-сеть"

Немного новичок, когда дело доходит до этого, но я пробую, и пока все работает, но я надеюсь, что делаю это правильно, и пара небольших сбоев ...

В HQ есть контроллер домена SBS2011E (DC1), который обеспечивает DHCP и DNS для небольшой сети (IP: 192.168.10.11). Интернет-модем / роутер - это шлюз (192.168.10.1). DHCP настроен в конфигурации с разделенной областью действия 80/20 (192.168.10.100 - 192.168.10.200).

Новый офис устроен аналогично. Windows Server 2012 Standard (DC2), который также предоставляет DHCP и DNS (IP DC2: 192.168.10.12). DC2 - на данный момент - находится в штаб-квартире, пока он настраивается. Он был присоединен к домену и DCPromo'd, поэтому он реплицируется и, похоже, пока работает. Я запустил мастер разделения DHCP на DC1 для разделения 80/20. Эти настройки скопированы на DC2, поэтому он знает, какие IP-адреса он может обслуживать, а какие - нет. Интернет-модем / маршрутизатор является шлюзом - могу ли я установить для него статический IP, аналогичный шлюзу HQ, например 192.168.10.2?

Проблема, с которой я столкнулся, заключается в том, что при перезапуске DC1 он жалуется, что существующий DHCP-сервер находится в сети, и служба DHCP-сервера на DC1 останавливается. Я читал, что с SBS, в частности, не нравится, что другие DHCP-серверы находятся в одной подсети, даже если я настроил разделенную область? Он полностью осознает, что другой DHCP-сервер не будет обслуживать адреса из предложенного диапазона, потому что мастер успешно запустился ?! В качестве временного исправления я нашел запись в реестре (DisableRogueDetection), который был применен к DC1, но я не хочу полагаться на это, потому что это не «естественное» решение.

Почему сплит-прицел? Почему нет? Мы намерены переместить DC2 на наш удаленный сайт, где аппаратная VPN соединит две сети. Я хотел бы, чтобы два сервера могли помочь всей сети в отношении общих файловых ресурсов, DHCP и DNS. В результате я хотел бы, чтобы запросы DHCP проходили через VPN (на случай, если какой-либо из серверов не работает). DHCP с разделенной областью действия, о которой я читал во многих местах, должен обеспечивать именно то, что я намереваюсь? Тогда я мог бы использовать логический диапазон для всей сети.

Если разделение области видимости вызовет проблемы, я могу вернуться к разным диапазонам для двух серверов.

Могу ли я использовать аппаратную VPN для использования IP-адресов конечных точек, находящихся в пределах моей подсети? Устройство представляет собой универсальный маршрутизатор / VPN Draytek и т. Д., Поэтому он был настроен как шлюз, и я могу получить доступ к веб-интерфейсу, используя 192.168.10.1, поэтому я хотел бы иметь возможность добраться до другой конечной точки устройство (другой Драйтек, если можно) по аналогичному IP (например, 192.168.10.2) ...

Моя "идея" конфигурации сети:

Изменить 1: я думаю, мои вопросы:

1. Если я хочу использовать два DHCP-сервера, обслуживающих разделенную область действия, могу ли я продолжить использование взлома реестра SBS 2011 Essentials, чтобы он игнорировал мошеннические DHCP-серверы в сети - потому что у него ДВА ИДЕТ? Маршрутизаторы будут настроены так, чтобы разрешать запросы DHCP через VPN, поэтому, если один сервер DHCP не работает, другой все еще может отвечать.
2. Будет ли работать сетевая конфигурация моего изображения? Я пытаюсь получить совет до того, как приеду в удаленный офис, чтобы он не работал!
3. Могу ли я настроить свои VPN-маршрутизаторы так, чтобы IP-адреса соответствовали моему изображению, чтобы они могли быть частью сети и управляться с использованием адресов в пределах логического диапазона? Очевидно, я не спрашиваю, как их настраивать, я знаю это; но я спрашиваю, какие IP-адреса будут даны в туннеле.