Да, я подразумеваю, что один из ЦОД является резервным. В офисах вы можете изгаляться как угодно - в т.ч. и держать по туннелю к каждому ЦОДу. Речь, в основном, про мобильных клиентов. Для обеспечения отказоустойчивости адрес l2tp/ipsec сервера для них может анонсить один из серверов. Вопрос балансировки можно решить за счет балансировщика (есть в т.ч. и виртуальные решения, например Brocade ADX) либо DNS
Чтобы заджойнить ноут в домен, между ним КД должна быть ip-связность по определенным портам (их там много довольно-таки, так что считаем, что связность должна быть полной, причем в обе стороны). Так что кмк, вам нужно просто определиться с набором сетей (офисы, ЦОД, мобильные клиенты) скажем из 192.168.0.0/16 и отделить их от собственно транспорта (туннели, связность между ЦОД и офисами и т.д.)