Может я не прав, но почему бы просто клиентам не раздать DNS 1/2 8.8.8.8/8.8.4.4 и маршрутить эти адреса /32 в vpn туннель, а на том конце туннеля NAT, Default GW все дела..
Нужно в логах ноута искать записи о невозможности обновить A/AAA-записи на DNS-серверах. Причин может быть много. От Firewall, до самого Dns-сервера. если он не связан с AD, то обновлений записей не будет.