vittmann

Тенденция последних лет - это использование ADDS только для хранения каталога. Вовсе не обязательно заворачивать на него аутентификацию и заставлять устройства быть привязанными к домену, сейчас это решается с помощью Azure AD, Okta, Cisco Duo + MDM, которые также позволят настроить вам Federation к другим веб-службам. То, что вы пытаетесь реализовать - задача, которая в итоге была решена именно этими сервисами.

Нормальный план - замечаний нет.
К вопросам:
1. Рекомендации размещения DC в каждом филиале устаревшие. Им следуют в основном в в двух случаях - при нестабильном канале и при наличии важных и работающих 24 часа в сутки сервисах, которым нужна AD - фабрики и т.п.
Для примера - один из бывших проектов, которыми занимался - транснациональная корпорация. Имеет по 2 DC в Франкфурте и ЮАР, которые накрывают собой все офисы в паре десятков стран на всем африканском континенте.
2. Трафик к контроллерам небольшой, 250 человек наверно мегабит в 5 влезут в пике. Репликация у вас будет в датацентре - так что этого трафика во внешних каналах не будет.
3. Для DC обычно хорошим тоном считается иметь достаточно ОЗУ, чтобы разместить ntds.dit весь в ОЗУ.
Вам хватит 4-8GB ОЗУ и каких-то core i3.
4. Приоритетизация по умолчанию не нужна.