Мне кажется надо больше волноваться и думать про реализацию "планируется подымать виндовый сервер с ролями dns ad dhcp, соответственно заводить юзеров в домен"
1х-если АД и заводить юзеров то однозначно сервера ставить 2а по одному в каждую сеть или рискуете получить не работающий офис с выводом ошибки на экран "невозможно автоматизироваться в домен"
2-Если оптика Ваша то не вижу проблем реализовать ядро на Циске, если "оптика" это канал от оператора с ограниченой пропускной способностью исходить из реальности загруженности и тогда оптимально выбирать архитектуру.
3-если сервер только в одном филиале то зачем гнать трафик по кольцу?Выводите через дефолтный центральный маршрут, а существующий резервный интернет задействовать как резерв для ВПН доступа в случае падения "оптики" или выход в интернет в случае падения основного канала(с обрезанием все и вся кроме шефа и почты :)
Удачи