Danke für deine Antwort IThome.
Wo sollen die globalen Gruppen erstellt werden? Wenn meine Denkweise richtig ist, müsste doch auf einem der beiden Server eine "Software" vorhanden sein, die die Benutzer aus dem AD beider Server hat. Je nachdem wie sich der Benutzer anmeldet müsste doch dann per Regel definiert werden, welcher Benutzer in Netz A und wlecher in Netz B geroutet wird.
Sorry, was meinst du hiermit "... dass der Server die VPN-Verbindungen terminiert, ist das überhaupt so ?"