Hallo Georg,
einen DC in einer VM zu betreiben, ist sicherlich sinnvoll. Aber ob es sinnvoll ist, einen DC bei Netcup zu betreiben, musst du dir vermutlich selbst beantworten.
Falls deine User an verschiedenen Internetanschlüssen hängen, kann es durchaus sinnvoll sein.
Bedenke allerdings, dass auf netcup-Servern hauptsächlich Linux Gastsysteme installiert und auch getestet werden. Könnte also sein, dass mit Windows nicht immer alles 100%ig glatt läuft.
Die Windows Firewall unterscheidet zwischen drei Profilen: Domäne, Öffentlich, Privat.
Es sollte funktionieren, dass du dein VPN dem Profil Domäne oder Privat zuordnest, und die entsprechenden Dienste dann nur für diese Gruppen erlaubst.
Falls doch nicht, kannst du über die "Windows-Firewall mit erweiterter Sicherheit" gezielt IP-Adressen erlauben/blockieren.
Ja - da gibt es viele Regeln und es erfordert einiges an Arbeit, die alle korrekt anzupassen. Aber zum gewünschten Ziel sollte es führen.
Mehr Sicherheit kannst du erreichen, wenn du dir einen zweiten kleinen vServer holst, der als Firewall fungiert.
Dazu brauchst du dann allerdings ein eigenes VLAN, welches 15 € pro Monat kostet: https://www.netcup.de/bestellen/produkt.php?produkt=911
Es sollte möglich sein, dass du dann öffentlichen Zugriff auf deinen DC komplett sperrst und der Zugriff nur über die Firewall möglich ist - näheres kann dir bestimmt der Support mitteilen.