Genau diesen Aufbau kann ich nur empfehlen.
Also den Windows Root Server, komplett vom Internet trennen, und mit einem zweiten Server die Firewall betreiben. Bei mir hat sich OPNsense mit ZeroTier bestens bewährt (auf den Gegenseiten läuft ein Raspberry pi mit ZeroTier)
Und wenn es im SCP endlich möglich ist das direkte Internet von Server zu trennen (quasi den Netzwerkstecker ziehen) wäre es optimal, sodass der Windows Rechner nur über ein VLAN ins Internet kommt. Aktuell muss immer darauf geachtet werden, dass die Netzwerkkarte deaktiviert ist und sich nicht nach irgendwelchen Windows Updates wieder aktiviert.
VPN regelt dann die Firewall.