Se você quiser usar a delegação Kerberos para criar uma infraestrutura segura (e VOCÊ FAZ), precisará ingressar nesses servidores Web no domínio. O servidor da Web (ou conta de serviço) precisará da capacidade de delegar atribuído a ele para permitir a representação do usuário em seu servidor SQL.
Você deseja evitar a utilização da autenticação baseada em SQL no SQL Server se tiver requisitos de auditoria ou estatutários para rastreamento de acesso a dados (HIPAA, SOX, etc.). Você deve estar rastreando o acesso por meio de seu processo de provisionamento (ou seja, quem está em quais grupos, como isso foi aprovado e por quem) e todo o acesso aos dados deve ser feito por meio de uma conta atribuída ao usuário.
Para problemas DMZ relacionados ao acesso ao AD , você pode resolver um pouco disso com o Server 2008 usando um DC somente leitura (RODC), mas ainda há risco de implantar na DMZ. Existem também algumas maneiras de forçar um DC a usar portas específicas para passar por um firewall, mas esse tipo de cutomização pode dificultar o problema de problemas de autenticação.
Se você tiver necessidades específicas para permitir que os usuários da Internet e da Intranet acessem o mesmo aplicativo, talvez seja necessário investigar o uso de um dos produtos de Serviços Federados, seja da oferta da Microsoft ou algo como Ping Federated.