A segurança adequada da rede indica que os servidores DMZ não devem ter acesso à rede 'Confiável'. A rede confiável pode chegar à DMZ, mas não ao contrário. Para servidores web com suporte a banco de dados como o seu, isso pode ser um problema, e é por isso que os servidores de banco de dados acabam em DMZs. Só porque está em um DMZ não significa que ele tenha acesso público, seu firewall externo ainda pode impedir todo o acesso a ele. No entanto, o próprio servidor de banco de dados não tem acesso dentro da rede.
Para servidores MSSQL, você provavelmente precisará de uma segunda DMZ devido à necessidade de falar com o AD DC como parte de seu funcionamento normal (a menos que esteja usando contas SQL em vez de integradas ao domínio, ponto no qual isso é discutível). Esse segundo DMZ seria o lar de servidores Windows que precisam de algum tipo de acesso público, mesmo que ele seja intermediado por proxy por meio de um servidor da Web primeiro. As pessoas de Segurança de Rede ficam mais irritadas quando consideram que as máquinas dominadas com acesso público obtêm acesso aos DCs, o que pode ser difícil de vender. No entanto, a Microsoft não deixa muita escolha neste assunto.