Troca
Depende de qual versão do Exchange você está usando. Se você tiver o Exchange 2007 ou 2010, há uma função personalizada para residir em uma DMZ: o Servidor de Borda. Coloque esse servidor em sua DMZ e configure portas corretas entre esse servidor e seus servidores de Transporte de Hub do Exchange de rede privada. Se você tem o Exchange 2000/2003, não há uma boa solução no que diz respeito ao InfoSec, você está praticamente preso ao abrir o SMTP (e o TCP / 443 se você usa o OWA) em uma máquina com domínio.
AD
Novamente, depende da sua versão do Exchange. Se você estiver em 2007/2010, o servidor Edge será projetado para operar sem nenhuma conexão ativa com um controlador de domínio real, portanto, não há necessidade de colocar um DC na DMZ. Se você estiver com 2000/2003, o servidor que está recebendo e-mail da Internet precisará estar conectado ao domínio de alguma forma, que pode ser para um DC em DMZ (mas sem portas de firewall DMZ / Internet abertas) ou para DCs na rede privada forma de política DMZ / firewall privado permitindo o tráfego.
Lembre-se de que "DMZ" não equivale a "todas as portas abertas", você pode abrir apenas as portas necessárias para os firewalls DMZ / Internet e Private / DMZ. Você pode manter um servidor Exchange 2000/2003 na DMZ e fazer furos em seu firewall privado / DMZ para permitir a comunicação com os DCs na rede privada. Sim, é um ponto de partida para ter seu DC hackeado, mas se isso realmente diz respeito a você atualizar para o Exchange 2010, onde a Microsoft projetou uma solução muito melhor para o problema.