Postei um comentário pedindo mais informações, mas com um entendimento (solto) do que você está tentando fazer, recomendo o seguinte:
Estou assumindo que as restrições orçamentárias estão na faixa "pequena empresa", portanto, eu diria que obtenha um firewall pfSense baseado em ALIX do Netgate para cada local, configurando os túneis de site para site IPSec / OpenVPN para um " HQ "- qualquer local que tenha o maior número de usuários no local deve obter o Small Business Server.
Quanto a separar os dados do usuário do AD e do email, você pode mover os Perfis, Pastas Compartilhadas do Usuário e / ou quaisquer outros compartilhamentos de rede para qualquer unidade lógica - contanto que o servidor possa vê-lo, você pode movê-lo . O mesmo acontece com o banco de dados do Exchange.
Você mencionou o e-mail, então eu recomendo configurar o Outlook em Qualquer Lugar para trabalhar nos túneis ou talvez usando o IMAP; ambos um pouco mais amigáveis para links de alta latência, como os seus túneis IPSec, do que os perfis MAPI.
Não há ideia de quais outros aplicativos de usuário você tem, não posso comentar sobre isso.