Antes de mais nada, seria melhor se você declarasse claramente qual produto você usa - "Windows Server 2012 R2" (que não é produto gratuito) com a função Hyper-V instalada ou "Hyper-V Server 2012 R2" ( que é grátis).
Mas de qualquer maneira, o que sua configuração parece não ter, é o conceito da chamada "rede de gerenciamento". Como você não declarou isso explicitamente, suponho que a estação de trabalho do administrador seja colocada no mesmo segmento de rede que as máquinas dos usuários. Nesse caso, não faria muito sentido "separar" o host do resto da comunidade. Se você quiser isolá-los adequadamente, é necessário, em primeiro lugar, separar as estações de trabalho do administrador em uma sub-rede IP dedicada e, em seguida, criar mais uma sub-rede para o host do Hyper-V e outra para o (s) servidor (es) virtualizado (s). ; se o Exchange estiver acessível a partir da Internet - ainda outra sub-rede para ele (DMZ na verdade) e, finalmente, uma sub-rede distinta para os usuários. Em seguida, configure listas de acesso - ou melhor, um firewall - no seu equipamento de rede. Obviamente, você precisa de um switch / roteador / firewall L3 para fazer tudo isso.
Como você pode ver, a pequena escala de sua configuração não o livra do cumprimento dos princípios básicos de segurança. Então, se você ainda tiver problemas (as chances são), isso ocorrerá por não aderir às melhores práticas de segurança, e não por configurar algum recurso de uma maneira ou de outra.