Você está correto em querer separar Controladores de Domínio de qualquer outra coisa, essa é uma prática recomendada para segurança; Além disso, como você já descobriu, o Exchange não roda bem quando executado em um DC.
Um controlador de domínio pode executar com segurança o DNS (isso é realmente recomendado) e o DHCP; Eu sugeriria, é claro, dividir as duas VMs em diferentes hosts físicos, a fim de obter a maior disponibilidade possível.
Você não precisa executar a edição Enterprise do Windows Server 2008 R2, já que não está fazendo nenhum cluster de failover e as edições x64 não estão limitadas na RAM utilizável, como costumavam ser as edições x86; Eu sei que você tem licenças "gratuitas", mas é melhor usar a edição do Windows mais adequada ao seu ambiente, não a mais poderosa disponível.
Sobre a virtualização: se seus hosts só executarem VMs (e realmente deveriam), sugiro executar um produto hipervisor "puro", em vez de um O.S completo; Portanto, sua melhor opção seria o Servidor Hyper-V, se você quiser ir com a Microsoft ou o VMWare ESXi (a edição gratuita), se quiser ficar com o VMWare; Não sei se você tem alguma experiência com o ESX / ESXi, mas posso garantir que é uma coisa completamente diferente do Workstation / Server; Eu pessoalmente acho que é muito melhor do que o Hyper-V, mas isso é uma questão principalmente pessoal. De qualquer forma, eu evitaria executar um Windows Server 2008 R2 completo com a função Hyper-V habilitada.
Sobre a Autoridade de Certificação: isso deve ser executado em seu próprio servidor (virtual), que não deve fazer mais nada. Desde que você está indo virtual, isso não deve ser um problema específico, e você vai economizar algumas dores de cabeça.