Should I deploy the AD DS on the Host or on a VM? I would really like the Host to ONLY serve the Hyper-V role for isolation and managability purposes.
Sem dúvida, seu host não deve estar executando o AD DS. Definitivamente, crie um controlador de domínio virtual.
Should I join the Host OS to the domain? Isn't it risky if for some reason the VM with the AD DS role doesn't start?
Pessoalmente, eu não faria. Com um único host, não acho que você terá vantagens e, devido à sua falta de redundância do AD, você está criando um único ponto perigoso de falha, como você apontou. Esta resposta muda quando você está sendo dimensionado e tem uma infra-estrutura AD decente. Além disso, certifique-se de que seu Host esteja configurado com IP e DNS estáticos.
What about the AD DS redundancy? Does it make sense to have a SECOND VM act as backup domain controller?!
Sim, mas o que faz um muito mais sentido é ter um controlador de domínio secundário em um host diferente ou ter um controlador de domínio físico separado. Eu estou supondo que você não tem o luxo para uma segunda VM é melhor do que nada, mas esteja ciente de que uma falha de host ou armazenamento poderia deixá-lo em um lugar ruim. Verifique se sua estratégia de backup está correta.
Eu não vou sentar e dizer "VOCÊ NÃO DEVE FAZER ISSO", mas você precisa estar ciente de quão frágil tudo estará em um host.
Should I leave office PCs as a work group, or deploy a local DC which replicates the original one?
Isso é realmente com você - o último é uma solução perfeitamente aceitável se você configurar seus Sites adequadamente para que o AD saiba que há uma WAN entre eles. Mas você não diz qual a relação que os servidores do DC têm para você. Se você não vai obter nenhum benefício real com isso, pode estar apenas criando um trabalho para si mesmo.
Embora , isso serviria para ser um DC físico redundante, o que seria legal.