Eu acho que você está no caminho certo com tudo que você disse. Não existe uma maneira mais fácil de obter o tipo de cenário de autenticação que você está procurando.
Supondo que a segurança física no datacenter é razoável, acho que ambas as opções que você descreveu têm aproximadamente a mesma exposição. O controlador de domínio somente leitura (RoDC) que está no datacenter significa menos latência durante o logon. Você pode consultar o valor de msDS-RevealedList
se o RoDC estiver comprometido para determinar sua exposição de senha.
Idealmente, se você for capaz de desabilitar os protocolos NTLM e viver totalmente o Kerberos, sua exposição no caso de um invasor farejando o tráfego no datacenter também será minimizada.
Se a segurança física do datacenter estivesse em questão, eu desativaria as credenciais em cache em todas as máquinas do datacenter e autenticaria os usuários em uma conexão VPN. Há sentido em colocar um RoDC lá se alguém puder sair com ele. Eu estaria procurando um datacenter diferente, se fosse esse o caso.