Nathan está certo IMO, mas vou abordar suas "perguntas" reais:
I read several times that it's not a good idea to expose a DC to the internet, so I was thinking of setting up RODC on a cloud server instead and caching some credentials there.
O RODC ainda precisa ser replicado com o DC no seu QG. E o próprio servidor de nuvem teria que ser exposto à Internet ou você teria que configurar um túnel para essa instância de nuvem (o que aumenta ainda mais o comentário de Nathan).
Would I be able to authenticate against the RODC if the writeable DC was offline for several months? I'm worried that my credentials might be cached at first but expire at a later time.
Se o RODC não puder obter a replicação do RWDC, somente as credenciais de conta armazenadas em cache dos usuários autenticados em relação ao RODC enquanto ele estiver em condições de conversar com o RWDC poderão efetuar login.
Honestamente, Nathan está certo ... ou simplesmente faça login nos laptops com credenciais em cache para começar ... se você não estiver conectado à rede, os laptops ainda aceitarão suas credenciais em cache neles. Você pode ter problemas ao retornar, embora a própria conta da estação de trabalho tenha problemas de relação de confiança com o domínio, caso não tenha contatado o DC em 30 dias (por padrão).