Normalmente você teria uma DMZ para algo assim. Ter os DCs e o servidor de banco de dados no lado confiável do seu firewall.
Em seguida, coloque seu servidor da web na DMZ e só abra as portas da DMZ para Trust necessárias para que o domínio funcione corretamente (DNS, etc) e para que o servidor da Web se comunique com o servidor de banco de dados.
Em seguida, você abriria as portas necessárias para o seu servidor da Web de Untrust (tráfego externo) para DMZ.
Existem alguns debates sobre se os servidores de banco de dados críticos devem ou não estar no lado confiável de um firewall ou em um DMZ, isso realmente depende, mas eu prefiro mantê-los fora de um DMZ possível se eles contiverem dados críticos.
Os prós e contras da colocação do servidor de banco de dados são que os servidores DMZ têm maior probabilidade de serem comprometidos porque geralmente têm mais serviços voltados para a Internet. Isso tornaria o seu servidor de banco de dados mais provável de ser comprometido, mesmo que não tenha serviços voltados para a Internet. Por isso, é mais seguro dentro da interface confiável (rede interna). No entanto, você está conectando um servidor do seu lado confiável à DMZ, o que pode potencialmente expor sua rede confiável a atividades mal-intencionadas. Se você expor apenas as portas necessárias para a conectividade do banco de dados, esse risco é geralmente mínimo. É por isso que eu, pessoalmente, prefiro servidores de banco de dados para permanecerem dentro da interface confiável e apenas abrirem as portas necessárias para o DMZ apenas.