Как мне разделить эти роли / функции Windows Server 2008 R2?

Я перехожу кучу ролей и других функций (я не уверен, что все они строго «роли») с сервера 2003 на 2008 R2, и мне интересно, как мне их разделить.

В частности, какие роли я должен изолировать от других и тому подобное. Я новичок в администрировании Windows Server, но кое-что прочитал. То, что я уже прочитал, включает

• не запускайте RRAS на контроллере домена
• старайтесь не запускать Exchange на контроллере домена

В нашем офисе 40-50 пользователей и около 100 компьютеров - это должно дать представление о загруженности.

Вот список ролей:

• AD (один лес, один домен) - избыточность на отдельном оборудовании
• DNS - резервирование на отдельном оборудовании
• DHCP
• IAS для RADIUS
• RRAS для VPN
• WSUS
• Обмен
• IIS (только для веб-почты)
• KMS
• Служба диспетчера сертификатов / хранилища ключей (точное имя не известно)

Мой текущий план:

• ВМ 1: AD, DNS1, DHCP1, IAS, диспетчер сертификатов
• ВМ 2: AD, DNS2, KMS, WSUS
• ВМ 3: Exchange 2010 (все 3 роли, я думаю, мы достаточно малы), IIS
• ВМ 4: RRAS

Первоначально я надеялся начать с двух серверов / виртуальных машин и перейти оттуда, но, учитывая, что мне не нужны Exchange или RRAS на контроллере домена, я предполагаю, что это стоит затрат на пару дополнительных серверных лицензий как для настройки, так и для безопасности. Я понятия не имею, стоит ли держать один DC как можно более чистым и загружать другой всеми базовыми сервисами, или мне следует просто разделить их 50/50.

Какие изменения мне следует внести? Возможно ли сделать это менее чем на 4 виртуальных машинах? Есть ли конфликты, которые я не выявил?

ОБНОВИТЬ: Для начала я разделяю виртуальные машины между двумя физическими хостами. Один DC на каждом физическом хосте.