Я использовал Прокси-сервер Авторизации NTLM, это делает то, что Вы ищете, если Вашим восходящим прокси является MS ISA.
Если бы Вы говорите о контроллере домена, содержащем Эмулятор PDC роль FSMO, я настоятельно рекомендовал бы выполнить его на физическом оборудовании. Это - основной источник синхронизации времени для всего домена (и весь лес, если в лесу базируются домен многодоменного леса). Отмечает время прихода на работу виртуальные машины известны за дрейф, и синхронизация времени довольно важна начиная с аутентификации оснований Active Directory на Kerberos, который, в свою очередь, имеет встроенную чувствительность времени (хотя можно настроить его, чтобы быть более "неаккуратными", если Вы действительно хотите к).
Я склонен к ошибкам со стороны осторожности, но у меня HyperV-серверы постоянно работают с DC.... Для удобства гипервизор присоединен к домену, но это все...