O Samba v.3 pode ser um controlador de domínio no estilo NT4. Se você tinha um servidor AD em execução no Exchange, isso não é bom o suficiente.
Samba v.4 vai ser capaz de ser um controlador de domínio estilo Windows 2003, mas ainda não está feito. Não de longe.
A próxima pergunta seria: você ainda tem clientes Windows? Nesse caso, você tem um problema. O Windows não é tão plugável quanto o Linux. Embora seja possível alterar um determinado arquivo dll (esqueci o nome) para autenticar em um KDC genérico, o Windows foi criado para funcionar com o AD e somente com o AD. Qualquer outra coisa requer a alteração das dlls do sistema Windows. Isso é péssimo.
Se você não tiver nenhum cliente Windows, fica muito mais fácil. Você pode substituir facilmente o Windows AD por uma solução Kerberos / LDAP combinada. Os pacotes Kerberos kdc (Key Distribution Center) estão em todas as distros. Os servidores LDAP estão disponíveis em várias formas diferentes. O servidor OpenLDAP está na maioria das distros. Uma ferramenta de gerenciamento baseada em GUI para o diretório LDAP está disponível em muitos seridores LDAP de código aberto, como o 389 e também acho que o Apache DS.
Eu mencionei o FreeIPA projeto neste contexto em outro segmento como uma solução integrada, mas é apenas para Linux.
Então, para resumir uma longa história: você ainda tem clientes Windows na sua rede?
Edit: Aparentemente não. Então, construa um KDC, pegue uma cópia do 389 DS e pronto. Em seguida, você precisará executar alguns scripts LDAP para extrair informações do usuário do controlador de domínio e inseri-las no servidor LDAP. Eu não acho que você possa migrar as senhas dos usuários, provavelmente precisará redefini-las.