Имеем:
1 сервер: хозяин AD+DNS(ad-integrated)+DHCP, WSUS и прочее стороннее кроссплатформенное ПО
2 сервер : допконтроллер AD+DNS(ad-integrated)
около 200 компьютеров клиентов настроенных на использование DHCP
сеть 192.168.0.x/24
Ошибок в журналах на серверах не имеем, netdiag + dcdiag проходят без ошибок

Хотим получить
для повышения отказоустойчивости в сети было принято решение об установке дополнительного DHCP сервера для обслуживания дополнительной области.
т.к. все клиенты помноженные на 2 в текущую область не вписываются, то принято решение перевести сеть на 192.168.0.x/22

Планирую следующие работы
1. на серверах со статическими адресами меняю маску на 255.255.252.0
2. смена настроек подсети домена.
3. добавление в DNS зон обратного просмотра для новой сети.
4. удаляю старую зону в первом DHCP и создаю 192.168.1.x под маску 255.255.252.0, на втором DHCP сервере зону 192.168.2.x под маску 255.255.252.0

и если я ничего не пропустил, то хотелось бы уточнить пункты 2 и 3
2. на этом этапе так понимаю нужно сменить ширину подсети в оснастке "сайты и службы" на контроллере домена, но возникает вопрос, как вернуть некий ACL контейнер с содержимым. При создании новой подсети он не появляется, а старую подсеть отредактировать невозможно только удаление.
3. что нужно добавлять в зоны обратного просмотра DNS?

По п2. завалить и создать новые
А по п.3

Давайте разберемся для начала
маска у вас 22 т.е. 255.255.252.0, в таком случаи код сети будет равен 192.168.0.0
мин адрес 192.168.0.1 макс адрес 192.168.3.254

Приходит в голову создать зону 168.192.in-addr.arpa а в ней соответствующие DNS домены: 0, 1, 2, 3.

практика расширения сети »
мой опыт (http://forum.oszone.net/thread-121274.html)
кратко:
1) на DHCP удалил имеющуюся область.
2) создал другую область.
3) восстановил ручками исключения.
4) ручками изменил маску на серверах со статическими адресами.
5) всё. больше ничего не делал. Обратная зона создалась сама, т.к. DNS сервер настроен динамически обновляться с авторизованного DHCP сервера в домене.

по пункту - 2
Старую подсеть, которая содержит контейнер ACS с параметрами aCSPolicy0, aCSPolicy1, Config можно смело удалять? Настораживает то что в новой подсети не получается создать что-либо. Или оно должно создаться автоматом?

по пункту - 4
когда создам домены 0, 1, 2, 3, нужно будет создать А-записи папок верхнего уровня? Не могу понять как их создать

ACS с параметрами aCSPolicy0, aCSPolicy1, Config можно смело удалять »
что-то я не совсем понял. а можно скрин, про что вы имеете ввиду. Я просто удалил SCOPE. и создал другую область, с нужными мне данными, маской. Естественно - резервации и опции руками восстанавливал, так как не нашёл инструмента импорта.
создать А-записи папок »
что такое А-запись папки верхнего уровня. Знаю только А-запись хоста.

когда создам домены 0, 1, 2, 3, нужно будет создать А-записи папок верхнего уровня? Не могу понять как их создать »

Все должно вообще то само создаться, включая записи типа NS и А, на контроллерах домена ipconfig /registerdns для уверенности запустите.
Еще дин момен - эти записи "Как папка верхнего уровня" провишутся в корне 168.192.in-addr.arpa а в поддомены уже будут вписываться хосты.

братная зона создалась сама, т.к. DNS сервер настроен динамически обновляться с авторизованного DHCP сервера в домене »
- и тем самым отказаться от безопасного обновления DNS.

По этому поводу я уже товарищу exo писал, то что авторизированный DHCP сервер может вам прописать в DNS не авторизированных клиентов. Можно переписать например имя фалового сервера - во прикольно будет:).

Можно переписать например имя фалового сервера »
К примеру:
в сети все пользователи - только пользователи домена и своих компьютеров. BIOS запаролен.
без уведомления IT отдела в сети никто не имеет право присоеденять новые устройства. В противном случае - серьёзный штраф.
как и кто даст переписать имя файлового сервера? можете расказать по-подробнее, пожалуйста.

exo, заранее прошу не кипятиться, т.к. не хотел никого унизить или упрекнуть в не профессионализме.
как и кто даст переписать имя файлового сервера »
я админ - прохлопал ушами и выпутил виртуальную машину в реальную сеть

Недавно был на конференции оп ИТ безопасности там приводили сводки, короче 60% всех проблем мы дорогие и любимые админы устраиваем себе сами.

что-то я не совсем понял. а можно скрин,
конечно =)

что такое А-запись папки верхнего уровня.
пардон, это я про PTR хотел сказать

заранее прошу не кипятиться, т.к. не хотел никого унизить или упрекнуть в не профессионализме »
да дело не в этом. мне просто интересно узнать ваш опыт.
проблем мы дорогие и любимые админы устраиваем себе сами »
ну будем считать, у нас всё схвачено. начальнег не даёт уснуть :) я имею, нашу расслабленность.
пардон, это я про PTR хотел сказать »
у меня тоже стоит галочка - автоматически прописывать PTR записи.
Также настроенно удалять записи, если компьютер не появлялся в сети 7 дней.
Цитата exo:
что-то я не совсем понял. а можно скрин,
конечно »
да мы вобше не трогали сайты и трасты. я же говорю - удалили - завели новую - и всё.
и вот ещё. у нас там, на скрине, вообще ничего нет. может от того, что нет никаких доверительных отношений?

на скрине нет, наверное потому что снапин свернут.
с ACS что делать и вобще что это такое? =)

У вас там не CISCи стоят случайно? Тогда вам сюда (http://www.cisco.com/en/US/docs/net_mgmt/cisco_secure_access_control_server_for_windows/4.1/user/UsrDb.html).

из активного оборудования только два DES-2108

Всем спасибо за ответы и советы. Все получилось :)