практика расширения сети
 

Имеем:
1 сервер: хозяин AD+DNS(ad-integrated)+DHCP, WSUS и прочее стороннее кроссплатформенное ПО
2 сервер : допконтроллер AD+DNS(ad-integrated)
около 200 компьютеров клиентов настроенных на использование DHCP
сеть 192.168.0.x/24
Ошибок в журналах на серверах не имеем, netdiag + dcdiag проходят без ошибок

Хотим получить
для повышения отказоустойчивости в сети было принято решение об установке дополнительного DHCP сервера для обслуживания дополнительной области.
т.к. все клиенты помноженные на 2 в текущую область не вписываются, то принято решение перевести сеть на 192.168.0.x/22

Планирую следующие работы
1. на серверах со статическими адресами меняю маску на 255.255.252.0
2. смена настроек подсети домена.
3. добавление в DNS зон обратного просмотра для новой сети.
4. удаляю старую зону в первом DHCP и создаю 192.168.1.x под маску 255.255.252.0, на втором DHCP сервере зону 192.168.2.x под маску 255.255.252.0

и если я ничего не пропустил, то хотелось бы уточнить пункты 2 и 3
2. на этом этапе так понимаю нужно сменить ширину подсети в оснастке "сайты и службы" на контроллере домена, но возникает вопрос, как вернуть некий ACL контейнер с содержимым. При создании новой подсети он не появляется, а старую подсеть отредактировать невозможно только удаление.
3. что нужно добавлять в зоны обратного просмотра DNS?

По п2. завалить и создать новые
А по п.3

Давайте разберемся для начала
маска у вас 22 т.е. 255.255.252.0, в таком случаи код сети будет равен 192.168.0.0
мин адрес 192.168.0.1 макс адрес 192.168.3.254

Приходит в голову создать зону 168.192.in-addr.arpa а в ней соответствующие DNS домены: 0, 1, 2, 3.

мой опыт
кратко:
1) на DHCP удалил имеющуюся область.
2) создал другую область.
3) восстановил ручками исключения.
4) ручками изменил маску на серверах со статическими адресами.
5) всё. больше ничего не делал. Обратная зона создалась сама, т.к. DNS сервер настроен динамически обновляться с авторизованного DHCP сервера в домене.

по пункту - 2
Старую подсеть, которая содержит контейнер ACS с параметрами aCSPolicy0, aCSPolicy1, Config можно смело удалять? Настораживает то что в новой подсети не получается создать что-либо. Или оно должно создаться автоматом?

по пункту - 4
когда создам домены 0, 1, 2, 3, нужно будет создать А-записи папок верхнего уровня? Не могу понять как их создать

что-то я не совсем понял. а можно скрин, про что вы имеете ввиду. Я просто удалил SCOPE. и создал другую область, с нужными мне данными, маской. Естественно - резервации и опции руками восстанавливал, так как не нашёл инструмента импорта.
что такое А-запись папки верхнего уровня. Знаю только А-запись хоста.

Все должно вообще то само создаться, включая записи типа NS и А, на контроллерах домена ipconfig /registerdns для уверенности запустите.
Еще дин момен - эти записи "Как папка верхнего уровня" провишутся в корне 168.192.in-addr.arpa а в поддомены уже будут вписываться хосты.

- и тем самым отказаться от безопасного обновления DNS.

По этому поводу я уже товарищу exo писал, то что авторизированный DHCP сервер может вам прописать в DNS не авторизированных клиентов. Можно переписать например имя фалового сервера - во прикольно будет:).

К примеру:
в сети все пользователи - только пользователи домена и своих компьютеров. BIOS запаролен.
без уведомления IT отдела в сети никто не имеет право присоеденять новые устройства. В противном случае - серьёзный штраф.
как и кто даст переписать имя файлового сервера? можете расказать по-подробнее, пожалуйста.

exo, заранее прошу не кипятиться, т.к. не хотел никого унизить или упрекнуть в не профессионализме.
я админ - прохлопал ушами и выпутил виртуальную машину в реальную сеть

Недавно был на конференции оп ИТ безопасности там приводили сводки, короче 60% всех проблем мы дорогие и любимые админы устраиваем себе сами.

конечно =)

пардон, это я про PTR хотел сказать

да дело не в этом. мне просто интересно узнать ваш опыт.
ну будем считать, у нас всё схвачено. начальнег не даёт уснуть :) я имею, нашу расслабленность.
у меня тоже стоит галочка - автоматически прописывать PTR записи.
Также настроенно удалять записи, если компьютер не появлялся в сети 7 дней.
да мы вобше не трогали сайты и трасты. я же говорю - удалили - завели новую - и всё.
и вот ещё. у нас там, на скрине, вообще ничего нет. может от того, что нет никаких доверительных отношений?

на скрине нет, наверное потому что снапин свернут.
с ACS что делать и вобще что это такое? =)

У вас там не CISCи стоят случайно? Тогда вам сюда.

из активного оборудования только два DES-2108

Всем спасибо за ответы и советы. Все получилось :)