Hola DOC buenos dias. Te comento que al principio cuesta acostumbrarse a los terminos y a comprender cada tecnologia de la marca que sea. Active Directory es algo que involucra muchas cosas y hace muchas cosas por lo que te recomiendo lo estudies lo mas posible para que lo comprendas mas ampliamente y sobre todo lo saques todo el jugo a esta excelente herramienta.

Te comento que Microsoft hace cursos para todos sus cachibaches que hace. En el caso de Active Directory te recomiendo el "Configuration and Troubleshooting Active Directory Domain Services 2008 R2", bueno ese fue el que tome Yo me imagino que ya hay uno nuevo para 2012, aunque me comentan que no ha cambiado gran cosa.
Asi que puedes darle una buscada por internet a ver si algun buen samaritano lo compartio,,jejeje.

Ahora en cuanto a tus dos pisos con tus dos switches y tus dos routers y tus dos conexiones a internet. Lo mejor seria que el PFSENSE fuera el centro de todos estos. No se si los switches que tienes soporten VLANs, asi puedes pasar por el mismo cable el enlace del otro piso sin tirar otro cable. De lo contrario pues si es recomendable tirar otro cable. Mi idea seria algo asi:

- Tus dos internets que se conecten a una tarjeta del PFSENSE, cada uno, si es que no soportan VLANs tus switches.

- Tu "red_piso1" a una tarjeta y tu "red_piso2" a otra tarjeta.

- El servidor PFSENSE es sistema operativo FREEBSD, por lo que se, asi que tiene que ir instalado solo en un equipo, a menos que este virtualizado, pero eso es otra cosa. Por eso te comentaba que podias usar un equipo con recursos limitados en disco duro y ram, y eso si con unas 4 tarjetas de red, sino tienes VLANS.

- Aunque pusieras el TMG de windows que corre sobre windows server NO es para nada recomendable mezclar el Active Directory con este porque te causara problemas y te creara una brecha en la seguridad como tal. Por eso te comentaba que se prefiere otro servidor.

- comentas que tienes dos servers, uno para el AD. Y el otro si lo tienes libre lo puedes utilizar para hacer el Firewall/Proxy con PFSENSE o TMG 2010

- Sin duda tu proyecto maneja muchas cosas y cada estapa tendra sus contratiempos y su estudio.

Te recomiendo que comiences por partes. Por ahorita ver que marca y modelo de switches tienes y routers para ver que soportan. Y ver si tendras que aventar otro cable al otro piso, de ser factible, o puedes utilizar el mismo con VLANs.

Si nos pudieras ir comentando la marca y modelo de tus switches y routers y la distancia del cable de red que une tu red1 con tu red2. Y me imagino que la linea del proveedor de internet una llega a un piso y la otra al otro o las dos te llegan en un piso y luego bajas un cable o como.....

Tambien pon la marca, modelo y caracteristicas del otro servidor y si lo estas usando o que tiene instalado. Para ver si puedes pasar todo en uno y te quede libre uno para el PFSENSE

Ya que tengas bien claro esto y solucionado podemos pasar a armar el equipo PFNSENSE y realizar pruebas antes de cambiar todo el entorno.....

Ahi nos comentas como te va.... buen dia