Para evitar que os inquilinos do andar de baixo acessem sua rede, você não pode ter duas sub-redes na mesma rede física (ou seja, você deseja conectar o ponto de acesso ao seu comutador principal). Você precisa comprar um comutador que suporte VLANs, portanto, você pode ter duas redes lógicas por meio do único comutador físico ou precisa ter dois comutadores separados. Os dois switches separados são então conectados ao firewall em NICs separados, mas o firewall não faz roteamento entre as duas sub-redes - somente entre as sub-redes e a Internet.
Em relação ao DHCP, o firewall ou roteador / ponto de acesso fornece um servidor DHCP? Caso contrário, você pode adicionar uma segunda NIC à sua caixa Server 2003, conectá-la à VLAN do switch / porão do porão, adicionar 192.168.1.x / 24 como um novo escopo e, em seguida, garantir que o DHCP esteja vinculado à segunda NIC em além do primeiro. No entanto, sua caixa Server 2003 é acessível a partir da sub-rede do porão, portanto, ela precisa ser protegida o suficiente.
Seu firewall pode suportar o DHCP Relay, que poderia encaminhar as solicitações DHCP originadas do porão para a caixa Server 2003 e procurá-las novamente, para que os clientes na sub-rede do porão não possam acessar a caixa Server 2003.