Você precisa ingressar em um domínio para ser uma CA Enterprise , mas não precisa ser associado ao domínio para ser uma autoridade de certificação autônoma. Uma autoridade de certificação corporativa adiciona recursos que acompanham a integração com o Active Directory, mas a desvantagem é que você não pode colocá-la offline como faria com uma autoridade de certificação raiz de alta segurança.
Sim, é possível instalar o AD CS no mesmo servidor que um controlador de domínio. Mas isso não é realmente recomendado. É uma prática recomendada ter um controlador de domínio sendo apenas um controlador de domínio. Quanto mais serviços você instalar em um sistema, mais serviços você perderá quando esse sistema ficar inativo.
Editar: você também pode explorar designs mais robustos, como ter uma CA raiz off-line e uma CA de emissão corporativa.