Você só pode ter um servidor de certificado do AD CS por vez em uma única instância do sistema operacional Windows Server.
Editar: Além disso, se você quiser levar a sério a segurança física da CA raiz, não a torne uma VM. Uma VM pode ser inicializada a partir do console de gerenciamento de VM e, em seguida, comprometida. Torne-o uma máquina física, use-a para configurar suas CAs de política e CAs emitentes, depois retire o cabo Ethernet da máquina da CA raiz e desligue-o. (O que você realmente não pode fazer com uma CA corporativa (integrada ao AD), mas esse é um tópico totalmente diferente.)