Existem algumas coisas a considerar aqui.
-
Os Serviços de Certificados não devem estar em execução em um controlador de domínio.
-
2008 R2 é apenas x64. Se seus servidores de 2003 forem x86, não haverá caminho de atualização in-loco: link
-
Controladores de domínio de atualização in-loco não são suportados. Os Serviços de Diretório devem ser desinstalados antes de um servidor ser atualizado no local. -
Serviços de certificados podem estar em um servidor que teve seu sistema operacional atualizado.
Então você pode fazer algumas coisas supondo que seu 2003 é x64.
-
Instale novos DCs. Rebaixe os DCs atuais.Coloque o SO no local e siga este link sobre como atualizar o AD CS: link -
Faça backup e restaure a configuração da autoridade de certificação para novos servidores (também descritos no link acima). Remova o AD CS dos controladores de domínio. Coloque no local os servidores para os quais você migra o AD CS.
-
Defina uma nova PKI em novos servidores, de acordo com as práticas recomendadas, com uma raiz off-line e o AD CS em execução em servidores dedicados que não possuem outras funções instaladas. Revogar seus certificados emitidos atualmente. Desinstale o AD CS de suas CAs antigas. Re-emitir certificados do seu novo PKI.
Edit: Como Ryan aponta - colocar os DCs são suportados. Tenho 100% de certeza de que nem sempre foi esse o caso, mas parece ser agora, o que torna as coisas um pouco mais fáceis para você. Eu ainda recomendaria migrar os Serviços de Certificados dos seus DCs ainda.