Um pouco tarde, mas de qualquer maneira. Geralmente não é recomendado implantar o papel da autoridade de certificação em um controlador de domínio. Isso dificulta a atualização do AD, já que é necessário atualizar o DC para versões mais recentes do sistema operacional. Isso é difícil se mudar de sistemas operacionais baseados em sistema operacional de 32 bits para sistemas operacionais de 64 bits, como o Windows Server 2008 R2. Além disso, como a preferência é promover a criação de novos DCs limpos, em vez da atualização in-loco, quando se trata de rebaixar o antigo combo DC / CA, fica complicado.