Quando você tem uma função de Certificado de autoridade, ela usa uma "chave" de um controlador de domínio existente e você precisa selecionar várias decisões de configuração no planejamento da própria autoridade de certificação e, no caso de promovê-la ao DC, ela uma chave independente para esse controlador de domínio, para que toda a "chave" que foi configurada anteriormente no servidor seja alterada e isso não seja permitido para uma CA. Então, basicamente, isso não é permitido quando você tem a função de autoridade de certificação instalada no servidor para consistência.
Se você deseja promover para o servidor membro, será necessário desinstalar completamente a função Certificado de autoridade antes de elevar o servidor para o controlador de domínio.
O ponto principal é que você está fazendo isso na ordem errada, você eleva o servidor para o controlador de domínio e instala os serviços de autoridade de certificação. Na configuração, ele perguntará se você deseja criar um farm de autoridade de certificação. ou se é o primeiro servidor (chamado root para CA).
Concluindo, você não poderá promover o servidor no DC até remover os serviços de CA. se você fizer isso, todos os certificados que foram assinados por essa CA precisariam de uma rechamada e reinstalar os certificados nos servidores, se necessário.