Eu descobri isso. Conforme indicado nas minhas edições, a causa raiz era o certificado raiz no meu pdc ter expirado. A correção foi abrir o snap da Autoridade de Certificação e clicar com o botão direito do mouse no servidor na árvore à esquerda e ir para Todas as Tarefas e, na parte inferior, selecionar Renovar Certificação da CA. Isso me deu uma caixa de diálogo, mas quando eu cliquei em OK, tive um erro dizendo que não poderia criar a certificação, a permissão negada e o objeto já existia. Descobri que, se eu parasse o ADCS e depois fosse para ProgramData \ Microsoft \ Crypto \ RSA \ MachineKeys e os classificasse por data, o mais recente estava no topo. Eu abri com o Bloco de Notas e reconheci que o nome do objeto que estava sendo dito existia. Mudei o arquivo para a área de trabalho e reiniciei o ADCS e tentei renovar o certificado CA. Funcionou desta vez. Eu verifiquei isso também corrigiu o problema em outro DC de backup com sucesso fazendo um gpupdate / force e vi nenhum dos erros que eu estava recebendo.