O poder de postar ... Eu finalmente encontrei este artigo :
Basicamente, para fazer isso, você precisa ter o certificado na loja cert NTDS services. O problema é que, em uma caixa SErver Core, a Microsoft fornece exatamente 0 utilitários / ferramentas oficiais para fazer isso. Você não pode adicionar certs com chaves particulares remotamente à loja cert NTDS e não pode usar o snap-in do MMC na caixa Núcleo, nem o certutil.exe ou os cmdlets do PowerShell integrados funcionam com algo diferente de LocalMachine e Usuário atual .
Você precisa exportar a chave do Registro referente ao seu certificado do armazenamento LocalMachine e depois importar essas configurações para o registro no local do Registro da loja de certificação NTDS.
Após a reinicialização, as conexões LDAPS para auth.company.com foram aceitas sem nenhum problema.