Os certificados de todos os controladores de domínio do Active Directory são necessários no cliente para LDAPS?

Você não menciona os detalhes do software do servidor da web. É disso que isso realmente depende.

Se o software do servidor da Web não estiver validando os certificados usados para LDAPS em relação a um certificado raiz da CA, não será necessário fazer nada. Isso acaba com o propósito de usar o LDAPS (desde que você esteja se abrindo para ataques MiTM), portanto, faz sentido instalar o certificado raiz da CA como raiz confiável no servidor web. Como você faz isso, especificamente, depende do SO e do software do servidor da Web.

Se o servidor da Web for uma máquina do Windows Server que seja membro do domínio do Active Directory para o qual sua autoridade de certificação interna está atuando como raiz corporativa, essa confiança será automática.

Não é necessário instalar nenhum certificado dos próprios DCs, já que esses certificados são, presumivelmente, assinados pela raiz da CA (que deve ser confiada pelo servidor da Web, conforme descrito acima).

Não, o certificado raiz da autoridade de certificação interna deve ser confiável pelo cliente LDAPS, não pelos certificados de entidade individuais dos controladores de domínio.

Essa confiança é automática em uma configuração padrão, supondo que o servidor da Web seja um membro desse domínio.