Nos controladores de domínio do Active Directory, o suporte a LDAPS é opcional e precisa de um certificado adequado para ser ativado; caso contrário, somente serviços LDAP serão fornecidos. Uma maneira rápida de verificar se seu servidor suporta LDAPS é tentar uma conexão com sua porta TCP 636 (ou executar netstat
no próprio servidor): se estiver fechado, LDAPS não está habilitado e você deve habilitá-lo ou voltar para LDAP simples.
BTW, controladores de domínio não "geralmente funcionam como CA", e executar uma CA em um deles é uma prática muito ruim; É aconselhável fornecer-lhes um certificado adequado para apoiar o LDAPS, mas a CA deve realmente ser implementada em outro lugar.