A nova CA raiz não listará os modelos de certificado de versão 2 e 3 do esquema

Estou tentando descomissionar uma máquina do Server 2008 que hospeda DC, NPS e CA. Eu implantei dois novos servidores para assumir como CA raiz e servidor RADIUS (ambos os novos servidores são 2012R2). A nova CA raiz está emitindo certificados (inscrição automática de autenticação DC) e o novo servidor NPS foi restaurado com nossa configuração existente.

Como estou removendo o servidor NPS de um controlador de domínio, preciso emitir um certificado RAS e IAS Server da minha nova CA. Quando tento selecionar o certificado que criei para emitir, a interface só está listando os modelos de certificado com uma versão de esquema 1 como disponível para emissão. Isso é devido ao meu nível funcional de domínio (2008)? Ou o fato de que eu ainda tenho uma CA autorizada executando o padrão Server 2008? Ou estou faltando alguma outra coisa?

-

EDIT 1: Para os meus propósitos, verifica-se que um antigo certificado regular do computador permite que o RADIUS se autentique. Eu ainda gostaria de descobrir por que não posso emitir modelos de certificado de versão 2/3 do esquema nessa configuração.

EDIT 2: Eu removi todos os modelos de certificado da CA do Server 2008. Quando eu gerencio modelos da CA 2012R2, posso ver os certificados V2 e 3, mas quando eu entro na tela "Modelo de certificado a ser emitido", apenas os modelos V1 são listados.

EDIT 3: exemplo de modelo:

• Modelo de Computador Duplicado (Cria um modelo da versão 2)
• Geral: altere o nome de exibição, marque a opção Publicar certificado no Active Directory
• Segurança: Confirme se os usuários autenticados leram, todas as outras permissões Padrão
• Todas as outras configurações padrão