Você precisa estar logado com uma conta que seja ao mesmo tempo um administrador corporativo e nos grupos Admins. do Domínio do domínio raiz. Você pode querer fazer o login como a conta de Administrador real do seu domínio, pois isso será um membro dos grupos de requisitos. O processo precisa fazer alterações no domínio e na floresta, por isso requer mais privilégios, normalmente necessários para as operações do dia-a-dia.
A máquina não deve ser um controlador de domínio ou ter outros serviços instalados.
Você deve ter o nome do computador definido como o que será para a vida da CA. Você não pode alterar o nome do computador sem colocar a CA off-line.
Antes de fazer qualquer coisa, você deve reservar um tempo para garantir que a máquina CA seja extremamente segura, aplique todos os patches apropriados e siga os procedimentos padrão de proteção de segurança.