LDAP не является обязательным условием для ADCS. Если ваша компания использует ADDS, у вас есть возможность развернуть ЦС предприятия, чтобы упростить выпуск и развертывание сертификатов для пользователей и компьютеров.
Если у вас нет домена AD, вы устанавливаете автономные центры сертификации.
Поэтому ваш подход не имеет смысла. Вы не стали бы устанавливать ADDS на server2 только для запуска промежуточного ЦС.
Существует много способов настроить инфраструктуру PKI, и, кажется, вам следует прочитать эту тему, чтобы немного понять, как реализовать свои потребности. Я предлагаю вам начать с этого руководства: https://techcommunity.microsoft.com/t5/ask-the-directory-services-team/designing-and-implementing-a-pki-part-i-design-and-planning/ba-p/396953
Но чтобы ответить на ваш вопрос: Присоедините server2 к тому же домену AD, что и сервер 1, и установите Подчиненный ЦС предприятия. Если вы планируете иметь свой корневой ЦС онлайн (что я предполагаю), то это должно быть Корневой ЦС предприятия.
Однако, если вы планируете внедрить многоуровневую PKI, ваш корневой ЦС должен быть автономным и автономным. Вы также никогда не должны устанавливать ЦС на контроллере домена. И ваши местоположения CDP и AIA должны быть только на HTTP-сервере, при необходимости также развертывая дополнительный сервер OCSP.
В небольших компаниях, где сертификат требуется только для внутренних целей, вы можете обойтись установкой одного корпоративного корневого ЦС, а также использовать LDAP в качестве местоположений CDP и AIA.
Я настоятельно рекомендую вам прочитать эту статью, если вы планируете запустить свою PKI в производство.
