Заменить списанный корневой ЦС

Предыстория

Давным-давно MSP:

1. Первоначально устанавливали Windows SBS 2003, которая, вероятно, была контроллером домена и корневым центром сертификации.
2. Предположительно намного позже, установил Windows Server 2008 R2 в качестве контроллера домена и списал Windows SBS 2003, но, похоже, не выполнил тщательную работу, потому что учетная запись компьютера все еще существовала, был повышен только функциональный уровень домена и т. Д. И, по-видимому, корневой центр сертификации не был перенесен.

Спустя долгое время мы взяли на себя ИТ-поддержку и настроили Windows Server 2016 в качестве второго дополнительного контроллера домена.

Проблема

На контроллере домена Windows Server 2008 R2 LDAPS не удается подключиться с ошибкой <0x51> и 81 видимо потому, что, по мнению MMC | Certificates (Local Computer):

1. На нем не установлен сертификат, выданный AD CS.
2. В нем не установлен сертификат корневого ЦС AD (сертификат корневого ЦС установлен, но только на уже существующих серверах, и он выдается <organisation name> CA, а не стандартный <NetBIOS domain name>-<CA hostname>-CA).

Вопросы)

Как мы можем заменить списанный корневой центр сертификации Windows SBS 2003?

Если я переведу Windows Server 2016 в центр сертификации предприятия, что произойдет с текущими сертификатами? Будут ли они продолжать работать, потому что старые сертификаты корневого центра сертификации AD все еще установлены на каждом компьютере (теоретически)?