我可以從作為企業 CA 的 W2k8 伺服器中刪除 DC 角色嗎？

是否可以在不是域控制器的伺服器上執行 W2k8 Enterprise（AD 集成）證書頒發機構 - 我目前是 DC，我不記得這是否是要求？如果是這樣，我是否可以執行 dcpromo 來降級目前為 DC 的伺服器並執行 CA 而不會使該 CA 失效？我假設我的第一個問題的答案應該是“是”，因為伺服器只是 RODC，但我需要確保不會意外破壞 CA。

是的，可以在非 DC 伺服器上執行 CA。這就是我們的域的設置方式。CA 條目發佈到 Active Directory 的特殊區域，並且不需要在同一伺服器上安裝 DC 角色。

您應該能夠將伺服器 dcpromo 恢復為非 DC 角色，而不會出現任何問題；DC 和 CA 角色彼此不同。當然，我建議首先備份您的 CA（請參閱http://technet.microsoft.com/en-us/library/cc725565.aspx）。這樣，如果您有任何問題，您可以在新的伺服器實例上恢復您的 CA。

引用自：https://serverfault.com/questions/332084