Включить роль центра сертификации AD, что может пойти не так?

Установка полноценного центра сертификации для подписания единого сертификата для вашего контроллера домена кажется трудоемким и не очень выгодным. Если все, что вам нужно, это LDAPS на одном контроллере домена, ваше время может быть лучше потрачено просто на покупку стороннего сертификата (есть центры сертификации, которые также предлагают бесплатные сертификаты), при условии, что ваше доменное имя действительно принадлежит вам, а не что-то вроде corp.local . Вот пара документов, которые могут помочь:

• Требования к сертификатам контроллеров домена от стороннего центра сертификации
• Включите LDAP через SSL со сторонним центром сертификации

Если вы не можете использовать общедоступный центр сертификации для по какой бы то ни было причине, я бы все равно выбрал что-то вроде New-SelfSignedCertificate вместо того, чтобы устанавливать ADCS для одного сертификата.

Чтобы ответить на ваши вопросы.

• Нет, AD не перестанет принимать незашифрованные соединения после добавления сертификата. Зашифрованные службы TLS работают на разных портах.
• Я не совсем понимаю, что вы имеете в виду под «установленными сертификатами». Но, как правило, нет, установка ADCS не влияет на существующие хранилища сертификатов, кроме добавления нового корневого сертификата CA как доверенного.
• Другие серверы не смогут подключиться, если они были настроены на использование TLS и не были настроены на доверие корневому сертификату CA (если они также не были настроены на отключение проверки сертификата, что обычно является плохой идеей). (Это еще одно преимущество общедоступного сертификата, заключающееся в том, что ему уже будут доверять клиенты)
• Ваш VPN вряд ли начнет использовать LDAPS для аутентификации, если вы не настроите его для этого. Но как только вы это сделаете, да. Проверка подлинности VPN будет зависеть от правильно работающего TLS.