Во вновь поднятом домене в лесу, при попытке получить сертификаты контролером домена (пока только им - рабочих станций еще нет), на выпускающем ЦА выходит ошибка
решается запуском репликации Active Directory между нужными сайтами. После этого все работает как надо
P.S. все имена выдуманные :), используются на прототипе организации.