В итоге понял в чем была проблема.
Оказывается сервер 12 где крутится чанга не поддерживает метод шифрования пароля сертификата.
А т.к я пробовал делать анпакинг сертификатов на 11 винде эй было очень даже замечательно.
Вот команда для WSsrv2012 r2
openssl pkcs12 -export -certpbe PBE-SHA1-3DES -keypbe PBE-SHA1-3DES -nomac -inkey private.key -in cert_name.crt -out cert_name.legacy.pfx
Почту можно сделать через yandex или google у них есть корпоративные решения + меньше гемороя вам.
Разработку или перенос сайта можно через хостера организовать (например Reg ru) стоит это не больших денег.
Да на втором контроллере есть DNS. С первого контролера где основной DNS, форвард был настроен на второй DNS. А на втором DNS в форварде было пусто. Как работал инте все это время хз. Провайдер сам использует гугловский DNS. На оба DNS добавил в форвард гугловский днс.
нет ни одной вкладки