Дмитрий Шумов, добавить его на все клиентские машины, через GPO например.
Либо если у вас DNS AD-integrated, с помощью adsiedit поключиться к контексту, где лежит DNS (DomainDNSZones по умолчанию) и на директорию _tcp.nasta.local добавить нужные запрещающие права в ACL.
Вы перечислили оба основные варианта. Не можете настроить сами - учитесь, либо ищите специалиста.
Не смогли разобраться - пишите, что делали и вам подскажут ваши ошибки.
А готовое решение за вас бесплатно маловероятно кто-то будет делать.
Sergei Shevchenko, я не в курсе, никогда не имел CA размещенным с какими-то другими ролями.
При force removal вы можете потерять членство бывшего DC в домене, придется после metadata cleanup перевводить в домен.
CA нужно забекапить, а лучше вообще поднять новую VM на любом сервере и перенести.
Вообще главный ответ на ваш вопрос он таков - не стоит в продакшн среде делать то, в чем вы не уверены.
Василий Иванов, причем здесь этот ваш вопрос? Ваш первый звучал - как невозможность физически подключиться в двум OpenVPN серверам одновременно.
Ответ на него вам дали.
