Лучший подход к PKI уровня 2 с несколькими подчиненными с ADCS

В вашем первоначальном вопросе слишком мало информации. Но если вы ищете кластерное решение, имейте в виду, что ADCS не поддерживает балансировку нагрузки. ADCS поддерживает кластер серверов с двумя узлами, когда в данный момент активен только один узел.

Для реализации отказоустойчивого кластера ADCS в вашей сети я бы предложил прочитать официальный технический документ Microsoft: службы отказоустойчивой кластеризации и службы сертификации Active Directory. В этом техническом документе будут рассмотрены все важные аспекты кластеризации, подготовки, а также пошаговой установки и настройки ADCS.

Как мне нужно настроить OCSP, если я собираюсь запускать их на подчиненных, которые я кластеризирую?

Вы не должны совмещать роль Центра сертификации ADCS с какой-либо другой ролью. Вы должны использовать выделенный сервер для размещения сервера OCSP. Кроме того, сервер OCSP не должен использоваться для точек распространения CRL. В простейшей реализации ADCS с OCSP вам понадобятся следующие отдельные хосты:

1. CA кластерный узел A
2. CA кластерный узел B
3. Распределение CRL (любой веб-сервер будет в порядке)
4. Сервер OCSP

Если вы хотите обеспечить избыточность OCSP, вы можете настроить несколько серверов OCSP и создать массив серверов OCSP. Дополнительные сведения о настройке сервера Microsoft OCSP: руководство по установке, настройке и устранению неполадок сетевого ответчика