Servidor mostrando um certificado raiz na cadeia que não deveria estar

Ambiente: Windows Server 2019, Nível Funcional de Floresta/Domínio - 2016, ~40 controladores de domínio com ~17 sites

Estrutura da PKI: Recebemos certificados emitidos por terceiros. Enviamos CSRs a eles e recebemos um certificado deles. Historicamente e atualmente, a cadeia de certificados segue: Raiz > Intermediário > Certificado de Máquina/Usuário.

Tenho o servidor1 e os servidores2-4 em um site, cada um com certificados. Se eu verificar (usando a interface do Windows) a cadeia de certificados de ambos os servidores no servidor2, a cadeia de certificados parece estar como esperado. Se eu verificar no servidor1, há outro certificado misteriosamente aparecendo no topo da cadeia para AMBOS os servidores.

Parece que meu certificado de CA raiz foi emitido por outro certificado, mas não é.

Gostaria de saber por que esses certificados mostram certificados diferentes na raiz quando visualizados em servidores diferentes.

O Servidor 1 aparece nos relatórios de vulnerabilidade como tendo sido emitido por um certificado não confiável. O Servidor 2 não aparece nesta lista. O servidor que produz esses relatórios é um servidor Linux e parece estar usando OpenSSL para realizar essas verificações.

Outra etapa de solução de problemas que fizemos foi criar um novo certificado. Antes de importar o certificado, ele mostrava uma cadeia de certificados esperada. Depois que o importei, o certificado misterioso apareceu novamente, acima do certificado raiz.

Então, antes de importá-lo, a cadeia de certificados parecia com Raiz > Intermediário > Máquina. Depois de importá-lo, parecia com isso: Nova Raiz Misteriosa > Raiz Anterior > Intermediário > Máquina.