Klingt ganz danach, als hätte da jemand wild sämtliche how-tos, die er gefunden hat, einfach mal befolgt.
Ganz von Null musst du da nicht. Einfach die Zertifikate frisch machen. Wenn du dich an die "unbekannte" CA nicht rantraust, dann mach für den Exchange ein separates per Let's Encrypt (oder wenns Ghetto bleiben soll, ein self-signed...) und roll das per GPO aus, das sollte deine Probleme beheben.
@Joshua: Daher auch die Anführungszeichen um das "best practice". Ich hatte ewig keinen mehr ohne gekauftes Zertifikat in den Griffeln, aber die hier geschilderte "Lösung" trägt nen starken Hauch von SBS 08/11....und da war das idR mit den Zertifikaten so, das war von Haus aus ne ziemliche Katastrophenlösung.