Репликация между контроллерами домена будет по-прежнему выполняться через RPC даже после установки SSL-сертификатов. Полезная нагрузка зашифрована, но не с помощью SSL.
Если вы используете SMTP-репликацию, эта репликация может быть зашифрована с помощью SSL-сертификата контроллера домена ... но я надеюсь, что никто не использует SMTP-репликацию в 2017 году.
LDAPS похож на LDAP, но использует SSL / TLS, используя сертификат контроллера домена. Но обычные члены домена Windows не собираются автоматически использовать LDAPS для таких вещей, как DC Locator или присоединение к домену. Они по-прежнему будут использовать простые cLDAP и LDAP.
Один из основных способов использования LDAPS - для сторонних сервисов или систем, не входящих в домен, которым требуется безопасный способ запроса контроллера домена. С LDAPS эти системы могут по-прежнему пользоваться зашифрованной связью, даже если они не присоединены к домену. (Подумайте о концентраторах VPN, маршрутизаторах Wi-Fi, системах Linux и т. Д.)
Но присоединенные к домену клиенты Windows уже имеют подпись и печать SASL и Kerberos, который уже зашифрован и довольно безопасен. Так что они просто продолжат использовать это.
Клиенты смарт-карт используют сертификат SSL контроллера домена, когда включена строгая проверка KDC . Это просто дополнительная мера защиты для клиентов смарт-карт, чтобы они могли проверить, является ли KDC, с которым они общаются, законным.
Контроллеры домена могут также использовать свои сертификаты для связи IPsec, как между собой, так и с рядовыми серверами.
Это все, что я могу думать прямо сейчас.
