Replikacja między kontrolerami domeny będzie nadal odbywać się przez RPC, nawet po zainstalowaniu certyfikatów SSL. Ładunek jest szyfrowany, ale nie przy użyciu protokołu SSL.
Jeśli używasz replikacji SMTP, replikację tę można zaszyfrować przy użyciu certyfikatu SSL kontrolera domeny ... ale mam nadzieję, że nikt nie używa replikacji SMTP w 2017 roku.
LDAPS jest podobny do LDAP, ale ma protokół SSL / TLS i wykorzystuje certyfikat kontrolera domeny. Ale zwykli członkowie domeny Windows nie zaczną automatycznie używać LDAPS do takich rzeczy jak DC Locator lub dołączanie do domeny. Nadal będą używać zwykłego cLDAP i LDAP.
Jednym z głównych sposobów, w jaki korzystamy z LDAPS, są usługi innych firm lub systemy nieprzyłączone do domeny, które potrzebują bezpiecznego sposobu odpytywania kontrolera domeny. Dzięki LDAPS systemy te mogą nadal korzystać z szyfrowanej komunikacji, nawet jeśli nie są przyłączone do domeny. (Pomyśl o koncentratorach VPN, routerach Wi-Fi, systemach Linux itp.)
Ale klienci Windows przyłączeni do domeny mają już podpisywanie i pieczętowanie SASL oraz Kerberos, który jest już zaszyfrowany i jest dość bezpieczny. Więc po prostu będą tego używać.
Klienci kart inteligentnych korzystają z certyfikatu SSL kontrolera domeny, gdy włączona jest ścisła walidacja KDC . To tylko dodatkowy środek ochrony dla klientów kart inteligentnych, aby móc sprawdzić, czy KDC, z którym rozmawiają, jest legalne.
Kontrolery domeny mogą również wykorzystywać swoje certyfikaty do komunikacji IPsec, zarówno między sobą, jak i z serwerami członkowskimi.
To wszystko, co mogę teraz wymyślić.
