La replica tra controller di dominio avverrà comunque su RPC, anche dopo l'installazione dei certificati SSL. Il payload è crittografato, ma non con SSL.
Se si utilizza la replica SMTP, tale replica può essere crittografata con il certificato SSL del controller di dominio ... ma spero che nessuno stia utilizzando la replica SMTP nel 2017.
LDAPS è come LDAP, ma su SSL / TLS, utilizzando il certificato del controller di dominio. Ma i normali membri del dominio Windows non inizieranno automaticamente a utilizzare LDAPS per cose come DC Locator o join di dominio. Utilizzeranno ancora semplicemente cLDAP e LDAP.
Uno dei modi principali in cui utilizziamo LDAPS è per servizi di terze parti o sistemi non appartenenti al dominio che necessitano di un modo sicuro per eseguire query sul controller di dominio. Con LDAPS tali sistemi possono comunque beneficiare di comunicazioni crittografate anche se non sono unite al dominio. (Pensa a concentratori VPN, router WiFi, sistemi Linux, ecc.)
Ma i client Windows aggiunti al dominio hanno già firma e sigillo SASL e Kerberos, che è già crittografato ed è abbastanza sicuro. Quindi continueranno a usarlo.
I client di smart card utilizzano il certificato SSL del controller di dominio quando la Convalida KDC rigorosa è attivata. È solo una misura aggiuntiva di protezione per i client di smart card per poter verificare che il KDC con cui stanno parlando sia legittimo.
I controller di dominio potrebbero anche utilizzare i loro certificati per le comunicazioni IPsec, tra loro o con i server membri.
Questo è tutto ciò che mi viene in mente in questo momento.