Die Replikation zwischen Domänencontrollern erfolgt auch nach der Installation von SSL-Zertifikaten über RPC. Die Nutzdaten sind verschlüsselt, jedoch nicht mit SSL.
Wenn Sie die SMTP-Replikation verwenden, kann diese Replikation mit dem SSL-Zertifikat des Domänencontrollers verschlüsselt werden. Ich hoffe, dass 2017 niemand die SMTP-Replikation verwendet.
LDAPS ähnelt LDAP, verwendet jedoch SSL / TLS und das Zertifikat des Domänencontrollers. Normale Windows-Domänenmitglieder werden LDAPS jedoch nicht automatisch für Dinge wie DC Locator oder Domänenbeitritt verwenden. Sie werden immer noch nur einfaches cLDAP und LDAP verwenden.
Eine der Hauptmethoden für die Verwendung von LDAPS sind Dienste von Drittanbietern oder Systeme ohne Domänenbeitritt, die eine sichere Methode zum Abfragen des Domänencontrollers benötigen. Mit LDAPS können diese Systeme auch dann von verschlüsselter Kommunikation profitieren, wenn sie nicht zur Domäne gehören. (Denken Sie an VPN-Konzentratoren, WLAN-Router, Linux-Systeme usw.)
Windows-Clients mit Domänenbeitritt verfügen jedoch bereits über SASL-Signatur und -Siegelung sowie Kerberos, das bereits verschlüsselt und ziemlich sicher ist. Also werden sie das einfach weiterverwenden.
Smartcard-Clients verwenden das SSL-Zertifikat des Domänencontrollers, wenn die strikte KDC-Überprüfung aktiviert ist. Es ist nur eine zusätzliche Schutzmaßnahme für Smartcard-Clients, zu überprüfen, ob das KDC, mit dem sie sprechen, legitim ist.
Die Domänencontroller können ihre Zertifikate auch für die IPSec-Kommunikation untereinander oder mit Mitgliedsservern verwenden.
Das ist alles, woran ich gerade denken kann.