Replikasi antara pengontrol domain masih akan terjadi melalui RPC, bahkan setelah menginstal sertifikat SSL. Payload dienkripsi, tetapi tidak dengan SSL.
Jika Anda menggunakan replikasi SMTP, replikasi itu dapat dienkripsi dengan sertifikat SSL pengontrol domain ... tapi saya harap tidak ada yang menggunakan replikasi SMTP pada tahun 2017.
LDAPS seperti LDAP, tetapi lebih dari SSL / TLS, menggunakan sertifikat pengontrol domain. Tetapi anggota domain Windows yang normal tidak secara otomatis akan mulai menggunakan LDAPS untuk hal-hal seperti DC Locator atau bergabung dengan domain. Mereka masih menggunakan cLDAP dan LDAP biasa.
Salah satu cara utama kami menggunakan LDAPS adalah untuk layanan pihak ke-3 atau sistem yang tidak bergabung dengan domain yang memerlukan cara aman untuk meminta pengontrol domain. Dengan LDAPS sistem-sistem itu masih dapat mengambil manfaat dari komunikasi terenkripsi bahkan jika mereka tidak bergabung ke domain. (Pikirkan konsentrator VPN, router Wifi, sistem Linux, dll.)
Tetapi klien Windows yang bergabung dengan domain sudah memiliki penandatanganan dan penyegelan SASL dan Kerberos, yang sudah dienkripsi dan cukup aman. Jadi mereka akan terus menggunakannya.
Klien kartu pintar memanfaatkan sertifikat SSL pengontrol domain saat Validasi KDC Ketat dihidupkan. Ini hanya ukuran tambahan perlindungan bagi klien kartu pintar untuk dapat memverifikasi bahwa KDC yang mereka ajak bicara adalah sah.
Pengontrol domain juga dapat menggunakan sertifikat mereka untuk komunikasi IPsec, baik di antara mereka sendiri atau dengan server anggota.
Hanya itu yang bisa saya pikirkan saat ini.