Для чего контроллер домена (DC) использует сертификат?

Репликация между контроллерами домена по-прежнему будет происходить через RPC, даже после установки сертификатов SSL. Полезная нагрузка зашифрована, но не с помощью SSL.

Если вы используете репликацию SMTP, эту репликацию можно зашифровать с помощью сертификата SSL контроллера домена ... но я надеюсь, что никто не использует репликацию SMTP в 2017 году.

LDAPS похож на LDAP, но через SSL / TLS с использованием сертификата контроллера домена. Но обычные члены домена Windows не начнут автоматически использовать LDAPS для таких вещей, как DC Locator или присоединение к домену. Они по-прежнему будут использовать простой cLDAP и LDAP.

Один из основных способов использования LDAPS - это для сторонних служб или систем, не присоединенных к домену, которым нужен безопасный способ запроса контроллера домена. С LDAPS эти системы по-прежнему могут извлекать выгоду из зашифрованной связи, даже если они не присоединены к домену. (Подумайте о концентраторах VPN, маршрутизаторах Wi-Fi, системах Linux и т. Д.)

Но клиенты Windows, присоединенные к домену, уже имеют подпись и запечатывание SASL и Kerberos, который уже зашифрован и довольно безопасен. Так что они просто продолжат это использовать.

Клиенты смарт-карт используют SSL-сертификат контроллера домена, когда включена Строгая проверка KDC . Это просто дополнительная мера защиты для клиентов смарт-карт, позволяющая проверить, что KDC, с которым они разговаривают, является законным.

Контроллеры домена также могут использовать свои сертификаты для связи IPsec, либо между собой, либо с рядовыми серверами. .

Это все, о чем я могу думать прямо сейчас.