La replicación entre controladores de dominio seguirá teniendo lugar a través de RPC, incluso después de instalar certificados SSL. La carga útil está encriptada, pero no con SSL.
Si usa la replicación SMTP, esa replicación se puede cifrar con el certificado SSL del controlador de dominio ... pero espero que nadie esté usando la replicación SMTP en 2017.
LDAPS es como LDAP, pero a través de SSL / TLS, utilizando el certificado del controlador de dominio. Pero los miembros normales del dominio de Windows no comenzarán a usar LDAPS automáticamente para cosas como DC Locator o unirse al dominio. Seguirán utilizando simplemente cLDAP y LDAP.
Una de las principales formas en que usamos LDAPS es para servicios de terceros o sistemas no unidos a un dominio que necesitan una forma segura de consultar el controlador de dominio. Con LDAPS, esos sistemas aún pueden beneficiarse de las comunicaciones encriptadas, incluso si no están unidas al dominio. (Piense en concentradores VPN, enrutadores Wifi, sistemas Linux, etc.)
Pero los clientes de Windows unidos al dominio ya tienen firma y sellado SASL y Kerberos, que ya está cifrado y es bastante seguro. Entonces seguirán usando eso.
Los clientes de tarjetas inteligentes utilizan el certificado SSL del controlador de dominio cuando se activa la validación estricta de KDC . Es solo una medida adicional de protección para que los clientes de tarjetas inteligentes puedan verificar que el KDC con el que están hablando es legítimo.
Los controladores de dominio también podrían usar sus certificados para la comunicación IPsec, ya sea entre ellos o con los servidores miembros.
Eso es todo lo que puedo pensar en este momento.