Answers:
即使在安装SSL证书之后,域控制器之间的复制仍将通过RPC进行。有效负载已加密,但未使用SSL加密。
如果您使用SMTP复制,则可以使用域控制器的SSL证书对该复制进行加密...但是我希望2017年没有人使用SMTP复制。
LDAPS与LDAP类似,但使用域控制器的证书通过SSL / TLS进行。但是普通的Windows域成员不会自动开始使用LDAPS进行DC Locator或域加入之类的操作。他们仍将仅使用普通的cLDAP和LDAP。
我们使用LDAPS的主要方法之一是用于需要安全方式查询域控制器的第三方服务或未加入域的系统。使用LDAPS,即使未加入域,这些系统仍然可以从加密通信中受益。(请考虑VPN集中器,Wifi路由器,Linux系统等)
但是加入域的Windows客户端已经具有SASL签名和密封以及Kerberos,该Kerberos已经被加密并且非常安全。因此,他们将继续使用它。
启用严格的KDC验证后,智能卡客户端将使用域控制器的SSL证书。对于智能卡客户端来说,这只是一种额外的保护措施,使他们能够验证与之对话的KDC是否合法。
域控制器还可以在它们之间或与成员服务器之间使用其证书进行IPsec通信。
我现在能想到的就是这些。