Para que um controlador de domínio (DC) usa um certificado?

A replicação entre controladores de domínio ainda ocorrerá por RPC, mesmo após a instalação de certificados SSL. A carga útil é criptografada, mas não com SSL.

Se você usar a replicação SMTP, essa replicação poderá ser criptografada com o certificado SSL do controlador de domínio... mas espero que ninguém esteja usando a replicação SMTP em 2017.

LDAPS é como LDAP, mas sobre SSL/TLS, utilizando o certificado do controlador de domínio. Mas os membros normais do domínio do Windows não começarão automaticamente a usar o LDAPS para coisas como DC Locator ou ingresso no domínio. Eles ainda usarão apenas cLDAP e LDAP simples.

Uma das principais maneiras pelas quais usamos LDAPS é para serviços de terceiros ou sistemas não associados ao domínio que precisam de uma forma segura de consultar o controlador de domínio. Com o LDAPS, esses sistemas ainda podem se beneficiar de comunicações criptografadas, mesmo que não estejam associados ao domínio. (Pense em concentradores VPN, roteadores Wifi, sistemas Linux, etc.)

Mas os clientes Windows associados ao domínio já possuem assinatura e selagem SASL e Kerberos, que já está criptografado e é bastante seguro. Então eles continuarão usando isso.

Os clientes de cartão inteligente usam o certificado SSL do controlador de domínio quandoValidação estrita do KDCestá ativado. É apenas uma medida extra de proteção para que os clientes de cartão inteligente possam verificar se o KDC com o qual estão conversando é legítimo.

Os controladores de domínio também poderiam usar seus certificados para comunicação IPsec, entre si ou com servidores membros.

Isso é tudo que consigo pensar agora.