A replicação entre os controladores de domínio ainda ocorrerá sobre o RPC, mesmo após a instalação dos certificados SSL. A carga útil é criptografada, mas não com SSL.
Se você usar a replicação SMTP, essa replicação poderá ser criptografada com o certificado SSL do controlador de domínio ... mas espero que ninguém esteja usando a replicação SMTP em 2017.
O LDAPS é como o LDAP, mas via SSL / TLS, utilizando o certificado do controlador de domínio. Mas os membros normais do domínio do Windows não começarão automaticamente a usar o LDAPS para coisas como o DC Locator ou o ingresso no domínio. Eles ainda usarão apenas cLDAP e LDAP simples.
Uma das principais maneiras em que usamos o LDAPS é para serviços de terceiros ou sistemas não ingressados no domínio que precisam de uma maneira segura de consultar o controlador de domínio. Com o LDAPS, esses sistemas ainda podem se beneficiar de comunicações criptografadas, mesmo que não estejam associadas ao domínio. (Pense em concentradores VPN, roteadores Wifi, sistemas Linux, etc.)
Mas os clientes Windows que participam do domínio já possuem assinatura e lacramento SASL e o Kerberos, que já está criptografado e é bastante seguro. Então eles vão continuar usando isso.
Os clientes de cartão inteligente fazem uso do certificado SSL do controlador de domínio quando a Validação estrita do KDC está ativada. É apenas uma medida extra de proteção para clientes de cartão inteligente para poder verificar se o KDC com o qual eles estão conversando é legítimo.
Os controladores de domínio também podem usar seus certificados para comunicação IPsec, entre si ou com servidores membros.
Isso é tudo em que consigo pensar agora.