Etki alanı denetleyicileri arasındaki çoğaltma, SSL sertifikaları yüklendikten sonra bile RPC üzerinden gerçekleşir. Yük şifreli, ancak SSL ile değil.
SMTP çoğaltması kullanıyorsanız, bu çoğaltma etki alanı denetleyicisinin SSL sertifikası ile şifrelenebilir ... Umarım 2017'de kimse SMTP çoğaltmasını kullanmaz.
LDAPS, LDAP gibidir ancak etki alanı denetleyicisinin sertifikasını kullanan SSL / TLS üzerindedir. Ancak normal Windows etki alanı üyeleri, DC Konumlandırıcı veya etki alanına katılma gibi şeyler için otomatik olarak LDAPS kullanmaya başlamayacaktır. Hala sadece düz cLDAP ve LDAP kullanacaklar.
LDAPS'ı kullanmamızın ana yollarından biri, etki alanı denetleyicisini sorgulamak için güvenli bir yola ihtiyaç duyan 3. taraf hizmetler veya etki alanına katılmayan sistemler içindir. LDAPS ile bu sistemler, etki alanına katılmasalar bile şifreli iletişimden yararlanabilirler. (VPN yoğunlaştırıcıları, Wifi yönlendiricileri, Linux sistemlerini vb. Düşünün)
Ancak etki alanına katılan Windows istemcilerinde zaten SASL imzalama ve mühürleme ve zaten şifrelenmiş ve oldukça güvenli olan Kerberos vardır. Yani bunu kullanmaya devam edecekler.
Akıllı kart istemcileri, Kesin KDC Doğrulaması açıldığında etki alanı denetleyicisinin SSL sertifikasını kullanır . Akıllı kart istemcilerinin, konuştukları KDC'nin meşru olduğunu doğrulayabilmeleri için ekstra bir koruma önlemidir.
Etki alanı denetleyicileri, kendi aralarında veya üye sunucularla IPsec iletişimi için sertifikalarını da kullanabilirler.
Şu anda aklıma gelen tek şey bu.