ドメインコントローラー（DC）は何のために証明書を使用しますか？

誰もがドメインコントローラーについて、また証明書をインストールする必要があると話しますが、結局のところオプションです。インストール後、実際にその証明書を使用するのは何ですか？私の理解では、少なくとも以下のために必要だということです。

• スマートカード認証
• LDAPS

ただし、ドメインコントローラーが証明書を使用するDCまたはActive Directoryによる特定のネイティブアクションがあるかどうかを知りたいですか？

私はここでセキュリティへの影響/良い習慣を知っています:)プレイ中のメカニズムに興味があります。

SSL証明書をインストールした後でも、ドメインコントローラー間のレプリケーションはRPCを介して行われます。ペイロードは暗号化されますが、SSLは使用されません。

SMTPレプリケーションを使用する場合、そのレプリケーションはドメインコントローラーのSSL証明書で暗号化できますが、2017年に誰もSMTPレプリケーションを使用しないことを望みます。

LDAPSはLDAPに似ていますが、SSL / TLS経由で、ドメインコントローラーの証明書を利用します。ただし、通常のWindowsドメインメンバーは、DCロケーターやドメイン参加などの目的でLDAPSの使用を自動的に開始しません。プレーンなcLDAPとLDAPを使用します。

LDAPSを使用する主な方法の1つは、ドメインコントローラーを照会する安全な方法を必要とするサードパーティサービスまたは非ドメイン参加システムです。LDAPSを使用すると、これらのシステムは、ドメインに参加していなくても、暗号化通信の恩恵を受けることができます。（VPNコンセントレーター、Wifiルーター、Linuxシステムなどを考えてください）

ただし、ドメインに参加しているWindowsクライアントには既にSASL署名とシーリング、およびKerberosがあります。Kerberosは既に暗号化されており、かなり安全です。それで彼らはそれを使い続けるでしょう。

スマートカードクライアントは、Strict KDC Validationがオンになっている場合、ドメインコントローラーのSSL証明書を使用します。スマートカードクライアントが通信しているKDCが正当であることを確認できるようにすることは、単なる保護の追加手段です。

ドメインコントローラーは、IPsec通信のために、ドメインコントローラー間またはメンバーサーバーとの証明書を使用することもできます。

私が今考えることができるのはそれだけです。