Все говорят о контроллерах домена и о том, что у них должен быть установлен сертификат, но, в конце концов, это необязательно. Что на самом деле использует этот сертификат после установки? Насколько я понимаю, это необходимо как минимум для:
Однако я хочу узнать, есть ли определенные собственные действия DC или Active Directory, в которых контроллер домена использует сертификат?
Я осведомлен о последствиях для безопасности / хороших практиках здесь :) Меня просто интересует действующая механика.
Репликация между контроллерами домена по-прежнему будет происходить через RPC даже после установки сертификатов SSL. Полезная нагрузка зашифрована, но не с помощью SSL.
Если вы используете репликацию SMTP, эту репликацию можно зашифровать с помощью SSL-сертификата контроллера домена ... но я надеюсь, что никто не использует репликацию SMTP в 2017 году.
LDAPS похож на LDAP, но через SSL / TLS с использованием сертификата контроллера домена. Но обычные члены домена Windows не начнут автоматически использовать LDAPS для таких вещей, как DC Locator или присоединение к домену. Они по-прежнему будут использовать простые cLDAP и LDAP.
Один из основных способов использования LDAPS - это для сторонних служб или систем, не присоединенных к домену, которым требуется безопасный способ запроса контроллера домена. С LDAPS эти системы по-прежнему могут извлекать выгоду из зашифрованной связи, даже если они не присоединены к домену. (Подумайте о концентраторах VPN, маршрутизаторах Wi-Fi, системах Linux и т. Д.)
Но клиенты Windows, присоединенные к домену, уже имеют подпись и запечатывание SASL и Kerberos, который уже зашифрован и довольно безопасен. Так что они просто продолжат этим пользоваться.
Клиенты со смарт-картами используют сертификат SSL контроллера домена, когда Строгая проверка KDC включен. Это просто дополнительная мера защиты для клиентов смарт-карт, позволяющая проверить, что KDC, с которым они разговаривают, является законным.
Контроллеры домена также могут использовать свои сертификаты для связи IPsec между собой или с рядовыми серверами.
Это все, о чем я могу думать сейчас.