SSL नियंत्रकों को स्थापित करने के बाद भी, डोमेन नियंत्रकों के बीच प्रतिकृति RPC से अधिक हो जाएगी। पेलोड एन्क्रिप्टेड है, लेकिन एसएसएल के साथ नहीं।
यदि आप SMTP प्रतिकृति का उपयोग करते हैं, तो उस प्रतिकृति को डोमेन नियंत्रक के SSL प्रमाणपत्र के साथ एन्क्रिप्ट किया जा सकता है ... लेकिन मुझे आशा है कि 2017 में कोई भी SMTP प्रतिकृति का उपयोग नहीं कर रहा है।
LDAPS LDAP की तरह है, लेकिन SSL / TLS पर, डोमेन नियंत्रक के प्रमाणपत्र का उपयोग करता है। लेकिन सामान्य विंडोज डोमेन सदस्य स्वचालित रूप से डीसी लोकेटर या डोमेन जॉइन जैसी चीजों के लिए LDAPS का उपयोग शुरू नहीं करने वाले हैं। वे अभी भी सादे cLDAP और LDAP का उपयोग करेंगे।
मुख्य तरीकों में से एक है जिसमें हम LDAPS का उपयोग 3-पार्टी सेवाओं या गैर-डोमेन से जुड़े सिस्टम के लिए करते हैं जिन्हें डोमेन नियंत्रक को क्वेरी करने के लिए सुरक्षित तरीके की आवश्यकता होती है। LDAPS के साथ वे सिस्टम अभी भी एन्क्रिप्टेड संचार से लाभ उठा सकते हैं, भले ही वे डोमेन में शामिल न हों। (सोचिए वीपीएन कंसंट्रेटर्स, वाईफाई राउटर, लिनक्स सिस्टम आदि)
लेकिन डोमेन में शामिल विंडोज क्लाइंट के पास पहले से ही एसएएसएल साइनिंग और सीलिंग और केर्बरोस है, जो पहले से ही एन्क्रिप्टेड है और बहुत सुरक्षित है। इसलिए वे बस उसी का उपयोग करते रहेंगे।
जब सख्त केडीसी सत्यापन चालू होता है तो स्मार्ट कार्ड क्लाइंट डोमेन नियंत्रक के एसएसएल प्रमाणपत्र का उपयोग करते हैं । स्मार्ट कार्ड ग्राहकों के लिए यह सुरक्षा का एक अतिरिक्त उपाय है कि वे जिस केडीसी से बात कर रहे हैं, उसे सत्यापित करने में सक्षम हो।
डोमेन नियंत्रक IPsec संचार के लिए अपने प्रमाणपत्रों का उपयोग स्वयं या सदस्य सर्वरों के बीच भी कर सकते थे।
यही सब मैं अभी सोच सकता हूं।