A replicação entre controladores de domínio ainda ocorrerá sobre o RPC, mesmo após a instalação dos certificados SSL. A carga útil é criptografada, mas não com SSL.
Se você usar a replicação SMTP, essa replicação poderá ser criptografada com o certificado SSL do controlador de domínio ... mas espero que ninguém esteja usando a replicação SMTP em 2017.
O LDAPS é como LDAP, mas sobre SSL / TLS, utilizando o certificado do controlador de domínio. Porém, membros normais do domínio do Windows não começarão automaticamente a usar o LDAPS para coisas como o DC Locator ou a associação ao domínio. Eles ainda usarão cLDAP e LDAP simples.
Uma das principais maneiras pelas quais usamos o LDAPS é para serviços de terceiros ou sistemas que não ingressaram no domínio que precisam de uma maneira segura de consultar o controlador de domínio. Com o LDAPS, esses sistemas ainda podem se beneficiar das comunicações criptografadas, mesmo que não estejam associadas ao domínio. (Pense em concentradores VPN, roteadores Wifi, sistemas Linux etc.)
Mas os clientes Windows ingressados no domínio já possuem assinatura e lacre SASL e Kerberos, que já está criptografado e é bastante seguro. Então eles continuarão usando isso.
Os clientes de cartão inteligente usam o certificado SSL do controlador de domínio quando a Validação Rigorosa do KDC está ativada. É apenas uma medida extra de proteção para os clientes de cartão inteligente poderem verificar se o KDC com o qual estão conversando é legítimo.
Os controladores de domínio também podem usar seus certificados para comunicação IPsec, entre si ou com servidores membros.
É tudo o que consigo pensar agora.