Hey there! Let's break down your questions about setting up self-signed SAN certificates for LDAPS on your domain controllers—since you're avoiding AD CS for good reasons, these points should help you out:

• 证书有效期的选择：虽然自签名证书理论上可以设置成100年，但真的不建议这么做。首先，长期有效的证书一旦泄露，风险会持续很久，而且未来如果要替换（比如以后部署正规CA），批量更新过期证书会更麻烦。微软的最佳实践建议是1-5年，我个人更推荐1-3年，既不用太频繁更新，也能降低安全风险。另外，部分老版本Windows系统对超过特定年限的证书可能存在兼容性问题，保守点选短有效期更稳妥。

• 对客户端连接的影响：你判断得没错，目前DC没有证书，部署这个自签名LDAPS证书基本不会打乱现有客户端连接——普通LDAP（389端口）还是正常运行的，只有当客户端主动使用LDAPS（636端口）或LDAP over TLS（StartTLS）时才会用到这个证书。但要注意：客户端默认不会信任自签名证书，所以如果有客户端需要通过LDAPS连接，你得把这个证书导入到客户端的受信任根证书颁发机构存储里，不然会弹出证书信任错误导致连接失败。如果只是DC之间用LDAPS，只要把证书导入两台DC的受信任根存储就够了。

• EFS相关影响：放心，这个自签名LDAPS证书和EFS没直接关联。EFS的核心是用户自行管理的加密密钥（通常存在用户本地），DC的LDAPS证书只是用来加密LDAP通信的，不会参与EFS的密钥存储、备份或验证流程。之前没有CA时，客户端本来就自己负责EFS密钥备份，部署这个证书后，EFS的工作方式完全不变。以后如果部署正规CA，再考虑配置EFS用CA备份密钥就行，现在不用操心这个。

备注：内容来源于stack exchange，提问作者shodanshok