Защитна стена Zyxel - Windows Server 2025 Active Directory и защитна стена Zyxel (ZLD 5.40 / uOS 1.32)

Windows Server 2025 въвежда по-силни политики за сигурност, включително принудително използване на защитени канали за заявки към LDAP. Това се отразява на стандартната интеграция на защитните стени Zyxel с Active Directory - особено когато се използва удостоверяване на потребителя за услуги като IKEv2 VPN или Policy Control.

Поддържани продукти:

• Zyxel Firewalls (ZLD 5.40 и по-нови версии, uOS 1.32 и по-нови версии)
• Windows Server 2025 (ниво Forest 2025)

Zyxel Firewall може да бъде правилно интегрирана с Windows Server 2025 чрез защитен LDAPS канал (порт 636), който отговаря на изискванията за сигурност на Microsoft и осигурява стабилно удостоверяване. Започвайки с тази версия на Windows Server, всички LDAP заявки трябва да се изпълняват през LDAPS. В следващото ръководство е обяснено как да свържете сигурно защитните стени Zyxel към Active Directory, като използвате SSL сертификати.

Тази статия се фокусира върху конфигурирането на LDAPS интеграцията между Zyxel Firewall и Windows Server 2025 Active Directory.
За подробности относно въпросите, свързани със съвместимостта на удостоверяването, моля, вижте свързаната статия, посочена в долната част.
За информация относно проблемите със съвместимостта на протоколите за удостоверяване с Windows Server 2025 (като MS-CHAPv2 и NTLM предизвикателства) при използване на Zyxel Firewall, моля, вижте
👉 Zyxel Firewall - съвместимост на удостоверяването с Windows Server 2025

Инсталиране на Active Directory Certificate Services

• Отворете Server Manager (Мениджър на сървъра) → Add roles and features (Добавяне на роли и функции).
• Инсталирайте ролята Active Directory Certificate Services.
• За подробни инструкции относно инсталирането и конфигурирането на удостоверяващия орган в Windows Server 2022/2025, моля, вижте официалната документация на Microsoft. Ръководство на Microsoft
• Продължете с опциите по подразбиране и завършете настройката.
• Рестартирайте сървъра след инсталацията.

Конфигуриране на Сертифициращия орган

• Изберете ролевите услуги, които да конфигурирате:

  ✅ Сертифициращ орган

• Изберете Enterprise CA.
• Изберете Root CA.

• Създайте нов частен ключ (опция по подразбиране).
• Приемете криптографските настройки по подразбиране (RSA 2048 или по-високи).

• Посочете общо име (напр. Zyxel-InternalCA).
• Приемете периода на валидност по подразбиране или го персонализирайте според нуждите.
• Потвърдете и завършете конфигурацията.
• Рестартирайте сървъра.

Проверка на издаването на SSL сертификат

• Отворете Certification Authority от менюто Start.
• Разгънете дървото и отидете на Издадени сертификати.
• Уверете се, че сертификатът за контролера на домейна е издаден автоматично.

По желание: За да проверите чрез PowerShell:

Get-ChildItem -Path Cert:\LocalMachine\My

Конфигуриране на Zyxel Firewall за използване на LDAPS (порт 636)

Осъществете достъп до уеб интерфейса на Zyxel Firewall. Навигирайте до Object (Обект) > AAA Server (Сървър на AAA) или Authentication (Удостоверяване) > LDAP. Създайте нов LDAP запис: Адрес на сървъра: IP или FQDN на AD сървъра Порт: 636 Шифроване: SSL Основен DN: DC=example,DC=local Свързващ DN: CN=ldapbind,OU=Users,DC=example,DC=local Парола: за потребителя bind Импортирайте сертификата на главния CA в списъка с доверени сертификати на защитната стена (Object > Certificate > Trusted CA).

Тестване на удостоверяването

• Използвайте инструмента Test Authentication (Тестване на удостоверяването) в графичния потребителски интерфейс на защитната стена.
• Потвърдете успешната комуникация чрез LDAPS (636).

По избор: Интеграция на IKEv2 VPN

Ако използвате IKEv2 VPN:

• Отидете на VPN > IKEv2 Gateway/Auth Settings
• Изберете новия обект за удостоверяване LDAP/SSL като източник на потребители.
• Тествайте удостоверяването от VPN клиент.