Zyxel Firewall-godkendelseskompatibilitet med Windows Server 2025

Oprettet - Opdateret
Serhii Boiarynov
Idea generator
Great answers
Master (Platinum)
Print Friendly and PDF
Har du flere spørgsmål? Indsend en anmodning

Vigtig meddelelse:
Kære kunde, vær opmærksom på, at vi bruger maskinoversættelse til at levere artikler på dit lokale sprog. Det er ikke sikkert, at al tekst er oversat korrekt. Hvis der er spørgsmål eller uoverensstemmelser med hensyn til nøjagtigheden af oplysningerne i den oversatte version, bedes du læse den originale artikel her:Original version

Med de kommende ændringer i Microsoft Windows Server 2025 er understøttelse af NTLM-godkendelse blevet forældet til fordel for mere moderne og sikre godkendelsesprotokoller. Som følge heraf kan godkendelsesmetoder, der er afhængige af MSCHAPv2 - såsom dem, der bruges i Active Directory (AD) og RADIUS-miljøer - opleve kompatibilitetsproblemer, når de forbindes med Zyxel-firewallapparater, der kører aktuelle firmwareversioner.

Bemærk: Fra april 2025 understøtter Windows Server 2025 fortsat MS-CHAPv2 til godkendelse.
Det er dog vigtigt at bemærke, at Windows Defender Credential Guard, der er aktiveret som standard i Windows Server 2025, kan forstyrre MS-CHAPv2-baserede godkendelsesmetoder, såsom PEAP-MSCHAPv2 og EAP-MSCHAPv2.
Denne interferens kan føre til godkendelsesfejl i scenarier som Active Directory (AD)-godkendelse på din Zyxel-firewall og RADIUS-servergodkendelse.

Hvis du ønsker at integrere din Zyxel Firewall med Windows Server 2025 Active Directory ved hjælp af LDAPS (TCP-port 636)ZLD 5.40 eller uOS 1.32, henvises til denne dedikerede artikel:
👉 Zyxel Firewall - Windows Server 2025 Active Directory og Zyxel Firewall ZLD 5.40/uOS 1.32

Bemærk: Denne artikel fokuserer på problemer med godkendelseskompatibilitet (f.eks. MS-CHAPv2, NTLM-udfasning) med Windows Server 2025. Hvis du leder efter trin til AD-integration ved hjælp af LDAPS, henvises der til den linkede artikel nederst.

Observeret adfærd

Når man forsøger at godkende brugere via AD eller NPS (Network Policy Server) ved hjælp af MSCHAPv2, modtager Zyxel-firewalls muligvis ikke et gyldigt svar, hvilket resulterer i mislykkede godkendelsesforsøg. Denne adfærd skyldes fjernelsen af NTLM-understøttelse i Windows Server 2025, som er en nødvendig komponent for, at MSCHAPv2 kan fungere.

Zyxels anbefalede løsning

For at sikre fortsat og uafbrudt brugergodkendelse anbefaler Zyxel følgende løsning, indtil fuld kompatibilitet er indført:

  • Opret lokale brugerkonti på Zyxel-firewallen til godkendelsesformål.
  • Dette omgår afhængigheden af NTLM og sikrer en jævn login-oplevelse for brugerne, samtidig med at netværkssikkerheden opretholdes.

Omgåelsesløsning (med forsigtighed)

Workaround 1: Aktivering af SSL (LDAPS) på Zyxel Firewall

Essensen af denne løsning er at bruge LDAP over SSL, som er i overensstemmelse med Microsofts nye sikkerhedspolitikker og erstatter den ældre NTLM-protokol.

Konfigurationstrin:

  1. Log ind på Zyxel Firewall-grænsefladen, og naviger til:
    Godkendelse > Serverindstillinger > Avancerede indstillinger
  2. Aktivér SSL-indstillingen.

Sørg for, at:

  • Domænecontrolleren har et gyldigt SSL-certifikat.
  • Dette certifikat er installeret i lageret Trusted Root Certification Authorities på firewallen.

Risici og begrænsninger:

  • Uden et korrekt installeret og pålideligt certifikat kan firewallen ikke oprette forbindelse til AD-serveren via LDAPS.
  • Manuel håndtering af certifikater er påkrævet: eksport, import og verifikation af tillidskæden.

Løsning 2: Lempelse af sikkerhedspolitikken på Windows Server 2025

Den anden tilgang er at ændre gruppepolitikken på domænecontrolleren for at tillade usikker adfærd som standard. Dette gør det muligt for Zyxel Firewall at oprette forbindelse ved hjælp af standard (ikke-sikker) LDAP.

Fremgangsmåde:

  1. Kør gpedit.msc på Windows Server 2025-domænecontrolleren.
  2. Naviger til:
    Editor for lokal gruppepolitik → Computerkonfiguration → Windows-indstillinger →
    Sikkerhedsindstillinger → Lokale politikker → Sikkerhedsindstillinger →
    Domænecontroller: Krav til underskrift af LDAP-server
  3. Skift indstillingen "Håndhævelse " til "Deaktiveret".

Hvad dette gør:

  • Giver domænecontrolleren mulighed for at svare på almindelige (ikke-krypterede) LDAP-anmodninger fra klienter såsom Zyxel Firewall.
  • Omgår kravet om at bruge LDAPS.

Risici:

  • Adgangskoder og andre følsomme data overføres ukrypteret, hvilket er særligt farligt i usikrede eller offentlige netværk.
  • Åbner for potentiel sårbarhed over for man-in-the-middle-angreb.
  • Overtræder Microsofts anbefalede sikkerhedspolitikker og kan udløse advarsler i overvågningssystemer.

Konklusion:

Dette er en hurtig løsning, men den reducerer sikkerheden betydeligt. Brug den kun i begrænsede, isolerede miljøer, og vend tilbage til den, så snart der findes en officiel løsning.

Se fremad

Hos Zyxel arbejder vi aktivt på at sikre, at vores løsninger udvikler sig i takt med branchens forandringer. Vores teams overvåger nøje Microsofts udvikling med Windows Server 2025, og vi er allerede i gang med at undersøge integrationsmuligheder for at understøtte de forbedrede sikkerhedsprotokoller, den introducerer.

Selv om de nuværende firmwareversioner endnu ikke understøtter de opdaterede godkendelsesmetoder, kan du være sikker på, at dette er en høj prioritet på vores udviklingsplan. Vores ingeniører er forpligtet til at levere en problemfri oplevelse for vores kunder, og understøttelse af Windows Server 2025-godkendelse er under aktiv gennemgang.

Tak for din fortsatte tillid til Zyxel. Sammen bygger vi en mere sikker og modstandsdygtig fremtid.

Vi sætter pris på din forståelse og anbefaler, at du holder kontakten med vores Zyxel Community og Support Portal for at få de seneste nyheder og vejledning.

Artikler i denne sektion

Se mere
Var denne artikel en hjælp?
0 ud af 0 fandt dette nyttigt
Del

Kommentarer

0 kommentarer

Log ind for at kommentere.