Zyxel Firewall - Windows Server 2025 Active Directory og Zyxel Firewall (ZLD 5.40 / uOS 1.32)

Windows Server 2025 indfører stærkere sikkerhedspolitikker, herunder tvungen brug af sikre kanaler til LDAP-forespørgsler. Dette påvirker standardintegrationen af Zyxel Firewalls med Active Directory - især når der bruges brugergodkendelse til tjenester som IKEv2 VPN eller Policy Control.

Understøttede produkter:

• Zyxel Firewalls (ZLD 5.40 og derover, uOS 1.32 og derover)
• Windows Server 2025 (skovniveau 2025)

Zyxel Firewall kan integreres korrekt med Windows Server 2025 via en sikker LDAPS-kanal (port 636), som overholder Microsofts sikkerhedskrav og sikrer stabil autentificering. Fra og med denne version af Windows Server skal alle LDAP-anmodninger udføres via LDAPS. Følgende vejledning forklarer, hvordan man sikkert forbinder Zyxel Firewalls til Active Directory ved hjælp af SSL-certifikater.

Denne artikel fokuserer på konfigurationen af LDAPS-integration mellem Zyxel Firewall og Windows Server 2025 Active Directory.
For detaljer om kompatibilitetsproblemer med godkendelse henvises til den relaterede artikel, der er linket til i bunden.
For information om kompatibilitetsproblemer med godkendelsesprotokoller med Windows Server 2025 (såsom MS-CHAPv2 og NTLM-udfordringer), når du bruger Zyxel Firewalls, se venligst:
👉 Zyxel Firewall - Godkendelseskompatibilitet med Windows Server 2025

Installer Active Directory-certifikattjenesterne

• Åbn Server Manager → Tilføj roller og funktioner.
• Installer rollen Active Directory Certificate Services.
• For detaljerede instruktioner om installation og konfiguration af certificeringsmyndigheden på Windows Server 2022/2025 henvises til den officielle Microsoft-dokumentation. Microsoft-guide
• Fortsæt med standardindstillingerne, og afslut opsætningen.
• Genstart serveren efter installationen.

Konfigurer certificeringsmyndigheden

• Vælg de rolletjenester, der skal konfigureres:

  ✅ Certificeringsmyndighed

• Vælg Enterprise CA.
• Vælg Root CA.

• Opret en ny privat nøgle (standardindstilling).
• Accepter de kryptografiske standardindstillinger (RSA 2048 eller højere).

• Angiv et fælles navn (f.eks. Zyxel-InternalCA).
• Accepter standardgyldighedsperioden, eller tilpas den efter behov.
• Bekræft og afslut konfigurationen.
• Genstart serveren.

Bekræft udstedelse af SSL-certifikat

• Åbn Certification Authority fra menuen Start.
• Udvid træet, og gå til Udstedte certifikater.
• Sørg for, at der automatisk er blevet udstedt et certifikat til domænecontrolleren.

Det er valgfrit: For at verificere via PowerShell:

Get-ChildItem -Path Cert:\LocalMachine\My

Konfigurer Zyxel Firewall til at bruge LDAPS (port 636)

Få adgang til Zyxel Firewalls webinterface. Naviger til Object > AAA Server eller Authentication > LDAP. Opret en ny LDAP-post: Serveradresse: IP eller FQDN for AD-serveren Port: 636 Kryptering: SSL Base DN: DC=example,DC=local Bind DN: CN=ldapbind,OU=Users,DC=example,DC=local Adgangskode: for bind-brugeren Importer root CA-certifikatet til firewallens liste over betroede certifikater (Objekt > Certifikat > Betroet CA).

Test godkendelsen

• Brug værktøjet Test Authentication i firewallens GUI.
• Bekræft vellykket kommunikation over LDAPS (636).

Valgfrit: IKEv2 VPN-integration

Hvis du bruger IKEv2 VPN:

• Gå til VPN > IKEv2 Gateway/Auth Settings
• Vælg det nye LDAP/SSL-godkendelsesobjekt som brugerkilde.
• Test godkendelse fra en VPN-klient.