Zyxel Firewall - Windows Server 2025 Active Directory und Zyxel Firewall (ZLD 5.40 / uOS 1.32)

Windows Server 2025 führt strengere Sicherheitsrichtlinien ein, einschließlich der erzwungenen Verwendung von sicheren Kanälen für LDAP-Abfragen. Dies wirkt sich auf die Standardintegration von Zyxel Firewalls mit Active Directory aus - insbesondere bei der Verwendung von Benutzerauthentifizierung für Dienste wie IKEv2 VPN oder Policy Control.

Unterstützte Produkte:

• Zyxel Firewalls (ZLD 5.40 und höher, uOS 1.32 und höher)
• Windows Server 2025 (Waldstufe 2025)

Zyxel Firewall kann über einen sicheren LDAPS-Kanal (Port 636), der die Sicherheitsanforderungen von Microsoft erfüllt und eine stabile Authentifizierung gewährleistet, ordnungsgemäß in Windows Server 2025 integriert werden. Ab dieser Version von Windows Server müssen alle LDAP-Anfragen über LDAPS durchgeführt werden. Im folgenden Leitfaden wird erläutert, wie Zyxel Firewalls mit Hilfe von SSL-Zertifikaten sicher mit Active Directory verbunden werden können.

Dieser Artikel konzentriert sich auf die Konfiguration der LDAPS-Integration zwischen Zyxel Firewall und Windows Server 2025 Active Directory.
Einzelheiten zu Kompatibilitätsproblemen bei der Authentifizierung finden Sie in dem unten verlinkten Artikel.
Informationen zu Kompatibilitätsproblemen bei Authentifizierungsprotokollen mit Windows Server 2025 (z. B. MS-CHAPv2 und NTLM-Herausforderungen) bei Verwendung von Zyxel Firewalls finden Sie unter:
👉 Zyxel Firewall - Authentifizierungskompatibilität mit Windows Server 2025

Installieren Sie die Active Directory-Zertifikatsdienste

• Öffnen Sie Server Manager → Rollen und Funktionen hinzufügen.
• Installieren Sie die Rolle Active Directory-Zertifikatsdienste.
• Detaillierte Anweisungen zur Installation und Konfiguration der Zertifizierungsstelle unter Windows Server 2022/2025 finden Sie in der offiziellen Microsoft-Dokumentation. Microsoft-Anleitung
• Fahren Sie mit den Standardoptionen fort und schließen Sie das Setup ab.
• Starten Sie den Server nach der Installation neu.

Konfigurieren Sie die Zertifizierungsstelle

• Wählen Sie die zu konfigurierenden Rollendienste aus:

  ✅ Zertifizierungsstelle

• Wählen Sie Enterprise CA.
• Wählen Sie Root CA.

• Erstellen Sie einen neuen privaten Schlüssel (Standardoption).
• Übernehmen Sie die kryptographischen Standardeinstellungen (RSA 2048 oder höher).

• Geben Sie einen allgemeinen Namen an (z. B. Zyxel-InternalCA).
• Akzeptieren Sie die standardmäßige Gültigkeitsdauer oder passen Sie sie nach Bedarf an.
• Bestätigen Sie die Konfiguration und schließen Sie sie ab.
• Starten Sie den Server neu.

Überprüfen Sie die Ausstellung von SSL-Zertifikaten

• Öffnen Sie die Zertifizierungsstelle aus dem Startmenü.
• Erweitern Sie die Baumstruktur und gehen Sie zu Issued Certificates (Ausgestellte Zertifikate).
• Stellen Sie sicher, dass ein Zertifikat für den Domänencontroller automatisch ausgestellt wurde.

Optional: Zur Überprüfung über PowerShell:

Get-ChildItem -Path Cert:\LocalMachine\My

Konfigurieren Sie Zyxel Firewall für die Verwendung von LDAPS (Port 636)

Greifen Sie auf die Weboberfläche der Zyxel Firewall zu. Navigieren Sie zu Objekt > AAA-Server oder Authentifizierung > LDAP. Erstellen Sie einen neuen LDAP-Eintrag: Server-Adresse: IP oder FQDN des AD-Servers Anschluss: 636 Verschlüsselung: SSL Basis-DN: DC=example,DC=local Bindungs-DN: CN=ldapbind,OU=Users,DC=example,DC=local Passwort: für den Bind-Benutzer Importieren Sie das Root-CA-Zertifikat in die Liste der vertrauenswürdigen Zertifikate der Firewall (Objekt > Zertifikat > Vertrauenswürdige CA).

Testen Sie die Authentifizierung

• Verwenden Sie das Tool Authentifizierung testen in der GUI der Firewall.
• Bestätigen Sie die erfolgreiche Kommunikation über LDAPS (636).

Optional: IKEv2-VPN-Integration

Wenn Sie IKEv2 VPN verwenden:

• Gehen Sie zu VPN > IKEv2 Gateway/Auth-Einstellungen
• Wählen Sie das neue LDAP/SSL-Authentifizierungsobjekt als Benutzerquelle aus.
• Testen Sie die Authentifizierung von einem VPN-Client aus.