Zyxel Firewall - Windows Server 2025 Active Directory y Zyxel Firewall (ZLD 5.40 / uOS 1.32)

Windows Server 2025 introduce políticas de seguridad más fuertes, incluyendo el uso obligatorio de canales seguros para las consultas LDAP. Esto afecta a la integración estándar de los cortafuegos Zyxel con Active Directory, especialmente cuando se utiliza la autenticación de usuario para servicios como IKEv2 VPN o Policy Control.

Productos compatibles:

• Cortafuegos Zyxel (ZLD 5.40 y superior, uOS 1.32 y superior)
• Windows Server 2025 (nivel de bosque 2025)

Zyxel Firewall puede integrarse correctamente con Windows Server 2025 a través de un canal LDAPS seguro (puerto 636), que cumple con los requisitos de seguridad de Microsoft y garantiza una autenticación estable. A partir de esta versión de Windows Server, todas las peticiones LDAP deben realizarse a través de LDAPS. La siguiente guía explica cómo conectar de forma segura Firewalls Zyxel a Active Directory utilizando certificados SSL.

Este artículo se centra en la configuración de la integración LDAPS entre Zyxel Firewall y Windows Server 2025 Active Directory.
Para obtener más información sobre los problemas de compatibilidad de autenticación, consulte el artículo relacionado vinculado en la parte inferior.
Para obtener información sobre problemas de compatibilidad de protocolos de autenticación con Windows Server 2025 (como desafíos MS-CHAPv2 y NTLM) al utilizar Firewalls de Zyxel, consulte:
👉 F irewall de Zyxel - Compatibilidad de autenticación con Windows Server 2025.

Instale los servicios de certificado de Active Directory

• Abra Administrador de servidores → Agregar roles y características.
• Instale el rol Servicios de certificados de Active Directory.
• Para obtener instrucciones detalladas sobre la instalación y configuración de la Autoridad de Certificación en Windows Server 2022/2025, consulte la documentación oficial de Microsoft. Guía de Microsoft
• Continúe con las opciones predeterminadas y complete la instalación.
• Reinicie el servidor tras la instalación.

Configurar la Autoridad de Certificación

• Seleccione los servicios de rol que desea configurar:

  Autoridad de certificación

• Seleccione Enterprise CA.
• Seleccione CA raíz.

• Crear una nueva clave privada (opción por defecto).
• Acepte la configuración criptográfica predeterminada (RSA 2048 o superior).

• Especifique un nombre común (por ejemplo, Zyxel-InternalCA).
• Acepte el período de validez predeterminado o personalícelo según sea necesario.
• Confirme y complete la configuración.
• Reinicie el servidor.

Verificación de la emisión de certificados SSL

• Abra Autoridad de certificación en el menú Inicio.
• Expanda el árbol y vaya a Certificados emitidos.
• Compruebe que se ha emitido automáticamente un certificado para el controlador de dominio.

Opcional: Para verificar a través de PowerShell:

Get-ChildItem -Path Cert:\LocalMachine\My

Configure Zyxel Firewall para utilizar LDAPS (Puerto 636)

Acceda a la interfaz web de Zyxel Firewall. Vaya a Objeto > Servidor AAA o Autenticación > LDAP. Cree una nueva entrada LDAP: Server Address (Dirección del servidor): IP o FQDN del servidor AD Puerto: 636 Cifrado: SSL DN base: DC=ejemplo,DC=local DN deenlace: CN=ldapbind,OU=Usuarios,DC=ejemplo,DC=local Contraseña: para el usuario bind Importe el certificado de CA raíz a la lista de certificados de confianza del cortafuegos (Objeto > Certificado > CA de confianza).

Pruebe la autenticación

• Utilice la herramienta Probar autenticación de la GUI del cortafuegos.
• Confirme que la comunicación a través de LDAPS es correcta (636).

Opcional: Integración de VPN IKEv2

Si está utilizando IKEv2 VPN:

• Vaya a VPN > IKEv2 Gateway/Auth Settings.
• Seleccione el nuevo objeto de autenticación LDAP/SSL como fuente de usuario.
• Pruebe la autenticación desde un cliente VPN.