Zyxelin palomuurin todennuksen yhteensopivuus Windows Server 2025:n kanssa

Luotu - Päivitetty
Serhii Boiarynov
Idea generator
Great answers
Master (Platinum)
Print Friendly and PDF
Lisäkysymyksiä? Lähetä pyyntö

Tärkeä huomautus:
Hyvät asiakkaat, huomioikaa, että käytämme konekäännöstä tarjotaksemme artikkeleita paikallisella kielelläsi. Kaikkea tekstiä ei välttämättä voida kääntää tarkasti. Jos käännetyssä versiossa on kysymyksiä tai ristiriitaisuuksia tietojen oikeellisuudesta, tutustu alkuperäiseen artikkeliin täällä: Alkuperäinen versio.

Microsoft Windows Server 2025:n tulevien muutosten myötä NTLM-todennustuki on poistettu käytöstä nykyaikaisempien ja turvallisempien todennusprotokollien hyväksi. Tämän seurauksena MSCHAPv2:een tukeutuvissa todennusmenetelmissä - kuten Active Directory (AD) - ja RADIUS-ympäristöissä käytetyissä menetelmissä - saattaa esiintyä yhteensopivuusongelmia, kun ne ovat yhteydessä Zyxelin palomuurilaitteisiin, joissa käytetään nykyisiä laiteohjelmistoversioita.

Huomautus: Huhtikuusta 2025 alkaen Windows Server 2025 tukee edelleen MS-CHAPv2:ta todennusta varten.
On kuitenkin tärkeää huomata, että Windows Defender Credential Guard, joka on oletusarvoisesti käytössä Windows Server 2025:ssä, voi häiritä MS-CHAPv2-pohjaisia todennusmenetelmiä, kuten PEAP-MSCHAPv2 ja EAP-MSCHAPv2.
Tämä häiriö voi johtaa todennuksen epäonnistumiseen skenaarioissa, kuten Active Directory (AD) -todennuksessa Zyxel-palomuurissa ja RADIUS-palvelimen todennuksessa.

Jos haluat integroida Zyxel-palomuurisi Windows Server 2025 Active Directoryyn LDAPS:n (TCP-portti 636) avulla ZLD 5.40:ssä tai uOS 1.32:ssä, lue tämä oma artikkeli:
👉 Zyxel Firewall - Windows Server 2025 Active Directory ja Zyxel Firewall ZLD 5.40/uOS 1.32.

Huomautus: Tässä artikkelissa keskitytään todennusyhteensopivuusongelmiin (esim. MS-CHAPv2, NTLM:n poistaminen käytöstä) Windows Server 2025:n kanssa. Jos etsit AD:n integrointivaiheita LDAPS:ää käyttäen, katso alareunassa oleva linkitetty artikkeli.

Havaittu käyttäytyminen

Kun käyttäjiä yritetään todentaa AD:n tai NPS:n (Network Policy Server) kautta MSCHAPv2:n avulla, Zyxelin palomuurit eivät välttämättä saa kelvollista vastausta, mikä johtaa epäonnistuneisiin todennusyrityksiin. Tämä käytös johtuu siitä, että Windows Server 2025:stä on poistettu NTLM-tuki, joka on MSCHAPv2:n toiminnan edellyttämä komponentti.

Zyxelin suosittelema ratkaisu

Käyttäjien jatkuvan ja keskeytymättömän todennuksen varmistamiseksi Zyxel suosittelee seuraavaa kiertotapaa, kunnes täysi yhteensopivuus otetaan käyttöön:

  • Luo Zyxelin palomuuriinpaikalliset käyttäjät ilit todennustarkoituksiin.
  • Näin ohitetaan riippuvuus NTLM:stä, mikä takaa käyttäjille sujuvan sisäänkirjautumiskokemuksen ja säilyttää samalla verkkoturvallisuuden.

Ratkaisu kiertotapaan (varoen)

Ratkaisu 1: SSL:n (LDAPS) ottaminen käyttöön Zyxel-palomuurissa.

Tämän kiertoratkaisun ydin on käyttää LDAP:tä SSL:n kautta, joka vastaa Microsoftin uusia turvallisuuskäytäntöjä ja korvaa vanhan NTLM-protokollan.

Määritysvaiheet:

  1. Kirjaudu sisään Zyxelin palomuurin käyttöliittymään ja siirry osoitteeseen:
    Todentaminen > Palvelinasetukset > Lisäasetukset
  2. Ota SSL-vaihtoehto käyttöön.

Varmista, että:

  • Toimialueen ohjaimella on voimassa oleva SSL-varmenne.
  • Tämä varmenne on asennettu palomuurin Trusted Root Certification Authorities -varmenteeseen.

Riskit ja rajoitukset:

  • Ilman oikein asennettua ja luotettavaa varmentetta palomuuri ei pysty muodostamaan yhteyttä AD-palvelimeen LDAPS:n kautta.
  • Varmenteiden manuaalinen käsittely on tarpeen: vienti, tuonti ja luottamusketjun tarkistaminen.

Ratkaisu 2: Windows Server 2025:n suojauskäytännön lieventäminen.

Toinen lähestymistapa on muuttaa toimialueen ohjaimen ryhmäkäytäntöä siten, että se sallii oletusarvoisesti turvattoman käyttäytymisen. Näin Zyxel-palomuuri voi muodostaa yhteyden käyttämällä tavallista (ei-turvallista) LDAP:tä.

Vaiheet:

  1. Suorita gpedit.msc Windows Server 2025 -toimialueen ohjaimessa.
  2. Siirry osoitteeseen:
    Paikallinen ryhmäkäytäntöeditori → Tietokoneen kokoonpano → Windows-asetukset →
    Suojausasetukset → Paikalliset käytännöt → Suojausvalinnat →
    Toimialueen ohjain: LDAP-palvelimen allekirjoitusvaatimukset
  3. Muuta "Enforcement" -asetuksen arvoksi "Disabled".

Mitä tämä tekee:

  • Sallii toimialueen ohjaimen vastata tavallisiin (salaamattomiin) LDAP-pyyntöihin, jotka tulevat asiakkailta, kuten Zyxel Firewallilta.
  • Ohittaa vaatimuksen käyttää LDAPS:ää.

Riskit:

  • Tämä on erityisen vaarallista suojaamattomissa tai julkisissa verkoissa.
  • Avaa mahdollisen haavoittuvuuden man-in-the-middle-hyökkäyksille.
  • Rikkoo Microsoftin suosittelemia tietoturvakäytäntöjä ja voi aiheuttaa hälytyksiä valvontajärjestelmissä.

Johtopäätökset:

Tämä on nopea kiertotapa, mutta se heikentää turvallisuutta merkittävästi. Käytä sitä vain rajoitetuissa ja eristetyissä ympäristöissä ja palauta se heti, kun virallinen ratkaisu on saatavilla.

Tulevaisuuden näkymät

Me Zyxelillä työskentelemme aktiivisesti varmistaaksemme, että ratkaisumme kehittyvät alan muutosten mukana. Tiimimme seuraavat tiiviisti Microsoftin Windows Server 2025:n kehitystä, ja tutkimme jo integraatiovaihtoehtoja, joilla tuetaan sen tuomia parannettuja turvallisuusprotokollia.

Vaikka nykyiset laiteohjelmistoversiot eivät vielä tue päivitettyjä todennusmenetelmiä, voit olla varma, että tämä on kehityssuunnitelmassamme korkealla prioriteetilla. Insinöörimme ovat sitoutuneet tarjoamaan asiakkaillemme saumattoman käyttökokemuksen, ja Windows Server 2025 -todennuksen tuki on aktiivisessa tarkastelussa.

Kiitos jatkuvasta luottamuksestasi Zyxeliin. Rakennamme yhdessä turvallisempaa ja joustavampaa tulevaisuutta.

Arvostamme ymmärrystäsi ja suosittelemme, että pysyt yhteydessä Zyxel-yhteisöön ja tukiportaaliin uusimpien uutisten ja ohjeiden saamiseksi.

Tämän osion artikkelit

Näytä lisää
Oliko tämä artikkeli hyödyllinen?
0/0 koki tästä olevan apua
Jaa

Kommentit

0 kommenttia

Kirjaudu sisään jättääksesi kommentin.