Zyxel Firewall - Windows Server 2025 Active Directory ja Zyxel Firewall (ZLD 5.40 / uOS 1.32)

Windows Server 2025 ottaa käyttöön vahvemmat tietoturvakäytännöt, mukaan lukien suojattujen kanavien pakotettu käyttö LDAP-kyselyissä. Tämä vaikuttaa Zyxel-palomuurien vakiointegraatioon Active Directoryn kanssa - erityisesti silloin, kun käytetään käyttäjän todennusta palveluissa, kuten IKEv2 VPN tai Policy Control.

Tuetut tuotteet:

• Zyxel Firewalls (ZLD 5.40 ja uudempi, uOS 1.32 ja uudempi).
• Windows Server 2025 (metsätaso 2025).

Zyxel-palomuuri voidaan integroida asianmukaisesti Windows Server 2025:een suojatun LDAPS-kanavan (portti 636) kautta, joka täyttää Microsoftin turvallisuusvaatimukset ja takaa vakaan todennuksen. Tästä Windows Server -versiosta alkaen kaikki LDAP-pyynnöt on suoritettava LDAPS:n kautta. Seuraavassa oppaassa kerrotaan, miten Zyxel-palomuurit liitetään turvallisesti Active Directoryyn SSL-varmenteiden avulla.

Tässä artikkelissa keskitytään Zyxel-palomuurin ja Windows Server 2025 Active Directoryn välisen LDAPS-integraation konfigurointiin.
Lisätietoja todennusyhteensopivuusongelmista on alareunassa linkitetyssä aiheeseen liittyvässä artikkelissa.
Tietoja todennusprotokollien yhteensopivuusongelmista Windows Server 2025:n kanssa (kuten MS-CHAPv2- ja NTLM-haasteet) Zyxel-palomuureja käytettäessä on osoitteessa:
👉 Zyxel-palomuuri - todennusyhteensopivuus Windows Server 2025:n kanssa.

Asenna Active Directory -varmennepalvelut

• Avaa Server Manager → Lisää rooleja ja ominaisuuksia.
• Asenna Active Directory Certificate Services -rooli.
• Yksityiskohtaiset ohjeet varmennepalvelun asentamisesta ja määrittämisestä Windows Server 2022/2025 -käyttöjärjestelmässä on Microsoftin virallisessa dokumentaatiossa. Microsoftin opas
• Jatka oletusasetuksilla ja suorita asennus loppuun.
• Käynnistä palvelin uudelleen asennuksen jälkeen.

Varmenneviranomaisen määrittäminen

• Valitse konfiguroitavat roolipalvelut:

  ✅ Varmentaja

• Valitse Enterprise CA.
• Valitse Root CA.

• Luo uusi yksityinen avain (oletusvaihtoehto).
• Hyväksy oletussalausasetukset (RSA 2048 tai korkeampi).

• Määritä yleinen nimi (esim. Zyxel-InternalCA).
• Hyväksy oletusarvoinen voimassaoloaika tai muokkaa sitä tarpeen mukaan.
• Vahvista ja viimeistele määritys.
• Käynnistä palvelin uudelleen.

SSL-varmenteen myöntämisen tarkistaminen

• Avaa Certification Authority Käynnistä-valikosta.
• Laajenna puu ja siirry kohtaan Myönnetyt varmenteet.
• Varmista, että toimialueen ohjaimen varmenne on myönnetty automaattisesti.

Valinnainen: Voit tarkistaa PowerShellin avulla:

Get-ChildItem -Path Cert:\LocalMachine\My

Määritä Zyxel-palomuuri käyttämään LDAPS:ää (portti 636).

Ota yhteys Zyxel Firewallin web-käyttöliittymään. Siirry kohtaan Object (Kohde) > AAA Server (AAA-palvelin ) tai Authentication (Todennus) > LDAP. Luo uusi LDAP-merkintä: Palvelimen osoite: AD-palvelimen IP tai FQDN Portti: 636 Salaus: SSL Perus-DN: DC=example,DC=local Sidontatunnus: CN=ldapbind,OU=Users,DC=example,DC=local Salasana: bind-käyttäjänsalasana Tuo juurivarmentajan varmenne palomuurin luotettujen varmenteiden luetteloon (Object > Certificate > Trusted CA).

Testaa todennus

• Käytä palomuurin graafisen käyttöliittymän Test Authentication -työkalua.
• Vahvista onnistunut viestintä LDAPS:n kautta (636).

Valinnainen: IKEv2 VPN -integrointi

Jos käytät IKEv2 VPN:ää:

• Siirry kohtaan VPN > IKEv2-yhdyskäytävä/todennusasetukset.
• Valitse uusi LDAP/SSL-todennuskohde käyttäjälähteeksi.
• Testaa todennus VPN-asiakkaalta.