Zyxel tűzfal - Windows Server 2025 Active Directory és Zyxel tűzfal (ZLD 5.40 / uOS 1.32)

A Windows Server 2025 erősebb biztonsági irányelveket vezet be, beleértve a biztonságos csatornák kényszerített használatát az LDAP-lekérdezésekhez. Ez hatással van a Zyxel tűzfalak Active Directoryval való szabványos integrációjára - különösen akkor, ha felhasználói hitelesítést használnak olyan szolgáltatásokhoz, mint az IKEv2 VPN vagy a Policy Control.

Támogatott termékek:

• Zyxel tűzfalak (ZLD 5.40 és újabb, uOS 1.32 és újabb)
• Windows Server 2025 (erdőszintű 2025)

A Zyxel tűzfal megfelelően integrálható a Windows Server 2025 rendszerrel egy biztonságos LDAPS csatornán keresztül (636-os port), amely megfelel a Microsoft biztonsági követelményeinek és stabil hitelesítést biztosít. A Windows Server ezen verziójától kezdve minden LDAP-kérést LDAPS-en keresztül kell végrehajtani. Az alábbi útmutató ismerteti, hogyan lehet a Zyxel tűzfalakat SSL-tanúsítványok használatával biztonságosan csatlakoztatni az Active Directoryhoz.

Ez a cikk a Zyxel tűzfal és a Windows Server 2025 Active Directory közötti LDAPS integráció konfigurálására összpontosít.
A hitelesítési kompatibilitási kérdésekkel kapcsolatos részletekért kérjük, olvassa el az alulra linkelt kapcsolódó cikket.
A Zyxel tűzfalak használata esetén a Windows Server 2025-tel való hitelesítési protokollok kompatibilitási problémáiról (például az MS-CHAPv2 és NTLM kihívásokról) szóló információkat lásd:
👉 Zyxel tűzfal - Hitelesítési kompatibilitás a Windows Server 2025-tel.

Telepítse az Active Directory tanúsítványszolgáltatásokat

• Nyissa meg a Kiszolgálókezelőt → Szerepek és funkciók hozzáadása.
• Telepítse az Active Directory tanúsítványszolgáltatások szerepkört.
• A hitelesítésszolgáltató telepítésére és konfigurálására vonatkozó részletes utasításokat a Windows Server 2022/2025 rendszerben a Microsoft hivatalos dokumentációjában talál. Microsoft útmutató
• Folytassa az alapértelmezett beállításokkal, és fejezze be a telepítést.
• Telepítés után indítsa újra a kiszolgálót.

A hitelesítésszolgáltató konfigurálása

• Válassza ki a konfigurálandó szerepkör-szolgáltatásokat:

  ✅ Hitelesítésszolgáltató

• Válassza a Vállalati hitelesítésszolgáltatót.
• Válassza a Root CA (gyökér hitelesítésszolgáltató) lehetőséget.

• Hozzon létre új privát kulcsot (alapértelmezett beállítás).
• Fogadja el az alapértelmezett kriptográfiai beállításokat (RSA 2048 vagy magasabb).

• Adjon meg egy közös nevet (pl. Zyxel-InternalCA).
• Fogadja el az alapértelmezett érvényességi időszakot, vagy szükség szerint testre szabhatja.
• Erősítse meg és fejezze be a konfigurációt.
• Indítsa újra a kiszolgálót.

SSL-tanúsítvány kiadásának ellenőrzése

• Nyissa meg a Tanúsító hatóságot a Start menüből.
• Bontsa ki a fát, és lépjen a Kiadott tanúsítványok menüpontra.
• Ellenőrizze, hogy a tartományvezérlőhöz automatikusan ki lett-e állítva tanúsítvány.

Választható: A PowerShell segítségével történő ellenőrzéshez:

Get-ChildItem -Path Cert:\LocalMachine\My

A Zyxel tűzfal konfigurálása az LDAPS használatára (636-os port)

Lépjen be a Zyxel tűzfal webes felületére. Navigáljon az Objektum > AAA-kiszolgáló vagy Hitelesítés > LDAP menüpontra. Hozzon létre egy új LDAP-bejegyzést: Kiszolgáló címe: Az AD-kiszolgáló IP-je vagy FQDN-je Port: 636 Titkosítás: SSL Bázis DN: DC=példa,DC=helyi Kötési DN: CN=ldapbind,OU=Users,DC=example,DC=local Jelszó: a kötési felhasználóhoz Importálja a gyökér hitelesítésszolgáltatói tanúsítványt a tűzfal megbízható tanúsítványok listájába (Objektum > Tanúsítvány > Megbízható hitelesítésszolgáltató).

A hitelesítés tesztelése

• Használja a tűzfal felhasználói felületének Test Authentication (Hitelesítés tesztelése ) eszközét.
• Erősítse meg a sikeres kommunikációt az LDAPS-en keresztül (636).

Választható: IKEv2 VPN integráció

Ha IKEv2 VPN-t használ:

• Válassza a VPN > IKEv2 átjáró/automatizálási beállításokmenüpontot .
• Válassza ki az új LDAP/SSL hitelesítési objektumot felhasználói forrásként.
• Tesztelje a hitelesítést egy VPN-ügyfélről.