Zyxel Firewall - Windows Server 2025 Active Directory en Zyxel Firewall (ZLD 5.40 / uOS 1.32)

Windows Server 2025 introduceert een sterker beveiligingsbeleid, inclusief het gedwongen gebruik van beveiligde kanalen voor LDAP-query's. Dit heeft invloed op de standaardintegratie van Zyx. Dit is van invloed op de standaardintegratie van Zyxel Firewalls met Active Directory, met name bij het gebruik van gebruikersverificatie voor diensten als IKEv2 VPN of Policy Control.

Ondersteunde producten:

• Zyxel Firewalls (ZLD 5.40 en hoger, uOS 1.32 en hoger)
• Windows Server 2025 (Forest-niveau 2025)

Zyxel Firewall kan goed worden geïntegreerd met Windows Server 2025 via een beveiligd LDAPS-kanaal (poort 636), dat voldoet aan de beveiligingseisen van Microsoft en een stabiele authenticatie garandeert. Vanaf deze versie van Windows Server moeten alle LDAP-verzoeken via LDAPS worden uitgevoerd. In de volgende handleiding wordt uitgelegd hoe u Zyxel Firewalls veilig kunt verbinden met Active Directory met behulp van SSL-certificaten.

Dit artikel richt zich op de configuratie van LDAPS-integratie tussen Zyxel Firewall en Windows Server 2025 Active Directory.
Voor meer informatie over problemen met authenticatiecompatibiliteit, zie het gerelateerde artikel onderaan.
Voor informatie over compatibiliteitsproblemen met verificatieprotocollen met Windows Server 2025 (zoals MS-CHAPv2 en NTLM-uitdagingen) bij gebruik van Zyxel Firewalls, zie:
👉 Zyxel Firewall - Authenticatiecompatibiliteit met Windows Server 2025

Installeer de Active Directory-certificaatservices

• Open Server Manager → Rollen en functies toevoegen.
• Installeer de Active Directory Certificate Services rol.
• Raadpleeg de officiële documentatie van Microsoft voor gedetailleerde instructies voor het installeren en configureren van de certificeringsinstantie op Windows Server 2022/2025. Microsoft-handleiding
• Ga verder met de standaardopties en voltooi de installatie.
• Start de server opnieuw op na de installatie.

De certificeringsinstantie configureren

• Selecteer de rolservices die u wilt configureren:

  Certificeringsinstantie

• Kies Enterprise CA.
• Selecteer Root CA.

• Maak een nieuwe private sleutel (standaardoptie).
• Accepteer de standaard cryptografische instellingen (RSA 2048 of hoger).

• Geef een algemene naam op (bijv. Zyxel-InternalCA).
• Accepteer de standaard geldigheidsduur of pas deze naar wens aan.
• Bevestig en voltooi de configuratie.
• Start de server opnieuw op.

SSL-certificaatuitgifte controleren

• Open Certificatie Autoriteit in het menu Start.
• Vouw de boom uit en ga naar uitgegeven certificaten.
• Controleer of er automatisch een certificaat is uitgegeven voor de domeincontroller.

Optioneel: Om te verifiëren via PowerShell:

Get-ChildItem -Path Cert:\LocalMachine\My

Zyxel Firewall configureren om LDAPS te gebruiken (poort 636)

Ga naar de webinterface van de Zyxel Firewall. Navigeer naar Object > AAA Server of Authenticatie > LDAP. Maak een nieuwe LDAP-invoer aan: Serveradres: IP of FQDN van de AD-server Poort: 636 Codering: SSL Basis DN: DC=voorbeeld,DC=lokaal Bind DN: CN=ldapbind,OU=Users,DC=example,DC=local Wachtwoord: voor de bind gebruiker Importeer het root CA-certificaat in de lijst met vertrouwde certificaten van de firewall (Object > Certificaat > Vertrouwde CA).

Test de verificatie

• Gebruik de Test Authenticatie tool in de GUI van de firewall.
• Bevestig succesvolle communicatie via LDAPS (636).

Optioneel: IKEv2 VPN integratie

Als u IKEv2 VPN gebruikt:

• Ga naar VPN > IKEv2 Gateway/Auth Instellingen
• Selecteer het nieuwe LDAP/SSL-verificatieobject als gebruikersbron.
• Test de authenticatie vanaf een VPN-client.