Kompatibilitet mellom Zyxel-brannmur og Windows Server 2025

Opprettet - Oppdatert
Serhii Boiarynov
Idea generator
Great answers
Master (Platinum)
Print Friendly and PDF
Har du flere spørsmål? Send oss en henvendelse

Viktig merknad:
Kjære kunde, vær oppmerksom på at vi bruker maskinoversettelse for å levere artikler på ditt lokale språk. Det er ikke sikkert at all tekst er oversatt nøyaktig. Hvis det er spørsmål eller uoverensstemmelser om nøyaktigheten av informasjonen i den oversatte versjonen, kan du se den opprinnelige artikkelen her:Originalversjon

Med de kommende endringene som introduseres i Microsoft Windows Server 2025, har støtte for NTLM-autentisering blitt fjernet til fordel for mer moderne og sikre autentiseringsprotokoller. Som et resultat av dette kan autentiseringsmetoder som er avhengige av MSCHAPv2 - for eksempel de som brukes i Active Directory (AD)- og RADIUS-miljøer - oppleve kompatibilitetsproblemer når de brukes sammen med Zyxel-brannmurapparater som kjører gjeldende fastvareversjoner.

Merk: Fra og med april 2025 fortsetter Windows Server 2025 å støtte MS-CHAPv2 for autentisering.
Det er imidlertid viktig å merke seg at Windows Defender Credential Guard, som er aktivert som standard i Windows Server 2025, kan forstyrre MS-CHAPv2-baserte autentiseringsmetoder, for eksempel PEAP-MSCHAPv2 og EAP-MSCHAPv2.
Denne forstyrrelsen kan føre til autentiseringsfeil i scenarier som Active Directory (AD)-autentisering på Zyxel-brannmuren og RADIUS-serverautentisering.

Hvis du ønsker å integrere Zyxel-brannmuren din med Windows Server 2025 Active Directory ved hjelp av LDAPS (TCP-port 636)ZLD 5.40 eller uOS 1.32, kan du se denne dedikerte artikkelen:
👉 Zyxel-brannmur - Windows Server 2025 Active Directory og Zyxel-brannmur ZLD 5.40/uOS 1.32

Merk: Denne artikkelen fokuserer på kompatibilitetsproblemer for autentisering (f.eks. MS-CHAPv2, NTLM-utfasing) med Windows Server 2025. Hvis du er ute etter trinn for AD-integrering ved hjelp av LDAPS, kan du se den lenkede artikkelen nederst.

Observert oppførsel

Når du forsøker å autentisere brukere via AD eller NPS (Network Policy Server) ved hjelp av MSCHAPv2, kan det hende at Zyxel-brannmurene ikke mottar et gyldig svar, noe som resulterer i mislykkede autentiseringsforsøk. Dette skyldes at NTLM-støtten i Windows Server 2025, som er en nødvendig komponent for at MSCHAPv2 skal fungere, er fjernet.

Zyxels anbefalte løsning

For å sikre fortsatt og uavbrutt brukerautentisering anbefaler Zyxel følgende løsning inntil full kompatibilitet er innført:

  • Opprettlokale brukerkontoer på Zyxel-brannmuren for autentiseringsformål.
  • Dette omgår avhengigheten av NTLM, noe som sikrer en smidig påloggingsopplevelse for brukerne samtidig som nettverkssikkerheten opprettholdes.

Løsningsalternativ (med forsiktighet)

Løsning 1: Aktivering av SSL (LDAPS) på Zyxel-brannmuren

Essensen i denne løsningen er å bruke LDAP over SSL, som er i tråd med Microsofts nye sikkerhetspolicyer og erstatter den eldre NTLM-protokollen.

Konfigurasjonstrinn:

  1. Logg inn på grensesnittet til Zyxel-brannmuren, og naviger til:
    Autentisering > Serverinnstillinger > Avanserte innstillinger
  2. Aktiver SSL-alternativet.

Forsikre degom at:

  • Domenekontrolleren har et gyldig SSL-sertifikat.
  • Dette sertifikatet er installert i Trusted Root Certification Authorities-lageret på brannmuren.

Risikoer og begrensninger:

  • Uten et riktig installert og klarert sertifikat vil brannmuren ikke kunne koble seg til AD-serveren via LDAPS.
  • Manuell sertifikathåndtering er nødvendig: eksport, import og verifisering av tillitskjeden.

Løsning 2: Lempeligere sikkerhetspolicy på Windows Server 2025

Den andre tilnærmingen er å endre gruppepolicyen på domenekontrolleren slik at usikker oppførsel tillates som standard. Dette gjør det mulig for Zyxel-brannmuren å koble til ved hjelp av standard (ikke-sikker) LDAP.

Fremgangsmåte:

  1. Kjør gpedit.msc på Windows Server 2025-domenekontrolleren.
  2. Naviger til:
    Redigeringsprogram for lokal gruppepolicy → Datamaskinkonfigurasjon → Windows-innstillinger →
    Sikkerhetsinnstillinger → Lokale policyer → Sikkerhetsalternativer →
    Domenekontroller: Krav til signering av LDAP-server
  3. Endre innstillingen "Håndhevelse " til "Deaktivert".

Hva dette gjør:

  • Gjør det mulig for domenekontrolleren å svare på vanlige (ikke-krypterte) LDAP-forespørsler fra klienter, for eksempel Zyxel Firewall.
  • Omgår kravet om å bruke LDAPS.

Risikoer:

  • Passord og andre sensitive data overføres ukryptert, noe som er spesielt farlig i usikrede eller offentlige nettverk.
  • Åpner for potensiell sårbarhet for "man-in-the-middle"-angrep.
  • Bryter med Microsofts anbefalte sikkerhetspolicyer og kan utløse varsler i overvåkingssystemer.

Konklusjon:

Dette er en rask løsning, men den reduserer sikkerheten betydelig. Bruk den bare i begrensede, isolerte miljøer, og gå tilbake til den så snart en offisiell løsning er tilgjengelig.

Se fremover

Hos Zyxel jobber vi aktivt for å sikre at løsningene våre utvikler seg i takt med endringene i bransjen. Teamene våre følger nøye med på Microsofts utvikling av Windows Server 2025, og vi er allerede i gang med å utforske integrasjonsalternativer for å støtte de forbedrede sikkerhetsprotokollene som introduseres.

Selv om nåværende fastvareversjoner ennå ikke støtter de oppdaterte autentiseringsmetodene, kan du være trygg på at dette har høy prioritet på utviklingsplanen vår. Ingeniørene våre er opptatt av å levere en sømløs opplevelse for kundene våre, og støtte for Windows Server 2025-autentisering er under aktiv vurdering.

Takk for din fortsatte tillit til Zyxel. Sammen bygger vi en sikrere og mer robust fremtid.

Vi setter pris på din forståelse og anbefaler at du holder kontakten med Zyxel Community and Support Portal for å få de siste nyhetene og veiledningen.

Artikler i denne seksjonen

Se mer
Var denne artikkelen nyttig?
0 av 0 syntes dette var nyttig
Del

Kommentarer

0 kommentarer

Logg på hvis du vil legge inn en kommentar.