Zyxel-brannmur - Windows Server 2025 Active Directory og Zyxel-brannmur (ZLD 5.40 / uOS 1.32)

Windows Server 2025 innfører strengere sikkerhetspolicyer, inkludert tvungen bruk av sikre kanaler for LDAP-spørringer. Dette påvirker standardintegrasjonen av Zyxel-brannmurer med Active Directory - spesielt når du bruker brukerautentisering for tjenester som IKEv2 VPN eller Policy Control.

Produkter som støttes:

• Zyxel-brannmurer (ZLD 5.40 og nyere, uOS 1.32 og nyere)
• Windows Server 2025 (Forest-nivå 2025)

Zyxel-brannmuren kan integreres med Windows Server 2025 via en sikker LDAPS-kanal (port 636), som oppfyller Microsofts sikkerhetskrav og sikrer stabil autentisering. Fra og med denne versjonen av Windows Server må alle LDAP-forespørsler utføres over LDAPS. Følgende veiledning forklarer hvordan du kobler Zyxel-brannmurer til Active Directory på en sikker måte ved hjelp av SSL-sertifikater.

Denne artikkelen fokuserer på konfigurasjonen av LDAPS-integrering mellom Zyxel-brannmuren og Windows Server 2025 Active Directory.
Hvis du vil ha mer informasjon om kompatibilitetsproblemer med autentisering, kan du se den relaterte artikkelen som det er lenket til nederst.
For informasjon om kompatibilitetsproblemer med autentiseringsprotokoller med Windows Server 2025 (for eksempel MS-CHAPv2 og NTLM-utfordringer) ved bruk av Zyxel-brannmurer, se:
👉 Zyxel-brannmur - Autentiseringskompatibilitet med Windows Server 2025

Installer Active Directory-sertifikattjenestene

• Åpne Server Manager → Legg til roller og funksjoner.
• Installer Active Directory -sertifikattjenester-rollen.
• For detaljerte instruksjoner om hvordan du installerer og konfigurerer sertifiseringsinstansen på Windows Server 2022/2025, se den offisielle Microsoft-dokumentasjonen. Microsoft-veiledning
• Fortsett med standardalternativene og fullfør installasjonen.
• Start serveren på nytt etter installasjonen.

Konfigurer sertifiseringsinstansen

• Velg rolletjenestene som skal konfigureres:

  ✅ Sertifiseringsinstans

• Velg Enterprise CA.
• Velg Root CA.

• Opprett en ny privatnøkkel (standardalternativ).
• Godta standard kryptografiske innstillinger (RSA 2048 eller høyere).

• Angi et felles navn (f.eks. Zyxel-InternalCA).
• Godta standard gyldighetsperiode eller tilpass etter behov.
• Bekreft og fullfør konfigurasjonen.
• Start serveren på nytt.

Bekreft utstedelse av SSL-sertifikat

• Åpne Certification Authority fra Start-menyen.
• Utvid treet og gå til Utstedte sertifikater.
• Kontroller at et sertifikat for domenekontrolleren har blitt utstedt automatisk.

Valgfritt: For å verifisere via PowerShell:

Get-ChildItem -Path Cert:\LocalMachine\My

Konfigurer Zyxel-brannmuren til å bruke LDAPS (port 636)

Åpne webgrensesnittet til Zyxel-brannmuren. Naviger til Objekt > AAA-server eller Autentisering > LDAP. Opprett en ny LDAP-oppføring: Serveradresse: IP eller FQDN for AD-serveren Port: 636 Kryptering: SSL Base DN: DC=eksempel,DC=lokal Bind DN: CN=ldapbind,OU=Users,DC=example,DC=local Passord: for bind-brukeren Importer rot-CA-sertifikatet til brannmurens liste over klarertesertifikater (Objekt > Sertifikat > Klarert CA).

Test autentiseringen

• Bruk verktøyet Test autentisering i brannmurens GUI.
• Bekreft vellykket kommunikasjon over LDAPS (636).

Valgfritt: IKEv2 VPN-integrering

Hvis du bruker IKEv2 VPN:

• Gå til VPN > IKEv2 Gateway/Auth-innstillinger
• Velg det nye LDAP/SSL-godkjenningsobjektet som brukerkilde.
• Test autentisering fra en VPN-klient.