Zyxel Firewall - Windows Server 2025 Active Directory i Zyxel Firewall (ZLD 5.40 / uOS 1.32)

Windows Server 2025 wprowadza silniejsze zasady bezpieczeństwa, w tym wymuszone korzystanie z bezpiecznych kanałów dla zapytań LDAP. Ma to wpływ na standardową integrację zapór Zyxel z Active Directory - zwłaszcza w przypadku korzystania z uwierzytelniania użytkowników dla usług takich jak IKEv2 VPN lub Policy Control.

Obsługiwane produkty:

• Zapory sieciowe Zyxel (ZLD 5.40 i nowsze, uOS 1.32 i nowsze)
• Windows Server 2025 (poziom lasu 2025)

Zyxel Firewall może być poprawnie zintegrowany z Windows Server 2025 poprzez bezpieczny kanał LDAPS (port 636), który jest zgodny z wymogami bezpieczeństwa Microsoft i zapewnia stabilne uwierzytelnianie. Począwszy od tej wersji systemu Windows Server, wszystkie żądania LDAP muszą być wykonywane przez LDAPS. Poniższy przewodnik wyjaśnia, jak bezpiecznie połączyć zapory Zyxel Firewall z Active Directory za pomocą certyfikatów SSL.

Ten artykuł koncentruje się na konfiguracji integracji LDAPS między Zyxel Firewall i Windows Server 2025 Active Directory.
Aby uzyskać szczegółowe informacje na temat kwestii zgodności uwierzytelniania, zapoznaj się z powiązanym artykułem połączonym na dole.
Aby uzyskać informacje na temat problemów z kompatybilnością protokołów uwierzytelniania z Windows Server 20 25 (takich jak wyzwania MS-CHAPv2 i NTLM) podczas korzystania z zapór Zyxel, zobacz:
👉 Zyxel Firewall - Zgodność uwierzytelniania z Windows Server 2025.

Zainstaluj usługi certyfikatów Active Directory

• Otwórz Server Manager → Dodaj role i funkcje.
• Zainstaluj rolę Usługi certyfikatów w usłudze Active Directory.
• Szczegółowe instrukcje dotyczące instalowania i konfigurowania urzędu certyfikacji w systemie Windows Server 2022/2025 można znaleźć w oficjalnej dokumentacji firmy Microsoft. Przewodnik Microsoft
• Przejdź do opcji domyślnych i zakończ konfigurację.
• Po zakończeniu instalacji uruchom ponownie serwer.

Konfiguracja urzędu certyfikacji

• Wybierz usługi ról do skonfigurowania:

  Urząd certyfikacji

• Wybierz Enterprise CA.
• Wybierz Główny urząd certyfikacji.

• Utwórz nowy klucz prywatny (opcja domyślna).
• Zaakceptuj domyślne ustawienia kryptograficzne (RSA 2048 lub wyższe).

• Określ wspólną nazwę (np. Zyxel-InternalCA).
• Zaakceptuj domyślny okres ważności lub dostosuj go według potrzeb.
• Potwierdź i zakończ konfigurację.
• Uruchom ponownie serwer.

Weryfikacja wydania certyfikatu SSL

• Otwórz Urząd certyfikacji z menu Start.
• Rozwiń drzewo i przejdź do Issued Certificates.
• Upewnij się, że certyfikat dla kontrolera domeny został wydany automatycznie.

Opcjonalnie: Aby zweryfikować za pomocą PowerShell:

Get-ChildItem -Path Cert:\LocalMachine\My

Konfiguracja zapory Zyxel Firewall do korzystania z LDAPS (port 636)

Uzyskaj dostęp do interfejsu internetowego Zyxel Firewall. Przejdź do Object > AAA Server lub Authentication > LDAP. Utwórz nowy wpis LDAP: Server Address: IP lub FQDN serwera AD Port: 636 Szyfrowanie: SSL Base DN: DC=example,DC=local Bind DN: CN=ldapbind, OU=Users, DC=example, DC=local Hasło: dla użytkownika bind Zaimportujcertyfikat głównego urzędu certyfikacji do listy zaufanych certyfikatów zapory (Obiekt > Certyfikat > Zaufany urząd certyfikacji).

Przetestuj uwierzytelnianie

• Użyj narzędzia Test Authentication w interfejsie GUI zapory.
• Potwierdź pomyślną komunikację przez LDAPS (636).

Opcjonalnie: Integracja IKEv2 VPN

Jeśli używasz IKEv2 VPN:

• Przejdź do VPN > IKEv2 Gateway/Auth Settings.
• Wybierz nowy obiekt uwierzytelniania LDAP/SSL jako źródło użytkownika.
• Przetestuj uwierzytelnianie z klienta VPN.