Zyxel Firewall - Windows Server 2025 Active Directory și Zyxel Firewall (ZLD 5.40 / uOS 1.32)

Windows Server 2025 introduce politici de securitate mai puternice, inclusiv utilizarea forțată a canalelor securizate pentru interogările LDAP. Acest lucru afectează integrarea standard a Firewall-urilor Zyxel cu Active Directory - în special atunci când se utilizează autentificarea utilizatorului pentru servicii precum IKEv2 VPN sau Policy Control.

Produse acceptate:

• Zyxel Firewalls (ZLD 5.40 și versiunile ulterioare, uOS 1.32 și versiunile ulterioare)
• Windows Server 2025 (nivel de pădure 2025)

Zyxel Firewall poate fi integrat corespunzător cu Windows Server 2025 printr-un canal LDAPS securizat (portul 636), care respectă cerințele de securitate ale Microsoft și asigură o autentificare stabilă. Începând cu această versiune a Windows Server, toate solicitările LDAP trebuie să fie efectuate prin LDAPS. Ghidul următor explică modul de conectare securizată a firewall-urilor Zyxel la Active Directory utilizând certificate SSL.

Acest articol se concentrează pe configurarea integrării LDAPS între Zyxel Firewall și Windows Server 2025 Active Directory.
Pentru detalii privind problemele de compatibilitate a autentificării, vă rugăm să consultați articolul conex legat în partea de jos.
Pentru informații despre problemele de compatibilitate a protocolului de autentificare cu Windows Server 2025 (cum ar fi provocările MS-CHAPv2 și NTLM) atunci când utilizați Firewall-urile Zyxel, consultați:
👉 Zyxel Firewall - Compatibilitatea autentificării cu Windows Server 2025

Instalați serviciile de certificate Active Directory

• Deschideți Server Manager → Adăugați roluri și caracteristici.
• Instalați rolul Active Directory Certificate Services.
• Pentru instrucțiuni detaliate privind instalarea și configurarea Autorității de certificare pe Windows Server 2022/2025, consultați documentația oficială Microsoft. Ghid Microsoft
• Continuați cu opțiunile implicite și finalizați configurarea.
• Reporniți serverul după instalare.

Configurați Autoritatea de certificare

• Selectați serviciile de rol pentru configurare:

  ✅ Autoritatea de certificare

• Selectați Enterprise CA.
• Selectați Root CA.

• Creați o nouă cheie privată (opțiune implicită).
• Acceptați setările criptografice implicite (RSA 2048 sau mai mare).

• Specificați un nume comun (de exemplu, Zyxel-InternalCA).
• Acceptați perioada de valabilitate implicită sau personalizați-o după cum este necesar.
• Confirmați și finalizați configurația.
• Reporniți serverul.

Verificarea emiterii certificatului SSL

• Deschideți Autoritatea de certificare din meniul Start.
• Amplasați arborele și accesați Issued Certificates (Certificate emise).
• Asigurați-vă că un certificat pentru controlerul de domeniu a fost emis automat.

Opțional: Pentru a verifica prin PowerShell:

Get-ChildItem -Path Cert:\LocalMachine\My

Configurați Zyxel Firewall pentru a utiliza LDAPS (portul 636)

Accesați interfața web Zyxel Firewall. Navigați la Object > AAA Server sau Authentication > LDAP. Creați o nouă intrare LDAP: Adresa serverului: IP sau FQDN al serverului AD Port: 636 Criptare: SSL DN de bază: DC=exemplu,DC=local Bind DN: CN=ldapbind,OU=Users,DC=example,DC=local Parolă: pentru utilizatorul bind Importați certificatul CA rădăcină în lista de certificate de încredere a firewall-ului (Object > Certificate > Trusted CA).

Testați autentificarea

• Utilizați instrumentul Test Authentication din interfața grafică a firewall-ului.
• Confirmați succesul comunicării prin LDAPS (636).

Opțional: Integrare VPN IKEv2

Dacă utilizați IKEv2 VPN:

• Mergeți la VPN > IKEv2 Gateway/Auth Settings
• Selectați noul obiect de autentificare LDAP/SSL ca sursă a utilizatorului.
• Testați autentificarea de la un client VPN.