Zyxel Firewall - Windows Server 2025 Active Directory и Zyxel Firewall (ZLD 5.40 / uOS 1.32)

В Windows Server 2025 введены более строгие политики безопасности, включая принудительное использование защищенных каналов для запросов LDAP. Это влияет на стандартную интеграцию брандмауэров Zyxel с Active Directory - особенно при использовании аутентификации пользователей для таких служб, как IKEv2 VPN или Policy Control.

Поддерживаемые продукты:

• Zyxel Firewalls (ZLD 5.40 и выше, uOS 1.32 и выше)
• Windows Server 2025 (уровень леса 2025).

Брандмауэры Zyxel Firewall могут быть должным образом интегрированы с Windows Server 2025 через защищенный канал LDAPS (порт 636), который соответствует требованиям безопасности Microsoft и обеспечивает стабильную аутентификацию. Начиная с этой версии Windows Server, все запросы LDAP должны выполняться через LDAPS. В следующем руководстве объясняется, как безопасно подключить брандмауэры Zyxel к Active Directory с помощью сертификатов SSL.

Эта статья посвящена настройке интеграции LDAPS между Zyxel Firewall и Windows Server 2025 Active Directory.
Для получения подробной информации о проблемах совместимости протоколов аутентификации обратитесь к соответствующей статье, ссылка на которую находится внизу.
Информацию о проблемах совместимости протоколов аутентификации с Windows Server 2025 (например, вызовы MS-CHAPv2 и NTLM) при использовании брандмауэров Zyxel Firewall см. в статье:
👉 Брандмауэр Zyxel - совместимость аутентификации с Windows Server 2025.

Установите службы сертификации Active Directory

• Откройте Диспетчер сервера → Добавить роли и функции.
• Установите роль Службы сертификатов Active Directory.
• Подробные инструкции по установке и настройке центра сертификации на Windows Server 2022/2025 см. в официальной документации Microsoft. Руководство Microsoft
• Используйте параметры по умолчанию и завершите установку.
• Перезагрузите сервер после установки.

Настройка центра сертификации

• Выберите службы ролей для настройки:

  ✅ Центр сертификации

• Выберите Enterprise CA.
• Выберите корневой центр сертификации.

• Создайте новый закрытый ключ (вариант по умолчанию).
• Примите криптографические настройки по умолчанию (RSA 2048 или выше).

• Укажите общее имя (например, Zyxel-InternalCA).
• Примите срок действия по умолчанию или настройте его по своему усмотрению.
• Подтвердите и завершите конфигурацию.
• Перезапустите сервер.

Проверка выдачи сертификата SSL

• Откройте Центр сертификации в меню Пуск.
• Разверните дерево и перейдите в раздел Выданные сертификаты.
• Убедитесь, что сертификат для контроллера домена был выпущен автоматически.

Необязательно: Проверка с помощью PowerShell:

Get-ChildItem -Path Cert:\LocalMachine\My

Настройка Zyxel Firewall на использование LDAPS (порт 636)

Зайдите в веб-интерфейс Zyxel Firewall. Перейдите к Object > AAA Server или Authentication > LDAP. Создайте новую запись LDAP: Адрес сервера: IP или FQDN сервера AD. Порт: 636 Шифрование: SSL Базовый DN: DC=example,DC=local Bind DN: CN=ldapbind,OU=Users,DC=example,DC=local Пароль: для пользователя bind Импортируйте сертификат корневого центра сертификации в список доверенных сертификатов брандмауэра (Object > Certificate > Trusted CA).

Проверка аутентификации

• Используйте инструмент Test Authentication в графическом интерфейсе брандмауэра.
• Подтвердите успешную связь через LDAPS (636).

Дополнительно: Интеграция IKEv2 VPN

Если вы используете IKEv2 VPN:

• Перейдите в раздел VPN > IKEv2 Gateway/Auth Settings.
• Выберите новый объект аутентификации LDAP/SSL в качестве источника пользователей.
• Протестируйте аутентификацию с VPN-клиента.