Firewall Zyxel - Windows Server 2025 Active Directory a Firewall Zyxel (ZLD 5.40 / uOS 1.32)

Windows Server 2025 zavádza prísnejšie zásady zabezpečenia vrátane vynúteného používania zabezpečených kanálov pre dotazy LDAP. To má vplyv na štandardnú integráciu firewallov Zyxel s Active Directory - najmä pri používaní overovania používateľov pre služby, ako je IKEv2 VPN alebo Policy Control.

Podporované produkty:

• Firewally Zyxel (ZLD 5.40 a vyššie, uOS 1.32 a vyššie)
• Windows Server 2025 (úroveň lesa 2025)

Bránu Zyxel Firewall možno správne integrovať so systémom Windows Server 2025 prostredníctvom zabezpečeného kanála LDAPS (port 636), ktorý spĺňa bezpečnostné požiadavky spoločnosti Microsoft a zabezpečuje stabilné overovanie. Počnúc touto verziou systému Windows Server sa všetky požiadavky LDAP musia vykonávať prostredníctvom LDAPS. V nasledujúcej príručke je vysvetlené, ako bezpečne pripojiť brány Zyxel Firewall k službe Active Directory pomocou certifikátov SSL.

Tento článok sa zameriava na konfiguráciu integrácie LDAPS medzi bránou Zyxel Firewall a službou Windows Server 2025 Active Directory.
Podrobnosti o otázkach kompatibility overovania nájdete v súvisiacom článku, na ktorý je odkaz v dolnej časti.
Informácie o problémoch s kompatibilitou overovacích protokolov so systémom Windows Server 2025 (napríklad výzvy MS-CHAPv2 a NTLM) pri používaní brány Zyxel Firewall nájdete v tomto dokumente:
👉 Brána Zyxel Firewall - Kompatibilita overovania so systémom Windows Server 2025

Inštalácia certifikačných služieb Active Directory

• Otvorte Správcu servera → Pridať roly a funkcie.
• Nainštalujte rolu Active Directory Certificate Services.
• Podrobné pokyny na inštaláciu a konfiguráciu certifikačnej autority na Windows Server 2022/2025 nájdete v oficiálnej dokumentácii spoločnosti Microsoft. Príručka spoločnosti Microsoft
• Pokračujte s predvolenými možnosťami a dokončite nastavenie.
• Po inštalácii reštartujte server.

Konfigurácia certifikačnej autority

• Vyberte služby rolí, ktoré chcete nakonfigurovať:

  ✅ Certifikačná autorita

• Vyberte možnosť Podniková certifikačná autorita.
• Vyberte položku Koreňová certifikačná autorita.

• Vytvorte nový súkromný kľúč (predvolená možnosť).
• Prijmite predvolené kryptografické nastavenia (RSA 2048 alebo vyššie).

• Zadajte spoločný názov (napr. Zyxel-InternalCA).
• Prijmite predvolenú dobu platnosti alebo ju prispôsobte podľa potreby.
• Potvrďte a dokončite konfiguráciu.
• Reštartujte server.

Overenie vydania certifikátu SSL

• Otvorte Certifikačnú autoritu z ponuky Štart.
• Rozbaľte strom a prejdite na položku Vydané certifikáty.
• Skontrolujte, či bol automaticky vydaný certifikát pre radič domény.

Voliteľne: Ak chcete overiť prostredníctvom prostredia PowerShell:

Get-ChildItem -Path Cert:\LocalMachine\My

Konfigurácia brány Zyxel Firewall na používanie LDAPS (port 636)

Pristúpte k webovému rozhraniu brány Zyxel Firewall. Prejdite na položku Objekt > Server AAA alebo Overovanie > LDAP. Vytvorte novú položku LDAP: Adresa servera: IP alebo FQDN servera AD Port: 636 Šifrovanie: ŠIFROVANIE: SSL Základné DN: DC=example,DC=local Bind DN: CN=ldapbind,OU=Users,DC=example,DC=local Heslo: pre používateľa bind Importujte certifikát koreňovej certifikačnej autority do zoznamu dôveryhodných certifikátov firewallu (Objekt > Certifikát > Dôveryhodná certifikačná autorita).

Otestujte overovanie

• Použite nástroj Test autentifikácie v grafickom rozhraní brány firewall.
• Potvrďte úspešnú komunikáciu prostredníctvom protokolu LDAPS (636).

Voliteľné: Integrácia IKEv2 VPN

Ak používate IKEv2 VPN:

• Prejdite do ponuky VPN > IKEv2 Gateway/Auth Settings (Nastavenia brány IKEv2/autentifikácie).
• Ako zdroj používateľov vyberte nový objekt overovania LDAP/SSL.
• Otestujte overovanie z klienta VPN.