Kompatibilitet för autentisering av Zyxel-brandväggar med Windows Server 2025

Skapat - Uppdaterad
Serhii Boiarynov
Idea generator
Great answers
Master (Platinum)
Print Friendly and PDF
Har du fler frågor? Skicka en förfrågan

Viktigt meddelande:
Kära kund, var medveten om att vi använder maskinöversättning för att tillhandahålla artiklar på ditt lokala språk. Det är inte säkert att all text översätts korrekt. Om det finns frågor eller avvikelser om riktigheten i informationen i den översatta versionen, vänligen granska originalartikeln här:Originalversion

Med de kommande ändringarna som introduceras i Microsoft Windows Server 2025 har NTLM-autentiseringsstöd utgått till förmån för mer moderna och säkra autentiseringsprotokoll. Som ett resultat kan autentiseringsmetoder som förlitar sig på MSCHAPv2 - till exempel de som används i Active Directory (AD) och RADIUS-miljöer - uppleva kompatibilitetsproblem vid gränssnittet med Zyxel-brandväggsapparater som kör aktuella firmwareversioner.

Obs: Från och med april 2025 fortsätter Windows Server 2025 att stödja MS-CHAPv2 för autentisering.
Det är dock viktigt att notera att Windows Defender Credential Guard, som är aktiverat som standard i Windows Server 2025, kan störa MS-CHAPv2-baserade autentiseringsmetoder, t.ex. PEAP-MSCHAPv2 och EAP-MSCHAPv2.
Denna störning kan leda till autentiseringsfel i scenarier som Active Directory (AD)-autentisering på din Zyxel-brandvägg och RADIUS-serverautentisering.

Om du vill integrera din Zyxel-brandvägg med Windows Server 2025 Active Directory med LDAPS (TCP-port 636)ZLD 5.40 eller uOS 1.32, se den här dedikerade artikeln:
👉 Zyxel Firewall - Windows Server 2025 Active Directory och Zyxel Firewall ZLD 5.40/uOS 1.32

Obs: Den här artikeln fokuserar på problem med autentiseringskompatibilitet (t.ex. MS-CHAPv2, NTLM-avveckling) med Windows Server 2025. Om du letar efter AD-integrationssteg med hjälp av LDAPS, se den länkade artikeln längst ner.

Observerat beteende

Vid försök att autentisera användare via AD eller NPS (Network Policy Server) med MSCHAPv2 kan det hända att Zyxels brandväggar inte får ett giltigt svar, vilket resulterar i misslyckade autentiseringsförsök. Det här beteendet beror på att NTLM-stödet har tagits bort i Windows Server 2025, vilket är en nödvändig komponent för att MSCHAPv2 ska fungera.

Zyxels rekommenderade lösning

För att säkerställa fortsatt och oavbruten användarautentisering rekommenderar Zyxel följande lösning tills full kompatibilitet har införts:

  • Skapa lokala användarkonton på Zyxel-brandväggen för autentiseringsändamål.
  • Detta kringgår beroendet av NTLM, vilket säkerställer en smidig inloggningsupplevelse för användare samtidigt som nätverkssäkerheten upprätthålls.

Lösning för att komma runt problemet (med försiktighet)

Lösning 1: Aktivera SSL (LDAPS) på Zyxel-brandväggen

Kärnan i denna lösning är att använda LDAP över SSL, vilket överensstämmer med Microsofts nya säkerhetspolicyer och ersätter det äldre NTLM-protokollet.

Konfigurationssteg:

  1. Logga in i gränssnittet för Zyxel Firewall och navigera till:
    Autentisering > Serverinställningar > Avancerade inställningar
  2. Aktivera alternativet SSL.

Se till att:

  • Domänkontrollanten har ett giltigt SSL-certifikat.
  • Certifikatet är installerat i arkivet Betrodda rotcertifikatutfärdare på brandväggen.

Risker och begränsningar:

  • Utan ett korrekt installerat och betrott certifikat kommer brandväggen inte att kunna ansluta till AD-servern via LDAPS.
  • Manuell certifikathantering krävs: export, import och verifiering av förtroendekedjan.

Lösning 2: Slappna av i säkerhetspolicyn på Windows Server 2025

Den andra metoden är att ändra grupprincipen på domänkontrollanten så att osäkert beteende tillåts som standard. Detta gör det möjligt för Zyxel-brandväggen att ansluta med standard (icke-säker) LDAP.

Steg för steg:

  1. Kör gpedit.msc på domänkontrollanten för Windows Server 2025.
  2. Navigera till:
    Redigeraren för lokal grupprincip → Datorkonfiguration → Windows-inställningar →
    Säkerhetsinställningar → Lokala policyer → Säkerhetsalternativ →
    Domänkontrollant: Krav för signering av LDAP-server
  3. Ändra inställningen "Verkställighet " till "Inaktiverad".

Vad detta gör:

  • Gör att domänkontrollanten kan svara på vanliga (icke-krypterade) LDAP-förfrågningar från klienter som Zyxel Firewall.
  • Omgår kravet på att använda LDAPS.

Risker:

  • Lösenord och andra känsliga data överförs okrypterat, vilket är särskilt farligt i osäkra eller offentliga nätverk.
  • Öppnar för potentiell sårbarhet för man-in-the-middle-attacker.
  • Bryter mot Microsofts rekommenderade säkerhetspolicyer och kan utlösa varningar i övervakningssystem.

Slutsats:

Det här är en snabb lösning, men den minskar säkerheten avsevärt. Använd den endast i begränsade, isolerade miljöer och återställ den så snart en officiell lösning finns tillgänglig.

Att blicka framåt

På Zyxel arbetar vi aktivt för att säkerställa att våra lösningar utvecklas i takt med branschförändringar. Våra team följer noga Microsofts utveckling av Windows Server 2025, och vi undersöker redan integrationsalternativ för att stödja de förbättrade säkerhetsprotokoll som införs.

Även om nuvarande firmwareversioner ännu inte stöder de uppdaterade autentiseringsmetoderna, kan du vara säker på att detta är en hög prioritet på vår utvecklingsvägkarta. Våra ingenjörer är fast beslutna att leverera en sömlös upplevelse för våra kunder, och stöd för Windows Server 2025-autentisering är under aktiv granskning.

Tack för ditt fortsatta förtroende för Zyxel. Tillsammans bygger vi en säkrare och mer motståndskraftig framtid.

Vi uppskattar din förståelse och rekommenderar att du håller kontakten med vår Zyxel Community och Support Portal för de senaste nyheterna och vägledningen.

Artiklar i detta avsnitt

Se fler
Var denna artikel till hjälp?
0 av 0 tyckte detta var till hjälp
Dela

Kommentarer

0 kommentarer

logga in för att lämna en kommentar.