Zyxel Brandvägg - Windows Server 2025 Active Directory och Zyxel Brandvägg (ZLD 5.40 / uOS 1.32)

Windows Server 2025 introducerar starkare säkerhetspolicyer, inklusive påtvingad användning av säkra kanaler för LDAP-frågor. Detta påverkar standardintegrationen av Zyxel-brandväggar med Active Directory - särskilt när du använder användarautentisering för tjänster som IKEv2 VPN eller Policy Control.

Produkter som stöds:

• Zyxel-brandväggar (ZLD 5.40 och senare, uOS 1.32 och senare)
• Windows Server 2025 (skogsnivå 2025)

Zyxel Firewall kan integreras korrekt med Windows Server 2025 via en säker LDAPS-kanal (port 636), vilket uppfyller Microsofts säkerhetskrav och säkerställer stabil autentisering. Från och med den här versionen av Windows Server måste alla LDAP-förfrågningar utföras via LDAPS. Följande guide förklarar hur du ansluter Zyxel-brandväggar till Active Directory på ett säkert sätt med hjälp av SSL-certifikat.

Den här artikeln fokuserar på konfigurationen av LDAPS-integration mellan Zyxel Firewall och Windows Server 2025 Active Directory.
Mer information om kompatibilitetsproblem med autentisering finns i den relaterade artikeln som är länkad längst ned.
För information om kompatibilitetsproblem med autentiseringsprotokoll med Windows Server 2025 (t.ex. MS-CHAPv2- och NTLM-utmaningar) när du använder Zyxel-brandväggar, se:
👉 Zyxel Firewall - Autentiseringskompatibilitet med Windows Server 2025

Installera Active Directory-certifikattjänsterna

• Öppna Serverhanteraren → Lägg till roller och funktioner.
• Installera rollen Active Directory-certifikattjänster.
• För detaljerade instruktioner om installation och konfiguration av certifikatutfärdaren på Windows Server 2022/2025, se den officiella Microsoft-dokumentationen. Microsoft-guide
• Fortsätt med standardalternativ och slutför installationen.
• Starta om servern efter installationen.

Konfigurera certifikatutfärdaren

• Välj de rolltjänster som ska konfigureras:

  ✅ Certifikatutfärdare

• Välj Enterprise CA.
• Välj Root CA.

• Skapa en ny privat nyckel (standardalternativ).
• Acceptera standardinställningarna för kryptografi (RSA 2048 eller högre).

• Ange ett gemensamt namn (t.ex. Zyxel-InternalCA).
• Acceptera standardgiltighetsperioden eller anpassa efter behov.
• Bekräfta och slutför konfigurationen.
• Starta om servern.

Verifiera utfärdandet av SSL-certifikat

• Öppna Certifikatutfärdare från Start-menyn.
• Expandera trädet och gå till Utfärdade certifikat.
• Kontrollera att ett certifikat för domänkontrollanten har utfärdats automatiskt.

Valfritt alternativ: För att verifiera via PowerShell:

Get-ChildItem -Path Cert:\LocalMachine\My

Konfigurera Zyxel-brandväggen så att den använder LDAPS (port 636)

Gå till webbgränssnittet för Zyxel Firewall. Navigera till Objekt > AAA-server eller Autentisering > LDAP. Skapa en ny LDAP-post: Serveradress: IP eller FQDN för AD-servern Port: 636 Kryptering: SSL Bas-DN : DC=exempel,DC=lokal Bind DN: CN=ldapbind,OU=Users,DC=example,DC=local Lösenord: för bind-användaren Importera rotcertifikatutfärdarens certifikat till brandväggens lista över betrodda certifikat (Objekt > Certifikat > Betrodd certifikatutfärdare).

Testa autentiseringen

• Använd verktyget Test Authentication i brandväggens GUI.
• Bekräfta lyckad kommunikation över LDAPS (636).

Valfritt: IKEv2 VPN-integrering

Om du använder IKEv2 VPN:

• Gå till VPN > IKEv2 Gateway/Auth-inställningar
• Välj det nya LDAP/SSL-autentiseringsobjektet som användarkälla.
• Testa autentiseringen från en VPN-klient.