Zyxel Firewall - Windows Server 2025 Active Directory ve Zyxel Firewall (ZLD 5.40 / uOS 1.32)

Windows Server 2025, LDAP sorguları için güvenli kanalların zorunlu kullanımı da dahil olmak üzere daha güçlü güvenlik politikaları sunar. Bu, Zyxel Firewall'ların Active Directory ile standart entegrasyonunu etkiler-özellikle IKEv2 VPN veya Policy Control gibi hizmetler için kullanıcı kimlik doğrulaması kullanılırken.

Desteklenen ürünler:

• Zyxel Güvenlik Duvarları (ZLD 5.40 ve üzeri, uOS 1.32 ve üzeri)
• Windows Server 2025 (Orman seviyesi 2025)

Zyxel Firewall, Microsoft'un güvenlik gereksinimlerine uyan ve istikrarlı kimlik doğrulama sağlayan güvenli bir LDAPS kanalı (port 636) aracılığıyla Windows Server 2025 ile düzgün bir şekilde entegre edilebilir. Windows Server'ın bu sürümünden başlayarak, tüm LDAP istekleri LDAPS üzerinden gerçekleştirilmelidir. Aşağıdaki kılavuzda, Zyxel Güvenlik Duvarlarının SSL sertifikaları kullanılarak Active Directory'ye nasıl güvenli bir şekilde bağlanacağı açıklanmaktadır.

Bu makale, Zyxel Firewall ve Windows Server 2025 Active Directory arasındaki LDAPS entegrasyonunun yapılandırılmasına odaklanmaktadır.
Kimlik doğrulama uyumluluğu sorunları hakkında ayrıntılar için lütfen altta bağlantısı verilen ilgili makaleye bakın.
Zyxel Güvenlik Duvarları kullanılırken Windows Server 2025 ile kimlik doğrulama protokolü uyumluluğu sorunları (MS-CHAPv2 ve NTLM zorlukları gibi) hakkında bilgi için lütfen bkz:
👉 Zyxel Güvenlik Duvarı - Windows Server 2025 ile Kimlik Doğrulama Uyumluluğu

Active Directory Sertifika Hizmetlerini Yükleme

• Sunucu Yöneticisi → Rol ve özellik ekle'yi açın.
• Active Directory Sertifika Hizmetleri rolünü yükleyin.
• Sertifika Yetkilisinin Windows Server 2022/2025'e yüklenmesi ve yapılandırılmasıyla ilgili ayrıntılı talimatlar için lütfen resmi Microsoft belgelerine bakın. Microsoft Kılavuzu
• Varsayılan seçeneklerle devam edin ve kurulumu tamamlayın.
• Kurulumdan sonra sunucuyu yeniden başlatın.

Sertifika Yetkilisini Yapılandırma

• Yapılandırılacak rol hizmetlerini seçin:

  ✅ Sertifika Yetkilisi

• Kurumsal CA'yı seçin.
• Kök CA'yı seçin.

• Yeni bir özel anahtar oluşturun (varsayılan seçenek).
• Varsayılan kriptografik ayarları kabul edin (RSA 2048 veya üstü).

• Ortak bir ad belirtin (örneğin, Zyxel-InternalCA).
• Varsayılan geçerlilik süresini kabul edin veya gerektiği gibi özelleştirin.
• Yapılandırmayı onaylayın ve tamamlayın.
• Sunucuyu yeniden başlatın.

SSL Sertifikası Verildiğini Doğrulama

• Başlat menüsünden Sertifika Yetkilisi 'ni açın.
• Ağacı genişletin ve Verilen Sertifikalar'a gidin.
• Etki alanı denetleyicisi için bir sertifikanın otomatik olarak verildiğinden emin olun.

İsteğe bağlı: PowerShell aracılığıyla doğrulamak için:

Get-ChildItem -Path Cert:\LocalMachine\My

Zyxel Güvenlik Duvarını LDAPS (Bağlantı Noktası 636) Kullanacak Şekilde Yapılandırma

Zyxel Firewall web arayüzüne erişin. Nesne > AAA Sunucusu veya Kimlik Doğrulama > LDAP seçeneğine gidin. Yeni bir LDAP girişi oluşturun: Sunucu Adresi: AD sunucusunun IP veya FQDN'si Port: 636 Şifreleme: SSL Temel DN: DC=example,DC=local Bind DN: CN=ldapbind,OU=Users,DC=example,DC=local Şifre: bind kullanıcısı için Kök CA sertifikasını güvenlik duvarının güvenilen sertifikalar listesineaktarın (Nesne > Sertifika > Güvenilen CA).

Kimlik Doğrulamayı Test Etme

• Güvenlik duvarının GUI'sindeki Kimlik Doğrulamayı Test Et aracını kullanın.
• LDAPS üzerinden başarılı iletişimi onaylayın (636).

İsteğe Bağlı: IKEv2 VPN Entegrasyonu

IKEv2 VPN kullanıyorsanız:

• VPN > IKEv2 Ağ Geçidi/Auth Ayarları'na gidin
• Kullanıcı kaynağı olarak yeni LDAP/SSL kimlik doğrulama nesnesini seçin.
• Bir VPN istemcisinden kimlik doğrulamayı test edin.