使用 Active Directory 和 Sonicwall TZ 200 设备验证 VPN？

这个背景是，我不是系统管理员，但我正在尽力，所以请耐心等待。:)

我们的最终目标是希望用户能够使用他们的 Active Directory 凭据通过我们的 Sonicwall TZ 200 设备通过 VPN 访问网络资源。

一些说明：

1. 目前，我们的 Sonicwall 设备正在运行最新版本的 SonicwallOS 固件。
2. Sonicwall VPN 设置为使用本地用户 + RADIUS，运行良好。本地用户已设置为具有共享密钥的“userABC”，并且能够使用基本的 Windows 或 Mac vpn 客户端进行连接，然后访问防火墙后面的资源。
3. Active Directory 框设置了内部域“internal.specialsuperdomain.com”，我们可以从防火墙内部将用户和框添加到域中。这样就没问题了。
4. 我们只需设置 SonicWall LDAP 设置即可与我们的内部 Active Directory 控制器集成。我可以对用户进行身份验证”[电子邮件保护]“在 LDAP 集成测试页面上。
5. 每次我对 Sonicwall 上的 LDAP 集成进行更改时，我都会收到来自 Sonicwall 设备的警告，提示 L2TP 服务器使用 CHAP 设置，而 Active Directory 不支持 CHAP。我想这就是我的问题所在。当我将用户设置更改为“LDAP + 本地用户”并且用户尝试使用其 Active Directory 凭据进行 VPN 连接时，他们会收到身份验证失败错误（在 Mac 上测试），并且 SonicWall 会记录由于该用户“检测到 IP 欺骗”错误而丢弃的数据包。

我曾想过也许我需要使用 LDAP + Radius 来弥补 VPN 和 Active Directory 之间的差距，但我不确定。我正在查看我能找到的所有 Sonicwall 文档，但到目前为止我没有看到任何有用的信息。有什么提示或想法吗？我应该如何设置？

更新：我们的域设置为“Windows Server 2008”功能级别。我们无法使用 Windows 2000 之前的格式“域\用户名”从 Sonicwall 进行身份验证，我推测是因为域未设置为 Windows Server 2003 功能级别。我们能够使用更新的完整用户名从 Sonicwall 进行身份验证（“[电子邮件保护]“），因此我们一直尝试以同样的方式对 VPN 进行身份验证。