Настройка NPS/RADIUS сервера в Windows Server: пошаговое руководство

Network Policy Server (NPS) — это встроенная в Windows Server реализация протокола RADIUS (Remote Authentication Dial-In User Service). NPS позволяет централизованно управлять аутентификацией, авторизацией и учётом для сетевых подключений: Wi-Fi, VPN, проводных сетей 802.1x и удалённого доступа. В этой статье мы подробно разберём установку и настройку NPS-сервера, создание политик, подключение RADIUS-клиентов и диагностику типичных проблем.

RADIUS остаётся одним из ключевых протоколов корпоративной инфраструктуры. Он используется в связке с Active Directory для проверки учётных данных пользователей и назначения сетевых параметров: VLAN, фильтров, ограничений по времени. Без RADIUS невозможно построить безопасную корпоративную беспроводную сеть уровня Enterprise.

Что такое NPS и зачем он нужен в корпоративной сети?

NPS выполняет три ключевые функции стандарта AAA: Authentication (аутентификация — кто вы?), Authorization (авторизация — что вам разрешено?) и Accounting (учёт — что вы делаете?). Он принимает запросы от сетевого оборудования (точек доступа Wi-Fi, VPN-серверов, коммутаторов) и проверяет их через Active Directory.

NPS заменяет устаревшую службу IAS (Internet Authentication Service) и входит в состав Windows Server начиная с версии 2008. Он поддерживает протоколы EAP, PEAP, MS-CHAPv2, а также может работать как RADIUS-прокси, перенаправляя запросы на другие RADIUS-серверы.

Основные сценарии использования NPS:

• Аутентификация Wi-Fi через WPA2/WPA3-Enterprise и 802.1x
• Аутентификация VPN-подключений (SSTP, L2TP/IPsec, IKEv2)
• Контроль доступа к проводной сети через 802.1x на коммутаторах
• Аутентификация RD Gateway (шлюз удалённых рабочих столов)
• Разграничение доступа по группам AD, времени суток, типу устройства

Какие требования нужно выполнить перед установкой NPS?

Перед развёртыванием NPS убедитесь, что ваша инфраструктура соответствует следующим требованиям:

• Windows Server 2016/2019/2022/2025 (Standard или Datacenter)
• Сервер должен быть членом домена Active Directory
• Установленная и настроенная служба Active Directory Domain Services
• Рекомендуется наличие внутреннего центра сертификации (AD CS) для EAP-TLS
• Открытые UDP-порты 1812, 1813 (и/или 1645, 1646) на файрволе

Также необходимо спланировать сетевые политики заранее: какие группы пользователей получат доступ к каким ресурсам, через какие методы аутентификации, и какие VLAN будут назначаться.

Как установить роль NPS на Windows Server?

Установка NPS выполняется через Server Manager или PowerShell. Рассмотрим оба способа.

Установка через Server Manager

1. Откройте Server Manager, выберите Add Roles and Features
2. Выберите Network Policy and Access Services
3. На этапе Role Services убедитесь, что выбран Network Policy Server
4. Завершите мастер и дождитесь установки

Установка через PowerShell

Install-WindowsFeature NPAS -IncludeManagementTools

После установки зарегистрируйте NPS в Active Directory, чтобы он мог читать свойства учётных записей:

# Регистрация NPS в AD (требует прав Domain Admins)
netsh ras add registeredserver

Или через GUI: откройте консоль NPS (nps.msc), правой кнопкой по серверу — Register Server in Active Directory. Сервер будет добавлен в группу RAS and IAS Servers.

Как настроить RADIUS-клиентов в NPS?

RADIUS-клиент — это сетевое устройство, которое пересылает запросы аутентификации на NPS. Это могут быть точки доступа Wi-Fi, VPN-серверы, управляемые коммутаторы. Каждый клиент должен быть зарегистрирован в NPS с указанием shared secret.

1. В консоли NPS раскройте раздел RADIUS Clients and Servers
2. Правой кнопкой по RADIUS Clients — New
3. Укажите понятное имя (Friendly Name), IP-адрес устройства
4. Задайте Shared Secret — общий ключ, который должен совпадать на NPS и устройстве

# Добавление RADIUS-клиента через PowerShell
New-NpsRadiusClient -Name "WiFi-AP-Floor1" `
  -Address "192.168.10.5" `
  -SharedSecret "MyStr0ngRADIUS$ecret!" `
  -VendorName "Cisco"

Для каждой точки доступа или коммутатора создайте отдельную запись. Можно также указать подсеть (например, 192.168.10.0/24), если устройства расположены в одном сегменте.

Как создать политику подключения (Connection Request Policy)?

Connection Request Policy определяет, как NPS обрабатывает входящие RADIUS-запросы: локально или перенаправляет на другой сервер. Для типичной конфигурации с одним NPS используется политика локальной обработки.

1. В консоли NPS перейдите в Policies → Connection Request Policies
2. Создайте новую политику или отредактируйте существующую
3. На вкладке Conditions добавьте условие: тип подключения (Wireless, VPN, и т.д.)
4. На вкладке Settings выберите Authenticate requests on this server

Политика подключения работает как первый фильтр: она определяет, будет ли запрос вообще обработан этим NPS-сервером. Только после этого проверяются сетевые политики.

Как создать сетевую политику (Network Policy) для Wi-Fi?

Сетевая политика — ключевой элемент NPS. Она определяет, кому разрешён доступ и на каких условиях. Создадим политику для Wi-Fi Enterprise:

1. Перейдите в Policies → Network Policies, создайте новую
2. Задайте имя, например WiFi-Corp-Access
3. Тип сервера: Unspecified или IEEE 802.1x (Wireless)
4. Conditions: добавьте Windows Groups — группу AD (например, WiFi-Users)
5. Добавьте условие NAS Port Type = Wireless-IEEE 802.11
6. Access Permission: Grant Access
7. Authentication Methods: выберите Microsoft: Protected EAP (PEAP)
8. В настройках PEAP выберите сертификат NPS-сервера
9. На вкладке Constraints при необходимости задайте ограничение по времени
10. На вкладке Settings можно назначить VLAN через атрибуты RADIUS

# Назначение VLAN через RADIUS-атрибуты (стандарт RFC 3580):
# Tunnel-Type = VLAN (13)
# Tunnel-Medium-Type = 802 (6)
# Tunnel-Pvt-Group-ID = 100 (номер VLAN)

Порядок политик имеет значение: NPS проверяет их сверху вниз и применяет первую совпавшую. Убедитесь, что более конкретные политики расположены выше общих.

Как настроить аутентификацию VPN через NPS?

NPS может аутентифицировать VPN-подключения, работая в связке с RRAS (Routing and Remote Access Service) или сторонними VPN-серверами. Создайте отдельную сетевую политику:

• Условие: NAS Port Type = Virtual (VPN)
• Условие: группа AD (например, VPN-Users)
• Метод аутентификации: EAP-MSCHAPv2 или EAP-TLS (для сертификатов)
• В Constraints задайте Idle Timeout и Session Timeout

# Пример: ограничение VPN-сессии 8 часами
# Session-Timeout = 28800
# Idle-Timeout = 1800

Для VPN также рекомендуется настроить учёт (accounting) — это позволит отслеживать время подключения, объём трафика и другие параметры каждого пользователя.

Как настроить 802.1x на коммутаторах с NPS?

Проводная аутентификация 802.1x обеспечивает контроль доступа на уровне порта коммутатора. Подключаемый компьютер должен пройти аутентификацию через NPS, прежде чем получит доступ к сети.

Настройка на стороне NPS аналогична Wi-Fi, но с другим условием NAS Port Type:

• NAS Port Type: Ethernet
• Метод аутентификации: EAP-TLS (предпочтительно, с использованием машинных сертификатов) или PEAP-MSCHAPv2

На коммутаторе Cisco пример конфигурации:

aaa new-model
aaa authentication dot1x default group radius
radius-server host 192.168.1.10 key MyRADIUS$ecret
dot1x system-auth-control

interface GigabitEthernet0/1
  switchport mode access
  switchport access vlan 100
  authentication port-control auto
  dot1x pae authenticator

Для HP/Aruba коммутаторов конфигурация будет отличаться синтаксисом, но принцип тот же: указать RADIUS-сервер и включить 802.1x на портах.

Как настроить сертификаты для PEAP и EAP-TLS?

Сертификаты критически важны для безопасности RADIUS. Без корректно настроенных сертификатов клиенты не смогут проверить подлинность NPS-сервера, что открывает возможность атак Evil Twin.

Сертификат для NPS-сервера

NPS-сервер должен иметь сертификат с Enhanced Key Usage = Server Authentication. Если в организации есть Active Directory c развёрнутым AD CS:

# Запрос сертификата для NPS через certreq
# Шаблон: RAS and IAS Server
certreq -enroll -machine "RAS and IAS Server"

Сертификаты для EAP-TLS

При использовании EAP-TLS каждый клиент (пользователь или компьютер) получает персональный сертификат. Это обеспечивает двустороннюю аутентификацию — самый безопасный метод. Сертификаты можно распространять через Group Policy (автоматическая регистрация).

Как мониторить и диагностировать NPS?

NPS ведёт подробные логи, которые помогают в диагностике проблем аутентификации.

Логи событий

Основные события NPS записываются в журнал Security (Event ID 6272 — успех, 6273 — отказ). Также есть специализированный журнал: Custom Views → Server Roles → Network Policy and Access Services.

# Просмотр последних 20 событий NPS через PowerShell
Get-WinEvent -LogName Security -FilterXPath "*[System[EventID=6273]]" -MaxEvents 20 |
  Select-Object TimeCreated, Message | Format-List

RADIUS-учёт (Accounting)

Настройте RADIUS Accounting в свойствах NPS: Accounting → SQL Server Logging или Local File Logging. Логи сохраняются в формате IAS или DTS и содержат информацию о каждом подключении.

Типичные причины отказов:

• Event ID 6273, Reason Code 8 — неверное имя пользователя или пароль
• Reason Code 16 — аутентификация отклонена сетевой политикой
• Reason Code 22 — клиент не соответствует условиям политики
• Reason Code 48 — проблема с сертификатом (истёк, не доверен)
• Reason Code 66 — несоответствие shared secret

Как обеспечить высокую доступность NPS?

В production-среде рекомендуется развернуть минимум два NPS-сервера для отказоустойчивости. NPS не поддерживает кластеризацию нативно, но есть несколько подходов:

• Два NPS-сервера — на сетевом оборудовании указать оба сервера как Primary и Secondary RADIUS
• NPS Proxy — группа серверов с балансировкой нагрузки
• Экспорт/импорт конфигурации — синхронизация настроек между серверами

# Экспорт конфигурации NPS в XML
netsh nps export filename="C:\NPS-config.xml" exportPSK=YES

# Импорт на втором сервере
netsh nps import filename="C:\NPS-config.xml"

Экспорт включает все политики, клиентов и настройки. Рекомендуется выполнять его после каждого изменения конфигурации и перенести на второй сервер. Подробнее о резервном копировании Windows Server можно прочитать в нашей отдельной статье.

Какие лучшие практики безопасности NPS существуют?

Для обеспечения безопасности RADIUS-инфраструктуры следуйте рекомендациям:

• Используйте длинные и случайные shared secrets (минимум 22 символа)
• Включите RADIUS Accounting для аудита всех подключений
• Применяйте EAP-TLS вместо PEAP-MSCHAPv2, где это возможно
• Ограничьте доступ к NPS по IP (только от известных RADIUS-клиентов) через Windows Firewall
• Регулярно обновляйте сертификаты NPS-сервера
• Мониторьте события отказов (Event ID 6273) через PowerShell-анализ Event Log
• Используйте отдельные группы AD для разных типов подключений
• Настройте ограничения по времени и количеству сессий

Как интегрировать NPS с облачными сервисами и MFA?

Современные требования безопасности предполагают многофакторную аутентификацию (MFA). NPS можно интегрировать с Microsoft Entra ID (Azure AD) MFA через расширение NPS Extension for Azure MFA:

1. Загрузите NPS Extension for Azure MFA с сайта Microsoft
2. Установите расширение на NPS-сервер
3. Настройте подключение к Entra ID (Azure AD tenant)
4. После аутентификации по паролю пользователь получит push-уведомление в Microsoft Authenticator

Это особенно важно для VPN-подключений, где утечка пароля может привести к несанкционированному доступу к корпоративной сети. Для настройки DHCP-сервера, который выдаёт адреса после успешной аутентификации, обратитесь к соответствующей статье.