Что такое NPS в Windows Server?

Network Policy Server — это роль Windows Server, реализующая RADIUS и Network Access Protection. Она отвечает за централизованную аутентификацию и авторизацию пользователей и устройств для VPN, Wi-Fi 802.1X, коммутаторов с port-based security и других сетевых сервисов.

Какой протокол EAP выбрать для Wi-Fi?

Для корпоративного Wi-Fi рекомендую EAP-TLS с сертификатами на клиентах — это самый защищённый вариант. PEAP-MSCHAPv2 проще внедрить, но требует надёжного пароля и защищён слабее. Для гостевых сетей — отдельный SSID без NPS.

Нужно ли ставить NPS на контроллер домена?

Можно, но лучше держать NPS на отдельном сервере. На DC нагрузка и риски выше, плюс в больших инфраструктурах обычно поднимают пару NPS за балансировщиком или настраивают RADIUS-прокси.

Сколько клиентов выдержит один NPS?

Для офиса до 500 устройств хватает одного NPS на 2 vCPU и 4 ГБ RAM. При 1000+ клиентов с частой переаутентификацией разворачивают два сервера и настраивают отказоустойчивость на стороне сетевого оборудования.

Как диагностировать отказ в RADIUS-аутентификации?

Смотрите Event Log → Custom Views → Server Roles → Network Policy and Access Services. Событие 6273 — отказ с причиной, 6272 — успех. Параллельно проверяем совпадение shared secret на коммутаторе и NPS, и что клиент попадает под корректную политику.

Windows Server 12 ноября 2025 · 15 мин чтения

NPS RADIUS-сервер на Windows: 802.1X, VPN и MFA без сторонних продуктов

Привет! Меня зовут Семёнов Евгений Сергеевич, и я руковожу компанией АйТи Фреш. За 15 лет в IT я столько всего повидал. Честно, иногда диву даёшься: до сих пор встречаешь офисы, где Wi-Fi работает на одном общем пароле, а доступ по VPN — через локальные учётки прямо на роутере. Представьте себе картину: увольняете вы сотрудника, и тут же начинается головная боль! Нужно срочно менять пароли и рассылать новые всем остальным. А ведь такую задачу можно решить легко и, что самое приятное, бесплатно! Мы в своей практике используем встроенную роль Windows Server под названием NPS, которая отлично интегрируется с Active Directory. В этой статье я подробно расскажу, как мы обычно разворачиваем NPS для среднего офиса, покажу наши проверенные примеры политик и, конечно, поделюсь, на какие типичные «грабли» лучше не наступать.

Что такое NPS и какие задачи он решает

Так что же такое Network Policy Server? Проще говоря, это роль в Windows Server, которая отвечает за протокол RADIUS и функции Network Access Protection. Считайте, что это ваш личный «охранник», который стоит на страже между сетевым оборудованием и Active Directory. Как это работает? Допустим, ваш коммутатор, точка доступа или VPN-сервер хотят понять: пускать ли этого конкретного пользователя или устройство в сеть? И если да, то в какой VLAN его направить? Они обращаются к NPS, и именно он даёт ответ.

Вот типовой набор задач, которые мы в АйТи Фреш успешно закрываем при помощи NPS:

Корпоративный Wi-Fi на 802.1X? Это когда сотрудники входят не по какому-то общему, вечно забываемому или сливаемому паролю, а по своей доменной учётке или личному сертификату. Чувствуете разницу в безопасности?
Нужна VPN-аутентификация? Мы настроим её для OpenVPN, SoftEther, MikroTik, Cisco ASA. И самое приятное: вам не придётся создавать отдельные учётки прямо на самом железе. Разве не здорово?
А что насчёт port-based авторизации на коммутаторах HP, Aruba, Cisco? Это когда любое 'незнакомое' устройство, пытающееся подключиться, тут же отправляется в карантинный VLAN. Никто посторонний не проскочит!
Хотите усилить безопасность? Мы настроим многофакторную аутентификацию, связав ваш NPS с популярными сервисами: Multifactor.ru, Cisco Duo или даже Яндекс.Ключ. Всё это — через RADIUS-агент. Ваш дополнительный барьер от угроз!
И, конечно, куда без централизованного логирования? Мы настроим сбор всех подключений с детализацией: IP-адрес, точное время, MAC клиента. Вы всегда будете знать, кто, когда и откуда подключался. Полный контроль!

Знаете, что самое приятное? Вам не придётся за него доплачивать! NPS уже входит в стандартную или датацентровую лицензию любого Windows Server. Это же просто отличный бонус, не правда ли? Нет никаких дополнительных клиентских лицензий ни на сетевые устройства, ни на пользователей — они у вас уже покрыты доменными CAL.

Подготовка сервера и установка роли

Обычно мы предпочитаем выделять под NPS отдельную виртуальную машину. Какие у нас стандартные требования? Это 2 vCPU, 4 ГБ оперативной памяти и 60 ГБ на SSD, конечно же, с Windows Server 2022 Standard. Например, на мощном Dell Xeon Platinum 8280 в нашем дата-центре МТС такая виртуалка легко «переваривает» до 1500 RADIUS-запросов в минуту. Что мы делаем дальше? Просто присоединяем её к домену, ставим все свежие обновления, настраиваем фиксированный IP. И только после этого переходим к установке самой роли.

Install-WindowsFeature NPAS -IncludeManagementTools

# Регистрация NPS в AD, чтобы он мог читать атрибуты пользователей
netsh nps add registeredserver domain=corp.example.ru server=NPS01

Если NPS не зарегистрировать в AD, он вроде и работает, но не сможет увидеть членство в группах, и тогда вы будете получать совершенно непонятные отказы типа «Access-Reject без причины». Так что регистрация — это просто must-have!

RADIUS-клиенты: добавляем сетевое оборудование

В терминах NPS, RADIUS-клиент — это любое сетевое устройство, которое отправляет запросы на аутентификацию. Например, им может быть ваш коммутатор, контроллер Wi-Fi или VPN-сервер. Важно помнить: каждое такое устройство мы добавляем со своим уникальным shared secret, который потом, конечно, дублируем и настраиваем прямо на самом «железе».

# Добавляем контроллер Wi-Fi Aruba
netsh nps add client name="Aruba-WLC-01" address=10.10.10.5 `
  sharedsecret="A1b2C3d4E5f6G7h8i9J0kLmN" vendor="Aruba Networks"

# Добавляем коммутатор для 802.1X
netsh nps add client name="HP-5400-Core" address=10.10.0.2 `
  sharedsecret="Qw3Rt5Yu7Io9Op1AsDfGhJkL" vendor="RADIUS Standard"

На shared secret мы всегда ставим как минимум 20 случайных символов. Знаете, я по десяткам аудитов могу сказать: слабые секреты, вроде «radius123», — это просто открытая дверь в корпоративную сеть. Самая распространённая дыра!

Сетевые политики: кого и куда пускать

Сетевая политика, или Network Policy, — это, по сути, ваше правило. Она связывает определённые условия, скажем, группу пользователя, тип подключения или даже время, с конкретным результатом: разрешить или запретить доступ, а также какие атрибуты вернуть. Тут очень важен порядок этих политик: NPS обрабатывает их строго сверху вниз и останавливается ровно на первой, которая идеально подходит под заданные условия. Запомните это!

Политика	Условия	Результат
Wi-Fi Employees	Группа Domain Users, NAS Type=Wireless	PEAP/EAP-TLS, VLAN 10
Wi-Fi Guests	Группа GuestWiFi, MAC-Auth	VLAN 99, сессия 8 ч
VPN Admins	Группа VPN_Admins	MS-CHAP-v2, без рестрикций
VPN Users	Группа VPN_Users	PEAP, рабочее время 8–20
802.1X Domain PC	Computer NT-Group Domain Computers	EAP-TLS, VLAN 20
Deny by default	Любое другое	Отказ, лог

Для полноценной работы EAP-TLS нам понадобится сертификат на NPS, который мы обычно берём из нашего корпоративного AD CS, и, конечно, сертификат на стороне клиента. Но не волнуйтесь, это не так сложно, как звучит! Автоэнроллмент прекрасно справляется с этой задачей абсолютно без какого-либо участия администратора – просто сказка!

Пример: Wi-Fi 802.1X с EAP-TLS

Представьте такой сценарий: сотрудник открывает ноутбук, и подключение к Wi-Fi сети «Corp-Wi-Fi» происходит полностью автоматически, не нужно вводить ни единого пароля. Что стоит за этой кажущейся магией? Это слаженная работа связки из AD CS, который выдаёт сертификат компьютеру, NPS, который этот сертификат проверяет, и контроллера Wi-Fi, который передаёт запрос. И всё это — без единого клика со стороны пользователя! Разве не удобно?

# Порядок действий
1. В AD CS создаём шаблон Computer-802.1X
2. GPO включает автоэнроллмент для OU с ноутбуками
3. На NPS добавляем контроллер Wi-Fi как RADIUS-клиент
4. Создаём Connection Request Policy "Wireless-Corp"
5. Создаём Network Policy "Wi-Fi Employees" с EAP-TLS
6. На контроллере Wi-Fi настраиваем SSID "Corp-Wi-Fi" с типом WPA2-Enterprise
7. Shared secret и IP NPS прописываем на контроллере

Я всегда ставлю в Connection Request Policy условие на VSA «Tunnel-Type=VLAN». А в Network Policy возвращаю атрибут Tunnel-Private-Group-ID с номером VLAN. Это очень удобно: так можно одним SSID раскладывать пользователей по совершенно разным VLAN, просто исходя из их членства в группе.

MFA через NPS: Multifactor и альтернативы

Сегодня Федеральный закон 152-ФЗ и самые разные отраслевые требования всё настойчивее требуют двухфакторную аутентификацию для удалённого доступа. И тут у меня отличная новость: NPS это умеет! Причём делает это очень элегантно, через специальные RADIUS-плагины. В 2025 году мы на практике чаще всего используем такие варианты.

Multifactor.ru — российский сервис с NPS-агентом, push-уведомления в мобильное приложение.
Рутокен MFA — OTP через JaCarta или TOTP-генератор, полностью on-premise.
Самописный RADIUS-прокси — для тех, кто хочет свой TOTP без стороннего облака.

Как только мы установим NPS-плагин Multifactor, в свойствах Network Policy, а именно в разделе Settings → Vendor Specific, автоматически появляется атрибут «Multifactor-Auth-Required=true». Что это значит? Всё просто: как только пользователь успешно прошёл первичную аутентификацию по паролю, плагин моментально запускает второй фактор. А затем возвращает в NPS окончательное решение — пускать или нет.

Мини-кейс: производство металлопроката, 180 сотрудников

Помню, в феврале 2026 года к нам обратился один очень интересный клиент — это было производство металлопроката где-то в Химках. У них стояли две точки доступа Aruba, контроллер и коммутатор Aruba 2930. И всё бы ничего, но система была настроена на WPA2-PSK с паролем «Summer2024». Самое неприятное: он не менялся полгода и, что самое возмутительное, «утёк» в открытый чат бывших сотрудников. Срочно нужно было перевести всё на 802.1X с сертификатами и, конечно, добавить MFA на OpenVPN для удалёнки. Задача, мягко говоря, непростая, но какая же она была интересная!

Взялись за дело! Мы развернули NPS на отдельной виртуалке Hyper-V — она работала на ядре Xeon Platinum 8280, между прочим. После чего сразу интегрировали его с клиентским AD CS. Здесь нам повезло: сертификаты для всех их компьютеров и ноутбуков уже были готовы. А дальше? Настроили Connection Request Policy и Network Policy, конечно же, с EAP-TLS. На контроллере Aruba мы ювелирно поднастроили WPA2-Enterprise. Старый PSK-SSID, чтобы избежать шока, оставили в режиме гостевого VLAN на 30 дней. Почему? Чтобы миграция прошла максимально плавно и пользователи вообще ничего не заметили.

Для OpenVPN мы добавили плагин Multifactor. Что дальше? Все сотрудники, как и положено, установили мобильное приложение и прошли активацию. И знаете, какой итог за каких-то четыре рабочих дня? За первую неделю по Wi-Fi не было НИ ОДНОГО обращения в саппорт! По VPN-MFA мы получили лишь два запроса, и оба, кстати, были из-за неустановленного приложения на новом телефоне. Мелочи! Стоимость работ составила 95 000 рублей, плюс ежегодная подписка на Multifactor — 18 000. Вполне разумно за такой спокойный переход, не так ли?

Диагностика: когда NPS молчит

Итак, где искать ответы? Главный источник правды — это, конечно, Event Log. Запускаем eventvwr.msc, потом двигаемся по пути: Custom Views → Server Roles → Network Policy and Access Services. Здесь собраны все ключевые события, они расскажут вам всё.

6272 — пользователь успешно аутентифицирован. В тексте видны имя политики, IP, MAC.
6273 — отказ. В поле Reason Code указана конкретная причина: «The user attempted to use an authentication method that is not enabled» и т.п.
6274 — запрос отброшен (dropped), обычно из-за несовпадения shared secret.
6278 — пользователь прошёл аутентификацию, но не соответствует ни одной Network Policy.

Дополнительно держу включённым IAS-лог в C:\Windows\System32\LogFiles\ — текстовый формат, удобно грепать при массовых проблемах. Для захвата трафика — netsh trace start capture=yes provider=Microsoft-Windows-NPS tracefile=c:\nps.etl, потом анализ в Network Monitor или Wireshark с плагином ETL.

Отказоустойчивость и масштабирование

Один NPS? Знаете, это по сути своей — single point of failure. А такое, согласитесь, совершенно недопустимо для критичных инфраструктур. Поэтому мы всегда настоятельно рекомендуем, да и сами ставим сразу пару: NPS01 и NPS02. И размещаем их не абы как, а обязательно на разных хостах виртуализации, а в идеале — даже в разных серверных стойках. Что происходит дальше? На сетевом железе мы просто добавляем оба этих RADIUS-сервера с идентичными shared secret. И всё! Оборудование тогда автоматически переключается на второй, если первый вдруг стал недоступен. Надёжность, понимаете, — это наш абсолютный приоритет!

# Экспорт конфигурации NPS01 для копирования на NPS02
Export-NpsConfiguration -Path C:\nps-config.xml

# На NPS02 импортируем
Import-NpsConfiguration -Path \\NPS01\share\nps-config.xml

А если речь идёт о действительно больших инфраструктурах — представьте, 3000 устройств и больше? Тут мы применяем Remote RADIUS Server Groups. Как это работает? NPS принимает запрос, а затем проксирует его на специально выделенные серверы аутентификации. Очень удобно, не так ли? Этот же механизм мы используем для связи с MFA-облаками, особенно когда важно, чтобы само сетевое железо не имело прямого выхода в интернет. Такая вот хитрость для безопасности и масштабирования.

Поднимем NPS с 802.1X и MFA под ключ

Нужен корпоративный RADIUS на Windows Server? Мы готовы развернуть его за 3–5 рабочих дней! Это и Wi-Fi 802.1X с сертификатами, и надёжная VPN-аутентификация, и современная MFA через Multifactor или JaCarta, и, конечно, отказоустойчивая пара NPS. Мы работаем с любым вашим оборудованием: Aruba, Cisco, MikroTik, HP, Ubiquiti. Обращайтесь!

Телефон: +7 903 729-62-41
Telegram: @ITfresh_Boss
Семёнов Евгений Сергеевич, директор АйТи Фреш

FAQ — частые вопросы по NPS

Что такое NPS в Windows Server?: Network Policy Server — это роль Windows Server, реализующая RADIUS и Network Access Protection. Она отвечает за централизованную аутентификацию и авторизацию пользователей и устройств для VPN, Wi-Fi 802.1X, коммутаторов с port-based security и других сетевых сервисов.
Какой протокол EAP выбрать для Wi-Fi?: Для корпоративного Wi-Fi рекомендую EAP-TLS с сертификатами на клиентах — это самый защищённый вариант. PEAP-MSCHAPv2 проще внедрить, но требует надёжного пароля и защищён слабее. Для гостевых сетей — отдельный SSID без NPS.
Нужно ли ставить NPS на контроллер домена?: Можно, но лучше держать NPS на отдельном сервере. На DC нагрузка и риски выше, плюс в больших инфраструктурах обычно поднимают пару NPS за балансировщиком или настраивают RADIUS-прокси.
Сколько клиентов выдержит один NPS?: Для офиса до 500 устройств хватает одного NPS на 2 vCPU и 4 ГБ RAM. При 1000+ клиентов с частой переаутентификацией разворачивают два сервера и настраивают отказоустойчивость на стороне сетевого оборудования.
Как диагностировать отказ в RADIUS-аутентификации?: Смотрите Event Log → Custom Views → Server Roles → Network Policy and Access Services. Событие 6273 — отказ с причиной, 6272 — успех. Параллельно проверяем совпадение shared secret на коммутаторе и NPS, и что клиент попадает под корректную политику.