Что такое NPS в Windows Server?

Network Policy Server — встроенная в Windows Server роль, реализующая протокол RADIUS. Используется для централизованной аутентификации и авторизации клиентов Wi-Fi, VPN и сетевого оборудования.

Чем EAP-TLS лучше PEAP?

EAP-TLS использует взаимную аутентификацию по клиентскому и серверному сертификату, не передаёт пароль по сети и устойчив к MITM. PEAP проще в развёртывании, но пароль передаётся внутри защищённого туннеля — при компрометации точки доступа это уязвимо.

Нужен ли отдельный сервер под NPS?

В малых офисах роль NPS ставится на контроллер домена или на совмещённый сервер. Для офисов от 100 пользователей или критичных сервисов рекомендую отдельный сервер с дублирующим NPS на втором узле.

Как проверить, что RADIUS работает?

В Event Viewer в журнале Security должны появляться события 6272 (успешная аутентификация) и 6273 (отказ) с деталями причины. Для детальной диагностики включите NPS log в текстовый файл или SQL.

Поддерживает ли NPS MFA?

Нативно — только через Azure MFA Extension или сторонние плагины. Чаще всего двухфакторка реализуется через EAP-TLS (сертификат = что-то имеешь) + пин-код на запуск VPN-клиента.

Windows Server 4 сентября 2025 · 15 мин чтения

Windows NPS + RADIUS для Wi-Fi 802.1X: корпоративная сеть без общих паролей

Я Семёнов Евгений, директор АйТи Фреш. За 15+ лет работы с корпоративными сетями поднимал RADIUS десятки раз — от небольшого офиса на 20 ноутбуков до складского комплекса с 18 точками доступа и двумя NPS-серверами в отказоустойчивой конфигурации. И каждый раз вижу одну и ту же картину: компании годами живут с общим Wi-Fi-паролем, который знают бывшие сотрудники, стажёры и клиенты. Сегодня расскажу, как за один-два рабочих дня закрыть эту дыру с помощью штатного Network Policy Server.

Что даёт RADIUS для Wi-Fi

Когда точка доступа настроена на WPA2/WPA3-Enterprise, она не проверяет пароль сама — пересылает данные аутентификации на RADIUS-сервер. В нашем случае это NPS, который проверяет учётку в Active Directory или сертификат. Преимущества перед общим PSK:

Уволили сотрудника — отключили учётку или отозвали сертификат. В сеть он не войдёт.
Логи подключений с именем пользователя, MAC, временем и причиной отказа.
Гибкие политики: сотрудники — в основной VLAN, гости — через guest-сеть, IoT — в изолированный сегмент.
Тот же NPS обслуживает VPN, Cisco/MikroTik/Aruba админку и любое оборудование с RADIUS-клиентом.

Что нужно перед установкой

Я всегда начинаю с чек-листа, чтобы не застрять в середине настройки:

Компонент	Требование
Windows Server	2019/2022/2025 Standard, 4 vCPU, 4 ГБ RAM
Active Directory	Функциональный домен, рабочие УЗ
AD CS	Поднятый PKI с шаблоном RAS-and-IAS Server
Точки доступа	Поддержка 802.1X / WPA2-Enterprise
Группа в AD	Например, `WiFi-Users` для разрешения доступа

Установка роли NPS

Ставим быстро через PowerShell — у нас на практике это занимает меньше минуты:

Install-WindowsFeature NPAS -IncludeManagementTools
Register-NpsServerInDomain

# Проверка
Get-WindowsFeature NPAS
netsh nps show config

Регистрация в домене — обязательна. Без неё NPS не сможет читать атрибуты пользователей и чекать членство в группах.

Сертификат на NPS и шаблон RAS-and-IAS

Для EAP-TLS и PEAP серверу нужен сертификат с назначением Server Authentication и CRL Distribution Point, доступным клиенту. Через certlm.msc запрашиваем сертификат по шаблону RAS-and-IAS Server. Если шаблона нет — дублируем встроенный и добавляем нужным серверам право Enroll.

Точка доступа как RADIUS-клиент

В консоли NPS (nps.msc) разворачиваем RADIUS Clients and Servers → RADIUS Clients. Я всегда добавляю каждую точку доступа отдельно, с shared secret из 32 случайных символов. Держать один секрет на всё железо — плохая практика: одна скомпрометированная точка даёт доступ к RADIUS для подмены запросов.

# Пример через PowerShell
New-NpsRadiusClient -Name "AP-Office-01" `
  -Address "10.10.1.11" `
  -SharedSecret "xR7!kQ2pWvZ9nM4jLhB8sT3cV6yA1uFg"

Политика запросов и политика сети

NPS различает Connection Request Policy (кто и по какому протоколу обращается) и Network Policy (что разрешаем). Для одного сервера обычно оставляют дефолтную Connection Request Policy и создают несколько Network Policy под разные группы.

Типовая политика Wi-Fi:

Условия: NAS Port Type = Wireless — IEEE 802.11; Windows Groups = CORP\WiFi-Users.
Права: Grant access.
Методы аутентификации: EAP-TLS (и PEAP как запасной).
Constraints: Session Timeout 10 часов, Idle Timeout 30 минут.
Settings: RADIUS Attributes — Tunnel-Type=VLAN, Tunnel-Medium-Type=802, Tunnel-Pvt-Group-ID=номер VLAN.

Настройка клиента через GPO

Чтобы не ходить к каждому ноутбуку руками, подключение к Wi-Fi раздаётся через GPO. Computer Configuration → Policies → Windows Settings → Security Settings → Wireless Network (IEEE 802.11) Policies.

Создаём новую политику Vista+.
Добавляем профиль с SSID и Security = WPA2-Enterprise, AES.
EAP Type = Smart card or other certificate (EAP-TLS), галка «Use a certificate on this computer».
Advanced → 802.1X Authentication = Computer authentication, Cache user info = выкл.

Мини-кейс: переход со старого PSK на 802.1X

Февраль 2026. Клиент — дизайн-бюро в Москве, 62 рабочих места, три точки доступа Ubiquiti UniFi, общий пароль «Studio2019!», который не менялся с переезда. Задача — закрыть Wi-Fi по сертификатам и разделить сеть на корпоративную и гостевую.

Мы за два дня развернули NPS на существующем DC (Windows Server 2022), использовали уже работающий AD CS с шаблоном Computer для автовыпуска сертификатов ноутбукам. На UniFi Controller пересоздали SSID «Office-Corp» с WPA2-Enterprise и RADIUS-ом на NPS. Дополнительно поднял второй NPS как backup на виртуалке в дата-центре МТС на Dell Xeon Platinum 8280. За 48 часов 58 ноутбуков подключились без вмешательства пользователей, ещё 4 потребовали ручной установки профиля (старые MacBook не в домене). Стоимость — 95 000 руб.

Типовые ошибки и их диагностика

Event 6273 «Reason: The specified user account does not exist» — NPS не зарегистрирован в AD или у компьютера нет прав Read в LDAP.
«EAP method not supported» — у сервера нет сертификата с Server Authentication.
«Authentication failed due to user credentials mismatch» — на клиенте включён PEAP с паролем, а на сервере — EAP-TLS.
Перемежающиеся обрывы — shared secret не совпадает между AP и NPS или блокирует firewall порт UDP 1812/1813.
Долгая аутентификация — нет доступа к CRL CA. Публикуйте CRL на HTTP, а не только в LDAP.

# Включение подробного логирования NPS
netsh nps set tracing *=verbose
# Логи в C:\Windows\system32\LogFiles
# После диагностики выключить
netsh nps set tracing *=disabled

Отказоустойчивость: два NPS

Одна точка отказа — зло. Я всегда рекомендую минимум два NPS-сервера, прописанных на каждом AP как первичный и вторичный. Настройки политик между ними синхронизируются через export/import XML раз в квартал, а не автоматически.

# Экспорт конфигурации NPS
Export-NpsConfiguration -Path C:\Backup\nps-config.xml

# На резервном сервере
Import-NpsConfiguration -Path \\dc01\share\nps-config.xml

Настроим RADIUS и 802.1X под ключ

Подниму NPS, выпущу сертификаты, переведу Wi-Fi на корпоративную аутентификацию без простоя пользователей. Срок — 1–3 рабочих дня в зависимости от количества точек. Работаю лично, 15+ лет на корпоративных сетях.

Телефон: +7 903 729-62-41
Telegram: @ITfresh_Boss
Семёнов Евгений Сергеевич, директор АйТи Фреш

FAQ — частые вопросы

Что такое NPS в Windows Server?: Network Policy Server — реализация RADIUS в Windows. Централизованная аутентификация Wi-Fi, VPN, сетевого оборудования.
Чем EAP-TLS лучше PEAP?: EAP-TLS — взаимная аутентификация по сертификатам, пароль по сети не передаётся.
Нужен ли отдельный сервер под NPS?: Для малого офиса — нет, роль ставится на DC. Для 100+ юзеров — отдельная виртуалка плюс резерв.
Как проверить, что RADIUS работает?: Event Viewer → Security → события 6272/6273 и подробный трейс через netsh nps set tracing.
Поддерживает ли NPS MFA?: Нативно — через Azure MFA Extension. Чаще вместо MFA используют EAP-TLS с сертификатом компьютера плюс пин на запуск.