Windows Server 2022 NPS & WPA3‑Enterprise : configuration PEAP/EAP‑TLS, erreurs EAP et solutions

Vous migrez un WLAN d’entreprise vers WPA3‑Enterprise avec NPS 2022 ? Voici un guide concret pour réussir la bascule sans casser l’authentification 802.1X : qui configure quoi, quelles variantes WPA3 choisir, comment paramétrer NPS/clients, et comment dépanner l’erreur EAP.

Vue d’ensemble : WPA2 fonctionnait, WPA3 échoue… pourquoi ?

Votre environnement fonctionne en WPA2‑Enterprise (802.1X/EAP) avec NPS : authentification AD via PEAP, filtrage/ACL RADIUS, et correspondance Called‑Station‑ID. Après passage en WPA3‑Enterprise, l’accès échoue et certains guides suggèrent une option NPS « Encryption : WPA3‑Enterprise » qui n’existe pas. Les journaux NPS peuvent afficher :

“The client could not be authenticated because the EAP Type cannot be processed by the server.”

La cause tient généralement à un mismatch de type EAP côté client vs politique NPS, ou à un SSID configuré en WPA3‑Enterprise 192‑bit (Suite‑B) alors que vous restez en PEAP.

Ce qu’il faut retenir en 30 secondes

• NPS ne choisit pas WPA2/WPA3. Le « mode WPA » (WPA2, WPA3, PMF/802.11w) se règle sur l’AP/contrôleur Wi‑Fi et dans le profil Wi‑Fi du client. Dans NPS, on choisit uniquement le type EAP et les conditions/contraintes.
• WPA3‑Enterprise a deux variantes :
  • WPA3‑Enterprise 128‑bit : accepte PEAP (EAP‑MSCHAPv2) ou EAP‑TLS.
  • WPA3‑Enterprise 192‑bit (Suite‑B) : EAP‑TLS uniquement avec paramètres cryptographiques renforcés. PEAP n’y fonctionne pas.
• Le message EAP Type cannot be processed apparaît quand le client propose un EAP non autorisé par la Network Policy NPS (ex. TEAP côté client alors que NPS n’autorise que PEAP) ou si le certificat serveur NPS est absent/invalide.

Qui décide quoi ?

Composant	Rôle dans WPA3‑Enterprise	Exemples de paramètres clés
AP/Contrôleur Wi‑Fi	Décide WPA2 vs WPA3 et PMF, expose l’SSID en 802.1X, relaye EAP au RADIUS.	Mode WPA3‑Enterprise (128‑bit ou 192‑bit), PMF = Required, transition WPA2/WPA3, RADIUS servers (IP + secret).
NPS (Windows Server 2022)	Décide type EAP, applique politiques et attributs RADIUS (VLAN/ACL).	PEAP (EAP‑MSCHAPv2) ou EAP‑TLS, conditions NAS‑Port‑Type, groupes AD, Called‑Station‑ID, Filter‑Id, Tunnel‑Private‑Group‑ID…
Client (OS/driver)	Négocie EAP avec NPS via l’AP et doit supporter WPA3‑Enterprise.	Profil Wi‑Fi (WPA3‑Enterprise, EAP), store des certificats, validation CA/nom de serveur, activation PMF.

WPA3‑Enterprise : 128‑bit vs 192‑bit (Suite‑B)

Caractéristique	128‑bit	192‑bit (Suite‑B)
Type EAP autorisé	PEAP (EAP‑MSCHAPv2) ou EAP‑TLS	EAP‑TLS obligatoire
Exigences crypto	Niveau « entreprise » standard	Jeu de suites renforcées (CA/certificats/algorithmes plus stricts)
Cas d’usage typique	Migration progressive depuis WPA2, compat large	Conformité élevée (gouvernance/sécurité renforcée)
Compat clients	Large (OS récents et drivers à jour)	Limiter aux clients gérant EAP‑TLS avancé et profils 192‑bit

Architecture et flux 802.1X (rappel rapide)

1. Le client s’associe à l’SSID WPA3‑Enterprise (PMF requis) → début du handshake 802.1X.
2. L’AP encapsule EAP dans RADIUS vers NPS (EAP‑Message).
3. NPS présente son certificat serveur (PEAP/EAP‑TLS) → tunnel TLS.
4. Authentif interne (mot de passe AD via EAP‑MSCHAPv2 ou certificat utilisateur/appareil via EAP‑TLS).
5. En succès, NPS renvoie Access‑Accept avec attributs RADIUS (VLAN/ACL) → l’AP autorise le trafic.

Configuration recommandée

Côté AP / Contrôleur

1. Configurer l’SSID en WPA3‑Enterprise (non‑192‑bit) pour démarrer, PMF = Required. En mode transition, vérifiez quel mode est réellement négocié par les clients.
2. Déclarer NPS comme serveur RADIUS (IP + secret partagé) pour AuthN (et Accounting si utilisé).
3. Conserver vos attributs d’autorisation (VLAN/ACL) via Filter‑Id, Tunnel‑Private‑Group‑ID, etc. Ils fonctionnent comme en WPA2.
4. Vérifier les identifiants envoyés : Called‑Station‑ID (souvent BSSID:SSID), NAS‑Identifier, NAS‑Port‑Type = Wireless‑IEEE 802.11.

Côté NPS (Windows Server 2022)

1. Enregistrer NPS dans l’AD : clic droit sur NPS → Register server in Active Directory.
2. Clients RADIUS : ajouter AP/contrôleurs (IP/secret), Vendor = RADIUS Standard.
3. Connection Request Policy : filtrer NAS‑Port‑Type = Wireless – IEEE 802.11 (facultatif mais propre) et transférer localement l’authN.
4. Network Policy (crucial) :
   • Conditions : groupes AD autorisés, NAS‑Port‑Type, et Called‑Station‑ID si vous mappez par SSID/BSSID.
     Astuce : par défaut, NPS permet « Égale à / Commence par / Se termine par / Contient ». Les regex ne sont pas exposées dans l’UI ; utilisez un format BSSID:SSID cohérent.
   • Constraints → Authentication Methods :
     • Option simple : Microsoft: Protected EAP (PEAP) + EAP‑MSCHAPv2 interne (désactiver le reste).
     • Option robuste / requise en 192‑bit : EAP‑TLS (Smart Card or other certificate).
   • Settings : appliquer vos attributs RADIUS (VLAN/ACL via Filter‑Id, Tunnel‑Private‑Group‑ID…), rien ne change avec WPA3.
5. Certificat serveur (obligatoire pour PEAP/EAP‑TLS) :
   • Présent dans Ordinateur local → Personnel, avec EKU Server Authentication et une clé privée.
   • Droits de lecture sur la clé privée pour le compte NETWORK SERVICE (service NPS).
   • Chaîne de confiance complète du côté des clients (CA racine/intermédiaires).

Côté clients

• Système et pilote Wi‑Fi à jour et compatibles WPA3‑Enterprise.
• Profil Wi‑Fi explicite : WPA3‑Enterprise (ou transition), EAP identique à celui autorisé dans NPS (PEAP ou EAP‑TLS), validation du nom de serveur et de la CA.
• Si vous ciblez WPA3 192‑bit : basculez tous les clients en EAP‑TLS avec certificats conformes (gabarits utilisateur/appareil, clés protégées).

Dépannage ciblé

Erreur : “EAP Type cannot be processed by the server”

Symptôme	Cause la plus probable	Correctif immédiat
Échec d’authN, journal NPS avec l’erreur ci‑dessus	Le client propose un type EAP non autorisé dans la Network Policy (ex. TEAP/EAP‑TLS côté client, mais NPS n’accepte que PEAP)	Alignez exactement le type EAP côté client et côté NPS. Désactivez les EAP non utilisés.
Échec dès l’établissement TLS	Certificat serveur NPS manquant ou non approuvé, nom de serveur non valide, droits sur clé privée absents	Vérifier certificat (EKU, CN/SAN, chaîne), donner droits à NETWORK SERVICE, regénérer si besoin.
Clients en WPA3 192‑bit + PEAP	SSID configuré en 192‑bit, mais la politique NPS et profils clients sont en PEAP	Passer en EAP‑TLS partout ou reconfigurer l’SSID en WPA3 128‑bit.

Appariement Called‑Station‑ID

Confirmez le format envoyé par l’AP : souvent AA‑BB‑CC‑DD‑EE‑FF:MonSSID. Dans NPS, utilisez Commence par / Se termine par / Contient pour matcher le SSID voulu. Si vos AP changent de format (deux‑points, tirets, majuscules), normalisez vos règles.

Autres vérifications rapides

• NAS‑Port‑Type = Wireless‑IEEE 802.11 dans la Connection Request Policy et/ou Network Policy.
• PMF : en WPA3, il est Required. Si un client ou AP n’implémente pas correctement PMF, la négociation peut échouer avant même l’EAP.
• Heures/temps : des horloges désalignées cassent la validation de certificats.
• Fallback : un profil client « Automatique » peut préférer TEAP si offert → verrouillez l’EAP attendu.

Journalisation et traces utiles

• Observateur d’événements → NPS : évènements de succès/échec (par ex. 6272/6273/6278) donnant la raison exacte.
• Traces NPS : netsh ras set tracing * enabled netsh ras set tracing * disabled
• Client Windows : rapport WLAN HTML netsh wlan show wlanreport
• Logs RADIUS : fichiers d’Accounting si activés (format IAS/DTL), utiles pour rejouer/inspecter les attributs.

Scénarios de mise en conformité

• Rester en PEAP (mot de passe AD) : SSID en WPA3‑Enterprise 128‑bit (pas 192‑bit), NPS autorise PEAP/EAP‑MSCHAPv2 seul, clients configurés en conséquence.
• Viser le 192‑bit (Suite‑B) : bascule EAP‑TLS end‑to‑end (certificats utilisateurs/appareils), SSID en 192‑bit, vérification des chaînes TLS et de la compatibilité clients.

Plan de migration, validation & rollback

1. Préparer les certificats (CA, templates, auto‑inscription si AD), valider TLS1.2 et suites acceptées.
2. Cloner la Network Policy existante et créer une version EAP‑TLS (inactive au début).
3. Créer un SSID pilote en WPA3 128‑bit, PMF=Required, RADIUS pointant vers le même NPS.
4. Tester : 3–5 modèles d’appareils (Windows, macOS, iOS/Android, scanners/IoT si 802.1X), vérifier VLAN/ACL et roaming.
5. Mesurer le taux d’échec et qualifier les causes avec les journaux NPS et wlanreport.
6. Basculer graduellement les groupes AD (Network Policy filtrée) puis l’SSID de production.
7. Rollback : conservez l’SSID WPA2/WPA3 en mode transition pendant la phase pilote, et gardez une Network Policy PEAP prête à être réactivée.

Check‑list rapide

• ☐ AP/contrôleur en WPA3‑Enterprise (128‑bit pour PEAP, 192‑bit pour EAP‑TLS uniquement), PMF = Required.
• ☐ NPS enregistré dans l’AD ; clients RADIUS et shared secret corrects.
• ☐ Network Policy : NAS‑Port‑Type = Wireless, un seul type EAP autorisé (PEAP ou EAP‑TLS), autres EAP désactivés.
• ☐ Certificat serveur valide sur NPS (EKU, CN/SAN, droits sur la clé privée) + chaîne de confiance côté clients.
• ☐ Clients : OS/driver à jour, profil Wi‑Fi aligné (WPA3 et EAP identiques à NPS).
• ☐ Appariement Called‑Station‑ID et attributs RADIUS (ACL/VLAN) vérifiés.

FAQ express

Existe‑t‑il un bouton « Encryption : WPA3‑Enterprise » dans NPS ?
Non. NPS ne paramètre pas le mode WPA ; ce réglage réside sur l’AP/contrôleur et dans les profils clients. Dans NPS, vous choisissez le type d’EAP et les règles.

Pourquoi PEAP marche en WPA2 mais plus en WPA3 ?
Souvent parce que l’SSID a été configuré en WPA3 192‑bit (Suite‑B) qui exige EAP‑TLS. Repassez l’SSID en 128‑bit ou migrez les clients vers EAP‑TLS.

Que signifie “EAP Type cannot be processed…” ?
Le client a proposé un EAP que NPS ne traite pas (ou que la policy n’autorise pas), ou l’établissement TLS échoue (certificat NPS/infrastructure PKI).

Dois‑je activer TLS 1.2/1.3 côté serveur ?
Assurez‑vous a minima de TLS 1.2 activé côté NPS (SChannel). TLS 1.3 peut être utilisé par certains clients/éditions, mais l’essentiel est la cohérence des suites acceptées.

Les ACL/VLAN dynamiques changent‑ils entre WPA2 et WPA3 ?
Non : ce sont des attributs RADIUS que NPS renvoie à l’AP. Ils restent identiques (Filter‑Id, Tunnel‑Private‑Group‑ID, etc.).

Exemples d’attributs RADIUS courants

Besoins	Attributs RADIUS	Remarques
VLAN dynamique	Tunnel-Medium-Type = 802, Tunnel-Type = VLAN, Tunnel-Private-Group-ID = <vlan-id>	Supporté par la plupart des contrôleurs/AP d’entreprise.
ACL/dACL	Filter-Id = <nom‑acl> (ou VSA selon constructeur)	Pour Cisco/Aruba/Mist, des VSA dédiés peuvent affiner les politiques.
Segmentation invitée	Condition Called‑Station‑ID + Filter‑Id spécifique	Permet des règles par SSID.

Modèle de configuration NPS (PEAP) — pas à pas

1. Certificates MMC (ordinateur local) → importer le certificat serveur (clé privée, EKU Server Authentication).
2. NPS → Register server in Active Directory.
3. RADIUS Clients → ajouter contrôleurs/AP (IP/secret).
4. Connection Request Policies → nouvelle règle « Wireless », NAS‑Port‑Type = Wireless IEEE 802.11, traiter localement.
5. Network Policies → nouvelle règle « WLAN‑PEAP » :
   • Conditions : groupes AD, NAS‑Port‑Type, Called‑Station‑ID (optionnel).
   • Constraints : PEAP → sélectionner le certificat serveur → méthode interne EAP‑MSCHAPv2 → décocher les EAP non désirés.
   • Settings : ajouter VLAN/ACL si nécessaire.
6. Tester avec un poste pilote, valider les journaux, puis déployer.

Modèle de configuration NPS (EAP‑TLS) — pas à pas

1. Déployer une PKI (CA d’entreprise) et des certificats client (utilisateur/appareil) via GPO/MDM.
2. Importer/valider le certificat serveur NPS (CN/SAN pointant vers le nom du serveur RADIUS ou un alias).
3. Network Policy « WLAN‑TLS » : Constraints → EAP‑TLS (seul), Settings → attributs VLAN/ACL.
4. Configurer l’SSID en WPA3 192‑bit pour les environnements qui l’exigent (sinon 128‑bit suffit en TLS).
5. Tester avec un parc pilote multi‑OS, vérifier la validation du nom du serveur et la présence de la CA dans le store Autorités de certification racines de confiance.

Bonnes pratiques sécurité

• Durcir SChannel : activer TLS 1.2, retirer TLS 1.0/1.1 si possible (tests préalables requis).
• Limiter les EAP à ceux effectivement utilisés (réduire la surface d’attaque et les erreurs de négociation).
• Épingler le nom de serveur et la CA côté clients (profils MDM/GPO) pour éviter les attaques de type « evil twin ».
• Clés privées protégées (TPM pour certificats appareil, cartes à puce/HSM si applicable).
• Inventaire compatibilité : identifiez les terminaux qui ne supportent pas WPA3/PMF et prévoyez un SSID isolé ou une mise à niveau.

Exemples de diagnostics concrets

• Cas 1 : parc Windows 10/11, NPS en PEAP, SSID passé en WPA3 192‑bit → échecs massifs.
  Solution : repasser SSID en WPA3 128‑bit ou migrer tout le monde vers EAP‑TLS, puis 192‑bit.
• Cas 2 : quelques postes authentifient, d’autres non, avec la même policy NPS.
  Solution : vérifier le pilote Wi‑Fi et le profil EAP (certains clients passent en TEAP par défaut). Verrouiller PEAP ou EAP‑TLS côté profil.
• Cas 3 : « EAP Type cannot be processed… » après mise à jour du certificat.
  Solution : mauvais nom de serveur dans le nouveau certificat ou clé privée sans droit NETWORK SERVICE. Corriger EKU/CN/SAN/droits et redémarrer NPS.

Conclusion

Une migration réussie vers WPA3‑Enterprise avec NPS 2022 ne nécessite pas de changer la logique RADIUS/ACL. Le pivot est ailleurs : mode WPA3 côté Wi‑Fi (128‑bit vs 192‑bit) et type EAP aligné côté NPS/clients. Avec un certificat serveur valide, une policy NPS épurée (un seul EAP), et des profils clients verrouillés, la transition de WPA2 à WPA3 se fait de façon maîtrisée.