Em ambientes corporativos que dependem do Network Policy Server (NPS) como ponto central de autenticação RADIUS, um serviço parado significa interrupção imediata de VPNs, Wi‑Fi corporativo e até de switches que exigem 802.1X. Este artigo aprofunda a falha “0x80020003 – Member not found” no Windows Server 2012 (e versões posteriores) e mostra passo a passo como restaurar o serviço, evitar recorrências e planejar a escalabilidade sem surpresas.
Visão geral do problema
O NPS estava funcionando normalmente até que foi interrompido manualmente para manutenção. Na tentativa de retomada, o serviço falhou na inicialização e registrou o evento:
Event ID 7024
The Network Policy Server service terminated with the following service‑specific error:
0x80020003 (Member not found)Esgotou‑se a lista padrão de verificações (certificados expirados, portas de firewall, horário NTP, permissões em %SystemRoot%\System32\IAS, SFC, DISM, atualizações e até reinstalação do NPS) sem identificar indícios de corrupção ou dependência quebrada.
Sintomas observados
- Serviço NPS permanece no estado Stopped mesmo após tentativas de Start.
- Erro 0x80020003 aparece tanto na View Events como em
sc query ias. - No NPS MMC, novas políticas não podem ser salvas ou simplesmente desaparecem.
- Quando políticas são exportadas e reimportadas em outro servidor com menos regras, o serviço sobe sem problemas.
Investigação detalhada
A descoberta crucial veio ao comparar contagens de políticas entre instâncias sadias e afetadas. Sempre que o número total de políticas (soma de Network Policies e Connection Request Policies) ultrapassava aproximadamente 140 entradas, o serviço deixava de inicializar. Reduzindo para 139 ou menos, voltava a operar imediatamente.
| Etapa | Comando ou ferramenta | Resultado esperado |
|---|---|---|
| Exportar políticas | netsh nps export filename=nps.xml | Arquivo XML com todas as regras |
| Contar entradas | PowerShell: (Select-Xml -Path .\nps.xml -XPath "//policy").Count | >= 140 implica risco |
| Testar serviço vazio | Renomear pasta IAS e iniciar NPS | Serviço sobe? então regra é a causa |
| Reimportar gradualmente | netsh nps import parcial | Identificar política crítica |
Causa raiz: limite não documentado
O NPS utiliza um arquivo Jet Database (ias) para armazenar configurações. Nos builds do Windows Server 2012/2016/2019, esse repositório apresenta degradação exponencial na inicialização quando o volume de entradas ultrapassa uma faixa de ~140. Embora a Microsoft não publique limite oficial, laboratórios independentes reproduziram o “ponto de ruptura” em VMs recém‑instaladas, descartando influência de arquivos herdados.
Como confirmar se o limite afeta seu ambiente
- Execute
netsh nps export filename=nps.xmle salve em local seguro. - Conte as tags
<policy>usando PowerShell ou editor XML. - Se a soma for ≥ 140, crie cópia do arquivo e remova metade das políticas.
- Importe a versão reduzida (
netsh nps import). - Inicie o serviço NPS. Se subir, o limite foi confirmado.
Soluções e recomendações
| Ação | Objetivo | Observações práticas |
|---|---|---|
| Reduzir políticas ativas | Fazer o NPS iniciar | Manter < 140 resolve imediatamente. |
| Consolidar regras | Minimizar crescimento futuro | Agrupe condições semelhantes; use Policy Templates ou scripts para evitar duplicação. |
| Distribuir carga | Escalar horizontalmente | Implemente servidores NPS adicionais e balanceamento RADIUS. |
| Atualizar SO | Aumentar tolerância a políticas | Testes indicam limite maior no Windows Server 2022, mas avalie em homologação. |
| Monitorar saúde do NPS | Prevenir recidiva | Acompanhe log de eventos, CPU/RAM e latência de consulta conforme adiciona regras. |
Reduzir número de políticas
Comece identificando sobreposições. Políticas criadas para grupos de usuários específicos podem ser consolidadas com a utilização de condições “Windows Groups” combinadas e expressões regulares no NAS.
Consolidação de regras e uso de templates
O console NPS oferece Policy Templates, recurso subaproveitado que permite replicar condicionais e configurações de constraints de forma padronizada. Armazene modelos para VPN, Wi‑Fi e switches, diferenciando apenas o grupo de usuários ou o Vendor‑Specific Attribute (VSA). Além de reduzir contagem de linhas, isso padroniza descrições e facilita auditoria.
Escalar horizontalmente
Quando consolidar não é viável — por exemplo, em MSPs que atendem múltiplos clientes em um único AD —, a solução é distribuir políticas entre instâncias dedicadas. Combinações frequentes:
- NPS primário para VPN corporativa.
- NPS secundário para 802.1X Wi‑Fi.
- NPS terciário para switches e roteadores.
Um load balancer UDP ou os próprios dispositivos de rede podem definir Primary e Secondary RADIUS para alta disponibilidade.
Atualizar sistema operacional
Laboratórios que migraram a base de dados para Windows Server 2022 observaram que o serviço aceita 300+ políticas sem sintomas. Ainda assim, não existe compromisso oficial da Microsoft — portanto valide em ambiente de teste e monitore a cada incremento de 25 regras.
Monitoramento proativo
Recomenda‑se configurar Perfmon para os contadores:
- IAS\Connections Rejected
- IAS\Current Sessions
- Process(ias)\% Processor Time
Envie alertas caso a inicialização do serviço ultrapasse 30 s ou o contador de Rejected dispare — sinais de que o limite pode estar se aproximando.
Passos rápidos para recuperar o serviço
- Exportar todas as políticas:
netsh nps export filename=backup.xml. - Reduzir o arquivo: edite e deixe até 139 políticas.
- Limpar a pasta IAS opcionalmente (backup antes).
- Importar a versão enxuta:
netsh nps import filename=reduced.xml. - Iniciar o NPS:
net start ias. - Reimportar gradualmente políticas consolidadas, monitorando cada lote.
Dicas de prevenção
- Mantenha um inventário das políticas em planilha ou CMDB.
- Padronize nomenclatura:
[Tipo]-[Grupo]-[Descrição]. - Documente data de criação e responsável; revise semestralmente.
- Automatize a criação de políticas via PowerShell para evitar divergências manuais.
- Inclua verificação de contagem no pipeline de CI/CD, disparando alerta ao chegar a 125 políticas.
Perguntas frequentes (FAQ)
Posso simplesmente aumentar um valor de registro para liberar o limite?
Não há chave de registro conhecida nem parâmetro oculto que amplie o volume máximo de políticas no NPS. A limitação parece estar intrínseca ao motor Jet utilizado.
O problema afeta somente políticas de rede ou também as de solicitação de conexão?
Afeta a contagem combinada de ambos os tipos. Uma instância com 90 Network Policies + 60 Connection Request Policies já ultrapassa o limiar.
Excluir políticas antigas resolve definitivamente?
Sim, enquanto mantido abaixo de 140. Contudo, se o crescimento anual for constante, você inevitavelmente atingirá o limite de novo — daí a importância de consolidar ou distribuir a carga.
Existe impacto em políticas de Health NAP ou em RADIUS Accounting?
Não diretamente. O gargalo manifesta‑se na leitura inicial do banco de políticas, antes mesmo de validações NAP ou contadores de accounting serem carregados.
Conclusão
O erro 0x80020003 no Network Policy Server não aponta, como se supunha, para DLLs ausentes ou certificados quebrados, mas sim para um limite estrutural de escalabilidade. Saber disso poupa horas de troubleshooting em logs sem pista, restaura o serviço em minutos e orienta a evolução do ambiente RADIUS com planejamento. Se seu NPS hospeda dezenas de políticas, comece hoje a consolidá‑las ou distribua‑as; o relógio do limite está correndo.